ПРЕДОТВРАЩЕНИЕ УГРОЗЫ ВИРУСНЫХ АТАК В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
С.В. Егоров, М.С. Иванов, Ю.И. Рядчин Научный руководитель - доктор технических наук, профессор Ю.А. Гатчин
Антивирусные программы являются неотъемлемой частью любой системы защиты информации. В данной статье рассказывается про основные функции антивирусного программного обеспечения, выявляются типы этих программ, приводится аналитическое сравнение наиболее надежных и популярных программ, лучшая из которых была интегрирована в систему защиты информации автоматизированной системы ООО «Ленспецпроизводство».
Введение
За последние годы локальные вычислительные сети (ЛВС), совершив неоспоримый технологический прорыв, стали неотъемлемой составляющей производственно-технологической базы любой организации как крупного, так среднего и малого бизнеса не только в России, но и за рубежом. Корпоративные информационные системы становятся сегодня одним из главных инструментов управления бизнесом и фактически важнейшим средством производства любой компании. Однако новые информационные технологии, применяемые в ЛВС, не только значительно расширили возможности организаций, но и сделали их более уязвимыми для вероятных нарушителей информационной безопасности. В сложившейся обстановке одна из важных и сложных научно-технических задач на ближайшую перспективу состоит в создании и внедрении современных систем защиты информации (СЗИ) ЛВС и АС, призванных обеспечить безопасность информации, обрабатываемой, передаваемой и хранимой в ЛВС и АС.
При этом, решая данную задачу, необходимо четко осознавать, что для создания СЗИ недостаточно одной лишь установки различных средств защиты информации. Средства защиты, вне зависимости от их технических характеристик, сами по себе не способны обеспечить требуемый уровень информационной безопасности ЛВС. Во-первых, эти средства необходимо квалифицированно настроить. Во-вторых, в организации необходимо назначить персонал, который отвечал бы за администрирование этих средств защиты, в частности, и за защиту информацию в ЛВС в целом. В-третьих, необходимо провести обучение пользователей ЛВС вопросам обеспечения безопасности информации. И, наконец, необходимо разработать комплект документов, образующий информационную систему защиты информации ЛВС, который бы четко и однозначно определял порядок установки, настройки и эксплуатации используемых в ЛВС средств защиты, состав объектов и субъектов доступа и их полномочий в системе, перечень защищаемых информационных ресурсов ЛВС, схему технологического процесса обработки защищаемой информации, а также права и обязанности пользователей и администраторов ЛВС. Без наличия этих документов в организации говорить о созданной СЗИ ЛВС и/или АС невозможно.
В данной статье речь пойдет об антивирусной защите ЛВС и АС. На сегодняшний день существует множество различных антивирусных программ. В статье рассмотрены основные принципы работы такого программного обеспечения (ПО), приведен список наиболее распространенных на сегодняшний день программных средств по антивирусной ЗИ и обоснован выбор тех из них, которые были использованы для создания СЗИ АС ООО «Ленспецпроизводство».
Функции антивирусного программного обеспечения
На сегодняшний день перечень доступных антивирусных программ весьма обширен. Они различаются как по цене (от весьма дорогих до абсолютно бесплатных), так
и по своим функциональным возможностям. Наиболее мощные (и, как правило, наиболее дорогие) антивирусные программы представляют собой на самом деле пакеты специализированных утилит, способных при совместном их использовании поставить заслон практически любому виду зловредных программ.
Вот типовой (но, возможно, неполный) перечень тех функций, которые способны выполнять такие антивирусные пакеты:
• сканирование памяти и содержимого дисков по расписанию;
• сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;
• выборочное сканирование файлов с измененными атрибутами;
• распознавание поведения, характерного для компьютерных вирусов;
• блокировка и/или удаление выявленных вирусов;
• восстановление зараженных информационных объектов;
• принудительная проверка подключенных к корпоративной сети компьютеров;
• удаленное обновление антивирусного программного обеспечения и баз данных с информацией о вирусах, в том числе автоматическое обновление баз данных по вирусам через Интернет;
• фильтрация трафика (внешний - Интернет, внутренний - сетевой) на предмет выявления вирусов в передаваемых программах и документах;
• выявление потенциально опасных Java-апплетов и модулей ActiveX;
• ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.
К наиболее мощным и популярным на сегодняшний день (в России) антивирусным пакетам относятся:
• Doctor Web (в документации часто именуется более кратко - Dr. Web) - программа российской компании «ДиалогНаука»;
• Антивирус Касперского (в документации именуется более кратко - AVP) - разработка еще одной российской фирмы «Лаборатория Касперского»;
• Norton AntiVirus корпорации Symantec - сайт компании имеет русскоязычный раздел;
• McAfee VirusScan компании Network Associates.
Популярность перечисленных пакетов обусловлена, прежде всего, тем, что в них реализован комплексный подход к борьбе с вредоносными программами. Установив такой пакет на своем компьютере, вы избавляетесь от необходимости использовать какие-либо дополнительные антивирусные средства.
Последние версии антивирусных пакетов содержат в своем составе также и средства борьбы с вредоносными программами, проникающими из сети. Тем не менее, специализированные инструменты отражения «сетевых» угроз будут рассмотрены отдельно.
Технологии выявления и нейтрализации вредоносных программ
Так какие же, собственно, существуют технологии выявления и нейтрализации компьютерных вирусов?
Специалисты в области антивирусной защиты (в частности, Е. Касперский) выделяют пять типов антивирусов, реализующих соответствующие технологии: сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие блокираторы.
Принцип работы антивирусного сканера состоит в том, что он просматривает файлы, оперативную память и загрузочные секторы дисков на предмет наличия вирусных масок, т.е. уникального программного кода вируса. Вирусные маски (описания) известных вирусов содержатся в антивирусной базе данных сканера, и если он встреча-
ет программный код, совпадающий с одним из этих описаний, то он выдает сообщение об обнаружении соответствующего вируса. В качестве маски вируса обычно используется так называемая «сигнатура», т.е. характерная для данного вируса последовательность байтов.
Недостаток любого сканера заключается в том, что он не способен обнаруживать новые (неизвестные) вирусы, о которых отсутствует информация в базе данных сканера. Кроме того, сканер практически бессилен против полиморфных вирусов, каждая новая копия которых отличается от предыдущей.
Мониторы являются разновидностью сканеров. Монитор постоянно находится в памяти компьютера и осуществляет автоматическую проверку всех используемых файлов в масштабе реального времени. Современные мониторы проверяют программы в момент их открытия и закрытия. Благодаря этому исключается возможность запуска ранее инфицированных файлов и заражения новых файлов резидентным вирусом. Для включения антивирусной защиты пользователю достаточно загрузить монитор при запуске операционной системы или приложения. Как правило, это делает сам антивирусный пакет в процессе его установки. В случае обнаружения вредоносной программы монитор, в зависимости от настроек, вылечит файл, заблокирует его выполнение или изолирует, переместив в специальную «карантинную» папку для дальнейшего исследования.
В настоящее время реально используются мониторы трех типов: файловые мониторы, мониторы для почтовых программ и мониторы для специальных приложений.
Файловые мониторы работают как часть операционной системы, в масштабе реального времени проверяя все используемые объекты, вне зависимости от их происхождения и принадлежности какому-либо приложению.
Мониторы для почтовых программ интегрируются в программы обработки электронной почты (как серверные, так и клиентские) и при поступлении нового письма автоматически проверяют его.
Мониторы для специальных приложений также обеспечивают фоновую проверку объектов, но только в рамках приложения, для которого они предназначены. Типичный пример - мониторы для MS Office. Подобно своим «почтовым коллегам», они интегрируются в программу и находятся в памяти компьютера во время ее работы.
Принцип работы ревизоров изменений основан на вычислении для файлов, системных секторов и системного реестра контрольных сверток (CRC). Они сохраняются в базе данных ревизора, и при следующем запуске ревизор сверяет «отпечатки» с их оригиналами и сообщает пользователю о выявленных отклонениях, обращая особое внимание на вирусоподобные изменения. При использовании ревизоров лечение зараженных объектов основывается не на опознании конкретного вируса, а на знании того, как должен выглядеть «чистый» файл или сектор: любые отклонения от эталона регистрируются ревизором, который способен вернуть объект к исходному состоянию.
Однако у ревизоров изменений имеются свои недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время - после того, как вирус заразит хотя бы один объект. Во-вторых, они не могут определить вирус в новых файлах, поскольку для таких файлов в базе данных ревизора отсутствует эталонное значение CRC.
Иммунизаторы, которые иногда называют также вакцинами, действуют подобно медицинским вакцинам: они помещают в тело информационного объекта специальные метки, препятствующие заражению вирусом.
Иммунизаторы бывают двух типов: информирующие и блокирующие. Первые обычно записываются в конец файлов (по принципу файлового вируса) и каждый раз при запуске файла проверяют его на изменение. Такие иммунизаторы имеют один существенный недостаток: они не способны обнаружить заражение вирусами-
невидимками. Иммунизаторы второго типа защищают систему от заражения каким-либо определенным вирусом. Блокирующий иммунизатор помечает файлы таким же образом, как и нейтрализуемый вирус, благодаря чему тот считает их уже зараженными. Например, чтобы предотвратить заражение COM-файла вирусом Jerusalem, достаточно дописать в конец файла строку MSDos. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус обнаруживает ее и считает, что система уже заражена.
Иммунизаторы не получили большого распространения и в настоящее время практически не используются.
Поведенческие блокираторы, в отличие от других антивирусных программ, не просто «смотрят» и пытаются «узнавать» вирусы, они еще и «думают». Принцип действия таких антивирусов основан на эвристическом анализе поведения активных программ и «подозрительных» событий, происходящих в системе. Другими словами, поведенческие блокираторы опираются в своей работе не на базу данных, а на базу знаний о том, что может происходить в системе в случае попадания в нее вредоносного программного обеспечения. Это делает поведенческие блокираторы универсальным оружием, которое может использоваться в борьбе не только с вирусами, но и, например, с программами-шпионами.
Считается, что разработка поведенческих блокираторов, использующих методы искусственного интеллекта, - это наиболее перспективное направление в создании антивирусных средств.
Существующие сегодня поведенческие блокираторы не предназначены для удаления вирусов. Их цель - обнаружение и предотвращение распространения вирусов. Поэтому их необходимо использовать совместно с антивирусным сканером, который способен уничтожить выявленный вирус.
Решения по антивирусной защите в АС ООО «Ленспецпроизводство»
Для предотвращения несанкционированных и непреднамеренных воздействий, утечки защищаемой информации за счет воздействия компьютерных вирусов в рамках проектирования и внедрения СЗИ АС ООО «Ленспецпроизводство» было решено установить и настроить на всех серверах и рабочих станциях АС антивирусную программу. Произведен выбор лучшего антивируса по соотношению «цена - эффективность - надежность». Для этого произведен анализ наиболее популярных и зарекомендовавших себя с точки зрения надежности антивирусных программ, имеющихся на российском рынке. Результаты сравнения приведены в табл. 1.
Из данных, приведенных в таблице, видно, что лучшим для использования в АС является антивирус Dr. Web. Для АС целесообразным с точки зрения снижения накладных затрат на администрирование СЗИ АС является использование антивируса Dr. Web версии Enterprise, позволяющего производить централизованное управление всеми антивирусными средствами, установленными в АС. Обязательной установке подлежит Spider, который должен функционировать на всех рабочих станциях и серверах резидентно.
Заключение
В статье рассмотрена такая важная компонента любой современной системы защиты информации в ЛВС и/или АС, как антивирусная защита. Выявлены основные функции антивирусного ПО: фильтрация трафика (внешний - Интернет, внутренний -сетевой) на предмет выявления вирусов в передаваемых программах и документах;
сканирование памяти и содержимого дисков; блокировка и/или удаление выявленных вирусов; протоколирование событий.
Антивирусное ПО можно разделить на пять типов, реализующих соответствующие технологии: сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие блокираторы.
В процессе разработки и внедрения СЗИ АС ООО «Ленспецпроизводство» было решено использовать антивирусное ПО Dr. Web Enterprise. Этот выбор лучшего антивируса по соотношению «цена - эффективность - надежность» мотивируется тщательным анализом существующих сегодня на российском рынке наиболее надежных и популярных средств антивирусной защиты.
Характеристики Наименование антивируса
Dr. Web Антивирус Каспер-ского Personal Pro McAfee VirusScan Norton AntiVirus
Цена (в долларах США) 50 69 49.95 49,95
Язык интерфейса rus rus eng eng
Условия распространения share share share share
Тестирование ИБ (время/кол-во файлов) 7min 20sec/31914 08min 56sec/31582 10min 56sec/11210 /*/ 5 min 26sec/32788
Тестирование СБ (время/кол-во файлов) 7min 32sec/7377 11min 20sec/15775 5min 50sec/1506 /*/ 4min 42sec/14128
Проверка файлов инсталляции да да да нет
Проверка архивов да да да да
Эвристический анализ да да да да
Проверка входящей/исходящей почты на этапе трафика да нет нет да
Размер монитора в ОЗУ 697 Кбайт 6,82 Мбайт 2,12 Мбайт 15,8 Мбайт
Плюсы программы Есть опция проверки только почтовых файлов, компактный быстрый монитор, Dos-сканер Большое количество настроек, возможность удаления зараженных архивов Простота в использовании, надежность Высокая надежность, лечение в zip-архиве
Минусы программы Неудобство при настройке Потребляет много системных ресурсов Малое количество настроек Небольшое количество настроек
Общая условная оценка 9 9 7 6
Таблица 1. Сравнительный анализ антивирусов
Литература
1. Гультяев А. Восстановление данных. СПб: Питер, 2004. 336 с.
2. http://www.xakep.ru/post/26299/default.asp
3. http://www.securitylab.ru/analytics/216387.php