Назад | Перейти на главную страницу

Как заставить антивирусное ПО работать медленнее и, следовательно, использовать меньше доступа к диску?

Наша политика заключается в том, что компьютеры наших конечных пользователей (обычно ноутбуки) должны иметь мощные процессоры, графические процессоры, оперативную память (не менее 16 ГБ) и место на жестком диске (1 ТБ), но мы экономим деньги, выбирая более низкую скорость вращения жесткого диска. Вместо этого у нас очень высокая скорость вращения наших серверов. Обычно работает неплохо, но проблемы возникают с антивирусами. Я могу наблюдать в диспетчере задач, что если общий доступ к диску (для всех процессов) превышает 4-5 МБ / с, то диспетчер Taks указывает на 100% использование доступа к диску, а другие приложения заметно замедляются. Обычно антивирусное программное обеспечение, особенно процесс сканирования, занимает большую часть доступа к диску. Конечно, я могу назначить более низкий приоритет антивирусному программному обеспечению, но это влияет на использование процессора (что не является проблемой). Но можно ли замедлить процесс доступа к диску антивирусным сканером? Это нормально, что каждый загруженный файл, каждая открытая веб-страница сканируется в реальном времени, но я не вижу необходимости иметь высокий доступ к диску и выражать потребление ресурсов для длительных процессов фонового сканирования дисков. Мы используем многие наши компьютеры для программирования, поэтому каждый из них может содержать около 5 000 000 файлов и более (не более 15 000 000 файлов). Итак - сканер пытается быстро обработать все эти файлы, и работа невозможна.

И по поводу возможности выполнять сканирование во время простоя / обслуживания. Что ж - важно подчеркнуть, что мы используем в основном ноутбуки для конечных пользователей, многие из них берут свои компьютеры домой, имеют гибкие графики. Итак, нет временного окна, которое можно было бы запланировать специально для работ по техническому обслуживанию. Так что - это не вариант. Интересно, почему антивирусные компании не думают об удовлетворении потребностей клиентов?

Если вы не можете найти ответ, который может решить вашу проблему напрямую, рассмотрите тот, который все еще решает основную проблему *.

Если сканирование невозможно завершить в нерабочее время, разбейте его на части, которые можно выполнить таким образом; например сканировать сканировать каталоги X, Y и Z по понедельникам, средам и пятницам, а остальные - вт / чт / сб.

И, возможно, сканировать часто меняющийся каталог W каждый день и архивировать каталог V только каждое воскресенье ...

* Edit: После того, как я ответил, Эса пошла на шаг дальше, чем я, с хорошими результатами.

Когда в последний раз запланированное полное сканирование действительно обнаруживало что-то, что вызывало реальный риск? Что-то, что еще не было найдено и не было бы найдено, прежде чем могло бы причинить вред? Сегодняшняя защита от вредоносных программ в реальном времени и надеюсь многослойный:

  • Вы предотвращаете доступ к известным вредоносным источникам; сайты, указанные как зараженные, припаркованные домены и т. д.
  • Решение межсетевого экрана / IPS / UTM обнаруживает вредоносный контент из трафика на многих уровнях.
  • Защита от вирусов на локальном компьютере сканирует файл при его загрузке, при загрузке в память и при каждом доступе к файлу. Вредоносный файл не причиняет вреда, просто стоя на жестком диске.
  • Контент сканируется по известным сигнатурам, как и раньше, но современные антивирусные решения (на UTM, на локальном компьютере или на обоих) могут выполнять дополнительный анализ поведения, песочницу и машинное обучение. Самый агрессивный метод - это занесение в белый список, когда каждый исполняемый файл необходимо протестировать в песочнице и определить как безопасный до того, как он пройдет.
  • Если вредоносная программа начинает подключаться к другим компьютерам, она может снова обнаруживаться на IPS.

Все это вместе делает бессмысленным регулярное полное сканирование. Если на других уровнях защиты обнаружено что-то подозрительное, можно запустить полную проверку вручную.

Регулярные обновления намного важнее регулярных проверок. В соответствии с Fortinet:

Но проблема заключается не только в этих громких атаках, нацеленных на недавние уязвимости. Во втором квартале 90% организаций зафиксировали эксплойты к уязвимостям возрастом от трех лет. И 60% фирм испытали успешные атаки на устройства, для которых патч был доступен десять и более лет!

Поскольку многие организации не спешат исправлять или заменять устройства и системы с известными уязвимостями, киберпреступники отвлекают ресурсы от разработки новых способов проникновения в сети, а вместо этого сосредотачиваются на разработке автоматизированных инструментов на основе намерений, предназначенных для доставки более сложных полезных нагрузок, которые также становится все труднее обнаруживать и удалять.

Во многих компаниях практика оставлять компьютеры открытыми для ночного сканирования на вирусы приводит к тому, что они не обновляются и не перезагружаются регулярно. Поверхность атаки значительно уменьшается, если операционная система и все программное обеспечение обновлены.