На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Методы и средства защиты информации от вредоносного программного обеспечения

При работе в сети Internet персональный компьютер подвергается постоянной опас­ности заражения компьютерными вирусами при получении как исполняемых (про­граммных), так и документальных файлов. Особенно это опасно, если компьютер яв­ляется рабочей станцией компьютерной сети. В этих условиях ущерб, нанесенный вредоносным программным обеспечением, может быть максимальным. С программ­ными файлами можно получить загрузочные, полиморфные, шифрованные стелс-ви-русы, с офисными документами возможно получение различных макровирусов.
Современный хакерский инструментарий настолько автоматизирован, что даже
люди, не очень сведущие в сетевых и коммуникационных технологиях, могут без тру­да воспользоваться ими. В результате сетевые администраторы проявляют интерес к
любым системам обеспечения информационной безопасности, которые попадают в их
поле зрения.
Корпоративная сеть сегодня — настоящее богатство для любой компании, а ее ад­министратор волей-неволей становится своего рода щитом, защищающим неприкос­новенность этого богатства. Какие же меры позволяют повысить безопасность охра­няемой территории? Конечно же, использование специального программного обеспечения, предназначенного для защиты компьютеров и сетей от вирусов, программ­ных закладок, «дыр» и т. д.
Сегодня на рынке уже присутствуют изощренные средства обнаружения незваных гостей, стремящихся незаконно проникнуть в ваши сетевые владения. Однако такие сред­ства нельзя воспринимать как законченные решения в области информационной безо­пасности. Они скорее являются еще одним интеллектуальным инструментом, щим реализовать стратегию защиты корпоративной сети наряду с другими компонентами вроде антивирусных приложений. В частности, система обнаружения сетевых атак по­зволяет провести мониторинг сетевой активности и выявить наиболее уязвимые места в сети или на отдельных хост-компьютерах. Более того, разные продукты данной катего­рии неэквивалентны по функциональным возможностям. Вот почему крупные компа­нии, серьезно беспокоящиеся о защите своих коммуникационных и информационных
ресурсов, устанавливают сразу несколько детектирующих систем. Но наличие уже од­ного подобного продукта заметно повышает степень защищенности вашей организации по сравнению с той, которая была до начала его использования.
При существующем многообразии вирусов и их мутаций предотвратить заражение может только полнофункциональная антивирусная система, имеющая в своем арсена­ле все известные технологии борьбы с «инфекционными болезнями»: не только ска-нер-полифаг, но и резидентный on-line-монитор, средства контроля программной це­лостности (CRC) и эвристического поиска вирусных сигнатур.
Каждый новый вирус необходимо обнаружить как можно быстрее (а некоторые
вирусы намеренно долго себя не проявляют, чтобы у них было достаточно времени на распространение). Проблема в том, что нет четкого способа определить заранее, что при своем выполнении данная программа проявит вирусоподобное поведение. Как нет единого лекарства от всех болезней, так нет универсальной «вакцины» от всех видов


вредоносного программного обеспечения. На все 100% защититься от вирусов практически невозмож­но (подразумевается, что пользователь меняется дискетами с друзьями и играет в игры, а также по­лучает информацию из других источников, напри­мер из сетей). Если же не вносить информацию в
компьютер извне (изолированный компьютер), за­разить его вирусом невозможно — сам он не родит­ся. Но в наше время это достаточно сложно. Поэтому, чтобы сталкиваться с вирусами как можно реже или, по крайней мере, только сталкиваться, не допуская их на жест­кий диск своего винчестера, нужно соблюдать самые элементарные правила терной гигиены»: проверка дискет, содержимого CD-дисков на наличие вирусов самы­ми надежными антивирусными и постоянно обновляемыми программами.
В отличие от одиночного пользователя, проблема, которую решают специалисты,
отвечающие за обеспечение антивирусной безопасности в крупных организациях, на самый поверхностный взгляд выглядит следующим образом: обеспечить максималь­ную антивирусную защиту при минимальных затратах. Ну а если взглянуть внима­тельнее, то открывается громадный перечень практических, экономических и органи­зационных вопросов, которые рано или поздно встают перед специалистом. Такими стратегическими вопросами являются:
что дешевле: предотвратить заражение или лечить?
□ как оценить допустимые затраты на обеспечение антивирусной безопасности?
□ что является объектом защиты?
□ какова требуемая степень защищенности? как организовать защиту?
В настоящее время уровень экономически допустимых затрат на приобретение и внедрение антивирусной системы оценивается в размере от потенциальных
потерь от вирусной атаки.
Риск появления в системе какой-нибудь пакости возрастает с каждым днем. На са­мом деле важно не количество различных вирусов, а степень их распространения. Вирус, обнаруженный где-то далеко, в компании, вряд ли заста-
вит сетевых менеджеров не спать по ночам. Совсем иное дело те программы, которые распространяются через Internet. Когда в мае 2000 года появился вирус LoveLetter, в течение одного месяца было выявлено более 23 тыс. заражений этим вирусом. А уже в декабре их число превысило 100 тыс.
Согласно отчетам компании Trend Micro, корпоративные пользователи постоянно сталкиваются с фактами проникновения вирусов в свои сети.
Приведем некоторые описания вирусов, которые нанесли наиболее существенный
ущерб корпоративным заказчикам в последнее время.
Вирус, который был недавно обнаружен несколькими пользователями Internet, —
PE_FUNLOVE.4099 — это далеко не новый резидентный вирус под Windows. Он ин­фицирует файлы как на локальных дисках, так и на дисках, доступных по сети. При запуске инфицированного файла вирус PE_FUNLOVE.4099 записывает файл FLCSS.EXE в системный каталог Windows и пытается заразить все файлы с расшире­ниями EXE, OCX и SCR. На системах Windows NT вирус PE_FUNLOVE.4099 пытает­


Таблица 3.4. Вирусы, которые тревожат корпоративных пользователей


10 наиболее распространенных вирусов «ln-the-Wild»

10 вирусов, которые наиболее тревожат корпоративных пользователей

10 наиболее распространенных вирусов на начало 2001 года

TROJ_MTX.A

VBS_KAKWORM.A

VBS_KAKWORM.A

TROJ_HYBRIS.B

TROJ_MTX.A

TROJ_PRETTY_PARK

VBSJCAKWORM.A

JOKE_WOW

TROJSKA

TROJHYBRIS.A

W97M_ASSILEM.B (Melissa)

VBS_LOVELETTER

TROJBYMER

TROJHYBRIS.B

PE_CIH

TROJ_NAVIDAD.E

JOKE_BURPER

W97M_MELISSA

TROJ_PRETTY_PARK

TROJ_BYMER

TROJ_MTX.A

TROJ_CLICK

VBS_LOVELETTER

TROJ_QAZ.A

TROJHYBRIS.D

W97M_THUS

W97METHAN.A

TROJ_SUB7.BONUS

TROJ_PRETTY_PARK

097M_TRISTATE

ся изменить файлы NTLDRh NTOSKRNL.EXE с целью дать всем пользователям пра­ва администратора. Это происходит после перезагрузки системы после того, как пользо­ватель с правами администратора зайдет в систему.
Новый вирус TROJNAVIDAD.E — это вариант вируса TROJ NAVIDAD.A, кото­рый был впервые обнаружен в ноябре 2000 года. Оригинальный TROJ NAVIDAD А содержит ошибку, приводящую к тому, что при запуске ЕХЕ-файла выводится сооб­щение об ошибке. В новом вирусе этот недостаток исправлен, и он корректно инстал­лируется в системе, после чего рассылает себя по адресам из адресной книги инфици­рованного пользователя в виде присоединенного файла EMANUEL.EXE. Несмотря
на то что TROJ NAVIDAD.E был обнаружен в декабре 2000 года, он продолжает рас­пространяться.
Деструктивный вирус PE_KRIZ.4050, обнаруженный in-the-wild, - это старый 32-битный вирус под Windows, снова был недавно обнаружен во многих странах. Также как несколько других старых вирусов, смог вернуться, так как был
выпущен по ошибке в патче к компьютерной игре. Вирус PE_KRIZ.4050 содержит деструктивную функцию, сходную с функцией вируса РЕ_С 1Н, которая позволяет ему изменять данные в CMOS и обнулять BIOS.
Новое семейство червей - VBSJFUNNY, написанных на Visual Basic Script, было недавно обнаружено в Европе. При запуске эти черви ищут определенный ключ в рее­стре, и если его нет, то они рассылают по почте сообщения по всем адресам из адрес­ной книги Microsoft Outlook с присоединенным к ним вирусом. Если указанный ключ найден, то черви записывают надиск исполняемый файл (STARTX.EXE), которыйяв­ляется известным троянцем, похищающим пароли.
BHpycVBS_COLOMBIA — это новая модификация вируса VBS_LOVELETTER. А, имеющего деструктивную функцию, нацеленную на файлы с расширениями VBS, VBE, JSE, CSS, WSH, SCT, НТА, JPG, JPEG, МРЗ и МР2.


Учитывая разнообразие вредоносных программ, приходится прибегать к различ­ным стратегиям для защиты сети от коварного и вероломного кода.
Целью антивирусной стратегии является эффективное предотвращение заражения вирусами информационной системы. Другими словами, не максимально быстрое об­наружение и удаление появляющихся вирусов, а создание условий, при которых уже само появление вируса на пользовательском компьютере или, еще хуже, на сервере будет рассматриваться как чрезвычайное происшествие. Поэтому в основе всей стра­тегии антивирусной безопасности любой фирмы должны лежать следующие разделы:
□ политика антивирусной безопасности;
□ план работ по обеспечению антивирусной безопасности; порядок действий в критических ситуациях.
Разумеется, каждая фирма работает с различным уровнем информационной безо­пасности и в разных условиях информационной среды. То, что совершенно неприем­лемо, например, для банка (использование сотрудниками дискет, принесенных из дома),
может являться нормой работы в редакции газеты или в агентстве новостей. Поэтому
все элементы стратегии организации должны полностью соответствовать целям и за­дачам, решаемым ее информационной системой, и специфике тех условий, в которых
она работает. Следовательно, и приобретаемая антивирусная система должна полнос­тью отвечать требованиям принятой стратегии.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика