Корпоративная сеть Интернет

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, всё же их одних недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры (резидентные программы для защиты от вирусов) и вакцины.

Программы-детекторы позволяют обнаружить файлы, зараженные одним из нескольких известных вирусов. Программы-доктора, или фаги, «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным.

При выявлении несоответствий об этом сообщается пользователю. Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.

Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков. Предполагается, что в этот момент программы и системные области дисков не заражены.

После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Антивирусная программа Aidstest (зарегистрированная торговая марка АО Диалог-Наука (DialogueScience), автор Лозинский Д.Н.). Программа Aidstest предназначена для обнаружения и исправления программ, зараженных определенными типами вирусов, а именно типами, известными в настоящее время автору. В комплект поставки входит несколько файлов. Перечень опознаваемых вирусов дается в файле aidsread. me, а их краткое описание - в файле aidsvir.txt, также поставляемом в комплекте с антивирусной программой.

Этот набор вирусов постоянно пополняется по мере появления у автора новых вирусов. В процессе исправления программные файлы, которые исправить невозможно, стираются.

Полиморфные вирусы, характерной особенностью которых является способность к существенной мутации своего кода, из-за чего программы типа Aidstest принципиально не в состоянии опознать. Для борьбы с полиморфными вирусами следует использовать антивирус Doctor Web (автор И. Данилов), который благодаря встроенному эмулятору процессора опознает вирусы под различными шифровщиками и упаковщиками, а благодаря своему блоку эвристического анализа обнаруживает и многие неизвестные вирусы.

Norton AntiVirus for Windows 95. Пакет включает  в себя резидентный мониторинг, сканер, запускаемый вручную или  периодически с помощью планировщика  и проверку при включении компьютера  “критических” файлов (config, autoexec, command).

Антивирусный пакет AntiViral Toolkit Pro (AVP) для Windows 95 (Windows NT) ЗАО «Лаборатория Касперского» является лучшей программа в своей области.

Эта программа - новый шаг в борьбе с компьютерными вирусами. Она представляет из себя полностью 32-х разрядное приложение, оптимизированное для работы в популярной во всем мире среде Microsoft Windows 95 (Windows NT) и использующее все ее возможности. AVP имеет удобный пользовательский интерфейс, характерный для Windows 95, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз (свыше 30000), что гарантирует надежную защиту от огромного числа самых разнообразных вирусов.

К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.

Антивирус Касперского 7.0. Программа состоит из следующих компонентов:

Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.

Почтовый Антивирус - компонент проверки всех входящих и исходящих почтовых сообщений компьютера.

Веб-Антивирус - компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.

Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.

Антивирус Касперского 7.0 - это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО.

Основные функции: три степени защиты от известных и новых интернет угроз: 1) проверка по базам сигнатур; 2) эвристический анализатор; 3) поведенческий блокиратор.

Защита Avast основана на резидентных провайдерах, которые являются специальными модулями для защиты таких подсистем, как файловая система, электронная почта.

К резидентным провайдерам Avast! относятся: Outlook/Exchange, Web-экран, мгновенные сообщения, стандартный экран, сетевой экран, экран P2P, электронная почта.

Eset NOD32 2.5.

Основные функциональные особенности:

- эвристический анализ, позволяющий  обнаруживать неизвестные угрозы;

- технология ThreatSense - анализ файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware), phishing-атак и других угроз;

- проверка и удаление вирусов  из заблокированных для записей  файлов (к примеру, защищенные системой  безопасности Windows библиотеки DLL);

- поверка протоколов HTTP, POP3 и PMTP.

Минимальные системные требования: процессор Intel Pentium, 32 MB RAM, 30 MB свободного места на жестком диске, наличие системы Windows 95/98/NT/Me/2000/XP.

Norton AntiVirus. Состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске.

Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок.

Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК.

Автозащита автоматически: обнаруживает и защищает ПК от всех типов вирусов, включая макро вирусы, вирусы загрузочных секторов, вирусы резидента памяти и троянских коней, червей и других вредоносных вирусов.

Защищает компьютер от вирусов, которые передаются через сеть Интернет, проверяя все файлы, которые загружаются из Интернета.

3. Перспективы развития средств антивирусной защиты.

Не так давно основным требованием к антивирусному программному обеспечению было количество улавливаемых вирусов.

Затем внимание стало уделяться скорости обновления базы вирусных сигнатур, что, несомненно, и сейчас является одним из самых важных критериев оценки эффективности того или иного антивирусного продукта. Однако условия меняются, и те антивирусные компании, которые по старинке придерживаются данного подхода и строят стратегию развития исходя из принципа «быстрее всех поймаем любой вирус», все чаще терпят фиаско.

Анализ причин сложившейся ситуации следует начать с того, что сейчас вредоносный код - это не только традиционные вирусы и черви, но и такие «незваные гости», как всякого рода вредоносное программное обеспечение: шпионское и рекламное, «троянские программы», фишинговые атаки.

Не стоит забывать и о «набившем оскомину» спаме.

Кроме того, сегодня все чаще приходится сталкиваться с комбинированными угрозами, как по способам распространения.

Через файлы или по сети, эксплуатируя уязвимости ПО, так и по воздействию на атакуемую систему.

Сегодня вирусные угрозы отличают впечатляющие скорости распространения, особенно современных компьютерных червей.

Стало быть, и сигнатурные методы обнаружения вредоносной активности уже не спасают. То, что было эффективно еще пару лет назад, при современных скоростях распространения «эпидемий» становится абсолютно неэффективным.

Поэтому сейчас основные разработчики активно внедряют технологии поведенческого анализа, направленные на обнаружение аномалий в поведении программ и процессов, атак, использующих еще неизвестные уязвимости, а также вредоносного кода, для которого пока не разработано никаких сигнатур.

Следует также отметить, что защита, реализованная только на серверах и рабочих станциях, уже не является гарантированно эффективной. При таком подходе бороться с «инфекцией» приходится уже внутри сети, что увеличивает размер ущерба от заражения и затрудняет восстановление системы.

Выход в данном случае один - организация антивирусной обороны по периметру сети - на шлюзах и сетевых устройствах.

Антивирусные продукты для защиты рабочих станций и серверов до сих пор занимают львиную долю в общем объеме продаж антивирусных компаний, и до недавнего времени продукты ведущих мировых вендоров отличались главным образом функциональностью в области управления и создания отчетов.

Но ситуация начинает меняться - расширяются функциональные возможности антивирусных программ для рабочих станций, мировые вендоры взялись за дополнения своих решений персональными межсетевыми экранами и анти шпионскими модулями. Многим антивирусным компаниям уже удалось реализовать эти принципы защиты в своих продуктах. Так, например, средства обнаружения шпионского ПО применяют такие производители, как Trend Micro, McAfee и Symantec.

Корпорации хотят видеть у себя антивирусное решение, которое защищало бы сеть от всего спектра угроз, объединенных под общим названием «вредоносный код».

Использование самостоятельных решений по защите от спама, шпионского и другого вредоносного ПО неудобно по нескольким причинам. Основная - это самостоятельная консоль управления для каждого из таких продуктов, что не всегда хорошо даже в рамках сети небольшого предприятия, а в крупной сети и совсем лишено смысла. Множество центров управления разными продуктами снижает эффективность реагирования на инциденты и может вызвать дополнительные проблемы при борьбе с комбинированными угрозами.

Помимо того, что антивирусное решение становится комплексным, оно должно обеспечивать соответствующий уровень защиты от всех видов вредоносного кода. Если с обнаружением вирусов ситуация в целом достаточно стабильная, то с фильтрацией спама, шпионского ПО. дела обстоят далеко не так хорошо.

Важным фактором здесь является и то, что разные продукты от разных поставщиков - это увеличение затрат на поддержку и эксплуатацию, что, естественно, приводит к повышению ТСО. Проблемы шпионского и рекламного ПО.

По результатам отчета исследовательской группы Gartner (Antivirus Vendors Strike Back With Anti-Spyware Products, ID G00129655) от 20 до 40% обращений пользователей в службу поддержки компании связано именно с проблемой получения такого рода вредоносного программного обеспечения.

До недавнего времени существовало несколько самостоятельных анти шпионских решений (например, Giant Company Software и Intermute, купленные сейчас компаниями Microsoft и TrendMicro), но ни одно из них не принадлежало ведущим разработчикам в области информационной безопасности.

Как и во многих других сферах, масштабируемая и централизованная система управления средствами защиты является критически важным фактором, на который обращают внимание крупные компании, что, собственно, и отличает требования к решениям по информационной безопасности крупных корпораций от запросов небольших компаний. В этом довольно хорошо преуспели антивирусные компании.

Системы управления средствами защиты выполнены на достаточно высоком уровне, чего как раз не хватает продуктам независимых поставщиков анти шпионских решений.

Однако не в пользу самостоятельных разработчиков таких решений говорит тот факт, что корпорации предпочитают не усложнять существующую структуру своей сети и тем более ее защиту, без особой на то необходимости.

Кроме того, антивирусные продукты и анти шпионские системы решают примерно одну задачу. Так или иначе они предназначены для борьбы с вредоносным ПО, и наличие двух сканирующих систем не имеет особого смысла, к тому же при этом не исключены конфликты ресурсов и проблемы с представлением. Что же предлагают ведущие мировые поставщики в области анти шпионского ПО?

Начнем с того, что возможности этих решений по обнаружению известных вирусов составляют примерно 99%.

Процент обнаружения шпионского ПО значительно ниже. К сожалению, в настоящее время не существует достоверных независимых тестов. По некоторым исследованиям и данным аналитических отчетов (например, Gartner), процент «отлова» шпионских программ достигает 75%.

Этому есть, по крайней мере две причины: