Для чего нужен антивирус? Хороший вопрос. На сегодняшний день антивирус - это необходимое условие для полноценной защиты компьютера. Необходимое, но недостаточное. В течение последнего времени интернет-угрозы сильно эволюционировали и уже не ограничиваются одними лишь вирусами. Сегодня пользователям угрожают троянские программы и хакерские атаки, их ждут фишинговые ресурсы и рекламные баннеры, спам забивает почтовые ящики, а порносайты всплывают в самый неподходящий момент. Да и вредоносные программы не стояли на месте, научившись виртуозно прятаться в системе и даже отключать антивирусную защиту.
Что самое неприятное, все эти угрозы могут быть и комбинированными: одна программа способна совместить в себе функции вирус, троян, кейлоггер и т.д. Важно понимать, что не существует такого универсального лома, способного защитить от всего и сразу: рано или поздно (скорее рано) прием против него найдется.
Выстроить по-настоящему эффективную систему информационной защиты можно только сочетая различные технологии защиты, каждый против своего типа угроз. И здесь на первый план выходят комплексные решения класса Internet Security, способные защитить пользователя от множества опасностей, в том числе от ранней седины и потери нервных клеток (бэкап которых природой не предусмотрен).
Железный занавес
Одним из инструментов обеспечения онлайн-безопасности служит фаервол, он же сетевой экран, - своего рода контрольно-пропускной пункт между интернетом и компьютером. Если раньше фаервол был инструментом профессионалов, то сейчас он встроен практически во все защитные решение Internet Security.
Причиной распространенности файерволов стало появление так называемых сетевых червей - опасного подвида вредоносных программ, для размножения которых не требуется участие пользователя. Черви распространяются сами по сетям, проникают на удаленные компьютеры и, продвигаясь все дальше и дальше, за короткий промежуток времени заражают огромное количество машин.
На зараженном компьютере червь особенно не церемонится: он может запустить встроенный в себе троянский функционал и скопировать, зашифровать или уничтожить файлы, отправить хакеру конфиденциальную информацию, а также установить Trojan-Downloader, что открывает другим вредоносным программам дорогу на захваченный компьютер. Кроме этого червь может содержать так называемые dos-утилиты, которые позволяют создателю червя удаленно управлять компьютером: принимать и отсылать информацию, запускать или удалять файлы, выполнять перезагрузку и т.д.
Отдельно стоит отметить такую неприятную модификацию как бестелесные сетевые черви (CodeRed, Slammer): в процессе жизнедеятельности они не создают ни временных, ни постоянных файлов, и присутствуют только в оперативной памяти - поэтому обычные файловые антивирусы и сканеры против них практически беспомощны.
Осознав сложившуюся ситуацию, разработчики программного обеспечения внедрили в свои продукты фаерволы, что контролируют входящий трафик. Так, Microsoft разработала фирменный сетевой экран для центра безопасности операционных систем семейства Windows.
Более продвинутой технологией защиты от сетевых червей есть так называемая Intrusion Detection System (IDS) - система, которая детектирует вторжения по неавторизованных изменениях, анализирует соединения на предмет сканирования компьютерных портов и способна фильтровать сетевые пакеты, направленные на использование программных уязвимостей. Суть метода в том, что для проникновения на выбранный компьютер сетевой червь ищет именно открытые порты или уязвимости, которые пользователь поленился устранить необходимыми заплатками.
Обнаружив вторжение, IDS на определенный срок блокирует входящие соединения с компьютера, что атаковал, тем самым охраняя компьютер пользователя от возможного проникновения.
Виртуальная таможня
Итак, мы установили фаервол, просканировали порты, проанализировали уязвимости, скачали последние заплатки через систему восстановления операционной системы. Проблема решена? Отнюдь! Дело в том, что пока мы усиливали свою виртуальную прочность против внешних угроз, враг мог затаиться внутри.
Как мы уже говорили, чаще всего черви устанавливают на пользовательский ПК трояны, способные следить за действиями пользователя и пересылать персональную информацию своему “хозяину”. Также не стоит забывать, что сетевой червь самовоспроизводится, пересылая свои копии с зараженного компьютера на доступные ПК.
Подобной вредоносной активности можно предотвратить контролируя исходящий трафик, поэтому для полноценной защиты компьютера нужен фаервол, что держит под контролем и входящий, и исходящий трафик. За счет анализа характеристик сетевого пакета (и связанного с ним приложения), направлении его передачи, типа протокола, а также используемого порта он обеспечивает высокий уровень безопасности. Позволив исходящий трафик только доверенным приложениям, можно защитить себя от большей части информационных угроз.
К сожалению, препятствием на пути массового распространения персональных сетевых экранов является необходимость настраивать уровень доступа в сеть для различных приложений, с чем может справиться далеко не каждый начинающий пользователь. Для решения проблемы ряд производителей антивирусного ПО заранее создают правила для наиболее распространенных приложений.
Правила поведения
Мы убедились, что сетевые экраны является необходимым для полноценной защиты компьютеров дополнением к антивирусу. Необходимым, но по-прежнему недостаточным. Дело в том, что за последние годы появилось множество методов обхода подобных систем. В частности, вредоносные программы научились мимикрировать под легальные приложения, такие как браузер или почтовый клиент.
Вредоносный код может изменить имя файла, который выполняется, на имя одного из известных приложений и переместиться в директорию, где это приложение находится. Затем вредоносная программа прописывает в реестре ключ, инициируя автозапуск при следующей загрузке системы. Даже самые продвинутые фаерволы и антивирусы плохо распознают подобное маскировки.
Положение спасают системы предотвращения вторжений, так называемые Host-based Intrusion Prevention System (HIPS). Предоставляя приложениям или пользователям доступ к ресурсам операционной системы и сети, HIPS-продукты ограничивают их права на чтение, запись и выполнение, а также защищают порты, файлы и ключи реестра.
По сути, эти системы содержат в себе функции сетевых экранов и систем обнаружения вторжений. Благодаря HIPS можно контролировать целостность приложений (чтобы предотвратить внедрение вредоносного ПО), а также отслеживать любую подозрительную активность, в том числе попытку внести изменения в системный реестр.
Один из подвидов HIPS называется поведенческим блокиратором. Он анализирует деятельность всех системных процессов, выдавая пользователю предупреждение при выполнении каких-либо подозрительных действий. Стоит отметить, что уже разработан поведенческий блокиратор второго поколения, важной особенностью которого является возможность «откатить» действия, предпринятые вредоносным кодом. Это позволяет уменьшить количество запросов и снизить риск критического повреждения ОС.
Работа поведенческого блокиратора проактивная, то есть не требует постоянного обновления сигнатур, как в обычных антивирусах. Благодаря этому можно бороться с новыми угрозами, еще не внесенными в антивирусные базы. С другой стороны, для работы систем такого рода время необходимо участие пользователя, что вносит фактор неопределенности при принятии решения. Поэтому оптимальным вариантом является использование поведенческих блокираторов вместе с обычными антивирусными средствами, которые способны самостоятельно принять решение в отношении известных угроз.
Комплекс полноценности
Программные решения, включающие в себя антивирус, сетевой экран и HIPS-Системы с поведенческим блокиратором реализованы в ряде продуктов от Panda Sеcurity, Symantec и «Лаборатории Касперского». Отметим, что в Kaspersky Internet Security 2010 реализован интересный проактивная модуль с пополняемой базой поведенческих (не антивирусных!) сигнатур. Обновляя известные шаблоны поведения вредоносных программ, такая система позволяет надежнее защищаться от вирусов, червей и троянов с меняющимся или нестандартным характером действий.
Этот метод, хотя и не является основным защитным средством, хорошо дополняет фильтрацию программной активности с помощью технологии Sandbox, также реализованной в KIS 2010. Она представляет собой виртуальную среду безопасности, так называемую «песочницу», в которой HIPS-Модуль анализирует поведение подозрительного приложения, делая его запуск контролируемым. По итогам проверки присваивается определенный рейтинг опасности - если он высокий, то программе может быть запрещена любая активность. Приятно, что совокупность этих компонентов не требует чрезмерных системных ресурсов - уже несколько версий продуктов Касперского» спасены от ярлыка «медленных».
Обычный пользователь порой и не догадывается, какой сложный механизм обеспечивает информационную защиту. Ведь кроме перечисленных компонентов, защищающих пользовательский ПК от вредоносных программ, существуют технологии, которые противодействуют спаму и фишингу, инфицированным сайтам и баннерам, нежелательным звонкам и SMS, что проверяют трафик онлайн-мессенджеров и контролируют виртуальную активность ребенка.
Кроме того, в полноценных системах сетевой безопасности конечно реализованы широкие возможности автоматизации защиты, на случай недостаточной компьютерной грамотности пользователя. Так что современный защитный комплекс - это многофункциональное программное среду, что выполняет свою работу качественно, оперативно и, по возможности, незаметно.