Дана стаття присвячена методам захисту від шкідливого програмного забезпечення. Ключем до організації ефективного антивірусного захисту є наявність антивірусного засобу. Для початку розглянемо основні вимоги, яким має відповідати сучасне антивірусне програмне забезпечення.

До антивірусному програмному забезпеченню пред’являються такі ж вимоги, як і до інших програмних продуктів зручність використання і широкі функціональні можливості, обумовлені можливістю вибору різних режимів сканування та високою якістю детектування вірусів. Незважаючи на все розмаїття програмних продуктів, принципи їх роботи однакові. До основних функцій сучасних антивірусів відносяться:

· сканування пам’яті і вмісту дисків за розкладом;

· сканування пам’яті комп’ютера, а також записуються і читаються файлів в реальному режимі часу за допомогою резидентного модуля;

· вибіркове сканування файлів з зміненими атрибутами — розміром, датою модифікації, контрольною сумою і т. д.;

· сканування архівних файлів;

· розпізнавання поведінки, характерного для комп’ютерних вірусів;

· віддалена установка, настроювання й адміністрування антивірусних програм з консолі системного адміністратора; оповіщення системного адміністратора про події, пов’язаних з вірусними атаками, по електронній пошті, пейджеру і т. п.

· примусова перевірка підключених до корпоративної мережі комп’ютерів, що ініціюється системним адміністратором.

· віддалене оновлення антивірусного ПО і баз даних з інформацією про віруси, у тому числі автоматичне оновлення баз даних вірусів за допомогою Internet;

· фільтрація трафіка Internet на предмет виявлення вірусів в програмах і документах, переданих за допомогою протоколів SMTP, FTP, HTTP.

· виявлення потенційно небезпечних Java-аплетів і модулів ActiveX.

· функціонування на різних серверних і клієнтських платформах, а також у гетерогенних корпоративних мережах.

· ведення протоколів, що містять інформацію про події, що стосуються антивірусного захисту.

Як було сказано в попередній статті, однією з основних характеристик сучасних вірусних атак є їх висока швидкість розповсюдження. Крім того, можна відзначити високу частоту появи нових атак. Таким чином, в даний час до сучасного антивірусному програмному забезпеченню, можна пред’явити вимогу частоти оновлення продукту — чим частіше оновлюється продукт, тим вище його якість, оскільки він враховує всі актуальні на поточний момент часу вірусні погрози.

Необхідно відзначити, що в нашій країні найбільш популярним антивірусним рішенням є сімейство продуктів антивірусної лабораторії Касперського ” AVP.

Серед користувачів побутує думка, що для успішного захисту від вірусної загрози достатньо мати антивірусний засіб. Однак, як сказав один автор, срібних куль не існує. Наявність антивірусного програмного забезпечення є необхідною, але не достатньою умовою для відображення антивірусної атаки (крім наявності засобу необхідно продумати методи його використання). Таким чином, захист від вірусів у організації повинна бути регламентована деякими правилами, інакше кажучи, бути елементом політики безпеки, яку повинні розуміти і дотримуватися всі користувачі системи (для розробки політики безпеки необхідно оцінити ризики, пов’язані з зараженням вірусами, і розумні шляхи їх мінімізації).

Для того щоб сформулювати основні принципи антивірусної політики безпеки необхідно згадати наступні основні моменти, що відносяться до вірусної атаки.

1. Вірусна атака складається з двох фаз фаза зараження і фаза поширення (і, можливо, виконання деструктивних дій).

2. Сучасні віруси часто поширюються не тільки з допомогою виконуваних файлів, але і за допомогою файлів-документів популярних програм.

3. Сучасні віруси при атаці часто використовують можливості мережі Internet.

Розглянемо, що можна порекомендувати користувачеві з метою запобігання зараження вірусами (очевидно, що кращий спосіб боротьби з атакою її запобігання). Отже, для запобігання вірусних атак рекомендується виконати наступні дії:

1. Відповідним чином використовувати антивірусне програмне забезпечення. Для цього необхідно зробити наступні установки:

O сканування в режимі реального часу в фоновому або аналогічному режимі повинно бути дозволено;

O при старті системи скануватимуться пам’ять, завантажувальний сектор і системні файли;

O своєчасно оновлювати вірусні бази даних

O бажано сканувати всі типи файлів або як мінімум *.com, *.exe файли, а також файли типу *.vbs, *.shs, *.ocx;

O встановити аудит всіх дій антивірусних програм.

2. Використовувати тільки ліцензійне програмне забезпечення. Програмне забезпечення, отримане з невідомого джерела, може бути троянським або зараженим вірусом.

3. Обмежити набір програм, які користувач може встановити в системі (т. к. сторонні програми можуть бути заражені вірусами або служити причиною успіху інших атак). Особливо слід звернути увагу на різні сервіси Internet і, в першу чергу, на програми передачі повідомлень, такі як IRC, ICQ, Microsoft Chat (дані програми можуть передавати файли і служити джерелом зараження системи).

4. Крім того, бажано усунути відомі уразливості в програмному забезпеченні (оскільки їх наявність може служити причиною успіху вірусних атак). Відомі уразливості зазвичай публікуються в списках розсилки Internet, а також на спеціальних сайтах. В якості джерела інформації про уразливість можна порекомендувати базу даних на сайті www.securityfocus.com.

5. Контролювати використання накопичувачів гнучких дисків і дисків CDROM. В ідеалі вся інформація, що міститься на гнучких дисках, дисках CDROM, повинна бути перевірена на наявність вірусів до того, як до неї буде здійснений доступ з боку користувачів обчислювальної системи.

6. Розробити політику обробки електронної пошти (як складовий елемент політики безпеки). Як було зазначено в попередній статті, повідомлення електронної пошти є одним з найпопулярніших і найбільш швидких способів поширення вірусів. Для захисту від проникнення вірусів через повідомлення електронної пошти кожен користувач системи повинен:

O ніколи не відкривати відразу поштове вкладення в отриманому йому поштовому повідомленні;

O створити «карантинний» каталог — зберігати поштові вкладення у визначеному «карантинному» каталозі;

O якщо відправник повідомлення невідомий, то повідомлення із вкладенням може бути навіть видалено; якщо відправник повідомлення відомий, то повідомлення із вкладенням може містити вірус; загальне правило може бути сформульовано наступним чином: ніколи не відкривати поштових вкладень, які не були запитані або про яких не було повідомлення від відправника.

O перед відкриттям вкладення завжди перевірити його за допомогою антивірусного програмного забезпечення;

O якщо після виконання всіх цих процедур залишилися сумніви у відсутності вірусів у поштовому вкладення, то можна зв’язатися з відправником і з’ясувати у нього інформацію про надісланому вкладення;

O усунути можливі уразливості в клієнтському поштовому програмному забезпеченні;

7. Розробити політику безпеки додатків (а особливо при використанні в організації сімейства продуктів Microsoft Office), що обробляють документи з інтерпретуються мовами (як складовий елемент політики безпеки).

Але, припустимо, що зараження вже сталося. Розглянемо, що користувач повинен робити в цьому випадку. Насамперед, не треба ні в якому разі не панікувати.

Першим кроком, який повинен бути зроблений при виявленні атаки на систему, це її ідентифікація. Для успішної ідентифікації атаки часто необхідно наявність завантажувального диска, який створюється при установці системи і здійснення завантаження системи з його допомогою.

Якщо атака ідентифікується антивірусом, то все очевидно. Але, якщо Ви маєте справу з деяким невідомим вірусом, у багатьох випадках, критичним є час, за який була ідентифікована атака. У зв’язку з цим, велике значення має здатність користувача швидко виявити вірусну атаку (ознаками можуть служити масова розсилка пошти, знищення файлів і т. д.). Складність ідентифікації атаки часто залежить від складності самої атаки. На даному етапі бажано встановити як мінімум наступні ознаки: сам факт атаки, типу атаки (мережева або локальна) і джерело походження атаки.

Незалежно від типу ОС необхідно звертати увагу на наступну активність в системі:

· цілісність використовуваного для виявлення порушника;

· цілісність критичних для безпеки системи програм і даних;

· операції в системі і мережевий трафік.

Якщо Ви змогли визначити факт вірусного зараження невідомим вірусом (або у Вас є такі небезпідставні підозри), то бажано звернутися до виробника використовуваного Вами антивірусного програмного забезпечення.

І, нарешті, необхідно провести аналіз наслідків вірусної атаки. Якщо у Вашій системі оброблялися якісь цінні дані, то Ви, звичайно, маєте їх резервну копію. Для цього в організації повинні бути розроблені правила резервного копіювання. На жаль, якщо резервна копія відсутня, дані можуть бути втрачені (це вже залежить не від Вас, а від зловмисника, який написав вірус, що вразив Вашу систему).

Отже, можна зробити наступний висновок: наявність адекватних засобів захисту і дисципліни їх застосування дозволяє якщо не уникнути вірусної атаки, то, принаймні, мінімізувати її наслідки.