Пятница
29.03.2024, 14:34
Про вирусы и антивирусы
Приветствую Вас Гость | RSS
Главная Публикации Регистрация Вход
Меню сайта

Категории раздела
Советы по безопасности [22]
Аналитика [18]
Выбор средства безопасности [3]
Обзоры [20]

Наш опрос
Доверяете ли Вы своему антивирусу?
Всего ответов: 273

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа

Партнер Dr.Web
Главная » Статьи » Выбор средства безопасности

Антивирус или комплексное решение? Часть 1

Антивирус или комплексное решение?


Когда мы спрашиваем у знакомого какое средство защиты установлено на его компьютере, то по привычке говорим: "Какой у тебя антивирус?”. При этом мало кто задумывается о том, что сегодня антивирус уже не может полноценно защищать ПК от современных угроз, которые за последнее время сильно эволюционировали и уже не ограничиваются одними только вирусами. Пользователям угрожают троянские программы и хакеры, их поджидают фишинговые сайты, назойливые рекламные баннеры выскакивают отовсюду, спам забивает почтовые ящики, а подростков заманивают сайты с порнографией и прочим вредным контентом.


Более того, эти угрозы могут быть и комбинированными, то есть могут сочетать в себе вирусы, троянцы, шпионские программы, спам и т. д. Таким образом, выстроить систему эффективной защиты можно лишь с помощью различных технологий защиты. Поэтому на первый план пользовательской обороны выходят комплексные защитные решения класса Internet Security, которые пока игнорируются многими домашними пользователями, использующими один лишь антивирус. Люди просто недооценивают те опасности, которые таятся во всемирной сети.


В корпоративном сегменте положение лучше, но многие системные администраторы также считают, что на рабочей станции достаточно антивируса, а основные средства защиты нужно применять для защиты периметра сети. Цель настоящей статьи показать необходимость объединения различных технологий борьбы в единый комплекс, требующий постоянного добавления новых технологий защиты.


Они из сети


Одним из основных инструментом защиты от сетевых опасностей служит файервол, он же сетевой экран, – своеобразный пограничный пост между интернетом и компьютером. Несмотря на свою важность и нужность, он малоизвестен обычным пользователям: кто-то вообще не догадывается о его существовании, кто-то не понимает, зачем он нужен, а кто-то просто ленится в нем разбираться. Корни этой ситуации уходят в далекое прошлое, когда сетевой экран был очень сложным и дорогим продуктом, доступным только профессионалам – корпоративным системным администраторам, программистам и другим персонажам, чья работа была непосредственно связана с компьютерами. Только они имели в своем распоряжении данное ПО и только они должны были по долгу службы в нем разбираться. Но с появлением таких известных сетевых червей, как Nimda, MSBlast (Lovesan), Sasser и других стало ясно, что без персонального файервола не обойтись и простому пользователю. И если раньше файервол был инструментом профессионалов, то сейчас практически во всех современных решениях Internet Security имеется встроенный сетевой экран разной степени сложности.


Причиной тому можно назвать стремительное развитие вредоносных программ и появление таких опасных видов как сетевые черви. Эти зловреды не требуют участия пользователя – они сами распространяются по сетям, проникают на удаленные компьютеры и, продвигаясь дальше, за короткий промежуток времени заражают огромное число машин.


На зараженном компьютере червь особо не церемонится: он копирует, изменяет или уничтожает информацию, устанавливает встроенные трояны для отправки конфиденциальной информации (паролей, номеров кредитных карт и проч.) или размещает Trojan-Downloader для доставки на компьютер пользователя других вредоносных программ.


Также он может установить Backdoor – троянские утилиты удаленного администрирования. Эти утилиты позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.


А против такой неприятной модификации как бестелесные сетевые черви (CodeRed, Slammer), которые не создают в процессе размножения ни временных, ни постоянных файлов, обычные файловые антивирусные мониторы и сканеры и вовсе бессильны.


Большинство компаний защищают свою сеть по периметру и системные администраторы некоторое время считали, что для обеспечения безопасности достаточно на уровне сети перекрыть порты, используемые червями. Т.е. проблема защиты настольных компьютеров стоит только перед домашними пользователями. Но оказалось, что это не так. Червей подхватывали пользователи ноутбуков, и в итоге при подключении к корпоративной сети червь начинал беспрепятственно размножаться.


В тоже время даже самые примитивные персональные сетевые экраны, контролирующие только входящий трафик на уровне клиентского компьютера, способны противодействовать распространению некоторых сетевых червей. Для этого достаточно задать определенный набор правил, запрещающих использовать определенные порты, блокирующих входящий трафик с определенных IP-адресов, запрещающих получение входящего трафика определенным приложениям. Все это значительно снижает способность червей к размножению и доставке на компьютер пользователя других вредоносных программ.


Осознав сложившуюся с распространением сетевых червей ситуацию, многие разработчики добавили в свои продукты односторонние (контролирующие только входящий трафик) сетевые экраны. Так сделал Symantec, добавив в Norton Antivirus функцию Internet Worm Protection – по сути, односторонний персональный сетевой экран. Так сделал Microsoft, добавив сетевой экран в центр безопасности Microsoft Windows XP Service Pack 2, Vista и Windows 7.


Для своего распространения сетевые черви сканируют атакуемые компьютеры в поисках открытых портов и уязвимостей в программном обеспечении. Причем зачастую это не новые, а давно известные уязвимости – пользователи просто не установили необходимые заплатки, и брешью в системе безопасности могут воспользоваться. Поэтому ряд антивирусных компаний (например, "Лаборатория Касперского”) для борьбы с сетевыми червями включила в свои продукты для клиентских компьютеров систему обнаружения вторжений – Intrusion Detection System.


Задача такой IDS заключается в анализе входящих соединений, определении факта сканирования портов компьютера, а также фильтрации сетевых пакетов, направленных на использование уязвимостей программного обеспечения. При срабатывании подсистемы обнаружения вторжений все входящие соединения с атаковавшего компьютера блокируются на определенное время, а пользователь получает уведомление о том, что его компьютер подвергся сетевой атаке. Работа подсистемы обнаружения вторжений основана на использовании в ходе анализа специальной регулярно обновляемой базой атак.


Рассмотренные выше средства защиты (односторонний сетевой экран и IDS) защищают только от внешних вторжений. Но зачастую сетевые черви, проникая на компьютер, устанавливают на ПК пользователя троянские программы, которые способны получить удаленный контроль над компьютером, просканировать компьютер в поисках конфиденциальной информации и осуществлять слежку за действиями пользователя.


При этом указанные троянские программы передают различными путями собранную информацию своему "хозяину”. Значит, без контроля исходящего трафика компьютер пользователя остается уязвимым. Кроме того, при размножении сетевой червь пересылает себя с зараженного компьютера на другие ПК, а контроль исходящего трафика может предотвратить дальнейшее распространения червя.


Именно поэтому для полноценной защиты нужен двухсторонний персональный сетевой экран, который контролирует входящий и исходящий трафик от приложений. Защита обеспечивается за счет применения правил использования сетевых ресурсов приложениями, установленными на компьютере. Происходит анализ сетевых пакетов с учетом направления движения пакета, типа протокола его передачи, а также используемого порта. При этом учитываются не только характеристики сетевого пакета, но и конкретное приложение, которому адресован данный пакет либо которое инициировало отправку этого пакета.


Таким образом, разрешив исходящий трафик только доверенным приложениям можно защитить себя от существенной части описанных выше угроз. Одна из проблем, которые тормозят распространение персональных сетевых экранов, это необходимость настраивать доступ в сеть для различных приложений. Для многих простых пользователей это непосильная задача. Для ее решения ряд вендоров поставляют свои решения с предустановленными правилами для наиболее распространенных приложений.


Наиболее продвинутое применение сетевого экрана в персональном продукте на сегодняшний день предлагает "Лаборатория Касперского”. В последней версии решения Kaspersky Internet Security файервол является не отдельным модулем, а очень тесно связан с остальными компонентами, контролирующими активность программ на компьютере пользователя. Файервол контролирует доступ программ к сетевым ресурсам, в частности контролирует их доступ в Интернет, другие компоненты контролируют доступ тех же программ к локальным ресурсам: файлам операционной системы, реестру, конфиденциальным данным, устройствам и т.д. И что особенно важно по умолчанию пользователю не приходится настраивать эти сложные механизмы контроля, Kaspersky Internet Security автоматически определяет необходимые настройки исходя из наличия конкретных программ в белом разрешенном списке или, если программы нет в этом списке, основываясь на определенном заранее рейтинге опасности данной конкретной программы.. Для обозначения таких систем контроля активности программ всё чаще используется термин HIPS. Далее этот класс защиты будет рассмотрен более подробно.




Host Intrusion Prevention System — HIPS


Как мы увидели, сетевые экраны и системы обнаружения вторжений являются необходимым для полноценной защиты пользовательских компьютеров дополнением к антивирусу. Необходимым, но, к сожалению, недостаточным. Дело в том, что существует множество техник обхода таких систем. В частности вредоносная программа может подменять собой нормальные приложения, такие как браузер или почтовая программа. Известны различные технологии подмены:

  • вредоносная программа изменяет имя своего исполняемого файла на имя одного из известных приложений и перемещается в директорию, где находится это приложение. После этого вредоносная программа также может прописать свой ключ в реестре, чтобы инициировать автозапуск при следующем старте системы.

  • вредоносное приложение внедряется в процесс атакуемого приложения (непосредственно в памяти). После успешного внедрения атакующее приложение перехватывает управление процессом и производит попытку передачи персональных данных на удаленный сервер.

  • атакующее приложение осуществляет скрытый запуск браузера с определенными параметрами, что может быть использовано для скачивания других вредоносных программ.


Все эти виды атак практически невозможно остановить стандартными сетевыми экранами, поскольку вредоносная программа маскируется под приложение, которому доступ к сетевым ресурсам открыт. Антивирусные программы также плохо распознают вредоносные процессы, внедренные в стандартные приложения.


Здесь на сцену выходят системы предотвращения вторжений уровня хоста (Host Intrusion Prevention System— HIPS). Предоставляя программам или пользователям доступ к ресурсам операционной системы и сети, HIPS-продукты ограничивают их права чтения, записи и исполнения, защищают такие системные ресурсы, как порты, файлы и ключи реестра. То есть, по сути, эти системы включают в себя возможности сетевых экранов и систем обнаружения вторжений, но к этим функциям добавляются возможности контроля опасной активности приложений: контроль целостности приложений (чтобы предотвратить внедрение вредоносного приложения), мониторинг изменений в системном реестре и другие важные функции контроля подозрительных действий, происходящих в системе. Один из подвидов HIPS, контролирующих опасную активность, еще часто называют поведенческими блокираторами.


Поведенческий блокиратор анализирует поведение всех процессов, запущенных в системе, сохраняя все изменения, производимые в файловой системе и реестре. При выполнении некоторым приложением набора подозрительных действий выдаётся предупреждение пользователю об опасности данного процесса. Пользователь может прекратить работу процесса, либо разрешить подозрительному процессу дальнейшую работу. Работа анализатора подозрительной активности (поведенческого блокиратора) проактивна и не требует выпуска специальных сигнатур (как в стандартных антивирусных средствах), что позволяет бороться с новыми, только что появившимися угрозами. Но с другой стороны эти системы требуют участия пользователя в принятии решения, что может привести к ошибочным действиям. Поэтому наиболее эффективно использовать поведенческие блокираторы совместно со стандартными антивирусными средствами, чтобы не нагружать пользователя принятием решения по известным угрозам.


Такие комплексные решения, включающие в себя поведенческий блокиратор, на данный момент есть у Panda Sеcurity, Symantec и "Лаборатории Касперского”, которая интегрировала все компоненты защиты в единый комплекс, начиная с Kaspersky Internet Security 6.0 (KIS 6.0). Не останавливаясь на достигнутом, "Лаборатория Касперского” разработала и реализовала в решении Kaspersky Internet Security 2010 еще один уникальный модуль фильтрации активности программ, который существенно расширяет возможности решения по борьбе с неизвестными угрозами. Это следующий шаг в борьбе с неизвестными угрозами после поведенческого блокиратора.


При первом запуске на ПК любого приложения, новый модуль проводит анализ его поведения в защищенной виртуальной среде ("песочнице”) и на основе его результатов присваивает ему определенный рейтинг опасности. Если он будет велик (то есть приложение потенциально может принести вред), то данной программе будет запрещена сетевая активность, доступ к ресурсам системы, файлам и так далее. Если же рейтинг низок, то есть программа признана благонадежной, то никаких проблем с работой у нее не возникнет. А для сокращения времени, уходящего на анализ программы, KIS2010 держит связь с огромной он-лайн базой данных "хороших” программ, которая постоянно обновляется.


Естественно простому пользователю сложно уловить разницу между поведенческими блокираторами и другими системами контроля активности приложений. Да и в большинстве случаев это не нужно, главное результат – предотвращение заражения. Но поскольку цель данной статьи популярным языком рассказать о необходимости комплексной защиты, то попытаемся объяснить и эту тонкую разницу.


Предположим, что в квартире работает бригада маляров и хозяин квартиры испытывает определённые опасения по поводу сохранности ценностей. У него есть 2 варианта избежать возможной кражи. Первый – это постоянно следить за малярами и в случае совершения ими подозрительных действий эти действия присекать, возможно с применением грубой физической силы (например, они могут рыться в ваших ящиках, заглядывать в шкафы, пытаться что-то вынести под спецовкой и т.д.) Эта модель в точности повторяет действия поведенческого блокиратора.

Другой вариант, оценить степень подозрительности маляров еще при входе в квартиру и если они покажутся подозрительными закрыть все ценные вещи в надёжном месте, закрыть им доступ в жилые комнаты, запереть входную дверь, чтобы предотвратить вынос ценностей. Этот подход как раз второй метод контроля активности программ – заблаговременное ограничение доступа.


В KIS 2010 сочетаются оба эти метода и в результате, вполне естественно повышается уровень защищенности. Если вы приняли меры предосторожности и запретили малярам доступ в определенные помещения, но при этом дополнительно еще и следите за их действиями – шансов совершить кражу у них мало.

Продолжение - Часть 2 

Категория: Выбор средства безопасности | Добавил: aktivist (11.11.2009)
Просмотров: 1648 | Рейтинг: 5.0/1
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Ставки на спорт Сопровождение 1С
Copyright tixer © 2009- 2024