Честни тестове по информационна безопасност: оценка на работата на "виртуалните" антивируси

Честни тестове по информационна безопасност: оценка на работата на "виртуалните" антивируси
5 September 2011

Честни тестове по информационна безопасност: оценка на работата на "виртуалните" антивируси

// Antivirusni.BG //  Тестови лаборатории разработват нови методики за оценки на системите за бързодействие в информационната безопасност (ИБ) за виртуални среди. Тези методики позволяват да се оцени нивото на производителност на антивирусите. Но "успеваемостта" на антивирусите зависи от много показатели, които далеч не винаги се отчитат при оценката.

Явявайки се едно от най-добрите средства за намаляване на капиталовите и експлоатационни разходи, виртуализацията днес набира обороти. Именно затова антивирусната защита на виртуалните среди днес е особено актуална. Независимо от това много от организациите правят грешка, смятайки, че решението по ИБ, което успешно се експлоатира на физическия сървър, ще работят със същия резултат и на виртуалната машина.


Виртуализацията на сървърите е в основата на облачните технологии, това, с което в действителност започва виртуализацията

В действителност традиционните средства, функционирайки в "облаците", могат да създават различни проблеми (например, "антивирусeн щорм", когато всички виртуални машини започват едновременно да правят проверка на хард диска по разписание и хипервизора заради огромното сумарно натоварване увисва), и така реално анулира цялата изгода от повишаването на производителността.

Два варианта

Преди да оцените един или друг продукт за ИБ за виртуални среди, важно е да се разбере, че има два  типа виртуализации: виртуализация на сървъри и виртуализация на работни станции.Тези процеси се развиват независимо един от друг и скоростта на развитие също много се различава.

Виртуализацията на сървъри - това е основата на облачните технологии, това, с което в действителност започва виртуализацията; това с което, като правило оперират при разговора с клиента доставчиците на услуги. Изгодите са и очевидни: съкращаване на парка на физическите изчислителни машини, консолидацията им в едно място, и като резултат - икономия от мащаба. Икономическия ефект се достига за сметка на това, че традиционно една сървърна задача работи на един физически сървър. А значи, че ползването ресурси в най-добрия случай е около 5–10%. Затова с помощта на виртуализацията, когато на един физически сървър работят множество виртуални машини, може да доведат до 90% натоварване.

Сега виртуализацията на сървъри, може да се каже, стана промишлен стандарт де-факто. Според някои разчети, днес по целия свят виртуализацията е обхванала вече около 40% от всички сървъри. Причината е очевидна – изгодата може да се демонстрира нагледно, техническата реализация не предизвиква големи проблеми. Накрая за доставчика не представлява проблем да продаде услугата, да обясни на клиента, какво именно се внедрява и за какво е нужно това.

Втория процес е виртуализацията на работни станции - широко разпространение не е получил все още. Предимствата на този метод е в това, че всички данни и приложения се съхраняват в един дейта-център - така те по-лесно се обслужват. Но от друга страна се изискват устройства за достъп, и те също трябва да се обслужват по някакъв начин, контролират, да им се извършва мониторинг. Тоест плюсовете, въпреки, че ги има, не са така очевидни, както в случая с виртуализацията на сървърите.

И цял антивирус е малко

Подходите към осигуряване на безопасността на тези два процеса също се различават силно. В първия случай, при сървърната виртуализация е много важно да се осигури комплексен подход към защитата на информацията, тоест да решите не една, а редица задачи. Според думите на Денис Безкоровайной, технически консултант в представителството на компания Trend Micro в Русия и ОНД, за защита на сървърите не е достатъчно да имате само антивирус. Антивируса е малка част от голямото цяло.

Първо, трябва да се осигури откриването и предотвратяването на атаки както към самата операционна система на гостевата машина, така и на нейните приложения. Това е важно, тъй като във виртуалната инфраструктура на машините те могат да се появяват мълниеносно, често те се разгръщат остарели образи, в които се съдържат множество уязвимости. Тоест повърхността на атаките във виртуална инфраструктура са значително повече отколкото във физическа, където сървърите се обслужват и обновяват постоянно, а новите се появяват достатъчно рядко и под внимателен контрол. Второ, изисква се реализация на между мрежово екраниране, което за виртуалните сървъри изглежда по друг начин не както при физическите машини. Та нали, ако няколко виртуални машини едновременно работят на един и същи хардуер, трафика, в някои случаи, не преминава през традиционните физически защитни стени. А това означава, че възниква потенциална заплаха от несанкционирани мрежови свързвания, което в крайна сметка може да послужи за механизъм за атаки. Третата задача е защита срещу вируси. Четвъртата е откриване на подозрителна активност вътре вътре във виртуалните сървъри, свързани с човешкия фактор, например, с дейността на системните администратори, сътрудници и т.н. "В Trend Micro комплексната безопасност на виртуалните машини става с продукта Deep Security. – коментира Денис Безкоровайной. – В частност, в него има модул за контрол на целостта на файлове, папки, регистър и други параметри вътре в тези виртуални сървъри, а също и модул за анализ на събития в ОС и приложенията, който позволява да се следи подозрителната активност".

В случая със защитата на виртуалните работни станции също съществуват различни варианти за осигуряване на ИБ. В едно от тях агента за безопасности се слага на всяка виртуална машина. Във  втория случай се отделя една виртуална машина, която защитава всички останали. "Ако се говори за виртуализация на работни станции, то Trend Micro има за тяхната защита два продукта. Единия е вече споменатия Deep Security, а втория – нашия класически антивирус, оптимизиран за работа във виртуална среда, чиито агент се инсталира на всяка виртуална машина", - дава пример г-н Безкоровайной. "Използването на един или друг вариант зависи от задачите, например, ще работят ли виртуалните работни станции извън дейта центъра (Local Mode) или не.

Как да измерим смока?

Най-много въпроси сред производителите на средства за ИБ предизвикват изследванията, правени от тестови лаборатории. Често ситуацията напомня на стария анекдот: "От носа до опашката са 2 метра, от опашката до носа – 10 метра. Нашия смок: както искаме така го и мерим". Често едни и същи продукти успяват да заемат в един тестов отчет първо място, а в друг – значително да изостанат от конкурентите. Нещо повече, тези различия могат да се срещат в различни отчети на една и съща тестова лаборатория.

Една от причините е съществуването на поръчани тестове, тоест изследвания, които се правят от тестовите лаборатории по поръчка на конкретния производител. Като правило, в такива спонсорирани тестове побеждава този, който поръчва музиката. При това съвсем не е задължително да се дават фалшиви цифри: достатъчно е малко да се поиграе с настройките, да се включи, където трябва, определените опции, а където трябва да се изключат. "В един от официалните тестове наш продукт бе сравняван с други, без да се включат в него някои настройки, които силно влияят на бързодействието във виртуална среда, - дава пример Денис Безкоровайный. – Още от април 2010 година имаме функция "бял списък на файлове" (Base Image Whitelisting). Това са файлове, намиращи се вътре в "златния", тоест еталонния VDI-образ на операционната система, от който се разгръщат всички работни станции. При включване на тази опция на системата за ИБ дава команда да не сканира файловете от златния образ, тъй като те вече са проверени. Тази функция ускорява процеса на сканиране. Но при теста тя е била изключена, нещо което са потвърдили специалистите, извършващи теста".

Друг вариант: може да се оповестят само тези резултати, в които "нужния" продукт се е държал добре. Например, може да се покаже, че антивируса по време на сканиране прави по-малко запитвания към хард диска, отколкото продуктите на конкурентите. Несъмнено, това е плюс, но трябва да се има предвид, че на бързодействието на VDI-средата влияе не един, а няколко показателя. Всеки продукт за ИБ изразходва определено количество процесорно време, заема някакъв обем оперативна памет и извършва някакво количество процедури вход/изход към хард диска. И само съвкупността на тези три фактора в процеса на защита на всички машини определя реалното бързодействие във виртуалната инфраструктура. Ако все пак говорим за натоварване на хард диска, трябва да се отбележи, че пика на обръщане към диска при антивирусните продукти става не само в момента на сканиране, но и по време на обновяване на сигнатури, което може да става няколко пъти на денонощие. Безагентския подход към защитата, предлаган от компания VMware през интерфейса vShield Endpoint, позволява да се съхранява само едно копие на сигнатури на машината за безопасност (Security Virtual Machine), при това липсва необходимост от обновяване на сигнатури на всяка защитавана гостева машина, тоест рязко се снижава натоварването на хард диска.

Още един пример. Антивируса има три варианта на работа: пускане по команда, пускане по разписание и постоянно следене на всички действия на компютъра за безопасност. В някои отчети се дават резултати само от един режим на работа, например, сканиране по команда, и се забравя оценката в режим на следене на всички действия на компютъра за потенциална зловредност. Прилагано към VDI-среда пускането по команда и по разписание може да не е актуално, тъй като е в някои сценарии виртуалната машина съществува само за времето на сеанса на работа на ползващия. Общото потребление на ресурси на хипервизора (паметта, CPU и заявките към хард диска) по време на постоянен мониторинг (Real-time scan) - ето това е действително важно за производителността на VDI-средите.

В търсене на рецепти

През февруари 2011 година в лаборатория Tolly Group бе направен тест, според чиито резултати продукта Trend Micro Deep Security 7.5 изпревари конкурентната продукция по много показатели. Включително демонстрира и по-ниско ниво на натоварване на хоста, оперативната памет и системата на дисковия вход/изход. "Нашата система разбира, на какъв физически сървър се намира всяка виртуална машина, - обяснява технологията на Trend Micro Денис Безкоровайной. - И пуска само по една проверка на един физически сървър. Така натоварването се снижава до минимум. Например, ако има 10 физически сървъра, то едновременно се пускат не повече от 10 проверки".

За защита на виртуална среда са важни и други възможности на продуктите, отчитащи нейната динамичност. Тъй като едновременно може да се създават множество виртуални машини, например, те могат да се разгръщат от шаблони или да се инсталират от дистрибутив, важно е веднага в автоматичен режим да бъдат защитени, без да се чака докато към тях се обърне администратор по безопасност. За такива нови машини ще е особено актуална, освен стандартната антивирусна защита, защита от уязвимости в ОС, та нали шаблоните и дистрибутивите много бързо остаряват и съдържат незакърпени "дупки", през които системата може да бъде компрометирана. Не губи своята актуалност тясната интеграция с инфраструктурата на виртуализация както на ниво интерфейси на защита, така и на ниво системи за управление, благодарение на което може да се осигурява защита на виртуални сървъри и работни станции без използване на програми-агенти. Така максимално работи всичко това, което VMware позволява да се прилага за оптимизация на процеса. Например, метода на защита без агенти е по-ефективен по брой обръщения към CPU и паметта. Това е особено видно при обновявана е на сигнатури и сканиране по разписание.

Използване на възможностите на платформата и интеграция с нея е една от основните рецепти за бързодействие в системите за информационна безопасност във виртуални среди.

Избора на средства за информационна безопасност, още повече за защита на виртуални инфраструктури, не е лесна задача, в нейното решаване си струва да се основаваме на потребностите на конкретната организация и инфраструктура, а също и да се отчитат специфичните рискове, които и трябва да снижи избирания продукт.

Сергей Филимонов / CNews


Сканирай файл онлайн с Metascan!

Премахни антивирус с AppRemover!



Въведи своя e-mail и получавай

свежите намаления и новини!