1. Обозначения, сокращения и термины
4. Схема работы на корпоративном уровене
5. Схема работы на уровне Интернет-провайдеров (ISP)
6. Обеспечение достоверности индекса антивирусной защиты
1. Обозначения, сокращения и термины
|
Для использования подобного корпоративного сервиса (уровень Интернет сервис провайдеров рассмотрим ниже) будем рассматривать корпоративную сеть, защищенную Enterprise антивирусом – т.е. на всех защищаемых объектах сети установлены антивирусные продукты одного производителя.
Стандартная защищенная КИС представляет собой:
Данный сервис, назовем его Динамическая Эшелонированная Антивирусная Защита, предлагает снижение нагрузки с антивирусного программного обеспечения, за счет контроля антивирусом, источников (здесь и далее под источником будем понимать участника корпоративной сети (р/с, сервер, почтовый сервер и т.д.), от которого получен объект (файл) который необходимо проверить на наличие вирусов) получения данных. То есть предлагается не проверять, данные, которые получены от защищенных источников (ими уже проверены), если антивирусная защита этих источников не ниже локальной.
3. Индекс антивирусной защиты
При сравнении уровня антивирусной защиты разных источников предполагается вычислять некий «Индекс антивирусной защиты» источника. Это можно выполнять разными способами, например, весовой или абсолютный (описание приведено ниже). Важно что бы при сравнении индексов можно было четко установить, какой из источников имеет более адекватную (или равную между собой) защиту.
3.1. Весовой Индекс антивирусной защитыДля формирования индекса выбирается несколько параметров антивируса, которым присваиваются определенные веса в зависимости от их состояния, например, будем использовать следующие параметры:
Далее каждому параметру присваиваем свой вес, из расчета:
После этого все веса суммируются, и получаем индекс антивирусной защиты, который характеризует защищенность источника (степень доверия данным, полученным от этого источника, которые были проверенны установленным на нем антивирусом).
В результате максимальное значение индекса 400 – соответствует наиболее актуальной антивирусной защите (Включен сканер реального времени, дата последнего обновления антивирусной БД в пределах часа, дата последнего обновления сканирующего ядра в пределах суток). Считаем, достаточным для сравнения антивирусной защищенности, ограничить индекс снизу значением в -400.
Что характерно для предложенной схемы вычисления индекса антивирусной защиты – возможность сравнивать защищенность участников корпоративной сети, на которых установлены антивирусы от различных производителей (конечно, это возможно лишь при одинаковой эффективности антивирусов в единицу времени).
3.2. Абсолютный индекс антивирусной защитыПри определении индекса антивирусной защиты можно использовать и абсолютные величины – конкретная версия антивирусной БД, версия сканирующего ядра и состояние сканера реального времени (включен/выключен) антивируса, осуществляющего проверку данных источника.
При использовании данного метода можно точно определить актуальность антивирусной защиты источника, но только при условии использования антивирусов от одного производителя.
4. Схема работы на корпоративном уровене
Основная цель данного сервиса снизить нагрузку с антивирусов, установленных на:
При работе пользователей с корпоративными файловыми серверами, корпоративной электронной почтой и сетью Интернет, снижается нагрузка на пользовательский антивирус, но при этом мы не отказываемся от эшелонированности (несколько уровней) защиты. Например, при снижении индекса защищенности антивируса на уровне межсетевого экрана, у пользователя автоматически включится проверка всех данных, получаемых из Интернета (проходящих проверку антивирусом, обеспечивающим уровень защиты ниже, чем у антивируса, установленного на р/с пользователя).
Функционально это может происходить следующим образом:
Использование данной технологии для кластерных решений, существенно снижает нагрузку на сервера при репликации данных между ними. В высокой степени эффективно при организации защиты, например, кластеров IBM Lotus Domino, где применяется технология репликации данных.
4.3. Корпоративная почтовая системаПри использовании антивирусной защиты на уровне почтового сервера и шлюза Интернет с контролем smtp трафика, по выше описанной схеме, есть возможность достаточно сильно уменьшить нагрузку на сам почтовый сервер и частично на шлюз Интернета (если на нем контролируется исходящий smtp трафик).
Исследование почтового трафика в организации
Далее в качестве примера представлены результаты исследования почтового трафика в организации, состоящей из ~800 человек (пользователи электронной почтой), которое проводилось по реальным данным в период с октября по ноябрь 2005 года:
Таблица 1: Состав и характеристики почтового трафика в организации
|
Итого, без учета СПАМа (он отсеивается до антивирусной проверки), объем передаваемой (и проверяемой антивирусами предприятия) почты в сутки в расчете на одного человека ~ 35 писем, общим объемом ~ 4 Mb.
Суммарно в организации из 800 человек объем передаваемой почты через почтовый сервер равен 3000-3500 Mb/день. Внутренняя почта составляет от 30% до 40% общего почтового трафика.
По данным собранной статистики – за время работы (в течение суток) существует 3 пика активности (длительностью примерно 1 час) в почтовой системе. В течении этих пиков передается примерно 20% суточного трафика – это составляет для исследуемой организации 600 - 700 Mb/час, причем нагрузка эта неравномерна и может достигать в пике 100 - 150 Mb/мин.
Опять же, при использовании кластерных почтовых решений, выгода данного сервиса практически очевидна.
4.4. Терминальные решенияК сожалению ни у одного из антивирусных производителей нет адекватного решения для терминальных серверов с достаточно большой нагрузкой. Изначальное включение описанного сервиса позволит значительно снизить нагрузку на терминальный сервер, при большом количестве пользователей, подключенных к нему одновременно.
5. Схема работы на уровне Интернет-провайдеров (ISP)
Безусловно, предоставление антивирусного сервиса самим провайдером, не гарантирует полной защищенности корпоративной сети предприятия, использующего данный сервис. Это обусловлено тем, что есть различные точки проникновения вирусов в корпоративную сеть. Вследствие этого, корпоративные антивирусы будут существовать всегда, но вот применение сервиса снижения нагрузки для предприятий, способно гарантировать и надежность, и быстродействие корпоративных сервисов.
Функционально это может происходить следующим образом:
Это можно использовать для разработки специального комплексного продукта для ISP.
6. Обеспечение достоверности индекса антивирусной защиты
В первую очередь, при организации передачи информации об антивирусной защите источника, необходимо обеспечить достоверность этих данных. Самый простой способ обеспечить доверенность передаваемого индекса антивирусной защиты – криптографически подписать данные. Для этого у источника должна быть возможность сформировать цифровую подпись (ЦП), а у получателя проверить ее. Технически – это можно организовать следующими способами:
Далее на полученных ключах источник криптографически подписывает индекс антивирусной защиты – формирование хэша с тех данных, которые необходимо передать (индекс антивирусной защиты) и зашифрование полученного хэша (получение ЦП). ЦП передается вместе с индексом антивирусной защиты. Получатель осуществляет формирование хэша с полученного индекса и расшифрование переданного хэша, а затем их сравнение. Если все процедуры прошли успешно, это означает, что индекс антивирусной защиты передан именно от нашего источника и не был фальсифицирован в пути.
7. Выводы
Для антивирусной компании, реализация данного сервиса в своих продуктах, безусловно, повысит привлекательность антивирусных решений на их основе. Не раз на конференциях безопасности (например InfoSecurity Moscow 2005) высказывались идеи о необходимости снижения нагрузки на участников корпоративной сети (в связи с тем, что они дублируют друг-друга и при нормальной работе антивирусной системы, нагрузка излишня), но к сожалению они оставались без продолжения …
Используя метод динамической эшелонированной защиты предприятия, конечный потребитель данного сервиса снижает нагрузку на участниках корпоративной сети, но не отказывается от самой эшелонированной защиты, которая активируется при возникновении проблем в каком-либо из эшелонов защиты. Данный сервис сочетает в себе и минимизацию нагрузки, и отказоустойчивость антивирусной защиты.
Разработчики сервиса: Николай Терещенко, Сергей Ильин
Концепция разработана в рамках проекта Anti-Malware.ru
06.04.2006
Если вы по какой-либо причине не согласны с мнением автора, изложенным в этом материале, вы можете написать ему об этом лично и/или выразить свои замечания и собственное мнение по рассматриваемому здесь вопросу на нашем форуме.
При использовании материалов с данного сайта ссылка на источник обязательна!