Данная статья посвящена методам защиты от вредоносного ПО. Ключом к организации эффективной антивирусной защиты является наличие антивирусной программы. Рассмотрим основные требования, которым должно удовлетворять современное антивирусное ПО. К антивирусному ПО предъявляются такие же требования, как и к остальным программным продуктам – удобство использования и широкие функциональные возможности, определяемые возможностью выбора различных режимов сканирования и высоким качеством детектирования вирусов. Несмотря на всё разнообразие программных продуктов, принципы их работы одинаковы.
К основным функциям современных антивирусов относятся:
- сканирование памяти и содержимого дисков по расписанию;
- сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;
- выборочное сканирование файлов с измененными атрибутами - размером, датой модификации и т.д.;
- сканирование архивных файлов;
- распознавание поведения, характерного для компьютерных вирусов;
- удалённая установка, настройка и администрирование антивирусных программ;
- автоматическое обновление баз данных по вирусам посредством Internet;
- фильтрация трафика Internet на предмет выявления вирусов в программах и документах, передаваемых посредством протоколов SMTP, FTP, HTTP.
- выявление потенциально опасных Java-апплетов и модулей ActiveX;
- функционирование на различных платформах;
- ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.
Теория вирусной атаки
Одной из основных характеристик современных вирусных атак является их высокая скорость распространения. Кроме того, можно отметить высокую частоту появления новых атак. В настоящее время к современному антивирусному ПО, можно предъявить требование частоты обновления продукта - чем чаще обновляется продукт, тем выше его качество, т.к. он учитывает все актуальные на текущий момент времени вирусные угрозы. Необходимо отметить, что в России популярным антивирусным решением является семейство продуктов антивирусной лаборатории Касперского. Наличие антивирусного ПО является необходимым, но не достаточным условием для отражения антивирусной атаки (кроме наличия средства необходимо продумать методы его использования). Защита от вирусов должна быть элементом политики безопасности, которую должны понимать и соблюдать все пользователи системы. Для того чтобы сформулировать основные принципы антивирусной политики безопасности необходимо знать основные моменты, относящиеся к вирусной атаке.
1. Вирусная атака состоит из двух фаз – фаза заражения и фаза распространения.
2. Вирусы распространяются не только с помощью исполняемых файлов (.exe, .bat), но и с помощью файлов-документов популярных программ.
3. Вирусы при атаке часто используют возможности сети Internet.
Предотвращение вирусных атак
Что можно порекомендовать пользователю с целью предотвращения заражения вирусами (лучший способ борьбы с атакой – ее предотвращение)? Для предотвращения вирусных атак рекомендуется выполнить следующие действия: 1. Соответствующим образом настроить антивирусное ПО. Для этого необходимо произвести следующие установки:
- сканирование в режиме реального времени, в фоновом или аналогичном режиме должно быть разрешено;
- при старте системы должны сканироваться оперативная память, загрузочный сектор и системные файлы;
- своевременно обновлять вирусные базы данных
- желательно сканировать все типы файлов или как минимум *.com и *.exe файлы, а также файлы *.vbs, *.shs, *.ocx;
- установить аудит всех действий антивирусных программ.
2. Использовать только лицензионное ПО, так как полученное из неизвестного источника ПО, может быть троянским или зараженным вирусом.
3. Ограничить набор программ, которые пользователь способен установить в системе (т.к. посторонние программы могут быть заражены вирусами или служить причиной успеха других атак). Особо следует обратить внимание на различные сервисы Internet и, в первую очередь, на программы передачи сообщений, такие как IRC, ICQ, Microsoft Chat (данные программы могут передавать файлы и служить источником заражения системы).
4. Желательно устранить известные уязвимости в ПО. Известные уязвимости обычно публикуются в списках рассылки Internet, а также на спец. сайтах. В качестве источника информации об уязвимостях можно взять базу данных на сайте www.securityfocus.com.
5. Контролировать использование накопителей Flesh-карт и дисков CD/DVD/-ROM, Blu-ray. В идеале вся информация, содержащаяся на таких накопителях, должна быть проверена на наличие вирусов до того, как к ней будет осуществлен доступ со стороны пользователей ОС.
6. Разработать политику обработки электронной почты (как составной элемент политики безопасности). Сообщения электронной почты являются одним из популярных и быстрых способов распространения вирусов. Для защиты от проникновения вирусов через сообщения электронной почты каждый пользователь системы должен:
- никогда не открывать почтовых вложений, которые не были запрошены или о которых не было уведомления от отправителя.
- перед открытием вложения всегда проверить его с помощью антивирусного ПО;
- если после выполнения всех этих процедур остались сомнения в отсутствии вирусов в почтовом вложении, то можно связаться с отправителем и выяснить у него информацию о посланном вложении;
- устранить возможные уязвимости в клиентском почтовом ПО.
7. Разработать политику безопасности приложений (особенно при использовании продуктов MS Office), обрабатывающих документы с интерпретируемыми языками (как составной элемент политики безопасности).
