Антивирус или комплексное решение
Антивирус или комплексное решение?
Когда мы спрашиваем у знакомого какое средство защиты установлено на его компьютере, то по привычке говорим: “Какой у тебя антивирус?”. При этом мало кто задумывается о том, что сегодня антивирус уже не может полноценно защищать ПК от современных угроз, которые за последнее время сильно эволюционировали и уже не ограничиваются одними только вирусами. Пользователям угрожают троянские программы и хакеры, их поджидают фишинговые сайты, назойливые рекламные баннеры выскакивают отовсюду, спам забивает почтовые ящики, а подростков заманивают сайты с порнографией и прочим вредным контентом.
Более того, эти угрозы могут быть и комбинированными, то есть могут сочетать в себе вирусы, троянцы, шпионские программы, спам и т. д. Таким образом, выстроить систему эффективной защиты можно лишь с помощью различных технологий защиты. Поэтому на первый план пользовательской обороны выходят комплексные защитные решения класса Internet Security, которые пока игнорируются многими домашними пользователями, использующими один лишь антивирус. Люди просто недооценивают те опасности, которые таятся во всемирной сети.
В корпоративном сегменте положение лучше, но многие системные администраторы также считают, что на рабочей станции достаточно антивируса, а основные средства защиты нужно применять для защиты периметра сети. Цель настоящей статьи показать необходимость объединения различных технологий борьбы в единый комплекс, требующий постоянного добавления новых технологий защиты.
Они из сети
Одним из основных инструментом защиты от сетевых опасностей служит файервол, он же сетевой экран, – своеобразный пограничный пост между интернетом и компьютером. Несмотря на свою важность и нужность, он малоизвестен обычным пользователям: кто-то вообще не догадывается о его существовании, кто-то не понимает, зачем он нужен, а кто-то просто ленится в нем разбираться. Корни этой ситуации уходят в далекое прошлое, когда сетевой экран был очень сложным и дорогим продуктом, доступным только профессионалам – корпоративным системным администраторам, программистам и другим персонажам, чья работа была непосредственно связана с компьютерами. Только они имели в своем распоряжении данное ПО и только они должны были по долгу службы в нем разбираться. Но с появлением таких известных сетевых червей, как Nimda, MSBlast (Lovesan), Sasser и других стало ясно, что без персонального файервола не обойтись и простому пользователю. И если раньше файервол был инструментом профессионалов, то сейчас практически во всех современных решениях Internet Security имеется встроенный сетевой экран разной степени сложности.
Причиной тому можно назвать стремительное развитие вредоносных программ и появление таких опасных видов как сетевые черви. Эти зловреды не требуют участия пользователя – они сами распространяются по сетям, проникают на удаленные компьютеры и, продвигаясь дальше, за короткий промежуток времени заражают огромное число машин.
На зараженном компьютере червь особо не церемонится: он копирует, изменяет или уничтожает информацию, устанавливает встроенные трояны для отправки конфиденциальной информации (паролей, номеров кредитных карт и проч.) или размещает Trojan-Downloader для доставки на компьютер пользователя других вредоносных программ.
Также он может установить Backdoor – троянские утилиты удаленного администрирования. Эти утилиты позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
А против такой неприятной модификации как бестелесные сетевые черви (CodeRed, Slammer), которые не создают в процессе размножения ни временных, ни постоянных файлов, обычные файловые антивирусные мониторы и сканеры и вовсе бессильны.
Большинство компаний защищают свою сеть по периметру и системные администраторы некоторое время считали, что для обеспечения безопасности достаточно на уровне сети перекрыть порты, используемые червями. Т.е. проблема защиты настольных компьютеров стоит только перед домашними пользователями. Но оказалось, что это не так. Червей подхватывали пользователи ноутбуков, и в итоге при подключении к корпоративной сети червь начинал беспрепятственно размножаться.
В тоже время даже самые примитивные персональные сетевые экраны, контролирующие только входящий трафик на уровне клиентского компьютера, способны противодействовать распространению некоторых сетевых червей. Для этого достаточно задать определенный набор правил, запрещающих использовать определенные порты, блокирующих входящий трафик с определенных IP-адресов, запрещающих получение входящего трафика определенным приложениям. Все это значительно снижает способность червей к размножению и доставке на компьютер пользователя других вредоносных программ.
Осознав сложившуюся с распространением сетевых червей ситуацию, многие разработчики добавили в свои продукты односторонние (контролирующие только входящий трафик) сетевые экраны. Так сделал Symantec, добавив в Norton Antivirus функцию Internet Worm Protection – по сути, односторонний персональный сетевой экран. Так сделал Microsoft, добавив сетевой экран в центр безопасности Microsoft Windows XP Service Pack 2, Vista и Windows 7.
Для своего распространения сетевые черви сканируют атакуемые компьютеры в поисках открытых портов и уязвимостей в программном обеспечении. Причем зачастую это не новые, а давно известные уязвимости – пользователи просто не установили необходимые заплатки, и брешью в системе безопасности могут воспользоваться. Поэтому ряд антивирусных компаний (например, “Лаборатория Касперского”) для борьбы с сетевыми червями включила в свои продукты для клиентских компьютеров систему обнаружения вторжений – Intrusion Detection System.
Задача такой IDS заключается в анализе входящих соединений, определении факта сканирования портов компьютера, а также фильтрации сетевых пакетов, направленных на использование уязвимостей программного обеспечения. При срабатывании подсистемы обнаружения вторжений все входящие соединения с атаковавшего компьютера блокируются на определенное время, а пользователь получает уведомление о том, что его компьютер подвергся сетевой атаке. Работа подсистемы обнаружения вторжений основана на использовании в ходе анализа специальной регулярно обновляемой базой атак.
Рассмотренные выше средства защиты (односторонний сетевой экран и IDS) защищают только от внешних вторжений. Но зачастую сетевые черви, проникая на компьютер, устанавливают на ПК пользователя троянские программы, которые способны получить удаленный контроль над компьютером, просканировать компьютер в поисках конфиденциальной информации и осуществлять слежку за действиями пользователя.
При этом указанные троянские программы передают различными путями собранную информацию своему “хозяину”. Значит, без контроля исходящего трафика компьютер пользователя остается уязвимым. Кроме того, при размножении сетевой червь пересылает себя с зараженного компьютера на другие ПК, а контроль исходящего трафика может предотвратить дальнейшее распространения червя.
Именно поэтому для полноценной защиты нужен двухсторонний персональный сетевой экран, который контролирует входящий и исходящий трафик от приложений. Защита обеспечивается за счет применения правил использования сетевых ресурсов приложениями, установленными на компьютере. Происходит анализ сетевых пакетов с учетом направления движения пакета, типа протокола его передачи, а также используемого порта. При этом учитываются не только характеристики сетевого пакета, но и конкретное приложение, которому адресован данный пакет либо которое инициировало отправку этого пакета.
Таким образом, разрешив исходящий трафик только доверенным приложениям можно защитить себя от существенной части описанных выше угроз. Одна из проблем, которые тормозят распространение персональных сетевых экранов, это необходимость настраивать доступ в сеть для различных приложений. Для многих простых пользователей это непосильная задача. Для ее решения ряд вендоров поставляют свои решения с предустановленными правилами для наиболее распространенных приложений.
Наиболее продвинутое применение сетевого экрана в персональном продукте на сегодняшний день предлагает “Лаборатория Касперского”. В последней версии решения Kaspersky Internet Security файервол является не отдельным модулем, а очень тесно связан с остальными компонентами, контролирующими активность программ на компьютере пользователя. Файервол контролирует доступ программ к сетевым ресурсам, в частности контролирует их доступ в Интернет, другие компоненты контролируют доступ тех же программ к локальным ресурсам: файлам операционной системы, реестру, конфиденциальным данным, устройствам и т.д. И что особенно важно по умолчанию пользователю не приходится настраивать эти сложные механизмы контроля, Kaspersky Internet Security автоматически определяет необходимые настройки исходя из наличия конкретных программ в белом разрешенном списке или, если программы нет в этом списке, основываясь на определенном заранее рейтинге опасности данной конкретной программы.. Для обозначения таких систем контроля активности программ всё чаще используется термин HIPS. Далее этот класс защиты будет рассмотрен более подробно.
Host Intrusion Prevention System — HIPS
Как мы увидели, сетевые экраны и системы обнаружения вторжений являются необходимым для полноценной защиты пользовательских компьютеров дополнением к антивирусу. Необходимым, но, к сожалению, недостаточным. Дело в том, что существует множество техник обхода таких систем. В частности вредоносная программа может подменять собой нормальные приложения, такие как браузер или почтовая программа. Известны различные технологии подмены:
· вредоносная программа изменяет имя своего исполняемого файла на имя одного из известных приложений и перемещается в директорию, где находится это приложение. После этого вредоносная программа также может прописать свой ключ в реестре, чтобы инициировать автозапуск при следующем старте системы.
· вредоносное приложение внедряется в процесс атакуемого приложения (непосредственно в памяти). После успешного внедрения атакующее приложение перехватывает управление процессом и производит попытку передачи персональных данных на удаленный сервер.
· атакующее приложение осуществляет скрытый запуск браузера с определенными параметрами, что может быть использовано для скачивания других вредоносных программ.
Все эти виды атак практически невозможно остановить стандартными сетевыми экранами, поскольку вредоносная программа маскируется под приложение, которому доступ к сетевым ресурсам открыт. Антивирусные программы также плохо распознают вредоносные процессы, внедренные в стандартные приложения.
Здесь на сцену выходят системы предотвращения вторжений уровня хоста (Host Intrusion Prevention System— HIPS). Предоставляя программам или пользователям доступ к ресурсам операционной системы и сети, HIPS-продукты ограничивают их права чтения, записи и исполнения, защищают такие системные ресурсы, как порты, файлы и ключи реестра. То есть, по сути, эти системы включают в себя возможности сетевых экранов и систем обнаружения вторжений, но к этим функциям добавляются возможности контроля опасной активности приложений: контроль целостности приложений (чтобы предотвратить внедрение вредоносного приложения), мониторинг изменений в системном реестре и другие важные функции контроля подозрительных действий, происходящих в системе. Один из подвидов HIPS, контролирующих опасную активность, еще часто называют поведенческими блокираторами.
Поведенческий блокиратор анализирует поведение всех процессов, запущенных в системе, сохраняя все изменения, производимые в файловой системе и реестре. При выполнении некоторым приложением набора подозрительных действий выдаётся предупреждение пользователю об опасности данного процесса. Пользователь может прекратить работу процесса, либо разрешить подозрительному процессу дальнейшую работу. Работа анализатора подозрительной активности (поведенческого блокиратора) проактивна и не требует выпуска специальных сигнатур (как в стандартных антивирусных средствах), что позволяет бороться с новыми, только что появившимися угрозами. Но с другой стороны эти системы требуют участия пользователя в принятии решения, что может привести к ошибочным действиям. Поэтому наиболее эффективно использовать поведенческие блокираторы совместно со стандартными антивирусными средствами, чтобы не нагружать пользователя принятием решения по известным угрозам.
Такие комплексные решения, включающие в себя поведенческий блокиратор, на данный момент есть у Panda Sеcurity, Symantec и “Лаборатории Касперского”, которая интегрировала все компоненты защиты в единый комплекс, начиная с Kaspersky Internet Security 6.0 (KIS 6.0). Не останавливаясь на достигнутом, “Лаборатория Касперского” разработала и реализовала в решении Kaspersky Internet Security 2010 еще один уникальный модуль фильтрации активности программ, который существенно расширяет возможности решения по борьбе с неизвестными угрозами. Это следующий шаг в борьбе с неизвестными угрозами после поведенческого блокиратора.
При первом запуске на ПК любого приложения, новый модуль проводит анализ его поведения в защищенной виртуальной среде (“песочнице”) и на основе его результатов присваивает ему определенный рейтинг опасности. Если он будет велик (то есть приложение потенциально может принести вред), то данной программе будет запрещена сетевая активность, доступ к ресурсам системы, файлам и так далее. Если же рейтинг низок, то есть программа признана благонадежной, то никаких проблем с работой у нее не возникнет. А для сокращения времени, уходящего на анализ программы, KIS2010 держит связь с огромной он-лайн базой данных “хороших” программ, которая постоянно обновляется.
Естественно простому пользователю сложно уловить разницу между поведенческими блокираторами и другими системами контроля активности приложений. Да и в большинстве случаев это не нужно, главное результат – предотвращение заражения. Но поскольку цель данной статьи популярным языком рассказать о необходимости комплексной защиты, то попытаемся объяснить и эту тонкую разницу.
Предположим, что в квартире работает бригада маляров и хозяин квартиры испытывает определённые опасения по поводу сохранности ценностей. У него есть 2 варианта избежать возможной кражи. Первый – это постоянно следить за малярами и в случае совершения ими подозрительных действий эти действия присекать, возможно с применением грубой физической силы (например, они могут рыться в ваших ящиках, заглядывать в шкафы, пытаться что-то вынести под спецовкой и т.д.) Эта модель в точности повторяет действия поведенческого блокиратора.
Другой вариант, оценить степень подозрительности маляров еще при входе в квартиру и если они покажутся подозрительными закрыть все ценные вещи в надёжном месте, закрыть им доступ в жилые комнаты, запереть входную дверь, чтобы предотвратить вынос ценностей. Этот подход как раз второй метод контроля активности программ – заблаговременное ограничение доступа.
В KIS 2010 сочетаются оба эти метода и в результате, вполне естественно повышается уровень защищенности. Если вы приняли меры предосторожности и запретили малярам доступ в определенные помещения, но при этом дополнительно еще и следите за их действиями – шансов совершить кражу у них мало.
Какие еще угрозы существуют и как с ними бороться
Руткиты
Термин “руткит” (англ. rootkit) исторически обозначает набор утилит для Unix, позволяющих повысить привилегии злоумышленника на атакуемом компьютере. С течением времени привязка к Unix ослабла и термином “руткит” вне зависимости от операционной системы начали называть технологии сокрытия деятельности определённого программного обеспечения в системе.
Перед авторами вредоносных программ всегда стояла задача максимально долго сохранять присутствие вредоносной активности в системе незаметным для пользователя и антивирусных средств. Руткиты как раз и являются технологией, позволяющей скрывать эту активность. Они используются для сокрытия сетевой активности, ключей реестра, драйверов, процессов.
В последнее время использование rootkit-технологий для сокрытия присутствия вредоносного ПО становится все более популярным. Как мы видим, число новых руткитов постоянно растет, и отслеживать их только стандартными сигнатурными антивирусными средствами невозможно. Поэтому системы обнаружения вторжений, о которых мы говорили выше, должны содержать анти-руткит технологии. Дело в том, что в процессе своей установки руткит вовсе не так уж незаметен. Руткиты предпринимают попытки внедрения в процессы, в том числе и в Task Manager (чтобы скрыть своё присутствие), устанавливают свои драйвера в систему. Все это не видно пользователю, но не остается незаметным для эффективных средств защиты. Для того чтобы результативность обнаружения руткитов была выше, производители применяют в своих проектах различные новые решения. Например, новый антивирусный движок “Лаборатории Касперского” содержит в себе обновляемый анти-руткит компонент, что позволяет оперативно добавлять в него новые данные, позволяющие обнаружить новейшие malware, использующие rootkit-технологию.
С одним из руткитов, получившим обозначение Rustock.C, связана увлекательная и практически детективная история, которую можно прочитать по адресу http://www.viruslist.com/ru/analysis?pubid=204007614.
Шпионские программы
Сейчас на рынке не существует устойчивого общепринятого определения термина spyware. Разные компании понимают этот термин несколько по-разному, создаются различные коалиции по борьбе со spyware, вырабатываются определения, но опять же единства нет. Единства нет, а spyware (шпионские программы есть) и наносят реальный ущерб пользователям.
К сожалению, многие пользователи легкомысленно относятся к проблеме spyware, считая программы этого класса безвредными. Отчасти это как раз происходит потому, что, не определившись с терминологией, представители компаний разработчиков, да и сами журналисты недостаточно четко доносят до широкой аудитории информацию о степени угрозы от spyware.
Под определение "spyware" ("шпионские программы") подпадают программы, скрытно собирающие различную информацию о пользователе компьютера и затем отправляющие её своему автору.
Эти программы иногда проникают на компьютер под видом adware-компонентов других программ и не имеют возможности деинсталляции пользователем без нарушения функционирования использующей их программы. Иногда spyware-компоненты обнаруживаются в весьма распространенных программных продуктах известных на рынке производителей.
Шпионские программы, проникающие на компьютер пользователя при помощи интернет-червей, троянских программ или при атаках хакерами уязвимостей в установленных программных продуктах, в классификации "Лаборатории Касперского" были отнесены к категории TrojanSpy. И это сделано неслучайно, т.к. этот класс spyware по поведению является самыми настоящими троянцами.
Trojan-Spy осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских переводов.
Существует множество отдельных программных продуктов, предназначенных для борьбы со spyware. Но как мы увидели грань между вредоносным программным обеспечением и spyware очень тонкая. Те же троянцы могут использоваться:
· сетевыми червями для размножения – в этом случае мы должны их отнести в класс вредоносных программ;
· злоумышленниками для слежки за пользователями – в этом случае это spyware.
Наиболее логичным в этой ситуации видится объединение антивирусных и антишпионских технологий в рамках единого комплекса. Именно такая защита реализована в комплексных решениях для персонального использования Kaspersky Internet Security 2010, Norton Internet Security 2010 и других подобных продуктах. Более того, ряд разработчиков включают механизмы борьбы со шпионами не только в решения для комплексной защиты, но и в чисто антивирусные продукты. По такому пути пошла, например, “Лаборатория Касперского”.
Компании разработчики антивирусных решений включают сигнатуры шпионских программ в свои базы, в результате пользователи получают более полную защиту. Но этим спектр защиты от spyware не ограничивается. Проактивные модули, отслеживающие подозрительную активность в системе, также являются эффективным средством борьбы не только с вредоносным программным обеспечением, но и со шпионским ПО. Здесь опять мы видим необходимость совместного использования стандартных сигнатурных методов и проактивной защиты.
Спам и фишинг
Со времени своего появления и до сегодняшнего момента, спам очень сильно эволюционировал, превратившись из навязчивой, но не слишком обременительной рекламы Центра американского английского, в огромный поток мусорных писем, которые составляют более 90% почты Рунета. Помимо того, что спам поедает трафик и отнимает у пользователей массу времени на свое удаление (во время которого под горячую руку могут попасть и нужные письма), сегодня он стал одним из основных разносчиков вирусов и прочих опасностей. Пропустить такую отличную платформу для распространения своих детищ киберпреступники не могли – спам проникает во все почтовые ящики, а множество пользователей до сих пор кликают по ссылкам, обещающим им бесплатные порнокартинки, тем самым запуская на свои ПК троянские программы.
Одним из первых и наиболее ярких примеров такого сращивания “черных” технологий является червь Sobig.c. Известно, что сетевые черви, в отличие от других вредоносных программ, имеют функции автоматического распространения (доставка зараженных писем, атака P2P-сетей, локальных сетей и пр.). Однако в ситуация с "Sobig.c" это первый случай, когда эти функции, были дополнительно "обогащены" массовой рассылкой с применением спам-технологии. Таким образом было достигнуто максимально полное покрытие пользователей интернета, в результате чего семейство червей "Sobig" мгновенно заняло первое место в списке самых распространенных вредоносных программ.
Теперь спамерские рассылки активно используется вирусописателями для распространения вредоносного ПО. Яркий пример это “вирус-шантажист” Gpcode, вызвавший эпидемию в российском сегменте Интернета. Эта вредоносная программа последовательно обходила все каталоги компьютера и шифровала по особому алгоритму все найденные файлы документов различных форматов (TXT, XLS, RAR, DOC, HTML, PDF и пр.), а также почтовые базы данных. В каждом каталоге с зашифрованными файлами появлялся файл readme.txt, в котором злоумышленник указывал адрес электронной почты для связи с ним, обещая за вознаграждение расшифровать документы.
Оказалось, что для распространения Gpcode изначально использовалась спам-рассылка на несколько тысяч адресов электронной почты, которая проходила в течение нескольких дней. Более подробно о Gpcode можно прочитать на сайте http://www.viruslist.com/ru/analysis?pubid=188790045. Пример этого вируса убедительно доказывает, что сращиванию спамерских и вирусных технологий нужно противопоставить комплексные решения защиты, включающую защиту от спама.
Раньше основным ущербом от спама было время, затраченное на прочтение спамерского письма. К сожалению, ситуация кардинально изменилась. И дело не только в использовании спамерских технологий для распространения вирусов, не менее серьезной угрозой является фишинг.
Фишинг (phishing) – вид интернет-мошенничества, заключающийся краже конфиденциальной информации, как правило, финансового характера. Фишинг-сообщения, приходящие со спамом, составляются таким образом, чтобы максимально походить на информационные письма от банковских структур или компаний известных брендов. Письма содержат ссылку на заведомо ложный сайт, специально подготовленный злоумышленниками и являющийся копией сайта организации, от якобы имени которой пришло письмо. На данном сайте пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию. После ввода он получает сообщение об ошибке и переадресацию на настоящий сайт, где он заново введет свои данные и получит доступ к нужной информации. Таким образом создается иллюзия того, что все в порядке, а повторный ввод данных был вызван обычным незначительным сбоем. На самом деле введенные данные отправляются к злоумышленнику. Кроме того, ссылки на фишинговые сайты могут приходить от спам-ботов через системы мгновенного обмена сообщениями – ICQ, QIP и так далее.
Для рассылки фишинговых писем злоумышленники активно используют богатый многолетний опыт спамеров и наличие в средствах защиты антиспамерских механизмов позволяет с фишерами бороться. Кроме того, в комплексах internet security существует возможность блокировать переход пользователя по фишинговым ссылкам, независимо от того, откуда он осуществляется – из ICQ-сообщения, браузера или письма. Кроме того, некоторые современные решения просто не допускают на компьютер сообщения или письма, содержащие в себе фишинговые ссылки.
Он-лайн игры, социальные сети и ботнеты
В завершении описания актуальных в 2009 году (по мнению экспертов портала www.viruslist.ru) интернет-угроз, стоит упомянуть о ботнетах, социальных сетях и сетевых играх. Естественно, сами по себе последние не представляют никакой угрозы, но, как и в случае со спамом, кибер-преступники, осознав их популярность, обратили на них свое самое пристальное внимание.
Торговля различными виртуальными игровыми предметами (доспехами, амулетами и так далее) уже давно стала очень популярной, люди хотят играть и получать от игры удовольствие, а не тратить много времени на “прокачку” персонажа до уровня, позволяющего участвовать в самых увлекательных приключениях. Оборот этой торговли достиг такого размера, что ею заинтересовались сетевые преступники – в настоящий момент существует огромное количество троянских программ, которые созданы для того, чтобы красть у пользователей логины и пароли от он-лайн игр. С помощью этих данных злоумышленники получают доступ ко всему имуществу игрока, которое впоследствии продают на сетевых аукционах. Практикуется и шантаж пользователей, которым предлагается выкупить украденные данные.
В самых популярных социальных сетях насчитывается несколько миллионов человек, ведь так приятно найти старых друзей, одноклассников, сослуживцев и иметь возможность пообщаться с ними. К сожалению, киберпреступники добрались и до этих людей. Мало кто будет подозревать подвох, если знакомый присылает тебе сообщение со ссылкой на что-то интересное, мало кто не перейдет по этому линку – именно на этом и сыграли вирусописатели, устроив несколько крупных эпидемий в “Одноклассниках”, “ВКонтакте” и некоторых других сетях. Троянская программа воровала у пользователей пароль доступа и рассылала всем его друзьям сообщения со ссылкой на зараженный ресурс. К сожалению, такая схема имела крупный успех. Кроме того, в спаме встречается масса писем, имитирующих уведомление социальной сети о новом сообщении. Естественно, переходя по ссылке из письма (которая очень похожа на настоящую, например, www.odnoklaSniki.ru или www.vkAntakte.ru), пользователь заражает свой компьютер каким-либо зловредом.
Если компьютер инфицирован, то злоумышленник может получить над ним полный контроль. И если раньше эта возможность использовалась хакерами для различных шуток (открытие и закрытие оптического привода, вывод на экран различных надписей и так далее), то сегодня зараженные ПК объединяются в зомби-сеть (ботнет), который приносит своим хозяевам немалые деньги. Рабочие станции бот-нета используются для рассылки спама, организации атак на различные серверы, распространения вирусов и так далее. Некоторые зомби-сети состоят из сотен тысяч захваченных ПК. Чем пользователю грозит попадание его машины в такую сеть? Во-первых, компьютер будет работать медленнее, во-вторых, существенно увеличится исходящий трафик, что непременно привлечет внимание провайдера и может закончится отключением от сети (в лучшем случае), а в худшем – визитом сотрудников соответствующих органов, расследующих дело об очередном компьютерном преступлении.
Когда писались антивирусы, о таких угрозах даже не подозревали, поэтому они не могут с ними эффективно бороться. Зато комплексные решения могут: модули анти-спама блокируют мусорную почту, а защита от фишинга не дает переходить по мошенническим ссылкам; сетевые экраны, на основе анализа трафика, могут обнаружить и блокировать вредоносную программу, а системы проактивной защиты справятся даже с неизвестным, только что написанным вирусом, которого еще нет в базах сигнатур.
Зачем же интегрированная защита?
Выше мы увидели, что для защиты от современных угроз нужен целый комплекс средств и только их совместное использование может обеспечить приемлемый уровень защиты.
У пользователей есть выбор: использовать набор отдельных компонентов защиты от разных вендоров или приобретать комплексную защиту.
У первого пути есть свои преимущества: как правило, специализированные решения хорошо справляются со своим узким фронтом работ. Но встает проблема состыковки этих “узких” решений: при их совместном использовании в защите могут оставаться пробелы или, наоборот, их функции будут дублироваться, что приведет к конфликтам. Такая ситуация часто возникает при совместном использовании антивирусов с элементами IDS и межсетевых экранов от разных производителей.
Кроме того, несколько решений для защиты с разным интерфейсом и логикой работы сложнее настраивать, они требуют больше системных ресурсов. Это критично даже для домашних пользователей, а уж для системных администраторов компаний проблема управления всем этим “зоопарком” становится подчас неразрешимой.
Комплексные интегрированные решения лишены всех перечисленных недостатков, они:
· обладают единой логикой работы и обеспечивают отсутствие конфликтов между компонентами защиты;
· обеспечивают многоуровневую защиту, способную отследить вредоносную активность на различных этапах жизненного цикла угрозы;
· требуют меньше системных ресурсов и легко управляются.
Уже сейчас можно сказать, что 2009 год не стал годом спада угроз информационной безопасности. А в 2010 году нас ждут как старые проблемы (вирусы, спам и так далее), которые со временем эволюционирует и становятся еще опаснее, так и относительно новые угрозы (например, атаки на мобильные устройства), которые существенно вырастут как в качественном, так и в количественном плане. Поэтому комплексное защитное решение это насущная необходимость. А для подстраховки его можно дополнить и бесплатной специализированной утилитой.