Сисадмин и путь меча

в 13:57, , рубрики: drweb, Блог компании Доктор Веб, метки:

image
Уважаемыее, в этой статье нашего аналитика Вячеслава Медведева мы хотели бы поделиться с вами несколькими мыслями о специфике работы современных сисадминов с антивирусными ПО в компаниях среднего и малого бизнеса. Любые комментарии приветствуются. Вопросы, которые обсуждаются в материале, весьма дискуссионные.

Системный администратор — профессия легендарная и даже мифическая. Герой эпических историй и анекдотов. Человек, который может починить в офисе все, что его касается по должностной инструкции (а при необходимости и то, что его не касается).
В большинстве компаний сисадмин — единственный человек, разбирающийся в современных технологиях.

Но во многих случаях должность сисадмина — вершина карьерного роста, ведь эти замечательные ребята крайне редко становятся техническими директорами компаний. Более того, иногда начальниками ИТ-отделов становятся люди, ничего не понимающие в настройке и установке железа и программ. Почему же так происходит?

Системный администратор — профессия легендарная и даже мифическая. Герой эпических историй и анекдотов.

Человек, который может починить в офисе все, что его касается по должностной инструкции (а при необходимости и то, что его не касается). В большинстве компаний сисадмин — единственный человек, разбирающийся в современных технологиях.

Но во многих случаях должность сисадмина — вершина карьерного роста, ведь эти замечательные ребята крайне редко становятся техническими директорами компаний. Более того, иногда начальниками ИТ-отделов становятся люди, ничего не понимающие в настройке и установке железа и программ. Почему же так происходит?

Главное для любой организации — выполнение ее задач. Все, что препятствует выполнению задач или замедляет их, — должно быть исключено.

Это означает, что любые бизнес-процедуры и действия сотрудников компании, ее клиентов и партнеров должны выполняться максимально удобно для них и не менее быстро.
Естественно, это не полный список требований к бизнес-процедурам — интересующихся этим можно отослать, например, к стандартам семейства ITIL.

С позиции вышеперечисленных требований как вирусы, так и антивирусы — зло. Первые воруют, рушат и отвлекают от работы. Вторые не дают возможности вирусам проникнуть в сеть, но сами тормозят работу системы.
Поэтому задача системного администратора – сделать так, чтобы и вирусов не было, и система «не тормозила».
Как правило, задача решается «в лоб». По рекомендациям устанавливается антивирус, который «не тормозит». Но «не тормозит» и «ловит все вирусы» — две большие разницы.
Проще говоря, антивирусные базы — набор сигнатур, процедур обнаружения вредоносных файлов, методов распаковки различных типов архивов.
Поиск вируса (как и любой другой вредоносной программы) в таком случае — перебор этих методов и сигнатур. То есть высокая скорость проверки не всегда говорит о высоком качестве поиска.

Естественно, производители ведущих антивирусов, осознавая проблему, оптимизируют алгоритмы обнаружения, но если размер базы различается в разы, то это должно наводить на некие размышления.
Поэтому прежде чем устанавливать антивирус, нужно задуматься о возможных путях проникновения вирусов в компанию.

В идеале для этого нужно провести аудит всех бизнес-процессов компании, а также проанализировать на значимость все ИТ-угрозы, но в рамках этой статьи упростим задачу.

Наиболее типичными путями проникновения вирусов в систему служат Интернет, почтовая переписка, уязвимости используемого программного обеспечения и сменные носители.

Из опыта моих выступлений на различных конференциях и семинарах следует, что для многих значимость каждого из этих каналов является тайной.

Как показывает практика опросов, в большинстве случаев самыми опасными для компании каналами проникновения называют почту и Интернет.

Соответственно на защиту этих путей проникновения и отводятся наибольшие средства. Тем более что задача решается в большинстве случаев исключительно техническими средствами — установкой антивирусных систем контроля трафика.
На самом деле основная часть вирусов (а точнее троянцев) попадает в сеть посредством самих сотрудников — на их сменных носителях.
Таким образом, в первую очередь нужно настроить систему доступа. Каждый сотрудник должен иметь доступ только к той информации, которая ему нужна. Должно быть ограничено использование USB-накопителей до минимального уровня (а для большинства сотрудников их использование вовсе должно быть запрещено).
Эти правила подлежат реализации без всяких возражений, но… Все та же практика показывает, что в большинстве компаний малого и среднего бизнеса все имеют доступ ко всему. Воистину, пока гром не грянет…

И причиной наведения порядка в этой сфере служат (также как правило) не вирусные инциденты, а проблемы с сотрудниками или бизнесом в целом.
И вот тут мы возвращаемся к началу статьи. Кто должен заниматься ограничением доступа? Системный администратор — это технический специалист, который знает, что сделать, чтобы ограничить или расширить права.

Но он не знает, кому и какие права полагаются. Этим должны заниматься специалисты отдела информационной безопасности (офицеры безопасности) вместе с менеджером по качеству.
Но в большинстве компаний ни отделов информационной безопасности, ни отделов качества нет — в силу непонимания необходимости или отсутствия средств.

Дополнительную интригу вносит требование о назначении ответственного лица, предъявляемое законом о защите персональных данных.
Как правило, ответственным лицом назначают или юриста, или сисадмина. Тем самым в нагрузку к своим должностным обязанностям админ получает фактически обязанность описания бизнес-процессов. Можно, конечно, выполнить эту задачу формально — оформить все требуемые Федеральным законом № 152-ФЗ бумаги и забыть об этой обязанности. Но от описания до оптимизации — один шаг.

Провести аудит компании (а именно это требуется для описания бизнес-процессов) и не предложить их оптимизировать (а предложить все равно придется, так как наверняка найдутся лишние персональные данные)?
Остаться техническим специалистом, значимым сотрудником компании, но всего лишь исполнителем поставленных задач, или стать человеком, влияющим на выбор пути компании? Каков должен быть путь воина? Путь меча, который направляется рукой, или путь руки, которая решает, куда направить меч?
Вернемся к антивирусной защите.

Предположим, мы выбрали и установили на все рабочие станции продукт, который и ограничивает доступ куда не нужно кому не полагается, и запрещает сменные носители, и контролирует входящий и исходящий трафик. Все настроили, вирусов нет. Что имеем в итоге? Жалобы на загрузку систем и жалобы на отсутствие доступа к любимым сайтам (с любимыми вирусами).
Со вторым разбираемся быстро, предъявив список вирусов, получаемых конкретными пользователями с конкретных серверов. С первым, однако, сложнее.

Особенно когда на машинах работают ресурсоемкие приложения типа кадовских систем. Но нужен ли на машине антивирус, если пути проникновения вирусов на нее перекрыты (и особенно если это машина с 256 Мб памяти, что на просторах нашей и не только нашей страны встречается нередко)?

Данный вариант вполне реален. Проверку почтового и интернет-трафика можно осуществлять на соответствующих серверах. Поступление вирусов через пользователей перекрывается разумными запретами на USB-носители и ненужный доступ.

Остаются, конечно, инсайдеры и хакеры, но борьба с ними — это отдельная тема, не заканчивающаяся установкой файервола на всех рабочих станциях.
Естественно, совсем убирать антивирусную проверку нельзя (поскольку всегда есть вероятность пропуска принципиально новых вирусов, неизвестных антивирусам), но ее можно выполнять периодически — по расписанию антивирусным сканером.

Мало кто знает, что проверка сканером проводится на большую глубину, чем проверка фоновым файловым монитором.
Минус? Естественно есть. Стоимость закупки возрастет. Но возрастут и возможности по защите. Серверные продукты имеют куда большие возможности по фильтрации, чем продукты для рабочих станций (особенно реализованные для платформы Unix — в силу куда меньших ограничений, накладываемых продуктами, работающими на ней).

Можно еще ускорить работу? Можно. Ввести политики и ограничить скачивание файлов по типам. Вынести проверку на спам с почтового сервера на почтовый прокси.
Спам сейчас занимает порядка восьмидесяти процентов в почтовом трафике и, не допуская этот мутный поток на почтовый сервер, мы значительно ускоряем доставку сообщений (что особенно хорошо сказывается на почтовых серверах MS Exchange). Однако выносить проверку на вирусы с самого почтового сервера не стоит — вероятность распространения вирусов через внутреннюю переписку исключать нельзя.

Но все эти меры можно принимать только с учетом их влияния на дела своей компании. Нужно сопоставлять не только скорость работы и стоимость (не забывая складывать стоимость закупки и стоимость сопровождения) решения, но и значимость внедряемых решений для компании. Нужно соотносить цену и необходимость устранения угроз. Говорить на языке финансов.
Нельзя прийти в кабинет генерального директора и положить ему на стол два документа: список функционала предполагаемого к закупке ПО и железа и их стоимость. Документ должен быть один, и он должен описывать, насколько выгодна для компании закупка, какие есть варианты, и почему должен быть выбран тот, на котором остановился админ.
Таким образом, для того, чтобы вырасти из системного администратора и подняться на следующую ступень, нужно не только отлично знать технику и ориентироваться в имеющихся на рынке альтернативах уже используемого ПО.
Нужно смотреть на любой выбор не только с точки зрения выполнения процедуры, но, и это главное, с точки зрения бизнеса, значимости любого выполняемого действия для компании в целом.

Автор: doctorweb

Поделиться

* - обязательные к заполнению поля