This page has been robot translated, sorry for typos if any. Original content here.

захист від вірусів

Дана стаття присвячена методам захисту від шкідливого програмного забезпечення. Ключем до організації ефективного антивірусного захисту є наявність антивірусного засобу. Для початку розглянемо основні вимоги, яким має задовольняти сучасне антивірусне програмне забезпечення.

До антивірусного програмного забезпечення пред'являються такі ж вимоги, як і до решти програмним продуктам - зручність використання і широкі функціональні можливості, які визначаються можливістю вибору різних режимів сканування та високою якістю детектування вірусів. Незважаючи на всю різноманітність програмних продуктів, принципи їх роботи однакові. До основних функцій сучасних антивірусів відносяться:

· Сканування пам'яті і вмісту дисків за розкладом;

· Сканування пам'яті комп'ютера, а також записуються і читаються файлів в реальному режимі часу за допомогою резидентного модуля;

· Вибіркове сканування файлів зі зміненими атрибутами - розміром, датою модифікації, контрольною сумою і т.д .;

· Сканування архівних файлів;

· Розпізнавання поведінки, характерного для комп'ютерних вірусів;

· Віддалена установка, настройка і адміністрування антивірусних програм з консолі системного адміністратора; оповіщення системного адміністратора про події, пов'язані з вірусними атаками, по електронній пошті, пейджеру і т. п.

· Примусова перевірка підключених до корпоративної мережі комп'ютерів, що ініціюється системним адміністратором.

· Віддалене оновлення антивірусного ПЗ і баз даних з інформацією про віруси, в тому числі автоматичне оновлення баз даних по вірусам за допомогою Internet;

· Фільтрація трафіку Internet на предмет виявлення вірусів в програмах і документах, переданих за допомогою протоколів SMTP, FTP, HTTP.

· Виявлення потенційно небезпечних Java-аплетів і модулів ActiveX.

· Функціонування на різних серверних і клієнтських платформах, а також в гетерогенних корпоративних мережах.

· Ведення протоколів, що містять інформацію про події, що стосуються антивірусного захисту.

Як було сказано в попередній статті, однією з основних характеристик сучасних вірусних атак є їх висока швидкість поширення. Крім того, можна відзначити високу частоту появи нових атак. Таким чином, в даний час до сучасного антивірусного програмного забезпечення, можна пред'явити вимогу частоти оновлення продукту - чим частіше оновлюється продукт, тим вище його якість, тому що він враховує всі актуальні на поточний момент часу вірусні загрози.

Необхідно відзначити, що в нашій країні найпопулярнішим антивірусним рішенням є сімейство продуктів антивірусної лабораторії Касперського - AVP.

Серед користувачів існує думка, що для успішного захисту від вірусної загрози достатньо мати антивірусний засіб. Однак, як сказав один автор, срібних куль не існує. Наявність антивірусного програмного забезпечення є необхідним, але не достатньою умовою для відображення антивірусної атаки (крім наявності кошти необхідно продумати методи його використання). Таким чином, захист від вірусів в організації повинна бути регламентована деякими правилами, інакше кажучи, бути елементом політики безпеки, яку повинні розуміти і дотримуватися всі користувачі системи (для розробки політики безпеки необхідно оцінити ризики, пов'язані із зараженням вірусами, і розумні шляхи їх мінімізації) .

Для того щоб сформулювати основні принципи антивірусної політики безпеки необхідно згадати наступні основні моменти, які стосуються вірусній атаці.

1. Вірусна атака складається з двох фаз - фаза зараження і фаза поширення (і, можливо, виконання деструктивних дій).

2. Сучасні віруси часто поширюються не тільки за допомогою виконуваних файлів, але і за допомогою файлів-документів популярних програм.

3. Сучасні віруси при атаці часто використовують можливості мережі Internet.

Розглянемо, що можна порекомендувати користувачеві з метою запобігання зараження вірусами (очевидно, що кращий спосіб боротьби з атакою - її запобігання). Отже, для запобігання вірусних атак рекомендується виконати наступні дії:

1. Відповідним чином налаштувати антивірусне програмне забезпечення. Для цього необхідно виконати наступні установки:

Ø сканування в режимі реального часу, в фоновому або аналогічному режимі повинно бути дозволено;

Ø при старті системи повинні скануватися пам'ять, завантажувальний сектор і системні файли;

Ø своєчасно оновлювати вірусні бази даних

Ø бажано сканувати всі типи файлів або як мінімум * .com, * .exe файли, а також файли типу * .vbs, * .shs, * .ocx;

Ø встановити аудит всіх дій антивірусних програм.

2. Використовувати тільки ліцензійне програмне забезпечення. Програмне забезпечення, отримане з невідомого джерела, може бути троянським або зараженим вірусом.

3. Обмежити набір програм, які користувач може встановити в системі (тому що сторонні програми можуть бути заражені вірусами або служити причиною успіху інших атак). Особливо слід звернути увагу на різні сервіси Internet і, в першу чергу, на програми обміну повідомленнями, такі як IRC, ICQ, Microsoft Chat (дані програми можуть передавати файли і служити джерелом зараження системи).

4. Крім того, бажано усунути відомі уразливості в програмному забезпеченні (тому що їх наявність може служити причиною успіху вірусних атак). Відомі вразливості зазвичай публікуються в списках розсилки Internet, а також на спеціальних сайтах. Як джерело інформації про уразливість можна порекомендувати базу даних на сайті www.securityfocus.com.

5. Контролювати використання накопичувачів гнучких дисків і дисків CDROM. В ідеалі вся інформація, що міститься на гнучких дисках і дисках CDROM, повинна бути перевірена на наявність вірусів до того, як до неї буде здійснено доступ з боку користувачів обчислювальної системи.

6. Розробити політику обробки електронної пошти (як складовий елемент політики безпеки). Як було відзначено в попередній статті, повідомлення електронної пошти є одним з найпопулярніших і найбільш швидких способів поширення вірусів. Для захисту від проникнення вірусів через повідомлення електронної пошти кожен користувач системи повинен:

Ø ніколи не відкривати відразу поштове вкладення у отриманому йому поштовому повідомленні;

Ø створити "карантинний" каталог - зберігати поштові вкладення в певному "карантинному" каталозі;

Ø якщо відправник повідомлення невідомий, то повідомлення з вкладенням може бути навіть видалено; якщо відправник повідомлення відомий, то повідомлення з вкладенням також може містити вірус; загальне правило може бути сформульовано таким чином: ніколи не відкривати поштових вкладень, що не були запитані або про яких не було повідомлення від відправника.

Ø перед відкриттям вкладення завжди перевірити його за допомогою антивірусного програмного забезпечення;

Ø якщо після виконання всіх цих процедур залишилися сумніви у відсутності вірусів в поштовому вкладенні, то можна зв'язатися з відправником і з'ясувати у нього інформацію про надісланому вкладенні;

Ø усунути можливі уразливості в клієнтському поштовому програмному забезпеченні;

7. Розробити політику безпеки додатків (а особливо при використанні в організації сімейства продуктів Microsoft Office), що обробляють документи з інтерпретуються мовами (як складовий елемент політики безпеки).

Але, припустимо, що зараження вже сталося. Розглянемо, що користувач повинен робити в цьому випадку. Перш за все, не треба ні в якому разі панікувати.

Першим кроком, який повинен бути зроблений при виявленні атаки на систему, це її ідентифікація. Для успішної ідентифікації атаки часто необхідна наявність завантажувального диска, створюваного при установці системи і здійснення завантаження системи з його допомогою.

Якщо атака ідентифікується антивірусом, то все очевидно. Але, якщо Ви маєте справу з деяким невідомим вірусом, у багатьох випадках, критичним є час, протягом якого була ідентифікована атака. У зв'язку з цим, велике значення має здатність користувача швидко виявити вірусну атаку (ознаками можуть служити масова розсилка пошти, знищення файлів і т.д.). Складність ідентифікації атаки часто залежить від складності самої атаки. На даному етапі бажано встановити як мінімум наступні ознаки: сам факт атаки, типу атаки (мережева або локальна) і джерело походження атаки.

Незалежно від типу ОС необхідно звертати увагу на наступну активність в системі:

· Цілісність ПО використовуваного для виявлення порушника;

· Цілісність критичних для безпеки системи програм і даних;

· Операції в системі і мережевий трафік.

Якщо Ви змогли визначити факт вірусного зараження невідомим вірусом (або у Вас є такі небезпідставні підозри), то бажано звернутися до виробника використовуваного Вами антивірусного програмного забезпечення.

І, нарешті, необхідно провести аналіз наслідків вірусної атаки. Якщо у Вашій системі оброблялися якісь цінні дані, то Ви, звичайно, маєте їх резервну копію. Для цього в організації повинні бути розроблені правила резервного копіювання. На жаль, якщо резервна копія відсутній, дані можуть бути загублені (це вже залежить не від Вас, а від зловмисника, який написав вірус, який вразив Вашу систему).

Отже, можна зробити наступний висновок: наявність адекватних засобів захисту і дисципліни їх застосування дозволяє якщо не уникнути вірусної атаки, то, по крайней мере, мінімізувати її наслідки.