На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Практические методы и средства для защиты сети от вредоносных программ

Программные средства, уведомляющие администратора об атаке на сервер или сеть либо только о попытке такой атаки, появились совсем недавно. Первые продукты это­го типа были апробированы военным ведомством США в середине 90-х годов. Тем не менее за прошедшие несколько лет растущая армия поставщиков программного обес­печения успела выпустить несколько пакетов программ, нацеленных на выявление хакерских атак. Одни производители предлагают серверные продукты, обеспечиваю­щие защиту операционных систем, Web-серверов и баз данных. Другие рассматрива­ют проблему защиты с общесетевых позиций, и их разработки позволяют сканировать весь сетевой трафик для выявления пакетов сомнительного происхождения.
Что касается экономической стороны дела, то рынок детектирующих систем обоих типов бурно развивается. По данным компании IDC, в 1997 году его оборот составлял 20 млн долларов, а уже в 2000 году достиг 100 млн долларов. Оценки дальнейшего развития весьма оптимистичны: аналитики IDC полагают, что мировые продажи про­грамм обнаружения сетевых атак в 2005 году перевалят за 500 млн долларов.
В такой сфере, как обнаружение сетевых атак, процесс совершенствования беско­нечен. Хакеры не устают изобретать все новые схемы проникновения в компьютерные системы. Стоящие по другую сторону баррикад разработчики детектирующих прило­жений отслеживают появляющиеся новинки и спешат предложить свои контрмеры. Вот почему выпускаемые продукты требуют постоянной модернизации и пользовате­лям настоятельно рекомендуется устанавливать обновленные сигнатуры, позволяю­щие идентифицировать новые виды сетевых атак.
Старое антивирусное программное обеспечение подобно лекарству с истекшим сроком годности — толку от него мало. Если не обновлять файлы сигнатур, то рано или поздно можно оказаться беззащитными против новых вирусов. Большинство фирм, производящих антивирусы, выпускают новые файлы сигнатур по крайней мере два раза в месяц и чаще, если появляется серьезный вирус. Для получения новых сигнатур
удобно пользоваться функцией автоматического обновления через Web, имеющейся в
антивирусном пакете.
Сопровождение через Internet программы PC-cillin, например, обладает уникаль­ной особенностью. Вы можете не только запросить консультацию по электронной почте, но и в любое время суток поболтать в реальном времени со специалистом службы сопровождения Trend. (Разумеется, от этой замечательной ус­луги не особенно много проку, если компьютер заблокирован и войти в Internet невозможно, однако она бесплатна.)
Такие антивирусные продукты, как Norton 2000 и McAfee поддерживают самые крупные исследо-
вательские группы отрасли: соответственно Symantec Antivirus Research Center и Antivirus Emergency Response Team. Поэтому Norton и McAfee исключительно быстро реа­гируют на угрозу нового вируса.
Чтобы снизить число дорогостоящих телефонных консуль­таций, антивирусные компании стараются усилить поддержку


через Internet. Но иногда все-таки бывает нужно задать вопрос живому человеку. Если вы купили продукт, то, скорее всего, получите сопровождение по телефону и через Internet бесплатно, а вот в случае бесплатных пакетов поддержка будет стоить денег.
Все основные фирмы-поставщики антивирусного обеспечения регулярно и притом часто обновляют файлы сигнатур вирусов, а при появлении особо зловредного вируса
делают дополнительный экстренный выпуск. Еще совсем недавно считалось, что сиг­натуры нужно обновлять ежемесячно, но в нашу эпоху новых отвратительных виру­сов, возможно, будет разумным проверять их каждую неделю вручную с помощью автоматического обновления антивирусной программы. В утилитах McAfee, Symantec и Trend Micro для достаточно один раз щелкнуть кнопкой мыши.
Распространение противоядия в рамках корпоративной среды возвращает нас об­ратно к вопросу времени реакции со стороны поставщика антивирусных средств. Ко­нечно, доставка сигнатур новых вирусов на настольные системы чрезвычайно важна, но для того чтобы их распространять, эти сигнатуры надо сначала получить. В идеале их хотелось бы иметь до того, как ваш компьютер будет атакован.
Обычно поставщик антивирусных средств дает ответ в течение не более двух суток после предоставления ему подозрительного файла (срок в 48 час. стал, по сути, стан­дартной верхней границей). Однако в наши дни 48 час. — это слишком долго, за это время могут быть инфицированы тысячи рабочих станций. Можно это делать быстрее, используя автоматизацию, которая будет играть все более важную роль в разрабатыва­емых централизованных корпоративных системах, куда выявленные с эврис­тических средств образцы можно направлять на карантин и откуда их передают постав­щику антивирусных средств. В этом случае анализ образцов поставщиком может быть автоматизирован. Под этим подразумевается автоматическое тиражирование образцов, определение наличия инфекции, автоматическое создание лекарства для этой инфек­ции, автоматическая проверка лекарства и передача его обратно корпоративному кли­енту и любым другим клиентам этой сети. Результат - вместо обещаемых болыпин-ством компаний 48 час. вся процедура продлится около получаса, и даже
Компания Symantec, например, уже сегодня располагает подобной системой для
макровирусов, т. е. вирусов Word for Windows и Excel. Ей требуется два часа, чтобы
предоставить вам набор определений для противодействия новому вирусу (если он
никогда ранее не встречался), — и все это исключительно посредством компьютера.
Определенный набор средств антивирусной защиты присутствует во всех утили­тах основных фирм-производителей программного обеспечения. Таковы постоянная
защита от вирусов (антивирусный монитор), проверка системы по расписанию и об­новление сигнатур через Internet, а также создание аварийной загрузочной дискеты, позволяющей запустить компьютер даже тогда, когда у него заражен вирусом загру­зочный сектор (естественно, дискету надо создать до того, как вирус попал в компью­тер). Помимо этих стандартных средств, некоторые пакеты содержат «архитектурные излишества»: например, специальную добавочную защиту от почтовых вирусов (тре­вога по поводу которых нарастает), а также зловредных модулей ActiveX и тов (которые до сих пор редкость). А такие программы, как Panda Antivirus Platinum и даже позволяют родителям заблокировать доступ детей к нежелательным Web-страницам. Характеристики категорий антивирусного программного обеспече­ния представлены в табл.


Таблица 3.7. Характеристики категорий антивирусного программного обеспечения


Категория

Название антивирусного программного обеспечения

Характеристика антивирусов

1

Command Antivirus

Деловой подход, простота, доступность, реагируют на угрозу нового вируса

 

F-Secure

 

II

Inoculate IT

Высокая скорость распознавания вирусов, пропуск вирусов

 

Norman Virus Control

 

III

Norton Antivirus

Лучший антивирус по всем показателям

 

McAfee Virus Scan

Большая информативность

 

Panda Antivirus Platinum

Блокируют доступ компьютеров к нежелательным Web-страницам. Возможность консультации по электронной почте

 

PC-cillin

 

Поскольку у новых вирусов имеются новые сигнатуры, файлы сигнатур необходи­мо поддерживать в актуальном состоянии. При выходе новой версии антивируса фор­мат файла сигнатур обычно меняется, и обновленные сигнатуры оказываются несов­местимы с предыдущими версиями программы. Именно поэтому антивирусное программное обеспечение уже довольно давно продается по той же схеме, что бритвы и лезвия: однажды купив основную утилиту (бритву), вы затем вынуждены постоянно
покупать обновленные файлы сигнатур (лезвия).
Так, компании McAfee и Symantec предоставляют право неограниченного обнов­ления сигнатур в течение года с момента приобретения утилиты, но за каждый следу­ющий год нужно в обоих случаях заплатить 4 доллара. Такую сумму вряд ли можно считать серьезным ударом по карману (в отличие от подписки на обновленные файлы сигнатур F-Secure, которая стоит 63 доллара); кроме того, через год вы с большой вероятностью захотите обновить саму программу. Их основные конкуренты — Command Antivirus, Inoculate IT, Panda Antivirus Platinum и PC-cillin - предлагают
бесплатное обновление сигнатур в течение всей жизни продукта.
В настоящее время способы предоставления антивирусной защиты существенно меняются. Компания McAfee.com (существующая отдельно от McAfee Software) уже предлагает проверку на вирусы через Internet в своей «электронной больнице» McAfee Clinic (наряду с еще несколькими видами диагностики). Услуга предоставляется по подписке и стоит 50 долларов в год, но часто появляются специальные предложения, а
за первые две недели плата не берется — это испытательный период. Проверку уда­ленных компьютеров на вирусы производит модуль ActiveX, который берет сигнату­ры с Web-сервера производителя программы.
К сожалению, сегодня производители не располагают какими бы то ни было сверх­новыми технологиями для упрощения процедуры постоянной модернизации приобре­тенного заказчиками программного обеспечения. Более того, даже самостоятельная загрузка пользователями обновлений для базы данных с сервера производителя, став­шая общим местом в индустрии антивирусного программного обеспечения, для по­ставщиков средств обнаружения сетевых атак пока еще в диковинку.
В качестве потенциального выхода из создавшегося положения эксперты по систе­мам сетевой безопасности рассматривают применение технологий искусственного


интеллекта. Они позволили бы распознавать угрозы отдельным компьютерам или сети в целом без использования файлов сигнатур, требующих постоянного обновления. Отдельные продукты предоставляют пользователям возможность добавлять в систе­му собственные сигнатуры сетевых атак (например, для защиты специфических при­ложений). Такая гибкость достигается путем включения в комплект поставки допол­нительных инструментальных средств.
Существенным недостатком многих систем обнаружения атак является их неспо­собность выдавать предупреждающие сообщения на консоли основных платформ се­тевого администрирования. Диагностическая информация и отчеты о событиях, как правило, объединяются только на их собственных управляющих станциях. Это зат­рудняет принятие ответных мер против хакера.
Системы выявления сетевых атак, предлагаемые фирмами Network Associates и ISS, способны взаимодействовать с рядом брандмауэров и платформ сетевого администри­рования, однако в настоящее время эти компании заняты реализацией технологии ав­томатического реагирования на попытки несанкционированного доступа, что предпо­лагает более активное участие представителей всей сетевой индустрии. Основная идея такой технологии состоит в установке на хостах и отдельных сетевых устройствах
«сканеров» сетевых атак, которые при обнаружении серьезной угрозы информацион­ной безопасности могли бы активизировать средства защиты без вмешательства адми­нистратора.
Сети становятся все более уязвимыми к инфицированным сообщениям электрон­ной почты. Этому способствует интерактивный характер приложений, незакрытые
бреши в системах защиты и постоянное совершенствование вирусных программ. Ви­русы, подобные LoveLetter и Prolin, способны самотиражироваться по электронной почте, используя недостатки таких программ, как Microsoft Outlook и Outlook Express. В силу активного характера каждого из этих вирусов за считанные часы могут быть разосланы тысячи инфицированных сообщений, в результате чего вирусы окажутся в системе других клиентов. Вирус Melissa, появившийся в марте 1999 года,стал первым широко распространенным размножающимся по почте вирусом и вызвал многочис­ленные сбои на корпоративных серверах электронной почты, засыпав их
огромным количеством сообщений. Созданный тоже не так давно вирус LoveLetter
точно так же поразил серверы электронной почты. По некоторым оценкам, ущерб от него в различных организациях по всему миру составил несколько миллиардов долла­ров.
Помимо переполнения системы электронной почты, вирус может повредить фай­лы, переслать конфиденциальную информацию путем рассылки документов, иниции­ровать атаку на отказ от обслуживания (Denial of Service, DoS), изменить и удалить конфигурационные настройки, хранящиеся в памяти CMOS и во Flash BIOS систем­ных плат некоторых типов.
Как правило, для доставки своего «смертоносного груза» вирусы используют код HTML в теле сообщения электронной почты. Вирус KakWorm, например, скрывается
в подписи, передаваемой вместе с сообщениями электронной почты MS Outlook
Express 5. Он написан на JavaScript и распространяется через английскую и француз­скую версии Windows 95/98. Этот червь заражает систему в тот момент, когда пользо­ватель открывает или просто просматривает инфицированное сообщение электрон­


ной почты. Поскольку многие так и не установили необходимую заплатку для Outlook, этот вирус по-прежнему широко распространен, хотя впервые он был обнаружен еще в октябре 1999 года.
На программы электронной почты MS Outlook и Outlook Express рассчитано нема­ло вирусов, в том числе Bubble-Boy, Stages, Lucky, Melissa, NewLove и LoveLetter. Хотя некоторые из наиболее распространенных вирусов и «червей» появляются на настольной системе пользователя как код HTML в теле сообщения, многие, тем не менее, рассылаются в виде прикрепленных файлов, зачастую с «замаскированными» расширениями. Чаще всего они представляют собой файлы в формате DOC, внутри которых находятся вредоносные макросы. Хотя количество макровирусов продолжа­ет быстро расти, подавляющее число инцидентов связано с рассылающими
себя по электронной почте. Хотя основную угрозу представляет традиционный вредоносный код, проблемы
может вызвать и код иного типа. Например, внешний вид многих коммерческих Web-сайтов формируется с помощью апплетов JavaScript и элементов управления ActiveX. Чтобы эта схема работала, пользователь должен загрузить данный мобильный код на настольную систему, тот получает доступ к жесткому диску. Код такого типа мо­жет читать, удалять и изменять файлы, а кроме того, способен обращаться к файлам
на компьютерах, подключенных к данному через локальную сеть.
Поскольку Java относят к не вызывающему доверия коду, они работают
внутри виртуальной машины в так называемой «песочнице». Теоретически это при­звано ограничить выполняемые ими операции и уберечь от несанкционированных дей­ствий компьютер пользователя. Зачастую ActiveX воспринимается как более серьез­ная угроза, потому что, по существу, он представляет собой компактную версию OLE, позволяющую напрямую обращаться к оригинальным вызовам Windows и связывать
их с любой системной функцией.
Более того, поскольку хакер может присоединить апплет Java к электронной по­чте, браузер способен автоматически активировать этот апплет. Узнать, на какие раз­рушительные действия способно вредоносное программное обеспечение на основе JavaScript и ActiveX, можно на многих сайтах.
Основную проблему, сдерживающую широкое распространение продуктов рассмат­риваемого представляют заоблачные цены, которые оказываются не по зубам небольшим компаниям — самой легкой добыче злоумышленников. Скажем, типичная стоимость серверного агента в таких системах составляет 4000 долларов. В результа­те большинство организаций вынуждены устанавливать детектирующее программное обеспечение только на наиболее уязвимых сетевых узлах, например, на брандмауэрах или на серверах с конфиденциальной информацией делового характера.
Однако, все не так уж плохо, как кажется на первый взгляд. Корпоративные заказ­чики, например, могут теперь оперативно решить проблемы информационной безо­пасности благодаря растущему предложению коммерческих услуг в этой области со стороны независимых фирм.
Это связано с тем, что сегодня налицо дефицит специалистов высокой квалификации
в области сетевой безопасности, да к тому же обладающих практическим опытом обна­ружения хакерской активности. Поэтому организации предпочитают делегировать ре­шение возникающих задач немногочисленным специализированным компаниям.


Можно также обратиться к компаниям, оказывающим специализированные услуги по организации безопасности информационный систем. Они обычно предлагают целый пакет услуг, включающий в качестве базовых компонентов межсетевые экраны и систе­мы выявления вторжений (Intrusion Detection System, IDS). В пакет услуг может вхо­дить и оценка слабых мест в системе защиты, и проверка возможности проникновения в систему, и централизованная защита и др. Это, конечно, недешево, но такие трудоемкие задачи, как мониторинг работы межсетевого экрана и журналов системы выявления втор­жений (IDS), не слишком дороги, зато сэкономят время для не менее важных дел.
Для улучшения качества антивирусной защиты необходимо обучать пользовате­лей. Правила, действующие вчера, сегодня уже не работают. Пользователей необхо­димо информировать о возможном риске, они должны быть особенно внимательны при просмотре электронной почты и работе с ней. Кроме того, важно, чтобы они пред­видели неприятные последствия об изменении настроек защиты или установки про­граммного обеспечения, не являющегося корпоративным стандартом.
Компьютерная безопасность требует, чтобы ей каждый день уделялось время и
внимание. Устанавливая очередную «заплату», внимательно наблюдая за появлением новых мест в системе, повышая свою квалификацию и изучая опыт более
осведомленных в этой области людей, вы можете поддерживать свою сеть в стабиль­ном состоянии. Квалифицированный администратор сетевой безопасности — вот от­личная защита от незаконных вторжений в информационную систему. Поэтому луч­шей инвестицией станет обучение сотрудников, ответственных за безопасность. Но
ничто не сравнится с практическим обучением. А для этого потребуется собственная лаборатория, где администраторы могли бы экспериментировать без опасения поме-шаты работе основной сети.
Но это в общем. А что делать пользователю, если заражение уже произошло? Преж­де всего, не надо паниковать. Первый шаг при обнаружении атаки на систему — это ее
идентификация. Для успешной идентификации атаки необходимо наличие загрузоч­ного диска, создаваемого при установке системы, и осуществление загрузки системы с его помощью.
Если атака идентифицируется антивирусом, проблема решается фактически мо­ментально. Но, если вы имеете дело с неизвестным вирусом, во многих случаях кри­тичным является время, за которое была идентифицирована атака. Поэтому решаю­щее значение имеет способность пользователя быстро обнаружить вирусную атаку (признаками могут служить массовая рассылка почты, уничтожение файлов и т. д.).
Сложность идентификации часто зависит от сложности самой атаки. На данном этапе
желательно установить, как минимум, следующие признаки: сам факт атаки;
□ тип атаки (сетевая или локалыная); источник происхождения.
Вне зависимости от типа операционной системы необходимо обращать внимание
на следующую активность в системе:
О целостность программного обеспечения, используемого для обнаружения шителя;
□ целостность критичных для безопасности системы программ и данных;
□ операции в системе и сетевой трафик.


Если вы смогли определить факт вирусного заражения неизвестным вирусом (или у вас есть такие небезосновательные подозрения), то желательно обратиться к произ­водителю используемого антивирусного программного обеспечения. Кроме того, не­обходимо проанализировать последствия вирусной атаки. Если в вашей системе обра­батывались какие-то ценные данные, то настоятельно рекомендуется иметь их резервную копию. Для этого должны быть разработаны правила резервного копирова­ния. К сожалению, если резервная копия отсутствует, данные могут быть утеряны на­всегда (это уже зависит не от вас, а от злоумышленника, написавшего вирус).
В любом случае необходимо помнить: наличие адекватных средств защиты и дис­циплины их применения позволяет если не избежать вирусной атаки, то, по крайней мере, минимизировать ее последствия. Для этого всегда проверяйте файлы, попадаю­щие на ваш компьютер. Нужно помнить, что любой из них может быть заражен виру­сом. Никогда не позволяйте посторонним работать на вашем компьютере — именно они чаще всего приносят вирусы. Особое внимание следует уделять играм: ведь часто вирусы распространяются именно так. Новые игры и программы всегда нужно прове­рять на наличие вирусов. Кажется очевидным, что лучше чуть-чуть потесниться и най­ти 8-12 кбайт свободного места в оперативной памяти, скажем в UMB, где можно разместить «недремлющее око» резидентного монитора, контролирующее все виру­соподобные проявления и предотвращающее малейшие попытки вирусного зараже­ния. А сканировать лучше прямо на сервере, так как в сетевых антивирусных системах
это обычная опция.
В большинстве организаций антивирусное программное обеспечение установле­но, по крайней мере, на настольных компьютерах. Весьма разумным вложением средств было бы также добавление антивирусного программного обеспечения на шлюзы элек­тронной почты и межсетевые экраны. Согласно данным опроса, проведенного в круп­ных организациях компанией Tru-Secure, большинство вирусов и другой вредоносный код попадают в систему через электронную почту. Выявление как можно большего числа потенциальных проблем на основной точке входа в систему значительно сокра­щает внутренние работы.
К сожалению, большая часть антивирусного программного обеспечения плохо скон­фигурирована и анализирует лишь часть потенциально инфицированных объектов. В электронной почте и на настольной системе имеет смысл использовать сканер, на­строенный так, чтобы он проверял все файлы. Учитывая, что содержать инфицирован­ные объекты могут более 200 типов файлов, сканировать нужно не только файлы,
расширение которых совпадает с одним из предлагаемого вместе с продуктом списка.
Кроме того, следует иметь в виду, что заданные по умолчанию в большинстве приложений настройки защиты неадекватны реальной среде. Поскольку исследова­тели обнаруживают все новые уязвимые места в продуктах, необходимо постоянно следить за выпуском новых «заплаток». Это можно сделать, подписавшись на бюл­летень новостей по вопросам защиты компании Microsoft и других компаний, отсле­живающих ошибки в программном обеспечении, например, на списки рассылки Security-Focus.
Применяемые средства защиты должны быть как можно более разнообразными, в
частности, антивирусные сканеры от различных производителей на каждом рубеже системы защиты:


.
□ межсетевых экранах; О почтовых серверах;
□ файловых серверах;
□ настольных системах.
Эти многочисленные фильтры теоретически позволяют отсечь больше вирусов, поскольку часто разные продукты способны выявлять различные виды вредоносного программного обеспечения. Несмотря на рост затрат в случае применения различных сканеров (как правило, на разных уровнях системы защиты), преимущества переве­шивают недостатки.
Многие преступления в сфере информационных технологий стали возможны бла­годаря тому, что хакеры находят бреши в программном обеспечении, которые позво­ляют легко обойти сетевую защиту Это происходит почти с каждой известной про­граммой. В девяти случаях из десяти они используют в своих интересах старые, давно известные недоработки в программах, для которых уже существуют «заплаты», кото­рые не успели или не побеспокоились применить.
Теоретически установка «заплаты» не так уж сложна, хотя на практике не все так просто даже для опытных администраторов, которые стараются быть в курсе самых последних разработок. Самое главное — не нужно опаздывать с установкой «заплат» в своей системе. При этом одна из трудностей заключается в том, что в информацион­ных системах устанавливается все больше и больше новых программных продуктов. Количество же брешей, выявляемых еженедельно, увеличилось более чем в два раза за период с 1999 года по 2000 год. Хакеры могут использовать эти недоделки, чтобы проникнуть в компьютерные сети и вывести их из строя. В результате поставщики программного обеспечения вынуждены регулярно создавать «заплаты» на эти уязви­мые места.
В руках сетевого администратора анализатор протоколов — весьма полезный ин­струмент, помогающий находить и устранять неисправности, избавляться от узких мест, снижающих пропускную способность сети, и обнаруживать проникновение в нее ком­пьютерных взломщиков. Для тех, кто желает дать отпор компьютерным взломщикам, использующим анализаторы протоколов для организации атак на компьютерные сис­темы, подключенные к сети, можно посоветовать следующее:
□ обзаведитесь сетевым адаптером, который принципиально не может функцио­нировать в беспорядочном режиме;
□ приобретите современный сетевой интеллектуальный коммутатор;
□ не допускайте несанкционированной установки анализаторов протоколов на ком­пьютеры сети;
О шифруйте весь трафик сети.
Сетевые адаптеры, которые принципиально не могут в беспоря-
дочном режиме, на самом деле существуют. Одни адаптеры не беспо­рядочный режим на аппаратном уровне (их меньшинство), а остальные просто снаб­жаются драйвером, не допускающим работу в беспорядочном режиме, хотя этот режим
и реализован в них аппаратно. Чтобы отыскать адаптер, не поддерживающий беспоря­дочный режим, достаточно связаться со службой технической поддержки любой ком­пании, торгующей анализаторами протоколов, и выяснить, с какими адаптерами их программные пакеты не работают.


Учитывая, что спецификация РС99, подготовленная по инициативе корпораций Microsoft и Intel, требует безусловного наличия в сетевой карте беспорядочного режи­ма, необходимо приобрести современный сетевой интеллектуальный коммутатор, ко­торый буферизует каждое отправляемое по сети сообщение в памяти и отправляет его по мере возможности точно по адресу. В результате отпадает надобность в «прослу­шивании» сетевым адаптером всего трафика для того, чтобы выбирать из него сообще­ния, адресатом которых является данный компьютер.
Чтобы не допустить несанкционированной установки анализаторов протоколов на компьютеры сети, следует применять средства из арсенала, который повсеместно ис­пользуется для борьбы с программными закладками и, в частности, с троянскими про­граммами.
Для шифрования всего трафика сети имеется широкий спектр программных па­кетов, которые позволяют делать это достаточно эффективно и надежно. Возмож­ность шифрования почтовых паролей предоставляется протоколом АРОР (Authentication POP) — надстройкой над почтовым протоколом POP (Post Office Protocol). При работе с протоколом АРОР по сети каждый раз передается новая за­шифрованная комбинация, которая не позволяет злоумышленнику извлечь какую-
либо пользу из информации, перехваченной с помощью анализатора протоколов.
Проблема только в том, что не все почтовые серверы и клиенты поддерживают про­токол АРОР.
Другой продукт под названием Secure Shell (SSL) был изначально разработан фин­ской компанией SSH Communications Security и в настоящее время имеет множество
реализаций, доступных бесплатно через Internet. Программный продукт SSL пред­ставляет собой защищенный протокол для осуществления безопасной передачи сооб­щений по компьютерной сети с помощью шифрования.
Особую известность среди компьютерных пользователей приобрела серия про­граммных пакетов, предназначенных для защиты передаваемых по сети данных путем шифрования и объединенных присутствием в их названии аббревиатуры PGP (Pretty Good Privacy).
Кроме программных, существуют и аппаратные средства защиты. Имеются спе­циальные дополнительные устройства, обеспечивающие достаточно надежную за­щиту. В отличие от всех рассмотренных выше антивирусных средств, аппаратный комплекс Sheriff, например, способен предотвратить нападение вируса. К сожале-всегда существуют области жесткого диска, не защищенные платой Sheriff, a такие области есть практически всегда. То есть если защитить винчестер целиком, то как же работать?
Необходимо помнить, что антивирусные средства должны применяться комплекс­но и только такая комплексная защита с использованием надежного ревизора фагов DrWeb и Aidstest, а при необходимости и платы Sheriff, способна обеспечить
максимальную безопасность.
Помимо программного обеспечения для сканирования на наличие вирусов, есть еще, например, блокираторы программы контроля доступа и модули про-
верки целостности. Эти программы препятствуют совершению злонамеренных дей­ствий или модификации существующих файлов, а не сканируют файлы в поиске изве­стного вредоносного программного обеспечения. Такой подход обеспечивает


дополнительную защиту от атак, осуществляемых с помощью ActiveX, Java и другого разрушительного невирусного кода.
Подобные функции выполняют продукты таких производителей, как Aladdin, Computer Associates, Pelican Security, Sandbox Security, Stiller Research и Trend Micro. Они выявляют вредоносный код Java и ActiveX либо путем использования списков известных блоков кода, либо посредством выявления вредоносных действий.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика