Thursday, December 19, 2013

Эшелонированная оборона

Издавна нас учили, что безопасность должна быть эшелонированной, т.е. чтобы добраться до корпоративных секретов, злоумышленнику надо сначала найти дуб в лесу из 108426062525234 деревьев, разглядеть там сундук, достать его, открыть, поймать вылетевшую утку, достать из нее яйцо, которое затем надо суметь разбить, а иголку из этого яйца также надо успешно сломать.
Требование эшелонированности как-то преобразовалось, и даже попало в некоторые отечественные рекомендации по ИБ (см. п. 7.5.5), в необходимость использования подряд нескольких антивирусов разных производителей.
За годы наблюдения различных вирусных атак и попыток борьбы с ними, могу с уверенностью сказать следующее:
1. Чисто антивирусы, как класс, мертвы. Обход антивируса - вполне решаемая задача.
2. Решения, занимающие лидирующие позиции, технологически примерно одинаковы. Поэтому заменять один антивирус на другой из соображений качества обнаружения смысла никакого. Это про движок.
3. Практически любой зловред в течение одного дня попадает ко всем вендорам в базу, поэтому базы также у всех примерно одинаковы.
4. .....
Поэтому ставить последовательно несколько антивирусов подряд смысла большого нет.

Так что же делать? Как же обеспечить эшелонированность? 
В современных условиях эшелонированность должна достигаться не за счет использования однотипных решений от разных производителей, а за счет использования различных технологий защиты. При этом мультивендорность или моновендорность на качество влияет весьма посредственно. Т.е. наряду с простым антивирусом на хосте имеет смысл рассмотреть возможность использования IPS, систем контроля целостности и контроля приложений, систем с модным названием DLP, в сети имеет смысл использовать IPS/IDS и системы профилирования трафика и анализа поведения, на шлюзах - системы фильтрации по различным признакам, безусловно, надо собирать все логи и успешно их анализировать. Использование разных технологий значительно повысит вероятность выявления и эффективной форенсики.

При этом надо помнить, что моновендорность имеет ощутимое преимущество перед мультивендорностью - это тупо дешевле.