Які змушені чекати створення фізичного файлу на комп'ютері користувача, мережевий захист починає аналізувати вхідні потоки даних, що надходять на комп'ютер користувача через мережу, і блокує загрози перш, ніж вони потрапляють в систему.
Основними напрямками мережевого захисту, які забезпечують технології Symantec, є:
Завантаження методом drive-by, веб-атаки;
- Атаки типу «Соціальної інженерії»: FakeAV (підроблені антивіруси) і кодеки;
- Атаки через соціальні мережі на кшталт Facebook;
- Виявлення шкідливих програм, руткітів і заражених ботами систем;
- Захист від ускладнених загроз;
- Загрози Нульового дня;
- Захист від невиправлених вразливостей ПЗ;
- Захист від шкідливих доменів і IP-адрес.
Технології Мережевий захисту
Рівень "Мережева захисту" включає в себе 3 різні технології.
Network Intrusion Prevention Solution (Network IPS)
Технологія Network IPS розуміє і сканує більше 200 різних протоколів. Він інтелектуально і точно «пробивається» крізь двійковий і мережевий протокол, попутно шукаючи ознаки шкідливого трафіку. Цей інтелект дозволяє забезпечити більш точне мережеве сканування, при цьому забезпечуючи надійний захист. У його «серце» знаходиться движок блокування експлойтів, який забезпечує відкриті уразливості практично непробивною захистом. Унікальною особливістю Symantec IPS є те, що ніякої настройки цей компонент не вимагає. Всі його функції працюють, як то кажуть, «з коробки». Кожен призначений для користувача продукт Norton, а також кожен продукт Symantec Endpoint Protection версії 12.1 і новіше, мають даної критичної технологією, включеної за замовчуванням.
захист браузера
Цей захисний движок розташовується всередині браузера. Він здатний виявляти найбільш складні загрози, які ні традиційний антивірус, ні Network IPS не здатні визначити. В наш час, багато мережеві атаки використовують методи обфускаціі щоб уникнути виявлення. Оскільки Захист браузера працює всередині браузера, вона здатна вивчати поки ще не прихований (обфускацірованний) код, під час того, як він виконується. Це дозволяє виявити і заблокувати атаку, в разі, якщо вона була пропущена на нижніх рівнях захисту програми.
Un-Authorized Download Protection (UXP)
Що знаходиться всередині шару мережевого захисту, остання лінія оборони допомагає прикрити і «пом'якшити» наслідки використання невідомих і невиправлених вразливостей, без використання сигнатур. Це забезпечує додатковий захисний шар від атак Нульового дня.
Орієнтуючись на проблеми
Працюючи разом, технології мережевого захисту вирішують такі проблеми.
Завантаження методом Drive-by і набори інструментів для веб-атак
Використовуючи Network IPS, Захист браузера, і UXP-технологію, технології мережевого захисту компанії Symantec блокують завантаження Drive-by і, фактично, не дозволяють зловредів навіть досягти системи користувача. Практикуються різні превентивні методи, що включають використання цих самих технологій, включаючи технологію Generic Exploit Blocking і інструментарій виявлення веб-атак. Загальний веб-інструментарій виявлення атак аналізує характеристики поширеною веб-атаки, не залежно від того, який саме уразливості стосується ця атака. Це дозволяє забезпечити додатковим захистом нові і невідомі уразливості. Найкраще в цьому типі захисту - це те, що якщо шкідливий файл зміг би «тихо» заразити систему, він все одно був би проактивно зупинений і видалений з системи: адже саме ця поведінка зазвичай пропускається традиційними антивірусними продуктами. Але Symantec продовжує блокувати десятки мільйонів варіантів шкідливого ПО, яке зазвичай не може бути виявлено іншими способами.
Атаки типу «Соціальної інженерії»
Оскільки технології компанії Symantec спостерігають за мережевим трафіком і трафіком браузера під час його передачі, вони визначають атаки типу «Соціальної інженерії», на подобі FakeAV або підроблених кодеків. Технології призначені блокувати подібні атаки до того, як вони з'являться на екрані користувача. Більшість інших конкуруючих рішень не включає в себе цей потужний потенціал.
Symantec блокує сотні мільйонів подібних атак за допомогою технології захисту від мережевих погроз.
Атаки, націлені на соціальні медіа-додатки
Соціальні медіа-додатки останнім часом стали широко затребувані, оскільки вони дозволяють миттєво обмінюватися різними повідомленнями, цікавими відео та інформацією з тисячами друзів і користувачів. Широке поширення і потенціал подібних програм, роблять їх об'єктом уваги №1 для хакерів. Деякі поширені трюки «зломщиків» включають в себе створення підроблених аккаунтів і розсилку спаму.
Технологія Symantec IPS здатна захистити від подібних методів обману, часто запобігаючи їх до того, як користувач встигне клікнути на них мишкою. Symantec зупиняє шахрайські і підроблені URL, додатки та інші методи обману за допомогою технології захисту від мережевих погроз.
Виявлення шкідливого ПО, руткітів і заражених ботами систем
Правда було б непогано знати, де саме в мережі розташовується заражений комп'ютер? IPS-рішення компанії Symantec надають цю можливість, також включаючи в себе виявлення та відновлення тих загроз, можливо яким вдалося обійти інші шари захисту. Рішення компанії Symantec виявляють шкідливий і ботів, які намагаються зробити автодозвон або завантажити «оновлення», щоб збільшити свою активність в системі. Це дозволяє IT-менеджерам, які мають чіткий лист систем для перевірки, отримати гарантію того, що їх підприємство знаходиться в безпеці. Поліморфні і складні приховані загрози, які використовують методи руткітів зразок Tidserv, ZeroAccess, Koobface і Zbot, можуть бути зупинені і видалені за допомогою цього методу.
Захист від «заплутаних» загроз
Сьогоднішні веб-атаки використовують комплексні методи ускладнення атак. Browser Protection компанії Symantec «сидить» всередині браузера, і може виявити дуже складні загрози, які часто не здатні побачити традиційні методи.
Загрози «Нульового дня» і невиправлені уразливості
Одним з минулих, доданих компанією захисних доповнень, є додатковий захисний шар проти загроз «Нульового дня» і невиправлених вразливостей. Використовуючи безсігнатурную захист, програма перехоплює виклики System API і захищає від завантажень шкідливого ПЗ. Ця технологія називається Un-Authorized Download Protection (UXP). Вона є останнім рубежем опори всередині екосистеми захисту від мережевих погроз. Це дозволяє продукту «прикрити» невідомі і непропатченних уразливості без використання сигнатур. Ця технологія включена за замовчуванням, і вона знаходиться у всіх продуктах, випущених з моменту дебюту Norton 2010 року.
Захист від невиправлених вразливостей в ПО
Шкідливі програми часто встановлюються без відома користувача, використовуючи вразливості в ПЗ. Мережева захист компанії Symantec надають додатковий захисний шар, іменований Generic Exploit Blocking (GEB). Незалежно від того, чи встановлені останні оновлення чи ні, GEB «в основному» захищає основні узявімості від експлуатації. Уразливості в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, або QuickTime зараз повсюдно поширені. Generic Exploit Protection була створена методом «зворотного інжинірингу», з'ясувавши, яким чином уявімость могла бути використана в мережі, надаючи при цьому спеціальний патч на мережевому рівні. Одна-єдина GEB або сигнатура уразливості, здатна надати захист від тисяч варіантів зловредів, нових і невідомих.
Шкідливі IP і блокування доменів
Мережева захист компанії Symantec також включає в себе можливість блокування шкідливих доменів і IP-адрес, при цьому зупиняючи шкідливо ПО і трафік від відомих шкідливих сайтів. Завдяки ретельному аналізу і оновленню бази веб-сайтів відділом STAR, Symantec надає захист від постійно мінливих загроз в режимі реального часу.
Покращене опір до ухилення
Була додана підтримка додаткових кодувань, щоб поліпшити ефективність детектив атак за допомогою технік шифрування, таких як base64 і gzip.
Виявлення мережевого аудиту для застосування політик використання та ідентифікації витоку даних
Мережевий IPS може бути використаний для ідентифікації програм та інструментів, які можуть порушити корпоративну політику використання, або для запобігання витоку даних через мережу. Є можливим виявити, попередити або запобігти трафік на подобі IM, P2P, соціальних медіа, або іншого «цікавого» виду трафіку.
STAR Intelligence Communication Protocol
Технологія мережевого захисту сама по собі не працює. Движок обмінюється даними з іншими сервісами захисту за допомогою протоколу STAR Intelligence Communication (STAR \u200b\u200bICB). Движок Network IPS з'єднується з двигуном Symantec Sonar, а потім з движком Внутрішньої Репутації (Insight Reputation). Це дозволяє надати більш інформативну та точну захист.
У наступній статті ми розглянемо рівень "Поведінковий аналізатор".
За матеріалами Symantec
Олександр Фролов, Григорій Фролов
alexandre @frolov .pp .ru; http: // www .frolov .pp .ru, http: //www.datarecovery.ru
У попередній статті, присвяченій антивірусного захисту, ми розглянули основні типи вірусів і способи їх поширення. Тепер, грунтуючись на цих знаннях, ми займемося захистом від вірусів, троянських і інших шкідливих програм. Ми розповімо про програмно-технічних та адміністративно-технологічних рішеннях і заходах, необхідних для зниження ризику вірусного зараження і зменшення шкоди, якщо таке зараження вже сталося.
Програмно-технічні методи виявлення вірусів
Основним засобом боротьби з вірусами були і залишаються антивірусні програми. Можна використовувати антивірусні програми (антивіруси), не маючи уявлення про те, як вони влаштовані. Однак без розуміння принципів устрою антивірусів, знання типів вірусів, а також способів їх поширення, не можна організувати надійний захист комп'ютера. Як результат, комп'ютер може бути заражений, навіть якщо на ньому встановлено антивіруси.
Сьогодні використовується кілька основоположних методик виявлення та захисту від вірусів:
· Сканування;
· Евристичний аналіз;
· Використання антивірусних моніторів;
· Виявлення змін;
· Використання антивірусів, вбудованих в BIOS комп'ютера.
Крім того, практично всі антивірусні програми забезпечують автоматичне відновлення заражених програм і завантажувальних секторів. Звичайно, якщо це можливо.
сканування
Найпростіша методика пошуку вірусів полягає в тому, що антивірусна програма послідовно переглядає перевіряються файли в пошуку сигнатур відомих вірусів. Під сигнатурою розуміється унікальна сукупність електронних даних, що належить вірусу, і не зустрічається в інших програмах.
Антивірусні програми-сканери здатні знайти тільки вже відомі і вивчені віруси, для яких була визначена сигнатура. Застосування простих програм-сканерів не захищає Ваш комп'ютер від проникнення нових вірусів.
Для шифруються і поліморфних вірусів, здатних повністю змінювати свій код при зараженні нової програми або завантажувального сектора, неможливо виділити сигнатуру. Тому прості антивірусні програми-сканери не можуть виявити поліморфні віруси.
евристичний аналіз
Евристичний аналіз дозволяє виявляти раніше невідомі віруси, причому для цього не треба попередньо збирати дані про файлову систему, як цього вимагає, наприклад, розглянутий нижче метод виявлення змін.
Антивірусні програми, що реалізують метод евристичного аналізу, перевіряють програми і завантажувальні сектори дисків і дискет, намагаючись виявити в них код, характерний для вірусів. Евристичний аналізатор може виявити, наприклад, що перевіряється програма встановлює резидентний модуль в пам'яті або записує дані в здійсненний файл програми.
Практично всі сучасні антивірусні програми реалізують власні методи евристичного аналізу. На рис. 1 ми показали одну з таких програм - сканер McAffee VirusScan, запущений вручну для антивірусної перевірки диска.
Мал. 1. Сканер McAffee VirusScan перевіряє диск
Коли антивірус виявляє заражений файл, він зазвичай виводить повідомлення на екрані монітора і робить запис у власному або системному журналі. Залежно від налаштувань, антивірус може також направляти повідомлення про виявлений вірус мережевого адміністратора.
Якщо це можливо, антивірус виліковує файл, відновлюючи його вміст. В іншому випадку пропонується тільки одна можливість - видалити заражений файл і потім відновити його з резервної копії (якщо, звичайно, вона у Вас є).
антивірусні монітори
Існує ще цілий клас антивірусних програм, які постійно перебувають в пам'яті комп'ютера, і відстежують всі підозрілі дії, що виконуються іншими програмами. Такі програми носять назву антивірусних моніторів або сторожів.
Монітор автоматично перевіряє всі запускаються програми, створювані, що відкриваються і зберігаються документи, файли програм та документів, отримані через Інтернет або скопійовані на жорсткий диск з дискети і компакт диска. Антивірусний монітор повідомить користувачеві, якщо будь-яка програма спробує виконати потенційно небезпечне діяння.
У комплект одного з найбільш досконалих сканерів Doctor Web (рис.2), розроблених Ігорем Даниловим (http: // www .drweb .ru) входить сторож Spider Guard, що виконує функції антивірусного монітора.
Мал. 2. Сканер Doctor Web
виявлення змін
Коли вірус заражає комп'ютер, він змінює вміст жорсткого диска, наприклад, дописує свій код в файл програми або документа, додає виклик програми-вірусу в файл AUTOEXEC.BAT, змінює завантажувальний сектор, створює файл-супутник. Таких змін, однак, не роблять «безтілесні» віруси, що мешкають не так на диску, а в пам'яті процесів ОС.
Антивірусні програми, звані ревізорами диска, не виконують пошук вірусів по сигнатурам. Вони запам'ятовують попередньо характеристики всіх областей диска, які піддаються нападу вірусу, а потім періодично перевіряють їх (звідси походить назва програми-ревізори). Ревізор може знайти зміни, зроблені відомим або невідомим вірусом.
Як приклади ревізорів диска можна привести програму Advanced Diskinfoscope (ADinf), розроблену в ЗАТ «ДиалогНаука» (http: // www .dials .ru, http: // www .adinf .ru) і ревізор AVP Inspector виробництва ЗАТ «Лабораторія Касперського »(http: // www .kaspersky .ru).
Разом з ADinf застосовується лікуючий модуль ADinf Cure Module (ADinfExt), який використовує зібрану раніше інформацію про файлах для відновлення їх після поразки невідомими вірусами. Ревізор AVP Inspector також має в своєму складі лікуючий модуль, здатний видаляти віруси.
Захист, вбудована в BIOS комп'ютера
В системні плати комп'ютерів теж вбудовують найпростіші засоби захисту від вірусів. Ці засоби дозволяють контролювати всі звернення до головного завантажувального запису жорстких дисків, а також до завантажувальнимсекторів дисків і дискет. Якщо будь-яка програма спробує змінити вміст завантажувальних секторів, спрацьовує захист і користувач отримує відповідне попередження.
Однак цей захист не дуже надійна. Існують віруси (наприклад, Tchechen.1912 і 1914), які намагаються відключити антивірусний контроль BIOS, змінюючи деякі осередки в незалежній пам'яті (CMOS-пам'яті) комп'ютера.
Особливості захисту корпоративної інтрамережі
Корпоративним внутрішнім може налічувати сотні і тисячі комп'ютерів, які грають роль робочих станцій і серверів. Ця мережа зазвичай підключена до Інтернету і в ній є поштові сервери, сервери систем автоматизації документообігу, такі як Microsoft Exchange і Lotus Notes, а також нестандартні інформаційні системи.
Для надійного захисту корпоративної інтрамережі необхідно встановити антівіруи на всі робочі станції і сервери. При цьому на файл-серверах, серверах електронної пошти і серверах систем документообігу слід використовувати спеціальне серверне антивірусне програмне забезпечення. Що ж стосується робочих станцій, їх можна захистити звичайними антивірусними сканерами і моніторами.
Розроблено спеціальні антивірусні проксі-сервери і брандмауери, скануючі проходить через них трафік і видаляють з нього шкідливе програмне забезпечення. Ці антивіруси часто застосовуються для захисту поштових серверів і серверів систем документообігу.
Захист файлових серверів
Захист файлових серверів повинна здійснюватися з використанням антивірусних моніторів, здатних автоматично перевіряти всі файли сервера, до яких йде звернення по мережі. Антивіруси, призначені для захисту файлових серверів, випускають всі антивірусні компанії, тому у Вас є багатий вибір.
Захист поштових серверів
Антивірусні монітори неефективні для виявлення вірусів в поштових повідомленнях. Для цього необхідні спеціальні антивіруси, здатні фільтрувати трафік SMTP, POP3 і IMAP, виключаючи попадання заражених повідомлень на робочі станції користувачів.
Для захисту поштових серверів можна придбати антивіруси, спеціально призначені для перевірки поштового трафіку, або підключити до сервера електронної пошти звичайні антивіруси, що допускають роботу в режимі командного рядка.
Демон антивіруса Doctor Web можна інтегрувати з усіма найвідомішими поштовими серверами і системами, такими як Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail і Zmailer. Аналогічні кошти надаються і Лабораторією Касперського в складі пакету Kaspersky Corporate Suite.
Поштовий сервер MERAK Mail Server допускає підключення зовнішніх антивірусів різних типів, що мають інтерфейс командного рядка. Деякі поштові сервери (наприклад, EServ) поставляються з вбудованим антивірусом.
Можна також додатково перевіряти трафік POP 3 і на робочих станціях користувачів. Це дозволяє зробити, наприклад, антивірусний проксі-сервер SpIDer Mail для протоколу POP 3, який можна придбати разом з антивірусом Doctor Web.
Захист серверів систем документообігу
Сервери систем документообігу, такі як Microsoft Exchange і Lotus Notes, зберігають документи в базах даних власного формату. Тому використання звичайних файлових сканерів для антивірусної перевірки документів не дасть ніяких результатів.
Існує ряд антивірусних програм, спеціально призначених для антивірусного захисту подібних систем. Це Trend Micro ScanMail для Lotus Notes, McAfee GroupScan і McAfee GroupShield, Norton Antivirus для Lotus Notes, антивірус Касперського Business Optimal для MS Exchange Server і деякі інші.
Ці програми сканують пошту і файли вкладень, видаляючи в реальному часі всі шкідливі програми, виявляють макрокомандние віруси і троянські програми в формах і макросах, в файлах сценаріїв і в об'єкти OLE. Перевірка виконується в режимі реального часу, а також на вимогу.
Захист нестандартних інформаційних систем
Для антивірусного захисту нестандартних інформаційних систем, що зберігають дані у власних форматах, необхідно або вбудовувати антивірусне ядру в систему, або підключати зовнішній сканер, що працює в режимі командного рядка.
Наприклад, ядро \u200b\u200bантивіруса Doctor Web було використано ФГУП «НВО машинобудування» для захисту системи документообігу, створеної на базі власної технології Sapiens (http: // www .npomit .ru). Вся інформація, що зберігається цією системою в базі даних, перевіряється антивірусним ядром Doctor Web.
Як розробники інформаційних систем для відповідального застосування, «НВО машинобудування» забезпечило антивірусним захистом такі свої розробки, як Sapiens Реєстрація та Контроль Виконання Документів, Sapiens Моніторинг обчислювальних ресурсів, Sapiens Електронний Архів Конструкторської Документації.
Мережевий центр управління антивірусами
Якщо интрасеть налічує сотні і тисячі комп'ютерів, то необхідно централізоване віддалене управління антивірусними програмами та контроль їх роботи. Виконання в «ручному» режимі таких операцій, як відстеження оновлень антивірусної бази даних і завантажувальних модулів антивірусних програм, контроль ефективності виявлення вірусів на робочих станціях і серверах і т.п., є малоефективним, якщо в мережі є велика кількість користувачів або якщо мережа складається з територіально віддалених один від одного сегментів.
Якщо ж не забезпечити своєчасне та ефективне виконання перерахованих вище операцій, технологія антивірусного захисту корпоративної мережі обов'язково буде порушена, що рано чи пізно призведе до вірусного зараження. Наприклад, користувачі можуть неправильно налаштувати автоматичне оновлення антивірусної бази даних або просто вимикати свої комп'ютери в той час, коли таке оновлення виконується. В результаті автоматичне оновлення не буде виконано і виникне потенційна загроза зараження новими вірусами.
В сучасних антивірусних системах реалізовані наступні функції віддаленого управління і контролю:
· Установка і оновлення антивірусних програм, а також антивірусних баз даних;
· Централізована дистанційна установка і настройка антивірусів;
· Автоматичне виявлення нових робочих станцій, підключених до корпоративної мережі, з подальшою автоматичною установкою на ці станції антивірусних програм;
· Планування завдань для негайного або відкладеного запуску (таких як оновлення програм, антивірусної бази даних, сканування файлів і т.п.) на будь-яких комп'ютерах мережі;
· Відображення в реальному часі процесу роботи антивірусів на робочих станціях і серверах мережі.
Всі перераховані вище функції або багато з них реалізовані в мережевих центрах управління провідних корпоративних антивірусних продуктів, створених компаніями Sophos (http: // www .sophos .com), Symantec (http: // www .symante с.ru), Network Associates ( http: // www .nai .com) і Лабораторія Касперського.
Мережеві центри управління дозволяють управляти антивірусним захистом всієї мережі з однієї робочої станції системного адміністратора. При цьому для прискорення процесу установки антивірусів в віддалених мережах, підключених до основної мережі повільними каналами зв'язку, в цих мережах створюються власні локальні дистрибутивні каталоги.
При використанні клієнт-серверної архітектури основою мережевого центру управління є антивірусний сервер, встановлений на одному з серверів корпоративної мережі. З ним взаємодіють, з одного боку, програми-агенти, встановлені разом з антивірусами на робочих станціях мережі, а з іншого боку - керуюча консоль адміністратора антивірусного захисту (рис. 3).
Мал. 3. Взаємодія консолі адміністратора, агентів і антивірусного сервера
Антивірусний сервер виконує керуючі і координуючі дії. Він зберігає загальний журнал подій, що мають відношення до антивірусного захисту і виникають на всіх комп'ютерах мережі, список і розклад виконання завдань. Антивірусний сервер відповідає за прийом від агентів і передачу адміністратору антивірусного захисту повідомлень про виникнення тих чи інших подій в мережі, виконує періодичну перевірку конфігурації мережі з метою виявлення нових робочих станцій або робочих станцій зі зміною конфігурацією антивірусних засобів і т.д.
Крім агентів, на кожній робочій станції і сервері корпоративної мережі встановлюється антивірус, що виконує сканування файлів і перевірку файлів при їх відкритті (функції сканера і антивірусного монітора). Результати роботи антивірусу передаються через агентів антивірусного сервера, яких їх аналізує і веде протокол в журналі подій.
Керуюча консоль може являти собою стандартний додаток Microsoft Windows з віконним інтерфейсом або аплет (snap -in) керуючої консолі Control Panel операційної системи Microsoft Windows. Перший підхід реалізований, наприклад, а керуючої системі антивірусів Sophos, а другий - в керуючої системі Norton AntiVirus.
Інтерфейс керуючої консолі дозволяє переглядати деревоподібну структуру корпоративної мережі, отримуючи при необхідності доступ до окремих комп'ютерів тих чи інших груп користувачів або доменів.
Багаторівневі системи з Web-інтерфейс
Архітектура багаторівневих систем з Web-інтерфейс передбачає використання Web-сервера в якості ядра системи. Завданням цього ядра є, з одного боку, організація діалогового інтерактивної взаємодії з користувачем, а з іншого - з програмними модулями тієї чи іншої системи.
Переваги такого підходу полягають в уніфікації способів управління різними системами мережі, а також у відсутності необхідності встановлювати на робочу станцію адміністратора будь-які керуючі програми або консолі. Адміністрування може виконуватися з будь-якого комп'ютера мережі, а якщо мережа підключена до Інтернету, то з будь-якого місця земної кулі, де є Інтернет і комп'ютер з браузером.
Для захисту керуючої інформації при її передачі по Інтернету або корпоративної інтрамережі застосовуються протоколи SSH або інші аналогічні засоби (наприклад, власні захищені модифікації протоколу HTTP).
На рис. 4-5 ми показали структурну схему системи антивірусного захисту з Web-інтерфейс Trend Virus Control System. Ця система дозволяє повністю управляти і контролювати роботу корпоративної системи антивірусного захисту з однієї робочої станції через браузер, навіть якщо окремі фрагменти мережі знаходяться в різних країнах або на різних континентах.
Рис. 4. Антивірусна система з Web-інтерфейс
Ця схема аналогічна схемі, показаної на рис. 4-1, проте адміністратор антивірусного захисту управляє її роботою через браузер, а не через консольний додаток.
На робочих станціях встановлюється антивірус (PC -cillin, Server Protect, InterScan VirusWall, ScanMail і т.д.). Цей антивірус управляється антивірусним сервером через агента.
На комп'ютері, який відіграє роль антивірусного сервера, встановлюється Web-сервер Microsoft IIS. Спеціальне Web-додаток, що працює на цьому сервері, управляє антивірусним сервером. Воно також надає адміністратору призначений для користувача інтерфейс для управління системою антивірусного захисту.
З метою забезпечення максимальної незалежності від комп'ютерних платформ сервер Trend VCS Server і клієнтську програму написані на мові програмування Java та іншими мовами, що застосовуються для розробки додатків Інтернету.
Що ж стосується повідомлень про виникнення подій в корпоративній системі антивірусного захисту, то вони передаються програмами-агентами сервера Trend VCS Server і розсилаються по електронній пошті, по пейджінговим мереж, через системи SMS і т.п.
Адміністративно-технологічні методи захисту
Для того щоб антивірусні програми ефективно виконували свої функції, необхідно строго дотримуватися рекомендацій щодо їх застосування, описані в документації. Особливу увагу слід звернути на необхідність регулярного оновлення вірусних баз даних і програмних компонент антивірусів. Сучасні антивіруси вміють завантажувати файли оновлень через Інтернет або по локальній мережі. Однак для цього їх необхідно налаштувати відповідним чином.
Однак навіть без застосування антивірусних програм можна постаратися запобігти проникненню вірусів в комп'ютер і зменшити шкоду, яку вони завдадуть в разі зараження. Ось що слід для цього зробити в першу чергу:
· Блокуйте можливі канали проникнення вірусів: чи не намагайтеся підключати комп'ютер до Інтернету і локальної мережі компанії, якщо в цьому немає необхідності, відключіть пристрої зовнішньої пам'яті, такі як дисководи для дискет і пристрої CD -ROM;
Забороніть програмне зміна вмісту незалежній пам'яті BIOS;
· Виготовте системну дискету, записавши на неї антивіруси та інші системні утиліти для роботи з диском, а також диск аварійного відновлення Microsoft Windows;
· Перевіряйте всі програми і файли документів, що записуються на комп'ютер, а також дискети за допомогою антивірусних програм новітніх версій;
· Встановлюйте програмне забезпечення лише з ліцензійних компакт-дисків;
· Встановіть на всіх дискетах захист від запису і знімайте її тільки в разі потреби;
· Обмежте обмін програмами і дискетами;
· Регулярно робіть резервні копії даних;
· Встановлюйте мінімально необхідні права доступу до каталогів файлового сервера, захищайте від записи каталоги дистрибутивів і програмних файлів;
· Складіть інструкцію для користувачів з антивірусного захисту, описавши в ній правила використання антивірусів, правила роботи з файлами і електронною поштою, а також опишіть дії, які слід вжити при виявленні вірусів.
Проблема домашніх комп'ютерів
Часто співробітники компаній працюють не тільки в офісі, але і вдома, обмінюючись файлами між домашнім комп'ютером і офісною робочою станцією. Системний адміністратор компанії не в змозі захистити від вірусів всі домашні комп'ютери співробітників. Віруси можуть потрапити на домашній комп'ютер з Інтернету, а також в результаті обміну ігровими програмами. Найчастіше це відбувається, якщо до домашнього комп'ютера мають доступ інші члени сім'ї та діти.
Всі файли, які співробітники приносять з дому на роботу, слід розглядати як потенційно небезпечні. У відповідальних випадках такий обмін слід повністю заборонити, або сильно обмежити. Потенційно небезпечні «домашні» файли необхідно перевіряти перед відкриттям антивірусними програмами.
Установка персональних брандмауерів
Корпоративна мережа, підключена до Інтернету, повинна бути захищена від атак хакерів за допомогою брандмауера. Однак крім цього можна додатково захистити робочі станції і сервери мережі, встановивши на них персональні брандмауери, такі як AtGuard (рис. 5).
Рис. 5. Налаштування персонального брандмауера AtGuard
Крім фільтрації небажаного трафіку, деякі персональні брандмауери здатні захистити комп'ютер від троянських аплетов Java і елементів управління ActiveX. Такі компоненти можуть бути вбудовані в поштові повідомлення у форматі HTML і в сторінки троянських Web-сайтів.
Персональні брандмауери, що знаходяться в так званому режимі навчання, можуть надати допомогу у виявленні трафіку від троянських програм, логічних бомб і інших небажаних шкідливих компонентів. Коли такий компонент спробує встановити зв'язок з комп'ютером хакера, брандмауер відобразить на екрані попередження.
Слід зауважити, що в настройках браузера Ви також можете відключити можливість використання активних компонентів, таких як аплети Java і елементів управління ActiveX. Однак персональні брандмауери більш універсальні, і дозволяють блокувати використання таких компонентів будь-якими програмами, наприклад, поштовими клієнтами
Як можна захистити свій комп'ютер від віддаленого доступу? Як заборонити доступ до комп'ютера через браузер?
Як захистити свій комп'ютер від віддаленого доступу, Зазвичай думають тоді, коли вже щось сталося. Але природно, це неправильне рішення для людини, який займається хоч якийсь власною діяльністю. Та й усім користувачам бажано обмежити доступ до свого комп'ютера для сторонніх. І в даній статті ми не будемо обговорювати спосіб установки пароля для входу на комп'ютер, а подивимося варіант, як заборонити доступ до комп'ютера з локальної мережі, або з іншого комп'ютера, якщо вони підключені в одну мережу. Така інформація буде особливо корисна для нових користувачів ПК.
І так, в операційній системі Windows існує функція, яка називається "Віддалений доступ". І якщо вона не відключена, цим можуть скористатися інші користувачі, щоб отримати контроль над вашим комп'ютером. Навіть якщо Ви керівник і Вам потрібно стежити за співробітниками, тоді природно, Вам потрібен доступ до їх ПК, але свій то потрібно закрити, щоб ці ж співробітники не дивилися Вашу переписку з секретаркою - загрожує ...
| Пн | Вт | Ср | чт | Пт | Сб | Нд |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
РЕКЛАМА
Як зазвичай розкручуються проекти онлайн. Зазвичай, сео копірайтери намагаються вбухати в текст якомога більше пошукових запитів, схиляючи їх в
Розуміння головних нюансів, що відрізняють підроблені Айфони від справжніх виробів, допоможе заощадити гроші і уникнути покупки у недбайливих продавців. На що
Антивірус має бути встановлений на кожному ПК з Windows. Довгий час це вважалося золотим правилом, однак сьогодні експерти з IT-безпеки сперечаються про ефективність захисного ПЗ. Критики стверджують, що антивіруси не завжди захищають, а іноді навіть навпаки - через недбалої реалізації здатні утворити проломи в безпеці системи. Розробники ж таких рішень протиставляють даному думку вражаючі цифри заблокованих атак, а відділи маркетингу продовжують запевняти у всеосяжній захисту, яку забезпечують їх продукти.
Істина лежить десь посередині. Антивіруси працюють не бездоганна, проте всі їхні повально не можна назвати марними. Вони попереджають про безліч загроз, але для максимально можливого захисту Windows їх недостатньо. Для вас як для користувача це означає наступне: можна або викинути антивірус в сміттєву корзину, або сліпо йому довіритися. Але так чи інакше, він всього лише один з блоків (нехай і великий) в стратегії безпеки. Ми забезпечимо вас ще дев'ятьма такими «цеглинками».
Загроза безпеки: антивіруси
\u003e Що кажуть критики Нинішня суперечка про антивірусні сканерах спровокував колишній розробник Firefox Роберт О'Каллахана. Він стверджує: антивіруси загрожують безпеці Windows і повинні бути видалені. Єдиний виняток - Захисник Windows від Microsoft.
\u003e Що кажуть розробники Творці антивірусів, в тому числі Kaspersky Lab, як аргумент наводять вражаючі цифри. Так, в 2016 році ВО з цієї лабораторії зареєструвало і запобігло близько 760 мільйонів інтернет-атак на комп'ютери користувачів.
\u003e Що думає CHIP Антивіруси не повинні вважатися ні пережитком, ані панацеєю. Вони всього лише цеглинка в будівлі безпеки. Ми рекомендуємо використовувати компактні антивіруси. Але не варто сильно заморочуватися: Захисник Windows цілком підійде. Ви можете використовувати навіть прості сканери сторонніх розробників.
Вибрати правильний антивірус
Ми, як і раніше, переконані, що Windows немислима без антивірусного захисту. Вам потрібно лише вибрати правильний продукт. Для користувачів «десятки» це може бути навіть вбудований Windows Defender. Незважаючи на те, що під час наших тестів він показав не найкращу ступінь розпізнавання, він ідеально і, що найважливіше, без будь-яких проблем для безпеки вбудований в систему. Крім того, компанія Microsoft допрацювала свій продукт в оновленні Creators Update для Windows 10 і спростила його управління.
У антивірусних пакетів інших розробників ступінь розпізнавання часто вище, ніж у Захисника. Ми обстоюємо компактне рішення. Лідером нашого рейтингу на даний момент є Kaspersky Internet Security 2017. Ті ж, хто може відмовитися від таких додаткових опцій, як батьківський контроль і менеджер паролів, повинні звернути свою увагу на більш бюджетний варіант від «Лабораторії Касперського».
Стежити за оновленнями
Якщо для забезпечення безпеки Windows потрібно було вибирати лише одну міру, ми однозначно зупинилися б на оновлення. В даному випадку мова, зрозуміло, йде в першу чергу про апдейтах для Windows, але не тільки. Встановлене ПЗ, в тому числі Office, Firefox і iTunes, також слід регулярно оновлювати. У Windows отримати системні оновлення щодо легко. І в «сімці», і в «десятці» патчі встановлюються автоматично при настройках за умовчанням.
У випадку з програмами ситуація ускладнюється, оскільки далеко не всі з них так само легко оновити, як Firefox і Chrome, в які вбудована функція автоматичного апдейта. Утиліта SUMo (Software Update Monitor) підтримає вас у вирішенні цього завдання і повідомить про наявність оновлень. Родинна програма DUMo (Driver Update Monitor) виконає ту ж роботу для драйверів. Обидва безкоштовних помічника, однак, лише інформують вас про нові версії - завантажувати їх і встановлювати вам доведеться самостійно.
налаштувати брандмауер
Вбудований в Windows брандмауер добре справляється зі своєю роботою і надійно блокує всі вхідні запити. Однак він здатний на більше - його потенціал не вичерпується конфігурацією за умовчанням: всі встановлені програми мають право без дозволу відкривати порти в брандмауер. Безкоштовна утиліта Windows Firewall Control дасть вам в руки більше функцій.
Запустіть її і в меню «Profiles» встановіть фільтр на «Medium Filtering». Завдяки цьому брандмауер буде контролювати і вихідний трафік по заданому набору правил. Які заходи туди будуть входити, встановлюєте ви самі. Для цього в нижньому лівому кутку екрана програми натисніть на іконку записки. Так ви зможете переглянути правила і одним кліком видати дозвіл окремою програмою або ж її заблокувати.
Використовувати особливий захист
Оновлення, антивірус і браундмауер - про цю велику трійцю заходів безпеки ви вже подбали. Прийшов час тонкої настройки. Проблема додаткових програм під Windows часто полягає в тому, що в них не використовуються всі пропоновані захисні функції системи. Утиліта проти експлойтів, така як EMET (Enhanced Mitigation Experience Toolkit), додатково посилює встановлене ПЗ. Для цього натисніть на «Use Recommended Settings» і дозвольте програмі працювати автоматично.
зміцнити шифрування
Ви можете істотно посилити захист персональних даних їх шифруванням. Навіть якщо ваша інформація потрапить до чужих рук, гарне кодування хакеру зняти не вдасться, у всякому разі не відразу. У професійних версіях Windows вже передбачена утиліта BitLocker, що настроюється через Панель управління.
Альтернативою для всіх користувачів стане VeraCrypt. Ця програма з відкритим кодом є неофіційним наступником TrueCrypt, підтримка якого припинилася пару років назад. Якщо мова йде лише про захист особистої інформації, ви можете створити зашифрований контейнер через пункт «Create Volume». Виберіть опцію «Create an encrypted file container» і дотримуйтесь вказівок Майстра. Доступ до готового сейфу з даними здійснюється через Провідник Windows, як до звичайного диску.
Захистити призначені для користувача аккаунти
Безліч вразливостей залишаються невикористаними хакерами тільки тому, що робота на комп'ютері здійснюється з-під стандартного аккаунта з обмеженими правами. Таким чином, для повсякденних завдань вам також слід настроїти обліковий запис. У Windows 7 це здійснюється через Панель управління і пункт «Додавання і видалення облікових записів користувача». У «десятці» клацніть по «Параметри» і «Облікованим записів», а далі виберіть пункт «Сім'я і інші люди».
Активувати VPN поза домом
Будинки в бездротової мережі ваш рівень безпеки високий, оскільки тільки ви контролюєте, хто має доступ до локальної мережі, а також несете відповідальність за шифрування і коди доступу. Все інакше у випадку з хотспотами, наприклад,
в готелях. Тут Wi-Fi розподіляється між сторонніми користувачами, і на безпеку мережевого доступу ви не здатні зробити який-небудь вплив. Для захисту рекомендуємо застосовувати VPN (Virtual Private Network). Якщо вам потрібно просто переглянути сайти через точку доступу, досить буде вбудованої VPN в останній версії браузера Opera. Встановіть браузер і в «Налаштуваннях» натисніть на «Безпека». У розділі «VPN» поставте прапорець для «Включити VPN».
Відрізати невикористовувані бездротові з'єднання
ok Результат ситуації можуть вирішити навіть деталі. Якщо ви не користуєтеся такими сполуками, як Wi-Fi і Bluetooth, просто відключіть їх і тим самим закрийте потенційні лазівки. У Windows 10 найпростіше це зробити через Центр повідомлень. «Сімка» пропонує для цієї мети на Панелі управління розділ «Мережеві підключення».
керувати паролями
Кожен пароль повинен використовуватися тільки один раз, а також містити спеціальні знаки, цифри, великі та малі літери. І ще бути максимально довгим - найкраще з десяти і більше символів. Принцип безпеки, що забезпечується паролем, сьогодні досяг своїх меж, оскільки користувачам доводиться занадто багато пам'ятати. Отже, там, де це можливо, слід замінювати такий захист на інші способи. Візьмемо, наприклад, вхід в Windows: якщо у вас є камера з підтримкою технології Windows Hello, використовуйте для авторизації метод розпізнавання осіб. Для інших кодів рекомендуємо звернутися до менеджерів паролів, таким як KeePass, які слід захистити потужним майстер-паролем.
Убезпечити особисту сферу в браузері
Для захисту своєї конфіденційності в Мережі існує безліч способів. Для Firefox ідеально підійде розширення Privacy Settings. Встановіть його і налаштуйте на «Full Privacy». Після цього браузер не видасть ніякої інформації про вашу поведінку в Інтернеті.
Рятувальний круг: бекап
\u003e Бекапи вкрай важливі Резервне копіювання виправдовує
себе не тільки після зараження вірусом. Воно відмінно зарекомендувало себе і при виникненні проблем з апаратним забезпеченням. Наша порада: одного разу зробіть копію всієї Windows, а потім додатково і регулярно - бекапи всю важливу інформацію.\u003e Повний архівування Windows Windows 10 отримала в спадок від «сімки» модуль «Архівування та відновлення». За допомогою нього ви створите резервну копію системи. Ви також можете скористатися спеціальними утилітами, наприклад, True Image або Macrium Reflect.
\u003e Захист файлів True Image і платна версія Macrium Reflect здатні зробити копії певних файлів і папок. Безкоштовної альтернативою для архівування важливої \u200b\u200bінформації стане програма Personal Backup.
ФОТО: компанії-виробники; NicoElNino / Fotolia.com
Дуже точний вислів «невразливих систем не буває». Жодну систему не можна повністю захистити. Якщо харчування включено і комп'ютер підключений до мережі то, хоч би яких заходів обережності ні застосовувалися, система вразлива і може зробити уразливими інші комп'ютери мережі. Завжди необхідно припускати наявність нез'ясованих раніше слабких місць і загроз і продовжувати зміцнювати безпеку системи.
Людський фактор і його недоліки
Якщо працівник компанії, за родом своєї діяльності має доступ до обчислювальних ресурсів останньої, то він володіє інформацією, яка може виявитися цінною для зловмисників. Розглянемо приклади витоку інформації.
- Паролі, важкі для злому, настільки ж важко запам'ятати, тому їх часто записують на папері (записна книжка, діловий щоденник, наклейка на моніторі і т.д.).
- У звичайній розмові людина може бовкнути зайве.
- Соціотехніка, або маніпулює поведінку, є ефективним прийомом зловмисників. Наприклад, зловмисник може видати себе за начальника та змусити користувача передати йому важливу інформацію або, навпаки, видати себе за користувача і попросити адміністратора по телефону повідомити йому пароль.
- Ображені службовці можуть представляти серйозну загрозу. Це особливо небезпечно, якщо таким службовцям є системний адміністратор або людина, що має доступ до важливої \u200b\u200bінформації, що становить комерційну таємницю.
Найкращим захистом від цих вразливостей і загроз є навчання персоналу, підвищення їх обізнаності та визначення заходів покарання за порушення правил роботи в системі.
Системні і мережеві адміністратори в цьому процесі відіграють допоміжну, але дуже важливу роль. Наприклад, адміністратор може стежити за діями користувачів і, будучи досконально знайомим з правилами роботи в системі, виявляти несанкціоновану діяльність і повідомляти про неї в службу безпеки.
Пильності мало не буває
Завжди спостерігайте за тим, що відбувається у вашому середовищі. Якщо виявляється щось незвичне, з'ясуйте причину. Закривайте виявлені слабкі місця і намагайтеся знизити ймовірність загроз.
Основний засіб регулярного моніторингу - журнальні файли. Аналіз журнальних файлів дозволить зрозуміти, що сталося і, можливо, хто несе за це відповідальність. Часто він допомагає виявити слабкі місця і потенційні загрози. Інтерпретація інформації, що зберігається в журнальних файлах, - це повністю ручна процес.
Можлива загроза вільно розповсюджуваних програм
Перевагою таких програм - доступність їх вихідних кодів. Навіть якщо у деяких з нас не вистачає знань, щоб перевірити вихідний код або створити тестову середу, це можуть зробити інші люди. Вони повідомляють про помічені недоліки розробникам, а також публікують свої зауваження до списків розсилки ( bugtraq).
Завжди перевіряйте слабкі місця, сигнатури (С) PGP і контрольні суми (КС) MD5 завантажуваних програм. Якщо КС або С відсутня, проаналізуйте вихідний код або запустити програму в безпечному середовищі і подивитися, що станеться.
