С недавним проблемы У клиентов McAfee за последнюю неделю было много мнений о том, что не только поставщики антивирусных программ должны лучше тестировать, но и клиенты должны тестировать сигнатуры антивируса перед развертыванием.
Возможно ли это? Если вы это уже делаете, принимаете ли вы другие меры для минимизации воздействия вредоносных программ во время тестирования?
Обновить: Что касается выполнимости, я имею в виду, возможно ли выполнить весь спектр тестов для каждого обновления сигнатур / определений AV, или вы ограничиваетесь только критическими приложениями или критическими функциональными тестами? Есть ли у вас другой подход к серверам по сравнению с настольными компьютерами?
Не должно возникнуть особых проблем с настройкой тестовой среды, которая сначала получает определения (через час или как это возможно с вашим поставщиком AV), и любые предупреждения AV, которые он генерирует, останавливают развертывание в масштабах компании, пока кто-то не подтвердит это.
Настройка этого для ручного тестирования обречена на провал, как кто-то сказал, из-за скуки, а не потому, что это невозможно.
Но просто чтобы включить некоторую перспективу в «дебаты», когда речь идет о Windows, переключитесь на что-то вроде политик ограниченного использования программ или в Windows 7/2008 R2, значительно улучшенную версию под названием AppLocker - здесь используется более зрелый подход, позволяющий только определенным программам беги, а не наоборот ...
... вы также можете сделать это с сертификатами кода, так что все приложения Microsoft разрешены, а приложения внутренней разработки разрешены - без необходимости указывать отдельные исполняемые файлы.
При правильной реализации программное обеспечение AV не требуется.
Сегодня я не могу придумать никаких брандмауэров, которые начинались бы со слов «разрешить все, кроме указанного вредоносного трафика». Если кто-то плохо поработал, все они «блокируют все, кроме специально разрешенного трафика».
Используя собственный сервер управления AV-клиентом ePo (ePolicy Orchestrator) McAfee, вы можете сделать именно это - сочетая планирование при загрузке данных из McAfee и настройку тестовых машин на получение обновлений до того, как все население сможет опробовать данные для за день или два до их развертывания. Я полагаю, что у большинства «корпоративных» AV-решений будут аналогичные механизмы.
Однако у меня есть 2 проблемы с этим:
1) За какие 5-6 лет вам станет скучно - 1 хитрый из нескольких тысяч?
Это сводится к простому уравнению рентабельности - если несколько сотен «человеко-часов» тестирования каждый год будут стоить меньше, чем потеря прибыли, вызванная потерей обслуживания из-за хитрого обновления (Коулс Супермакетс например), то конечно сделайте это.
2) Что еще более важно, очень важно как можно скорее довести до сведения пользователей новые определения. Проиллюстрировать; только на прошлой неделе мне вручили USB-накопитель, зараженный вредоносной программой типа Autorun - этого не было в текущих данных, и он был обнаружен с набором определений в следующие дни (я обнаружил его только потому, что использовал Mac, и увидел подозрительные файлы).
По сути, McAfee никогда не должен был выпускать DAT-файлы, содержащие ложное срабатывание системного файла Windows! Мы платим McAfee значительную сумму денег каждый год и надеемся, что их контроль качества будет лучше!
---Редактировать----
Кстати, думал ли об этом кто-нибудь еще? xkcd когда увидели кассовые аппараты с антивирусным ПО ...
Следует помнить, что чем дольше вы ждете развертывания определений, тем дольше открывается окно возможностей для внедрения новых инфекций.
Предполагается, что поставщик антивирусных программ будет проводить испытания, и McAfee признал, что они провалили свои внутренние тесты.
Чтобы вы могли его протестировать, вам потребуется смоделированная среда, в которой выполняется машина каждого из ваших развертываний с точной установкой dll, комбинациями приложений, комбинациями обновлений и т. Д.
... так что в принципе у вас, вероятно, не будет гарантии, что вы поймаете крайние случаи.
НО вы можете контролировать эффект, используя резервные копии. Возможно, вам не удастся предотвратить бедствия, но вы можете контролировать их исход; Наличие доступных резервных копий означает, что вы можете восстановить их и онлайн, и вы сможете откатить изменения (обычно последняя проблема McAfee была случайностью, которая в тот раз поразила Windows в мозгу, но как только люди узнали, что ее вызвало, по крайней мере, файл можно было скопировать с загрузочного диска Linux по его звуку ...)
В конце концов, вы просите продублировать большую часть работы с небольшой отдачей и повышенным риском для ваших пользователей. Было бы лучше, если у вас есть периодические резервные копии, чтобы вы могли восстановить свои пользовательские системы и защитить их данные.
Если вы полагаетесь в первую очередь на эвристическое обнаружение, а не на сигнатуры, то обновлений будет меньше. Поэтому нужно тестировать меньше обновлений. Мне хотелось бы думать, что мы медленно движемся в этом направлении.
Благодаря этому базовому эвристическому обнаружению у вас будет больше времени для тестирования обновлений. И вы можете довольно легко запустить эти обновления на сервере непрерывной интеграции или сборки, как это делают разработчики. Однако для этого потребуется довольно много инфраструктуры, особенно если вы тестируете все возможные настройки, которые используются на вашем предприятии.
Вы можете перейти к подмножеству, скажем, 10% гораздо чаще. Если ваш телефон начинает звонить, значит, проблема есть хотя бы на 10% ваших компьютеров. Мы использовали этот метод для развертывания обновлений Windows, мы делали 10% на 2 дня, а затем на остальные компьютеры. Вы также можете найти поставщика AV, который имеет лучшую репутацию в том, что он не использует ваши системы.