Контакты
Подписка
МЕНЮ
Контакты
Подписка

Можно ли отказаться от антивирусной защиты на конечных точках?

Можно ли отказаться от антивирусной защиты на конечных точках?

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Можно ли отказаться от антивирусной защиты на конечных точках?

Ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах.
Михаил Чернышев
ведущий технический специалист
McAfee в России и СНГ
Подход, описанный в статье, в силу своей максимальной проактивности позволяет защищать системы и от известных и, что не менее важно, от новых (zero-day) угроз.

Начиная с 1980-х гг., когда появились антивирусы, они позиционировались как основное средство защиты компьютеров от вредоносного кода и различных хакерских атак. Основной упор делался на полноту антивирусной базы и количество уникальных сигнатур вирусов, которые она могла распознать. По мере развития рынка IT и широкого использования компьютеров во всех областях жизни количество вредоносного кода развивалось опережающими темпами, и в попытках догнать непрерывно растущее количество вирусов компании-производители антивирусного ПО предпринимали попытки либо компенсировать неполноту антивирусных баз дополнительными эвристическими анализаторами (защищенная область памяти для эмуляции кода, так называемая песочница; проприетарные эвристические алгоритмы с минимально раскрытой информацией), либо догнать вирусописателей путем бесконтрольного выпуска антивирусных обновлений. Обе тенденции имеют место и по сей день. И обе, что печально, не обеспечивают по-настоящему полной защиты.

Новые подходы

Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах, особенно из-за того, что некоторые системы по своей специфике не могут непрерывно обновляться либо из-за риска снятия с гарантии, либо из-за низкой пропускной способности сетевых каналов связи, либо в силу своей критичности для бизнеса/здоровья/государства (банкоматы, киоски, кассовые терминалы, медицинское оборудование, системы промышленной автоматики и пр.).


Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности.

Для перечисленного класса систем сейчас стало не только актуально, но и возможно произвести частичный или полный отказ от антивируса за счет обеспечения нескольких ключевых принципов:

  • контроль изменений всех системных объектов, начиная от файлов ОС и заканчивая библиотеками драйверов либо системным реестром;
  • проверка всех запускаемых кодов на соответствие исходному образу (так называемый динамический белый список). В случае запуска исполняемого кода, не принадлежащего динамическому белому списку, попытка блокируется;
  • защита памяти для разрешенного ПО с целью предотвращения возможности проникновения или заражения за счет атак переполнения буфера обмена;
  • возможность в режиме реального времени осуществить запрос глобальной базы знаний по вирусам, угрозам и уязвимостям с целью оценить степень риска от активности того или иного кода в рамках ОС.

При соблюдении данных условий на системах, на которых работа антивируса невозможна по ряду перечисленных причин, отказ от антивирусного пакета возможен без компромиссов с безопасностью.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012
Посещений: 3502

Приобрести этот номер или подписаться
  Автор

Михаил Чернышев

Михаил Чернышев

ведущий технический специалист
McAfee в России и СНГ

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций