5.3.2
Определенные Требования к Подходу:
Решение (решения) для защиты от вредоносных программ:
- Выполняет периодические проверки и активные проверки или проверки в режиме реального времени.
ИЛИ
- Выполняет непрерывный поведенческий анализ систем или процессов.
Цель Индивидуального подхода:
Вредоносная программа не может завершить выполнение проверки.
Определенные Процедуры Тестирования Подхода:
- 5.3.2.a Изучить конфигурации антивирусных решений, включая любую основную установку программного обеспечения, чтобы убедиться, что решение (решения) настроено для выполнения хотя бы одного из элементов, указанных в этом требовании.
- 5.3.2.b Проверьте системные компоненты, включая все типы операционных систем, идентифицированные как подверженные риску заражения вредоносными программами, чтобы убедиться, что решение (решения) включено в соответствии хотя бы с одним из элементов, указанных в этом требовании.
- 5.3.2.c Изучите журналы и результаты сканирования, чтобы убедиться, что решение (решения) включено в соответствии хотя бы с одним из элементов, указанных в этом требовании.
Цель:
Периодические проверки могут выявить вредоносные программы, которые присутствуют, но в настоящее время неактивны в среде. Некоторые вредоносные программы, такие как вредоносные программы нулевого дня, могут проникнуть в среду до того, как решение для сканирования сможет их обнаружить. Выполнение регулярных периодических проверок или непрерывного поведенческого анализа систем или процессов помогает гарантировать, что ранее необнаруживаемые вредоносные программы могут быть идентифицированы, удалены и исследованы, чтобы определить, как они получили доступ к среде.
Надлежащая практика:
Использование комбинации периодических проверок (по расписанию и по требованию) и активного сканирования в режиме реального времени (при доступе) помогает обеспечить устранение вредоносных программ, находящихся как в статических, так и в динамических элементах CDE. Пользователи также должны иметь возможность запускать сканирование своих систем по требованию при обнаружении подозрительной активности – это может быть полезно для раннего обнаружения вредоносных программ.
Сканирование должно включать всю файловую систему, включая все диски, память, а также файлы запуска и загрузочные записи (при перезагрузке системы), чтобы обнаружить все вредоносные программы при выполнении файла, включая любое программное обеспечение, которое может находиться в системе, но в данный момент не активно. Область сканирования должна включать все системы и программное обеспечение в CDE, включая те, которые часто упускаются из виду, такие как серверы электронной почты, веб-браузеры и программное обеспечение для обмена мгновенными сообщениями.
Определения:
Активное сканирование, или сканирование в реальном времени, проверяет файлы на наличие вредоносных программ при любой попытке открыть, закрыть, переименовать или иным образом взаимодействовать с файлом, предотвращая активацию вредоносных программ.
