Comments 36
В рамках иезуитства: запускать виртуалку с антивирусом, чтобы не мешал работать серверу. Есть ли запущенный антивирус на сервере? Есть. Мешает ли он работать? Нет.
Спасибо за идею :), но думаю не прокатит — нигде не видел, чтобы виртуалки не приравнивались к компьютеру. Т.е. и на хосте антивир + на госте тоже антивир.
Единственное исключение для host-а насколько знаю — железо/платформа на которое не встает антивирус (типа vmware vsphere). Да и то чтобы такое поставить — часто нужно спецразрешение. Ну либо умудрятся найти какое-нибудьбезполезное «антивирусное решение» и для таких платформ.
Единственное исключение для host-а насколько знаю — железо/платформа на которое не встает антивирус (типа vmware vsphere). Да и то чтобы такое поставить — часто нужно спецразрешение. Ну либо умудрятся найти какое-нибудь
Ну вы же понимаете, что «виртуалка» это такое очень растяжимое понятие. qemu-x86 antivirus.img вполне выглядит как процесс в системе.
Если кого-то смущает виртуализация — использовать контейнеры, иные формы изоляции. Короче, если нужен процесс с именем «антивирус», то существует масса методов сделать его менее вредоносным.
Если кого-то смущает виртуализация — использовать контейнеры, иные формы изоляции. Короче, если нужен процесс с именем «антивирус», то существует масса методов сделать его менее вредоносным.
Короче, если нужен процесс с именем «антивирус», то существует масса методов сделать его менее вредоносным.Ну вы же понимаете, что имеется в виду как физическое железо, так и гость в любой форме.
И меня смущает как физическое отсутствие прав на удаление процесса с именем «антивирус», так и возможная ответственность в случае если «удаление» последнего все же удастся (обойти-то можно все) а это обнаружится, и что-нибудь типа потерянные данные, имидж или репутация компании просто тупо спишется на того у кого он (антивирус) был выключен. :)
К сожалению, в таком случае можно не отделаться только лишь потерей работы. Иск на круглую сумму денег — тоже вероятный сценарий.
практика показывает, что наличие прав на отключение антивируса приводит к четкому заражению при атаке. в письме пишут — отключите — и отключают!
Ну это вопрос формализации того, что «антивирус работает». Если его засунуть в namespace, это «работает»? Работает. Отстаньте, мы улучшаем безопасность через изоляцию ПО.
Так я вам не про то… Ну как бы это понятней.
Готовы вы, например в суде, доказывать, что ваша (прямо скажем спорная в смысле «антивирус работает») концепция не стала причиной «дыры в безопасности» и как следствие потери данных и т.д.
В общем технически я вижу кучу способов убрать его с серверов (в конце концов тот же описанный мной выше — убрать за NAT). Дело в том, что:
а) это не моя работа;
б) хотелось чтобы это было одобрено свыше (стандарт и не велосипед);
в) если предположить (а это так и есть), что единственный источник возникновения зловреда на сервере — с клиентского компа (ну изначально интернет, емайл, cd-usb, но все-равно через клиента), а на клиенте стоит тот же антивирус, а чаще еще и до него (типа webwasher на шлюзах наружу и по емайлам) — то смысла антивируса еще и на сервере нет вообще никакого.
От слова абсолютно!
Готовы вы, например в суде, доказывать, что ваша (прямо скажем спорная в смысле «антивирус работает») концепция не стала причиной «дыры в безопасности» и как следствие потери данных и т.д.
В общем технически я вижу кучу способов убрать его с серверов (в конце концов тот же описанный мной выше — убрать за NAT). Дело в том, что:
а) это не моя работа;
б) хотелось чтобы это было одобрено свыше (стандарт и не велосипед);
в) если предположить (а это так и есть), что единственный источник возникновения зловреда на сервере — с клиентского компа (ну изначально интернет, емайл, cd-usb, но все-равно через клиента), а на клиенте стоит тот же антивирус, а чаще еще и до него (типа webwasher на шлюзах наружу и по емайлам) — то смысла антивируса еще и на сервере нет вообще никакого.
От слова абсолютно!
Для VMware есть вариант с безагентным антивирусом, позволяющий снизить нагрузку и уменьшить его влияние сами ВМ.
Мог бы тут раздуть аргументированный ответ на полстраницы, но не буду…
Просто поверьте — ни этому, ни любому другому антивиру, нечего на сервере делать. От слова совсем.
Даже некоторые сервисы, иногда втыкаемые в «серверный» антивирус (типа расширения firewall-а, анализ логов, эвристика и т.д. и т.п.), в идеале должны выноситься на другую машину (говорим машину, подразумеваем железо).
Проведя аналогию с автомобилем (лучшей к сожалению не нашел): устроила бы вас машина, удовлетворяющая всем стандартам, но при этом затрачивающая больше половины своей мощности на проверку всех систем безопасности. Ну типа контроль всего и вся (от уровня износа и давления шин и контроля пристегнуты ли ремни безопасности до датчиков экологичности выхлопа) вместо штатных контроллеров, осуществлял бы непосредственно сам двигатель и коробка передач. И на каждый чих автомобиль натягивал бы ручник.
Глупость? Да, причем совершеннейшая. Только вот, имхо, устанавливая антивирус на сервер, они как раз этим и занимаются. И если современный CPU это худо-бедно переживет (распараллеливание), то остальная обвязка в этом смысле пока оставляет желать лучшего.
Просто поверьте — ни этому, ни любому другому антивиру, нечего на сервере делать. От слова совсем.
Даже некоторые сервисы, иногда втыкаемые в «серверный» антивирус (типа расширения firewall-а, анализ логов, эвристика и т.д. и т.п.), в идеале должны выноситься на другую машину (говорим машину, подразумеваем железо).
Проведя аналогию с автомобилем (лучшей к сожалению не нашел): устроила бы вас машина, удовлетворяющая всем стандартам, но при этом затрачивающая больше половины своей мощности на проверку всех систем безопасности. Ну типа контроль всего и вся (от уровня износа и давления шин и контроля пристегнуты ли ремни безопасности до датчиков экологичности выхлопа) вместо штатных контроллеров, осуществлял бы непосредственно сам двигатель и коробка передач. И на каждый чих автомобиль натягивал бы ручник.
Глупость? Да, причем совершеннейшая. Только вот, имхо, устанавливая антивирус на сервер, они как раз этим и занимаются. И если современный CPU это худо-бедно переживет (распараллеливание), то остальная обвязка в этом смысле пока оставляет желать лучшего.
Я сам не сторонник антивирусов и тоже сталкивался с узколобыми бузопасниками, но в общем случае выступлю скрорее за них, чем против.
А любые аргументы ничтожны, если они противоречат индустриальным стандартам — либо вы их внедряете, либо ищите себя в другой месте. При этом в PCI DSS 3.0 отношение к антивирусу более чем сдержанное, его требуют только на системах подверженных заражению с возможностью отключения при необходимости.
В качестве аналогии можно привести имунную систему, которая не является гарантией защиты от заражения, но существенно уменьшает его вероятность и помогает в лечении.
А любые аргументы ничтожны, если они противоречат индустриальным стандартам — либо вы их внедряете, либо ищите себя в другой месте. При этом в PCI DSS 3.0 отношение к антивирусу более чем сдержанное, его требуют только на системах подверженных заражению с возможностью отключения при необходимости.
В качестве аналогии можно привести имунную систему, которая не является гарантией защиты от заражения, но существенно уменьшает его вероятность и помогает в лечении.
А любые аргументы ничтожны, если они противоречат индустриальным стандартам — либо вы их внедряете, либо ищите себя в другой месте.Вы не правы, т.к. если бы это было так, то IT-индустрия как таковая уже загнулась бы, погребенная под этими стандартами. И у нас не было бы ни одного стандарта v.2, v.3… v.N. А это тоже не так.
И я кстати, видел немало компаний, где здравый смысл и правильное понимание «индустриальных стандартов» (нередко это вообще рекомендации) выгодно выигрывало над паранойей.
но существенно уменьшает его вероятность и помогает в лечении.Эээ… Мы все еще говорим про антивирус на сервере? Тогда вопрос: это как это?
Только плз, начните меня убеждать с момента заражения (т.е. интересен сам момент возникновения и первичного «исполнения» зловреда на сервере). :)
Как я уже писал выше (см. п. в)) — если вирус с клиента (на котором тоже вроде как есть антивирус) то я могу себе представить появление зловреда на сервере, только если он будет собираться с клиента по кускам (причем на стороне самого сервера, иначе антивирус последнего клиента должен бы его обнаружить). Либо дыра на сервере, со всеми вытекающими.
Так вот, имхо, для этого либо сисадмин должен быть полным идиотом (тогда не спасет ничего, включая и антивирус на сервере), либо в каком-либо софте, используемом на сервере — дыра размером со вселенную. Про то, сколько звезд для этого должны сойтись в виде того «парада планет», я лучше промолчу. Ну и антивирус тоже вероятно идет лесом, например отключается через ту же дыру, или если вся надежда только на эвристику, поведенческий анализ и иже с ними — оно обходится настолько просто, что даже обсуждать не хочется.
В общем-то верно, но какая из систем сейчас не подвержена заражению? Проблема как раз обратная. Есть множество систем, куда нельзя поставится по причине системных требований — а защищать их нужно
Последние новости из Екатеринбурга вас не порадуют. Схема внедрения включала проникновения на сервера с ранее зараженных клиентских машин и уже потом внедрение на интересующие участки сети. Это рассказывалось на последней конференции с участием представителей отдела К
Забегая вперед. Да, я тоже считаю, что средства ограничения доступа должны быть. Но реальность такова, что и их обходят. По разным причинам. Например по причине неверных настроек.
А вирусы для автомашин уже есть. Концепты правда. Что будет в будущем — кто знает
Забегая вперед. Да, я тоже считаю, что средства ограничения доступа должны быть. Но реальность такова, что и их обходят. По разным причинам. Например по причине неверных настроек.
А вирусы для автомашин уже есть. Концепты правда. Что будет в будущем — кто знает
Схема внедрения включала проникновения на сервера с ранее зараженных клиентских машинНа которых стоял антивирус… :)
Ну и вероятность того, что даже заточенный под хост антивирус, находясь на сервере, поправил бы ситуацию, настолько мала, что в пору микроскоп расчехлять.
И думается мне, что вероятность того, что в той сети что-то было «настроено» неправильно просто чудовищно огромна. ;)
Вопрос не в пропуске — как ни грусти, но для антивируса при целевой атаке это нормально. Вопрос в возможности лечения ранее пропущенного. Если на рабочих станциях все пролечится при обновлении, то сервер останется зараженным
пролечится при обновленииНеа… Возможно пролечится только «загрузчик» зловреда, но останется само «тело» (которое еще не детектится, да и одно ли оно) либо он оставит не выявленные «следы» (нарушающие безопасность системы).
В любом случае — я такой системе безопасности даже шнурки гладить не доверил бы…
В общем и целом если на «настроенный» сервер, что-то таким образом просочилось, то грош — цена такому админу.
Какой компонент пролечиться зависит от того, попало к нам на анализ. Может все, а может и часть.
А вот по поводу админов я бы не был столь категоричен по поводу, что виновны только они:
— малый бизнес и большая часть среднего — у них денег вообще нет, а уж на действительно хорошего админа…
— гос предприятия, оборонка и тд — при их ставках удивительно, что там вообще кто работает в той же Москве
А вот по поводу админов я бы не был столь категоричен по поводу, что виновны только они:
— малый бизнес и большая часть среднего — у них денег вообще нет, а уж на действительно хорошего админа…
— гос предприятия, оборонка и тд — при их ставках удивительно, что там вообще кто работает в той же Москве
Крайне не уверен, что такой антивирус может перехватывать пропущенные (уже активные) инфекции. Сколько кого не спрашивал — все молчат. Плюс Евгений Касперский очень ругал этот подход
Ему бы своё QA поругать — при таком низком качестве релизов выбора не остаётся.
Ну тогда попробую я не «промолчать»:
на форумах определенного содержания курсируют упорные слухи, что защита типа «endpoint protection» просто подарок для хакера. Смысл заключается в том, что нередко там, где такую штуку установили, админы находятся в полной «нирване», ну т.е. тупо — расслабуха (логи не читаем, ничего не проверяем, никуда не заглядываем и т.д. и т.п.) — ведь есть панацея от всего.
Единственное за что ее там ругают, найденный и пофикшенный 0-day нередко прикрывается очень быстро.
Так вот, имхо, это все же не «защита», а что-то типа платной подписки на «своевременное» закрытие найденных дыр. Что, опять же имхо, за пару минут скриптом реализуется.
Хотя ведь люди могут ошибаться и это действительно «молочно-шерстяная свинья-несушка с преферансом и девочками», aka панацея от всего и вся:)
на форумах определенного содержания курсируют упорные слухи, что защита типа «endpoint protection» просто подарок для хакера. Смысл заключается в том, что нередко там, где такую штуку установили, админы находятся в полной «нирване», ну т.е. тупо — расслабуха (логи не читаем, ничего не проверяем, никуда не заглядываем и т.д. и т.п.) — ведь есть панацея от всего.
Единственное за что ее там ругают, найденный и пофикшенный 0-day нередко прикрывается очень быстро.
Так вот, имхо, это все же не «защита», а что-то типа платной подписки на «своевременное» закрытие найденных дыр. Что, опять же имхо, за пару минут скриптом реализуется.
Хотя ведь люди могут ошибаться и это действительно «молочно-шерстяная свинья-несушка с преферансом и девочками», aka панацея от всего и вся:)
Как сказать. Подарок само отношение к антивирусу, как к средству, которое должно ловить все. То есть в большинстве случаев, если уж купили антивирус, то все. Проблема защиты от заражения считается закрытой. Именно поэтому такие защиты, где антивирус даже не настроен, и есть подарок.
Подарок это мифы, которыми живут такие пользователи и те продавцы, которые ничего не понимая в защите (а откуда им понимать, если на эту тему нет ни одного стандарта или закона?) продали антивирус. Сколько процентов входящих запросов на антивирус переубеждают в необходимости организации правильной зашиты — лучше не думать
Подарок это мифы, которыми живут такие пользователи и те продавцы, которые ничего не понимая в защите (а откуда им понимать, если на эту тему нет ни одного стандарта или закона?) продали антивирус. Сколько процентов входящих запросов на антивирус переубеждают в необходимости организации правильной зашиты — лучше не думать
Отношение к антивирусу чайника != отношению к антивирусу сисадмина. Упор в моем комментарии выше был на слово «расслабуха».
А что думают продавцы про свой антивирус, должно как минимум под толстым-толстым увеличительным стеклом рассматриваться. Все дело в том, что на программу максимум, наличие антивируса не должно влиять никоим образом. Т.е. в остатке имеем — система теоретически может быть (имхо должна быть) самодостаточна безо всякого антивируса.
При этом я не против антивируса, как (иногда удобного) инструмента, но не больше. Или на клиенте, где усилия по нормальной защите либо неоправданно дороги, либо в силу других причин — не нужны (например грубо, заразился — откатились к чистому «бакапу»).
И это в идеальном мире, потому-как, то что продается сейчас в качестве антивируса — часто не стоит даже краски на коробке из под него.
А что думают продавцы про свой антивирус, должно как минимум под толстым-толстым увеличительным стеклом рассматриваться. Все дело в том, что на программу максимум, наличие антивируса не должно влиять никоим образом. Т.е. в остатке имеем — система теоретически может быть (имхо должна быть) самодостаточна безо всякого антивируса.
При этом я не против антивируса, как (иногда удобного) инструмента, но не больше. Или на клиенте, где усилия по нормальной защите либо неоправданно дороги, либо в силу других причин — не нужны (например грубо, заразился — откатились к чистому «бакапу»).
И это в идеальном мире, потому-как, то что продается сейчас в качестве антивируса — часто не стоит даже краски на коробке из под него.
>Отношение к антивирусу чайника != отношению к антивирусу сисадмина
Увы. По моему печальному опыту в большинстве случаев совпадает. И те и те абсолютно уверены в том, что хороший антивирус должен ловить все. И как ни странно, но в регионах количество правильно понимающего руководства куда больше, чем в центре
>то что продается сейчас в качестве антивируса — часто не стоит даже краски на коробке из под него.
Как ни ужасно, но это так. По моему мнению в мире осталось всего два антивируса…
Увы. По моему печальному опыту в большинстве случаев совпадает. И те и те абсолютно уверены в том, что хороший антивирус должен ловить все. И как ни странно, но в регионах количество правильно понимающего руководства куда больше, чем в центре
>то что продается сейчас в качестве антивируса — часто не стоит даже краски на коробке из под него.
Как ни ужасно, но это так. По моему мнению в мире осталось всего два антивируса…
про антивирус — поддерживаю. все именно так. никто не воспринимает его как инструмент имеющий свои возможности и недостатки — как и любой иной продукт. Для одних он панацея. Для других он бельмо на глазу. Взвешенное и правильное использование антивируса жуткая редкость
К сожалению это же можно сказать не только про антивирус… Политики и права в системе, невозможность поднять или установить чего-нибудь (от «неподдерживаемой» виртуалки, до какого-нибудь «экзотического» юникса/линукса).
Да все что хочешь, пример:
Работая с парком определенных редакторов, привык к shortcut-ам типа Ctrl+Shift+[1..9] и Alt+[1..9] — чтобы ставить и прыгать к нумерованым закладкам, через все открытые файлы. А например Ctrl+Alt+0 переопределял, чтоб он передеплоивал процесс проекта на лету (вообще действие невидимое если в логи или консоль не смотреть).
Так во с определенного времени они просто перестали действовать (Нашел что в Win-7 нужно было выключить какую-то галочку, то ли в установках «Advanced Key Settings», то ли в «Regional Settings» (забыл уже). Короче нашел ее, выключил. Заработало! А через некоторое время бац — опять ни один shortcut не работает. Полез смотреть — галочка снова стоит (вероятно политики или профиль востановился)! И так всегда.
В результате «тикет» в саппорте уже несколько лет назад, а воз и ныне там. А от использования этих shortcut-ов я уже и отвык.
Да все что хочешь, пример:
Работая с парком определенных редакторов, привык к shortcut-ам типа Ctrl+Shift+[1..9] и Alt+[1..9] — чтобы ставить и прыгать к нумерованым закладкам, через все открытые файлы. А например Ctrl+Alt+0 переопределял, чтоб он передеплоивал процесс проекта на лету (вообще действие невидимое если в логи или консоль не смотреть).
Так во с определенного времени они просто перестали действовать (Нашел что в Win-7 нужно было выключить какую-то галочку, то ли в установках «Advanced Key Settings», то ли в «Regional Settings» (забыл уже). Короче нашел ее, выключил. Заработало! А через некоторое время бац — опять ни один shortcut не работает. Полез смотреть — галочка снова стоит (вероятно политики или профиль востановился)! И так всегда.
В результате «тикет» в саппорте уже несколько лет назад, а воз и ныне там. А от использования этих shortcut-ов я уже и отвык.
Согласен, корпоративный софтварный мир — ад. Опять же, консультанты того же SAP часто показывают себя… Ням-ням-ням, совсем не по-программистски.
Давным-давно надо было с ними интегрироваться через какой-то там жуткий стандартный протокол, описываемый в стандартном же XML-подобном формате. На просьбу начать проверяться в ответ на прислали скрин из консоли SAP с надписью «XML успешно загружен». Робкие попытки наших менеджеров доказать, что это даже не начало работы, были пресечены…
В итоге, естественно, все надо было переделывать, т.к. SAP поддерживал только часть огромного стандарта, наша либа — другую часть стандарта…
И так — всегда. А еще были разные подверсии IIS на машинах, проблемы в настройке AD (админ отказался читать наши рекомендации по интеграции со словами «там же все просто»)…
В общем, я ушел из корпоративного мира.
Давным-давно надо было с ними интегрироваться через какой-то там жуткий стандартный протокол, описываемый в стандартном же XML-подобном формате. На просьбу начать проверяться в ответ на прислали скрин из консоли SAP с надписью «XML успешно загружен». Робкие попытки наших менеджеров доказать, что это даже не начало работы, были пресечены…
В итоге, естественно, все надо было переделывать, т.к. SAP поддерживал только часть огромного стандарта, наша либа — другую часть стандарта…
И так — всегда. А еще были разные подверсии IIS на машинах, проблемы в настройке AD (админ отказался читать наши рекомендации по интеграции со словами «там же все просто»)…
В общем, я ушел из корпоративного мира.
У нас такой же ад. Аудиторы безопасники заставляют выключать браузерное кэширование на сервере (expires -1) мотивируя тем, что: «не безопасно». Так же запрет на HTTP GET по той же причине.
Не избавиться нам от антивирусов, Microsoft даже в Nano Server встроил антивирус.
Sign up to leave a comment.
Аудит одного «медленного» приложения в одном крупном концерне