На что нужно обратить внимание в первую очередь
Постоянное снижение цен на ПК и стремительное развитие Глобальной сети сопровождается растущим вниманием к ИТ со стороны сетевых злоумышленников. На данном этапе развития вредоносных программ их действия имеют экономическую целесообразность и продиктованы стремлением наживы. О первой тенденции свидетельствует падение популярности классических вирусов и червей в пользу троянских программ, распространяемых в виде спам­рассылки и не имеющих добавочной «самоходной функциональности». О втором явлении говорит возрастающее внимание со стороны преступников к системам электронных платежей.

Если оставить в стороне финансовый вопрос, то выбор антивируса, которому можно было бы доверить свою безопасность, зависит от потребностей пользователя. Если работа не предполагает активного использования интернета, посещаются только проверенные сайты, почтовая переписка ведется только с проверенными адресатами, а из интернета не скачиваются новые программы, то требования к антивирусу могут быть самыми скромными.

Если же ситуация противоположная — постоянная работа в Сети, активная переписка, регулярное использование поисковых сервисов, — то требование к качеству и функциональности антивирусной защиты резко возрастают. И требования эти следующие.

Требования к антивирусным программам

Надежность работы и простота использования антивируса — наиболее важные критерии, поскольку даже «абсолютный антивирус» может оказаться бесполезным, если он конфликтует с системой, резко уменьшает ее производительность или периодически зависает. Если корпоративная версия антивируса не содержит необходимой функциональности для администрирования сети предприятия, то большинство системных администраторов предпочтут менее надежный, но более удобный продукт.

Комплексность защиты — второй важный критерий. Под постоянным контролем должны находиться все области компьютера, все типы файлов, все элементы сети, которые могут стать объектом вирусной атаки. При этом необходима способность обнаруживать вредоносный код и во всех каналах его возможного проникновения (почта, веб, FTP и т. д.), чтобы защитить все «двери», открывающие доступ к компьютерной сети.

Качество защиты — третий ключевой критерий. Самый лучший антивирус бесполезен, если он не в состоянии обеспечивать достаточный уровень защиты от вредоносных программ. Антивирусам приходится противостоять агрессивной среде, которая постоянно совершенствуется: часто новые версии вирусов, червей, троянских программ значительно более сложные, чем их предшественники. Качество же защиты складывается из следующих характеристик продукта:

 высокий уровень обнаружения вредоносных программ;

 регулярность выхода обнов-лений;

 корректность удаление вирусного кода и последствий заражения;

 ресурсоемкость;

 использование двойной защиты от разных производителей;

 умение защищать не только от уже известных, но и от новых вирусов и троянских программ.

Перечисленные характеристики в антивирусных продуктах реализованы по-разному, и, увы, далеко не всегда обеспечивают достаточный уровень безопасности, не говоря уж о защите гарантированной. Не существует антивирусов, стопроцентно фильтрующих вредные программы.

Рассмотрим каждую из характеристик подробнее.

1. Уровень обнаружения.

Антивирус должен находить максимально большое количество существующих вредоносных программ — именно в этом и состоит его работа. При этом он должен уметь распознавать новые модификации уже известных вирусов, червей и троянцев, искать их даже в упакованных файлах (модифицированных программами упаковки исполняемых файлов), проверять содержимое архивов и инсталляторов.

Какие же могут быть проблемы у антивирусных программ, за исключением обычного маркетингового противоборства? На первый взгляд антивирус давно стал обычным потребительским товаром, который практически ничем не отличается от конкурирующих продуктов и который покупают потому, что он был удачно разрекламирован либо по какой-либо сугубо технической причине. Другими словами, антивирус давно должен стать продуктом массового потребления вроде стиральных порошков или зубных щеток. Но это не совсем так, и, к счастью, выбор антивирусного решения часто основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках. Покупатель при этом задает следующие основные вопросы: от каких именно компьютерных угроз защищает данное решение и насколько он надежен?

К сожалению, далеко не все антивирусные продукты дают защиту, близкую к 100% — большинство не гарантирует даже 90%. В этом и заключается основная проблема антивирусных программ на сегодняшний день. Количество и разнообразие вредоносного ПО растет год за годом. В результате многие антивирусные компании, будучи не в состоянии угнаться за этим потоком, проигрывают в вирусной «гонке вооружений».

2. Регулярность выхода обнов-лений.

Поскольку активность компьютерных злоумышленников постоянно увеличивается, растет как число новых вредоносных программ, так и частота их появления. По этой причине антивирус должен уметь оперативно реагировать на новые «зловредства».

Лет пять или десять назад можно было сказать, что защищать надо только от тех немногих вирусов, которые все же добрались до ПК жертв. Сейчас же подавляющее большинство вредоносных программ создается криминальным андеграундом, а число новых угроз ежедневно исчисляется сотнями. Это означает, что вероятность инфицирования новым «криминальным» вирусом увеличилась — в Сети могут уже быть тысячи зараженных пользователей. А если новый образец является сетевым червем, то счет жертвам может пойти и на миллионы. Поэтому для эффективной защиты антивирусные компании должны выпускать обновления против всех обнаруженных вирусов и троянцев моментально — в этом состоит вторая проблема.Однако далеко не все антивирусные компании оперативны, и часто обновления пользователи получают слишком поздно.

3. Корректность удаление вирусного кода и последствий зара-жения.

Предположим, что вирус, несмотря на все установленные фильтры, инфицировал систему. Рано или поздно обновления доставляются и вирус обнаруживается, но ведь для окончательной победы над ним необходимо аккуратно удалить зараженные файлы.Ключевое слово здесь «аккуратно», и в этом кроется очередная проблема антивирусных программ.

Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть свое присутствие, и встраиваются в систему так глубоко, что задача их извлечения становится нетривиальной.

К сожалению, иногда антивирусное ПО не способно без побочных следствий изъять вирусный код и полностью восстановить работоспособность компьютера.

4. Баланс: ресурсоемкость или полноценная защита?

Любое программное обеспечение потребляет ресурсы компьютера. Антивирусы не исключение. И чем тщательнее проверяются файлы, тем больше съедается ресурсов. В результате приходится выбирать: полноценная защита или скорость работы?

Проблема нерешаемая: как показывает практика, все самые «скорострельные» антивирусы достаточно «близоруки» и пропускают зловредное ПО, как дуршлаг воду. В то же время далеко не все медлительные антивирусы защищают систему достаточно хорошо.

5. Проактивная защита

Для обнаружения вновь появляющихся вредных программ существуют разные технологии, которые дополняют традиционные методы сигнатурного поиска уже известных вирусов. К ним относятся эвристические технологии распознавания вредного кода и поведенческие блокираторы — методы проактивной защиты.

У производителей антивирусных программ периодически возникает желание придумать какую-нибудь совершенно новую технологию, которая разом решит все перечисленные выше проблемы, — этакую «супертаблетку», которая защитит от всех компьютерных болезней раз и навсегда. Она должна действовать проактивно, то есть быть готовой к распознанию и блокировке нового вируса еще до момента создания и появления в сети, — и так со всеми вновь появляющимися вредоносными программами.

Увы, универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам. Компьютерные вирусы же никаким законам не подчиняются, поскольку являются творением не природы, а злого умысла.

Достоинства сигнатурных сканеров — гарантированный отлов тех «зловредов», которых они «знают в лицо». Недостаток — пропуск тех, которые им пока неизвестны. К минусам также можно отнести большой объем антивирусных баз и ресурсоемкость. Достоинство поведенческого блокиратора — обнаружение даже неизвестных программ. Недостаток — пропуск некоторых даже давно известных вариантов, ведь поведение современных вирусов и троянских программ настолько разнообразно, что охватить их всех набором правил нереально. К тому же беда поведенческих блокираторов — ложные срабатывания (обнаружение вируса в чистом файле), поскольку иногда вполне легальные программы ведут себя «подозрительно». Другими словами, поведенческий блокиратор будет обязательно пропускать что-то вредное и периодически блокировать работу полезных приложений.

Защита корпоративных сетей сегодня

Одним из основных критериев эффективности защиты корпоративной сетевой инфраструктуры от электронных информационных угроз является охват всех узлов сети. Это обусловлено как разнообразием путей проникновения непрошеных гостей в локальную сеть, так и все большей изощренностью таких атак. Организация интегрированной системы антивирусной защиты предлагает реализацию сразу целого комплекса мер. В их числе установка соответствующего ПО на интернет-шлюзы и рабочие станции, почтовые и файловые серверы, обеспечение контроля над мобильными пользователями, а также организация централизованного управления антивирусным комплексом. Таким образом обеспечивается оперативность реакции и целостность защиты как от внешних, так и от внутренних угроз.

Важным направлением развития индустрии информационной безопасности является также использование решений разных производителей в рамках одной сети. Известно, что ни одна современная антивирусная технология не гарантирует абсолютной безопасности. Однако, сочетая продукты нескольких производителей, в основе которых лежат разные антивирусные технологии, компания может многократно повысить уровень защиты от современных угроз.

Open Space Security

Если раньше объект защиты был очевиден — периметр сети, представляющий собой четкую границу безопасного пространства, то сегодня мы имеем дело с множеством взаимопроникающих и пересекающихся периметров отдельных подсетей, сетевых узлов и просто устройств (ноутбуков, КПК, смартфонов). Корпоративная сеть перестала быть статичным закрытым образованием, ее состав и границы изменяются.

Именно поэтому «Лаборатория Касперского» представила концепцию — Kaspersky Open Space Security, которая является новым подходом к защите корпоративной сети. В соответствии с ней безопасное рабочее пространство больше не ограничено стенами офиса, теперь оно охватывает и удаленных пользователей, и сотрудников в командировке. Мы считаем, что свобода коммуникаций полностью совместима с надежной защитой от таких современных компьютерных угроз, как вирусы и другие вредоносные программы, хакерские атаки, шпионское ПО и спам.

МЕТАМОРФОЗЫ КОМПЬЮТЕРНЫХ УГРОЗ

В конце 2007 года скорость появления новых угроз в Сети достигла двух «зловредов» в минуту. В итоге год оказался самым «вирусным» за всю историю. Он запомнится и как год смерти «некоммерческих» вредоносных программ — за этот период не было зарегистрировано ни одной заметной эпидемии или распространенной вредоносной программы «нефинансового» характера.

В ряду новых угроз особняком стоит Storm Worm, «штормовой червь» (Zhelatin по классификации «Лаборатории Касперского»), впервые появившийся в январе 2007 года. Он продемонстрировал такой спектр возможностей, методов взаимодействия между своими компонентами, путей распространения и используемых приемов социальной инженерии, что антивирусные эксперты не переставали удивляться изобретательности неизвестных авторов.

Важно отметить, что основная направленность Storm Worm — это создание сетей для последующей организации спам-рассылок и проведения DoS-атак. Что касается последних, то они стали одной из ключевых тем информационной безопасности в течение всего года. DoS-атаки после активного применения их в 2002–2003 годах больше не пользовались популярностью у киберпреступников — вплоть до 2007 года. В этом году они вернулись, причем как инструмент для вымогания денег у жертв.

Киберпреступный бизнес в 2007 году явил миру несколько новых видов криминальной деятельности. Активно создавались вредоносные программы на заказ с оказанием технической поддержки клиентам. Самый, наверное, яркий пример такого бизнеса – троянская программа-шпион Pinch. За несколько лет было создано более 4000 ее вариантов. Эта история, судя по всему, закончилась в декабре 2007 года, когда было объявлено об установлении личности вирусописателей Pinch.

Fujack оказался одним из ярких представителей доминировавшего в 2007 году семейства «игровых» троянских программ. Напомним, что в 2006 году превалировали всевозможные Bankers — троянские программы, ориентированные на кражу данных банковских учетных записей.

Есть серьезные проблемы, связанные и с использованием электронной почты: фишинг; сообщения со ссылками на зараженные веб-страницы; всевозможный спам, в котором широко используются методы социальной инженерии с целью заставить пользователя сделать те или иные действия, угодные «автору» рассылки.

Воровство и неправомерный доступ к информации – еще один распространенный вид криминальной деятельности в интернете. Под ударом оказываются номера платежных карт и коды доступа через интернет к персональным (а если злоумышленникам повезет, то и корпоративным) банковским счетам. В случаях подобных атак вредоносные программы задействуют более разнообразные методы. Например, выводят окно с изображением, совпадающим с веб-страницей банка, и затем запрашивают у пользователя логин и пароль доступа к счету или номер кредитной карты (подобные методы также используют в так называемом фишинге – рассылках спама с поддельным текстом, напоминающим информационное сообщение от банка или другого интернет-сервиса).

Последним порождением криминала стали программы-шантажисты. Они блокируют либо нормальную работу компьютера, либо доступ к данным с целью последующего вымогательства денег за восстановление исходного состояния системы.