Журнал "Information Security/ Информационная безопасность" #6, 2023

Многие современные кибератаки проходят с использованием файлов как контейнеров для распро- странения и доставки вредо- носного кода. Потоковый антивирус способен обнару- живать и блокировать такие атаки на ранних этапах. Зачем нужен потоковый антивирус в NGFW Многофункциональ- ный межсетевой экран (так теперь называется NGFW по версии профилей ФСТЭК России) является первым рубе- жом обороны периметра. Основная его функция – не допустить злоумышленника внутрь защищаемого перимет- ра. Такое проникновение может быть реализовано различными способами, в том числе и с помощью вредоносного про- граммного обеспечения, пере- данного внутреннему пользо- вателю. Безусловно, трафик проходит целый ряд формальных фильт- ров от L4 до L7, чтобы выявить признаки, по которым его можно будет заблокировать. Но анализ содержимого сете- вого трафика с помощью пото- кового антивируса создает дополнительный эшелон защи- ты, который повышает шанс выявления такого вредоносного программного обеспечения еще до его попадания вовнутрь защищаемого периметра. Потоковый антивирус анали- зирует трафик в реальном вре- мени по мере его передачи, что позволяет выявлять и блокиро- вать вредоносные файлы и угрозы на самых ранних эта- пах, задолго до достижения конечного устройства. Потоковый антивирус может интегрироваться с другими функциями NGFW, такими как системы предотвращения втор- жений (IPS), контентная фильт- рация, идентификация прило- жений и др. для обеспечения комплексной защиты сети. Он может быть настроен в соответ- ствии с политиками безопасно- сти организации, что позволяет контролировать и блокировать определенные типы файлов или вредоносные паттерны. Кто и как его делает? Архитектурно потоковый антивирус можно условно раз- ложить на две компоненты – собственно сканирующий дви- жок и сигнатурные базы. Задача движка – быстрый анализ загру- жаемых данных на лету, задача сигнатурных баз – дать движку знать, что именно вылавливать в анализируемом потоке дан- ных. Движок делается командой программистов, сигнатурные базы – командой вирусных ана- литиков, занимающихся мони- торингом угроз, – они выявляют наиболее актуаль- ные угрозы и формируют пере- чень сигнатур, по которым их можно выявлять в потоке сете- вого трафика. Движок потокового антиви- руса представляет собой про- граммное ядро, которое выпол- няет анализ файловых объ- ектов, выявленных NGFW в потоке сетевого трафика на предмет вирусов и вредоносно- го программного обеспечения. Движок включает сканер, который работает в режиме реального времени и анализи- рует поступающие файлы. Ска- нер проверяет каждый переда- ваемый файловый объект на наличие признаков вредонос- ного кода. Движок может включать в себя различные оптимизации производительности, такие как кеширование результатов пре- дыдущих анализов, распарал- леливание обработки и другие техники для эффективной обра- ботки сетевого трафика без значительного снижения про- изводительности. Что будет без антивируса в NGFW? Очевидно, что отсутствие потокового антивируса в каче- стве одного из модулей NGFW снижает количество защитных механизмов на страже внешне- го периметра, что повышает риск проникновения вредонос- ного кода на компьютеры. А это, в свою очередь, повышает нагрузку на последующие рубе- жи обороны: как известно, без- упречных средств защиты не существует и всегда есть риск, что тот или иной образец вре- доносного кода пройдет через защитный слой. Поэтому чем больше у него на пути будет выстроено барьеров, тем ниже шанс, что вредоносный код смо- жет пройти их все. Многие современные кибер- атаки проходят с использова- нием файлов как контейнеров для распространения и доставки вредоносного кода. Потоковый антивирус способен обнаружи- вать и блокировать такие атаки на ранних этапах. Место потокового антивируса в NGFW Любой межсетевой экран нового поколения реализует определенную цепочку обработ- ки сетевого потока, которая состоит из последовательности тех или иных операций. По мере их выполнения NGFW принимает решение о том, что делать с ана- лизируемой порцией данных. 32 • СПЕЦПРОЕКТ Можно ли обойтись без потокового антивируса в NGFW? овременные межсетевые экраны следующего поколения (NGFW) помимо других модулей обработки трафика включают в себя и потоковый антивирус – инновационную технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика. Давайте рассмотрим ключевые аспекты работы этой технологии и выясним, в чем заключаются ее отличия от традиционных методов борьбы с угрозами. С Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб" 0+