Jak vybrat a implementovat podnikový antimalware

3. 6. 2011

Sdílet

Zvažte více skenovacích enginů. Žádný skenovací engine není dokonalý. Proto někteří dodavatelé (například Microsoft nebo Symantec) začínají používat více skenovacích enginů ke zvýšení šance zachycení malwaru.

Antivirový software je na světě téměř stejně dlouho jako viry. Díky neustále rostoucí různorodosti hrozeb v počítačovém prostředí je to však rychle se měnící trh.

V oblasti řešení pro ochranu před škodlivým kódem probíhají dva hlavní trendy:

1. Posun mimo rámec ochrany založené na signaturách. Množství malwaru neustále roste a mutuje, což způsobuje nemožnost identifikace a ochrany vůči jednotlivým hrozbám pomocí signatur.

Kromě signatur nyní používají dodavatelé další techniky, jako je řízení aplikací (také označované jako whitelist), které dovolí spuštění pouze prověřeného kódu, a systémy HIPS (Host Intrusion Protection Systems -- systémy ochrany před narušením hostitele), také nazývané jako heuristika, které monitorují chování kódu. Pokud se chování liší od normálu, považuje ho systém HIPS za podezřelé nebo záškodnické a nedovolí spuštění. Systém HIPS pracuje v režimu před spouštěním, v režimu reálného času, nebo v obou režimech.

2. Rozšířené funkce. Mnoho velkých dodavatelů antivirového softwaru rozšířilo své samostatné nástroje a vytvořilo sady, které nejen chrání vůči malwaru, ale chrání také proti hackerům a ztrátě dat.

„Hlavním trendem je, že bezpečnostní software u klienta tloustne a je obdařen více funkcemi," uvádí John Oltsik, analytik skupiny ESG (Enterprise Strategy Group). „Zejména software jako antiviry, antispyware a firewall se slučuje s provozem na straně klienta, ochranou proti ztrátě dat a šifrováním celého disku," dodává Oltsik. „Další funkcí, která je běžně nabízena, je řízení přístupu k síti," dodává Natalie Lambertová, analytička společnosti Forrester Research. „Tyto nástroje řídí přístup klienta k sítím na základě shody se zásadami," vysvětluje.

V některých případech dodavatelé také slučují zabezpečení s provozní funkčností, jako je správa oprav a konfigurací, provisioning a zálohování klientů. „Velcí dodavatelé budou prodávat zabezpečení samostatně, ale přesvědčují zákazníky, že by měli vše spravovat dohromady jako jednu oblast," tvrdí Oltsik. Bude to pomalý vzestup, dodává. „V tuto chvíli mají produkty a technologie náskok dva roky před tím, jak uvažují IT oddělení ," vysvětluje Oltsik.

 

Co dělat a co ne

Zvažte výhodnost sad. Podle Lambertové je hlavní rozdíl u antivirových produktů v tom, co dodavatelé do svých sad zabezpečení klientů dávají. Protože uživatelé čelí problémům počínaje záškodnickým kódem a konče ztrátou dat a nezabezpečeností počítačů připojených do korporátní sítě, vzrůstá snaha vše vyřešit komplexním způsobem a nikoli použitím jednotlivých produktů. „Každý produkt, který nainstalujete do počítače, ho trochu zpomalí, přidá další konzolu, kterou musíte spravovat a přidá další licenci, kterou je nutné platit" prohlašuje Lambertová. „Proč několikrát dělat totéž, když můžete získat levnější produkt s více funkcemi od jednoho dodavatele?"

Ředitel zabezpečení informací u velkého výrobce balených potravin souhlasí. Podle něho byla jejich společnost schopna snížit počet spravovaných bezpečnostních produktů, protože firma Trend Micro přidala do svého softwaru vlastnosti a funkce, jako je správa klientského firewallu a či schopnost odstranění spywaru. Zatímco dříve jejich organizace používala pět až šest konzolí ke správě bezpečnostních produktů, nyní používá jen dvě.

Michael Bell, síťový inženýr v marketingové společnosti CMS Direct, oceňuje skutečnost, že jím favorizovaný produkt Sophos obsahuje mnoho vrstev zabezpečení v jednom balení. Ve skutečnosti se těší, až Sophos integruje také klientský firewall, který je podle něj zatím nabízen jen jako separátní modul.

Neakceptujte slabý výkon. Antivirový software je proslulý žrout prostředků, ale někteří dodavatelé se opravdu snaží o špičkový výkon. Podle Bella například firma Sophos používá techniky, jako je indexování, ke snížení náročnosti prováděných kontrol.

Robert Amos, manažer systémů infrastruktury ve firmě NuStar Energy, také vidí zlepšení výkonu vůči svému dřívějšímu systému, když nyní používá produkt Microsoft Forefront. Podle něj mělo mnoho jím používaných antivirových produktů velké problémy s výkonem, ale produkt Microsoftu provádí kontroly každých šest hodin a Amos uvádí, že si toho někdy ani nevšimne.

Prověřte možnosti seznamů typu whitelist. Whitelisty a řízení aplikací je nově vznikající funkčnost, která podle Lambertové převyšuje HIPS, protože zabrání spuštění malwaru v počítačích namísto pouhého sledování činnosti. Při použití whitelistů správci udržují seznam aplikací povolených v daném prostředí a zakazují spuštění neschváleného softwaru.

Podle Oltsika je s whitelisty problém ve světě Webu 2.0, kdy uživatelé často stahují nový software, ať už pro zvýšení vlastní produktivity, nebo pro osobní účely. Může to podle něho dobře fungovat na pracovišti s pevně daným zaměřením, jako je například zadávání objednávek nebo centrum podpory, ale v případě komunikace uživatelů s vnějšími partnery nebo s marketingovými pracovníky provádějícími průzkum „budou vznikat nekončící telefonáty od uživatelů, kteří se něco pokusí stáhnout a nebudou úspěšní," vysvětluje. „Otázkou je, jak tvrdí chcete být při vynucování pravidel," dodává Oltsik.

Proveďte průzkum dalších nově vznikajících nástrojů zabezpečení klientů. Kromě whitelistů existují podle Lambertové čtyři další nově koncipované nástroje, které by měly být zohledněny při ochraně klientských počítačů, protože řeší komplexnější hrozby.

Jsou mezi nimi kontrola nad zařízeními, jenž umožňuje správcům vytvářet zásady ohledně povolení, ke kterým zařízením může počítač přistupovat, dále sem patří šifrování celého disku, které zajistí zakódování úložného systému při vypnutém počítači, šifrování souborů (to chrání jednotlivé soubory při jejich uložení do definovaných lokalit), a také prevence před únikem dat, která provádí monitoring a vynucuje zásady práce s daty. Obvykle do těchto nástrojů investuje zhruba třetina organizací, ale manažeři zabezpečení by s nimi měli začít experimentovat.

Nevzdávejte použití systému HIPS. „Přestože řešení HIPS stále nejsou úplně vyzrálá a mají vysokou četnost falešných detekcí, mělo by být jejich použití kombinováno s antimalwarovými řešeními," tvrdí Lambertová. Dokáže si představit, že řízení aplikací jednou možná nahradí systémy HIPS, ale ty podle ní budou stále užitečné při ochraně počítačů vůči problémům, jako je přetečení zásobníku.

Třeba firma Sophos nabízí funkce HIPS jako součást svého skenovacího enginu. Používá je k blokování stahování potenciálně nežádoucích aplikací, jako je adware. Namísto automatického blokování programů s podezřelým chováním systém umožňuje použít upozornění a poté aplikovat funkce centralizované správy zásad k autorizaci použití označeného softwaru nebo k jeho blokování.

Zvažte použití služeb reputace. V rámci své práce týkající se náhrady řady nástrojů ve svém prostředí pomocí funkcí nabízených firmou Trend Micro testovala společnost dodávající balené potraviny funkci reputační služby, aby zjistila, zda pomocí ní může nahradit stávající nástroj pro filtrování adres URL. Tyto služby pracují tak, že zkontrolují každou webovou adresu, kterou se pokusí uživatelé zobrazit, a blokují přístup k takovým, které jsou nalezeny v seznamu známých záškodnických webů.

Vyhodnoťte snadnost použití. Nikdo nemá přebytečný personál, který by se mohl zabývat zabezpečením, takže snadnost použití je velmi důležitá. Proto dodavatelé věnují více pozornosti informačním panelům a snadnějšímu reportování, správě a nasazení.

Bell je zaujat centrální správou produktu a přehledným informačním panelem, protože může snadno zjistit, když klienti nesplňují potřebné vlastnosti. Bell uvádí, že funkci informačního panelu u předchozího produktu nepoužíval, protože nebyl srozumitelný a klienti někdy hlásili, že jejich upgrady byly 30 dní po expiraci. „Během pěti minut můžete zajistit, že všichni mají aktualizace," dodává.

Podobně i ředitel ve firmě vyrábějící potraviny prohlašuje, že moduly pokročilého reportingu usnadnily práci s reportováním starším manažerům pro zabezpečení sítě. Dříve vyžadovalo reportování ruční kompilaci více reportů. Nyní je reportování automatizované a zasílané do intranetu.

Zvažte více skenovacích enginů. Žádný skenovací engine není dokonalý. Proto někteří dodavatelé (například Microsoft nebo Symantec) začínají používat více skenovacích enginů ke zvýšení šance zachycení malwaru. „Různé enginy mají rozličná slepá místa," vysvětluje Dan Blum, analytik ze společnosti Burton Group.

„Více skenovacích enginů v produktu Forefront lze přirovnat k situaci, kdy byste si vybrali dvě různé firmy pro jejich schopnosti skenování a oba jejich produkty byste nainstalovali do jednoho počítače," tvrdí Amos. „I když je jeden o trochu slabší při detekci malwaru než druhý, stále máte dvojitou ochranu," vysvětluje. Plánuje nasadit čtyři různé agenty pro skenování.

Zvažte SaaS (software poskytovaný jako služba). Stejně jako v ostatních oblastech produktů nabízí mnoho dodavatelů některé antivirové funkce jako službu, například antimalware, reputační služby, aktualizace a reporting signatur. To může být ekonomičtější a ačkoli velké podniky mohou stále realizovat většinu funkcí interními prostředky, mohli by podle Bluma uživatelé adoptovat hybridní model, při kterém by používali vlastní systémy pro centralizované zaměstnance, ale SaaS pro uživatele na pobočkách.

V některých případech dodavatelé používají hybridní software a model služeb k nabízení dalších nebo lepších schopností, jako jsou vícenásobné skenovací enginy nebo reputační databáze. „Je to cesta k poskytování něčeho mnohem lepšího, než můžete dát na jedno CD," tvrdí Blum.

Používejte strategii útoku nultého dne. Hlavní slabinou současných systémů je ochrana proti útokům nultého dne. „Když se obvyklý balík utká s novým typem malwaru, který dříve nebyl znám, existuje velmi vysoké procento selhání -- až 50 procent," tvrdí Blum.

Společnost dodávající balené potraviny se s tímto problémem vyrovnávala pomocí strategie zamykání desktopů. Firma vycházela z předpokladu, že většina malwaru se pokouší zapisovat do registru, systémové složky a kořenového adresáře disku, takže nakonfigurovala své desktopy tak, aby takové chování nedovolovaly.

Nezapomeňte na schopnosti odstranit malware. Jedna věc je vir zjistit a zcela jiná odstranit jeho následky. Významným důvodem, proč Bell vybral firmu Sophos bylo to, že v letech, kdy používal jiné systémy, jako jsou Trend Micro, McAfee a Symantec, Sophos obvykle nabízel nástroje k odstranění virů dříve než ostatní dodavatelé. Ve skutečnosti poté, co byli v minulých dvou letech dvakrát infikováni virem, který skrze firemní počítače rozesílal spam, použil nástroje od Sophosu k jeho odstranění. „Tato ochrana se pro naši firmu stala významným rozhodovacím faktorem k přechodu," vysvětluje. „Náš tehdejší systém vir vůbec nerozpoznal," dodává.

Podobně i Amos považuje schopnosti Forefrontu v oblasti čištění a odstraňování lepší než u jejich dřívějšího systému. „Oznámil nakažení, ale nebyl schopen provést vyčištění, protože byl infikován otevřený soubor nebo systémový soubor, se kterým nemohl pracovat," popisuje. Bylo nutné, aby správce spustil počítač v bezpečnostním režimu a ručně odstranil záznamy v registru nebo smazal soubory. „S produktem Forefront taková práce není nutná, takže tým pro správu desktopů potřebuje o jednoho pracovníka méně," pochvaluje si.

Zvažte pečlivě náklady. S neustále expandujícími potřebami zabezpečení desktopů hledají uživatelé způsoby, jak snížit náklady. Podle Lambertové stojí klientský bezpečnostní nástroj jako například antimalware okolo 40 dolarů za jeden počítač (a až 80 dolarů u jiných nástrojů jako např. šifrování celého disku).

Jedním způsobem maximalizace úspor je získat maximální možné pokrytí jedním systémem. Potravinářská firma například zredukovala celkové náklady na vlastnictví (TCO) snížením počtu bezpečnostních konzolí, které musí spravovat.

Amos si užívá úspory 35 tisíc dolarů ročně díky použití softwaru Forefront, zejména díky změně v licenčních zásadách Microsoftu. Jeho společnost používala Forefront k ochraně serverů SharePoint a Exchange, ale zatím nezvažovala tento software při průzkumu nového antivirového řešení pro prostředí počítačů. Hlavním důvodem bylo, že prostředí počítačů a serverů byla spravována prostřednictvím oddělených infrastruktur.

Jeho hlavním důvodem hledání nového dodavatele antiviru bylo snížení nákladů na každý počítač. Každý nový produkt však vyžadoval úplnou změnu způsobu, jakým probíhal sběr signatur a reportování ve stávající infrastruktuře, a to zejména proto, že firma využívala silně distribuované prostředí se 100 lokalitami mimo podnikové ústředí.

Při debatách se přišlo na to, že v rámci podnikové licenční smlouvy může firma používat Forefront pro své pracovní stanice bez dalších poplatků. Nyní Amos využívá jeden standardizovaný nástroj k ochraně, monitoringu a reportování pro všechny systémy. „Máme malý tým a někteří zaměstnanci mají více rolí, takže čím více je funkcí v jedné aplikaci, kterou musí ovládat, tím vyšší efektivity dosáhneme," vysvětluje. Forefront je také integrovaný se službou Active Directory, která umožňuje snadnou distribuci do nových počítačů, dodává.

 

Kritéria výběru podnikového antiviru

Radí Dan Blum, analytik společnosti Burton Group

- Cena. Zjistěte si roční náklady na předplatné a další poplatky pro funkce antispywaru, čištění a systému HIPS (Host Intrusion Protection System), atd. Zeptejte se, zda může být cena sady jiná, pokud nepotřebujete všechny moduly.

- Skenovací engine. Existuje více agentů pro antivirus, antispyware, řízení aplikací atd.? Pokud ano, nezpůsobují neefektivitu správy či výkonu?

- Funkce blokování chování. Monitoruje produkt i systémová volání, aby zabránil pokusům zneužít zranitelnosti?

- Systémový firewall. Poskytuje seznamy zakázaných (blacklist) a povolených (whitelist) adres a domén?

- Řízení aplikací (seznamy povolených aplikací -- whitelist). Poskytuje aktuální a přizpůsobitelné seznamy typu whitelist a blacklist? Je engine schopen se učit?

- Čištění a oprava. Poskytuje čištění od virů, spywaru či rootkitů?

- Aktualizace klientů. Jak velké a časté jsou aktualizace signatur a dalších? Může se to lišit od jednou denně až po mnohokrát denně.

ICTS24

 

Tento článek vyšel v tištěném SecurityWorldu 3/2010.