Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
от 22 500 грн | портфолио | подробнее>>
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
от 24 000 грн | подробнее>>
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
от $450/месяц | подробнее>>
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
от 4000 грн | портфолио | подробнее>>
профессиональная рекламная фотография
креативно, смело, качественно
от $800/день | подробнее>>
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
от 4500 грн | подробнее>>

Комплексний підхід до протидії вірусним атакам - гарантія ефективного захисту компанії

  1. Типи вірусних загроз безпеки
  2. Недоліки існуючих підходів до забезпечення антивірусної безпеки
  3. Комплексний підхід до захисту від вірусних загроз
  4. Висновок
  5. Список літератури:

Наша взаимовыгодная связь https://banwar.org/

Назад до списку статей

Віктор Сердюк, Технічний директор ЗАТ «ДиалогНаука»,
кандидат технічних наук

На сьогоднішній день комп'ютерні віруси залишаються однією з найбільш небезпечних загроз інформаційній безпеці автоматизованих систем (АС). Одним з підтверджень цього є статистичні дані асоціації mi2g , Згідно з якими в 2004 році сумарний збиток, нанесений вірусами, склав 184 млрд. Дол. Це майже в два рази перевищує аналогічний показник 2003 року (див. Табл. 1).

Таблиця 1
Збиток в млрд. Дол. США в 1999-2004 рр. (За даними mi2g)

РікВірусиСпамФішингРАЗОМ

1999 2 1 0 21 2000 9 3 0 26 2001 6 3 0 37 2002 11 72 0 119 2003 92 65 16 239 2004 184 154 47 525

Необхідно також відзначити, що за даними досліджень Інституту комп'ютерної безпеки і Федерального бюро розслідувань США в 2004-му році більше 78% організацій були схильні до вірусних атак [1]. При цьому у 97% з них були встановлені брандмауери, а 96% компаній використовували антивірусні засоби. Сказане вище свідчить про те, що існуючі підходи до захисту від шкідливого ПО не дозволяють в повній мірі вирішити задачу забезпечення антивірусної безпеки. Однак перш ніж приступити до опису недоліків традиційних методів захисту від комп'ютерних вірусів розглянемо основні види вірусних загроз, які можуть становити небезпеку для АС організацій.

Типи вірусних загроз безпеки

Основними видами загроз антивірусної безпеки є різні типи шкідливого ПО, здатного завдати певний шкоду АС або її користувачам. Шкідливе ПО являє собою комп'ютерні віруси, а також програми типу «Троянський кінь», «adware», «spyware» і ін.

Віруси - це спеціально створений програмний код, здатний самостійно поширюватися в комп'ютерному середовищі [2]. В даний час можна виділити наступні типи інформаційних вірусів: файлові та завантажувальні віруси, «мережеві черв'яки», безтілесні віруси, а також комбінований тип вірусів. Кожен з цих типів вірусу відрізняється типом носія, а також шляхом поширення в АС.

Програми типу «Троянський кінь» (Trojan Horses) також відносяться до шкідливого програмного коду, проте, на відміну від вірусів, не мають можливості самостійного розповсюдження в АС. Програми даного типу маскуються під штатний ПО системи і дозволяють порушнику отримати віддалений несанкціонований доступ до тих вузлів, на яких вони встановлені.

Шкідливе ПО типу «spyware» призначений для збору певної інформації про роботу користувача. Прикладом таких даних може служити список Web-сайтів, відвідуваних користувачем, перелік програм, встановлених на робочої станції користувача, вміст повідомлень електронної пошти та ін. Зібрана інформація перенаправляється програмами «spyware» на заздалегідь певні адреси в мережі Інтернет. Шкідливе ПО даного типу може бути потенційним каналом витоку конфіденційної інформації з АС.

Основна функціональна задача шкідливих програм класу «adware» полягає в відображенні рекламної інформації на робочих станціях користувачів. Для реалізації цього вони, як правило, виводять на екран користувача рекламні банери, що містять інформацію про ті чи інші товари і послуги. У більшості випадків ці програми поширюються разом з іншим ПО, яке встановлюється на вузли АС. Незважаючи на те, що програми типу «adware» не уявляють безпосередню загрозу для конфіденційності або цілісності інформаційних ресурсів АС їх робота може призводити до порушення доступності внаслідок несанкціонованого використання обчислювальних ресурсів робочих станцій.

Як правило, вірусні загрози можуть існувати на одному з чотирьох етапів свого життєвого циклу (рис. 1).

Мал
Мал. 1. Життєвий цикл вірусної загрози

Основною умовою першого етапу життєвого циклу вірусної загрози в АС є наявність уразливості, на основі якої потенційно можуть бути проведені вірусні атаки [3]. Уразливості можуть бути пов'язані з недоліками організаційно-правового, або програмно-апаратного забезпечення АС. Перший тип вразливостей пов'язаний з відсутністю певних нормативних документів, в яких визначаються вимоги до антивірусної безпеки АС, а також шляхи їх реалізації. Так, наприклад, в організації може бути відсутнім політика інформаційної безпеки, що враховує вимоги до антивірусного захисту. Прикладами вразливостей програмно-апаратного забезпечення є помилки в ПЗ, відсутність засобів захисту, неправильна конфігурація програмного оточення, наявність нестійких до вгадування паролів і ін.

Уразливості можуть виникати як на технологічному, так і на експлуатаційному етапах життєвого циклу АС. Технологічні уразливості можуть проявлятися на стадіях проектування, розробки і розгортання АС. Експлуатаційні уразливості пов'язані з неправильно вибрано параметр програмно-апаратного забезпечення, встановленого в АС.

Другий етап життєвого циклу вірусної загрози передбачає використання вірусом наявної технологічної або експлуатаційної уразливості для інфікування ресурсів АС. На даному етапі вірус заражає один з вузлів, що входять до складу АС. Залежно від типу вразливості АС застосовуються різні методи для їх використання.

На третьому етапі життєвого циклу вірус виконує ті дії, для яких він був призначений. Так, наприклад, вірус може встановити на інфікований комп'ютер програму типу «троянський кінь», спотворити інформацію, що зберігається на хості або зібрати конфіденційну інформацію і передати її на певний адресу в мережі Інтернет. У ряді випадків віруси також можуть використовуватися для порушення працездатності атакований АС.
На четвертому етапі життєвого циклу відбувається подальше поширення вірусів в АС за допомогою інфікування інших комп'ютерів, розташованих в одній ЛВС разом з зараженим хостом. У більшості випадків поширення вірусів здійснюється на основі тих же вразливостей, які використовувалися для первинного інфікування АС.

Недоліки існуючих підходів до забезпечення антивірусної безпеки

В даний час в багатьох компаніях існує міф про те, що для ефективного захисту АС від шкідливого ПО достатньо встановити антивірусні продукти на всіх робочих станціях і серверах, що автоматично забезпечить потрібний рівень безпеки. На жаль, практика показує, що такий підхід не дозволяє в повній мірі вирішити задачу захисту від шкідливого коду. Обумовлено це наступними основними причинами:

  • переважна більшість антивірусних засобів базується на сигнатурних методах виявлення шкідливого ПО, що не дозволяє їм виявляти нові види вірусів, сигнатури яких відсутні в їх базах даних;

  • в ряді випадків в організаціях відсутні нормативно-методичні документи, що регламентують порядок роботи з антивірусними засобами захисту. Це може призводити до можливих порушень правил експлуатації, а саме - несвоєчасного оновлення сигнатурних баз, відключення компонентів антивірусів, запуску програм з неперевірених інформаційних носіїв і т.д.

  • антивірусні засоби захисту не дозволяють виявляти і усувати уразливості, на основі яких комп'ютерні віруси можуть проникати в АС підприємств;

  • антивіруси не володіють функціональними можливостями, що дозволяють ліквідувати можливі наслідки вірусних атак.

Іншим поширеним підходом до захисту від шкідливого коду є використання в АС антивірусних засобів захисту тільки одного виробника, які встановлюються на сервери, робочі станції і мережеві шлюзи. Недоліком такого методу є високий рівень залежності від продукції цього виробника. Це означає, що в разі якщо з якоїсь причини буде порушена працездатність антивірусного ядра або вендор не зможе своєчасно оновити свою базу даних, то під загрозою вірусної епідемії виявиться вся інфраструктура компанії. Актуальність даної проблеми обумовлена ​​тим, що антивірусні лабораторії по-різному реагують на що з'являються комп'ютерні віруси. Ілюструє це приклад, який ви бачите на рис. 2, який показує час реакції різних компаній-виробників на вірус «Sober.P», який з'явився 2-го травня 2005 року. Можна бачити, що різниця в часі реакції становить до восьми годин, протягом яких АС потенційно може бути успішно атакована зловмисниками. Необхідно також відзначити і різницю в часі реагування компаній на той чи інший вірус - т. Е. Той виробник, який сьогодні першим відреагував на появу вірусу класу «А», завтра може останнім випустити сигнатуру для вірусу типу «Б».

Мал
Мал. 2. Час реакції різних виробників
на комп'ютерний вірус Sober.P (за даними www.av-test.org)

Далі наводиться опис комплексного підходу до захисту від вірусних загроз, який дозволяє уникнути перерахованих вище недоліків.

Комплексний підхід до захисту від вірусних загроз

Комплексний підхід до захисту від шкідливого коду передбачає узгоджене застосування правових, організаційних і програмно-технічних заходів, що перекривають в сукупності всі основні канали реалізації вірусних загроз. Відповідно до цього підходу в організації повинен бути реалізований наступний комплекс заходів:

  • заходи по виявленню та усуненню вразливостей, на основі яких реалізуються вірусні загрози. Це дозволить виключити причини можливого виникнення вірусних атак;

  • заходи, спрямовані на своєчасне виявлення і блокування вірусних атак;

  • заходи, що забезпечують виявлення і ліквідацію наслідків вірусних загроз. Даний клас заходів захисту спрямований на мінімізацію збитку, нанесеного в результаті реалізації вірусних загроз.

Важливо розуміти, що ефективна реалізація перерахованих вище заходів на підприємстві можлива тільки за умови наявності нормативно-методичного, технологічного і кадрового забезпечення антивірусної безпеки.

Нормативно-методичне забезпечення антивірусної безпеки передбачає створення збалансованої правової бази в галузі захисту від вірусних загроз. Для цього в компанії повинен бути розроблений комплекс внутрішніх нормативних документів і процедур, що забезпечують процес експлуатації системи антивірусної безпеки. Склад таких документів багато в чому залежить від розмірів самої організації, рівня складності АС, кількості об'єктів захисту і т.д. Так, наприклад, для великих організацій основним нормативним документом у сфері захисту від шкідливого коду повинна бути концепція або політика антивірусної безпеки. Для невеликих компаній досить розробити відповідні інструкції і регламенти роботи користувачів, а також включити вимоги до забезпечення антивірусного захисту до складу політики інформаційної безпеки організації.

В рамках кадрового забезпечення антивірусної безпеки в компанії повинен бути організований процес навчання співробітників з питань протидії вірусним загрозам. Програма навчання повинна бути спрямована на мінімізацію ризиків, пов'язаних з помилковими діями користувачів, що призводять до реалізації вірусних атак. Прикладами таких дій є: запуск додатків з неперевірених зовнішніх носіїв, використання нестійких до вгадування паролів доступу, закачування ActiveX-об'єктів з недовірених Web-сайтів та ін. В процесі навчання повинні розглядатися як теоретичні, так і практичні аспекти антивірусного захисту. При цьому програма навчання може складатися в залежності від посадових обов'язків співробітника, а також від того до жодних інформаційних ресурсів він має доступ.

Технологічне забезпечення повинно бути направлено на створення комплексної системи антивірусного захисту (КСАЗ), яка крім антивірусів додатково повинна включати в себе такі підсистеми, як захист від спаму, виявлення і запобігання атак, виявлення вразливостей, мережеве екранування і підсистема управління.

Підсистема виявлення комп'ютерних вірусів є базовим елементом КСАЗ і призначена для виявлення різних типів комп'ютерних вірусів на рівні робочих станцій користувачів, серверів, а також мережевих шлюзів. Для виявлення вірусів підсистема повинна використовувати як сигнатурні, так і евристичні методи аналізу. У разі виявлення вірусу підсистема повинна забезпечувати можливість оповіщення користувача і адміністратора безпеки, а також видалення виявлених вірусів з інфікованих файлів. Для забезпечення ефективного захисту від вірусів підсистема повинна базуватися на антивірусних ядрах різних виробників [4]. Це дозволить істотно підвищити ймовірність виявлення вірусу за рахунок того, що кожен файл або поштове повідомлення буде перевірятися різними ядрами. Ще однією перевагою використання багатоядерних антивірусів є більш висока надійність роботи КСАЗ. У разі, якщо в одному з скануючих ядер КСАЗ відбудеться збій, то воно завжди може бути замінено іншим активним антивірусним ядром. Прикладом програмного продукту, який може використовуватися для реалізації КСАЗ, є система Antigen компанії Microsoft , Призначена для антивірусного захисту серверів Exchange, SharePoint, SMTP-шлюзів і іншого прикладного ПЗ. Даний продукт може включати в себе до восьми антивірусних ядер різних виробників.

Підсистема мережного екранування призначена для захисту робочих станцій користувачів від можливих мережевих вірусних атак за допомогою фільтрації потенційно небезпечних пакетів даних. Підсистема повинна забезпечувати можливість фільтрації на канальному, мережевому, транспортному і прикладному рівнях стека TCP / IP. Як правило, дана підсистема реалізується на основі міжмережевих і персональних мережевих екранів. При цьому міжмережевий екран встановлюється в точці підключення АС до мережі Інтернет, а персональні екрани розміщуються на робочих станціях користувачів.

Підсистема виявлення і запобігання атак призначена для виявлення несанкціонованої вірусної активності за допомогою аналізу пакетів даних, що циркулюють в АС, а також подій, що реєструються на серверах і робочих станціях користувачів. Підсистема доповнює функції міжмережевих і персональних екранів за рахунок можливості більш детального контекстного аналізу вмісту переданих пакетів даних. Ця підсистема включає в себе наступні компоненти:

  • мережеві і хостової сенсори, призначені для збору необхідної інформації про функціонування АС. Мережеві сенсори реалізуються у вигляді окремих програмно-апаратних блоків і призначені для збору інформації про всі пакетах даних, переданих в рамках того мережевого сегмента, де встановлений сенсор. Даний тип сенсорів встановлюється у всіх ключових сегментах АС, де розташовані захищаються вузли системи. Хостової сенсори встановлюються на робочі станції і сервери АС і збирають інформацію про всі події, що відбуваються на цих вузлах системи. Хостової сенсори можуть збирати інформацію не тільки про пакетах даних, але і інших операціях, які виконуються додатками, запущеними на вузлі АС;

  • модуль виявлення атак, що виконує обробку даних, зібраних сенсорами, з метою виявлення інформаційних атак порушника. Даний модуль підсистеми повинен реалізовувати сигнатурні і поведінкові методи аналізу інформації;

  • модуль реагування на виявлені атаки. Модуль повинен передбачати можливість як пасивного, так і активного реагування. Пасивне реагування передбачає оповіщення адміністратора про виявлену атаці, в той час як активне - блокування спроби реалізації вірусної атаки;

  • модуль зберігання даних, в якому міститься вся конфігураційна інформація, а також результати роботи підсистеми.

Підсистема виявлення вразливостей повинна забезпечувати можливість виявлення технологічних та експлуатаційних вразливостей АС за допомогою проведення мережевого сканування. Як об'єкти сканування можуть виступати робочі станції користувачів, сервери, а також комунікаційне обладнання. Для проведення сканування можуть використовуватися як пасивні, так і активні методи збору інформації. За результатами роботи підсистема повинна генерувати детальний звіт, що включає в себе інформацію про виявлені вразливості, а також рекомендації щодо їх усунення. Спільно з підсистемою виявлення вразливостей в АС може використовуватися система управління модулями оновлень загальносистемного і прикладного ПО, встановленого в АС. Спільне використання цих систем дозволить автоматизувати процес усунення виявлених вразливостей шляхом установки необхідних оновлень на вузли АС (service pack, hotfix, patch і ін.).

Підсистема захист від спаму спрямована на Блокування поштовий Повідомлень рекламного характеру. Для цього підсистема повинна підтримувати можливість роботи зі списками RBL (Real-Time Black Lists), а також реалізовувати власні сигнатурні або поведінкові методи виявлення спаму. Підсистема встановлюється таким чином, щоб всі вхідні поштові повідомлення, що надходять з мережі Інтернет, спочатку проходили через її контекстний фільтр, а потім потрапляли на корпоративний поштовий сервер.

Підсистема управління антивірусним безпекою, призначена для виконання наступних функцій:

  • віддаленої установки і деінсталяції антивірусних засобів на серверах і робочих станціях користувачів;

  • віддаленого управління параметрами роботи підсистем захисту, що входять до складу КСАЗ;

  • централізованого збору та аналізу інформації, що надходить від інших підсистем. Ця функція дозволяє автоматизувати процес обробки даних, що надходять, а також підвищити оперативність прийняття рішень з реагування на виявлені інциденти, пов'язані з порушенням антивірусної безпеки.

Загальна схема розміщення підсистем захисту, що входять до складу комплексної системи антивірусної безпеки в АС показана на рис. 3.

Мал
Мал. 3. Загальна схема розміщення засобів захисту в АС

Впровадження такої комплексної системи антивірусного захисту являє собою складний багатоступінчастий процес, який включає в себе наступні етапи (рис. 4):

  • аудит інформаційної безпеки АС, який спрямований на збір вихідної інформації, необхідної для розробки плану впровадження КСАЗ;

  • формування вимог до КСАЗ, призначеної для захисту АС. На даному етапі формується технічне завдання на впровадження КСАЗ;

  • розробка техноробочого проекту по впровадженню КСАЗ, що містить опис проектних рішень, схем установки, параметрів настройки КСАЗ та інших службових даних;

  • навчання персоналу організації, відповідального за адміністрування КСАЗ;

  • пусконалагоджувальні роботи, пов'язані з розгортанням КСАЗ;

  • технічний супровід КСАЗ, в рамках якого вирішуються питання, пов'язані з обслуговуванням системи в процесі її експлуатації.

Склад етапів, а також їх тривалість залежить від розмірності захищається АС, а також від масштабів впровадження КСАЗ. Роботи, пов'язані з впровадженням і експлуатацією СОА можуть проводитися як власними силами підприємства, так і з залученням зовнішніх організацій, що спеціалізуються на наданні послуг в області інформаційної безпеки. При цьому деякі етапи можуть об'єднуватися або проводитись одночасно. Так, наприклад, розробка техноробочого проекту і навчання персоналу підприємства можуть здійснюватися паралельно.

Мал
Мал. 4. Процес впровадження комплексної системи антивірусного захисту

Висновок

Комп'ютерні віруси є в даний час однієї з найбільш значущих загроз інформаційній безпеці, про що свідчать численні дані по щорічним фінансових втрат компаній в результаті впливів вірусних атак. При цьому традиційні заходи боротьби з шкідливим програмним забезпеченням, засновані на простій установці антивірусних засобів захисту на робочих станціях і серверах, виявляються недостатньо ефективними. Тому використання комплексного підходу у протидії вірусним атакам, розглянутого в даній статті, дозволить підвищити ефективність тих заходів, які використовуються компаніями в даний час.

Список літератури:
  • CSI / FBI Computer crime and security survey. Computer Security Institute. 2005. http://www.gocsi.com .

  • ГОСТ Р 51188-98. Захист інформації. Випробування програмних засобів на наявність комп'ютерних вірусів. Типове керівництво.

  • Сердюк В.А. Ахіллесова п'ята інформаційних систем // BYTE / Росія. №4. 2004.

  • Microsoft Corporation. The Antivirus Defense-in-Depth Guide, 2004.

Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

    • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: