Thursday, December 19, 2013

Эшелонированная оборона

Издавна нас учили, что безопасность должна быть эшелонированной, т.е. чтобы добраться до корпоративных секретов, злоумышленнику надо сначала найти дуб в лесу из 108426062525234 деревьев, разглядеть там сундук, достать его, открыть, поймать вылетевшую утку, достать из нее яйцо, которое затем надо суметь разбить, а иголку из этого яйца также надо успешно сломать.
Требование эшелонированности как-то преобразовалось, и даже попало в некоторые отечественные рекомендации по ИБ (см. п. 7.5.5), в необходимость использования подряд нескольких антивирусов разных производителей.
За годы наблюдения различных вирусных атак и попыток борьбы с ними, могу с уверенностью сказать следующее:
1. Чисто антивирусы, как класс, мертвы. Обход антивируса - вполне решаемая задача.
2. Решения, занимающие лидирующие позиции, технологически примерно одинаковы. Поэтому заменять один антивирус на другой из соображений качества обнаружения смысла никакого. Это про движок.
3. Практически любой зловред в течение одного дня попадает ко всем вендорам в базу, поэтому базы также у всех примерно одинаковы.
4. .....
Поэтому ставить последовательно несколько антивирусов подряд смысла большого нет.

Так что же делать? Как же обеспечить эшелонированность? 
В современных условиях эшелонированность должна достигаться не за счет использования однотипных решений от разных производителей, а за счет использования различных технологий защиты. При этом мультивендорность или моновендорность на качество влияет весьма посредственно. Т.е. наряду с простым антивирусом на хосте имеет смысл рассмотреть возможность использования IPS, систем контроля целостности и контроля приложений, систем с модным названием DLP, в сети имеет смысл использовать IPS/IDS и системы профилирования трафика и анализа поведения, на шлюзах - системы фильтрации по различным признакам, безусловно, надо собирать все логи и успешно их анализировать. Использование разных технологий значительно повысит вероятность выявления и эффективной форенсики.

При этом надо помнить, что моновендорность имеет ощутимое преимущество перед мультивендорностью - это тупо дешевле.

1 comment:

pushkinist said...

ну вот если обратиться к той ссылке на рекомендации цб, то там суть не в том что надо поставить пять антивирусов в ряд, через который будет поток информации прогоняться. там же про то что на разных элементах инфраструктуры можно было бы ставить разных вендоров. в жизни примерно так и получается. допустим есть у вас какая-нибудь модная железка от циски, там будет кламав например. есть например эксчейндж, там уже из коробки штук 6 движков поддерживаются, либо можно доставлять (как сам микрософт рекомендует), есть например куку сэндбокс куда вы шлете сэмплы, оно их будет прогонять через вирустотал, где туча движков, есть какой-нить снорт со своими малварными сигнатурами, на десктопах например у вас один вендор (пусть каспер), но при расследованиях вы сканите куреитом например. имхо это и есть пример выполнения подобных рекомендаций, который и будет являться эшелонированной защитой. и это выглядит куда разумней, чем например купить у того же каспера десктопный антивирус, коробку с контентной фильтрацией, почтовый антивирус и при расследованиях каспером же и прогонять проверки.
не? :)