Антивирус не панацеяПроактивная система защиты Safe'n'SecЧасовой ScottyВсесторонний контроль RegRunКонтроль целостности с XintegrityПоявившиеся первыми, антивирусы долгое время одни защищали компьютеры пользователей. Однако постепенно стало ясно, что для полноценной защиты необходимы дополнительные элементы или другие программы. Сегодня пользователи высказывают по поводу антивирусов различные мнения от полной уверенности в защите до того, что главное выдержать первый удар. Иногда антивирусы используются не столько как защита, сколько как средство оценки нанесенного ущерба и удаления вредоносных модулей. Система обнаружения, учитывающая опыт предыдущих атак, становится бесполезной при столкновении с неизвестным вирусом или шпионской программой. Чтобы сгенерировать сигнатуру, антивирусной компании необходимо получить экземпляр вируса, выделить фрагмент, характерный только для него, после чего занести вирус в базу. Это занимает время (в случае полиморфного вируса процесс создания сигнатуры может сильно затянуться), в течение которого антивирусы недееспособны, и новый червь может успеть заразить сотни тысяч компьютеров. Таким образом, классические сигнатурные антивирусы не способны предотвратить глобальную эпидемию.Используя различные подходы и технологии, системы защиты пытаются остановить неизвестные атаки. Можно выделить несколько подходов: эвристический анализ, поведенческие блокираторы, политика безопасности и системы контроля целостности. Каждый имеет достоинства и недостатки, поэтому в современных продуктах они комбинируются, что повышает точность и помогает избежать ошибок при определении подозрительной деятельности приложений.Практически все современные антивирусы имеют модуль проактивной защиты. Например, проактивная защита «Антивируса Касперского» использует для детектирования неизвестных вирусов все указанные технологии. По результатам тестов, точность проактивных систем не всегда составляет 100 %, поэтому они играют вспомогательную роль. Кроме прочего, антивирусы должны проверять файлы традиционным способом, поэтому такая система защиты ресурсоемка. При реализации проактивной защиты разработчики привязаны также к движку антивируса, который часто не дает полностью реализовать потенциальные возможности.Нашлись энтузиасты, которые разработали системы защиты, действующие от обратного: сначала проактивность, а антивирус по желанию. Такие системы не связаны антивирусным движком и могут максимально использовать возможности проактивных технологий. Если на компьютере установлен антивирус, то совместно с одной из программ, которые будут рассмотрены далее, они смогут защитить компьютер от неизвестных угроз.Такие решения еще не получили широкого применения. Пользователи, привыкшие каждый день обновлять базы, воспринимают их с недоверием. Антивирусные компании также не желают сдавать позиции. Однако проактивные системы защиты находят все более широкое распространение, поэтому с ними следует ознакомиться.Решения, позволяющие выявить или предотвратить нападение, относят к системам обнаружения или системам предотвращения атак. Первые позволяют зафиксировать факт атаки, вторые не только обнаруживают, но и останавливают ее. Требования к системам, предотвращающим атаки, жестче, так как любая ошибка может привести к блокировке легального запроса. Реализации этих систем работают с различными данными: они анализируют сетевые пакеты, системные запросы, файлы журналов и пр. Системы предотвращения атак делятся на два класса: одни защищают отдельный компьютер (host intrusion prevention system), другие ориентированы на сеть (network intrusion prevention system). В данной главе описаны решения, относящиеся к первому типу. О системах, защищающих сетевую часть, будет рассказано в главе 5. Российская компания StarForce ( ) известна одноименным механизмом защиты дисков от нелегального копирования. Ее новая разработка Safe'n'Sec ( ), представленная в ноябре 2004 года, сразу получила признание, а журнал PC Magazine/RE назвал ее антивирусом месяца. Safe'n'Sec не относится к антивирусам, а принадлежит к классу систем проактивной защиты, которые анализируют подозрительное поведение пользователя или программы.Для малых и средних предприятий, а также индивидуального, в том числе домашнего, использования предназначены версии Personal и Pro. Версии Business и Enterprise, обладающие дополнительными возможностями по защите компьютеров корпоративной сети предприятий различного уровня от вредоносного ПО, вторжений в сеть и инсайдеров, для домашнего компьютера излишни (хотя, например, их модуль Timing, представляющий собой систему контроля активности сотрудника и учета рабочего времени, будет полезен для отслеживания времени, проведенного за компьютером ребенком).Продукт Safe'n'Sec доступен в нескольких вариантах. Самым простым является Safe'n'Sec Pro Персональный стандартная разработка, обеспечивающая проактивную защиту компьютера, отслеживающая поведение вредоносных программ и осуществляющая их блокировку, защищает компьютер от небезопасных действий начинающих пользователей. Версия Safe'n'Sec Pro Deluxe кроме этого обеспечивает защиту от руткитов и лечит инфицированные файлы. Существуют также комбинированные решения. Safe'n'Sec Pro Deluxe + Elcom soft system recovery дополнительно к возможностям варианта Deluxe содержит модуль Elcomsoft system recovery (ESR), который предоставляет возможность доступа в Windows с нужными привилегиями в случае утери пароля или если учетная запись случайно заблокирована. Вариант Safe'n'Sec Pro + Антивирус Dr.Web расширенная версия, имеющая дополнительный антивирусный движок Dr.Web, который позволяет обнаруживать известные на данный момент вирусы. Версия Safe'n'Sec Pro Deluxe + AdsCleaner представляет собой систему блокировки рекламы и обеспечения комфортной и безопасной работы пользователя в Интернете, в том числе очищая в конце работы следы активности. Вариант Safe'n'Sec Personal + Anti-Spyware расширенная версия, дополнительно имеющая сканер Anti-Spyware Module, который позволяет обнаруживать известные программы-шпионы. Safe'n'Sec Персональный + Outpost Firewall Pro, кроме контроля программ, работающих на компьютере, следит за сетевым трафиком компьютера и делает его невидимым для хакеров.В основе технологии Safe'n'Sec лежит перехват системных вызовов на уровне операционной системы. Основу продукта составляет модуль System Interceptor, который загружается одним из первых и перехватывает все системные вызовы любых приложений. Это позволяет обнаруживать комбинированные атаки, предотвращать попытки внести изменения в системный реестр или состояние сервисов операционной системы, получить доступ к регистрационным данным пользователя и пр. Механизм принятия решения Safe'n'Sec действует на основе правил, которые учитывают все возможные последовательности действий, классифицируемых как вредоносные.ПримечаниеОсновная идея Safe'n'Sec состоит в том, что данные поражаются не вирусом, а в результате выполнения им вредоносных действий.После обнаружения подозрительного приложения Safe'n'Sec самостоятельно принимает решение о его вредоносности и уведомляет пользователя, который должен определить, что с ним делать (разрешить или заблокировать). Для упрощения решения доступна история активности, по которой можно подробно изучить последовательность действий, выполненных приложением. Дополнительно из консоли можно получить доступ к списку запрещенных и доверенных приложений, который можно здесь же отредактировать.На момент написания данной книги актуальной была версия 2.5. Для примера установим Safe'n'Sec, имеющую в составе антивирусный модуль. Недавно мне попался очередной тест, в результате которого проактивная система обнаружила больше вирусов, чем антивирусный модуль. Версия с антивирусным модулем представляет собой компромисс и понравится пользователям, которые пока не доверяют новому методу защиты, но которым надоели бесконечные обновления антивирусных баз.Установка заключается в запуске исполняемого файла. Наилучшим вариантом является инсталляция на чистую систему. В этом случае по мере установки новых приложений вы будете постепенно заполнять внутреннюю базу Safe'n'Sec, хотя это не критично. Сам процесс прост, достаточно нажимать кнопку Далее, оставляя значения, предлагаемые по умолчанию. Если устанавливается комплексное решение, необходимо отметить флажками нужные компоненты. На четвертом шаге вас попросят выбрать интерфейс (рис. 3.1).Рис. 3.1. Выбор типа интерфейсаОставьте все как есть (Простой интерфейс (для большинства пользователей)): позже вы сможете перейти к расширенному варианту; он выдает много технической информации, справиться с которой может не каждый пользователь. Safe'n'Sec также может контролировать сетевую активность приложений. Если вы используете межсетевой экран, флажок Контролировать сетевую активность приложений лучше не устанавливать.В последнем окне мастера установите флажок Запустить Safe'n'Sec Assistant. Установка завершена.При первом запуске инициализируется внутренняя база приложений. Это может занять некоторое время, затем появится окно Safe'n'Sec Pro+Anti-Virus Assistant (рис. 3.2).Рис. 3.2. Ассистент Safe'n'SecВ пошаговом режиме вам предложат указать лицензионный ключ продукта (при работе с пробной версией этот шаг можно пропустить, нажав кнопку Далее), установить имеющиеся обновления антивирусных баз и запустить полную проверку системы на вирусы. В последнем окне появится список всех установленных на компьютере приложений следует указать их статус (известное или неизвестное). Если вы доверяете программе, установкой флажка возле него можно убрать его из списка контролируемых Safe'n'Sec. Нажатием ссылки Добавить можно вручную занести приложение в список, указав путь к исполняемому файлу. Это может понадобиться, если приложение не найдено в автоматическом режиме, например не требует инсталляции для работы. Если в список внесены изменения, не забудьте нажать ссылку Применить. Закончив работу с ассистентом, следует нажать кнопку Закрыть в области уведомлений появится значок Safe'n'Sec в виде носорога.ПримечаниеЕсли вы сомневаетесь в некоторых настройках, оставьте значение, предложенное по умолчанию,P при необходимости его можно будет изменить.Работа с программой происходит в окне Консоли управления, которое можно открыть, выбрав соответствующий пункт в меню Пуск либо дважды щелкнув кнопкой мыши на значке в области уведомлений.Окно Консоли управления (рис. 3.3) можно разделить на две части. Слева расположены ссылки на функции защиты и настройки, справа отображаются статус работы и статистика. Щелчок на любом пункте в обеих частях приведет к появлению дополнительной информации или выполнению указанного действия.Рис. 3.3. Консоль управленияПроверить файлы с помощью встроенного антивируса можно двумя способами: щелкнуть правой кнопкой мыши на значке файла или папки и из контекстного меню выбрать пункт Поиск вирусов; щелкнуть на ссылке Поиск вирусов в левой части Консоли управления.Программа проста в использовании и в большинстве случаев функционирует в фоновом режиме, не мешая пользователю работать. Если известное приложение пытается выполнить разрешенное действие, то пользователь просто информируется о происходящем (рис. 3.4).Рис. 3.4. Информация о запуске известного приложенияЕсли активность приложения расценена как опасная и ситуация требует решения пользователя, появится соответствующее уведомление (рис. 3.5).Рис. 3.5. Запрос на выполнение подозрительного действияВ таком случае необходимо Разрешить или Заблокировать дальнейшее выполнение программы. Если такое сообщение появляется вне зависимости от действий пользователя, то действие можно считать подозрительным и блокировать.Вернемся к Консоли управления Safe'n'Sec. Чтобы просмотреть список активных процессов, следует щелкнуть на ссылке Процессы и приложения в области Статус. В зависимости от зоны выполнения процессы разбиты на группы. После установки их две: Доверенные приложения и Настраиваемые приложения. Для каждого процесса приведена следующая информация: его имя, производитель программного обеспечения, в состав которого включен активный процесс, краткое описание и сетевая активность в данный момент. Если выделить процесс и щелкнуть на кнопке Свойства, появится окно с дополнительной информацией. На вкладке Процесс выведены данные, о которых говорилось выше. Щелкнув на ссылке Соединения, вы можете просмотреть список открытых сетевых соединений, здесь можно узнать IP-адреса (локальный и удаленный), номер порта и состояние соединения.При щелчке правой кнопкой мыши на строке процесса появляется контекстное меню, с помощью которого его можно перемести
Глава 3 Проактивные системы защиты и системы контроля целостности / Защита вашего компьютера
Комментариев нет:
Отправить комментарий