Методы и средства защиты информации от вредоносного программного обеспечения

При работе в сети Internet персональный компьютер подвергается постоянной опас­ности заражения компьютерными вирусами при получении как исполняемых (про­граммных), так и документальных файлов. Особенно это опасно, если компьютер яв­ляется рабочей станцией компьютерной сети. В этих условиях ущерб, нанесенный вредоносным программным обеспечением, может быть максимальным. С программ­ными файлами можно получить загрузочные, полиморфные, шифрованные стелс-вирусы, с офисными документами возможно получение различных макровирусов.

Современный хакерский инструментарий настолько автоматизирован, что даже люди, не очень сведущие в сетевых и коммуникационных технологиях, могут без тру­да воспользоваться ими. В результате сетевые администраторы проявляют интерес к любым системам обеспечения информационной безопасности, которые попадают в их поле зрения.

Корпоративная сеть сегодня — настоящее богатство для любой компании, а ее ад­министратор волей-неволей становится своего рода щитом, защищающим неприкос­новенность этого богатства. Какие же меры позволяют повысить безопасность охра­няемой территории? Конечно же, использование специального программного обеспечения, предназначенного для защиты компьютеров и сетей от вирусов, программ­ных закладок, «дыр» и т. д.

Сегодня на рынке уже присутствуют изощренные средства обнаружения незваных гостей, стремящихся незаконно проникнуть в ваши сетевые владения. Однако такие сред­ства нельзя воспринимать как законченные решения в области информационной безо­пасности. Они скорее являются еще одним интеллектуальным инструментом, помогаю­щим реализовать стратегию защиты корпоративной сети наряду с другими компонентами вроде антивирусных приложений. В частности, система обнаружения сетевых атак по­зволяет провести мониторинг сетевой активности и выявить наиболее уязвимые места в сети или на отдельных хост-компьютерах. Более того, разные продукты данной катего­рии неэквивалентны по функциональным возможностям. Вот почему крупные компа­нии, серьезно беспокоящиеся о защите своих коммуникационных и информационных ресурсов, устанавливают сразу несколько детектирующих систем. Но наличие уже од­ного подобного продукта заметно повышает степень защищенности вашей организации по сравнению с той, которая была до начала его использования.

При существующем многообразии вирусов и их мутаций предотвратить заражение может только полнофункциональная антивирусная система, имеющая в своем арсена­ле все известные технологии борьбы с «инфекционными болезнями»: не только сканер-полифаг, но и резидентный on-line-монитор, средства контроля программной це­лостности (CRC) и эвристического поиска вирусных сигнатур.

Каждый новый вирус необходимо обнаружить как можно быстрее (а некоторые вирусы намеренно долго себя не проявляют, чтобы у них было достаточно времени на распространение). Проблема в том, что нет четкого способа определить заранее, что при своем выполнении данная программа проявит вирусоподобное поведение. Как нет единого лекарства от всех болезней, так нет универсальной «вакцины» от всех видов вредоносного программного обеспечения. На все 100% защититься от вирусов практически невозмож­но (подразумевается, что пользователь меняется дискетами с друзьями и играет в игры, а также по­лучает информацию из других источников» напри­мер из сетей). Если же не вносить информацию в компьютер извне (изолированный компьютер), за­разить его вирусом невозможно — сам он не родит­ся. Но в наше время это достаточно сложно. Поэтому, чтобы сталкиваться с вирусами как можно реже или, по крайней мере, только сталкиваться, не допуская их на жест­кий диск своего винчестера, нужно соблюдать самые элементарные правила «компью­терной гигиены»: проверка дискет, содержимого CD-дисков на наличие вирусов самы­ми надежными антивирусными и постоянно обновляемыми программами.

В отличие от одиночного пользователя, проблема, которую решают специалисты, отвечающие за обеспечение антивирусной безопасности в крупных организациях, на самый поверхностный взгляд выглядит следующим образом: обеспечить максималь­ную антивирусную защиту при минимальных затратах. Ну а если взглянуть внима­тельнее, то открывается громадный перечень практических, экономических и органи­зационных вопросов, которые рано или поздно встают перед специалистом. Такими стратегическими вопросами являются:

– что дешевле: предотвратить заражение или лечить?

– как оценить допустимые затраты на обеспечение антивирусной безопасности?

– что является объектом защиты?

– какова требуемая степень защищенности?

– как организовать защиту?

В настоящее время уровень экономически допустимых затрат на приобретение и внедрение антивирусной системы оценивается в размере 5—10% от потенциальных потерь от вирусной атаки.

Риск появления в системе какой-нибудь пакости возрастает с каждым днем. На са­мом деле важно не количество различных вирусов, а степень их распространения. Вирус, обнаруженный где-то далеко, в одной-единственной компании, вряд ли заста­вит сетевых менеджеров не спать по ночам. Совсем иное дело те программы, которые распространяются через Internet. Когда в мае 2000 года появился вирус LoveLetter, в течение одного месяца было выявлено более 23 тыс. заражений этим вирусом. А уже в декабре их число превысило 100 тыс.

Согласно отчетам компании Trend Micro, корпоративные пользователи постоянно сталкиваются с фактами, проникновения вирусов в свои сети (табл. 3.4).

Таблица 3.4, Вирусы, которые тревожат корпоративных пользователей

Приведем некоторые описания вирусов, которые нанесли наиболее существенный ущерб корпоративным заказчикам в последнее время.

Вирус, который был недавно обнаружен несколькими пользователями Internet, — PE_FUNLOVE.4099 — это далеко не новый резидентный вирус под Windows. Он ин­фицирует файлы как на локальных дисках, так и на дисках, доступных по сети. При запуске инфицированного файла вирус PE_FUNLOVE.4099 записывает файл FLCSS.EXE в системный каталог Windows и пытается заразить все файлы с расшире­ниями EXE, OCX и SCR. На системах Windows МТндарус PE_FUNLOVE.4099 пытается изменить файлы NTLDR и NTOSKRNL.EXE с целью дать всем пользователям пра­ва администратора. Это происходит после перезагрузки системы после того, как пользо­ватель с правами администратора зайдет в систему.

Новый вирус TROJ_NAVIDAD.E — это вариант вируса TROJ_NAVIDAD.A, кото­рый был впервые обнаружен в ноябре 2000 года. Оригинальный TROJ_NAVIDAD.A содержит ошибку, приводящую к тому, что при запуске ЕХЕ-файла выводится сооб­щение об ошибке. В новом вирусе этот недостаток исправлен, и он корректно инстал­лируется в системе, после чего рассылает себя по адресам из адресной книги инфици­рованного пользователя в виде присоединенного файла EMANUEL.EXE. Несмотря на то что TROJ_NAV1DAD.E был обнаружен в декабре 2000 года, он продолжает рас­пространяться.

Деструктивный вирус PE_KRIZ.4050, обнаруженный in-the-wfld, — это старый 32-битный вирус под Windows, снова был недавно обнаружен во многих странах. Так же как несколько других старых вирусов, PE_KRIZ.4050 смог вернуться, так как был выпущен по ошибке в патче к компьютерной игре. Вирус PE_KRIZ.4050 содержит деструктивную функцию, сходную с функцией вируса РЕ_С1Н, которая позволяет ему изменять данные в CMOS и обнулять BIOS.

Новое семейство червей — VBSJFUNNY, написанных на Visual Basic Script, было недавно обнаружено в Европе. При запуске эти черви ищут определенный ключ в рее­стре, и если его нет, то они рассылают по почте сообщения по всем адресам из адрес­ной книги Microsoft Outlook с присоединенным к ним вирусом. Если указанный ключ найден, то черви записывают на диск исполняемый файл (STARTX.EXE), который яв­ляется известным троянцем, похищающим пароли.

Вирус VBS_COLOMBIA — это новая модификация вируса VBS_LOVELETTER. А, имеющего деструктивную функцию, нацеленную на файлы с расширениями VBS, VBE, JSE, CSS, WSH, SCT,.НТА, JPG, JPEG, МРЗ и МР2.

Учитывая разнообразие вредоносных программ, приходится прибегать к различ­ным стратегиям для защиты сети от коварного и вероломного кода.

Целью антивирусной стратегии является эффективное предотвращение заражения вирусами информационной системы. Другими словами, не максимально быстрое об­наружение и удаление появляющихся вирусов, а создание условий, при которых уже само появление вируса на пользовательском компьютере или, еще хуже, на сервере будет рассматриваться как чрезвычайное происшествие. Поэтому в основе всей стра­тегии антивирусной безопасности любой фирмы должны лежать следующие разделы:

– политика антивирусной безопасности;

– план работ по обеспечению антивирусной безопасности;

– порядок действий в критических ситуациях.

Разумеется, каждая фирма работает с различным уровнем информационной безо­пасности и в разных условиях информационной среды. То, что совершенно неприем­лемо, например, для банка (использование сотрудниками дискет, принесенных из дома), может являться нормой работы в редакции газеты или в агентстве новостей. Поэтому все элементы стратегии организации должны полностью соответствовать целям и за­дачам, решаемым ее информационной системой, и специфике тех условий, в которых она работает. Следовательно, и приобретаемая антивирусная система должна полнос­тью отвечать требованиям принятой стратегии.

Дата добавления: 2014-01-07; Просмотров: 659; Нарушение авторских прав?; Мы поможем в написании вашей работы!