Антивирусная защита
Под антивирусной защитой подразумевается комплекс профилактических и диагностических мер, применяемых для защиты информационных систем от заражения вирусами.
В свою очередь, вирусы — это вредоносные программы, которые распространяются через каналы связи, чтобы внедриться в код другого программного обеспечения, блокировав его, или нарушить работу программно-аппаратных комплексов.
Антивирусная защита является одним из базовых элементов обеспечения информационной безопасности.
Какие вирусы бывают?
Общепринятой классификации вирусов нет, но чаще всего их разделяют на виды в зависимости от типа поражаемого объекта, механизма работы и функциональности, используемых технологий, а также языка, на котором написано вредоносное программное обеспечение (далее — ПО).
К основным типам вирусов, на которые направлена значительная доля технологий в области информационной безопасности сегодня относятся: трояны, черви, руткиты (маркировщики, блокировщики), бэкдоры (шпионы) и загрузчики.
У каждого вида есть свои особенности, например:
- в основе червей лежат саморазмножающиеся программы, которые позволяют таким вирусам бесконтрольно реплицировать самих себя после проникновения в компьютер через электронную почту, мессенджеры и файлы;
- трояны попадают в компьютеры, маскируясь приложением, а затем выполняют свою вредоносную задачу вплоть до администрирования компьютера (троян бэкдор);
- руткиты (или маркировщики), интегрируясь с операционной системой, предназначены для сокрытия наличия вредоносных программ в компьютере как от пользователей, так и от антивирусов. Более того, некоторые вирусы данного типа начинают «своё дело» до загрузки операционной системы (отсюда их альтернативное название — буткиты, блокировщики);
- бэкдор представляет собой программу для удалённого управления компьютером злоумышленниками. При этом хакеры могут сохранить информацию о том, на какие клавиши нажимает пользователь и в каком порядке, запустить любые программы, файлы и даже видеокамеру или микрофон. По этому же сценарию (сохранение последовательности нажатия клавиш) работают вирусы-шпионы, основной задачей которых обычно является похищение данных о паролях и банковских картах пользователей;
- загрузчик является лишь частью кода вируса, который, попадая в компьютер, делает своё дело, позволяя загрузиться полной версии вредоносного кода. Чаще всего такие вирусы попадают в компьютеры через открытие заражённых картинок, поступающих по электронной почте.
Методы защиты от вирусов
Сегодня для обеспечения антивирусной защиты используются следующие методы:
- сигнатурный анализ — базируется на сканировании анализе уникальной последовательности байтов вредоносного программного обеспечения. Этот метод лежит в основе работы современных антивирусов – они исследуют код и сравнивают с базой данных, которая содержит вирусные сигнатуры. В случае обнаружения сходства с вирусными сигнатурами программа идентифицирует вирус и сигнализирует об этом. Основное достоинство этого метода — точность, однако, эффективность работы антивирусного ПО из-за этого полностью зависит от своевременности актуализации баз данных с вирусными сигнатурами;
- контроль целостности — работает по принципу идентификации подозрительных событий, которые становятся предметом пристального внимания антивирусных программ. В случае обнаружения расхождений в исходном и текущем состоянии кода проводятся дополнительные проверки, например, сигнатурный анализ. Контроль целостности — менее затратный с точки зрения времени метод, чем сканирование сигнатур, потому что требует меньше вычислений;
- в основе метода эвристического сканирования лежит поиск подозрительных команд или признаков подозрительных команд, при обнаружении которых запускаются другие методы проверки. Как и сигнатурный метод, эвристическое сканирование требует постоянной актуализации баз данных с новыми вирусами;
- отслеживание поведения программного обеспечения — работает только при активном участии пользователей, которые должны реагировать на предупреждения антивирусных программ. Данный метод характеризуется высокой частотой ложных срабатываний, в отличие от сигнатурного сканирования.
Стоит отметить, что именно первые три метода защиты от вирусов являются базисом антивирусной защиты компьютеров и компьютерных сетей организаций. Подробнее о средствах антивирусной защиты и их особенностях.
«Антивирусное программное обеспечение должно быть развёрнуто на всех системах, подверженных воздействию вирусов (особенно на рабочих станциях и серверах)», — PI DSS — Стандарт безопасности данных индустрии платёжных карт.
«Использование двух или более продуктов разных вендоров, направленных на защиту от вредоносного программного обеспечения, может повысить эффективность системы противодействия вредоносному программному обеспечению», — ISO 27002:2005 — Информационные технологии. Свод правил по управлению защитой информации ISO — Международная организация по стандартизации.
«Мы строго рекомендуем разворачивать антивирусное программное обеспечение на всех системах, для которых оно существует», — NIST SP 800-83 — Руководство по предотвращению и обработке инцидентов, связанных с вредоносным программным обеспечением NIST — Национальный Институт Стандартов и Технологий США.
«...Реализация антивирусной защиты. Обновление базы данных признаков вредоносных компьютерных программ (вирусов)», — Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищённости персональных данных — Приказ ФСТЭК РФ от 18.02. 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
«…Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации…», — Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах — Приказ ФСТЭК РФ от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».