Способы противодействия вирусным угрозам

Обновлено: 22.04.2024

Рабочие листы и материалы для учителей и воспитателей

Более 300 дидактических материалов для школьного и домашнего обучения

  • Онлайн
    формат
  • Диплом
    гособразца
  • Помощь в трудоустройстве

Описание презентации по отдельным слайдам:

Реальная опасность
вирусных угроз и возможные меры противодействия
Андрей Зеренков
Руководитель службы консалтинга
Лаборатория Касперского, Россия, страны СНГ и Балтии

О чём я…
…говорить не буду:
Версия 5.0 МР2 существенно отличается не только от версий 4.х,
но и от 5.0 по производительности, ресурсоёмкости, функционалу
Средства администрирования развиваются семимильными шагами и уже включают, например, поддержку иерархических систем
Активно совершенствуются существующие продукты и начата разработка новых на основе наших передовых технологий
…собираюсь рассказать:
О том, почему мы всем этим занимаемся, то есть
Какова текущая ситуация и, следовательно, требования, и
Какова миссия и цель нашей компании

Нарастание угроз ИТ-безопасности
Источник: CERT Statistics, 2005

Актуальность различных видов угроз
Источник: CSI/FBI Computer Crime and Security Survey 2004

История развития
Финансовое мошенничество:
1996 – мелкое воровство
1998 – удалённый контроль, шпионаж
2002 – Интернет-мошенничество (e-деньги)
2003 – финансовое мошенничество (банковские операции)
2004 – массовые атаки на Интернет-банки
Нежелательная реклама:
1994 – появление электронного спама
1999 – навязчивая реклама платных Web-ресурсов
2001 – троянские прокси-серверы (спам)
2002 – троянские рекламные системы
Шантаж и вымогательство (2002 – 2004):
Нелегальный захват Web-ресурсов
Хищения конфиденциальной информации
DoS-атаки, рэкет

Динамика экономических потерь
?
?
?
Melissa
Love Letter
MyDoom
NetSky
Sasser

Источник: Computer Economics, 2005

Локальные вирусные эпидемии: 1000 х 1000 х 1000…

Комбинация технологий заражения: E-mail + Web

Кооперация вирусописателей – структуризация криминала в Интернете

Конкуренция (войны вирусописателей)

Противодействие антивирусным компаниям

Противодействие злоумышленникам
Основной приоритет антивирусных компаний – борьба со временем:

Лаборатория Касперского сегодня
380 человек в 12 странах:
Беларусь, Великобритания, Германия, Казахстан, Китай,
Нидерланды, Польша, Россия, США, Украина, Франция, Япония
Оборот за 2004 г. – $27 млн., прирост – 76%
Россия – 35%, ОЕМ – 30%, за рубежом – 35%
Более 200 международных наград

Сертификаты

ФСБ
ГТК
West Coast Labs
ICSA

Главная задача биологии — это развитие представлений у человека о живых организмах, о многообразии видов, обо всех закономерностях развития живых существ, а также об их взаимодействии с окружающей природой. Предмет основы безопасности жизнедеятельности (ОБЖ) позволяет получить знания и умения, которые помогут сохранить жизнь и здоровье в опасных ситуациях. Эти ситуации всегда возникают неожиданно, но, тем не менее, большинство из них предсказуемы и к ним можно подготовиться заранее. ОБЖ учит нас предвидеть возможные опасности и минимизировать потери от той или иной ситуации. Сегодня мы сталкиваемся с новым видом вирусной опасности COVID-19,о котором поговорим с точки зрения биологии и ОБЖ.

Что такое вирус?

Вирус — это неклеточный инфекционный агент. Сегодня нам известно около 6 тысяч различных вирусов, но их существует несколько миллионов. Вирусы не похожи друг на друга и могут иметь как форму сферы, спирали, так и форму сложного асимметричного сплетения. Размеры вирусов варьируются от 20 нм до 300 нм.

Как устроен вирус?

В центре агента находится генетический материал РНК или ДНК, вокруг которого располагается белковая структура — капсид.
Капсид служит для защиты вируса и помогает при захвате клетки. Некоторые вирусы дополнительно покрыты липидной оболочкой, т.е. жировой структурой, которая защищает их от изменений окружающей среды.

Вирусолог Дэвид Балтимор объединил все вирусы в 8 групп, из которых некоторые группы вирусов содержат 1-2 цепочки ДНК. Другие же содержат 1 цепочку РНК, которая может удваиваться или достраивать на своей матрице ДНК. При этом каждая группа вирусов производит себя в различных органеллах зараженной клетки.

Вирусы имеют определенный диапазон хозяев, т.е. он может быть опасен для одних видов и абсолютно безвреден для других. Например, оспой болеет только человек, а чумкой только некоторые виды плотоядных. Вирус не способен выжить сам по себе, поэтому активируется только в хозяйской клетке, используя ее ресурсы и питательные вещества. Цель вируса — создание множества копий себя, чтобы инфицировать другие клетки!

Вирусы

Как вирус попадает в организм?

  • через физические повреждения (например, порезы на коже)
  • путём направленного впрыскивания (к примеру, укус комара)
  • направленного поражения отдельной поверхности (например, при вдыхании вируса через трахею)
  • к эпителию слизистых оболочек (это например вирус гриппа)
  • к нервной ткани (вирус простого герпеса)
  • к иммунным клеткам (вирус иммунодефицита человека)

Биология. Рабочая тетрадь. 9 класс

Геном вируса встраивается в одну из органелл или цитоплазму и превращает клетку в настоящий вирусный завод. Естественные процессы в клетке нарушаются, и она начинает заниматься производством и сбором белка вируса. Этот процесс называется репликацией. И его основная цель — это захват территории. Во время репликации генетический материал вируса смешивается с генами клетки хозяина — это приводит к активной мутации самого вируса, а также повышает его выживаемость. Когда процесс репликации налажен, вирусная частица отпочковывается и заражает уже новые клетки, в то время как инфицированная ранее клетка продолжает производство.

Выход вируса

Вирус создал множество собственных копий, клетка оказывается изнуренной из-за использования ее ресурсов. Больше вирусу клетка не нужна, поэтому клетка часто погибает и новорожденным вирусам приходится искать нового хозяина. Это и есть заключительная стадию жизненного цикла вируса.

Скорость распространения вирусной инфекции

Размножение вирусов протекает с исключительно высокой скоростью: при попадании в верхние дыхательные пути одной вирусной частицы уже через 8 часов количество инфекционного потомства достигает 10³, а концу первых суток − 10²³.

Вирусная латентность

Как вирус распространяется?

  • воздушно-капельный (кашель, чихание)
  • с кожи на кожу (при прикосновениях и рукопожатиях)
  • с кожи на продукты (при прикосновениях к пище грязными руками вирусы могут попасть в пищеварительную и дыхательную системы)
  • через жидкие среды организма (кровь, слюну и другие)

Почему с вирусами так тяжело бороться?

Сегодня людям уже удалось победить некоторые вирусы, а некоторые взять под жесткий контроль. Например, Оспа (она же черная оспа). Болезнь вызывается вирусом натуральной оспы, передается от человека к человеку воздушно-капельным путем. Больные покрываются сыпью, переходящей в язвы, как на коже, так и на слизистых внутренних органов. Смертность, в зависимости от штамма вируса, составляет от 10 до 40 (иногда даже 70%), На сегодняшний день вирус полностью истреблен человечеством.

Кроме того, взяты под контроль такие заболевания, как бешенство, корь и полиомиелит. Но помимо этих вирусов существует масса других, которые требуют разработок или открытия новых вакцин.

Коронавирус

Виновником эпидемии, распространяющейся сегодня по миру, стал коронавирус, вирусная частица в 0,1 микрона. Свое название он получил благодаря наростам на своей структуре, своеобразным шипам. Внутри вируса спрятан яд, с помощью которого он подчиняет себе зараженный организм. Этот вирус воздействует не только на человека, но и на птиц, свиней, собак и летучих мышей. В настоящий момент выделяют от 30 до 39 разновидностей коронавирусной инфекции. Но для человека патогенно всего 6. И как любой другой вирус COVID-19 мутирует.

симптомы и признаки.jpg

К наиболее распространенным симптомам COVID-19 относятся повышение температуры тела, сухой кашель и утомляемость. К более редким симптомам относятся боли в суставах и мышцах, заложенность носа, головная боль, конъюнктивит, боль в горле, диарея, потеря вкусовых ощущений или обоняния, сыпь и изменение цвета кожи на пальцах рук и ног. Как правило, эти симптомы развиваются постепенно и носят слабо выраженный характер. У некоторых инфицированных лиц болезнь сопровождается очень легкими симптомами.

Сколько же может жить этот вирус вне организма? Все зависит от типа вируса и от той поверхности, на которую вирусы попали. В качестве примера было рассмотрено 3 вируса, по которым велись исследования. Изучали время, на которое может задерживаться вирус на различных поверхностях. Данные приведены в таблице.

Таблица

Поскольку пока не изобретено вакцины от COVID-19, в целях защиты от инфекции самым важным для нас является соблюдение гигиены.

Гигиена — раздел медицины, изучающий влияние жизни и труда на здоровье человека и разрабатывающая меры (санитарные нормы и правила), направленные на предупреждение заболеваний, обеспечение оптимальных условий существования, укрепление здоровья и продление жизни.

Сегодня следует соблюдать определенные правила гигиены:

  • Соблюдение режима труда и отдыха, не допускающего развития утомления и переутомления.
  • Выполнение условий, обеспечивающих здоровый и полноценный сон (свежий воздух, отсутствие шума, удобная постель, оптимальная продолжительность).
  • Правильное здоровое питание в соответствии с потребностями организма.
  • Комфортный микроклимат в жилище (температура, влажность и подвижность воздуха, естественная и искусственная освещенность помещений).
  • Содержание в чистоте тела и тщательный уход за зубами.
  • Спокойное и корректное поведение в конфликтных ситуациях.

профилактика.jpg

Размеры ущерба ИС, вызванного различными факторами, в 1999-2004 гг.
(в млрд долл., по данным mi2g)

Год Вирусы Спам Фишинг Итого
1999 2 1 0 21
2000 9 3 0 26
2001 6 3 0 37
2002 11 72 0 119
2003 92 65 16 239
2004 184 154 47 525

Необходимо также отметить, что, по данным исследований Института компьютерной безопасности и Федерального бюро расследований США, в 2004 г. более 78% организаций подверглись вирусным атакам [1]. При этом в 97% этих организаций были установлены межсетевые экраны, а 96% компаний использовали антивирусные средства. Это говорит о том, что существующие подходы к защите от вредоносного ПО не позволяют в полной мере решить задачу обеспечения антивирусной безопасности. Однако прежде чем говорить о недостатках традиционных методов защиты, рассмотрим основные виды вирусных угроз, которые могут представлять опасность для ИС организаций.

Вирусные угрозы безопасности

Угрозу антивирусной безопасности создают различные типы вредоносного ПО, способного нанести определенный вред ИС или ее пользователям. Вредоносное ПО - это компьютерные вирусы и программы типа "троянский конь", "рекламное ПО" (adware), "шпионское ПО" (spyware) и т. д.

Вирусы - это специально созданный программный код, способный самостоятельно распространяться в компьютерной среде [2]. Сегодня можно выделить следующие типы компьютерных вирусов: файловые и загрузочные вирусы, сетевые черви, бестелесные вирусы, а также комбинированные типы. Все они различаются типом носителя и методом распространения в ИС.

Программы типа "троянский конь" (trojan horses) также относятся к вредоносному программному коду, однако, в отличие от вирусов, не способны самостоятельно распространяться в ИС. Программы данного типа маскируются под штатное или какое-то другое ПО и позволяют нарушителю получить удаленный несанкционированный доступ к тем узлам, на которых они установлены.

Основная функциональная задача вредоносных программ класса adware заключается в отображении рекламной информации на рабочих станциях пользователей (как правило, они выводят на экран пользователя рекламные баннеры). В большинстве случаев эти программы распространяются вместе с другим ПО, которое устанавливается на узлы ИС. Хотя программы adware и не представляют непосредственной угрозы для конфиденциальности или целостности информационных ресурсов ИС, их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций.

Жизненный цикл вирусных угроз, как правило, состоит из четырех этапов (рис. 1).

Рис. 1. Жизненный цикл вирусной угрозы.

Основное условие первого этапа жизненного цикла вирусной угрозы в ИС - наличие уязвимости, на основе которой могут быть проведены вирусные атаки [3]. Уязвимости бывают связаны с недостатками организационно-правового либо программно-аппаратного обеспечения ИС. Первый тип уязвимостей вызван отсутствием определенных нормативных документов, в которых определяются требования к антивирусной безопасности ИС, а также пути их реализации. Так, в организации может отсутствовать политика информационной безопасности, учитывающая требования к антивирусной защите. Примеры уязвимостей программно-аппаратного обеспечения - это ошибки в ПО, отсутствие средств защиты, неправильная конфигурация программного окружения, наличие нестойких к подбору паролей и т. д.

Уязвимости могут возникать как на технологическом, так и на эксплуатационном этапе жизненного цикла ИС. Технологические уязвимости проявляются на стадиях проектирования, разработки и развертывания ИС. Эксплуатационные уязвимости связаны с неправильной настройкой программно-аппаратного обеспечения, установленного в ИС.

Второй этап жизненного цикла вирусной угрозы - использование вирусом имеющейся технологической или эксплуатационной уязвимости для инфицирования ресурсов ИС. На данном этапе вирус заражает один из хостов, входящих в состав ИС. В зависимости от типа уязвимости применяются различные методы для их использования.

На третьем этапе жизненного цикла вирус выполняет те действия, для которых он был предназначен. Так, вирус может установить на инфицированный компьютер программу типа "троянский конь", исказить информацию, хранящуюся на хосте, или собрать конфиденциальную информацию и передать ее на определенный адрес в Интернете. В ряде случаев вирусы также используются для нарушения работоспособности атакованной ИС.

На четвертом этапе жизненного цикла происходит дальнейшее распространение вирусов в ИС посредством инфицирования других компьютеров, расположенных в одной локальной сети с зараженным хостом. В большинстве случаев распространение вирусов происходит на основе тех же уязвимостей, которые использовались для первичного инфицирования.

Недостатки существующих подходов

Сегодня популярен миф о том, что для эффективной защиты ИС от вредоносного ПО достаточно установить антивирусные продукты на всех корпоративных рабочих станциях и серверах, что автоматически обеспечит нужный уровень безопасности. К сожалению, практика показывает, что такой подход не решает в полной мере задачу защиты от вредоносного кода. Обусловлено это следующими основными причинами. Во-первых, в подавляющем большинстве антивирусные средства базируются на сигнатурных методах выявления вредоносного ПО, соответственно не могут обнаруживать новые виды вирусов, сигнатуры которых отсутствуют в их базах данных. Во-вторых, антивирусные средства защиты не позволяют выявлять и устранять уязвимости, на основе которых компьютерные вирусы проникают в ИС предприятий, и не обладают функциональными возможностями для ликвидации последствий вирусных атак. Наконец, в ряде случаев в организациях отсутствуют нормативно-методические документы, регламентирующие порядок работы с антивирусными средствами защиты. Это может приводить к нарушениям правил эксплуатации, а именно: к несвоевременному обновлению сигнатурных баз, отключению компонентов антивирусов, запуску программ с непроверенных информационных носителей и т. д.

Другой распространенный подход к защите от вредоносного кода - использование в ИС антивирусных средств защиты только от одного производителя, которые устанавливаются на серверы, рабочие станции и сетевые шлюзы. Недостаток такого метода - высокий уровень зависимости от продукции данного производителя. Это означает, что если по какой-то причине будет нарушена работоспособность антивирусного ядра или вендор не сможет своевременно обновить свою базу данных, то под угрозой вирусной эпидемии окажется вся инфраструктура компании. Актуальность данной проблемы обусловлена тем, что антивирусные лаборатории по-разному реагируют на появляющиеся компьютерные вирусы. Иллюстрирует это рис. 2, где приведено время реакции различных компаний-производителей на вирус Sober.P, появившийся 2 мая 2005 г. Можно видеть, что разница во времени реакции достигала 8 ч, в течение которых ИС могла быть успешно атакована злоумышленниками. Необходимо подчеркнуть также, что производитель, сегодня первым отреагировавший на появление вируса класса "А", завтра может оказаться последним, кто выпустит сигнатуру для вируса типа "Б".

Избежать перечисленных выше недостатков помогает комплексный подход к защите от вирусных угроз.

Комплексный подход к защите

  • выявление и устранение уязвимостей, на основе которых реализуются вирусные угрозы, что позволит исключить причины возникновения вирусных атак;
  • своевременное обнаружение и блокирование вирусных атак;
  • выявление и ликвидация последствий вирусных угроз. Данный класс мер защиты направлен на минимизацию нанесенного ущерба.

Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при наличии нормативно-методического, технологического и кадрового обеспечения антивирусной безопасности.

Нормативно-методическое обеспечение антивирусной безопасности предполагает создание сбалансированной правовой базы в области защиты от вирусных угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы антивирусной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности ИС, количества объектов защиты и т. д. Так, для крупных организаций основополагающим нормативным документом в области защиты от вредоносного кода должна быть концепция или политика антивирусной безопасности. Для небольших компаний достаточно разработать соответствующие инструкции и регламенты работы пользователей, а также включить требования к обеспечению антивирусной защиты в состав политики информационной безопасности организации.

В рамках кадрового обеспечения антивирусной безопасности в компании следует организовать обучение сотрудников противодействию вирусным угрозам. Программа обучения должна быть направлена на минимизацию рисков, связанных с ошибочными действиями пользователей. В качестве примеров таких действий назовем запуск приложений с непроверенных внешних носителей, использование нестойких к подбору паролей доступа, закачка объектов ActiveX с недоверенных сайтов и т. д. В процессе обучения необходимо рассмотреть как теоретические, так и практические аспекты антивирусной защиты. Программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того, к каким информационным ресурсам он имеет доступ.

Технологическое обеспечение должно быть направлено на создание комплексной системы антивирусной защиты (КСАЗ), в которую дополнительно следует включить такие подсистемы, как защита от спама, обнаружение и предотвращение атак, выявление уязвимостей, сетевое экранирование и подсистема управления.

Подсистема выявления компьютерных вирусов - это базовый элемент КСАЗ; она предназначена для обнаружения различных типов вирусов на уровне рабочих станций пользователей, серверов, а также сетевых шлюзов. Для обнаружения вирусов подсистема использует как сигнатурные, так и эвристические методы анализа. В случае обнаружения вируса она должна обеспечивать оповещение пользователя и администратора безопасности, а также удаление выявленных вирусов из инфицированных файлов.

Подсистема сетевого экранирования предназначена для защиты рабочих станций пользователей от сетевых вирусных атак посредством фильтрации потенциально опасных пакетов данных. Подсистема должна обеспечивать фильтрацию на канальном, сетевом, транспортном и прикладном уровнях стека TCP/IP. Как правило, данная подсистема реализуется на основе межсетевых и персональных сетевых экранов. При этом межсетевой экран устанавливается в точке подключения ИС к Интернету, а персональные экраны размещаются на рабочих станциях пользователей.

Подсистема выявления и предотвращения атак предназначена для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в ИС, а также событий, регистрируемых на серверах и рабочих станциях. Подсистема дополняет функции межсетевых и персональных экранов за счет возможности более детального контекстного анализа содержимого передаваемых пакетов данных. В нее входят следующие компоненты: сетевые и хостовые сенсоры, модуль выявления атак, модуль реагирования на них и модуль хранения данных.

Сетевые и хостовые сенсоры предназначены для сбора необходимой информации о функционировании ИС. Сетевые сенсоры реализуются в виде отдельных программно-аппаратных блоков и собирают информацию обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен сенсор. Сенсоры этого типа устанавливаются во всех ключевых сегментах ИС, где расположены защищаемые узлы системы. Хостовые сенсоры устанавливаются на рабочие станции и серверы и собирают информацию обо всех событиях, происходящих на этих узлах системы. Они могут собирать информацию не только о пакетах данных, но и о других операциях, которые выполняются приложениями, запущенными на узле ИС.

Модуль выявления атак обрабатывает данные, собранные сенсорами, с целью обнаружения информационных атак. Он должен реализовывать сигнатурные и поведенческие методы анализа информации.

Модуль реагирования на обнаруженные атаки должен предусматривать варианты как пассивного, так и активного реагирования. Пассивное реагирование предполагает оповещение администратора о выявленной атаке, активное - блокирование попытки реализации атаки.

В модуле хранения данных содержится вся конфигурационная информация, а также результаты работы подсистемы.

Подсистема выявления уязвимостей должна обеспечивать обнаружение технологических и эксплуатационных уязвимостей ИС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, коммуникационное оборудование. Для сканирования могут применяться как пассивные, так и активные методы сбора информации. По результатам работы подсистема должна выдавать детальный отчет, содержащий информацию об обнаруженных уязвимостях и рекомендации по их устранению.

Совместно с подсистемой выявления уязвимостей в ИС может использоваться система управления модулями обновлений общесистемного и прикладного ПО. Совместное их использование позволит автоматизировать процесс устранения выявленных уязвимостей путем установки необходимых пакетов обновлений на узлы ИС.

  • удаленную установку и деинсталляцию антивирусных средств на серверах и рабочих станциях;
  • удаленное управление параметрами работы подсистем защиты, входящих в состав КСАЗ;
  • централизованный сбор и анализ информации, поступающей от других подсистем. Это позволяет автоматизировать процесс обработки поступающих данных и повысить оперативность реагирования на выявленные инциденты, связанные с нарушением антивирусной безопасности.

Общая схема размещения в ИС подсистем защиты, входящих в состав комплексной системы антивирусной безопасности, показана на рис. 3.

Рис. 3. Общая схема размещения средств защиты в ИС.

  1. Аудит информационной безопасности ИС, направленный на сбор исходной информации, необходимой для разработки плана внедрения КСАЗ.
  2. Формирование требований к КСАЗ, предназначенной для защиты ИС. На данном этапе формируется техническое задание на внедрение КСАЗ.
  3. Подготовка технорабочего проекта внедрения КСАЗ, содержащего описание проектных решений, схемы установки, параметры настройки КСАЗ и другие служебные данные.
  4. Обучение персонала организации, ответственного за администрирование КСАЗ.
  5. Пусконаладочные работы, связанные с развертыванием КСАЗ.
  6. Техническое сопровождение КСАЗ, в рамках которого решаются вопросы обслуживания системы в процессе ее эксплуатации.

Состав этапов и их длительность зависят от размеров защищаемой системы и от масштабов внедрения КСАЗ. Работы, связанные с внедрением и эксплуатацией КСАЗ, могут проводиться как собственными силами предприятия, так и с привлечением внешних организаций, специализирующихся на предоставлении услуг в области информационной безопасности. При этом некоторые этапы можно объединять или проводить одновременно. Например, подготовка технорабочего проекта и обучение персонала предприятия могут выполняться параллельно.

Заключение

Компьютерные вирусы - одна из наиболее значимых сегодня угроз информационной безопасности, о чем свидетельствуют цифры ежегодных финансовых потерь компаний в результате вирусных атак. При этом традиционные меры борьбы с вредоносным ПО, основанные на простой установке антивирусных средств защиты на рабочих станциях и серверах, оказываются недостаточно эффективными. Использование комплексного подхода к противодействию вирусным атакам позволит повысить эффективность тех мер, которые используются компаниями в настоящее время.

Источники дополнительной информации

Другие статьи из раздела

  • Решение Fortinet для безопасности подключенных автомобилей
  • Решение для защиты критичных сегментов сетевой инфраструктуры
  • Решения HID Global для безопасности приложений Интернета вещей
  • Check Point отметила рост атак на корпоративные сети
  • Новые троянцы для Linux

Другие статьи по схожей теме

Демонстрация Chloride Trinergy

Chloride
Демонстрация Chloride Trinergy
Впервые в России компания Chloride Rus провела демонстрацию системы бесперебойного электропитания Chloride Trinergy®, а также ИБП Chloride 80-NET™, NXC и NX для своих партнеров и заказчиков.

RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша

Adaptec by PMC
RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша
Опытные сетевые администраторы знают, что задействование в работе кэш-памяти RAID-контроллера дает серьезные преимущества в производительности …

Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy

Chloride
Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy
Trinergy — новое решение на рынке ИБП, впервые с динамическим режимом работы, масштабируемостью до 9.6 МВт и КПД до 99%. Уникальное сочетание …

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства — Фред Коэн.

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

Классификация Антивирусов

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

Блокировщики




Иммунизаторы

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные.

Обеспечение безопасности при работе в сети одинаково актуально как для отдельных пользователей, так и для целых корпораций. И те и другие существенно страдают от атак злоумышленников. Только если в случае частных пользователей объектом атаки являются пароли электронной почты, сетевых мессенджеров и домашние компьютеры, то применительно к организациям под угрозой оказываются целые локальные сети и автоматизированные системы. Для предприятий подобные угрозы составляют большую проблему, поскольку на настоящий момент автоматизированные системы выполняют ключевую роль в обеспечении успешной реализации бизнес-процессов и любое вмешательство в систему или утечка коммерческих данных могут поставить под удар все предприятие. При этом, по наблюдениям специалистов, в последние годы количество информационных атак постоянно увеличивается как в России, так и в зарубежных странах. Информационную атаку можно определить как комплекс действий некоего злоумышленника, направленный на нарушение какого-либо из трех основных свойств информации – целостности, доступности, конфиденциальности.

Как показывает практика, информационные атаки могут подразделяться на внешние и внутренние.

Внешние атаки осуществляются извне локальной сети, с узла, не являющегося ее частью. К этой разновидности относятся все виды информационных атак, которые проводятся в отношении той или иной корпоративной сети из Интернета.

Внутренними называются информационные атаки, которые проводятся с одного из серверов или рабочих станций самой локальной сети. Как пример можно взять утечку конфиденциальной информации.

В качестве метода атаки обычно используется поиск уязвимости автоматизированной системы, позволяющей проникнуть в нее злоумышленнику. Причем уязвимостью, слабым местом системы могут быть самые разные факторы: некорректные настройки и конфигурация сетевых служб, отсутствие необходимых средств защиты, не установленные вовремя модули обновлений, нестойкие пароли и тому подобное. В качестве средств защиты выступают обычные виды технических приемов:

1) межсетевые экраны;

2) средства криптографической защиты;

3) антивирусные программы;

4) средства от спама;

5) программные средства обнаружения атак;

6) разграничение прав доступа для пользователей.

Межсетевой или сетевой экран – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Средства криптографической защиты предназначены для реализации в прикладном программном обеспечении функций криптографической защиты информации – применения электронной подписи и шифрования. Криптографические методы защиты информации – это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

Современная криптография включает в себя четыре крупных раздела:

1. Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Шифрование – преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом; дешифрование – обратный шифрованию процесс: на основе ключа шифрованный текст преобразуется в исходный;




4. Управление ключами. Это процесс системы обработки информации, содержанием которого являются составление и распределение ключей между пользователями.

Антивирусная программа (антивирус) – любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Второй подход заключается в том, чтобы, применяя различные методы, опознать отправителя как спамера, не заглядывая в текст письма. Это ПО может работать только на сервере, который непосредственно принимает письма. При таком подходе дополнительный трафик тратится сервером только на общение со спамерскими почтовыми программами (т. е. на отказы принимать письма) и обращения к другим серверам (если таковые нужны) при проверке. Большинство программного обеспечения, ориентированного на работу с электронной почтой, имеет свои собственные спам-фильтры. Критерием эффективности антиспама является прежде всего процентное соотношение выявленного и пропущенного спама.

Система обнаружения вторжений (СОВ) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими, в основном через Интернет. Соответствующий английский термин – Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем. Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей). Обычно архитектура СОВ включает:

– сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

– подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

– хранилище, обеспечивающее накопление первичных событий и результатов анализа;

– консоль управления, позволяющую конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Существует несколько способов классифицировать СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства. Разграничение прав доступа для пользователей также является важным механизмом по предотвращению несанкционированного доступа к конфиденциальным данным. Разграничение прав доступа позволяет разграничить права доступа к информации для разных людей. Таким образом, конфиденциальная информация никогда не попадет в руки пользователя, который не имеет доступа к этой информации. В свою очередь, отдельные пользователи имеют все полномочия и могут назначать или убирать их для других.

В случае успешно реализованной информационной атаки многое зависит от того, как быстро ее успели обнаружить и как быстро перекрыт доступ для злоумышленника в систему. Так или иначе, в данном случае потребуется полная проверка системы на уязвимость, смена паролей, выявление источника атаки и способа его проникновения в систему.

Читайте также: