- •Введение
- •Глава 1. Теоретические аспекты развития информационных эпидемий в иткс
- •1.2. Вредоносное программное обеспечение как средство создания информационных эпидемий
- •1.3. Основные методы выявления информационных эпидемий вирусного по.
- •1.4. Защита иткс от информационных эпидемий
- •1.5. Модели развития информационных эпидемий
- •1.6. Эпидемиологическая модель sirs
1.4. Защита иткс от информационных эпидемий
Методы защиты от вредоносных программ в основном делятся на две большие группы:
- организационные методы;
- технические методы.
Самым простым примером организационных методов защиты от вирусов является выработка и соблюдение определенных правил обработки информации. Причем правила тоже можно условно разделить на две категории:
- правила обработки информации;
- правила использования программ.
К первой группе правил могут относиться, например, такие:
- не открывать почтовые сообщения от незнакомых отправителей;
- проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием;
- проверять на наличие вирусов файлы, загружаемые из Интернет;
- работая в Интернет, не соглашаться на непрошенные предложения загрузить файл или установить программу.
Общим местом всех таких правил являются два принципа:
- использовать только те программы и файлы, которым доверяешь, происхождение которых известно;
- все данные, поступающие из внешних источников - с внешних носителей или по сети - тщательно проверять.
Вторая группа правил, обычно включает такие характерные пункты:
- следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы;
- регулярно обновлять антивирусные базы;
- регулярно устанавливать исправления операционной системы и часто используемых программ;
- не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений.
Здесь также можно проследить два общих принципа:
- использовать наиболее актуальные версии защитных программ - поскольку способы проникновения и активации вредоносных программ постоянно совершенствуются, разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак;
- не мешать антивирусным и другим защитным программам выполнять свои функции - очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность. В результате значительно увеличиваются шансы на заражение компьютера вирусом
Технические методы защиты заключаются в том, чтобы не дать вирусам попасть в операционную систему и заразить программное обеспечение. Для этого нужно всегда устанавливать обновления для ПО и ОС. Производители исправляют уязвимости в своих программах и заблаговременно выпускают для них исправления.
В последнее время вредоносные программы, использующие уязвимости в Windows и прикладных программах, появляются все быстрее и быстрее после выхода исправлений к этим уязвимостям. В некоторых случаях вредоносные программы появляются даже раньше исправлений. Помня об этом, необходимо своевременно устанавливать исправления и лучше всего для этого использовать средства автоматической установки.
Хотя большинство вредоносных программ используют уязвимости в продуктах Microsoft, существует немало и таких, которые эксплуатируют дыры в программах других производителей. Особенно это касается широко распространенных программ обмена сообщениями, браузеров и почтовых клиентов. Поэтому мало просто установить браузер[90], отличный от Internet Explorer, его тоже нужно обновлять по мере выхода исправления. Чаще всего, в подобных программах есть встроенные средства обновления, но для подстраховки нелишним будет следить за новостями на веб-сайтах, посвященных вопросам безопасности. Информация обо всех критических уязвимостях и исправлениях к ним обязательно попадает в новостную ленту.
Для того чтобы удаленно воспользоваться уязвимостью в программном обеспечении или операционной системе, нужно установить соединение и передать специально сформированный пакет данных. Следовательно можно защититься от таких попыток проникновения и заражения, путем запрета определенных соединений. Задачу контроля соединений успешно решают программы-брандмауэры.
Брандмауэр - это программа, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.
Для борьбы с вирусами брандмауэры могут применяться в двояком качестве. Во-первых, брандмауэр можно успешно использовать для защиты от вредоносных программ, которые распространяются непосредственно по сети, используя уязвимости в операционной системе[86]. Например, червь Sasser атакует службу Windows LSASS через TCP порт 445. Значит для защиты от червя достаточно создать в брандмауэре правило, запрещающее входящие соединения на этот порт. Если речь идет о домашнем компьютере, который использует сеть только для выхода в Интернет, такой способ защиты не будет иметь побочных эффектов. В организации с локальной сетью, где порт 445 используется для работы Windows-сети, могут возникнуть неудобства.
Брандмауэр можно использовать и для защиты от атак неизвестных вирусов. В случае домашнего компьютера, использующего сеть только для доступа в Интернет, можно запретить вообще все входящие соединения, и тем самым обезопасить себя от любых атак извне.
Второй аспект применения брандмауэров для защиты от вредоносных программ состоит в контроле исходящих соединений. Многие троянские программы, да и черви, после выполнения вредоносной функции стремиться подать сигнал автору вируса. Например, троянская программа, ворующая пароли, будет пытаться переслать все найденные пароли на определенный сайт или почтовый адрес. Для того чтобы воспрепятствовать этому, можно настроить брандмауэр на блокирование всех неизвестных соединений: разрешить только соединения от доверенных программ, таких как используемый браузер, почтовый клиент, программа мгновенного обмена сообщений, а все остальные соединения запретить. В таком случае, вредоносная программа, даже попав на компьютер незамеченной, не сможет причинить реального ущерба.