"Человек - самое уязвимое место в системе безопасности.."

Положение и принципы работы антивирусного программного обеспечения

Положение об антивирусном программном обеспечении

Определения и термины

Компьютерный вирус — это программа умеющая создавать свои копии и внедрять и в разные ресурсы компьютерной системы без ведома пользователя. Копии также имеют копировать свои копии. На сегодня вирусы делят на 6 типов:

  • файловые
  • загрузочные
  • полиморфные
  • невидимки
  • скрипт-вирус
  • макро-вирус

Главные признаки вирусного поражения это:

  • замедление работы некоторых программ
  • увеличение размеров файлов
  • появление новых файлов
  • уменьшение доступной оперативной памяти
  • рандомно возникающие видео и звуковые эффекты.
  • неустойчивая работа

Организация дейтсвия по антивирусной защите

  • К использованию на предприятии разрешаются только лицензионные антивируснные программы, централизованно приобритенные у разработчиков(поставщиков) по рекомендации отдела ИБ
  • Установка антивирусного програмного обеспечения производится уполномоченными сотрудниками отдела
  • Обновление ПО должно быть не меньше 1 раза в сутки автоматически. В случаи автоматического режима, обновлять вручную.

Мероприятия по антивирусной защите на компьютерах предприятия включают:

  • профилактика вирусов
  • анализ инцидентов

Профилактика вирусов

Регулярные работы по профилактире вирусов уменьшают угрозы и риски создаваемые вирусами. Основные профилактические работы:

  • Автоматическая проверка наличия вирусов ежедневно
  • Изучение данных по новостях в области вирусных исследований
  • Проверка компьютеров после ремонта на вирусы
  • Создание резервной копии ПО после его покупки
  • ограничение доступа к компьютеру посторонних лиц

Анализ ситуаций

Когда антивирус выдает сообщение о подозрении наличия вирусов компьютера, нужно убедиться, действительно ли это вирус. Возможно это сбой или неисправности компьютера. В первую очередь нужно сообщить об этом вашему непосредственному руководителю. Он уже должен связаться с отделом ИБ. В первую очередь нужно определить источник заражения, что бы обезопасить сеть и другие компьютеры.

Ответственность

Ответственность за реализацию мер по антивирусной защите информации на машинах вычислительной техники возлагается на руководителя подразделения. Ответственность за проведение профилактических мероприятий по поддержанию антивирусной защиты в ИС а также уничтожение вирусов возлагается на сотрудников управления ИТ. В конце статьи на рис.1 показан журнал учета антивирусного программного обеспечения.

Уловки вирусов

В последние годы многие тысячи вирусов были отправлены на свалку. Жизненный цикл вирусов мал, так как стоит попасть вирусу в реестр баз антивирусов как они будут распознаны. Если задать вопрос, может ли вирусная тенденция противостоять на равных антивирусным механизмам ? то ответ не будет однозначен. В принципи создание серьезного вируса является сложной задачей. Так как на создание нужно много ресурсов а также квалификацию и профессионализм людей. И в итоге по сути никакой награды создатели не получат, разве что вирус был написан с конкретной цели перехвата ценной информации или ее удаления. Есть еще мнение, что стадо мышей валит кота, то есть много простых вирусов опаснее чем один серьезный скрытый вирус.

Под капотом антивируса

Если вы проверили свой компьютер на вирусы, и антивирус выдает табличку что он ничего не нашел, то надо читать буквально. Антивирус действительно ничего не нашел. Он плохо искал. Статистика показывает, что множество антивирусов реализуют сигнатурный поиск с привязкой к точке входа или же физ. смещению в файле. Сигнатурный поиск подразумевает поиск последовательности байтов которым соответствует вирус. Есть два способа выявления, это сплошной поиск и разреженной. Пример сплошного — DE AD EF BE. Разреженый — DE ?? BE ?? ?? AD * EF, при чем знак ?? обозначает любой байт, а * — любое количество байтов в определенной позиции. Для быстродействия антивируса, проверяется только 1-2 ключевых точек файла, а не весть файл.

Есть вирусы которые не содержат ни одной постоянной последовательности байтов, такие вирусы называют полиморфными пятного и шестого уровней. Для выявления таких вирусов самым популярным методом есть технология виртуальной машины. Принцип таков, что файл прогоняется через эмулятор, и ждет пока вируса расшифрует сам себя для опознавания его уже через сигнатурный поиск.

Принципы работы Антивируса

Многие думают, что антивирусная программа — это решение от всех проблем, и при запуске такого продукта можно быть полностью уверенным в ее надежности. Так думать неверно. Антивирус — это тоже программа, которая написана людьми, пусть и профессионалами. Кроме того, антивирус распознает или уничтожает только известные уже экземпляры вирусов. Если сказать в двух словах, то антивирус ловит тех вирусов которые у разработчика был хотя бы один под рукой спойман. Но для разработчиков антивирусного обеспечения есть большое преимущество. Большинство вирусов работают по стандартным алгоритмам действия, по этому с такими копиями антивирусу не сложно бороться. Такой метод борьбы называется эвристическое анализирование. Надежность такого анализа не 100%, но все же КПД его больше 0,5. Вирусы, которые ускользнули от антивирусных детекторов, скорее всего написаны квалифицированными программистами. Основные функции антивирусного програмного обеспечения:

  • Сканирование памяти компьютера, буфера обмена.
  • Содержимое критических зон на винчестере.
  • Выборочное сканирование относительно атрибутов (дата, размер, контрольных сум и тд).
  • Сканирование архивов.
  • Распознавание вирусного поведения.
  • Удаленное обновление.
  • фильтрация трафика Internet, анализ протоколов SMTP, HTTP, FTP.

На сегодня основная характеристика современных вирусов, это их большая скорость распространения а также большая частота появление новых вирусов, поэтому разработчикам антивирусного обеспечения нужно обновлять продукты часто, для надежной защиты. Также нужно учитывать возможные вирусные угрозы. Антивирус должен быть одним из элементов защиты в политике безопасности предприятия. Чем сложнее схема информационной сети на предприятии, тем больше расходы нужны для ее поддержания и самой защиты. Существует решение оптимизации расходов, так как можно реализовать технологию клиент — сервер для антивируса, и выявлять точки проникновения в сеть с единой консоли управления. Такая схема позволяет блокировать:

  • заражение вирусами бесплатного ПО которое было скачано через web или FTP;
  • проникновение вирусов на станции пользователей через внешние носители;
  • проникновение через удаленные доступ в сеть;
  • распространение макровирусов через файлы Word и Exel.

Использование антивирусного обеспечения в локальной сети нужно, но этого не достаточно для эффективной защиты корпоративной сети. По мнению специалистов, системы антивирусов должны реализовывать такие требование, которые показаны на рис.1.

требование к корпоративной системе антивирусов

Рисунок — 1

Самый лучший метод борьбы с вирусной атакой — это ее предотвращение. Для такой реализации нужно:

  • Адекватно настроить антивирусное ПО.
  • Использовать лицензионное ПО.
  • Ограничить для пользователя набор программ, которые он может установить.
  • Контролировать внешние носители которые подключаются к станции.
  • Устранить или уменьшить уязвимости в существующем ПО.
  • Реализовать политику обработки сообщений на электронной почте и политику безопасности на станции для приложений..

Что бы можно было правильно настроить антивирус, нужно провести следующие действия в настройках:

  • Разрешить сканирование в фоновом режиме реального времени.
  • При загрузке ОС сканировать память, системные файлы и загрузочный сектор.
  • Выставить приятное обновление баз данных антивируса.
  • Разрешить сканировать такие расширения как, exe, vbs, shs, ocx.

Технологии вирусов не стоят на месте, все время создаются новые и иногда новые алгоритмы работы. Также и с антивирусами, их очень много. Так как исходя из потенциальных угроз, нужно выбирать комплект ПО который позволит держать адекватную защиту. Стандартные виде антивирусов показаны на рис.2.

виды антивирусных программ

Рисунок — 2

Подход антивируса используя сканирование, рассматривает поиск поведенческих штампов, к примеру самые типичные низкоуровневые методы открытие файлов. Или сканирование мест где программа открывает другой файл, и что туда записывает. Подход по типу эмуляции сложнее. Программа запускается на эмуляторе что бы посмотреть что она будет делать. Однако к примеру логически бомбы она не сможет выявить. Используя два метода вместе, определяет быстро с большой долей вероятности вирусов. Программы-детекторы не очень универсальны, так как могут обнаружить только известные вирусы. Но таким программам можно задать определенную последовательность байт, что бы они искали их в файлах, это могут AVP-сканер или notronantivirus.

Изобретательность разработчиков вирусов все же ограничена рамками. Эти рамки впринципи известны, а по этому вирусы не всесильны. Если взять все потенциальные направление вирусов под контроль, то можно быть практически в безопасности. Также действия обычных программ и вирусов очень схожи. Тяжело выделить каждый случай, можно пасивно смотреть на происходящее, или же поднимать тревогу по каждому звоночку. Главный вопрос который стоит перед компаниями разработки антивирусов, это будет ли спрос на ПО как программы, потому что скоро антивирусные решения будут прописаны на аппаратном уровне в маршрутизаторах, коммутаторах и тд.

Журнал учета антивирусного программного обеспечения