МЕТОДЫ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ




Все знают, что для защиты от вредоносных программ нужно использовать антивирусы. В каждом конкретном случае причины, по которым антивирус не справляется со своей задачей могут быть разные, например:

o Антивирус был отключен пользователем

o Антивирусные базы были слишком старые

o Были установлены слабые настройки защиты

o Вирус использовал технологию заражения, против которой у антивируса не было средств защиты

o Вирус попал на компьютер раньше, чем был установлен антивирус, и смог обезвредить антивирусное средство

o Это был новый вирус, для которого еще не были выпущены антивирусные базы

Но в целом можно сделать вывод, что просто наличия установленного антивируса может оказаться недостаточно для полноценной защиты, и что нужно использовать дополнительные методы.

Если взглянуть, на приведенные для примера причины пропуска вируса антивирусом, можно увидеть, что первые три причины связаны с неправильным использованием антивируса, следующие три - с недостатками самого антивируса и работой производителя антивируса. Соответственно и методы защиты делятся на два типа - организационные и технические [2].

Организационные методы

2.1.1 Правила работы за компьютером (определенных правил обработки информации). Причем правила тоже можно условно разделить на две категории.

1. Правила обработки информации:

o Не открывать почтовые сообщения от незнакомых отправителей

o Проверять сменные накопители на наличие вирусов перед использованием

o Проверять на наличие вирусов файлы, загружаемые из Интернета

o Работая в Интернете, не соглашаться на непрошенные предложения загрузить файл или установить программу

Общим местом всех таких правил являются два принципа:

- Использовать только те программы и файлы, которым доверяешь, происхождение которых известно

- Все данные, поступающие из внешних источников - с внешних носителей или по сети - тщательно проверять

2. Правила использования программ:

o Следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы

o Регулярно обновлять антивирусные базы

o Регулярно устанавливать исправления операционной системы и часто используемых программ

o Не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений

Здесь также можно проследить два общих принципа:

o Использовать наиболее актуальные версии защитных программ - поскольку разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак.

o Не мешать антивирусным и другим защитным программам выполнять свои функции - очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность [2].

2.1.2 Политика безопасности

На домашнем компьютере пользователь сам устанавливает себе правила, которым он считает нужным следовать.

В организациях выбор параметров защиты осуществляется не на усмотрение ответственных сотрудников, а в соответствии со специальным документом - политикой безопасности. В этом документе написано, какую опасность несут вредоносные программы и как от них нужно защищаться. В частности, политика безопасности должна давать ответы на такие вопросы:

• Какие компьютеры должны быть защищены антивирусами и другими программами;

• Какие объекты должны проверяться антивирусом - нужно ли проверять заархивированные файлы, сетевые диски, входящие и исходящие почтовые сообщения и т. д.;

• Какие действия должен выполнять антивирус при обнаружении зараженного объекта - поскольку обычные пользователи не всегда могут правильно решить, что делать с инфицированным файлом, антивирус должен выполнять действия автоматически, не спрашивая пользователя [2].

Технические методы

2.2.1 Исправления

Для того чтобы не дать вирусам возможности использовать уязвимость, операционную систему и ПО нужно обновлять. Производители, как правило, раньше вирусописателей узнают о "дырах" в своих программах и заблаговременно выпускают для них исправления. Некоторые компании выпускают исправления время от времени, по мере обнаружения уязвимостей. Другие компании выпускают исправления на регулярной основе, например, компания Microsoft выпускает исправления каждый второй вторник месяца.

Для загрузки и установки обновлений в большинстве программ и систем есть встроенные средства (автоматические обновления) [2].

2.2.2 Брандмауэры

Для того чтобы удаленно воспользоваться уязвимостью в программном обеспечении или операционной системе, нужно установить соединение и передать специально сформированный пакет данных. Следовательно, можно защититься от таких попыток проникновения и заражения, путем запрета определенных соединений. Задачу контроля соединений успешно решают программы-брандмауэры.

Брандмауэр - это программа, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.

Правило брандмауэра, как правило, задается несколькими атрибутами:

o Приложение – определяет программу, к которой относится правило, так что одни и те же действия могут быть разрешены одним программам и запрещены другим. Например, получать и отправлять почту разумно разрешить только программе – почтовому клиенту;

o Протокол – определяет протокол, используемый для передачи данных. Обычно можно выбрать между двумя протоколами TCP и UDP 1;

o Адреса – определяет, для соединений с каких адресов или на какие адреса будет действовать правило;

o Порт – задает номера портов, на которые распространяется правило;

o Направление – позволяет отдельно контролировать входящие и исходящие соединения;

o Действие – определяет реакцию на обнаружение соединения, соответствующего остальным параметрам. Реакция может быть - разрешить, запретить или спросить у пользователя.

Не обязательно давать конкретные значения всем атрибутам правила. Можно создать правило, которое будет запрещать входящие соединения на TCP порт 111 для всех приложений, или разрешать любые исходящие соединения для программы Internet Explorer.

Для более удобной работы, а также на тех операционных системах, где встроенного брандмауэра нет, используются программы-брандмауэры других производителей, например Kaspersky Anti-Hacker, Agnitum Outpost Firewall, ZoneAlarm и другие [2].

2.2.3 Средства защиты от нежелательной корреспонденции

Схема обмана очень проста: зараженное червем письмо должно быть похожим на письма, часто встречающиеся в обычной почте:

o Письма от друзей со смешным текстом или картинкой;

o Письма от почтового сервера, о том что какое-то из сообщений не может быть доставлено;

o Письма от провайдера с информацией об изменениях в составе услуг;

o Письма от производителей защитных программ с информацией о новых угрозах и способах защиты от них.

Проблема состоит в том, чтобы защитить пользователя от определенного рода нежелательных писем, похожих друг на друга. Практически аналогичным образом формулируется и проблема защиты от спама – нежелательной почты рекламного характера. И для решения этой проблемы есть специальные средства – антиспамовые фильтры, которые можно применять и для защиты от почтовых червей.

Для фильтрации нежелательной почты в антиспамовых фильтрах применяется несколько методов:

- Черные и белые списки адресов. Черный список – это список тех адресов, письма с которых фильтр отбраковывает сразу, не применяя других методов. Белый список, наоборот – список адресов хорошо известных пользователю людей или организаций, которые передают только полезную информацию. Антиспамовый фильтр можно настроить так, что будут приниматься только письма от адресатов из белого списка

- Базы данных образцов спама. Как и антивирус, антиспамовый фильтр может использовать базу данных образцов нежелательных писем для удаления писем, соответствующих образцам

- Самообучение. Антиспамовые фильтры можно "обучать", указывая вручную, какие письма являются нормальными, а какие нежелательными. Через некоторое время антиспамовый фильтр начинает с большой достоверностью самостоятельно определять нежелательные письма по их похожести на предыдущий спам и непохожести на предыдущие нормальные письма.

- Анализ служебных заголовков. В письме в относительно скрытой форме хранится служебная информация о том, с какого сервера было доставлено письмо, какой адресат является реальным отправителем и др. Используя эту информацию, антиспамовый фильтр также может решать, является письмо спамом или нет. Если такого адресата не существует, значит, письмо, скорее всего, является нежелательным.

Использование антиспамовых фильтров помогает защититься и от некоторых почтовых червей. Самое очевидное применение - это при получении первого зараженного письма (в отсутствие антивируса это можно определить по косвенным признакам) отметить его как нежелательное и в дальнейшем все другие зараженные письма будут заблокированы фильтром [2].



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2019-03-02 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: