Угрозы в корпоративном секторе меняются практически ежедневно, если не ежеминутно. Соответственно, меняется и вредоносное ПО. Для того чтобы успевать противодействовать, антивирусам тоже приходится меняться. Причем так же быстро, обрастая новыми, ранее не свойственными им функциями.
Не так давно, всего несколько лет назад, нас всех удивило появление облачной поддержки в антивирусах. Оно было вызвано резко возросшим темпом появления новых вирусных угроз. Соответственно время реагирования на новые угрозы упало с нескольких десятков минут до нескольких десятков секунд. Многие корпорации, боясь утечки данных, запретили использование подобных технологий. Я не берусь судить, насколько это оправдано (с моей точки зрения не оправдано совсем), но есть как есть. Ответом стало размещение облачного сервиса прямо в сети предприятия, т. е. антивирусное облако сегодня можно разместить внутри корпоративной сети и уж точно никакие данные сеть не покинут. При размещении сервера внутри сети данные (и даже хеши исполняемых файлов) сеть не покидают, обновляется база вредоносных хешей внутри корпоративной сети.
Следующим изменением в антивирусах стал контроль приложений, в котором на мой взгляд нужно выделять следующие технологии:
• Реестр программ — предоставляет информацию об установленных на клиентских компьютерах приложениях.
• Управление лицензиями — позволяет отслеживать лицензионные нарушения использования программ в корпоративной сети, а именно превышение допустимого количества лицензий и срок действия лицензии для произвольных приложений.
• Контроль запуска приложений.
Рассмотрим эти технологии немного подробнее.
Основная цель реестра программ — предоставить информацию об установленных в сети приложениях. Используя эту информацию, можно понять, на каких компьютерах установлено то или иное приложение. Сегодня в больших сетях, увы, часто можно наблюдать зоопарк из установленных версий того или иного ПО. А как быть, если необходимо чтобы все версии были строго последними и строго одинаковыми? Искать и обновлять вручную? А если у вас несколько тысяч ПК?
Кроме того, реестр программ очень удобно использовать для отслеживания появления на компьютерах пользователей запрещенного ПО. А вот тут уже вылезает проблема. Кто определяет, какое ПО является разрешенным? Подразделение ИТ? ИБ? На самом деле в компании согласно существующего плана развития должен существовать еще и документ, определяющий, какое ПО, для каких целей, в каких подразделениях и на каких ПК должно находиться. Исходя из этого формируется план закупки лицензионного ПО. И формируют его отнюдь не ИТ и ИБ, а сами бизнес-подразделения. ИТ сможет выбрать наиболее подходящее ПО, версии, производителя, установить и настроить ПО, но не указать, для чего и кому конкретно оно нужно и для каких целей! Отследить потом лицензионную чистоту, установить и обслуживать на определенных ПК — безусловно, но не определять политику компании в отношении бизнес-ПО!
Увы, но если пользователи не могут сами установить себе то или иное ПО, где гарантия, что кто-то из них не сумеет договориться с тем, кто может это сделать? Человек слаб! А имея гарантии того, что такое «левое» ПО не смогут запустить, зачем устанавливать?
Анализу подвергаются две ветви реестра:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
И вот тут вылезает следующая технология — «белый список».
Фактически «белый список» определяет список приложений, разрешенных к выполнению. Да, чтобы составить его придется немного понервничать и попотеть, но затем вы получаете список доверенных приложений и проблемы вирусной безопасности вам фактически уже не интересны. Однако стоит понимать, что и в этом случае участвовать в создании, а главное, планомерном обновлении должны бизнес-подразделения!
Еще одной важной проблемой является учет аппаратного обеспечения. Он всегда требовал от ИТ много ручного труда. Да и, будем откровенны, вы всегда можете доверять вашему ИТ-отделу? Неужели вы никогда не сталкивались с завышенными требованиями к аппаратному обеспечению?
Получить же такой реестр автоматически, более того, иметь его в любой момент времени, собранный автоматически и видеть возможные узкие места — на мой взгляд, просто мечта. А почему не применить для этого антивирусное ПО? Ведь антивирус есть на любом ПК! Значит и собрать данные можно намного быстрее. А значит сэкономить деньги при закупке оборудования. Кроме того, таким способом можно решить еще одну задачу безопасности — отследить чужое устройство в вашей корпоративной сети.
Как видите, таким образом антивирусное ПО будет помогать вам решать вроде как совершенно не свойственные ему бизнес-задачи и экономить ваши деньги. Правда для этого и вашим бизнес-подразделениям придется кое-чему поучиться.
Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.