ПОЛНЫЙ КОМПЛЕКТ
На сегодняшний день антивирус – это необходимое условие для полноценной защиты компьютера. Необходимое, но, как говорят логики, недостаточное. За последнее время интернет-угрозы сильно эволюционировали и уже не ограничиваются одними лишь вирусами. Сегодня пользователям угрожают троянские программы и хакерские атаки, их поджидают фишинговые ресурсы и рекламные баннеры, спам забивает почтовые ящики, а порносайты всплывают в самый неподходящий момент. Да и вредоносные программы не стояли на месте, научившись виртуозно прятаться в системе и даже отключать антивирусную защиту.
Что самое неприятное, все эти угрозы могут быть и комбинированными: одна программа способна сочетать в себе функции вируса, трояна, кейлоггера и т. д. Важно понимать, что не существует такого универсального лома, способного защитить от всего и сразу: рано или поздно (скорее рано) прием против него найдется.
Выстроить по-настоящему эффективную систему информационной защиты можно, лишь сочетая различные технологии, каждая против своего типа угроз. И здесь на первый план выходят комплексные решения класса Internet Security, способные защитить пользователя от множества опасностей.
ЖЕЛЕЗНЫЙ ЗАНАВЕС
Одним из инструментов обеспечения онлайн-безопасности служит файервол, он же сетевой экран, – своего рода контрольно-пропускной пункт между интернетом и компьютером. Если раньше файервол был инструментом профессионалов, то сейчас он встроен практически во все защитные решения Internet Security.
Причиной распространенности файерволов стало появление так называемых сетевых червей – опасного подвида вредоносных программ, для размножения которых не требуется участие пользователя. Черви сами распространяются по сетям, проникают на удаленные компьютеры и, продвигаясь все дальше и дальше, за короткий промежуток времени заражают огромное число машин.
На инфицированном компьютере червь особо не церемонится: он может запустить встроенный в себя троянский функционал и скопировать, зашифровать или уничтожить файлы, отправить хакеру конфиденциальную информацию, а также установить Trojan-Downloader, открывающий другим вредоносным программам дорогу на захваченный компьютер. Помимо этого, червь может содержать так называемые backdoor-утилиты, которые позволяют создателю червя удаленно управлять компьютером: принимать и отсылать информацию, запускать или уничтожать файлы, выполнять перезагрузку и т. д.
Отдельно стоит отметить такую неприятную модификацию, как бестелесные сетевые черви (CodeRed, Slammer). В процессе жизнедеятельности они не создают ни временных, ни постоянных файлов и присутствуют только в оперативной памяти – поэтому обычные файловые антивирусы и сканеры против них практически бессильны.
Осознав сложившуюся ситуацию, разработчики программного обеспечения внедрили в свои продукты файерволы, контролирующие входящий трафик. Так, Microsoft разработала фирменный сетевой экран для центра безопасности операционных систем семейства Windows.
Более продвинутой технологией защиты от сетевых червей является так называемая Intrusion Detection System (IDS) – система, детектирующая вторжение по неавторизованным изменениям, анализирующая соединения на предмет сканирования компьютерных портов и способная фильтровать сетевые пакеты, направленные на использование программных уязвимостей. Суть метода в том, что для проникновения на выбранный компьютер сетевой червь ищет как раз открытые порты или уязвимости, которые пользователь поленился устранить необходимыми заплатками.
Обнаружив вторжение, IDS на определенный срок блокирует входящие соединения с атаковавшего компьютера, тем самым предохраняя компьютер пользователя от возможного проникновения.
ВИРТУАЛЬНАЯ ТАМОЖНЯ
Итак, мы установили файервол, просканировали порты, проанализировали уязвимости, скачали последние заплатки через систему обновления операционной системы. Проблема решена? Отнюдь! Дело в том, что пока мы усиливали свою виртуальную крепость против внешних угроз, враг мог притаиться внутри.
Как мы уже говорили, зачастую черви устанавливают на пользовательский ПК троянцы, способные следить за действиями пользователя и пересылать персональную информацию своему «хозяину». Также не стоит забывать, что сетевой червь самовоспроизводится, пересылая свои копии с зараженного компьютера на доступные ПК.
Подобную вредоносную активность может предотвратить контроль исходящего трафика, поэтому для полноценной защиты компьютера нужен файервол, который держит под контролем и входящий, и исходящий трафик. За счет анализа характеристик сетевого пакета (и связанного с ним приложения), направления его передачи, типа протокола, а также используемого порта он обеспечивает высокий уровень безопасности. Разрешив исходящий трафик только доверенным приложениям, можно защитить себя от большей части информационных угроз.
К сожалению, препятствием на пути массового распространения персональных сетевых экранов является необходимость настраивать уровень доступа в сеть для различных приложений, с чем может справиться далеко не каждый начинающий пользователь. Для решения проблемы ряд производителей антивирусного ПО заранее создают правила для наиболее распространенных приложений.
ПРАВИЛА ПОВЕДЕНИЯ
Мы убедились, что сетевые экраны являются необходимым для полноценной защиты компьютеров дополнением к антивирусу. Необходимым, но по-прежнему недостаточным. Дело в том, что за последние годы появилось множество методов обхода подобных систем. В частности, вредоносные программы научились мимикрировать под легальные приложения, такие как браузер или почтовый клиент.
Зловред может изменить имя своего исполняемого файла на имя одного из известных приложений и переместиться в директорию, где это приложение находится. Затем вредоносная программа прописывает в реестре свой ключ, инициируя автозапуск при следующей загрузке системы. Даже самые продвинутые файерволы и антивирусы плохо распознают подобную маскировку.
Положение спасают системы предотвращения вторжений – так называемые Host-based Intrusion Prevention System (HIPS). Предоставляя программам или пользователям доступ к ресурсам операционной системы и сети, HIPS-продукты ограничивают их права на чтение, запись и исполнение, а также защищают порты, файлы и ключи реестра.
По сути, эти системы включают в себя функции сетевых экранов и систем обнаружения вторжений. Благодаря HIPS можно контролировать целостность приложений (чтобы предотвратить внедрение вредоносного ПО), а также отслеживать любую подозрительную активность, в том числе попытку внести изменения в системный реестр.
Один из подвидов HIPS называется поведенческим блокиратором. Он анализирует деятельность всех системных процессов, выдавая пользователю предупреждение при выполнении каких-либо подозрительных действий. Стоит отметить, что уже разработан поведенческий блокиратор второго поколения, важной особенностью которого является возможность «откатить» действия, совершенные вредоносным кодом. Это позволяет уменьшить количество запросов и снизить риск критического повреждения операционной системы.
Работа поведенческого блокиратора проактивна, то есть не требует постоянного обновления сигнатур, как в обычных антивирусах. Благодаря этому можно бороться с новыми, только что появившимися вредоносами, еще не внесенными в антивирусные базы. С другой стороны, для работы систем такого рода порой требуется участие пользователя, что вносит фактор неопределенности при принятии решения. Поэтому оптимальным вариантом является использование поведенческих блокираторов вкупе с обычными антивирусными средствами, которые способны самостоятельно принять решение по известным угрозам.
КОМПЛЕКС ПОЛНОЦЕННОСТИ
Программные решения, включающие в себя антивирус, сетевой экран и HIPS-системы с поведенческим блокиратором реализованы в ряде продуктов от Panda Sеcurity, Symantec и «Лаборатории Касперского». Отметим, что в Kaspersky Internet Security 2010 реализован интересный проактивный модуль с пополняемой базой поведенческих (не антивирусных!) сигнатур. Обновляя известные шаблоны поведения вредоносных программ, такая система позволяет надежнее защищаться от вирусов, червей и троянцев с переменчивым или нестандартным характером действий.
Этот метод, хотя и не является основным защитным средством, хорошо дополняет фильтрацию программной активности при помощи технологии Sandbox, также реализованной в KIS 2010. Она представляет собой виртуальную среду безопасности, так называемую «песочницу», в которой HIPS-модуль анализирует поведение подозрительного приложения, производя его контролируемый запуск. По итогам проверки присваивается определенный рейтинг опасности – если он высок, то программе может быть запрещена всякая активность. Что приятно, совокупность этих компонентов не требует чрезмерных системных ресурсов – уже несколько версий продуктов «Касперского» избавлены от ярлыка «медлительных».
Обычный пользователь порой не догадывается, какой сложный механизм обеспечивает его информационную защиту. Ведь кроме перечисленных компонентов, защищающих пользовательский ПК от вредоносных программ, существуют технологии, противодействующие спаму и фишингу, инфицированным сайтам и баннерам, нежелательным звонкам и SMS, проверяющие трафик онлайн-месенджеров и контролирующие виртуальную активность ребенка.
Кроме того, в полноценных системах сетевой безопасности обычно реализованы широкие возможности автоматизации защиты, на случай недостаточной компьютерной грамотности пользователя. Так что современный защитный комплекс – это многофункциональная программная среда, выполняющая свою работу качественно, оперативно и, по возможности, незаметно.