Методы и средства антивирусной защиты

Четыре вида методов и средств антивирусной защиты

(по характеру действия):

• создание условий невосприимчивости к заражению компьютерными вирусами;

• обнаружение и защита от вирусов в статике процессов;

• обнаружение и защита от вирусов в динамике процессов;

• организационно-правовые меры противодействия вирусным атакам.

Лекция 13

Лекция 13 (29.11.17)

Невосприимчивость к заражению вирусами

Для биологических систем существует понятие иммунитета – способность противодействия заражению организма вирусом и причинения ему вреда. Методы создания своеобразного иммунитета существуют и в компьютерной вирусологии.

Одной из причин широкого распространения компьютерных вирусов является стандартизация программного обеспечения компьютерных и телекоммуникационных сред. Вирусы активно используют:

1. стандартную систему прерываний;

2. общепринятую маркировку исполняемых файлов;

3. единую структуру организации хранения данных.

Целенаправленное, временное на период неактивного состояния программ, изменение этих компонентов сделает систему нестандартной, и, следовательно, вирус, использующий стандартные уязвимости, не сможет заражать и размножаться в изменённой среде.

Прививки.

Иммунитет можно создать и за счёт так называемых прививок.

Большинство вирусов не заражает повторно уже заражённую программу. При этом вирус проверяет своё наличие в программе (или в оперативной памяти в случае резидентного вируса) по определённому, принадлежащему только ему признаку.

Признаки:

уникальный набор символов (идентификация вируса);

наличие нестандартного прерывания (для резидентных вирусов).

Если признак для известных вирусов заранее уже внесён в программу, хотя на самом деле программа не заражена, то такая программа воспринимается вирусом как инфицированная, и заражения не происходит.

Вакцинация.

Невосприимчивость к заражению вирусом можно добиться и процедурой вакцинации.

Создаётся специальная программа-вакцина, которая внедряется в защищаемую программу, как часть её подобно вирусу, и запоминает ряд характеристик этой программы.

Характеристики:

длина некоторых исполняемых модулей;

последовательность машинных слов в окрестности точки входа в программу;

вычисление и запоминание контрольной суммы программы и т.д.

При запуске защищённой программы первой получает управление программа-вакцина (сразу или после вируса, если защищённая программа заражена, но не испорчена).

Программа-вакцина проверяет текущее состояние исполняемой программы и предпринимает в случае её заражения предписанные действия:

выдаёт сообщение о заражении;

осуществляет восстановление заражённой программы и т.д.

Защита от вирусов в статике процессов

Относящиеся к данному виду антивирусной защиты комплексы программ предназначены для обнаружения вирусов в программных продуктах и отдельных программах.

Они используются:

перед тем, как программы впервые внедряются в компьютерные системы;

для тестирования самой компьютерной среды на наличие вирусов перед её функциональной активизацией;

в случае возникновения нештатных ситуаций, подозрительных с точки зрения возможного заражения.

Их запуск осуществляется по инициативе пользователя или администратора безопасности.

Задача обнаружения заражения вирусами – наиболее важная проблема в антивирусной борьбе. В общем случае она решается двумя способами:

обнаружение изменений в программных кодах;

обнаружение признаков конкретных вирусов в программах до начала их работы.

Основные виды антивирусных программ

1. Программы-ревизоры

2. Программы детекторы и фаги

3. Программы-детекторы

Защита от вирусов в динамике процессов

Предотвратить нежелательные действия вируса (репродуцирование, разрушения) в ходе функционирования АС можно, используя различные меры ограничения и изоляции:

1. защиту от записи;

2. разделение на логические диски;

3. защиту от НСД и т.д.

Однако, из-за недостаточной надёжности этих методов: 1) разрабатывают специализированные программы-мониторы; 2) реализуют технико-методические решения при построении АС в целом.

Виды программ:

1. Программы-сторожа; 2) Интеллектуальные антивирусные методики и средства; 3) Демилитаризованные зоны

Организационно-правовые меры

Организационные меры включают в себя создание необходимых условий и процедур по разработке, внедрению и безусловному выполнению нормативных положений, касающихся антивирусной политики, непосредственно в АС и в целом на объекте информатизации.

Антивирусная политика на объекте информатизации

Для АС и в целом для объекта информатизации разрабатывается общесистемный нормативный документ – антивирусная политика.

Антивирусная политика:

1. определяет состав, конфигурацию и регламент использования программно-технических антивирусных средств;

2. включает в себя требования для пользователей и администраторов АС в отношении выполнения своих функций и своего поведения, предотвращающего возможность заражения системы вирусами;

3. определяет действия в случае заражения системы вирусами (или появляющихся подозрительных с точки зрения возможного заражения вирусами инцидентов).

Организационно-административная составляющая антивирусной политики

Прежде всего, пользователи должны знать основные внешние признаки возможного наличия вирусов. К ним можно отнести следующие проявления работы системы:

медленная работа компьютера;

невозможность загрузки операционной системы;

исчезновение файлов и каталогов или искажение их содержимого;

изменение даты и времени модификации файлов;

изменение размеров файлов;

неожиданное значительное увеличение количества файлов на диске;

существенное уменьшение размера свободной оперативной памяти;

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

частые зависания и сбои в работе компьютера и другие.

Не обязательно причиной проявление каждого из перечисленных проявлений является заражение системы вирусами, но, прежде всего, в системе должна быть осуществлена проверка на заражение её вирусами.

При формировании антивирусной политики основными являются следующие правила:

1. Информирование всех пользователей системы об опасности и возможном ущербе в случае вирусных атак;

2. Запрещение сотрудникам объекта информатизации использования программ «со стороны» без предварительного тестирования на наличие вирусов перед непосредственной их установкой в систему. Для этого должна быть создана специальная служба;

3. Запрещение пользователям системы хранить в системе и использовать компьютерные игры (если такое запрещение не может быть обеспечено, то создать общий подконтрольный игровой файл, в котором хранить программы для использования);

4. Обеспечение регулярного просмотра хранимых в системе файлов и использование защиты «только чтение» для предупреждения изменений в данных;

5. Дублирование всех важных программ и данных на специально выделенных для этой цели отчуждаемых носителях, хранение их в зашифрованном/архивированном виде с защитой «только чтение»;

6. Применение специальных антивирусных средств для обнаружения вирусов и предотвращения их опасных действий. Любые программы и драйверы, которые используются в системе, перед первым запуском обязательно проверять на наличие вирусов программами-детекторами;

………………………………

ИТОГИ:

Анализ методов и средств борьбы с компьютерными вирусами позволяет заключить – абсолютная защита может быть достигнута только безусловной изоляцией системы, что, естественно, на практике является неприемлемым решением.

Для приемлемой защиты от вирусов могут быть использованы те или иные из рассмотренных выше методов и способов обнаружения компьютерных вирусов и предупреждения их разрушительного воздействия.

Анализ общесистемного состояния показывает – в настоящее время любая автоматизированная система общего назначения открыта, по крайней мере, для ограниченной вирусной атаки, причем вирусы легко создаются и быстро распространяются в компьютерной и телекоммуникационной среде.

В этих условиях как достаточно надежная предпосылка безопасности любой компьютерной системы – это обеспечение контроля ее целостности при информационном и транзакционном взаимодействии с внешней средой.

Лекция 14

Система обнаружения вторжений (СОВ). Архитектура СОВ.

Программные или аппаратные средства, предназначенные для выявления факторов неавторизованного доступа в комплексную систему или сеть либо несанкционированное управление ими через интернет.

Эти системы обеспечивают достаточный уровень защиты в компьютерных системах.

Используются для обнаружения следующих типов вредоносной активности:

1. Сетевые атаки против уязвимых серверов

2. Неавторизированный доступ к важным данным

3. Действие вредоносного ПО

Типовая архитектура СОВ:

1. сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

2. подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

3. хранилище, обеспечивающее накопление первичных событий и результатов анализа;

4. консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Современные конкурентоспособные СОВ имеет распределенную многомодульную архитектуру, Модули могут быть установлены как на один сервер, так и распределены на несколько серверов в зависимости от требуемых показателей производительности и отказоустойчивости.

Информационный фонд представляет собой базу данных, работающую под управлением любой современной СУБД, и включает специальный компонент «Агент БД». Обеспечивает:

1. централизованное хранение событий системы;

2. централизованное хранение шаблонов датчиков и базы сигнатур СОВ.

Назначение компонента «Агент БД» в связке со специальным CryptoODBC-драйвером, входящим в состав СОВ – обеспечение криптографически защищенного информационного обмена между информационным фондом и компонентами СОВ, которые к нему подключаются (координационный центр, модуль почтовых уведомлений).

Координационный центр является связующим звеном между модулями системы: обеспечивает передачу информации между ними, выполняет функции контроля работоспособности компонентов.

Консоль администратора обеспечивает пользовательский интерфейс и позволяет:

1. просматривать текущее состояние компонентов системы,

2. производить удаленную установку, настройку и удаление компонентов системы, для которых предусмотрена такая возможность;

3. просматривать информацию об обнаруженных атаках и нарушении целостности файлов в журнале модулей-датчиков;

4. просматривать системные сообщения, генерируемые компонентами СОВ в журнале системных сообщений;

5. просматривать в журнале сетевого оборудования сообщения от подключенного к СОВ сетевого оборудования;

6. просматривать системный журнал, содержащий служебную информацию, формируемую компонентами СОВ и информацию об управлении подключенным сетевым оборудованием;

7. производить настройку модулей системы;

8. производить блокировку источника атаки с помощью сетевого оборудования;

9. управлять подключенным к СОВ сетевым оборудованием (межсетевые экраны, коммутаторы, маршрутизаторы и т. д.);

10. производить выборку ранее произошедших событий с использованием гибкой системы фильтрации;

11. генерировать отчёты на основе содержимого журналов СОВ.

Модуль интеграции с сетевым оборудованием состоит из следующих функциональных модулей:

1. Модуль управления сетевым оборудованием

2. Модуль приема сообщений от сетевых устройств

3. Модуль интеграции с внешними системами

Первый предназначен для:

1. Установления и поддержания подключения к сетевому оборудованию

2. Управления сетевым оборудованием

3. Получения системных сообщений от сетевого оборудования

4. Интеграции с внешними системами

Модуль почтовых уведомлений позволяет автоматически по электронной почте отправлять заранее заданным адресатам информацию об обнаруженных атаках и событиях, происходящих в системе.