— Что мы имеем в виду, когда говорим об антивирусе для банковских нужд?

— Как правило, в банке речь идет о многокомпонентной защите, которая включает антивирус для разных платформ, защиту сетевого и почтового трафика, защиту от ботнетов и эксплойтов. Антивирус должен функционировать на серверах, рабочих станциях, мобильных устройствах и банкоматах. В зависимости от архитектуры ИТ-сети банка, количества узлов, их типа и предъявляемых требований компоненты антивирусной защиты могут меняться.

Следовательно, на администраторов и ИТ-специалистов банка, которые внедряют и настраивают антивирусное решение, ложится серьезная ответственность. Неправильно настроенное решение не сможет защитить сотрудников.

— Есть ли смысл стремиться установить некое глобальное решение, или проще и надежнее строить защиту из отдельных кирпичиков?

— Преимущества и недостатки есть у обоих подходов. Плюсы глобального решения в гибкости управления и унифицированности. С другой стороны, на рынке не так много решений, в которых все необходимые компоненты были бы высокоэффективны.

Не стоит забывать про требования ЦБ о мультивендорной защите

Если строить защиту на базе продуктов разных вендоров, пострадает гибкость управления и универсальность. Преимущество в том, что можно подбирать специализированные решения для конкретных задач. Например, банк может использовать комплексное антивирусное решение и дополнительно усилить защиту специализированными продуктами разных вендоров — для защиты от кибератак, эксплуатирующих уязвимости нулевого дня, и для защиты от утечек информации и инсайда (DLP). Также не стоит забывать про требования ЦБ о мультивендорной защите.

— Антивирус может предотвратить серьезную атаку?

— Для отражения кибератак и профилактики компрометации компьютеров антивирус необходим. Но помимо наличия или отсутствия программных средств защиты существует ряд факторов, влияющих на успех атаки.

Кибератаки можно условно разделить на три категории по степени сложности обнаружения. К простым относится рассылка писем с вредоносным ПО во вложении. В такой ситуации пользователь наверняка заподозрит ловушку, а если и попытается запустить вредоносную программу, ее заблокирует антивирус. В атаках средней сложности используются многокомпонентные вредоносные инструменты и продвинутые механизмы маскировки. Такие атаки носят направленный характер.

Вредоносное ПО может ввести в заблуждение антивирус

Злоумышленники отправляют фишинговые сообщения конкретным людям, например сотрудникам бухгалтерии. Письма («Договор подряда», «Взыскание задолженности» и пр.) грамотно составлены, вредоносное ПО мимикрирует под документ Word, таблицу Excel или формат PDF. Если пользователь пытается открыть вложение, вредоносная программа запускается в системе, а на экран выводится фальшивый документ для маскировки. Такие атаки могут нанести банкам значительный вред. В сложнейших атаках используется уникальное вредоносное ПО и жесткая нацеленность на конкретную жертву. Такие программы пишутся «под ключ» для конкретной кибератаки и больше нигде не встречаются. Вредоносное ПО пытается ввести в заблуждение антивирус и скрытно работает в скомпрометированной системе. Для его автоматического запуска используются эксплойты нулевого дня. Вычислить атаку крайне сложно, возможен колоссальный ущерб.

Во всех случаях влияние человеческого фактора огромно. Ключом к системе для злоумышленников может стать как некорректная настройка антивирусного продукта, так и неопытность пользователей, открывающих фишинговые сообщения.

— Приведите примеры успешного (или не очень) противодействия атакам при помощи антивирусных средств.

— У каждой антивирусной компании есть список успешно отраженных атак, но общественности, как правило, становится известно о менее положительных случаях. Вирусная лаборатория Eset регулярно сообщает об отраженных атаках. Пример — операция Buhtrap.