Cетевые экраны (firewall). Их назначение.

Методы обнаружения вредоносных программ: реактивная защита.

Принцип работы антивирусных программ и действия антивирусной защиты

Вернуться к содержанию

Принцип работы антивирусных программ – обнаружение и удаление вредоносного кода с использованием всего комплекса необходимых технологий. Антивирусные технологии развиваются параллельно с эволюцией вредоносных программ, становясь всё более изощренными по мере усложнения угроз.

Принципы действия антивирусных программ можно классифицировать несколькими способами. Один из видов классификации базируется на том, какая угроза нейтрализуется – известная или неизвестная вирусным аналитикам и антивирусным компаниям:

Реактивная защита – защита от известных угроз с использованием знаний об участках кода и других уникальных особенностях существующих вредоносных программ. Для того чтобы такая защита работала успешно, антивирусная программа должна иметь обновленные базы сигнатур.

Проактивная защита – защита от новых вредоносных программ, основанная на знании неуникальных особенностей кода и поведения, характерных для деструктивного ПО.

Еще один вид классификации технологий, реализующих принцип антивирусной защиты, базируется на том, какие свойства угроз и потенциально зараженных объектов анализируются при детектировании:

Анализ кода подозрительных объектов.

Поведенческий анализ подозрительных объектов.

Отслеживание изменений файлов, хранящихся на компьютере, по контрольным суммам и другим признакам.

Антивирусные технологии можно классифицировать и по тому, в каком режиме осуществляется защита:

Постоянный мониторинг за процессами на компьютере и в сети, и обнаружение угроз «на лету», например, при открытии зараженного файла или загрузке инфицированной веб-страницы в браузер.

Сканирование компьютера, запускаемое по расписанию, событию или запросу пользователя.

Ещё один способ классификации технологий, реализующих принцип антивирусной защиты:

Блокирование или ограничение активности объектов, содержащихся в «черных» списках (например, в базах сигнатур угроз), и разрешение запуска всех остальных.

Разрешение активности только безопасных объектов из «белых» списков и запрет активности всех остальных.

Комбинированный подход, например, использование «черных» списков для обнаружения угроз и «белых» списков для коррекции результатов детектирования и минимизации ложных срабатываний.

Знать принцип работы антивирусов< необходимо для правильного выбора антивирусного решения. Полноценный антивирус должен включать в себя полный комплекс технологий, нейтрализующих любые типы угроз.

Классы вредоносных программ: файловые вирусы

Виды вредоносных программ

Чтобы знать, какого рода опасности могут угрожать вашим данным, рассмотрим, какие бывают вредоносные программы и как они работают. Вредоносные программы можно разделить на три класса: черви, вирусы и троянские программы.

Черви — это класс вредоносных программ, использующих для распространения сетевые ресурсы. Название этого класса было дано исходя из способности «червей» переползать с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Благодаря этому свойству «черви» обладают исключительно высокой скоростью распространения.

«Черви» проникают в компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера за исключением оперативной памяти.

Вирусы — это программы, которые заражают другие программы — добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Основное действие, выполняемое вирусом, — заражение. Скорость распространения вирусов ниже, чем у «червей».

Троянские программы — программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к зависанию, воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумыщленниками под видом полезного программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.

В 1972 г. Агентство национальной безопасности США предупредило создателей компьютеров о возможности появления программ со «скрытой начинкой», которая может наносить вред компьютеру. Позднее они получили название «Троянский конь».

В последнее время наиболее распространенными типами вредоносных программ, портящими компьютерные данные, стали «черви». Далее по распространенности следуют вирусы и троянские программы. Некоторые вредоносные программы совмещают в себе характеристики двух или даже трех из перечисленных ранее классов.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расщирения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или сектор, содержащий программу загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусы заражают файлы и загрузочные сектора дисков.

По способу заражения вирусы разделяются на резидентные и нерезидентные.

Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.д.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия выделяют неопасные вирусы, которые не мешают работе компьютера, опасные, которые могут привести к различным нарущениям в работе компьютера, и очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Одной из малоприятных особенностей компьютерных вирусных программ является их самовоспроизводящийся характер. При этом развитие вируса проходит следующие этапы:

• скрытый этап, когда действие вируса не проявляется и остается незамеченным;

• этап лавинообразного размножения, но его действия при этом еще не активизированы;

• этап активного действия, когда вирус начинает выполнять вредные действия, заложенные программистом.

Первые два этапа хорощо маскируют вирусы и позволяют им быть скрытыми. В это время они проникают в состав определенных файлов, вызывая те или иные нарушения.

Cетевые экраны (firewall). Их назначение.

Сетевым или межсетевым экраном (другие определения: firewall, брандмауэр) называется комплекс аппаратных и программных средств, который контролирует и фильтрует проходящие через него сетевые пакеты в соответствии с заданными правилами.

Назначение

Изоляция и защита приложений, машин и сервисов во внутренней сети от поступающего из внешней сети Интернет нежелательного трафика.

Запрещение или ограничение доступа хостов внутренней сети к внешним web- сервисам.

Поддержка преобразования сетевых адресов (NAT, network address translation), что позволяет использовать во внутренней сети приватные IP адреса.

Виды

Межсетевые экраны по охвату контролируемых потоков данных разделяются на:

традиционные. Это программа (или неотъемлемая составляющая операционной системы) на шлюзе (передающем трафик между сетями сервере) или аппаратный межсетевой экран, который контролирует исходящие и входящие потоки информации между подключенными сетями;

персональные. Это программы, установленные на пользовательском компьютере и предназначенные для его защиты от несанкционированного доступа.

В зависимости того, на каком уровне происходит контроль доступа, межсетевые экраны делятся на:

работающие на сетевом уровне. Фильтрация осуществляется на основе IP-адресов получателя и отправителя пакетов, заданных администратором статических правил и протоколов транспортного уровня модели OSI;

работающие на сеансовом уровне. Межсетевой экран отслеживает сеансы между приложениями, не пропускает пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях — инъекциях данных, сканировании ресурсов, обрыве (замедлении) соединений, взломах через ошибочные реализации TCP/IP;

работающие на уровне приложений. Фильтрация осуществляется за счет анализа передаваемых внутри пакета данных приложения. Такой межсетевой экран дает возможность блокировать передачу потенциально опасной и нежелательной информации на основании настроек и политик.

По способу отслеживания активных соединений различают следующие сетевые экраны:

с простой фильтрацией (stateless). Они не отслеживают текущие соединения, а осуществляют фильтрацию потока данных только на основе статических условий;

с фильтрацией с учётом контекста (stateful packet inspection (SPI). Такие сетевые краны отслеживают текущие соединения и пропускают только пакеты, удовлетворяющие алгоритмам работы и логике соответствующих приложений и протоколов.

Не нашли, что искали? Воспользуйтесь поиском по сайту: