Об эксперте: Павел Петров — ведущий продуктовый менеджер в «Лаборатории Касперского». Начал карьеру в IT бизнес-аналитиком, более 13 лет участвует в разработке средств защиты информации. В настоящее время занимает роль старшего менеджера продуктов класса EDR.
Антивирус как технология заметно эволюционировал с момента своего появления, но остается фундаментом киберзащиты современного предприятия, поэтому важно понимать, какие возможности есть в современных вариантах таких решений и с какими технологиями их стоит сочетать.
Что сегодня подразумевают под антивирусом
Современный антивирус давно уже больше, чем инструмент для поиска в файлах известных сигнатур вредоносного кода. Сигнатурный анализ — лишь один из компонентов. Сегодня более значимую роль играют поведенческий анализ, выявление аномалий в работе приложений, контроль запуска программ и сетевых соединений, системы предотвращения вторжений на уровне узла (HIPS), а также возможности искусственного интеллекта.
Такой многослойный подход позволяет обнаруживать не только известные угрозы, но и новые, ранее не встречавшиеся атаки, в том числе сложные. Антивирус превратился в интеллектуальную платформу, которая выходит за рамки анализа признаков вредоносного кода.
Защита, основанная на коллективном опыте
Современные антивирусные решения опираются на базы знаний об угрозах. В них поступают обезличенные данные, в идеале со всего мира, о новых подозрительных объектах, связанных с атаками. Эти данные автоматически анализируются с применением ИИ, машинного обучения и дополнительно проверяются экспертами.
Это нужно в том числе для того, чтобы обеспечить высокий уровень детектирования угроз и низкий уровень ложных срабатываний. И чем больше данных для обучения системы, тем эффективнее она работает.
Не защитой единой
В современном антивирусном решении необходимы разные механизмы контроля, которые уменьшают поверхность атаки. Например, можно запретить использовать определенные приложения, устройства и сетевые порты.
Также в таких решениях могут быть встроенные функции шифрования защищаемых устройств и инструменты системного администрирования, которые упрощают жизнь командам ИБ и ИТ. Они позволяют удаленно устанавливать программное обеспечение, конфигурировать устройства и управлять системой.
Одним словом, как ни парадоксально это звучит, в современном защитном решении нельзя ограничиваться только защитой.
Когда счет идет на сотни тысяч устройств
В крупных корпоративных инфраструктурах требования к антивирусу возрастают многократно. Речь идет о десятках и сотнях тысяч конечных точек, включая серверы, которые генерируют огромные объемы данных.
В таких условиях недостаточно просто обнаруживать угрозы — EPP должен быть способен эффективно масштабироваться и стабильно работать под высокой нагрузкой.
Коммерческие ОС и не только
Производители антивирусных решений стремятся к поддержке всех ОС. Для российского рынка актуальны не только Windows и Linux, но и все отечественные операционки, которые доступны для коммерческого использования, например Astra Linux, Alt Linux, Red OS, «Атлант», «Роса», а также те, которые разработаны внутри отдельных организаций, например SberOS и MosOS.
Конечная точка — это уже не только ПК
Сегодня под защитой должны находиться не только рабочие станции и серверы. Количество устройств на разных платформах стремительно растет, и все они являются потенциальными точками входа для атак.
Современный антивирус должен поддерживать Android, iOS и другие мобильные операционные системы. При этом защита мобильных устройств требует особого подхода с учетом их архитектуры и сценариев использования.
Один агент — меньше проблем
В профессиональной среде все чаще звучит мнение, что классический антивирус — или EPP — утратил актуальность, а его место полностью заняли EDR-системы. На практике это опасное заблуждение.
EPP отвечает за предотвращение атак и автоматическое отражение огромного потока угроз. EDR, в свою очередь, предназначен для обнаружения сложных инцидентов, анализа и реагирования на этапе, когда злоумышленник уже проник в систему. Эти технологии решают разные задачи и должны работать в связке, то есть им нужна полная совместимость. Решения должны не конфликтовать, а усиливать друг друга.
Оптимальный вариант — использование единого агента: общего драйвера, механизма самозащиты, системы логирования и обновлений.
Такой подход существенно упрощает установку, администрирование и контроль версий, снижая операционные риски и нагрузку на ИТ-специалистов.
Без границ: распределенная защита для распределенного бизнеса
Современные компании часто имеют филиалы, распределенные по разным регионам и странам, с различным качеством каналов связи. Поэтому и EPP, и EDR должны поддерживать распределенную архитектуру и единое централизованное управление.
Это позволяет выстраивать единую политику безопасности, независимо от географии, и эффективно защищать инфраструктуру даже при ограниченной пропускной способности каналов передачи данных.
Источник: hi-tech.mail.ru