Централизованное управление антивирусной защитой
Введение
Компьютерный вирус - это своеобразное явление, возникшее в процессе развития компьютерной техники и информационных технологий. Суть этого явления состоит и в том, что программы-вирусы обладают рядом свойств, присущих живым организмам, - они рождаются, размножаются и умирают. Термин «компьютерный вирус» впервые употребил сотрудник Университета Южной калифорнии Фрэд Коэн в 1984 году на 7-й конференции по безопасности информации, проходящей в США. Этим термином был назван вредоносный фрагмент кода. Конечно, это была всего лишь метафора. Фрагмент программного кода похож на настоящий вирус не больше, чем человек на робота. И тем не менее это один из тех редких случаев, когда значение метафоры становилось со временем все менее метафорическим и все более буквальным.
Компьютерные вирусы теперь способны делать практически все то же, что и настоящие вирусы: переходить с одного объекта на другой, изменять способы атаки и мутировать, чтобы проникнуть мимо выставленных против них защитных кордонов. Проникнув в информационную систему, компьютерный вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае информационная система, пораженная вирусом, окажется под полным контролем злоумышленника. Сегодня компьютерам доверяют решение многих критических задач. Поэтому выход из строя информационных систем может иметь весьма тяжелые последствия, вплоть до человеческих жертв.
Как в повторяющейся каждый год истории, когда эпидемиологическим центрам приходится гадать, от какой разновидности вируса гриппа надо готовить вакцины к середине зимы, появление новых компьютерных вирусов и их «лечение» поставщиками антивирусных средств разделяется интервалом времени. Поэтому организациям и пользователям необходимо знать, что происходит, когда новый, не идентифицированный вирус попадает в сеть организации и персональный компьютер, как быстро антивирусное решение способно оказать помощь и как не допустить распространения этого компьютерного вируса.
Существует много определений компьютерного вируса. Исторически первое определение было дано в 1984 году Фредом Коэном: «Компьютерный вирус - это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению». Ключевыми понятиями в этом определении компьютерного вируса являются способность вируса к саморазмножению и способность к модификации вычислительного процесса. Указанные свойства компьютерного вируса аналогичны паразитированию биологического вируса в живой природе. С тех пор острота проблемы вирусов многократно возросла - к конца XX века в мире насчитывалось более 14300 модификаций вирусов. Разнообразие вирусов столь велико, что просто невозможно указать достаточное условие (перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) - всегда найдутся программы с данными признаками, не являющиеся вирусами.
Под компьютерным вирусом принято понимать программы или элементы программ, несанкционированно проникшие в компьютер с целью нанесения вреда, отличительной особенностью которых является способность самотиражирования. Наибольшая опасность таких вирусов заключается в том, что прежде чем нанести вред компьютеру и самообнаружиться, они копируются в другие программные файлы.
1.Классификация вредоносных программ
Вредоносные программы классифицируют по способу проникновения, размножения и типу вредоносной нагрузки.
На сегодняшний день известны десятки тысяч различных компьютерных вирусов. Несмотря на такое множество число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, достаточно ограничено. Не редко встречаются комбинированные вирусы, которые можно отнести сразу к нескольким типам. Вирусы можно разделить на классы по следующим основным признакам:
·по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
·по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
·по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
·по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
·по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).
Наиболее распространенной являются классификация по среде обитания:
В свою очередь по среде обитания вирусы делятся на:
·файловые вирусы либо внедряются в выполняемые файлы различными способами, либо создают файлы-двойники, либо используют особенности организации файловой системы;
·загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий загрузчик жесткого диска;
·макровирусы заражают макропрограммы и файлы документов современных систем обработки информации (в основном страдают файлы-документы Microsoft Word, Microsoft Excel и др.);
·сетевые вирусы используют для своего распространения протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл;
·шифрование - в этом случае вирус состоит из двух частей: сам вирус и шифратор;
·метаморфизм - при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, перестановки местами частей кода, вставки между ними дополнительных, обычно бессмысленных команд.
Соответственно, в зависимости от используемых методов маскировки вирусы можно делить на шифрованные, метаморфные и полиморфные, использующие комбинацию двух типов маскировки.
Данные классификации не являются стандартом, существует много различных схем типизации вирусов.
По мере развития компьютерных технологий совершенствуется и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. В любой момент может появится компьютерный вирус, «троянская» программа или червь нового, неизвестного ранее типа, либо известного типа но направленного на новое оборудование или программное обеспечение. Новые вирусы могут использовать не известные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы. Чтобы исключить угрозу вирусного заражения, системный администратор корпоративной сети должен не только внедрять методики антивирусной защиты, но и постоянно отслеживать новости в мире компьютерных вирусов.
2.Основы работы антивирусных программ
вредоносный программа антивирусный защита
Самыми эффективными средствами защиты от вирусов являются специализированные программы, способные распознать и обезвредить вирусы в файлах, письмах и других объектах. Такие программы называются антивирусами, и для того, чтобы обезопасить себя от вредоносных программ, необходимо использовать их обязательно.
В современных антивирусных продуктах используется два основных подхода к обнаружению вирусов:
·Сигнатурные методы - точные методы обнаружения вредоносного кода, основанные на сравнении файла с известными образцами вирусов;
·Проактивные / эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной уверенностью сказать, что файл заражен.
Сигнатурные методы (метод сравнения с эталоном). Принцип работы - это поиск известных вирусов по маске. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.
Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные сектора дисков и дискет на наличие в них кода, характерного для вирусов. Первый эвристический анализатор появился в начале 90-х годов прошлого века. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.
Также надо отметить такие методы как:
·Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находятся антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг отслеживает все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов полученные через Интернет или скопированные на жесткий диск с компакт-диска либо флэш-накопителей.
·Метод обнаружения изменений. При реализации метода обнаружения изменений антивирусные программы, называемые ревизорами диска, запоминают первоначальные характеристики всех областей диска, которые могут подвергнуться нападению, а затем переолически проверяют их. При сопоставлении значений характеристик областей, антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.
·Встраивание антивирусов в BIOS компьютера. В материнские платы компьютеров тоже встраивают простейшие средства защиты от вредоносного ПО. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков.
3.Виды антивирусных программ
Различают следующие виды антивирусных программ:
·программы-фаги (сканеры);
·программы-блокировщики;
·программы-иммунизаторы.
Программы-фаги используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к лечению файлов.
Программы-ревизоры используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов / системных секторов. Затем в базе данных антивируса сохраняются эти CRC-сумма, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
Но даже при высокой эффективности, CRC-сканеры имеют недостаток. Они не могут определить вирус в новых файлах (в электронной почте, на дисках, в файлах, восстановленных из резервных копий или распаковываемых из архива), так как в их базах отсутствует информация об этих файлах.
Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики - это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся запросы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков или MBR (Master Boot Record) жесткого диска, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, характерные для вирусов в момент их размножения.
Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщение о заражении и блокирующие заражение каким-либо типом вируса. Имунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый разз проверяют его на изменение (в настоящие время практичски не используется). Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится.
4.Критерии качества антивирусной программы
Качество антивирусной программы можно оценить по нескольким критериям. Эти критерии, перечисленные в порядке убывания их важности, приводятся ниже:
·надежность и удобство работы - отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки;
·качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов / таблиц (MS Word? Excel и других приложений из пакета Office), архивированных файлов. Возможность лечения зараженных объектов;
·существование версий антивируса под все известные платформы (DOS, Windows, Novell NetWare, OS/2, Alpha, Linux и т.д.); наличие режимов сканирования по запросу и сканирования «на лету@? Существование серверных версий с возможностью администрирования сети;
·скорость работы и другие полезные особенности.
Надежность неспроста стоит на первом месте, так как является наиболее важным критерием, поскольку даже идеальный антивирус может оказаться бесполезным, если он будет не в состоянии довести процесс сканирования до конца, то есть «подвиснет» и не проверит часть дисков и файлов и в результате вирус останется незамеченным в системе. Ведь главной задачей антивирусов является 100% обнаружение вирусов и их лечение. При этом антивирусная программа не должна иметь высокий уровень ложных срабатываний.
5.Антивирусные программные комплексы
Существует множество программных комплексов, предназначенных для профилактики заражения вирусов, обнаружения и уничтожения вирусов.
Антивирус Касперского (AVP) Personal
Этот российский антивирусный пакет - один из лидеров антивирусной индустрии. В состав пакета входят: ревизор Inspector - отслеживает все изменения, происходящие на компьютере, и при обнаружении вирусной активности позволяет восстановить оригинальное содержимое диска и удалить вредоносные коды; поведенческий блокиратор Office Guard - обеспечивает 100% защиту от макровирусов; фоновый перехватчик вирусов Monitor - постоянно присутствует в памяти компьютера и проводит антивирусную проверку всех файлов в момент их запуска, создания или копирования. Это позволяет программе полностью контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами: антивирусный модуль Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков. Можно запустить сканер вручную или автоматически в заданное время.
В пакете реализована уникальная технология поиска неизвестных вирусов благодаря эвристическому анализу второго поколения. С его помощью программа способна защищать компьютер от неизвестных вирусов. Кроме того, осуществляется постоянная антивирусная фильтрация электронной почты и комплексная проверка почтовой корреспонденции, имеется перехватчик вирусов для MS Office и система перехвата вирусов-сценариев, поддержка архивированных и компрессированных файлов. Обновление антивирусной базы осуществляется через Интернет.
Антивирус Dr. Web
Антивирус Norton AntiVirus от Symantec
Norton AntiVirus - набор антивирусных продуктов компании Symantec, предлагаемый корпоративным пользователям. Объединяет все антивирусные продукты Symantec - для серверов Windows Server 2008 и Novell, рабочих станций, коммуникационных пакетов Lortus Notes и МЫ Exchange, SMTP почтовых серверов и брэндмауэров, а также включает управляющую консоль Symantec System Center.
Антивирус Avira AntiVir Personal
Эта антивирусная программа обладает почти такими же возможностями, как Dr. Web, AVP и другие антивирусные программы. В комплект поставки входят: инновационная технология Avira AHeAD (Advanced Heuristic Analysis and Detection) для распознавания неизвестных или быстро модифицирующихся вирусов; Avira Rootkit Detection (защита от процессов, управляющих системой) с функцией восстановления; контроль потока интернет-трафика на базе HTTP на настольных ПК в режиме реального времени; карантин для изоляции подозрительных файлов; простота установки и настройки безопасной среды с помощью Avira Small Business Security Suite Configuration Assistant; простота администрирования всей сети с помощью Avira Management Console (AMC). Также Avira использует уникальные решения для обнаружения и уничтожения вирусов (в том числе «червей» и троянов), рекламного, шпионского и другого вредоносного ПО.
6.Актуальность централизованного управления антивирусной защитой корпоративной сети предприятия
В настоящие время корпоративная сеть средней компании включает в себя десятки и сотни рабочих станций, десятки серверов, различное активное и пассивное телекоммуникационное оборудование и имеет, как правило, достаточно сложную структуру.
Эффективная корпоративная система антивирусной защиты - это гибкая динамичная система с обратными связями, реализованная по технологии клиент - сервер, чутко улавливающая любое подозрительное действие в сети. Такая система не допускает распространения вирусов и других враждебных программ в рамках внутренней структуры корпоративной сети. Эффективная корпоративная система антивирусной защиты обнаруживает и нейтрализует различные вирусные атаки - как известные, так и неизвестные - на самой ранней стадии их проявления.
Особенности «облачной» антивирусной технологии
В отличие от традиционного сигнатурного анализа при использовании облачной антивирусной защиты процесс обмена информацией между ПК и сервером производителя антивирусной программы происходит постоянно. Все ПК подключены к удаленному серверу производителя антивирусной программы и образуют так называемое антивирусное облако. Антивирусное облако представляет собой инфраструктуру, которая используется для обработки сервером информации, поступающей от ПК пользователей, о подозрительных вредоносных программах с целью своевременно распознать новые, ранее неизвестные угрозы.
Облачный антивирус не требует от пользователя никаких лишних действий - пользователь ПК просто отправляет запрос по поводу подозрительной программы или ссылки. При подтверждении опасности все необходимые действия выполняются автоматически. Скорость выявления и блокирования угроз антивирусным облаком существенно превосходит традиционный антивирусный анализ. При этом, как показывает практика, вероятность ложного срабатывания минимум в 100 раз ниже, нежели при традиционном детектировании.
Собирая и обрабатывая поступающую информацию, антивирусная облачная защита работает как мощная экспертная система, непрерывно анализирующая киберкриминальную активность. Данные, необходимые для блокирования атак, мгновенно передаются всем участникам облака, предотвращая масштабные вирусные эпидемии.
Заключение
Профилактические меры защиты.
Своевременное обнаружение вирусов, лечение и полное уничтожение на каждом компьютере позволяет избежать распространения вирусной эпидемии на другие компьютеры. Абсолютно надежных программ, гарантирующих обнаружение и уничтожение любого вируса, не существует. Важным методом борьбы с компьютерными вирусами является своевременная профилактика. Для того чтобы существенно уменьшить вероятность заражения вирусом и обеспечить надежное хранение информации на дисках, необходимо выполнять следующие меры профилактики:
·применять только лицензионное ПО;
·оснастить свой компьютер современными антивирусными программами, например Aidstest, AVP, Dr. Web, и постоянно обновлять их версии;
·перед считыванием с флэш-накопителя информации с других компьютеров всегда проверить эти накопители на наличие вирусов, запуская антивирусные программы своего компьютера;
·при переносе на свой компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
·периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи системной «флэшки»;
·всегда защищать свои «флэшки» от записи при работе на других компьютерах, если на них не будет производиться запись информации;
·не оставлять подключенных внешних устройств хранения данных при включении или перезагрузки операционной системы, чтобы исключиться заражение компьютера загрузочными вирусами;
·использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;
·для обеспечения большей безопасности сочетать применение Aidstest и Dr. Web с повседневным использованием ревизора диска Adinf.
У Каждого типа антивирусов есть свои достоинства и недостатки. Только комплексное использование нескольких типов антивирусных программ может привести к приемлемому результату. Программные средства защиты информации представляют собой комплекс алгоритмов и программ специального и общего обеспечения функционирования компьютеров и вычислительных сетей, нацеленных на контроль, разграничение доступа и исключение проникновения несанкционированной информации. Это наиболее распространенные методы защиты информации. Они обладают универсальностью, простотой реализации, гибкостью, адаптивностью.
Список литературы
1.«Защита информации в компьютерных системах и сетях» Автор: Шаньгин В.Ф. Издательство: ДМК Пресс, 2012 г. стр. 502
2.«Защита компьютерной информации. Эффективные методы и средства» Автор: Шаньгин В.Ф. Издательство: ДМК Пресс, 2010 г. стр. 453
.«Политики информационной безопасности» Авторы: Петренко С.А., Курбатов В.А. Издательство: Компания АйТи, 2006 г.
.«Конфиденциальное делопроизводство и защищенный электронный документооборот»: учебник Авторы: Куняев Н.Н., Фабричнов А.Г., Дёмушкин А.С. Издательство: Логос, 2011 г.
.«Информационные технологии: учебное пособие» Автор: Исаев Г.Н. Издательство: Омега-Л, 2012 г.