Антивирусная защита корпоративных сетей
Наиболее часто встречающееся решение при обеспечении антивирусной защиты в корпоративных сетях – применение антивирусного ПО для клиент-серверных решений. В этом случае имеется некий выделенный компьютер, на который устанавливается центральный программный модуль, отвечающий за управление локальными антивирусными программами-агентами, а также за обновление антивирусной базы.
На остальных компьютерах сети разворачиваются антивирусные программы-агенты. Каждый из них непосредственно отвечает за защиту компьютера, на котором находится, а также за сбор данных, мониторинг состояния, отчеты. Все обновления и настройки антивирусные агенты получают с антивирусного сервера – компьютера с центральным модулем (см. рис.).
Подобные решения называют корпоративным антивирусом, или Enterprise системами антивирусной защиты. По такой схеме работает большинство современных систем антивирусной защиты уровня предприятия. К плюсам можно отнести быстроту внедрения данного решения. Достаточно приобрести антивирусное ПО, установить серверную часть и посредством антивирусной консоли управления «разбросать» агентов по объектам мониторинга.
Несмотря на несомненные достоинства, решение имеет ряд врожденных недостатков, а именно:
· В данном случае вирус может быть распознан только после того, как проник в систему. Действительно, большинство антивирусных агентов «ловит» вирус только после начала активности, когда тот начинает предпринимать какие-либо попытки проявить свою сущность. Даже самые продвинутые антивирусные мониторы, как правило, могут засечь вирус, когда он успел куда-то попасть – например, в кэш веб-браузера или в почтовую базу e-mail-клиента.
· Централизация антивирусных продуктов довольно часто приводит к тому, что при сбоях самого антивирусного модуля вся локальная сеть остается без защиты. Оставшиеся без антивирусного обновления компьютеры за время устранения неисправности могут получить заражение несколькими различными вирусами и вирусоподобными программами, последствия действий которых придется устранять долгое время.
· В сети присутствует большое количество объектов, нуждающихся в антивирусном контроле – серверы, рабочие станции, мобильные устройства.
· От технических специалистов требуется постоянно отслеживать появление новых вирусов и проверять их наличие у себя в системе.
Конечно, с появлением антивирусных систем уровня предприятия появилась возможность получать оперативные отчеты. При этом работа рядового системного администратора несколько упростилась. Но необходимость следить за большим количеством объектов, которые могут быть подвержены заражению, осталась.
Имеется два основных направления усиления защиты:
- увеличение степеней защиты;
- уменьшение числа объектов, которые могут быть подвержены заражению.
При этом обычная схема защиты сети от вредоносного ПО при помощи корпоративного антивируса продолжает применяться вместе с новыми решениями.
1. Вводим дополнительную степень защиты
Основной принцип работы данного метода – вводим дополнительную степень защиты. Главный недостаток антивируса, установленного непосредственно на защищаемый объект, – обнаружение вирусной опасности «по факту появления», то есть когда вредоносное ПО тем или иным способом уже попало на охраняемый объект. При наличии соответствующих настроек, если антивирус сможет обнаружить вредоносное ПО, он будет пытаться его обезвредить или заблокировать. Но проблема в том, что большая часть таких вирусов индивидуальна, а посему и неизвестна антивирусным продуктам. Поэтому необходимо решить вопрос о внесении изменений в саму структуру сети, чтобы вредоносное ПО отсекалось до проникновения внутрь локальной сети. То есть ввести защиту периметра сети.
Существует два основных источника заражения: Интернет (включая FTP и электронную почту) и съемные носители. Несмотря на то что в большинстве компаний служба безопасности косо смотрит и на бесконтрольный доступ в Интернет, оградить современного пользователя от доступа к интернет-ресурсам крайне затруднительно, а если речь идет об электронной почте – то и вовсе нереально. Что же касается использования сменных носителей, то здесь ситуация аналогична, как и в случае с доступом в Интернет: существует ряд пользователей, которым необходимо пользоваться съемными носителями по долгу службы (например, отдел рекламы, бухгалтерия при сдаче отчетности в Пенсионный фонд и т.д.). Есть пользователи, жаждущие поработать вне офиса. Как правило, большинство руководителей российских компаний поощряют переработки (особенно если это не оплачивается), поэтому необходимо предусмотреть вариант, когда пользователи уносят файлы домой и работают с ними на домашних компьютерах.
Для распознавания и защиты от угрозы заражения через Интернет используется антивирусный интернет-шлюз (см. рис.). На выделенном сервере установлены: прокси-сервер с дополнительным модулем для проверки HTTP-трафика, frox для проверки FTP и почтовый релей c антиспам-защитой для защиты корпоративной почты. Данное решение будет бесполезным, если оставить для пользователей возможность выхода в Интернет напрямую через NAT, минуя антивирусную защиту.
Подобное решение способно фильтровать от 80 до 95% вирусного трафика. Корпоративному антивирусу остается «позаботиться» об оставшихся вирусах, сумевших проникнуть через антивирусный шлюз.
Принцип защиты от проникновения вирусов через съемные носители очень простой. Пользователи вставляют свои флэшки, USB-диски, DVD-диски и т.д. в проверочный компьютер и запускают соответствующий скрипт, который проверяет на вирусы и перемещает содержимое их носителя в каталог на диске, являющийся общим ресурсом Samba-сервера. После чего пользователи могут извлечь носитель и получить доступ к своим файлам по сети.
Для удобства пользователей таких проверочных компьютеров может быть несколько. При этом необходимо отключить USB-порты на рабочих станциях. В противном случае все усилия могут оказаться напрасными.
2. Организация системы резервного копирования
Система резервного копирования (или, как ее еще называют, бэкап-система) является последней надеждой в случае, если вирус сумеет нанести серьезные повреждения – например, уничтожит дисковый раздел или удалит данные. Кроме того, при серьезном заражении иногда имеет смысл не лечить систему, а просто восстановить из резервной копии.
Помимо резервного копирования данных настоятельно рекомендуется делать полный снимок образа серверов и критически важных компьютеров, хотя бы системных разделов. Иногда гораздо быстрее и правильнее откатиться из резервной копии, чем длительное время пытаться вылечить зараженный сервер.
После внедрения грамотно спланированной системы резервного копирования можно быть уверенным в том, что даже в результате серьезных повреждений мы сможем восстановить как данные, так и систему.
Дата добавления: 2020-06-09; просмотров: 768;