Вирусы и средства борьбы с ними

         

Требования к антивирусному комплексу для проверки почтового потока


Требования к антивирусному комплексу для проверки почтового потока можно разделить на несколько категорий:

  1. Общие требования — требования, которые диктует жизненная необходимость - продукт должен быть дешевым, надежным, быстрым и пр. Все параметры, которые могут быть перечислены в этом разделе, относятся и к другим антивирусным комплексам, да и вообще ко всему, разрабатываемому с целью дальнейшего использования.
  2. Требования к основному функционалу. Требования к основному функционалу следует также разделить на две части - собственно, функционал комплекса и функционал его антивирусной составляющей. Первая часть логичным образом вытекает из вида угроз, которым должен противостоять антивирусный комплекс для почтового сервера - распространение вредоносных программ с использованием транспорта электронной почты.
    • Проверка всего почтового потока, проходящего через защищаемый почтовый сервер. При этом пользователь никоим образом не должен иметь возможности открыть почтовое сообщение до того как оно будет проверено антивирусным комплексом Примером такого комплекса может выступать сегодня практически любой антивирус для почтовой системы любого производителя, это же касается и других требований из разряда обязательных. Тем не менее, в силу технологических особенностей, проверка всего исходящего через Microsoft Exchange Server почтового потока стала возможной сравнительно недавно и только для одной версии этого продукта. Речь об этом пойдет ниже.

    • Проверка всех тел сообщений и вложений, включая архивы. Проверка архивов, по сути, относится уже к антивирусному функционалу продукта, именно ядро поддерживает либо не поддерживает определенный формат архивации Пример. В Антивирусе Касперского для Unix Mail Server проверяются и тела сообщений, и вложения, при этом количество поддерживаемых форматов архивов и упаковщиков является рекордным.

    • Возможность задания различных действий в случае обнаружения инфицированного сообщения - удаление вложения, удаление всего сообщения, информирование пользователя об обнаружении вируса с приложением исходного письма.
      Требования к уведомлениям описаны ниже.

      Не считая приведенного ранее требования по возможности проверки архивов, а также вполне логичного общего пожелания - ловить как можно большее количество вирусов - существует еще одно особенно важное в случае почтового потока требование к производителю антивирусного комплекса.

    • Высокая скорость реакции производителя на появления новых вирусов (следовательно, максимально короткий промежуток между выпуском обновлений антивирусных баз).
    • Возможность лечения инфицированных объектов. Менее критичное требование применительно к проверке почты, поскольку большинство вредоносных программ, выявляемых в почтовом потоке являются червями, не поддающимися лечению. Пример. Во всех антивирусных комплексах Лаборатории Касперского для проверки почты реализована функция лечения обнаруженных вирусов. Правда, на практике можно вылечить не более 1% обнаруживаемых вредоносных программ.



  3. Требования к управлению

    • Масштабируемость — возможность легко переносить конфигурацию на множество аналогичных антивирусных комплексов.
    • Удаленное администрирование — сотрудник отдела защиты информации должен иметь возможность удаленно проверять настройки антивирусного комплекса и, при необходимости, вносить изменения.
    • Исключение пользователей из проверки — должна существовать возможность исключить определенных пользователей из проверки на наличие вирусов. К примеру, это могут быть сотрудники отдела защиты информации либо другие лица, которым по служебной необходимости должен приходить абсолютно весь почтовый поток.


  4. Требования к обновлению. Наличие штатных средств обновления антивирусных баз, позволяющих обновлять базы с одного или некоторых из перечисленных ресурсов:
    • HTTP-сервер
    • FTP-сервер
    • Локальные или сетевые папки
    • Возможность указать средству источник обновления
    • Возможность выполнять обновление вручную
    • Возможность запускать средство обновления в автоматическом режиме


  5. Требования к диагностике

    • Уведомления отправителю, получателю, администратору — должна быть предусмотрена возможность уведомления ответственных лиц, а также непосредственных отправителя и получателя инфицированного письма о факте обнаружения вируса.


      В последнее время множество вирусов подменяет электронные адреса отправителя и, следовательно, может показаться бессмысленным требование к наличию уведомления отправителю. Однако, если уведомление отправителю будет отсылаться выборочно, например, только в случае обнаружения макровирусов, такая функция вновь становится крайне полезной. Именно так зачастую и поступают сегодня производители антивирусных комплексов. Также должна быть предусмотрена возможность модификации уведомлений.
    • Ведение журнала работы.




Помимо обязательных требований к антивирусному комплексу, существуют требования желательные, удовлетворение которых существенно упрощает задачу защиты организации от проникновения вирусов через почтовый поток. Такие требования, естественно, не могут относиться к основному функционалу.

  1. Карантин — кроме удаления и доставки пользователю сообщения, возможна реализация карантинного хранилища - в этом случае пользователю доставляется уведомление со ссылкой на место в карантине, где хранится вложение к его письму. При необходимости получить вложение, пользователь обращается к администратору. Вторичность карантина при проверке почтового потока объясняется большим количеством червей в сравнении с остальными вредоносными программами, и, как следует, низкую эффективность помещения объектов на карантин. Пример. В Антивирусе Касперского для Unix Mail Server имеется возможность помещать подозрительные, инфицированные и непроверенные объекты на карантин.

  2. Добавление информации о проверке в письмо — в конец проверенного письма, либо в служебный заголовок добавляется информация о том, что письмо было проверено, а также статус проверки. Указание в таком сообщении версии использованных антивирусных баз, а также точного времени проверки позволит существенно упростить служебные расследования при поражении вирусами узлов сети. Требование не является обязательным, поскольку относится скорее к удобству управления антивирусной защитой сети в целом, а не только проверкой почтового потока.
  3. Генерация списка обнаруживаемых вирусов — может пригодиться для точного определения состояния антивирусного комплекса во время проведения служебного расследования, при условии реализации предыдущего пункта
  4. Возможность выделения различных групп пользователей и задания различных настроек проверки для этих групп — логичное продолжение требования к возможности исключения пользователей из проверки.


    Некоторые пользователи, наоборот, могут входить в группу риска, поскольку обрабатывают информацию, составляющую коммерческую либо государственную тайну. Требования к проверке корреспонденции таких пользователей должны быть более жесткими чем обычные. Пример. Такой функционал реализован в Антивирусе Касперского для Unix Mail Server. Группы проверки определяются как маски адресов отправителей и получателей. При получении письма, программа последовательно просматривает условия всех групп. При совпадении масок отправителя и получателя, письмо проверяется согласно настройкам группы. Если письмо может быть отнесено к нескольким группам, оно относится к первому встреченному совпадению. Если письмо не удовлетворяет требованиям ни одной из групп - оно проверяется на общих условиях

  5. Возможность модификации уведомлений, в том числе и для различных групп пользователей — может пригодиться для указания адресов и телефонов, по которым нужно обращаться с вопросами касательно антивирусной защиты. Пример. Антивирус Касперского для Microsoft Exchange Server позволяет модифицировать уведомления всем трем типам пользователей. Большое количество встроенных макросов позволяет сделать уведомление максимально детализированным.

  6. Возможность блокировки объектов, не прошедших проверку — в некоторых случаях проверить вложение на наличие вирусов не представляется возможным — к примеру, если это часть многотомного архива либо архив, защищенный паролем. В этом случае антивирусный комплекс должен обладать возможностью блокировать сообщения, содержащие подобные вложения.
  7. Вирусная атака — при обнаружении N вирусов в M минут иногда полезно уведомить администратора об этом факте. Подобное поведение продукта скорее всего будет свидетельствовать о вирусной эпидемии либо атаке на сервер. В обоих случаях администратор может попытаться внести изменения в настройки самого МТА с тем, чтобы отсеивать зараженные письма на более раннем этапе, снижая, тем самым, нагрузку на сервер Пример. Подобный функционал реализован в рамках продукта ScanMail for Microsoft Exchange компании Trend Micro.Вообще же следует отметить, что обнаружение вирусной атаки относится, скорее, в подсистеме защиты рабочих станций и серверов. Впрочем, лишний функционал лишним не бывает.



Далее в этой главе будут рассмотрены антивирусные комплексы для защиты наиболее часто встречающихся внешних и внутренних почтовых систем - Microsoft Exchange и MTA с открытым кодом для Unix - Sendmail и Postfix.


Содержание раздела