Политика как основа безопасности
Очевидно, построение эффективной системы защиты подразумевает создание политики IT-безопасности. Этот документ определяет четкие рамки: кому и что запрещено делать, а также кому и что следует делать. Чаще всего в политику попадают административные ограничения, например на использование мобильных устройств и внешних накопителей в корпоративной сети.
Некоторые антивирусные разработчики отошли от классического понимания «политики» и предлагают своим клиентам «безопасность на основе политик» (policy-based security). Так, компания Trend Micro продвигает Outbreak Prevention Services. В рамках этого подхода пользователь получает набор политик (ограничений), которые позволяют защититься от нового вируса до появления обновлений к антивирусной базе или заплатки для открытой уязвимости. Таким путем разработчик пытается сократить отрезок времени, в течение которого клиенты являются полностью беззащитными перед новой угрозой. Стоит также отметить, что политика (в данном контексте) — это лишь временная защита, призванная сдержать эпидемию до подхода «тяжелой артиллерии».
Однако подход, предложенный Trend Micro, вряд ли можно назвать эффективным. Во-первых, далеко не факт, что для создания политики экспертам требуется намного меньше времени, чем для создания вакцины (сигнатурного обновления антивирусных баз). Ведь чтобы понять, какие бреши в операционной системе или способы заражения использует вирус, все равно необходимо анализировать его код. Во-вторых, в некоторых случаях может возникнуть проблема смены политик. Особенно когда новые политики поступают слишком часто. Пользователи начинают путаться в том, что можно делать, а что — нет.
Таким образом, подход на основе политик призван компенсировать относительно низкую скорость реакции антивирусной лаборатории TrendLab на появление новых угроз. Кроме того, данная технология не является проактивной, так как все равно существует промежуток времени, в течение которого пользователь остается без защиты, да и для создания самой политики точно так же, как и для выпуска сигнатуры, требуется проводить анализ вредоносного кода.
Еще один интересный метод защиты предлагают компании Cisco и Microsoft. Речь идет о карантинной зоне, в которую попадают компьютеры, не удовлетворяющие требованиям политики IT-безопасности, но все равно пытающиеся подключиться к корпоративной сети. Например, если удаленный пользователь стремится войти в сеть своего работодателя, то его компьютер проходит сканирование на предмет наличия актуальной базы антивирусных сигнатур, обновлений операционной системы и т. д. По результатам проверки служащему может быть предоставлен доступ только к карантинной зоне — серверу, с которого можно скачать необходимые обновления. После этого можно снова попытаться подключиться к корпоративной сети. Такой подход тоже не является проактивным, поскольку сводится к антивирусной проверке с использованием обновленной базы сигнатур. Тем не менее идея, лежащая в основе карантинной зоны, подкупает своей очевидностью и эффективностью: если в операционной системе есть незакрытые бреши или антивирус уже устарел, то о какой безопасности может идти речь?
