Безопасность с ClamAV
Не секрет, что для использования в корпоративной среде нужно обязательно иметь антивирус. Конечно есть и более полезные с точки зрения ИБ меры и средства, такие как регулярное проведение анализа защищенности всех ПК и серверов (Patch management), отсутствие административных полномочий на всех ПК пользователей. И тем не менее, без антивируса сегодня никуда.
В настоящее время бесплатных и/или свободных антивирусов достаточное количество. Однако среди них есть только три, которые могут быть использованы в корпоративной среде. Один из них ClamAV.
Основное назначение данного продукта - сетевые и почтовые шлюзы. Программное обеспечение шлюза, должно осуществлять вызовы антивирусного сканера для сканирования каждого проходящего файла.
Антивирус ClamAV, как известно, не содержит в себе антивирусного монитора, который в автоматическом режиме осуществляет вызовы сканера при обращениях к файлам. Это означает, что каждый подозрительный файл нужно в ручном режиме проверять на вирусы, после чего использовать. Стоит ли говорить об удобности для конечного пользователя?
Для того, чтобы компенсировать отсутствующий функционал, существует несколько внешних мониторов. По информации с форума http://forum.ru-board.com есть следующие мониторы (привожу неизменые комментарии с форума):
Bilirafon-AV. Это нечто очень странное и весьма ненадежное, как я понимаю. Он просто меняет ключики в реестре, и при попытке запустить какую-либо программу сперва запускается сам.
Tech-Protect. Облазил весь инет, замучил Гугля, но так и не нашел, где его можно скачать. Если у кого-то есть - большая просьба, поделитесь, пожалуйста. Ну и заодно - как он в работе, действительно ли лучше других мониторов для ClamAV?
WinPooch. Несовместим с WinXP SP3
Moon Secure AV. Пока оставил именно его. Интерфейс, конечно, потрясает Ну хоть EICAR'а ловит стабильно. (Хотя, нет, не очень стабильно - позволяет копировать eicar в буфер обмена и вставлять в другую папку. Но выполнить все-таки не дает.)
Spyware Terminator. Поставил, попробовал, удалил. Как-то хитрО там все с настройками, да и как заставить его обновляться просто по сети - совершенно неясно. Если кто-то его пользует - поделитесь опытом, как его настраивать и обновлять в сетке на несколько машин? И, кстати, EICAR он у меня ловил не всегда - в каких-то случаях позволял eicar.com выполниться.
ClamRT. Проект заморожен в 2005 году, судя по датам дистрибутивов на SourceForge.
Tech-Protect. Облазил весь инет, замучил Гугля, но так и не нашел, где его можно скачать. Если у кого-то есть - большая просьба, поделитесь, пожалуйста. Ну и заодно - как он в работе, действительно ли лучше других мониторов для ClamAV?
WinPooch. Несовместим с WinXP SP3
Moon Secure AV. Пока оставил именно его. Интерфейс, конечно, потрясает Ну хоть EICAR'а ловит стабильно. (Хотя, нет, не очень стабильно - позволяет копировать eicar в буфер обмена и вставлять в другую папку. Но выполнить все-таки не дает.)
Spyware Terminator. Поставил, попробовал, удалил. Как-то хитрО там все с настройками, да и как заставить его обновляться просто по сети - совершенно неясно. Если кто-то его пользует - поделитесь опытом, как его настраивать и обновлять в сетке на несколько машин? И, кстати, EICAR он у меня ловил не всегда - в каких-то случаях позволял eicar.com выполниться.
ClamRT. Проект заморожен в 2005 году, судя по датам дистрибутивов на SourceForge.
Таким образом, можно считать, что есть большие проблемы с наличием свободного и стабильно работающего монитора, «идущего в ногу» с самим антивирусом. Привожу скриншот одного из таких мониторов.
В качестве тестирования используем ОС Windows 7 с установленными последними обновлениями и последней версией антивируса ClamWin 0.96.2.
Скачиваем тестовый вирус EICAR и пытаемся его запустить. При попытке запуска, как и следовало ожидать, антивирус его не заметил, а вот встроенный в ОС Windows Защитник (Defender) его сразу заметил и предложил удалить.
Для тестирования антивируса пришлось отключить Windows Defender и просканировать тестовый вирус. Антивирус ClamAV сразу определил тестовый вирус.
Результаты сканирования заносятся в лог в текстовом виде.
Недавно появился новый «обвес» для антивируса ClamAV - ClamAV for Windows 2.0, производимый компаниями Immunet Corporation и Sourcefire, Inc. Данный антивирус имеет две версии: Free и Plus. Plus отличается расширенными возможностями по сканированию файлов при недоступности своего «облачного» ресурса, поддерживает сканирование USB носителей и почтовых баз, поддерживает архивы и установочные (сжатые) файлы, а также обладает расширенными функциями по автоматизации. Обе версии имеют в своем составе монитор, столь необходимый конечному пользователю.
По информации с сайта http://www.antivirus.ru, по состоянию на октябрь 2009 года, рейтинг антивируса ClamAV – 13, а занимает он лишь 33 место.
Вывод: в настоящее время не существует свободного и полностью работоспособного монитора для антивируса ClamAV, сам же антивирус ClamAV кроссплатформенный и работоспособный, однако эффективность его невысока. Антивирус ClamAV адекватно логирует события, что позволяет удаленно управлять им и разбирать логи (parsing) при создании каких-либо дополнительных средств ИБ.