Страница 6 из 9
Комплексная защита предприятия. Есть несколько простых правил, которые могут существенно повысить уровень защищенности корпоративной сети. Необходимо максимально быстро устанавливать обновления по безопасности и отказаться от тех продуктов по безопасности, которые уже больше не поддерживаются. Нужно разработать комплексную систему антивирусной защиты и выбрать поставщиков антивирусных решений и программного обеспечения. В выборе поставщика главное – знать, насколько он может обеспечить поддержку, и понять, есть ли у него решения для всех платформ и типов устройств корпоративной сети вашей компании. Необходимо создать методику испытаний и провести сравнительные испытания антивирусных продуктов разных производителей для вашей среды – ваших приложений и программного обеспечения. При этом нужно привлекать к такому тестированию специалистов компаний-производителей. Остановиться можно на двух-трех продуктах разных производителей и использовать их для разных участков защиты информационной инфраструктуры. В любом случае важно, чтобы получившийся комплекс защиты был единым. Если в нем окажутся слабые места, то считать информационную инфраструктуру защищенной будет нельзя.
Идеал антивируса. Идеальный антивирус должен обнаруживать все вредоносные и потенциально вредоносные программы, не имея при этом ложных срабатываний. Важно, чтобы его работа была незаметна – он должен обладать удобным интерфейсом, не должен использовать ресурсы процессора, занимать оперативную память и задавать вопросы пользователю. С известными вредоносными программами все антивирусы справляются отлично, для этого используя сигнатурный поиск. Главная проблема в том, что вирусов становится все больше, и новые появляются буквально каждый час. Для обнаружения новых экземпляров нужно использовать эвристические анализаторы, которые пытаются эмулировать действие программы и понять, осуществляет ли она вредоносные действия. Generic – детектирование, основанное на анализе кода уже известных версий «червей» и поиске аналогичных функций в иных файлах, позволяет обнаруживать похожие, однотипные вирусы. Но все это по отдельности не помогает полностью защититься от вредоносного программного обеспечения. Комплексно это может сделать система проактивной защиты.
Проактивная защита. Проактивная защита дает возможность обнаружить вредоносное программное обеспечение, созданное после системы проактивной защиты. Другими словами, проактивная защита создана, чтобы обнаруживать еще неизвестное вредоносное программное обеспечение. По оценке специалистов, существует шесть инструментов проактивной защиты. Это эвристический анализатор, безопасность на основе политик, система обнаружения вторжений Intrusion Prevention System (IPS), защита от переполнения буфера (Buffer Overrun Protection), поведенческие блокираторы и статистические методы. Эвристический анализатор – известная и хорошо зарекомендовавшая себя технология, не требующая частого обновления. Но, к сожалению, такие системы обнаруживают всего 25–30 % вирусов и при этом высок показатель ложных срабатываний при повышении уровня детектирования. Это похоже на работу радиолокатора. Можно сделать его настолько чувствительным, что он будет обнаруживать помимо опасных объектов и все остальное, но это не даст возможности выявить опасность. Кроме того, эвристические анализаторы требуют больших затрат процессорного времени.
Политика безопасности может быть использована в любой компании. Грамотная политика позволяет практически без финансовых затрат в несколько раз снизить риски информационных угроз, она не зависит от типа используемого оборудования и программного обеспечения. Можно запретить сотрудникам открывать вложения в письмах, ограничивать доступ к электронной почте и интернет-сайтам и т. д. Однако при этом подходе невозможно подсчитать уровень обнаружения вредоносного программного обеспечения. В сущности, жесткий набор методов, которые нужно постоянно обновлять и менять, аналогичен сигнатурному методу программ-антивирусов. Но только если база данных по вирусам может обновляться сколь угодно часто, то постоянно менять правила работы сотрудников – вряд ли удачное решение.
У системы предотвращения вторжений IPS есть свой плюс: это хорошая технология для защиты от атак хакеров и бесфайловых вирусов, но IPS неприменима для обнаружения других типов вредоносного программного обеспечения и требует обновления сигнатур атак. Однако эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и интернет-шлюзов.
Защита от переполнения буфера на 100 % предотвращает ущерб от вредоносного программного обеспечения, использующего уязвимость «переполнение буфера». Она не требует обновления, здесь практически исключены ложные срабатывания, но ее нельзя использовать для обнаружения других типов вредоносного программного обеспечения. Все современные процессоры поддерживают эту технологию на аппаратном уровне. Она востребована для защиты рабочих станций, интернет-шлюзов и других серверов, которые имеют прямой выход в Интернет.
Поведенческие блокираторы имеют довольно высокий уровень обнаружения (до 60–70 %) и могут обнаруживать любой тип вредоносного программного обеспечения, не требуя больших затрат процессорного времени и других ресурсов. Однако у них бывают ложные срабатывания, так как существует много программ, похожих по своим действиям на вирусы. Поведенческие блокираторы задают много вопросов пользователям с просьбой принимать решения, и для них требуется иметь функцию «откат» (восстановление изменений, сделанных обнаруженным вредоносным кодом, до момента детектирования на этапе сбора информации). Они применимы только на рабочих станциях, когда возможно исполнение подозрительной программы. На почтовых, файловых серверах и шлюзах подозрительные программы не должны запускаться в принципе, и поведенческий блокиратор не будет востребован там, где идет постоянный трафик. На основании различной статистики и анализа почтовых сообщений можно остановить эпидемию в самом начале. Один из признаков опасности – массовая рассылка или прием одинаковых вложений, одинаковых писем с различными вложениями, наличие двойного расширения у вложений.
Кооперация. Проактивные методы часто противопоставляют сигнатурным. У тех и у других есть свои плюсы и минусы. В табл. 1 можно увидеть сравнение этих методов. Ни одна из технологий отдельно не дает оптимального уровня обнаружения вредоносных программ без ложных срабатываний. Лишь комплексный подход и объединение различных технологий дадут необходимый результат. Поэтому нужно строить антивирусную защиту не по принципу «сигнатуры или поведенческий блокиратор», а по системе «сигнатуры и поведенческий блокиратор».
Таблица 1
Компьютерное мошенничество. По данным криминалистов, в Рунете растет количество мошенников, а именно мошеннических писем в спаме. За год их доля выросла с 11 до 18,2 %. Мошенники также изобретают новые способы обмана и выманивания денег у доверчивых пользователей Интернета. В наши дни «реальному» мошенничеству уступило место виртуальное. С развитием новых технологий и средств массовой информации все больше людей рискуют попасться на удочку мошенников. Чтобы этого избежать, для начала нужно обозначить границы проблемы и ознакомиться с самыми популярными способами обмана в Сети.
Почтовые мошенники. Этот способ мошенничества возможен в результате непредвиденных утечек информации, в результате которых ваш e-mail становится известен мошенникам. Возможно, этим способом промышляют также некоторые недобросовестные системные администраторы спонсорских проектов. Как бы то ни было, но письма, перечисленные ниже, приходят именно в те почтовые ящики, которые активно используются в работе со спонсорами.
10
См.: Восканян М. Современные вирусные угрозы: тенденции и прогнозы // Intelligent Enterprise: сайт. URL: http://www.iemag.ru/analitics/detail.php?ID=16095 (дата обращения: 22.02.2013).