|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Комплексный подход к защитеКомплексный подход к защите от вредоносного кода предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:
Важно понимать, что эффективная реализация вышеперечисленных мер на предприятии возможна только при наличии нормативно-методического, технологического и кадрового обеспечения антивирусной безопасности. Нормативно-методическое обеспечение антивирусной безопасности предполагает создание сбалансированной правовой базы в области защиты от вирусных угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы антивирусной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности ИС, количества объектов защиты и т. д. Так, для крупных организаций основополагающим нормативным документом в области защиты от вредоносного кода должна быть концепция или политика антивирусной безопасности. Для небольших компаний достаточно разработать соответствующие инструкции и регламенты работы пользователей, а также включить требования к обеспечению антивирусной защиты в состав политики информационной безопасности организации. В рамках кадрового обеспечения антивирусной безопасности в компании следует организовать обучение сотрудников противодействию вирусным угрозам. Программа обучения должна быть направлена на минимизацию рисков, связанных с ошибочными действиями пользователей. В качестве примеров таких действий назовем запуск приложений с непроверенных внешних носителей, использование нестойких к подбору паролей доступа, закачка объектов ActiveX с недоверенных сайтов и т. д. В процессе обучения необходимо рассмотреть как теоретические, так и практические аспекты антивирусной защиты. Программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того, к каким информационным ресурсам он имеет доступ. Технологическое обеспечение должно быть направлено на создание комплексной системы антивирусной защиты (КСАЗ), в которую дополнительно следует включить такие подсистемы, как защита от спама, обнаружение и предотвращение атак, выявление уязвимостей, сетевое экранирование и подсистема управления. Подсистема выявления компьютерных вирусов - это базовый элемент КСАЗ; она предназначена для обнаружения различных типов вирусов на уровне рабочих станций пользователей, серверов, а также сетевых шлюзов. Для обнаружения вирусов подсистема использует как сигнатурные, так и эвристические методы анализа. В случае обнаружения вируса она должна обеспечивать оповещение пользователя и администратора безопасности, а также удаление выявленных вирусов из инфицированных файлов. Для эффективной защиты от вирусов лучше, чтобы подсистема базировалась на антивирусных ядрах различных производителей [4]. Это существенно повысит вероятность обнаружения вируса за счет того, что каждый файл или почтовое сообщение будет проверяться различными ядрами. Еще одно преимущество использования многоядерных антивирусов - более высокая надежность работы КСАЗ: если в одном из сканирующих ядер КСАЗ произойдет сбой, его всегда можно заменить другим активным антивирусным ядром. Пример программного продукта, который можно использовать для реализации КСАЗ, - система Antigen компании Microsoft (предназначенная для антивирусной защиты серверов Exchange, SharePoint, SMTP-шлюзов и другого прикладного ПО. Данный продукт может включать в себя до восьми антивирусных ядер различных производителей. Подсистема сетевого экранирования предназначена для защиты рабочих станций пользователей от сетевых вирусных атак посредством фильтрации потенциально опасных пакетов данных. Подсистема должна обеспечивать фильтрацию на канальном, сетевом, транспортном и прикладном уровнях стека TCP/IP. Как правило, данная подсистема реализуется на основе межсетевых и персональных сетевых экранов. При этом межсетевой экран устанавливается в точке подключения ИС к Интернету, а персональные экраны размещаются на рабочих станциях пользователей. Подсистема выявления и предотвращения атак предназначена для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в ИС, а также событий, регистрируемых на серверах и рабочих станциях. Подсистема дополняет функции межсетевых и персональных экранов за счет возможности более детального контекстного анализа содержимого передаваемых пакетов данных. В нее входят следующие компоненты: сетевые и хостовые сенсоры, модуль выявления атак, модуль реагирования на них и модуль хранения данных. Сетевые и хостовые сенсоры предназначены для сбора необходимой информации о функционировании ИС. Сетевые сенсоры реализуются в виде отдельных программно-аппаратных блоков и собирают информацию обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен сенсор. Сенсоры этого типа устанавливаются во всех ключевых сегментах ИС, где расположены защищаемые узлы системы. Хостовые сенсоры устанавливаются на рабочие станции и серверы и собирают информацию обо всех событиях, происходящих на этих узлах системы. Они могут собирать информацию не только о пакетах данных, но и о других операциях, которые выполняются приложениями, запущенными на узле ИС. Модуль выявления атак обрабатывает данные, собранные сенсорами, с целью обнаружения информационных атак. Он должен реализовывать сигнатурные и поведенческие методы анализа информации. Модуль реагирования на обнаруженные атаки должен предусматривать варианты как пассивного, так и активного реагирования. Пассивное реагирование предполагает оповещение администратора о выявленной атаке, активное - блокирование попытки реализации атаки. В модуле хранения данных содержится вся конфигурационная информация, а также результаты работы подсистемы. Подсистема выявления уязвимостей должна обеспечивать обнаружение технологических и эксплуатационных уязвимостей ИС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, коммуникационное оборудование. Для сканирования могут применяться как пассивные, так и активные методы сбора информации. По результатам работы подсистема должна выдавать детальный отчет, содержащий информацию об обнаруженных уязвимостях и рекомендации по их устранению. Совместно с подсистемой выявления уязвимостей в ИС может использоваться система управления модулями обновлений общесистемного и прикладного ПО. Совместное их использование позволит автоматизировать процесс устранения выявленных уязвимостей путем установки необходимых пакетов обновлений на узлы ИС. Подсистема защиты от спама направлена на блокирование почтовых сообщений рекламного характера. Для этого подсистема должна поддерживать работу со списками RBL (Real-Time Black Lists), а также реализовать собственные сигнатурные или поведенческие методы выявления спама. Подсистема устанавливается таким образом, чтобы все почтовые сообщения, поступающие из Интернета, вначале проходили через ее контекстный фильтр, а затем попадали на корпоративный почтовый сервер. Подсистема управления антивирусной безопасностью выполняет следующие функции:
Общая схема размещения в ИС подсистем защиты, входящих в состав комплексной системы антивирусной безопасности, показана на рис. 3.
Внедрение такой комплексной системы антивирусной защиты представляет собой сложный многоступенчатый процесс, в котором можно выделить следующие этапы. 1. Аудит информационной безопасности ИС, направленный на сбор исходной информации, необходимой для разработки плана внедрения КСАЗ. 2. Формирование требований к КСАЗ, предназначенной для защиты ИС. На данном этапе формируется техническое задание на внедрение КСАЗ. 3. Подготовка технорабочего проекта внедрения КСАЗ, содержащего описание проектных решений, схемы установки, параметры настройки КСАЗ и другие служебные данные. 4. Обучение персонала организации, ответственного за администрирование КСАЗ. 5. Пусконаладочные работы, связанные с развертыванием КСАЗ. 6. Техническое сопровождение КСАЗ, в рамках которого решаются вопросы обслуживания системы в процессе ее эксплуатации. Состав этапов и их длительность зависят от размеров защищаемой системы и от масштабов внедрения КСАЗ. Работы, связанные с внедрением и эксплуатацией КСАЗ, могут проводиться как собственными силами предприятия, так и с привлечением внешних организаций, специализирующихся на предоставлении услуг в области информационной безопасности. При этом некоторые этапы можно объединять или проводить одновременно. Например, подготовка технорабочего проекта и обучение персонала предприятия могут выполняться параллельно. Заключение Компьютерные вирусы - одна из наиболее значимых сегодня угроз информационной безопасности, о чем свидетельствуют цифры ежегодных финансовых потерь компаний в результате вирусных атак. При этом традиционные меры борьбы с вредоносным ПО, основанные на простой установке антивирусных средств защиты на рабочих станциях и серверах, оказываются недостаточно эффективными. Использование комплексного подхода к противодействию вирусным атакам позволит повысить эффективность тех мер, которые используются компаниями в настоящее время. В процентном выражении наибольшее количество ложных срабатываний эвристики в данном тесте оказалось у TrustPort AV WS – 1.8%, за ним следует уже знакомая нам по таблице 1 тройка лидеров: VBA32 Workstation, Dr. Web и AntiVir PE Premium, их результат – 1.5-0.5%. Надежность работы эвристических анализаторов у этих антивирусов можно считать низкой. Удовлетворительными по количеству ложных срабатываний можно считать результаты работы AVG Professional, F-Prot Anti-Virus, Panda Anti-Virus, Avast! Professional, F-Secure Anti-Virus, Kaspersky Anti-Virus Personal Pro, AntiVirusKit (AVK), BitDefender Professional Plus и Norman VirusControl – 0.5-0.2% ложных срабатываний. Тройка же лидеров, у которых ложные срабатывания эвристика минимальны и не выходят за рамки 0.1% выглядит так: Norton Anti-Virus, McAfee VirusScan и NOD32 Anti-Virus. Однако не стоит забывать, что в случае с Norton и McAfee платой за низкий уровень ложных срабатываний является низкий процент эффективности – 16% и 30% соответственно.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.) |