+7 (812) 325 84 00

+7 (499) 322 07 96

Новый механизм сканирования в Trend Micro OfficeScan 10

Вопросы
Выпустив новую версию своего основного корпоративного антивирусного продукта для защиты конечных точек - OfficeScan (OSCE) 10.0, компания Trend Micro сделала то, о чем говорила уже достаточно давно. Теперь в OfficeScan для антивирусной проверки файлов на защищенной системе можно использовать как традиционный (conventional scan) метод сканирования файлов на основе сигнатур (pattern), так и сканирование "в облаке" - этот новый метод называется smart scan.
Технология Smart Scan, входящая в "облачную" инициативу Trend Micro Smart Protection Network, в контексте файлового антивируса позволяет (теоретически) повысить скорость обнаружения новых вредоносных кодов за счет отказа от фиксированного паттерна, обновляемого с достаточно большой (10-15 часов) задержкой, снизить нагрузку на сетевой сегмент (паттерн не нужно передавать с антивирусного сервера на каждый защищаемый узел), а также оптимизировать использование памяти сканером реального времени (полное содержимое паттерна более не должно распаковываться в оперативную память системы - к примеру, сегодняшняя Windows-версия 6.575.00 основного паттерна Trend Micro имеет размер 33.6 Мбайт в упакованном виде). Каким образом это реализовано?

Как это работает
В инфраструктуре OfficeScan 10, включающей технологию smart scan, появляется еще один, фактически независимый, серверный компонент - Smart Scan Server, представляющий собой сетевой паттерн-сервер, тот самый "облачный" элемент. Клиенты, настроенные на использование smart scan (так называемые smart clients), отправляют на Smart Scan Server сигнатуры анализируемого файла. Сервер анализирует сигнатуры и отправляет клиенту ответ о статусе файла (в простейшем случае вариантов два - заражен или нет, однако нельзя забывать и про эвристику. На самом деле, ответ включает полную информацию о вредоносном коде, а также ActiveAction - что Trend Micro рекомендует с ним делать).

Здесь сразу же возникает масса вопросов. Во-первых - если, к примеру, антивирусный клиент настроен на проверку каждого файла при любом обращении, неужели каждая такая проверка будет порождать отдельный запрос на smart scan сервер? Во-вторых, что именно передается на сервер - уж не проверяемый ли файл целиком (а как иначе его можно проверить на вредоносное содержание) - но если это так, то о какой экономии пропускной способности сети может идти речь? Кроме того, откуда smart scan сервер берет информацию, если сигнатуры не используются?
Что касается последнего вопроса, ответ прост. Паттерн по прежнему используется - чудес не бывает. Это так называемый Smart Scan Server Pattern - обновление, которое smart scan сервер должен загрузить (с сайта Trend Micro ActiveUpdate, с сервера Control Manager организации или откуда-либо еще). Однако, во-первых, он обновляется значительно чаще, чем традиционный (конфигурируемый интервал обновления составляет всего 15 минут), во-вторых, он доступен всем smart-клиентам сразу по загрузке сервером (так как размещен на стороне сервера и не требует полного копирования на клиентскую сторону).
На клиенте работает так называемый smart query filter - "умный" компонент, который определяет, нужно ли в данный момент проверять данный файл (скажем, если паттерн на smart scan сервере не обновлялся, а файл не модифицировался с момента последней проверки - проверка не нужна). Кроме того, используется интеллектуальный проприетарный алгоритм, позволяющий исключить отправку полной копии файла на сервер (выглядит это примерно так - "удаленно определить, есть ли в сигнатурной базе smart scan сервера сигнатура данного файла";). При этом, smart scan паттерн и результаты его работы (на основании уже выполненных запросов) кэшируется (все-таки!) на клиенте на случай, если в какой-то момент он станет автономным, отключившись от сети, и доступа к smart scan серверу не будет.
Для передачи хэшей передаваемых файлов на smart scan сервер клиент использует протокол DNS. В этом ничего нового нет - подобный метод уже использовался ранее в OSCE 8 для запроса репутации посещаемых веб-сайтов в реальном времени (при активном компоненте Web Threat Protection), а в IMSS 7.0 таким же образом (с помощью DNS-запросов) на серверы репутации Trend Micro передавались хэши предполагаемых спам-сообщений (это был один из методов проверки электронных писем в составе Spam Prevention Solution), не говоря уже о "классическом" использовании DNS в Network Reputation Services (выполнение запросов к черным спискам IP-адресов отправителей SMTP как DNS-запросов). Поскольку запросы DNS обычно не блокируются ни для каких конечных клиентов, дополнительных требований по организации сетевого взаимодействия smart-клиента и сервера нет.
Smart Scan сервер может быть запущен на OfficeScan сервере как отдельная служба (в сочетании с традиционным компонентом OfficeScan Master Service) - так называемый integrated-режим. Однако он может быть развернут и автономно (режим standalone), на виртуальном appliance (представляет собой специальную виртуальную машину VMware под управлением CentOS) - это предоставляет дополнительную гибкость при проектировании и сопровождении системы. Smart Scan серверов может быть больше одного (в этом случае клиент в случае недоступности какого-либо из серверов будет перебирать оставшиеся по конфигурируемому списку). Для меняющих расположение (покидающих корпоративную сеть или перемещающихся внутри ее) клиентов список smart scan серверов может быть динамическим (например, привязанным к конкретному сетевому сегменту). Для roaming-клиентов можно использовать Smart Scan серверы, размещенные в облаке общего доступа Trend Micro (наподобие, как roaming-клиенты могли использовать Trend Micro ActiveUpdate без специальной переконфигурации в предыдущих версиях OfficeScan).
Оба метода (conventional scan и smart scan) могут быть использованы параллельно в рамках одной инсталляции. Антивирусный клиент является унифицированным - то есть, один и тот же клиент OSCE 10 может работать и как обычный, и как smart-клиент, без переинсталляции или перезагрузки. Переключение режимов осуществляется в реальном времени, с помощью привычной веб-консоли администрирования сервера OfficeScan.

Выводы и советы
Решение, конечно, смелое и для защиты конечных точек, предлагаемой Trend Micro, концептуально новое. Как и всегда в таких случаях, понятно недоверие заказчиков (особенно в контексте такого "деликатного" вопроса, как антивирусная защита) к подобным инновациям. Уверен, что ни один серьезный системный администратор не бросится внедрять данную технологию во вверенной ему сетевой инфраструктуре, не потратив времени на предварительное исследование вопроса и пилотное тестирование. И это абсолютно правильно. Здесь, пожалуй, можно провести некую аналогию со всем известным антивирусным ПО Microsoft Forefront - я не сомневаюсь ни его действенности, ни в хороших перспективах, но известные лично мне внедрения пока можно пересчитать по пальцам, а ведь продукт существует (под брендом Microsoft) уже почти три года.
В любом случае, в рамках конкретной инфраструктуры, при планировании внедрения технологии Smart Scan нужно начинать с тестирования в пилотной зоне, которая по своему составу должна быть максимальна приближена к "боевой". Причем тестирование должно занимать, думаю, не менее двух месяцев - особенно сейчас, когда технология еще относительно свежая - за меньший период необходимую информацию и статистику использования просто невозможно собрать.
Внедрение также должно быть постепенным. Клиенты могут переключаться из одного режима в другой в любой момент. Smart Scan сервера тоже могут быть добавлены в сеть, когда это потребуется. Кстати говоря, Smart Scan может быть поднят и на conventional-сервере OSCE 10 уже после его развертывания - без переинсталляции, соответствующая процедура называется "Integrated Smart Scan Server Reactivation" и описана в Smart Scan Getting Started Guide на странице 3-25. Документ обязателен к изучению всеми "заинтересованными лицами" и на данный момент доступен по ссылке http://www.trendmicro.com/ftp/documentation/guides/OfficeScan10_PDF_SmartScanGSG.zip .

P.S. 3 ноября 2009 в офисе Поликом Про будет проводится семинар по тематике Trend Micro. Один из докладов будет посвящен как раз новым возможностям продукта OfficeScan 10. Подробности на http://www.polikom.ru/seminar/5493/, милости просим.
Фото: