Антивирус - не защита, а гигиена: политика после года червей
Почему одной коробки с антивирусом мало и как мы связали обновления, антивирус и права пользователей в рабочий регламент.
после года червей антивирус и обновления становятся обязательным процессом, а не опцией
После Blaster в августе мы не раз сталкивались с одним и тем же разговором. Заказчик говорит: «У нас антивирус стоит, всё защищено». А потом оказывается, что базы обновлялись последний раз полгода назад, пользователи работают администраторами, и обновления Windows ждут «удобного момента». Антивирус есть, а защиты нет.
Это не про то, что антивирус бесполезен. Он полезен. Просто он - один слой из нескольких, и не первый по важности.
Чего антивирус не умеет делать. Он ловит то, что знает. База сигнатур - это список известных угроз. Новый червь проходит насквозь, пока вендор его не опознал и не выпустил обновление. Blaster, который мы видели в августе, шёл не через файлы - он бил по сетевой службе напрямую, и антивирус на заражённых машинах просто молчал, потому что в его картотеке ничего не было. Добавьте к этому случай с Sobig летом и Swen в сентябре - почтовые черви, которые несколько дней шли через новые адреса отправки и менялись достаточно быстро, чтобы базы не успевали. Инструмент работает ровно до края своей осведомлённости.
Из этого следует простой вывод: антивирус - это не замок на двери, а умывальник. Необходим, но не заменяет ни замка, ни двери.
Что мы в итоге свели в рабочий регламент по тем сетям, которые держим на сопровождении.
Первое - обновления системы и антивируса идут вместе, по расписанию. Не «когда вспомним», а конкретный день недели. Критичные патчи безопасности - в ближайшее окно обслуживания, но через тестовую машину. Антивирусные базы - ежедневно, автоматически, и мы видим, что это происходит, а не верим на слово. Разделять эти два потока нет смысла: оба отвечают за актуальность защиты, оба требуют одного и того же дисциплинированного отношения.
Второе - пользователи не работают администраторами. Это больнее всего даётся в переговорах, потому что люди привыкли. Особенно бухгалтерия и директора - у них исторически «максимальные права, чтоб ничего не мешало работать». Но именно расширенные права определяют, насколько глубоко зараза укореняется, если пользователь всё-таки запустил не то. С правами обычного пользователя вредоносный код в большинстве случаев не может прописаться в систему, не может залезть в автозагрузку, не может переписать системные файлы. Ущерб остаётся в рамках профиля. Это не панацея, но порядок меняет картину заметно.
Третье - почтовые вложения. Sobig и вся осенняя волна шли через письма с исполняемыми вложениями. Exe, scr, pif, com - в корпоративной почте этому нечего делать. Блокируем на уровне почтового сервера или шлюза, не доверяем это антивирусу на рабочей станции как единственному рубежу. Отдельно - макросы в Word и Excel: по умолчанию выключены, включают только там, где без них работа реально не идёт.
Четвёртое - видимость. Антивирус должен где-то отчитываться, а не просто тихо жить на машинах. Хоть раз в неделю смотреть: все ли базы свежие, есть ли машины, которые давно не обновлялись или не выходили на сервер. У кого нет центральной консоли - можно обойтись скриптом, который собирает дату последнего обновления с машин в сети. Некрасиво, но работает.
Всё это выглядит как список банальностей. Проблема в том, что банальности часто не выполняются - не потому что сложно, а потому что нет привычки и нет ответственного. Когда мы смотрим инфраструктуру на входе, картина обычно такая: антивирус куплен и установлен, это видно, а дальше начинается разнобой. На одних машинах базы свежие, на других - трёхмесячные. Половина пользователей - локальные администраторы. Обновления ОС - кто во что горазд.
Регламент не решает всё. Есть угрозы, против которых он не поможет - например, если атака целенаправленная и использует неизвестную дыру. Но основная масса того, что мы видим в офисных сетях, - это не целенаправленные атаки. Это черви и почтовая зараза, которые гуляют по сети в поисках незакрытых дверей. Регламент убирает большинство этих дверей без особых затрат.
Хватает ли этого? На сегодня - достаточно для того, чтобы спать спокойнее. Полностью - нет, но это честный ответ, не отмазка.
- Червь Blaster и патчи, которые ставили «когда-нибудь» · 18 августа 2003