Поклонникам китайских пионеров
Участие в различного рода мероприятиях приводит к грустному выводу: антивирус никому не интересен. Количество посетителей вендорских стендов стремится к нулю. Дошло до того, что уже не разбираются даже знаменитые подарки от Касперского. В основном подходят, чтобы сообщить о проблемах, вопросы «что нового?» и «а как?» отходят в область легенд…И это на фоне того, что большинство (по моей статистике — примерно 19 из 20) администраторов даже не подозревает о том, что они не реализовали защиту от вредоносных программ — при полной уверенности в обратном. Пример? Да легко! Краткое содержимое статьи «CTB-Locker. Мы решили платить» (http://habrahabr.ru/post/256573):
Клиент поймал шифровальшика. Антивирус плохой, поскольку пропустил его. Нужно сменить. На самом деле это — типичная ситуация, с которой мы как вендоры сталкиваемся постоянно.В комментариях, правда, указали, что все антивирусы пропускают. Естественно, развернулась дискуссия о методах защиты. Но что предлагали ее участники? За исключением одного (всего одного! — свой комментарий я не считаю, естественно) участника дискуссии — «Единственный способ борьбы с шифровальщиками — это бэкапы». Убиться и не встать.
Не буду повторять доказательства. Материалов в интернете много, из того, что находится в пределах Хабра, — серия статей «Как поймать то, чего нет». Здесь же опишем только тезисы — и да прочитают их те, кто уверен, что антивирус нужен для защиты от пропуска.Прежде всего определимся с тем, что будем называть антивирусом. Ниже под антивирусом будем понимать программу, осуществляющую поиск вредоносных программ на основе знаний о реально существующих вредоносных программах или принципах их поведения, описанных в вирусных базах. В принципе, сюда же можно отнести поведенческий анализатор, работающий на основе знаний о работе вредоносных программ. Конечно, в современных антивирусах куда больше компонент, но обычно под антивирусом понимают именно это (и на основании этого знания отказываются от более функциональных версий, позволяющих обеспечить более качественную защиту. Увы)
Итак:
Антивирус не способен не пропустить на компьютер или в сеть вредоносные программы, которые в ходе разработки тестировались на актуальных версиях антивирусных программ. И никакие эвристики этому не помешают — их работа также учитывается при разработке вредоносных программ. Число вредоносных программ, попадающих на анализ в антивирусные лаборатории исчисляется сотнями тысяч в день. А то и миллионами. Соответственно, троян может быть уже у пользователей –, а у аналитиков до него еще не дошли руки. Случаев, когда первый пришедший на работу сотрудник ловил шифровальщика, а опоздавшие — уже нет — имеются в достаточном количестве Для защиты от пока неизвестных вредоносных программ необходимо (must be!) использовать иные подходы. В частности, ограничение программной среды, прав доступа пользователей и т. д. — вредоносная программа не должна иметь возможность запуститься, а уж если запустилась — прописаться в интересующие ее области. Документы регуляторов, действующие в нашей стране, не требуют использования именно антивируса — они оперируют понятием «Антивирусная система защиты», а это может быть не только антивирус. Таким образом, защиту компьютера и сети в целом обеспечивает не антивирус, а система антивирусной защиты — как правило, включающая в себя антивирус. Кстати, попробуйте (не читая далее) сказать, для чего же нужен антивирус, если он не обеспечивает защиты, требуемой клиентами? Антивирус перехватывает на входе не менее 60% вредоносных программ. Только антивирус может обеспечить гарантированное лечение уже запущенной вредоносной программы (естественно, после получения обновления) — это не может выполнить никакая иная система защиты. Даже форматирование не гарантирует удаление хорошо законспирировавшегося трояна. Соответственно, антивирус обязан иметь: Отличную систему поиска активных заражений и их лечения. Все остальные типы тестов антивирусов — чистой воды развод. Самозащиту, которая защитит его от поползновений вредоносных программ, пока он о них не знает Системы, гарантированно обеспечивающие доступ антивируса на зараженной станции к зонам обновления и системе управления Технологии, позволяющие снизить количество записей в ядре. Скажем, необнаружение вредоносной программы может достигаться ее шифрованием или упаковкой в неизвестный антивирусу формат. Соответственно, крайне желательны технологии поиска в неизвестных упаковщиках и зашифрованных файлах. К сожалению, большинство специалистов, отвечающих за защиту, об этом и не подозревают. Используя только антивирус, они идут путем китайских пионеров, которые, говорят, сами создавали себе проблемы, чтобы их успешно преодолевать.А сколько жалоб в духе «начальство не понимает, денег не дает»! У нас есть методологические материалы на тему того, как убедительно для бизнеса обосновать закупку. Но что, вы думаете, наиболее часто просят? Ага, «пришлите нам список вашего функционала, мы его доложим руководству». Ага. Руководство у нас поголовно разбирается в технологиях защиты.
Прошу извинить за вопль души. Но временами все это достает.
