ВЫБИРАЕМ АНТИВИРУС
Виталий ЯНКО
Вне
зависимости от размеров предприятия и масштабов его деятельности правильный
выбор программного средства для защиты информации от кражи или потери может
сыграть ключевую роль.
Незначительная трата средств на хороший антивирус, в конечном счете, всегда
многократно окупается во время чрезвычайных происшествий, которые, случаются
даже при высоком уровне компетенции ИТ-отдела.
В этой статье мы расскажем об основных критериях, которыми
можно руководствоваться при выборе того или иного антивирусного решения для
офисных компьютеров, исходя из поставленных задач. Среди этих критериев мы
отметим две группы: «безопасность» (в ней мы выделим, какие компоненты
обеспечивают защиту от вирусов) и «удобство» (простоту установки, скорость
сканирования и гибкость настройки интерфейса). Чтобы не быть голословными,
мы протестируем их в работе – просканировав выборку вирусов, найденную в
Интернете.
Офисная компьютерная техника традиционно является менее «гибкой» в отношении
модернизации по сравнению с домашним компьютером. На практике это означает,
что ИТ-отдел редко ставит перед собой задачу следовать неотступно за
техническим прогрессом и устанавливать самое «свежее» аппаратное
обеспечение. В результате апгрейды техники случаются одновременно для всего
парка машин и преимущественно на не самую новую конфигурацию. В свою очередь
на офисных компьютерах используются достаточно тяжеловесные операционные
системы, как, например, Windows Server 2003, а на мобильных ПК (например, на
ноутбуках сотрудников) - Windows Vista Home Premium или Windows Vista
Business, установленные на не «топовые» модели процессоров и не на
гигантские объемы оперативной памяти. Поэтому при выборе антивирусного
решения имеет смысл обращать внимание в первую очередь на требования к
системе, которые являются трудноизмененяемыми в краткие сроки.Скорость
работы антивируса, зависящая от производительности системы, определяется
алгоритмами, использующимися в антивирусном механизме. Он отвечает за три
основных действия – поиск вирусов (детектирование), удаление/лечение
зараженных файлов и восстановление системы от деструктивных последствий
заражения вирусами. Для офисных систем важно выбрать ту или иную стратегию
защиты – максимальный процент детекта, максимально короткое время
сканирования, максимально безопасное удаление/лечение вирусов и файлов, ими
зараженных. Какого-то единого продукта, объединяющего в себе все три
вышеперечисленных стратегии, не создано: «быстрые» сканеры пропускают вирусы
или их быстрота измеряется только в режиме сканирования, но никак не
удаления/лечения; достаточно мощные решения, детектирующие все
подозрительное программное обеспечение могут удалить и вполне легальные
файлы, причем без возможности отката операции. В основном, высокая скорость
детектирования вирусов важна при проверке, например, почтовых вложений или
сканирования сменных носителей (флэш-драйвов, компакт-дисков) – чем
оперативнее сотрудник убедится в том, что риск заражения из легко
устраняемого источника (диск можно вытащить, флэшку извлечь, письмо удалить)
достаточно высок, тем проще предотвратить распространение вредоносного
контента и потерю информации. Максимальный уровень детектирования необходим
в большей степени для установки антивируса во внешнем периметре офисной сети
– чем большее количество угроз будет определено либо сигнатурным, либо
проактивным (поведенческим блокиратором), либо эвристическим механизмом, тем
меньше вероятность проникновения внутрь сети вирусов и других типов более
коммерчески нацеленных вредоносных программ, таких как программ-шпионов,
кейлоггеров и троянов, сутью которых является получение конфиденциальной
информации от пользователя, или зомбирующих программ, которые
разрабатываются для распространения в рамках зараженных сетей своих копий.
Безопасное удаление/лечение файлов критически важно для обеспечения защиты
данных на офисных машинах, особенно в последнее время, когда злоумышленники
разрабатывают шифровальщики данных, делающие невозможным работу с
зараженными ими документами (дешифровальщики соответственно предлагаются на
коммерческой основе создателем вируса). Кроме того, каждый тип вирусного
заражения требует особого подхода при лечении: файл, зараженный вирусом
определенного типа, может быть вылечен только тем антивирусом, в сигнатурах
которого имеется информация о том, какие особенности имеет этот вирус, в чем
заключается его деструктивное поведение, и именно поэтому антивирус способен
устранить последствия вирусного заражения...
Не менее важным критерием для выбора антивируса являются и затраты на его
внедрение – от вполне понятых (стоимость лицензии и подписки на обновления,
интеграции в систему обеспечения информационного безопасности предприятия)
до косвенных (сопровождение антивирусного решения ИТ-отделом без обращения в
службу техподдержки вендора продукта). Под этим подразумевается насколько
просто работать с антивирусом – простота установки и конфигурирования,
возможность автоматизации работы самой программы (для того, чтобы она не
отвлекала работников, незанятых в обеспечении информационной безопасности,
всплывающими уведомлениями или вопросами, требующими мгновенного принятия
решений), а также удаление продукта без серьезного вмешательства в рабочую
среду офисных компьютеров (переустановка операционной системы и софта для
выполнения повседневных задач влечет за собой простой работы на определенный
период времени).
Рассмотрим теперь самые популярные антивирусные решения с позиции
соответствия заявленным в начале статьи критериям. Обычно у пользователей на
слуху названия «Антивирус Касперского», «Доктор Веб», сейчас назовут и
NOD32, и Norton Antivirus. Менее популярен Panda Antivirus, равно как и
новейший продукт от Agnitum – Outpost Antivirus Pro. Но наша задача оценить
данные антивирусы с точки зрения выбора программы для защиты данных для
офисных компьютеров, а не для очередного рейтинга цитирования в СМИ.
Антивирусное решение от «Лаборатории Касперского» является де-факто одним из
лидирующих в мировом рейтинге защитного соф-та, поэтому наш обзор мы начнем
с рассмотрения Kaspersky Antivirus 7. Дистрибутив приложения имеет
достаточно удобный инсталлятор, который позволяет выбрать необходимые
компоненты для установки. По окончании установки пользователю предлагается
сконфигурировать работу антивируса, выбрав политику поведения сканера
(обновление и запуск), после чего приложение запускается. Настроек у сканера
достаточно – по умолчанию выставлены средний уровень эвристики и отключен
расширенный поиск руткитов, включены технологии ускорения сканирования папок
(iChecker и iSwift). Деинсталлятор позволяет практически бесследно удалить
приложение из системы.
Антивирус DrWeb в процессе установки также позволяет выбирать компоненты,
которые необходимы пользователю. Важно отметить, что в самом начале
пользователю предлагается согласиться с тем, что Dr.Web не будет работать на
компьютере с другим антивирусом – на практике совместная работа приводит к
краху системы. По окончании инсталляции антивирус принудительно запускает
экспресс-проверку системы: проверяются наиболее уязвимые места (процессы в
памяти, каталог установки системы, временные каталоги установки и другие
области). Особых настроек у сканера нет, по умолчанию включен эвристический
анализ, а при обнаружении любого типа вредоносного программного обеспечения
появляется соответствующее информационное сообщение. Важно отметить, что
Dr.Web позволяет вылечивать инфицированные файлы, а не при невозможности
сделать это – удалять или перемещать в карантин. Однако обе эти операции
небезопасны по отношению к данным, о чем свидетельствует соответствующее
уведомление. Денисталляция антивируса проходит стандартно, без оставления
серьезных «следов» в системе.
Антивирусное решение Panda Antivirus 2008 устанавливает по умолчанию все
компоненты, но является, вместе с Norton Antivirus, антивирусом, который при
установке не загружает последние базы обновлений. После установки
пользователю придется обновлять как сами базы антивируса, так и сам
антивирус, так как в главном окне будет написано, что уровень защиты –
низкий. По умолчанию в сканере не активирован эвристический движок. С
обнаруженными вирусами программа поступает «по-своему» - в первую очередь
пытается вылечить, затем переименовывает в файл с расширением .vir или
удаляет. Panda Antivirus удаляется практически не оставляя «следов».
Norton Antivirus де-факто является для многих пользователей самым первым
антивирусом на новом компьютере, особенно, если это ноутбук. Однако его
можно установить и на обычный компьютер, правда, сама процедура установки
самая длинная по времени из всех представленных продуктов. В ходе установки
пользователю предлагается загрузить последние обновления баз и проверить
компьютер на вирусы. Интерфейс окна антивируса очень запутанный – чтобы
добраться до настроек нужно перейти с вкладки основного окна на вкладку
антивирусного модуля, там найти кнопку Options и в отдельном окне выбрать
раздел Manual Scanning. По умолчанию включены настройки для поиска руткитов
и «следящих cookies», а также кейлоггеров. Для корректной деинсталляции этой
антивирусной программы выпущена отдельная утилита.
Антивирус NOD32 3 позиционируется как «скоростной» антивирусный сканер с
расширенной эвристической защитой. Устанавливается он стандартно, как и все
продукты, по умолчанию настройки сканера высокие. Интерфейс несколько проще,
чем у Norton Antivirus, правда, все равно до необходимых пунктов меню
приходится добираться некоторое время. Особое внимание уделяется возможности
автоматической очистки без вмешательства пользователя в процессе
сканирования, однако эта опция серьезно замедляет работу антивируса.
Удаление антивируса не вызывает проблем.
Outpost antivirus Pro – самый молодой из представленных в тесте продуктов от
еще одного лидера отрасли защитного программного обеспечения, Agnitum,
известного по своему файерволлу Outpost Firewall pRO и IS-решению Outpost
Security Suite. Отдельное приложение антивируса выполнено по той же
идеологии, что и OSS/OFP. В процессе установки отдельного упоминания
заслуживает SmartScan – анализатор файлов, позволяющий ускорить сканирование
областей проверки. По умолчанию настройки сканера Антивирус+Антишпион
позволяют достичь высоких результатов, как на скорости сканирования, так и
на уровне детектирования угроз. Проактивная защита Outpost Antivirus Pro в
свою очередь помогает выявить неизвестное вредоносное ПО, которое
маскируется под легальные приложения, например, встраивается в веб-браузер.
При удалении антивирус не оставляет «следов» в системе.
В процессе тестирования антивирусных решений мы проверяли их на скорость
сканирования папки размером 520 Мб с 2072 зараженными файлами на
операционной системе Windows Vista, установленной на двухъядерный компьютер
с ОЗУ 512 Мб. Практически все более-менее современные компьютеры могут
стабильно работать со всеми антивирусами, рассмотренными в статье, хотя
некоторые из них (Norton antivirus, Panda Antivirus, NOD32) достаточно
серьезно загружали ЦП. Полученные результаты мы оцениваем по 10-балльной
шкале, где 10- максимальный балл, а 0 – минимальный. Результаты тестирования
отображены в Таблице.
Среди представленных программ можно выявить несколько лидеров:
Уровень детекта: Outpost Antivirus
Гибкость настройки интерфейса:
Outpost Antivirus, Kaspersky Antivirus, NOD32 3
Скорость сканирования: Outpost Аntivirus
Простота установки и удаления: Panda Antivirus, Outpost Antivirus
.
|
