Защита рабочих станций от вирусов
ESET NOD32 Antivirus
Благодаря применению новейшей версии ядра сканирования ThreatSense® программа демонстрирует скорость и точность сканирования, свойственную антивирусам ESET NOD32. Применение передовых технологий позволяет превентивно блокировать работу вирусов, шпионского ПО, троянских и рекламных программ, а также червей и руткитов без снижения производительности системы, не вызывая раздражения у пользователя во время работы или игры на компьютере.
Многолетний опыт специалистов отражен в абсолютно новой архитектуре антивируса ESET NOD32, который обнаруживает максимальное количество злонамеренных программ при минимальных системных требованиях.
Система защиты от вирусов высокотехнологично очищает и удаляет большую часть обнаруженных заражений без участия пользователя.
Сканирование компьютера может осуществляться в фоновом режиме, незаметном для системы и пользователя.
Возможно сканирование входящей почты не только в Microsoft Outlook, но и в Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird.
Прямой доступ к файловой системе обеспечивает высокую скорость и производительность.
Блокировка доступа к зараженным файлам.
Оптимизация под требования центра безопасности Windows, включая версию для Vista.
ESET Smart Security
Программа ESET Smart Security является первым представителем нового, полностью интегрированного подхода к компьютерной безопасности. Благодаря применению новейшей версии ядра сканирования ThreatSense® программа демонстрирует скорость и точность сканирования, свойственную антивирусам ESET NOD32, в сочетании с высоким уровнем технологий персонального брандмауэра и модуля защиты от нежелательной почты. Таким образом, продукт представляет собой развитую систему предупреждения атак и защиты компьютера от вредоносного кода. Система ESET Smart Security не похожа на неуклюжий клубок разнородных продуктов в одном пакете, что обычно предлагается другими поставщиками ПО. Система является результатом долгих усилий по разработке максимальной защиты с минимальным влиянием на производительность системы. Современные технологии с применением методов искусственного интеллекта способны превентивно противодействовать распространению компьютерныхвирусов, шпионского ПО, троянских программ, червей, рекламного-ПО, руткитов и других атак из Интернета без дополнительной нагрузки на систему и перерывов в работе компьютера.
Часто задаваемые вопросы по eset NOD32 и ESS
Антивирус Касперского® защищает компьютер от вредоносных программ, используя традиционные методы защиты от вирусов и новые проактивные технологии. Продукт полностью совместим с другим программным обеспечением для защиты персональных компьютеров (например, сетевыми экранами).
Основные функции
- Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор.
- Защита от вирусов, троянских программ и червей.
- Защита от шпионского (spyware) и рекламного (adware) ПО.
- Проверка файлов, почты и интернет-трафика в режиме реального времени.
- Защита от вирусов при работе с ICQ и другими IM-клиентами.
- Защита от всех типов клавиатурных шпионов.
- Обнаружение всех видов руткитов.
- Автоматическое обновление баз.
Дополнительные возможности
- Отмена нежелательных изменений на вашем компьютере.
- Самозащита антивируса от выключения или остановки.
- Средства создания диска аварийного восстановления системы.
Скачать:
Kaspersky Internet Security
Kaspersky Internet Security – это универсальное средство защиты информации. Программа обеспечивает не только антивирусную защиту, но и защиту от спама и сетевых атак. Также компоненты программы позволяют защищать компьютер от неизвестных угроз и интернет-мошенничества, контролировать доступ пользователей компьютера к интернету.
Преимущества
- Интегрированная защита от всех интернет-угроз.
- Комплексная антивирусная защита: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор.
- Проверка файлов, почты и интернет-трафика в режиме реального времени
- Персональный сетевой экран с системой IDS/IPS.
- Предотвращение утечек конфиденциальной информации.
- Родительский контроль.
- Защита от спама и фишинга.
- Автоматическое обновление баз.
Основные функции
- Защита от вирусов, троянских программ и червей.
- Защита от шпионского (spyware) и рекламного (adware) ПО.
- Защита от всех типов клавиатурных шпионов.
- Обнаружение всех видов руткитов.
- Защита от вирусов при работе с ICQ и другими IM-клиентами.
- Отмена нежелательных изменений на вашем компьютере.
- Средства создания диска аварийного восстановления системы.
Скачать:
Kaspersky CRYSTAL
- Защита компьютера от современных интернет-угроз.
Kaspersky CRYSTAL сохраняет ваш цифровой мир кристально чистым, блокируя вредоносные программы, нежелательный контент и спам. Специальные инструменты предотвращают кражу ваших персональных данных при пользовании услугами интернет-банкинга и совершении покупок в сети. - Самый полный набор антивирусных функций.
Kaspersky CRYSTAL — это универсальное решение для комплексной защиты домашних компьютеров. Вам не нужно быть IT-специалистом, чтобы с его помощью управлять безопасностью домашней сети и защитить ее от вредоносных программ. - Резервное копирование и шифрование важной информации.
С помощью удобных инструментов резервного копирования, входящих в состав Kaspersky CRYSTAL, вы можете предотвратить потерю документов, фотографий, любимых аудиозаписей и фильмов в случае поломки или кражи компьютера. Передовые технологии шифрования данных позволяют избежать раскрытия вашей конфиденциальной информации злоумышленниками. - Многоуровневая защита персональных данных.
Виртуальная клавиатура и технологии защиты от фишинга предотвращают кражу логинов и паролей к онлайн-сервисам. Встроенная программа управления паролями генерирует надежные, устойчивые ко взлому пароли и автоматически заполняет формы регистрации и авторизации на веб-сайтах и в приложениях. - Безопасная работа в интернете для всей семьи.
Используя Kaspersky CRYSTAL, вы можете определять время, продолжительность и характер работы каждого пользователя вашей домашней сети. Также вы можете блокировать доступ к веб-сайтам с неприемлемым содержанием и осуществлять фильтрацию данных, передаваемых с помощью программ мгновенного обмена сообщениями. - Централизованное управление защитой нескольких компьютеров.
Kaspersky CRYSTAL позволяет управлять системой защиты вашей домашней сети с любого из компьютеров, на которых он установлен. Вы можете выполнять проверку объектов, осуществлять резервное копирование данных, а также отслеживать и ограничивать использование компьютеров и интернета другими пользователями.
- Центр управления Kaspersky CRYSTAL позволяет решать задачи по защите нескольких компьютеров в вашей домашней сети — проводить антивирусную проверку, выполнять резервное копирование, регулировать доступ к интернету и программам с помощью Родительского контроля и многое другое.
- С помощью Менеджера паролей вы можете генерировать и безопасно хранить уникальные надежные пароли к онлайн-сервисам и приложениям, требующим авторизации. При этом вам не нужно запоминать или записывать логин и пароль — Kaspersky CRYSTAL подставляет данные в нужные поля автоматически.
- Возможности Родительского контроля позволяют не только ограничить доступ детей к сайтам сомнительного содержания, но и регулировать время использования интернета и компьютера ребенком, а также предотвратить передачу им личных данных через программы обмена мгновенными сообщениями (MSN, ICQ).
- Kaspersky CRYSTAL содержит специальный инструмент для гарантированного удаления файлов с вашего компьютера. В отличие от стандартных методов удаления, позволяющих злоумышленникам восстановить стертые файлы и получить доступ к конфиденциальной информации, при использовании функции Необратимое удаление данных вы можете быть уверены в том, что ваша информация не попадет в чужие руки.
- Функции резервного копирования и восстановления данных обеспечат сохранность ваших данных даже в случае поломки или кражи компьютера. Kaspersky CRYSTAL автоматически создает резервные копии указанных вами данных в соответствии с установленным расписанием – локально или на указанном вами носителе (внешнем жестком диске, FTP-сервере и т.д.).
- Дополнительный уровень защиты информации обеспечивают инструменты шифрования данных, позволяющие создавать защищенные паролем файлы-контейнеры. Без знания пароля получить доступ к содержимому зашифрованного файла невозможно.
- В том случае, если вы не уверены в безопасности программы или веб-сайта, вы можете запустить их в особом режиме, используя инструмент Безопасная среда. В этом случае запуск происходит в изолированном виртуальном пространстве, что позволяет обезопасить ваш компьютер от возможного вредоносного воздействия.
ОС: XP SP2 и выше/Vista/7
Скачать:
Ответы на частые вопросы по KIS/KAV 2010 (версия 9.0), Решение самых актуальных проблем
Утилита обновления
Утилита обновления предназначена для скачивания и сохранения в отдельный каталог обновлений баз и модулей приложений Лаборатории Касперского.
C ее помощью вы можете скачать обновления для выбранных приложений Лаборатории Касперского, установленных в вашей сети или на домашнем компьютере. Утилита имеет возможность сохранять скачанные базы и автопатчи в локальную папку, в сетевой каталог, который подключен как диск к файловой системе данного компьютера, или на flash-носитель.
Все настройки утилиты задаются в конфигурационном файле. Для настройки и запуска утилиты обновления, которая работает на операционной системе Windows, вы можете использовать графический интерфейс.
Утилита обновления и статьи предоставляются в тестовом режиме!
Внимание! Обновление с помощью отдельной утилиты обновления рекомендуется только в случае, если компьютеры, на которых установлены приложения Лаборатории Касперского, не имеют выхода в интернет. Данный способ получения баз не может обеспечить моментальной доставки выпущенных обновлений и, как следствие, поддержания приложений в актуальном состоянии.
Разные полезности для продуктов Касперский:
Чёрный и белый список для Анти-Баннера Kaspersky Internet Security
Скины, которые дают без проблем активировать ваш любимый антивирус ключом!
Для тех, у кого автоматический поиск руткитов вызывает раздражение или тормозит компьютер, есть возможность от него избавиться.
Хотя это и нежелательно. Всё делаем на своё усмотрение.
ЧаВо по уничтожению вирусов + полезные ссылки, советы
Как выполнить скрипт в AVZ и "пофиксить" в HijackThis?
Сервис деактивации вымогателей-блокеров
Валериус Мрачный,
зачем вообще тема?
Если по теме - все-таки нам, обычным пользователям, и так достаточно головной боли со стабильностью системы, а тут еще на каждом шагу этой боли пытаются добавить, предлагая зачем-то морочиться с воровством антивирусов или покупкой дорогих лицензий. Зачем? Ведь для простого пользователя в данном случае существуют нормально работающие бесплатные альтернативы! Например, AVAST!
Поставил, зарегил и забыл. Прекрасно работает на любой ОС от ХР до Windows 7, обеспечивает более чем достаточный уровень защиты, не требует какой-либо дополнительной ручной настройки. Лично у меня ни разу ничего не пропустил.
P.S. во я рекламщик :rofl: Вообще самый лучший антивирус - МОЗГ. Иначе ничего не поможет.
avast! 5.0 Home Edition (русская версия)
Avast Antivirus Professional - антивирусная программа. Возможности: резидентный и обычный сканеры, проверка всей входящей и исходящей почты, интеграция в систему, блокирование потенциально опасных скриптов на веб-страницах, работа из командной строки, планировщик, возможность автообновления через Интернет. Интерфейс - на выбор двух типов: очень простой и интуитивно понятный и расширенный возможно использование скинов. Есть и такая опция, как специализированный антивирусный скринсейвер.
avast! 4 Professional Edition вобрал в себя все высокопроизводительные технологии для обеспечения одной цели: предоставить вам наивысший уровень защиты от компьютерных вирусов. Данный продукт представляет собой идеальное решение для рабочих станций на базе Windows.
Dr.Web Security Space
Dr.Web Security Space - лучшее решение вопроса комплексной защиты ПК от интернет-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, компьютерных мошенников, спама, фишинговых сообщений, зараженных интернет-страниц и кибер-преступности, направленной против детей. Важным показателем качества работы антивирусной программы является не только ее способность находить вирусы, но и лечить их; не просто удалять инфицированные файлы вместе с важной для пользователя информацией, но и возвращать их в первоначальное "здоровое" состояние.
Возможность работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ. Интеллектуальная технология фильтрации спама в Dr.Web Security Space, основанная на нескольких тысячах правил, не зависит от языка, на котором написано сообщение. Технологии антиспама Dr.Web позволяют снизить риск попадания нужного письма в папку "Спам" до рекордного в отрасли минимума. Протокол HTTP, используемый для передачи HTML-страниц и их компонентов (скриптов, графики, апплетов и т.д.) браузерам, является одним из источников проникновения вирусов и вредоносных объектов на компьютеры. Модуль SpIDer Gate в режиме реального времени.
- Высокопроизводительный Сканер Dr.Web быстро проверяет оперативную память, загрузочные секторы, жесткие диски и сменные носители, находит и обезвреживает вирусы, троянские программы и другие виды вредоносных объектов.
- Входящий в состав сканера Dr.Web Shield позволяет обнаружить скрывающиеся в системе вирусы (руткиты) и stealth-вирусы.
- Файловый монитор SpIDer Guard обеспечивает защиту в режиме реального времени и моментальный перехват всех обращений к файлам на дисках, дискетах, CD-ROMs, Flash-картах и смарт-картах. Это чрезвычайно эффективное, незаметное для пользователя средство постоянного мониторинга здоровья компьютера обладает высокой устойчивостью к попыткам вредоносных программ препятствовать функционированию SpIDer Guard или остановить его работу.
- Модуль самозащиты Dr.Web SelfPROtect ограничивает доступ вредоносных объектов к сети, файлам и папкам, некоторым веткам реестра и сменным носителям на уровне системного драйвера, защищает от попыток анти-антивирусных программ прекратить функционирование Dr.Web.
- Почтовый антивирусный монитор SpIDer Mail на лету сканирует каждое сообщение и доставляет в Вашу почтовую программу только чистые письма. Встроенный в него модуль антиспама отсеивает всю нежелательную корреспонденцию и защищает от атак кибер-мошенников.
- Веб-антивирус SpIDer Gate в режиме реального времени фильтрует HTTP-трафик на вирусы, блокирует фишинговые и другие опасные интернет-сайты.
- Родительский контроль Dr.Web защищает Ваших детей от посещения нежелательных, с вашей точки зрения, страниц, ограждает от контактов с людьми старшего возраста, мошенниками, извращенцами и другими опасными личностями
На основании приведенных выше рассуждений и примеров можно сформулировать основные требования к антивирусам для рабочих станций. Понятно, что эти требования будут отличаться для рабочих станций различных классов.
Как и раньше требования будут делиться на несколько категорий:
- Общие требования — надежность, производительность, удобство в использовании, дешевизна - нет смысла лишний раз повторяться
- Основные требования — как следствие главной задачи:
- Проверка всех файлов на локальных дисках, к которым идет обращение - на чтение, на запись, на запуск - с целью выявления и нейтрализации компьютерных вирусов
- Проверка сменных и сетевых дисков
- Проверка памяти
- Проверка входящих и исходящих писем на предмет наличия вирусов, проверяться должны как сами сообщения, так и вложения к ним
- Проверка скриптов и других активных элементов веб-страниц
- Проверка макросов в документах Microsoft Office и файлах других приложений
- Проверка составных файлов - архивов, самораспаковывающихся архивов, упакованных исполняемых файлов, почтовых баз данных, файлов почтовых форматов, OLE-контейнеров
- Возможность выбора различных действий над зараженными файлами, штатно:
- блокирование (при проверке в режиме реального времени)
- запись в журнал (при проверке по требованию)
- удаление
- перемещение на карантин
- лечение
- запрос действия у пользователя
Категории требований будут теми же, но сами требования будут менее жесткими по описанным ранее причинам:
- Общие требования - практически без изменений: надежность, производительность, дешевизна. Удобство использования в Unix-системах традиционно оценивается по несколько другим критериям, чем в Windows-системах, хотя такое положение дел и начинает постепенно меняться в сторону унификации требований
- Основные требования - исходя из назначения:
- Проверка по требованию произвольных файлов и каталогов на предмет наличия вирусов
- Желательно, но не критично - проверка определенных каталогов в режиме реального времени при доступе к файлам. Если такой функционал действительно необходим, значит речь идет не столько о рабочей станции, сколько о сервере - в Unix-системах явного различия между ними нет
- Обнаружение вирусов в составных объектах - архивах, самораспаковывающихся архивах, упакованных исполняемых модулях, постовых базах данных, файлах почтовых форматов, OLE-контейнерах - не ограничиваясь форматами, распространенными в Unix-среде
- Возможность выбора действия при обнаружении зараженных файлов, штатно:
- удалять
- перемещать или переименовывать
- лечить
- записывать информацию в отчет
- запросить действие у пользователя (при проверке по требованию)
В целом антивирусная защита серверов не так сильно отличается от защиты рабочих станций, как, например, от защиты шлюзов. Основные угрозы и технологии противодействия им остаются теми же - смещаются только акценты.
Сетевые сервера как и рабочие станции естественным образом делятся на классы, согласно используемым операционным системам:
- Сервера Windows
- Сервера Novell Netware
- Сервера Unix
Принцип деления обусловлен характерными для различных операционных систем вирусными угрозами и, как следствие, различными вариантами в определении основной задачи антивируса.
В случае продуктов для защиты серверов деление на персональные и сетевые продукты отсутствует - все продукты являются сетевыми (корпоративными). У многих производителей вообще нет деления корпоративных продуктов на предназначенные для рабочих станций и файловых серверов - имеется единый продукт.
Все относящиеся к серверам специфические угрозы связаны не столько с особенностями серверных операционных систем, сколько с применением уязвимого ПО, характерного для серверов.
Для серверов Windows актуальны все те же угрозы, что и для рабочих станций под Windows NT/2000/XP. Отличия заключаются только в преимущественном способе эксплуатации серверов, что выражается в ряде дополнительных атак, нехарактерных для рабочих станций.
Так, за серверами Windows редко непосредственно работают пользователи, а значит, почтовые клиенты и офисные приложения на серверах, как правило, не используются. Как следствие, требования к защите почты на уровне почтового клиента и дополнительные средства обнаружения макровирусов в случае серверов Windows менее востребованы.
С другой стороны на серверах Windows значительно чаще, чем на рабочих станциях могут использоваться такие службы как Microsoft SQL Server и Microsoft IIS. Как и сами операционные системы производства Microsoft (и не только Microsoft), эти службы могут содержать уязвимости, чем в свое время неоднократно пользовались авторы вирусов.
Пример. В 2003 году появился и буквально пронесся по Интернету червь Net- Worm .Win32.Slammer, использовавший уязвимость в Microsoft SQL Server 2000. Slammer не сохранял свои файлы на диск, а выполнялся непосредственно в адресном пространстве приложения SQL Server. После этого в бесконечном цикле червь выполнял атаку на случайные IP-адреса в сети, пытаясь использовать для проникновения ту же уязвимость. В результате активности червя были до такой степени перегружены сервера и каналы связи Интернет, что целые сегменты сети были недоступны. Особенно пострадала от эпидемии Южная Корея. Стоит отметить, что никаких других действий, кроме размножения червь не выполнял.
Пример. Еще раньше, в 2001 году, уязвимость в Microsoft IIS 5.0 была использована для распространения червем Net- Worm .Win32. CodeRed .a. Последствия эпидемии были не столь внушительны, как в случае с червем Slammer, но зато при помощи компьютеров, зараженных CodeRed .a, была произведена небезуспешная попытка DDoS атаки на сайт Белого Дома США (www.whitehouse.gov). CodeRed .a также не сохранял файлы на дисках пораженных серверов.
Особенность обоих червей в том, что модуль проверки файловой системы (хоть по запросу, хоть при доступе) против них бессилен. Эти черви не сохраняют свои копии на диск и вообще никак не проявляют своего присутствия в системе, кроме повышенной сетевой активности. На сегодняшний день основной рекомендацией по защите является своевременная установка патчей на операционную систему и используемое ПО. Другой подход заключается в настройке брандмауэров таким образом, чтобы порты, используемые уязвимыми службами были недоступны извне - разумное требование в случае защиты от Slammer, но неприемлемое для защиты от CodeRed .
Актуальными для серверов Windows остаются и черви, атакующие уже непосредственно уязвимые службы операционной системы, такие как Lovesan, Sasser, Mytob и др. Защита от них должна обеспечиваться комплексными мерами - использованием брандмауэров, установкой заплат, применением проверки при доступе (упомянутые черви при успешной атаке сохраняют свои файлы на жестком диске).
Учитывая характер атак, можно сделать вывод, что основными средствами защиты серверов Windows являются: модуль проверки файлов при доступе, модуль проверки файлов по требованию, модуль проверки скриптов, а основными технологиями - сигнатурный и эвристический анализ (а также поведенческий - в модуле проверки скриптов).
Специфических вирусов, способных заражать Novell Netware, нет. Существует, правда, несколько троянов , ворующих права доступа к серверам Novell, но они все равно рассчитаны на выполнение в среде ОС Windows.
Соответственно, антивирус для сервера Novell Netware фактически не предназначен для защиты этого сервера. В чем же тогда его функции? В предотвращении распространения вирусов. Сервера Novell Netware в большинстве своем используются именно как файловые сервера, пользователи Windows-компьютеров могут хранить на таких серверах свои файлы или же запускать программы, расположенные на томах Novell Netware. Чтобы предотвратить проникновение вирусов на общие ресурсы сервера Novell, либо запуск/чтение вирусов с таких ресурсов и нужен антивирус.
Соответственно, основные средства, применяемые в антивирусе для Novell Netware - проверка при доступе и проверка по требованию.
Из специфических технологий, применяемых в антивирусах для Novell Netware необходимо отметить блокирование станций и/или пользователей, записывающих на сервер вредоносные программы.
Про сервера Unix можно сказать все то же, что и про сервера Novell Netware. Антивирус для Unix-серверов решает не столько задачу защиты самих серверов от заражения, сколько задачу недопущения распространения вирусов через сервер. Для этого применяются все те же два основных средства:
- Проверка файлов по требованию
- Проверка файлов при доступе
Многие известные черви под Linux используют для распространения уязвимости не в самой операционной системе, а в системном и прикладном ПО - в ftp-сервере wu- ftpd , в веб-сервере Apache. Понятно, что такие приложения используются чаще на серверах, чем на рабочих станция, что является дополнительным аргументом в пользу усиленных мер по защите серверов.
В отличие от серверов Novell, где поддержка сетей Microsoft является встроенной функцией, сервера Unix по умолчанию не приспособлены для передачи файлов по протоколу SMB/ CIFS . Для этой цели используется специальный программный пакет - Samba, позволяющий создавать совместимые с Microsoft-сетями общие ресурсы.
Если обмен файлами происходит только по протоколам SMB/ CIFS , то очевидно, не имеет смысла контролировать все файловые операции, достаточно проверять только файлы, передающиеся с использованием Samba-сервера.
Аннотация
Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных. В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась. Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала.
С развитием Ransomware появляются и средства противодействия им. В первую очередь это открытый проект No more Ransom! (www.nomoreransom.org), предоставляющий жертвам атак средства дешифрования данных (в случае вскрытия ключа шифрования), во вторую – специализированные open-source средства защиты от вирусов-шифровальщиков. Но и они либо анализируют поведение ПО по сигнатурам и не способны обнаружить неизвестный вирус, либо обеспечивают блокировку вредоносного ПО после его воздействия на систему (шифрования части данных). Специализированные Open-source решения применимы интернет-пользователями на личных / домашних устройствах, крупным организациям, обрабатывающим большие объемы информации, в том числе критичной, необходимо обеспечивать комплексную проактивную защиту от направленных атак.
Проактивная защита от направленных атак и Ransomware
Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:
- Воздействие на периметр локальной вычислительной сети из интернета возможно через:
- корпоративную электронную почту;
- веб-трафик, в том числе веб-почту;
- периметровый маршрутизатор / межсетевой экран;
- сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
- системы защищенного удаленного доступа.
- Воздействие на серверы, рабочие места пользователей по сети:
- загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
- использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
- загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
- подключение к локальной сети нелегитимных устройств.
- Прямое воздействие на информацию на серверах, рабочих местах пользователей:
- подключение внешних носителей информации с вредоносом;
- разработка вредоносных программ прямо на конечной точке / сервере.
Для уменьшения вероятности реализации угрозы для каждого типа доступа к защищаемой информации необходимо обеспечивать выполнение комплекса организационно-технических мер по защите информации, перечень которых отражен на рисунке (см. Рисунок 1)
Рисунок 1. Проактивные меры защиты от направленных атак и Ransomware
К основным организационным мерам проактивной защиты от направленных атак и Ransomware относятся:
- Повышение осведомленности сотрудников в области ИБ.
Необходимо регулярно проводить обучение сотрудников и информировать их о возможных угрозах ИБ. Минимальной и необходимой мерой является формирование принципов работы с файлами и почтой:
o не открывать файлы с двойным расширением: настроить для пользователей отображение расширений, чтобы идентифицировать вредоносные файлы с двойными расширениями (например, 1СRecord.xlsx.scr);
o не включать макросы в недоверенных документах Microsoft Office;
o проверять адреса отправителей почтовых сообщений;
o не открывать ссылки на веб-страницы, почтовые вложения от неизвестных отправителей. - Оценка эффективности защиты как внутри организации, так и с привлечением внешних специалистов.
Оценивать эффективность обучения персонала необходимо при помощи моделирования атак, как внутренних, так и с участием внешних специалистов — проводить тесты на проникновение, в т. ч. с использованием метода социальной инженерии. - Регулярное обновление системного ПО (Patch Management).
Для предотвращения атак вредоносного ПО на целевые системы через известные уязвимости необходимо обеспечить своевременное тестирование и установку обновлений системного и прикладного ПО с учетом приоритизации по степени критичности обновлений. - Систематизация резервного копирования данных.
Необходимо регулярно выполнять резервное копирование критически важных данных серверов информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться на ленточных библиотеках системы хранения данных, на отчуждаемых носителях информации (при условии, что носитель информации не подключен постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.
Технические мероприятия проактивной защиты от направленных атак и Ransomware предпринимаются на уровне сети и на уровне хоста.
Дополнительно к вышеперечисленным мерам предотвратить направленную атаку в корпоративной сети поможет следующее:
- Обеспечение регулярного анализа защищенности ИТ-инфраструктуры — сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
- Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.
Приоритезация мер защиты от вирусов-вымогателей
Надежная комплексная защита от направленных атак обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:
- Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
- Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
- Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.
Рисунок 2. Приоритизация мер защиты от трояна-вымогателя
Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей Интернет, для которых также применимы отдельные меры по предотвращению заражения:
- своевременная установка обновлений системного ПО;
- использование антивирусов;
- своевременное обновление баз сигнатур антивирусов;
- использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.
Меры защиты для мобильных устройств:
- Для корпоративного сектора:
o использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
o для защиты корпоративных данных на мобильных устройствах пользователя — системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
o использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений. - Для конечных пользователей:
o использование официальных магазинов для установки приложений;
o своевременное обновление системного ПО;
o исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.
Выводы
Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего. В связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе и потребность в обеспечении комплексной защиты.
Читайте также: