2020-06-29
1389Антивирусные программы и комплексы
Для защиты от вирусов можно использовать:
- общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих методов защиты:
- резервное копирование информации, т. е. создание копий файлов и системных областей дисков на дополнительном носителе;
- разграничение доступа, предотвращающее несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов.
|
|
|
По версии Е. Касперского различают:
1. Программы-фаги (сканеры). Используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования в оперативной памяти и в файлах. Они не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса. Достоинство – универсальность, недостаток – относительно небольшая скорость поиска вирусов и относительно большие размеры антивирусных баз. Быстро устаревают, требуется регулярное обновление версий.
2. Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы сохраняются в БД антивируса. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация не совпадает, то CRC-сканеры сигнализируют об изменении или заражении файла вирусом. Достоинство – практически 100% вирусов обнаруживаются почти сразу после их появления на компьютере. Недостаток – не могут определить вирус в новых файлах (электронная почта, при распаковке файла из архива и т.д.).
3. Программы-блокировщики реализуют метод антивирусного мониторинга. Они перехватывают вызовы, которые характерны для вирусов в момент их размножения. При попытке программы произвести опасные действия, блокировщик посылает пользователю сообщение и предлагает запретить соответствующее действие. Достоинства – способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. Недостатки – не «лечат» файлы и диски, существуют пути обхода их защиты, «назойливость» (постоянно выдают предупреждение о любой попытке копирования исполняемого файла).
|
|
|
4. Программы-иммунизаторы – это программы, предотвращающие заражение файлов.Иммунизаторы делятся на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Иммунизатор первого типа записывается в конец файла и при запуске файла каждый раз проверяет его на изменение. Этот тип иммунизаторов практически не используется, т.к. не может обнаружить заражение стелс-вирусом. Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Он модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, вирус при этом воспринимает их зараженными и поэтому не внедряется. Несмотря на отсутствие универсальности, эти иммунизаторы могут вполне надежно защитить компьютер от нового неизвестного вируса до тех пор, пока он не станет определяться антивирусными сканерами.
Качество антивирусной программы можно оценить по нескольким критериям:
- надежность и удобство работы – отсутствие «зависаний» антивируса и др. технических проблем;
- качество обнаружения вирусов всех распространенных типов, возможность лечения зараженных объектов;
- существование версий антивируса под все популярные платформы, существование серверных версий с возможностью администрирования сети;
- скорость работы.
Распространенные антивирусные программные комплексы:
- антивирус Касперского (AVP) Personal;
- антивирус Dr.Web;
- антивирус Symantec Antivirus;
- антивирус AntiVir Personal Edition.
Перечисленные средства могут оказать серьёзную помощь в обнаружении вирусов и восстановлении повреждённых файлов, однако не менее важно и соблюдение сравнительно простых правил антивирусной безопасности.
1. Следует избегать пользоваться нелегальными источниками получения программ. Наименее же опасен законный способ покупки фирменных продуктов.
2. Осторожно следует относиться к программам, полученным из сети Internet, так как нередки случаи заражения вирусами программ, распространяемых по электронным каналам связи.
3. Всякий раз, когда флэш-память побывала в чужом компьютере, необходимо проверить её с помощью одного или двух антивирусных средств.
4. Необходимо прислушиваться к информации о вирусных заболеваниях на компьютерах в своем районе проживания или работы и о наиболее радикальных средствах борьбы с ними.
5. При передаче программ или данных на своей флэш-памяти её следует обязательно защитить от записи.
Антивирусная защита корпоративных сетей
Наиболее часто встречающееся решение при обеспечении антивирусной защиты в корпоративных сетях – применение антивирусного ПО для клиент-серверных решений. В этом случае имеется некий выделенный компьютер, на который устанавливается центральный программный модуль, отвечающий за управление локальными антивирусными программами-агентами, а также за обновление антивирусной базы.
На остальных компьютерах сети разворачиваются антивирусные программы-агенты. Каждый из них непосредственно отвечает за защиту компьютера, на котором находится, а также за сбор данных, мониторинг состояния, отчеты. Все обновления и настройки антивирусные агенты получают с антивирусного сервера – компьютера с центральным модулем (см. рис.).
Подобные решения называют корпоративным антивирусом, или Enterprise системами антивирусной защиты. По такой схеме работает большинство современных систем антивирусной защиты уровня предприятия. К плюсам можно отнести быстроту внедрения данного решения. Достаточно приобрести антивирусное ПО, установить серверную часть и посредством антивирусной консоли управления «разбросать» агентов по объектам мониторинга.
|
|
|
Несмотря на несомненные достоинства, решение имеет ряд врожденных недостатков, а именно:
· В данном случае вирус может быть распознан только после того, как проник в систему. Действительно, большинство антивирусных агентов «ловит» вирус только после начала активности, когда тот начинает предпринимать какие-либо попытки проявить свою сущность. Даже самые продвинутые антивирусные мониторы, как правило, могут засечь вирус, когда он успел куда-то попасть – например, в кэш веб-браузера или в почтовую базу e-mail-клиента.
· Централизация антивирусных продуктов довольно часто приводит к тому, что при сбоях самого антивирусного модуля вся локальная сеть остается без защиты. Оставшиеся без антивирусного обновления компьютеры за время устранения неисправности могут получить заражение несколькими различными вирусами и вирусоподобными программами, последствия действий которых придется устранять долгое время.
· В сети присутствует большое количество объектов, нуждающихся в антивирусном контроле – серверы, рабочие станции, мобильные устройства.
· От технических специалистов требуется постоянно отслеживать появление новых вирусов и проверять их наличие у себя в системе.
Конечно, с появлением антивирусных систем уровня предприятия появилась возможность получать оперативные отчеты. При этом работа рядового системного администратора несколько упростилась. Но необходимость следить за большим количеством объектов, которые могут быть подвержены заражению, осталась.
Имеется два основных направления усиления защиты:
- увеличение степеней защиты;
- уменьшение числа объектов, которые могут быть подвержены заражению.
При этом обычная схема защиты сети от вредоносного ПО при помощи корпоративного антивируса продолжает применяться вместе с новыми решениями.
|
|
|
1. Вводим дополнительную степень защиты
Основной принцип работы данного метода – вводим дополнительную степень защиты. Главный недостаток антивируса, установленного непосредственно на защищаемый объект, – обнаружение вирусной опасности «по факту появления», то есть когда вредоносное ПО тем или иным способом уже попало на охраняемый объект. При наличии соответствующих настроек, если антивирус сможет обнаружить вредоносное ПО, он будет пытаться его обезвредить или заблокировать. Но проблема в том, что большая часть таких вирусов индивидуальна, а посему и неизвестна антивирусным продуктам. Поэтому необходимо решить вопрос о внесении изменений в саму структуру сети, чтобы вредоносное ПО отсекалось до проникновения внутрь локальной сети. То есть ввести защиту периметра сети.
Существует два основных источника заражения: Интернет (включая FTP и электронную почту) и съемные носители. Несмотря на то что в большинстве компаний служба безопасности косо смотрит и на бесконтрольный доступ в Интернет, оградить современного пользователя от доступа к интернет-ресурсам крайне затруднительно, а если речь идет об электронной почте – то и вовсе нереально. Что же касается использования сменных носителей, то здесь ситуация аналогична, как и в случае с доступом в Интернет: существует ряд пользователей, которым необходимо пользоваться съемными носителями по долгу службы (например, отдел рекламы, бухгалтерия при сдаче отчетности в Пенсионный фонд и т.д.). Есть пользователи, жаждущие поработать вне офиса. Как правило, большинство руководителей российских компаний поощряют переработки (особенно если это не оплачивается), поэтому необходимо предусмотреть вариант, когда пользователи уносят файлы домой и работают с ними на домашних компьютерах.
Для распознавания и защиты от угрозы заражения через Интернет используется антивирусный интернет-шлюз (см. рис.). На выделенном сервере установлены: прокси-сервер с дополнительным модулем для проверки HTTP-трафика, frox для проверки FTP и почтовый релей c антиспам-защитой для защиты корпоративной почты. Данное решение будет бесполезным, если оставить для пользователей возможность выхода в Интернет напрямую через NAT, минуя антивирусную защиту.
Подобное решение способно фильтровать от 80 до 95% вирусного трафика. Корпоративному антивирусу остается «позаботиться» об оставшихся вирусах, сумевших проникнуть через антивирусный шлюз.
Принцип защиты от проникновения вирусов через съемные носители очень простой. Пользователи вставляют свои флэшки, USB-диски, DVD-диски и т.д. в проверочный компьютер и запускают соответствующий скрипт, который проверяет на вирусы и перемещает содержимое их носителя в каталог на диске, являющийся общим ресурсом Samba-сервера. После чего пользователи могут извлечь носитель и получить доступ к своим файлам по сети.
Для удобства пользователей таких проверочных компьютеров может быть несколько. При этом необходимо отключить USB-порты на рабочих станциях. В противном случае все усилия могут оказаться напрасными.
2. Организация системы резервного копирования
Система резервного копирования (или, как ее еще называют, бэкап-система) является последней надеждой в случае, если вирус сумеет нанести серьезные повреждения – например, уничтожит дисковый раздел или удалит данные. Кроме того, при серьезном заражении иногда имеет смысл не лечить систему, а просто восстановить из резервной копии.
Помимо резервного копирования данных настоятельно рекомендуется делать полный снимок образа серверов и критически важных компьютеров, хотя бы системных разделов. Иногда гораздо быстрее и правильнее откатиться из резервной копии, чем длительное время пытаться вылечить зараженный сервер.
После внедрения грамотно спланированной системы резервного копирования можно быть уверенным в том, что даже в результате серьезных повреждений мы сможем восстановить как данные, так и систему.
