«Обязательное для выполнения по приказу ФСТЭК — это только базовый уровень. Реальная защита от современных угроз начинается там, где заканчиваются формальные требования регулятора, в слоях поведенческого анализа, телеметрии и проактивного реагирования, которые выстроены вокруг простого антивируса.»
Антивирусная защита и системы обнаружения угроз
Технологии обнаружения и нейтрализации вредоносных программ в современных ИСПДн
Антивирусная защита — обязательный базис безопасности любой информационной системы, обрабатывающей персональные данные. В рамках требований ФСТЭК это проверка файлов на соответствие известным сигнатурам. Но ландшафт угроз ушёл далеко вперёд, превратив простые сканеры в отправную точку для сложных платформ, которые должны видеть не файлы, а аномальное поведение.
Развитие шло от изолированных сканеров к системам, которые собирают и коррелируют данные со всех узлов сети. Сегодня антивирусный модуль часто является лишь одним из датчиков в более масштабной архитектуре безопасности, где ключевую роль играют не сигнатуры, а контекст и последовательность событий.
Обязательные меры антивирусной защиты по ФСТЭК
Требования приказа ФСТЭК России №21 задают минимально необходимый порог для ИСПДн. Их выполнение — вопрос соответствия, но не гарантия устойчивости к целевой атаке.
| Мера защиты | УЗ 1 | УЗ 2 | УЗ 3 | УЗ 4 |
|---|---|---|---|---|
| АВЗ.1: Реализация антивирусной защиты Установка и настройка ПО на все компоненты ИСПДн |
✓ | ✓ | ✓ | ✓ |
| АВЗ.2: Обновление баз сигнатур Регулярное обновление баз данных признаков вредоносных программ |
✓ | ✓ | ✓ | ✓ |
Требования для УЗ 1-2
Для систем с высоким уровнем защищённости формальные требования дополняются логикой глубокой обороны:
- Централизованное управление с единой политикой для всех узлов.
- Ежедневное, а в идеале — по мере выхода, обновление не только сигнатур, но и модулей анализа.
- Обязательное использование эвристических и поведенческих методов.
- Проактивная защита, способная блокировать подозрительные действия, а не только известные файлы.
- Интеграция с SIEM-системами для передачи событий и контекста.
Требования для УЗ 3-4
Для средних и базовых уровней акцент смещается на стабильность и покрытие:
- Локальная или упрощённая централизованная установка.
- Регулярное, но не обязательно ежедневное обновление баз.
- Основа — сигнатурный анализ с базовым эвристическим сканированием.
- Защита в реальном времени и сканирование по расписанию.
Технологии обнаружения вредоносных программ
Современный детект — это многослойная фильтрация, где каждый следующий слой ловит то, что пропустил предыдущий.
Сигнатурный анализ
Сравнение контрольных сумм или последовательностей байт с базой известных угроз. Быстрый и точный для библиотек прошлых лет, но слепой для нового, модифицированного или бесфайлового кода. Остаётся обязательным фильтром первой линии.
Эвристический анализ
Попытка обнаружить вредоносные паттерны в коде или поведении. Анализирует структуру файла, подозрительные вызовы API, техники обфускации. Способен выявлять новые варианты известных семейств, но часто даёт ложные срабатывания на легитимный софт.
Поведенческий анализ
Мониторинг действий программы в реальном времени: попытки массового шифрования файлов, изменение критических записей реестра, установка скрытых служб, сетевые соединения с командными серверами. Не зависит от сигнатуры, но требует тонкой настройки, чтобы не парализовать работу приложений.
Машинное обучение и AI
Модели, обученные на миллионах образцов, анализируют сотни атрибутов файла (заголовки, энтропию, импортируемые библиотеки) для оценки вероятности вредоносности. Эффективны против полиморфных угроз, но уязвимы к состязательным атакам, когда злоумышленник специально готовит образцы для обмана алгоритма.
Анализ в песочнице
Запуск подозрительного объекта в изолированной виртуальной среде с полным мониторингом его активности. Позволяет раскрыть истинную цель, но современные угрозы научились определять признаки песочницы (недостаток ресурсов, отсутствие активности пользователя) и притворяться безобидными.
Реализация в российских СЗИ
- Kaspersky Endpoint Security — использует систему машинного обучения Kaspersky ML, анализирующую как статические атрибуты файлов, так и их поведение.
- Dr.Web Security Space — основан на эвристическом анализаторе Origins Tracing, который отслеживает цепочки создания процессов.
- Ряд отечественных решений для госсектора — делают упор на интеграцию с сертифицированными средствами криптографии и возможность работы в сетях без внешнего интернета.
EDR, XDR, mXDR: Эволюция систем защиты
Переход от защиты файлов к защите всей экосистемы. Ключевое отличие — смещение фокуса с предотвращения на обнаружение, расследование и реагирование.
| Тип системы | Основные функции | Объём данных | Уровень автоматизации |
|---|---|---|---|
| EDR (Endpoint Detection and Response) |
Детальная телеметрия с конечных точек (процессы, сеть, реестр). Запись активности для расследования. Инструменты для изоляции узла, удаления угрозы. | Высокий (по узлам) | Средний (автоматическое оповещение, ручное реагирование) |
| XDR (Extended Detection and Response) |
Корреляция данных с конечных точек, сети, почтовых шлюзов, облачных сервисов. Сквозная видимость атаки. Автоматизированные сценарии реагирования. | Очень высокий (по всей инфраструктуре) | Высокий (автоматическая корреляция и часть ответных действий) |
| mXDR (Managed XDR) |
XDR как услуга. Эксперты SOC 24/7 анализируют события, охотятся за угрозами, управляют инцидентами. Снимает с компании необходимость содержать собственную команду высококвалифицированных аналитиков. | Максимальный + экспертиза | Полный (управляемое реагирование) |
Ключевые компоненты EDR
- Лёгкие агенты, собирающие телеметрию на каждом компьютере.
- Хранилище событий с возможностью поиска и временной шкалой.
- Механизмы записи и воспроизведения последовательности атаки.
- Инструменты для быстрого реагирования: изоляция узла, завершение процесса, сбор артефактов.
Преимущества XDR
- Снижение уровня шума: корреляция событий из разных источников отделяет реальную атаку от ложных срабатываний.
- Ускоренное расследование: аналитик видит не разрозненные алерты, а цепочку от фишингового письма до попытки эксфильтрации.
- Автоматизация рутинных сценариев ответа, например, блокировка IP-адреса на межсетевом экране при обнаружении вредоносного трафика.
Методы обхода антивирусной защиты
Понимание тактик противника — необходимое условие для построения адекватной защиты. Большинство современных атак рассчитаны на то, чтобы пройти мимо классических сигнатурных сканеров.
Технические методы обхода
Упаковка и обфускация
Использование крипторов и паковщиков меняет сигнатуру файла, оставляя функционал неизменным. Полиморфные и метаморфные двигатели генерируют уникальный код для каждой жертвы, что делает сигнатурный поиск бесполезным.
Атаки «из живых систем» (Living-off-the-Land)
Отказ от загрузки вредоносных исполняемых файлов на диск. Вместо этого используются встроенные системные инструменты: PowerShell для загрузки скриптов в память, WMI для управления, легитимные приложения для запуска кода. Обнаружение требует анализа не файлов, а аномальных последовательностей команд.
Анализ окружения
Вредоносная программа проверяет признаки виртуальной машины, отладчика или средств мониторинга. Обнаружив их, она либо прекращает работу, либо запускает безвредную оболочку, вводя в заблуждение автоматический анализ.
Тайминг-атаки
Внедрение длительных задержек перед выполнением вредоносных действий. Цель — пережить сеанс автоматического анализа в песочнице, который редко длится дольше нескольких минут.
Контрмеры и защита
Противодействие этим методам требует перехода на качественно иной уровень мониторинга:
- Поведенческий анализ и EDR: запись и анализ действий, а не статической проверки файлов.
- Харденинг систем: ограничение возможностей легитимных инструментов (например, Constrained Language Mode для PowerShell) для предотвращения их misuse.
- Сетевой сегментация и Zero Trust: ограничение перемещения внутри сети даже при успешном заражении одной конечной точки.
| Метод обхода | Эффективность против | Контрмеры |
|---|---|---|
| Полиморфизм / изменение сигнатуры | Сигнатурные антивирусы | Эвристика, машинное обучение, поведенческий анализ |
| Обфускация PowerShell (fileless) | Статический анализ файлов | Мониторинг выполнения скриптов (AMSI), EDR, анализ журналов Windows |
| Определение песочницы / эмулятора | Автоматический анализ в изолированной среде | Усовершенствованные песочницы, скрывающие признаки виртуализации; EDR на реальных рабочих станциях |
Рекомендации по выбору и настройке
Выбор решения — компромисс между соответствием регуляторным требованиям, реальной эффективностью и операционными затратами.
Критерии выбора
- Соответствие ФСТЭК: наличие действующих сертификатов, возможность работы в изолированном контуре.
- Архитектура: поддержка централизованного управления, лёгкость развёртывания агентов, нагрузка на конечные точки.
- Функциональность: качество эвристики и поведенческого анализа, наличие EDR-возможностей, интеграция с SIEM по стандартным протоколам.
- Экосистема: зрелость технологий машинного обучения, частота и глубина обновлений, качество технической поддержки.
Рекомендации по настройке
Базовая настройка для любого уровня должна включать защиту в реальном времени, автоматическое обновление и регулярное полное сканирование.
Для систем УЗ 1-2 критически важна тонкая настройка поведенческих модулей, чтобы минимизировать ложные срабатывания на бизнес-процессы, и обязательная интеграция со средствами централизованного мониторинга (SIEM).
Оптимизация производительности — это не отключение функций, а грамотное планирование: сканирование серверов в часы минимальной нагрузки, кэширование результатов проверки часто используемых файлов, исключение из сканирования специфичных рабочих каталогов приложений.
| Параметр | УЗ 1-2 | УЗ 3 | УЗ 4 |
|---|---|---|---|
| Частота обновлений | Ежедневно, в идеале — по мере выхода | Не реже 2-3 раз в неделю | Еженедельно |
| Фокус детекта | Поведение, аномалии, цепочки атак (EDR/XDR) | Сигнатуры + расширенная эвристика | Базовый сигнатурный анализ |
| Мониторинг и реагирование | Непрерывный, с элементами проактивной охоты | Активный в рабочее время | Реактивный, по факту обнаружения |
Антивирусная защита как системный компонент
Сегодня антивирус — не отдельный продукт, а компонент в цепочке безопасности. Его эффективность определяется не только процентоми в синтетических тестах, а тем, насколько хорошо его события интегрированы в общую картину операционной безопасности. Успешная реализация мер ФСТЭК по АВЗ — это отправная точка. Дальнейшие усилия должны быть направлены на построение системы, где антивирусный сенсор поставляет данные для корреляции, а реакция на инцидент является быстрой, скоординированной и охватывает не один заражённый файл, а всю потенциально скомпрометированную среду.