Тема 4. Технологии обнаружения вторжений МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ

реклама
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Тема 4. Технологии обнаружения
вторжений
Цель темы - изучение технологий
корпоративных информационных систем.
обнаружения
вторжений
в
сети
Задачи темы:
В результате изучения темы студенты должны освоить:
 задачи и методы технологии обнаружения атак;
 особенности и проблемы обнаружения вирусов;
 основы реализации системы обнаружения вторжений.
Оглавление
4.1. Технологии обнаружения атак
Версия
для
печати
Хрестоматия
Практикумы
Презентации
Тьюторы
Тесты
4.2. Технологии защиты от вирусов
Вопросы для самопроверки
4.1. Технологии обнаружения атак
Концепция адаптивного управления безопасностью
Атакой на корпоративную информационную систему считается любое
действие,
выполняемое
нарушителем
для
реализации
угрозы
путем
использования уязвимостей корпоративной информационной системы (КИС). Под
уязвимостью корпоративной информационной системы понимается любая
характеристика или элемент КИС, использование которых нарушителем может
привести к реализации угрозы.
Уязвимы практически все компоненты корпоративной информационной
системы. Во-первых, это сетевые протоколы и устройства (маршрутизаторы,
коммутаторы), образующие сеть; во-вторых - операционные системы; в-третьих базы данных и приложения .
Злоумышленник располагает широким спектром возможностей для нарушения
безопасности КИС. Эти возможности могут быть реализованы на всех четырех
перечисленных
выше
уровнях
КИС.
Например,
для
получения
несанкционированного доступа к финансовой информации в СУБД MS SQL Server
злоумыш ленник может реализовать одну из следующих возможностей:
1. Перехватить передаваемые по сети данные (уровень сети).
2. Прочитать файлы базы данных, обращаясь непосредственно к файловой сис теме
(уровень ОС).
3. Прочитать нужные данные средствами самой СУБД (уровень СУБД).
4. Прочитать записи БД при помощи SQL - запросов через программу MS Query , которая
позволяет получать доступ к записям СУБД (уровень прикладного ПО).
При построении большинства традиционных компьютерных средств защиты
использовались классические модели разграничения доступа, разработанные еще
в 1970 - 1980-е годы. Недостаточная эффективность таких традиционных меха
1
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
низмов защиты, как разграничение доступа, аутентификация, фильтрация и др.,
обусловлена тем, что при их создании не учтены многие аспекты, связанные с
современными атаками.
Адаптивный подход к безопасности позволяет контролировать, обнаруживать и
реагировать в режиме реального времени на риски безопасности, используя пра
вильно спроектированные и хорошо управляемые процессы и средства.
Адаптивная безопасность сети обеспечивается тремя основными элементами:
 технологиями анализа защищенности;
 технологиями обнаружения атак;
 технологиями управления рисками.
Анализ защищенности - это поиск уязвимых мест в сети. Сеть состоит из со
единений, узлов, хостов, рабочих станций, приложений и баз данных. Все они
нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных
уязвимостей в них. Технологии анализа защищенности позволяют исследовать
сеть, найти слабые места в ней, обобщить эти сведения и выдать по ним отчет
Если система, реализующая эту технологию, содержит и адаптивный компо нент,
то устранение найденной уязвимости будет осуществляться не вручную, а
автоматически. Технология анализа защищенности является действенным ме
тодом, позволяющим реализовать политику сетевой безопасности прежде, чем
осуществится попытка ее нарушения снаружи или изнутри организации.
Перечислим некоторые из проблем, идентифицируемых технологией анализа
защищенности:
 «дыры» в системах и программы типа «троянский конь»;
 слабые пароли;
 восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в
обслуживании»;
 отсутствие необходимых обновлений операционных систем;
 неправильная настройка межсетевых экранов, Web - серверов и баз данных;
 и многое другое.
Обнаружение атак является процессом оценки подозрительных действий, ко
торые происходят в корпоративной сети. Обнаружение атак реализуется
посредством анализа или журналов регистрации операционной системы и
приложения, или сетевого трафика в реальном времени. Компоненты
обнаружения атак, раз мещенные на узлах или сегментах сети, оценивают
различные события, в том чис ле и действия, использующие известные
уязвимости.
Использование модели адаптивного управления безопасностью сети (рис. 1)
дает возможность контролировать практически все угрозы и своевременно
реагировать на них высокоэффективным способом, позволяющим не только
устранить уязвимости, которые могут привести к реализации угрозы, но и
проанализиро вать условия, приводящие к появлению уязвимостей.
2
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Рис. 1. Модель адаптивного управления безопасностью
Технология анализа защищенности
В организации, использующей корпоративную информационную систему, прихо
дится регулярно проверять, насколько реализованные или используемые меха
низмы защиты информации соответствуют положениям принятой в организации
политики безопасности. Такая задача периодически возникает при изменении и
обновлении компонентов информационной системы, изменении конфигурации
операционной системы и т.п.
Однако администраторы сетей не имеют достаточного времени на проведение
такого рода проверок для всех узлов корпоративной сети. Поэтому специалисты
отделов защиты информации нуждаются в средствах, облегчающих анализ защи
щенности используемых механизмов обеспечения информационной безопасности.
Этот процесс помогают автоматизировать средства анализа защищенности, часто
называемые сканерами безопасности.
Использование средств анализа защищенности позволяет определить уязвимо
сти на узлах корпоративной сети и устранить их до того, как ими воспользуются
злоумышленники. По существу, работа системы анализа защищенности аналогич
на действиям охранника, периодически обходящего все этажи охраняемого зда
ния в поисках открытых дверей, незакрытых окон и других проблем. Только в
качестве здания выступает корпоративная сеть, а в качестве незакрытых окон и
дверей - уязвимости.
Средства анализа защищенности могут функционировать на сетевом уровне,
уровне операционной системы и уровне приложения. Они могут проводить по иск
уязвимостей, постепенно наращивая число проверок и «углубляясь» в инфор
мационную систему, исследуя все ее уровни.
3
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Наибольшее распространение получили средства анализа защищенности сете
вых сервисов и протоколов. Обусловлено это в первую очередь универсальностью
используемых протоколов. Повсеместное использование таких протоколов, как IP,
TCP, HTTP, FTP и т.п., позволяет с высокой степенью эффективно сти проверять
защищенность информационной системы, работающей в сетевом окружении.
Сетевые и информационные технологии меняются настолько быстро, что
статичные защитные механизмы, к которым относятся и системы разграничения
досту па, и межсетевые экраны, и системы аутентификации, сильно ограничены и
во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются
динамические методы, позволяющие оперативно обнаруживать и предотвращать
нарушения безопасности. Одной из технологий, позволяющей обнаруживать
нарушения, которые не могут быть идентифицированы при помощи традиционных
моделей контроля доступа, является технология обнаружения атак.
По существу, процесс обнаружения атак является процессом оценки
подозрительных действий, которые происходят в корпоративной сети. Иначе
говоря, обнаружение атак - это процесс идентификации и реагирования на
подозрительную деятельность, направленную на вычислительные или сетевые
ресурсы.
Эффективность системы обнаружения атак во многом зависит от применяемых
методов анализа полученной информации. В первых системах обнаружения атак,
разработанных в начале 1980-х годов, использовались статистические методы
обнаружения атак. В настоящее время к статистическому анализу добавился ряд
новых методик, начиная с экспертных систем, нечеткой логики и заканчивая
использованием нейронных сетей.
Классификация обнаружения атак
Механизмы обнаружения атак, применяемые в современных системах
обнаружения атак, основаны на нескольких общих мето дах. Следует отметить,
что эти методы не являются взаимоисключающими. Во многих системах
используется комбинация нескольких методов.
Классификация систем обнаружения атак может быть выполнена по несколь
ким признакам:
 по способу реагирования;
 по способу выявления атаки;
 по способу сбора информации об атаке.
По способу реагирования различают пассивные и активные системы.
Пассивные системы просто фиксируют факт атаки, записывают данные в файл
журнала и выдают предупреждения. Активные пытаются противодействовать
атаке, например, переконфигурируя межсетевой экран или генерируя списки
доступа маршрути затора.
По способу выявления атаки системы обнаружения атак принято делить на
две категории:
 обнаружения аномального поведения;
 обнаружения злоупотреблений.
Технология обнаружения атак путем идентификации аномального поведения
основана на следующей гипотезе. Аномальное поведение пользователя (то есть
атака или какое-нибудь враждебное действие) - это отклонение от нормального
поведения. Примером аномального поведения может служить большое число
соединений за короткий промежуток времени, высокая загрузка центрального про
цессора и т.п.
4
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Наиболее популярна классификация по способу сбора информации об
атаке:
 обнаружение атак на уровне сети;
 обнаружение атак на уровне хоста;
 обнаружение атак на уровне приложения.
Система первого типа прослушивает трафик в сети и определяя возможные
действия злоумышленников. Поиск атаки идет по прин ципу «от хоста до хоста».
Системы, входящие в первый класс, анализируют сете вой трафик, используя, как
правило, сигнатуры атак и анализ «на лету». Метод анализа «на лету»
заключается в мониторинге сетевого трафика в реальном или близком к
реальному времени и использовании соответствующих алгоритмов обнаружения.
Часто используется механизм поиска в трафике определенных строк, которые
могут характеризовать несанкционированную деятельность.
Системы второго типа предназначены для мониторинга, детектирования и реа
гирования на действия злоумышленников на определенном хосте. Система, рас
полагаясь на защищаемом хосте, проверяет и выявляет направленные против
него
действия.
Эти
системы
анализируют
регистрационные
журналы
операционной системы или приложения. Анализ журналов регистрации, является
одним из са мых первых реализованных методов обнаружения атак. Он
заключается в анали зе журналов регистрации, создаваемых операционной
системой, прикладным программным обеспечением, маршрутизаторами и т.д.
Записи жур нала регистрации анализируются и интерпретируются системой
обнаружения атак. К достоинствам этого метода относится простота его
реализации.
Третий тип систем основан на поиске проблем в определенном приложении.
Каждый из этих трех типов систем обнаружения атак (на уровнях сети, хоста и
приложения) имеет свои достоинства и недостатки. Необходимо заметить, что
лишь некоторые системы обнаружения атак могут быть однозначно отнесены к
одному из названных классов. Гибридные системы, представляющие собой комби
нацию различных типов систем, как правило, объединяют в себе возможности не
скольких категорий. Тем не менее, эта классификация отражает ключевые возмож
ности, отличающие одну систему обнаружения атак от другой.
4.2. Технологии защиты от вирусов
Классификация компьютерных вирусов
На сегодняшний день известны десятки тысяч различных компьютерных виру
сов. Несмотря на такое изобилие число типов вирусов, отличающихся друг от
друга механизмом распространения и принципом действия, достаточно ограни
ченно. Существуют и комбинированные вирусы, которые можно отнести одновре
менно к нескольким типам. Вирусы можно разделить на классы по следующим
основным признакам:




среда обитания;
операционная система;
особенности алгоритма работы;
деструктивные возможности.
Основной и наиболее распространенной классификацией компьютерных ви
русов является классификация по среде обитания, или, иначе говоря, по типам
объектов компьютерной системы, в которые внедряются вирусы. По среде
обитания компьютерные вирусы можно разделить на:
5
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE




файловые;
загрузочные;
макровирусы;
сетевые.
Файловые вирусы либо внедряются в выполняемые файлы (наиболее распро
страненный тип вирусов) различными способами, либо создают файлы-двойни ки
(компаньон - вирусы), либо используют особенности организации файловой сис
темы.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска ,
либо в сектор, содержащий системный загрузчик винчестера . Загрузочные
вирусы замещают код программы, получающей управ ление при загрузке
системы. В результате при перезагрузке управление передается вирусу
Макровирусыз аражают макропрограммы и файлы документов современных
сис тем обработки информации, в частности файлы - документы и электронные
таблицы популярных редакторов. Для размножения макровирусы используют
возможности макроязыков и при их помощи переносят себя из зараженного файла
в другие. Вирусы этого типа получают управление при откры тии зараженного
файла и инфицируют файлы, к которым впоследствии идет обращение из
соответствующего офисного приложения.
Сетевые вирусы используют для своего распространения протоколы или
коман ды компьютерных сетей и электронной почты. Иногда сетевые вирусы
называют программами типа «червь». Сетевые черви подразделяются на Интернет
- червей (рас пространяются по Интернет) и LAN - червей (распространяются по
локальной сети .
Жизненный цикл вирусов
Как и у любой программы, у компьютерных вирусов можно выделить две основ
ные стадии жизненного цикла: хранение и исполнение.
Стадия хранения соответствует периоду, когда вирус просто хранится на
диске совместно с объектом, в который он внедрен. На этой стадии вирус
является наи более уязвимым со стороны антивирусного программного
обеспечения, так как он не активен и не может контролировать работу
операционной системы с целью самозащиты.
Стадия исполнения компьютерных вирусов, как правило, включает пять
этапов:
1.
2.
3.
4.
5.
Загрузка вируса в память.
Поиск жертвы.
Заражение найденной жертвы.
Выполнение деструктивных функций.
Передача управления программе - носителю вируса.
Классические способы распространения вирусов
Файловые вирусы распространяются вместе с файлами программ в результате
обмена дискетами и программами, загрузки программ из сетевых каталогов, с Web
-серверов. Загрузочные вирусы попадают на компьютер, когда пользователь
оставляет зараженную дискету в дисководе, а затем перезагружа ет ОС.
Загрузочный вирус также может быть занесен на компьютер вирусами других
типов. Макрокомандные вирусы распространяются в результате обмена
зараженными файлами офисных документов, например, такими как файлы MS
Word.
6
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Если зараженный компьютер подключен к локальной сети, вирус может
оказаться на дисках файл-сервера, а оттуда через каталоги, доступные для запи
си, попасть на все остальные компьютеры сети. Так начинается вирусная эпидемия. Системному администратору следует помнить, что вирус имеет в сети такие
же права, что и пользователь, на компьютер которого этот вирус пробрался.
Поэтому он может попасть во все сетевые каталоги, доступные пользователю.
Если же вирус завелся на рабочей станции администратора сети, последствия
могут быть очень тяжелыми.
В настоящее время глобальная сеть Интернет; является основным источником
ви русов. Большое число заражений вирусами происходит при обмене письмами
по электронной почте. Электронная почта служит кана лом распространения
макрокомандных вирусов, так как вместе с сообщениями часто отправляются
офисные документы.
По мере развития компьютерных технологий совершенствуются и компьютер
ные вирусы, приспосабливаясь к новым для себя сферам обитания. В любой мо
мент может появиться компьютерный вирус, троянская программа или червь но
вого, неизвестного ранее типа, либо известного типа, но нацеленного на новое
компьютерное оборудование. Новые вирусы могут использовать неизвестные или
не существовавшие ранее каналы распространения, а также новые технологии
внедрения в компьютерные системы. Чтобы исключить угрозу вирусного зараже
ния, системный администратор корпоративной сети должен не только внедрять
методики антивирусной защиты, но и постоянно отслеживать новости в мире
компьютерных вирусов.
Антивирусные программы и комплексы
Для защиты от компьютерных вирусов могут использоваться следующие
методы и средства:
 общие методы и средства защиты информации;
 специализированные программы для защиты от вирусов;
 профилактические меры, позволяющие уменьшить вероятность заражения вирусами.
Общие средства защиты информации полезны не только для защиты от
вирусов. Они используются также как страховка от физической порчи дисков,
неправильно работающих программ или ошибочных действий пользователя.
Существует две основных разновидности этих средств:
 средства копирования информации - применяются для создания копий фай лов и
системных областей дисков;
 средства разграничения доступа - предотвращают несанкционированное использование
информации, в частности обеспечивают защиту от измене ний программ и данных
вирусами, неправильно работающими программа ми и ошибочными действиями
пользователей.
При заражении компьютера вирусом важно его обнаружить. К внешним
признакам проявления деятельности вирусов можно отнести следующие:









вывод на экран непредусмотренных сообщений или изображений;
подача непредусмотренных звуковых сигналов;
изменение даты и времени модификации файлов;
исчезновение файлов и каталогов или искажение их содержимого;
частые зависания и сбои в работе компьютера;
медленная работа компьютера;
невозможность загрузки операционной системы;
существенное уменьшение размера свободной оперативной памяти;
прекращение работы или неправильная работа ранее успешно функциони ровавших
программ;
7
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
 изменение размеров файлов;
 неожиданное значительное увеличение количества файлов на диске.
Для обнаружения и защиты от компьютерных вирусов разработано несколько
видов специальных программ, которые позволяют обнаруживать и уничтожать
компьютерные
вирусы.
Такие
программы
называются
антивирусными.
Практически все антивирусные программы обеспечивают автоматическое
восстановле ние зараженных программ и загрузочных секторов. Антивирусные
программы используют различные методы обнаружения вирусов.
К основным методам обнаружения компьютерных вирусов можно отнести сле
дующие:





метод сравнения с эталоном;
эвристический анализ;
антивирусный мониторинг;
метод обнаружения изменений;
встраивание антивирусов в BIOS компьютера и др.
Метод сравнения с эталоном. Самый простой метод обнаружения
заключается в том, что для поиска известных вирусов используются так
называемые
маски.
Маской
вируса
является
некоторая
постоянная
последовательность кода, специфичная для этого конкретного вируса.
Антивирусная
программа
последователь
но
просматривает
(сканирует)
проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры
способны найти только уже известные вирусы, для которых определена маска.
Если вирус не содержит постоянной маски или длина этой маски недостаточно
велика, то используются другие методы. Приме нение простых сканеров не
защищает компьютер от проникновения новых виру сов. Для шифрующихся и
полиморфных вирусов, способных полностью изменять свой код при заражении
новой программы или загрузочного сектора, невозможно выделить маску, поэтому
антивирусные сканеры их не обнаруживают.
Эвристический анализ. Для того чтобы размножаться, компьютерный вирус
должен совершать какие-то конкретные действия: копирование в память, запись
в сектора и т.д. Эвристический анализатор (который является частью антивирус
ного ядра) содержит список таких действий и проверяет программы и загрузоч
ные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для
вирусов. Эвристический анализатор может обнаружить, например, что
проверяемая программа устанавливает резидентный модуль в памяти или
записывает дан ные в исполняемый файл программы. Обнаружив зараженный
файл, анализатор обычно выводит сообщение на экране монитора и делает
запись в собственном или системном журнале. В зависимости от настроек
антивирус может также на правлять сообщение об обнаруженном вирусе
администратору сети. Эвристичес кий анализ позволяет обнаруживать
неизвестные ранее вирусы. Первый эврис тический анализатор появился в начале
90-х годов прошлого века. Практически все современные антивирусные
программы реализуют собственные методы эвристического анализа.
Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти
компьютера постоянно находится антивирусная программа, осуществляющая
мониторинг всех подозрительных действий, выполняемых другими программами.
Антивирусный мониторинг позволяет проверять все запускаемые программы,
создаваемые, открываемые и сохраняемые документы, файлы программ и
документов, полученные через Интернет; или скопированные на жесткий диск с
дискеты либо компакт-диска. Антивирусный монитор сообщит пользователю, если
какая-либо программа попытается выполнить потенциально опасное действие.
8
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Метод обнаружения изменений. При реализации метода обнаружения
изменений антивирусные программы, называемые ревизорами диска, запоминают
предварительно
характеристики
всех
областей
диска,
которые
могут
подвергнуться нападению, а затем периодически проверяют их. Заражая
компьютер, вирус изменяет содержимое жесткого диска: например, дописывает
свой код в файл программы или документа, добавляет вызов программы-вируса в
файл Autoexec.bat, изменяет загрузочный сектор, создает файл-спутник. При
сопоставлении значений характеристик областей диска антивирусная программа
может обнаружить изменения, сделанные как известным, так и неизвестным
вирусом.
Встраивание антивирусов в BIOS компьютера. В системные платы компьюте
ров тоже встраивают простейшие средства защиты от вирусов. Эти средства по
зволяют контролировать все обращения к главной загрузочной записи жестких
дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо про
грамма пытается изменить содержимое загрузочных секторов, срабатывает защи
та, и пользователь получает соответствующее предупреждение. Однако эта
защита не очень надежна. Известны вирусы, которые пытаются отключить
антивирусный контроль BIOS , изменяя некоторые ячейки в энергонезависимой
памяти.
Виды антивирусных программ
Различают следующие виды антивирусных программ:




программы-фаги (антивирусные сканеры);
программы-ревизоры;
программы-блокировщики;
программы-иммунизаторы.
Самыми популярными и эффективными антивирусными программами являют ся
программы-фаги. На втором месте по эффективности и популярности находят ся
программы-ревизоры. Обычно оба указанных вида программ объединяют в одну
универсальную антивирусную программу, что значительно повышает ее
мощность. Применяются также различного типа блокировщики и иммунизаторы.
Программы-фаги (сканеры) используют для обнаружения вирусов методы
сравнения с эталоном, эвристического анализа и некоторые другие. Программыфаги осуществляют поиск характерной для конкретного вируса маски путем
сканирования содержимого оперативной памяти и файлов и при обнаружении
выдают соответствующее сообщение. Программы-фаги не только находят
зараженные вирусами файлы, но и лечат их, то есть удаляют из файла тело
программы-виру са, возвращая файлы в исходное состояние. В начале своей
работы программы- фаги сканируют оперативную память, обнаруживают вирусы и
уничтожают их, и только затем переходят к лечению файлов. Среди фагов
выделяют полифаги, то есть программы-фаги, предназначенные для поиска и
уничтожения большого количества вирусов.
Программы-фаги делятся также на резидентные средства мониторинга, выпол
няющие сканирование «на лету», и нерезидентные сканеры, обеспечивающие про
верку системы только по запросу. Резидентные средства мониторинга
обеспечивают более надежную защиту системы, поскольку они немедленно
реагируют на появление вируса, в то время как нерезидентный сканер способен
опознать вирус только во время своего очередного запуска.
К достоинствам программ-фагов всех типов относится их универсальность. К
недостаткам программ-фагов следует отнести относительно небольшую ско рость
поиска вирусов и относительно большие размеры антивирусных баз.
9
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
Программы-ревизоры используют для поиска вирусов метод обнаружения
изменений. Принцип работы основан на подсчете CRC -сумм (кодов циклического
контроля) для присутствующих на диске файлов/системных сек торов. Эти CRC суммы затем сохраняются в базе данных антивируса наряду с дополнительной
информацией о длине файлов, датах их последней модификации и других
параметрах. При последующем запуске CRC -сканеры сверяют данные,
содержащиеся в базе данных, с реально подсчитанными значениями. Если инфор
мация о файле, записанная в базе данных, не совпадает с реальными
значениями, то CRC -сканеры сигнализируют о том, что файл был изменен или
заражен вирусом. Как правило, сравнение состояний проводят сразу после
загрузки опе рационной системы.
Программы-блокировщики реализуют метод антивирусного мониторинга.
Анти вирусные блокировщики — это резидентные программы, перехватывающие
виру соопасные ситуации и сообщающие об этом пользователю. К вирусоопасным
ситуациям относятся вызовы на открытие для записи в выполняемые файлы,
запись в загрузочные сектора дисков, попытки программ остаться резидентно и
т.п., то есть вызовы, которые характерны для вирусов в моменты их
размножения.
При попытке какой-либо программы выполнить указанные действия блоки
ровщик посылает пользователю сообщение и предлагает запретить соответству
ющее действие. К достоинствам блокировщиков относится их способность обна
руживать и останавливать вирус на самой ранней стадии его размножения, что
бывает особенно полезно в случаях, когда регулярно появляется давно известный
вирус. Однако, они не лечат файлы и диски. Для уничтожения вирусов требуется
применить другие программы, например фаги. К недостаткам блокировщиков
можно отнести существование путей обхода их защиты и их «назойливость» (на
пример, они постоянно выдают предупреждение о любой попытке копирования
исполняемого файла).
Программы-иммунизаторы - это программы, предотвращающие заражение
файлов. Иммунизаторы делятся на два типа: сообщающие о заражении и блоки
рующие заражение каким-либо типом вируса. Иммунизаторы первого типа обыч
но записываются в конец файлов, и при запуске файла каждый раз проверяют его
на изменение. У таких иммунизаторов имеется один серьезный недостаток - они
не могут обнаружить заражение стелс-вирусом. Поэтому данный тип иммуниза
торов практически не используется в настоящее время.
Вопросы для самопроверки:
1. Какие задачи решает система информационной безопасности предприятия?
2. На
каких
принципах
основана
организация
централизованного
управления
безопасностью КИС?
3. Какие подходы к построению архитектуры управления информационной безопасностью
крупной сети существуют?
4. В чем состоит аудит безопасности информационной системы предприятия?
5. Что включает в себя понятие мониторинга безопасности информационной системы
предприятия?
6. Какие мероприятия законодательного характера необходимы для обеспечения
информационной безопасности предприятия?
7. Какие мероприятия организационного характера необходимы для обеспечения
информационной безопасности предприятия?
8. Какие мероприятия необходимы для обеспечения информационной безопасности с точки
зрения программно-технического обеспечения?
9. Каковы основные средства анализа защищенности операционных систем?
10. Приведите классификацию систем обнаружения атак.
11. Какие есть технологии защиты от вирусов?
10
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
12. Каковы основные каналы распространения вирусов?
13. Какие антивирусные программы сегодня существуют?
14. Как строится система антивирусной защиты?
11
Скачать