היי,

זה שוב אני ב"דעה אישית" (בקרוב אני ארגיש כמו ג. יפית - "זה כדאי" :-) ), הפעם אעסוק בנושא די חשוב בארגון - השימוש באנטי וירוס (AV בקצרה), בהמשך למה שנכתב בבקשה לסדר קצת יותר את הפוסט - הוא נערך מחדש.

אני מאמין שלרובכם יש AV בתחנות, אבל האם בזה הנושא נגמר? יצא לי לשבת עם איש תשתיות ולדבר איתו על הנושא, הוא איש סיסטם בצפון הארץ והוא מספר כי בתחנות יש AV מסוג X (חלקן מעורבבות, לדוגמה תחנות יכולות להכיל גרסא 400.0 של ה- AV וחלק 1000.0 וכו'), ובשרתים יש AV בסיסי ל- File Server או משהו בסגנון של יצרן שונה.

אז אני רוצה לעשות קצת סדר בבלאגן, יש המון תוכנות AV טובות, אבל בארגון יש לשים לב ולדאוג ל- AV למספר דברים (קרו גם מקרים שבהם ראיתי ארגונים פוטרים את עצמם משימוש ב- AV בגלל שיש להם "Firewall" או שהם לא זקוקים כי איש הסיסטם הוא תותח והוא כביכול מגן על הארגון כל הזמן גם שהמזכירה פותחת Attachment לא מוכר... והסיפורים והמעשיות ממשיכים הלאה).

החלטתי לרשום בנקודות מספר המלצות לאיך לבחור אנטי וירוס ארגוני (ולפעמים רצוי ומותר להשתמש בכמה יצרנים שונים - הסבר בהמשך):

דבר ראשון, אי אפשר לבוא ישר ל- CTO\CIO (ובמקרה ואתה CTO\CIO צלצל אליי, אני אשמח להשכיר את שירותיי אלייך :-P) ולהגיד לו: "שמע, ראיתי שה- AV של חברת צ'וקומוקו הוא אחלה, צריך לקנות אותו מיד ל- X תחנות ושרתים" ולכן מומלץ לעבור בנקודות על הנושאים האלו לפני רכישת AV בכללי (כללי - כל סוג AV, בהמשך תנתן המלצתי האישית):

1. עדכונים בצורה בטוחה ומתקדמת - האם ה- AV מאפשר עדכון במקביל לשרת פנימי, או באמצעות הורדת קבצי Update מקומית? האם קיימת אפשרות לניהול מרוחק מתקדם בצורה מרוכזת דרך שרת\Console מסודר?

2. האם מחיר ה- AV מצדיק את הקנייה? - למה אני מתכוון? נניח שיש שני מוצרי AV, לדוגמה AV מסוג X שעולה 30$ לתחנה, ה- AV כולל פונקציות כמו הגנה מפני שינוי הגדרות באמצעות סיסמא, אפשרות להתאמה אישית של ה- AV לצורכי הארגון (פרטים בהמשך) ולעומתו AV מסוג Y שעולה 50$ לתחנה, והוא עולה ככה בגלל השם שלו, אבל מבחינת Features הוא זהה ל- X. אז צריך לשים לב גם לנושא הכספי.

3. האם ה- AV עובד בתאימות במקביל למערכת ההפעלה וקיימת תמיכה רצינית - תתפלאו או לא, אבל מבלי להזכיר ולגרוע, יש המון משווקים בארץ שלא יודעים לספק תמיכה מי יודע מה למוצר שהם משווקים, ולפעמים צריך לפנות ל- PSS ולשלם עוד כסף או לבזבז זמן בקנייה\הורדה של Manual ענקי ב- PDF ולקרוא אותו...

4. AV מותאם אישית לשרת ייעודי - במידה וקיימים שרתים ייעודיים בארגון כמו Exchange Server (שרת דואר מעולה של חברת מיקרוסופט, לטעמי מס' 1) - יש לדאוג בנושא זה גם ל- AV ייעודי עבורו שיודע לעבוד בתאימות למוצר הספציפי.

5. האם ה- AV מכיל את כל ה- Features שאתה צריך\רוצה? - יש רשימה\טבלה בד"כ ב- PDF של המוצר ויכולותיו - שווה לבדוק לפני רכישה.

6. מלבד זאת, מומלץ לעשות "סקר" אצל ארגונים בעלי אותו סדר גודל בערך של משתמשים ולבדוק באיזה AV הם משתמשים, מה שאני ממליץ זה לא לפנות לאתר היצרן של ה- AV או למשווקים ולשמוע סיפורי לקוח, כי לפעמים אומרים: "ה- AV שלנו הכי טוב, פרסנו אותו במשרד הזה והזה ובמכון הזה והזה", אבל לפעמים מאחורי פריסה שכזו מעקמים את כל התשתית ומקיאים דם רב (היה לי ניסיון עם אנטי וירוס כזה, שהיה סיפור מבחינת הארגון להתרגל אליו וגם הפריסה שלו לא עברה מי יודע מה בשלום...), אלא לפנות לאנשי הסיסטם בארגון המקביל ולשמוע את דעתם בנושא, אחרי שהתרשמתם עשו סקר שוק, ופנו למשווק הקרוב לעסק שלכם.

אז עכשיו לאחר שהתייחסתם לדברים האלו תרשו לי כמו תמיד להמליץ על נקודות שאני ממליץ טרם רכישת אנטי וירוס טוב לתחנות:

1. תכונות (Features) - אני בדרך כלל מחפש AV שמספק עבורי את השילוש הקדוש הבא:

א. E-mail scanner - בכול אופן, AV מעולה לפי דעתי צריך גם להתאים לדואר, הרי רוב העבודה מתבצעת גם דרך ה- Outlook\דואר אלקטרוני הארגוני, ולא נעים שמזכירה חסרת ידע תפתח איזה קובץ VBS\BAT\CMD שמכיל כמה שורות לא נעימות...

ב. ניהול דוחות ו- Quarantine - אני רוצה לקבוע ל- AV שלי איפה אני רוצה את הדוחות (Logs) של התחנות, ואיך לנהוג בקבצים מסוימים מבחינת בידוד, כי לפעמים אם אני שולח טכנאי לתחנה בשביל לשנות משהו ב- Registry לא תמיד ה- AV יודע מכך ולכן יש לטפל בנושא.

ג. מדיניות לגבי תוכניות לא רצויות - אין טעם להסביר לעומק, אבל רק לשם דוגמה: אין לי צורך שמישהו ישתול איזה קישור לתוכנית לשליטה על המחשב או איזה קישור ל- Rootkit או כשנכנסים לאתרים שירדו Adware/Spyware וכו' ואז התחנה תשתגע, לכן אני אוהב שה- AV יכול להציע לי להגדיר איך אני רוצה להתנהג עם XYZ מזיקים ואיך לנהוג בהם.

 

2. תמיכה בחומרה - יש לי תחנות\שרתים שעובדים ב- X64 בדרך כלל, והמטרה היא לקצץ עלויות ולמצוא פתרון שיתאים גם למערכות Windows x64 במקום לרכוש גם פתרון ל- X86 וגם ל- X64.

3. תמיכה בארץ - אני לא צריך לדעת את כל הפונקציות של התוכנה שאני מתקין בע"פ (רצוי אבל לפעמים יש לקוחות שבוחרים במוצרים שאני השתמשתי בהם פעמיים שלוש ולא בתדירות גבוהה) ולכן רצוי שתינתן תמיכה רצינית במרכז תמיכת המשווק בשפה העברית, כך שגם אם אני לא בארגון, ניתן יהיה להפנות את הלקוח לתמיכה ולקבל תשובה לבעיה\שאלה.

לאחר שהסברתי הכול, ההמלצה שלי ל- AV שאני אישית מתקין על תחנות ועל שרתים היא - McAfee Virus Scan Enterprise, מה שאני אוהב בו שהוא אמין, ואפשר לנהל אותו בקלות דרך ה- EPO, (למי שלא מכיר ה- EPO הם ראשי תיבות של McAfee ePolicy Orchestrator שהוא כלי שמאפשר לנטר בצורה מעולה תחנות מרחוק) ומלבד זאת, אפשר לקסטם אותו עד לרמה הכי נמוכה שהמשתמש ידע במה מדובר גם אם הוא לא Expert\יודע אנגלית.

הנה דוגמה:

שיחקתי עם ה- Text Message ואני יכול לרשום שם למשל: "היי, יש לך מזיק במחשב, פנה למחלקת ה- System\תמיכה..." או משהו בסגנון שיהיה נוח ומובן לכולם.

מלבד זאת, עבור שרתים ייעודים כמו לדוגמה Exchange אני ממליץ על Antigen של מיקרוסופט ועל ScanMail של Trend Micro.

מלבד זאת, רצוי במקביל ל- AV לעבוד עם Firewall איכותי וטוב ברמת תוכנה בתחנות וברמת חומרה רצינית בארגון, עדכונים שוטפים של מערכת ההפעלה (Windows Update או שרת פנימי כמו SMS\WSUS שיודעים להפיץ עדכונים יפה מאוד) ולהסביר לחבר'ה בארגון מה לא פותחים (למשל סיומות VBS, PIF, BAT, CMD וכו').

אז שיהיה לכם ערב טוב וגלישה בטוחה באינטרנט ובבלוגים במיקרוסופט בפרט,

נתנאל.