Антивирусная отрасль, родившаяся во времена борьбы с классическими компьютерными вирусами, шагнула далеко вперед.
Сегодня антивирус — это сложный программный комплекс, в котором использовавшийся ранее сигнатурный сканер представляет собой хоть и существенный, но далеко не единственный компонент. Популярность Internet наряду с изобретательностью злоумышленников заставляют разработчиков постоянно совершенствовать антивирусные средства, добавлять к ним все новые компоненты для максимально полного обеспечения безопасности отдельных пользователей и корпоративных сетей.
Вне дома «стены» не помогут
Типичная ситуация: владелец ноутбука покидает пределы офиса. Еще несколько минут назад он был защищен не только антивирусным продуктом, установленным на ноутбуке, но и мощными корпоративными средствами обеспечения безопасности. Однако теперь его единственной защитой остается персональный клиент, поэтому весьма желательно, чтобы он объединял в себе функциональность антивируса, брандмауэра, антишпиона и спам-фильтра. Тогда периметр вашего «мобильного офиса» по-прежнему будет надежно защищен.
Среднестатистический пользователь мало заботится о защите своего компьютера, он пренебрегает даже элементарными мерами безопасности. Ему кажется, что антивирусный продукт сильно тормозит систему, и пользователь пытается всеми силами отключить антивирус, чего только и ждут злоумышленники. Перед администратором локальной сети встает далеко не тривиальный вопрос: как сохранить требуемый уровень безопасности клиента вне сети и снизить риск при его возвращении в офис?
На помощь приходит система централизованного управления антивирусной безопасностью. На все компьютеры в локальной сети, будь то настольный ПК или ноутбук, устанавливается так называемый агент администрирования (сетевой агент). Это специализированное приложение обеспечивает удаленное управление антивирусными приложениями на защищаемых устройствах. И если сетевой агент обнаруживает исчезновение соединения с «родной» сетью предприятия, он немедленно реагирует: на компьютере активизируется политика контроля над мобильными пользователями (набор параметров, определенных для данных условий работы). Другими словами, когда потребитель покидает пределы корпоративной сети, локальные компоненты защиты начинают действовать с гораздо более жесткими настройками.
Первым делом администратор может перевести антивирус в фоновый режим. Тогда пользователь будет видеть только запущенный процесс, но не сумеет выполнять какие-либо действия, связанные с отключением, удалением или изменением настроек. Активизировав самозащиту приложения, администратор может быть уверен, что ни сам пользователь, ни какое-либо вредоносное программное обеспечение не изменит системные файлы антивируса. Затем в приложении прописываются источники программных обновлений и их частота, расписание проверок компьютера и активность компонентов защиты.
Если мобильный пользователь не имеет возможности получать свежие обновления антивирусных баз, то использование проактивных технологий, основанных на анализе поведения вредоносных программ, создает дополнительное препятствие на пути их проникновения в систему. При подключении к другой сети, например Wi-Fi или офисной сети партнера по бизнесу, антивирус предлагает определить порядок обработки пакетов данных, поступающих извне. Если пользователь на свой страх и риск готов считать чужую сеть доверенной, ему разрешается любая сетевая активность (при условии, что этого не запретил администратор, определивший «мобильную» политику). Если же пользователь не слишком «доверчив», он переведет ноутбук в режим «невидимости» для внешнего окружения, и тогда на устройстве будет разрешена только та сетевая активность, инициатором которой является он сам. Система обнаружения и предотвращения вторжений пригодится для дополнительной защиты от сетевых угроз.
Впрочем, полноценная защита мобильного компьютера вне офисной сети вовсе не означает того, что после возвращения в офис его владельца встретят с распростертыми объятиями и сразу предоставят ему доступ ко всем внутренним ресурсам. Минимизация рисков в таком случае — задача не менее важная, чем защита вне «дома».
Механизмы контроля над состоянием защиты, реализованные «Лабораторией Каперского», позволяют устранить риск того, что пользователь принесет в корпоративную сеть «непрошеного гостя». На мобильном компьютере хранится список всех значимых для антивируса событий, и администратор может отследить всю историю его пребывания вне сети. Если обнаруживается, что базы антивирусных сигнатур устарели, их немедленное обновляют. А если рабочая станция все же заражена и пытается распространить по локальной сети вредоносные файлы, антивирус на файловом сервере блокирует на определенный срок любую возможность обращаться к сетевым ресурсам. За это время администратор выявит источник заражения и проведет «лечение».
Интеграция технологий защиты
Контроль над статусом приложений на мобильном компьютере волнует не только производителей антивирусов. Так, компания Cisco разработала технологию NAC (Network Admission Control), применение которой обеспечивает автоматическую проверку устройств, подключаемых к корпоративной сети. NAC оценивает состояние конечного узла во избежание заражения или для предотвращения несанкционированного доступа к нему. Каждому устройству присваивается статус, на основании которого Cisco NAC разрешает или отказывает в доступе к сети. Клиенты, не соответствующие политике безопасности, помещаются в карантинную зону либо получают ограниченные возможности работы с информационными ресурсами компании.
Учитывая важную роль таких технологий контроля над сетевым доступом, как Cisco NAC, «Лаборатория Касперского» обеспечивает их полноценную поддержку. В качестве одного из компонентов приложения Kaspersky Administration Kit 6.0 реализован Posture Validation Server, которому делегированы права на выдачу статусов клиентским компьютерам в системе Cisco NAC на основании данных, собранных агентами NAC. Вкратце принцип совместной работы Kaspersky Administration Kit 6.0 и Cisco NAC состоит в следующем.
На всех компьютерах сети устанавливаются агенты администрирования (network agent) и агенты Cisco NAC. С помощью специальных плагинов (posture plug-in) агенты NAC собирают информацию о состоянии компьютеров. В частности, они учитывают состояние антивирусных средств защиты: актуальны ли используемые сигнатуры, запущен ли режим постоянной защиты и т.п. Собранная информация пересылается агентами Cisco NAC на Posture Validation Server, который присваивает каждому компьютеру один из статусов — healthy, checkup, quarantine, infected. Разным статусам соответствуют различные политики безопасности, которые и определяют, разрешать ли компьютеру доступ к тому или иному сетевому ресурсу. Реализуется политика при помощи маршрутизаторов и брандмауэров Cisco, поддерживающих технологию NAC.
Cisco NAC, безусловно, повышает удобство администрирования мобильных пользователей по их возвращению в корпоративную сеть. Эта технология может быть особенно полезной в тех случаях, когда затруднен контроль над соответствием оконечных устройств корпоративной политике защиты (например, если компания предоставляет доступ в свою сеть гостевым клиентам и бизнес-партнерам).
Василий Бушмарин (vasiliy.bushmarin@kaspersky.com) — технический менеджер по развитию продуктов «Лаборатории Касперского»