Антивирусная защита электронной почты – ключевой элемент борьбы с вирусами

31 января 2005

Антивирусная защита электронной почты – ключевой элемент борьбы с вирусами



	Скида Максим Александрович, руководитель отдела по работе с корпоративными клиентами ЗАО "ДиалогНауки"

Обзор современного состояния проблемы информационной безопасности

На современном этапе развития российского и мирового бизнеса не возможно нормальное протекание бизнес процессов без развитой информационно-телекоммуникационной структуры, построенной с использованием высоких технологий. Сегодня информационные технологии во многом определяют успех в деятельности организаций любого уровня от малого предпринимательства до общенациональных государственных, коммерческих и организационных структур.

С широким внедрением современных информационных технологий информация становится все более «уязвимой», а ее уничтожение, изменение или хищение могут привести к колоссальным потерям – материальным, временным, психологическим.

История массового распространения компьютерных вирусов насчитывает всего 15 лет, и за это время уже прошло несколько разных «эпох» – вирусы для исполняемых файлов, вирусы-невидимки, макро-вирусы, полиморфные вирусы, троянские программы, script-вирусы и пр. Вирусы и троянские программы приносят много неприятностей и потерь пользователям компьютеров.

По данным специалистов в области компьютерной экономики в 2003 году ущерб от компьютерных вирусов крупного бизнеса (компаний, входящих в список Fortune 500) составил около 18 млрд. долл. Это верхушка «айсберга». Реальные ущербы с учетом других компаний, государственных структур и частных лиц в десятки, сотни раз выше.

В связи с появлением новых вирусных угроз, разработчики антивирусных программ постоянно совершенствуют механизмы по обнаружению вирусов и лечению зараженных файлов.

Во многих случаях хорошее решение для обеспечения эффективной защиты некоторой информационной системы от заражения компьютерными вирусами удается получить, если нацелить средства защиты на антивирусную фильтрацию трафика в тех точках системы, где происходит обмен информацией между системой и внешним миром.

Практическая реализация этого подхода требует от антивирусных средств максимальной гибкости, возможности интегрировать их в самые разные системы обработки данных.

В настоящее время основным каналом распространения вирусов являются сервисы глобальной сети Интернет, и прежде всего электронная почта. Антивирусная фильтрация почтовых потоков позволяет решить задачу антивирусной защиты корпоративной сети более чем на 90%.

Анализ тенденций развития вирусных технологий

Очевидно, все большее число вирусов будут ориентироваться на Интернет. Привлекательные для вирусов возможности Сети уже в достаточной мере оценены и опробованы:

быстрый канал для распространения;
наличие многочисленных сервисов информационного обмена;
наличие сети, которая связывает огромное количество компьютеров, причем, большая часть пользователей этих компьютеров слабо разбирается в современных информационных технологиях.

Также намечается тенденция все более широкого использования вирусами разного рода ошибок в системном и прикладном программном обеспечении, позволяющих вирусному коду автоматически запускаться на уязвимой системе. Это можно проследить по все чаще возникающим эпидемиям такого рода вирусов - SirCam, CodeRed, Nimda, Aliz, BadtransII (это наиболее известные эпидемии 2001 г.); Win32.HLLM.Klez.1 и Win32.HLLM.Klez.4 ("лидеры" 2002 г.), Win32.HLLM.Avril, Win32.HLLM.Reteras (2003 год), и новинки 2004 года – вирусы MyDoom и NetSky. В настоящее время в сети Интернет обнаруживается постоянное присутствие перечисленных выше вирусов – процент обнаружения этих вирусов на почтовых серверах небольшой, но постоянный.

Основные элементы антивирусной защиты электронной почты

Автоматическая антивирусная проверка всех входящих почтовых сообщений позволяет закрыть «главные ворота» проникновения вирусов в корпоративную сеть.

Например, для UNIX-систем, которые в последнее время все чаще используются как платформа для серверов электронной почты, серверов других ресурсов сети Интернет, и серверов баз данных, удобным антивирусным решением является специализированный антивирусный демон (daemon).

Демон, фактически, представляет собой постоянно загруженный в память антивирусный процессор, которому по [документированному] высокоуровневому протоколу можно передавать данные (файлы) для собственно антивирусной проверки. Таким образом, демон может быть использован практически в любых схемах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Требуется только создавать некоторое промежуточное программное обеспечение, отвечающее за согласование протоколов: протокола обмена данными соответствующей программной системы с внешним миром и протокола обмена с демоном.

ДиалогНаука предлагает антивирусное решение для платформы UNIX из семейства Dr.Web®, которое представляет собой антивирусный демон и интеграцию его с самыми популярными почтовыми серверами. В настоящее время имеются готовые решения для интеграции демона со следующими системами: с почтовыми шлюзами CommuniGatePro, Sendmail, Postfix, Exim, QMail и Zmailer, Courier-MTA, Mobico MIO mail server.

Интеграция специализированного антивирусного демона в «узких» местах информационных потоков позволит в значительной степени решить проблему распространения компьютерных вирусов. По оценкам специалистов службы антивирусного мониторинга ЗАО «ДиалогНаука», внедрение подобного решения на 70% почтовых серверов и Интернет-шлюзов позволит решить проблему глобальных вирусных эпидемий.

Для увеличения уровня антивирусной защиты, ДиалогНаука предлагает дополнительную антивирусную фильтрацию почтовых потоков на рабочих станциях. Для этого антивирус Dr.Web® для рабочих станций Windows 95-XP снабжен специальным модулем антивирусной фильтрации почтовых протоколов SMTP и POP3 – SpIDer Mail. Этот модуль позволяет обеспечить антивирусную проверку почтовых потоков непосредственно на рабочей станции, что позволяет избежать распространения вирусов внутри корпоративной сети в том случае, если вирус проник не через входящую электронную почту (например, через инфицированные файлы на дискетах, CD-дисках или других носителях информации).

Кроме этого, для снижения нагрузки на почтовый сервер, ДиалогНаука рекомендует весь входящий почтовый трафик пропускать через антиспамовый фильтр (для этого стоит организовать входной SMTP-шлюз, на который установить антиспамовую проверку). Такой подход дает несколько преимуществ:

общее снижение объема информации, попадающего в корпоративную сеть, что дает экономию в аппаратных ресурсах по ее хранению и обработке;
значительное снижение нагрузки на антивирусный фильтр, так как ему не нужно будет проверять спамовые сообщения.

375