Anti-malware módszerek. Vállalati (irodai) számítógépes hálózat vírusvédelme Intézkedések észlelés után

Az egyes diák bemutatójának leírása:

1 csúszda

Dia leírása:

Rosszindulatú program (az angol Malware kifejezés szó szerinti fordítása, a rosszindulatú rosszindulatú, a szoftver pedig szoftver, a szleng neve "malware", "small brew", "soap" és még "szappangyár") - rosszindulatú program, azaz rosszindulatú és/vagy rosszindulatú szándékkal létrehozott program. Malware védelem

2 csúszda

3 csúszda

Dia leírása:

Víruskereső programok A modern víruskereső programok átfogó védelmet nyújtanak a számítógépen lévő programoknak és adatoknak a rosszindulatú programok minden típusával és a számítógépbe való behatolásukkal szemben: internet, helyi hálózat, e-mail, cserélhető adathordozó. Az egyes rosszindulatú programok elleni védelem érdekében a víruskereső külön összetevőket biztosít. A vírusirtó programok működési elve a fájlok, a lemezek és a RAM rendszerindító szektorainak átvizsgálásán, valamint az ismert és új rosszindulatú programok keresésén alapul.

4 csúszda

Dia leírása:

Víruskereső programok Az aláírásokat az ismert rosszindulatú programok keresésére használják. Az aláírás egy adott rosszindulatú programra jellemző programkód állandó sorozata. Ha a víruskereső program ilyen sorozatot észlel bármely fájlban, akkor a fájl vírussal fertőzöttnek minősül, és fertőtleníteni vagy törölni kell. Az új vírusok kereséséhez heurisztikus keresési algoritmusokat használnak, azaz a vizsgált objektum parancssorának elemzését. Ha „gyanús” parancssorozatot észlel, a víruskereső program üzenetet jelenít meg az objektum lehetséges fertőzéséről.

5 csúszda

Dia leírása:

A legtöbb víruskereső program egyesíti a valós idejű védelmi funkciókat (vírusellenőrző) és az igény szerinti védelmi funkciókat (víruskereső). A víruskereső figyelő automatikusan elindul, amikor az operációs rendszer elindul, és háttérrendszerként működik, ellenőrzi a más programok által végrehajtott rosszindulatú programokat. A víruskereső monitor fő feladata, hogy maximális védelmet nyújtson a rosszindulatú programok ellen, miközben minimalizálja a számítógép lelassulását. A víruskereső egy előre kiválasztott ütemterv szerint vagy a felhasználó által bármikor elindítható. A víruskereső rosszindulatú programokat keres a RAM-ban, valamint a számítógép merev- és hálózati meghajtóin.

6 csúszda

Dia leírása:

Számítógépes fertőzés jelei;váratlan üzenetek vagy képek megjelenítése; nem kívánt hangjelzések adása; a CD / DVD meghajtó tálca váratlan kinyitása és bezárása; bármely program önkényes indítása a számítógépen; a számítógép gyakori lefagyása és meghibásodása; lassú számítógép teljesítmény a programok indításakor; fájlok és mappák eltűnése vagy megváltozása; gyakori hozzáférés a merevlemezhez (a rendszeregység jelzőfénye gyakran villog); lefagyás vagy váratlan böngésző viselkedés (például a programablak nem zárható be). A hálózati vírusfertőzés néhány jellemző jele e-mailben: a barátok vagy ismerősök olyan üzenetekről beszélnek, amelyeket Öntől kapott, és amelyeket nem Ön küldött; a beérkezett üzenetek nagyszámú üzenetet tartalmaznak visszaküldési cím vagy fejléc nélkül.

7 csúszda

Dia leírása:

Intézkedések számítógépes fertőzésre utaló jelek esetén Mielőtt bármilyen intézkedést megtenne, a munkája eredményét el kell mentenie külső adathordozóra (hajlékonylemez, CD vagy DVD, flash kártya stb.). Ezután a következőket kell tennie: válassza le a számítógépet a helyi hálózatról és az internetről, ha csatlakozott hozzájuk; ha a fertőzés tünete, hogy a számítógép merevlemezéről nem lehet indítani (a számítógép hibát jelez, amikor bekapcsolja), próbálja meg a rendszerindítást összeomlásgátló módban vagy a Windows vészhelyzeti rendszerindító lemezéről; futtasson víruskereső szoftvert.

8 csúszda

Dia leírása:

Számítógépes vírusok és az ellenük való védekezés A számítógépes vírusok olyan rosszindulatú programok, amelyek képesek „szaporodni” (önmásolás), és titokban beágyazni saját másolataikat fájlokba, lemezindító szektorokba és dokumentumokba. A számítógépes vírusok aktiválása tönkreteheti a programokat és az adatokat. A "vírus" elnevezés a számítógépes programokkal kapcsolatban éppen a biológiából ered, mivel képes reprodukálni magát. A vírusok "élőhelyük" szerint boot-, fájl- és makróvírusokra oszthatók.

9 csúszda

Dia leírása:

Indítóvírusok A rendszerindító vírusok megfertőzik a hajlékonylemez vagy merevlemez rendszerindító szektorát. A rendszerindító vírusok működési elve az operációs rendszer elindítására szolgáló algoritmusokon alapul, amikor a számítógép be van kapcsolva vagy újraindul. A lemezek megfertőzésekor a rendszerindító vírusok "helyettesítik" a kódjukat a rendszerindításkor vezérlést átvevő program helyett, és nem az eredeti rendszertöltő kódot, hanem a víruskódot adják át. Amikor egy lemez megfertőződik, a vírus a legtöbb esetben átviszi az eredeti rendszerindító szektort a lemez valamely másik szektorába. A rendszerindító vírusok elleni megelőző védelem abból áll, hogy megtagadja az operációs rendszert a hajlékonylemezekről, és megvédi a rendszerindító szektort a számítógép BIOS-ában bekövetkezett változásoktól.

10 csúszda

Dia leírása:

Fájlvírusok A fájlvírusok különféle módokon fecskendezik be magukat a végrehajtható fájlokba, és általában az indításkor aktiválódnak. A fertőzött fájl elindítása után a vírus a számítógép RAM-jában marad, és aktív marad (vagyis más fájlokat is megfertőzhet), amíg a számítógépet ki nem kapcsolják vagy az operációs rendszert újra nem indítják. Szinte minden rendszerindító és fájlvírus memóriarezidens (adatok törlése a lemezekről, nevek és fájlok egyéb attribútumainak megváltoztatása stb.). A rezidens vírusokat nehéz gyógyítani, mert a fertőzött fájlok lemezről való törlése után is a vírus a RAM-ban marad, és a fájlok újra megfertőződhetnek. A fájlvírusok elleni megelőző védelem abból áll, hogy nem ajánlott olyan végrehajtó fájlokat futtatni, amelyek kétes forrásból származnak, és amelyeket vírusirtó programok korábban nem ellenőriztek.

11 csúszda

Dia leírása:

Makrovírusok Vannak makróvírusok a Microsoft Office integrált irodai alkalmazáshoz. A makróvírusok valójában makrók (makrók), a Visual Basic for Applications beágyazott programozási nyelvében, amelyeket egy dokumentumban helyeznek el. A makróvírusok szabványos makrókat tartalmaznak, helyettük meghívják őket, és minden megnyitott vagy mentett dokumentumot megfertőznek. A makrovírusok korlátozottan tartózkodnak. A makrovírusok elleni megelőző védelem abból áll, hogy megakadályozzuk a vírus felszabadulását. Amikor megnyit egy dokumentumot a Microsoft Office alkalmazásokban, akkor értesítést kap a bennük lévő makrók (potenciális vírusok) jelenlétéről, és javasoljuk, hogy tiltsa le a letöltésüket. A makrók letöltésének tilalmának kiválasztása megbízhatóan megvédi számítógépét a makróvírusok általi fertőzésektől, de letiltja a dokumentumban található hasznos makrókat is.

12 csúszda

Dia leírása:

A hálózati férgek és az ellenük való védekezés A hálózati férgek olyan rosszindulatú programok, amelyek számítógépes hálózatok szolgáltatásait igénybe véve hatolnak be a számítógépbe. A hálózati féreg aktiválása programok és adatok megsemmisüléséhez, valamint a felhasználó személyes adatainak ellopásához vezethet. Terjedésükhöz a hálózati férgek a globális és helyi számítógépes hálózatok különféle szolgáltatásait veszik igénybe: a világhálót, az e-mailt stb. A férgek típusait megkülönböztető fő jellemző a férgek terjedési módja – hogyan továbbítja másolatát távoli számítógépekre. Sok hálózati féreg azonban egynél több módszert is használ arra, hogy másolatait a helyi és globális hálózatokon lévő számítógépeken terjeszti.

13 csúszda

Dia leírása:

Webférgek Külön kategória azok a férgek, amelyek webszervereket használnak terjesztésükhöz. A fertőzés két szakaszban történik. Először is, a féreg behatol a szerver számítógépébe, és módosítja a szerver weboldalait. Ekkor a féreg „megvárja” azokat a látogatókat, akik információkat kérnek a fertőzött szervertől (például megnyitnak egy fertőzött weboldalt a böngészőben), és így behatolnak a hálózat többi számítógépére. A webférgek egy fajtája a szkriptek – aktív elemek (programok) JavaScriptben vagy VBScriptben. A webférgek elleni megelőző védelem az, hogy megakadályozhatja, hogy a böngésző aktív elemeket kapjon a helyi számítógépre. Még hatékonyabbak a tűzfalat és JavaScript- vagy VBScript-szkript-ellenőrzőt tartalmazó webes víruskereső programok.

14 csúszda

Dia leírása:

Tűzfal A tűzfal (tűzfal) olyan szoftver vagy hardver, amely ellenőrzi a helyi hálózatról vagy az internetről a számítógépre érkező információkat, majd a tűzfal beállításaitól függően vagy elutasítja, vagy beengedi a számítógépbe. A tűzfal ellenőrzi a felhasználó számítógépére érkező összes weboldalt. Minden weboldalt elfog és elemzi a tűzfal rosszindulatú kód jelenlétére. A malware felismerése a tűzfal működése során használt adatbázisok és heurisztikus algoritmus alapján történik. Az adatbázisok tartalmazzák az összes jelenleg ismert rosszindulatú program leírását és a semlegesítésük módszereit. A heurisztikus algoritmus lehetővé teszi olyan új vírusok észlelését, amelyeket még nem írtak le az adatbázisokban.

15 csúszda

Dia leírása:

Levélférgek A levelezési férgek e-mailt használnak a terjedéshez. A féreg vagy elküldi saját másolatát e-mail mellékletként, vagy linket küld a hálózati erőforráson található fájljára. Az első esetben a féreg kódja egy fertőzött melléklet megnyitásakor (indításakor), a második esetben egy fertőzött fájlra mutató hivatkozás megnyitásakor aktiválódik. Mindkét esetben a hatás ugyanaz - a féreg kódja aktiválódik. A számítógép megfertőzése után a féreg elkezdi elküldeni magát a felhasználó címjegyzékében szereplő összes e-mail címre. A levélférgek elleni megelőző védelem az, hogy nem ajánlott megnyitni a megkérdőjelezhető forrásból érkező levelekhez csatolt fájlokat. Javasoljuk, hogy időben töltse le és telepítse az operációs rendszer és az alkalmazások biztonsági frissítéseit.

16 csúszda

Dia leírása:

A trójai programok és az ellenük való védekezés A trójai program, a trójai (az angol trójai szóból) egy olyan rosszindulatú program, amely a számítógép irányítását a felhasználó által nem engedélyezett távoli felhasználónak adja át, valamint az információk törlésére, módosítására, összegyűjtésére és küldésére irányuló műveleteket. harmadik feleknek.

17 csúszda

Dia leírása:

Távoli adminisztráció Trójai falovak Az ebbe az osztályba tartozó trójai programok a hálózaton lévő számítógépek távoli adminisztrálására szolgálnak. A rejtett vezérlő segédprogramok lehetővé teszik fájlok küldését vagy fogadását, elindítását és megsemmisítését, üzenetek megjelenítését, információk törlését, a számítógép újraindítását stb. Indításkor a trójai telepíti magát a rendszerbe, majd figyeli, miközben a felhasználó nem kéri a trójai programok műveletei a rendszerben. Ennek eredményeként előfordulhat, hogy a trójai „felhasználója” nem tud a rendszerben való jelenlétéről, miközben számítógépe távvezérlésre nyitva áll. Ezek a rosszindulatú szoftverek egyik legveszélyesebb típusai.

18 csúszda

Dia leírása:

Kémprogramok trójaiak A spyware trójaiak elektronikusan kémkednek a fertőzött számítógép felhasználója után: a billentyűzetről bevitt információk, képernyőképek, az aktív alkalmazások listája és a velük végzett felhasználói műveletek a lemezen lévő fájlba kerülnek, és rendszeresen elküldik a támadónak. Ezt a típusú trójai programot gyakran használják információk ellopására különféle online fizetési és banki rendszerek felhasználóitól.

19 csúszda

20 csúszda

Dia leírása:

Segédprogramok feltörése és az ellenük való védelem A távoli szerverek elleni hálózati támadásokat speciális programok segítségével hajtják végre, amelyek számos kérést küldenek nekik. Ez szolgáltatásmegtagadáshoz (szerver lefagyáshoz) vezet, ha a támadott szerver erőforrásai nem elegendőek az összes bejövő kérés feldolgozásához. Számos hackereszköz végzetes hálózati támadásokat hajt végre. Az ilyen segédprogramok kihasználják az operációs rendszerek és alkalmazások sérülékenységét, és speciális kéréseket küldenek a hálózat támadott számítógépeinek. Ennek eredményeként egy speciális hálózati kérés kritikus hibát okoz a megtámadott alkalmazásban, és a rendszer leáll. Hálózati támadások

21 csúszda

Dia leírása:

A távoli számítógépek feltörő segédprogramjait úgy tervezték, hogy behatoljanak a távoli számítógépekbe, hogy tovább irányítsák azokat (a trójaiak módszereivel, például a távoli adminisztrációs segédprogramokkal), vagy más rosszindulatú programokat juttatjanak be egy feltört rendszerbe. A távoli számítógépekre szánt hackereszközök általában a megtámadott számítógépre telepített operációs rendszerek vagy alkalmazások biztonsági réseit használják ki. Az ilyen hacker-segédprogramok elleni megelőző védelem az operációs rendszer és az alkalmazások biztonsági frissítéseinek időben történő letöltése az internetről. Hackelési segédprogramok távoli számítógépekhez

22 csúszda

Dia leírása:

A rootkit (az angol gyökérkészletből - "gyökerjogok megszerzésének készlete") egy program vagy programok halmaza, amellyel titokban átveheti az irányítást egy kompromittált rendszer felett. Ezek olyan segédprogramok, amelyek a rosszindulatú tevékenységek elrejtésére szolgálnak. Elfedik a rosszindulatú programokat, hogy elkerüljék a víruskereső szoftverek észlelését. A rootkitek módosítják a számítógép operációs rendszerét, és lecserélik annak alapvető funkcióit, hogy elrejtsék saját jelenlétüket és a támadó által a fertőzött számítógépen végrehajtott műveleteket. Rootkitek

23 csúszda

Dia leírása:

Védelem a hackertámadások, hálózati férgek és trójaiak ellen. A számítógépes hálózatok vagy az egyes számítógépek illetéktelen hozzáféréstől való védelme tűzfallal történhet. A tűzfal lehetővé teszi, hogy: blokkolja a hacker DoS támadásokat azáltal, hogy nem engedi, hogy meghatározott kiszolgálókról származó hálózati csomagok (adott IP-címek vagy tartománynevek) kerüljenek átadásra a védett számítógépnek; megakadályozzák a hálózati férgek (levél, web stb.) behatolását a védett számítógépbe; megakadályozzák, hogy a trójaiak bizalmas információkat küldjenek a felhasználóról és a számítógépről.

Az információvédelem típusai és módszerei Szándékos torzítástól, vandalizmustól (számítógépes vírusok) Az információvédelem általános módszerei; megelőző intézkedések; vírusirtó programok használata Az információkhoz való jogosulatlan (illegális) hozzáféréstől (használata, módosítása, terjesztése) Titkosítás; jelszó védelem; „Elektronikus zárak”; adminisztratív és rendészeti intézkedések összessége A védelem típusa A védelem módja

28 csúszda

Dia leírása:

Összegzésképpen meg kell említeni, hogy számos olyan eset van, amikor a cégek (nem csak külföldiek) valódi „kémháborút” folytatnak egymás között, versenytárs alkalmazottait toborozva, hogy rajtuk keresztül hozzáférjenek az üzleti titkot képező információkhoz. Oroszországban még nem alakult ki kellőképpen az üzleti titokkal kapcsolatos kérdések szabályozása. A hatályos jogszabályok továbbra sem biztosítanak bizonyos kérdéseket, így az üzleti titkokra vonatkozókat is, a mai valóságnak megfelelően. Ugyanakkor tisztában kell lenni azzal, hogy az üzleti titkok felfedésével okozott károk sokszor igen jelentősek (ha egyáltalán megbecsülhetők). A felelősségre, ezen belül a büntetőjogi felelősségre vonatkozó normák megléte figyelmeztetésül szolgálhat a munkavállalók számára az ezen a területen elkövetett jogsértésekre, ezért célszerű minden munkavállalót részletesen tájékoztatni a jogsértések következményeiről. Szeretném remélni, hogy az országban létrejövő információvédelmi rendszer és az azt szolgáló intézkedéscsomag kialakítása nem fog visszafordíthatatlan következményekkel járni az egész világgal kialakuló információs és szellemi asszociáció útján. Oroszország. Következtetés

A rosszindulatú programok az internettel együtt fejlődnek. Ha korábban az ilyen programok tevékenysége pusztító volt, ma a rosszindulatú programok megpróbálják elrejteni a "fertőzés" tényét, hogy a számítási rendszer erőforrásait saját céljaira használják fel. A botnet olyan hálózati gazdagépek gyűjteménye, amelyeket rosszindulatú szoftverek (a továbbiakban: rosszindulatú programok) „fertőztek meg”. Ez a szoftver a felhasználó számára észrevehetetlenül kapcsolatba lép az ún. C&C (Command and Control) parancsok fogadása/információk küldése céljából. A botnetek tipikus felhasználási módjai a spam küldése, DDoS támadások végrehajtása, érzékeny információk (bankszámlaszámok, hitelkártyaszámok stb.) ellopása. A gazdagép többféleképpen is „fertőzött”: egy e-mail melléklete, egy szolgáltatás biztonsági rése, egy letölthető fájl stb. A leggyakoribb módszer a drive-by download (rosszindulatú programok letöltése egy webhelyről anélkül, hogy a felhasználó észrevenné). Miután a rosszindulatú programok ilyen vagy olyan módon bejutnak a gazdagépbe, rendszerint megkísérlik a szomszédos állomásokat „megfertőzni”. Így heterogén környezetben a terjedés nagyon gyors lehet. A vállalati hálózatok sem kivételek, számukra ezek a fenyegetések ugyanolyan fontosak, mint az otthoni számítógépek.

1 ESG APT felmérés, 2011. október 2 Ponemon 2. éves kiberterrorizmus költségfelmérés, 2011. augusztus 3 A Kaspersky labor kutatása. 2011 4 Sophos biztonsági fenyegetések jelentése, 2011

Szerszámszerszámok

A javasolt megoldás a terméken alapul Check Point Anti-bot szoftver penge... Az Anti-bot Software Blade a Check Point Security Gateway R75.40 és újabb verzióihoz tartozik. A telepítés megfigyelési módban is lehetséges, amikor a forgalmat a SPAN portról gyűjtik. A második lehetőség kényelmesen használható a kezdeti szakaszban, amikor meg kell határozni a fenyegetés mértékét egy adott hálózatban, például a fertőzött gazdagépek százalékos arányát.

Alkalmazott technológiák

A védelem megszervezésének kulcselemei a Check Point által biztosított két információs struktúra: ThreatCloud Repositoryés ThreatSpect motor.

A ThreatCloud egy elosztott információtároló, amely a fertőzött hálózati gazdagépek azonosítására szolgál.

A raktár több forrásból származó adatokkal van feltöltve. Először is, ez egy kiterjedt szenzorhálózat, amely a világ minden részén található. Magukról a Check Point eszközökről is gyűjtenek adatokat, amelyeken az Anti-Bot Software Blade aktiválva van. További információkat a partnercégek biztosítanak. Információkat és IP / DNS / URL hírnevét cserélik.

A frissítések másik forrása a Check Point részleg, amely a rosszindulatú programpéldányokat kutatja (különösen a visszafejtésben). Ez a részleg a rosszindulatú programok viselkedését elemzi elszigetelt környezetben. Az elemzés eredményeként kapott információk feltöltésre kerülnek a ThreatCloudba.

A ThreatCloudban található információk címek és DNS-nevek gyűjteménye, amelyeket a botok használnak a C&C-vel való kommunikációhoz. Különböző rosszindulatú programcsaládok viselkedési aláírásait és érzékelőktől kapott információkat is tartalmaz.

A ThreatSpect Engine egy elosztott többszintű számítástechnikai rendszer, amely elemzi a hálózati forgalmat, és a kapott adatokat korrelálja a bottevékenység, valamint más típusú rosszindulatú programok észlelése érdekében.

Az elemzés több irányban történik:

• Hírnév- elemzik azoknak az URL-eknek, IP-címeknek és domain neveknek a hírnevét, amelyekhez a szervezeten belüli gazdagépek próbálnak hozzáférni. A rendszer megkeresi az ismert erőforrásokat vagy gyanús tevékenységeket, például a C kérést
• Aláírás-elemzés- a fenyegetés jelenlétét egyedi aláírások keresése határozza meg a fájlokban vagy a hálózati tevékenységben;
• Gyanús e-mail tevékenység- a fertőzött gazdagépek észlelése a kimenő levélforgalom elemzésével;
• Viselkedési elemzés- egyedi mintázatok kimutatása a gazdaszervezet viselkedésében, amelyek a fertőzés tényét jelzik. Például a C&C hívásainak rögzített gyakorisága egy bizonyos protokollhoz.

A ThreatSpect és a ThreatCloud együtt dolgoznak – a ThreatSpect elemzés céljából információkat kap a ThreatCloudtól, majd elemzés és korreláció után a kapott adatokat aláírások és reputációs adatbázisok formájában visszatölti az elosztott tárhelyre.

A technológia fő előnye az a tény, hogy valójában egy globális adatbázisunk van, amely valós időben frissíti a rosszindulatú programok tevékenységét. Így, ha a rendszer egyik résztvevőjének hálózatában a gazdagépek nagymértékben megfertőződnek, a ThreatCloudon keresztüli támadásról információkat küldenek a többi résztvevőnek. Ez lehetővé teszi a rosszindulatú programok gyors terjedésének korlátozását számos vállalat hálózatán.

A fenyegetések azonosítására használt módszerek

Meg kell érteni, hogy az Anti-Bot Software Blade funkció célja a már fertőzött állomások azonosítása és az általuk okozott károk minimalizálása. Ez a megoldás nem a fertőzés megelőzésére szolgál. E célokra más eszközöket kell alkalmazni.

A következő módszereket használják a gyanús tevékenységek észlelésére:

• C&C cím és domain név azonosítása- a címek folyamatosan változnak, ezért fontos a lista naprakészen tartása. Ez a Check Point ThreatCloud infrastruktúra használatával érhető el;
• Azonosító sablonok különféle kártevőcsaládok kommunikációjában használják – minden kártevőcsaládnak megvannak a saját egyedi paraméterei, amelyek alapján azonosítható. Minden családra vonatkozóan kutatásokat végeznek az egyedi aláírások kialakítása érdekében;
• Viselkedési azonosítás- fertőzött állomás észlelése viselkedésének elemzésével, például DDoS támadásban való részvételkor vagy spam küldésekor.

Az Anti-Bot Software Blade által rögzített incidensek elemzése a SmartConsole összetevőivel történik: SmartView Tracker és SmartEvent. A SmartView Tracker részletes információkat nyújt az Anti-Bot Blade-t elindító forgalomról. A SmartEvent részletesebb információkat tartalmaz az eseményekről. Különféle kategóriák szerint csoportosíthat, lehetőség van a biztonsági események hosszú távú elemzésére, riportok generálására.

A fenyegetés megelőzésére használt módszerek

A fenyegetések észlelése mellett az Anti-Bot Software Blade képes megelőzni a fertőzött gazdagépek által okozott károkat.

A fertőzött gazdagép azon próbálkozásai, hogy kapcsolatba lépjenek a C&C-vel, és utasításokat kapjanak tőle, blokkolva vannak. Ez a működési mód csak akkor érhető el, ha a forgalom az Anti-Bot Software Blade engedélyezésével (inline mód) halad át az átjárón.

Két független zárolási módot alkalmaznak:

• Az ismert C címre irányított forgalom blokkolása
• A DNS Trap a DNS-sinkhole technika megvalósítása. A blokkolásra akkor kerül sor, amikor olyan tartománynevet próbálnak feloldani, amelyet a fertőzött gazdagépek a C&C-vel való kapcsolatfelvételre használnak. A DNS-szerver válaszában az IP-cím fiktívre módosul, így lehetetlenné teszi, hogy a fertőzött gazdagép kérést küldjön a C&C-nek.

Általában az információ a gyorsítótárból származik, de ha olyan gyanús tevékenységet észlel, amelyet a rendelkezésre álló aláírások nem azonosítanak egyértelműen, az Anti-Bot Software Blade valós időben kérelmeket küld a ThreatCloudnak.

A megbízhatóság osztályozása és értékelése

A biztonsági események kezelésének folyamata

Az Anti-Bot Software Blade által gyűjtött információkat két SmartConsole alkalmazás dolgozza fel - SmartView Trackerés SmartEvent... A SmartEvent külön pengét igényel (SmartEvent Software Blade), és erősen ajánlott az elemzéshez.

Az Anti-Bot Software Blade események elemzésekor mindenekelőtt figyelni kell az egy forrás IP-címmel rendelkező forgalom több triggerére és bizonyos gyakorisággal előforduló triggerekre.
A kép sok szempontból a botprogram viselkedésétől függ.
Például a primitív rosszindulatú programok gyakran DNS-hívásokat indítanak a C&C név feloldására. Ugyanakkor a SmartEventben meglehetősen sok azonos típusú, azonos forrás IP-címmel rendelkező esemény lesz, és az események csak a szerverhez intézett kérésben szereplő DNS-névben térnek el egymástól.

Ügyeljen arra is, hogy ugyanazt a rosszindulatú programtípust többször észleljék a különböző forrás IP-címén. Ez az elemzési módszer azért hatékony, mert a rosszindulatú programok általában megpróbálnak átterjedni a helyi hálózat más sebezhető gépeire. Ez különösen igaz a vállalati környezetre, és a szoftverkészlet, beleértve a vírusirtó szoftvereket is, gyakran ugyanaz a munkaállomásokon. A fenti képernyőkép egyfajta rosszindulatú program tömeges észlelését mutatja. Hasonló helyzetben érdemes szelektíven megnézni pár autót a listából.

Bár az Anti-Bot Software Blade segít észlelni és blokkolni a fertőzött malware gazdagépek tevékenységét, a legtöbb esetben a kapott információk további elemzésére van szükség. Nem minden típusú rosszindulatú program azonosítható könnyen. Az incidensek kezeléséhez képzett szakemberekre van szükség, akik tanulmányozzák a csomagok nyomait és észlelik a rosszindulatú programok tevékenységét. Az Anti-Bot Software Blade egy hatékony eszköz a rosszindulatú programok megfigyelésének automatizálására.

Az észlelés utáni műveletek

Mindenekelőtt a Check Point által biztosított Threat Wiki adatbázist kell használnod. Ha a fenyegetés releváns, akkor az eladó által javasolt eljárást kell alkalmaznia. Ezenkívül a gazdagép fertőzésének megerősítéséhez keressen rá a rosszindulatú programokra név szerint a Google-on keresztül, valószínűleg meg lehet találni a kártevő technikai részleteit, amelyek segítenek a pontos azonosításban. Például a „Juasek” névre történő keresés (a név az Anti-Bot Software Blade eseményből származik) sok információt tár fel erről a rosszindulatú programról a Symantec webhelyén. Tartalmazza az eltávolítási eljárás leírását is. Ha nem keres rosszindulatú programokat, használhat egy vagy több kártevő-eltávolító eszközt. A legnépszerűbbek a Malwarebytes, a Kaspersky, a Microsoft termékei.

A használat gyakorlati eredményei

Az alábbiakban a szervezet napi forgalomfigyelésének eredményeit közöljük. A kapcsolón az egyik felhasználói szegmens forgalmát tükröztük a DNS-kiszolgálók és a proxyszerverek felé. A jelentések a Check Point SmartEvent szoftverrel készültek.

Az Antibot gyakorlati felhasználási statisztikái

A nap folyamán 1712 esemény szerepelt az Antibot jelentésben, köztük 134 egyedi gazdagép. A számítógépek véletlenszerű átvizsgálásának eredménye.

· Olyan operációs rendszereket használjon, amelyek nem teszik lehetővé a fontos fájlok megváltoztatását a felhasználó tudta nélkül;

· A frissítések időben történő telepítése;

· Ha van automatikus frissítési mód, engedélyezze azt;

· Védett szoftverek esetén: használjon licencelt másolatokat. A bináris fájlok frissítései néha ütköznek a crackerekkel;

A rosszindulatú programok keresésére aláírás-alapú módszereket használó vírusirtó termékek mellett használjon olyan szoftvereket, amelyek proaktív védelmet nyújtanak a fenyegetésekkel szemben (a proaktív védelem használatának szükségessége abból adódik, hogy az aláíró vírusirtó nem veszi észre az új fenyegetéseket amelyek még nem szerepeltek a víruskereső adatbázisokban). Használata azonban sok tapasztalatot és tudást igényel a felhasználótól;

· Folyamatosan dolgozzon személyi számítógépen, kizárólag a felhasználó, nem pedig a rendszergazda jogai alatt, ami megakadályozza, hogy a legtöbb rosszindulatú program telepítését a személyi számítógépre és a rendszerbeállításokat módosítsa. Ez azonban nem védi meg a személyes adatokat a rosszindulatú programoktól (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Ransom (fájlok titkosítása), Trojan-Spy, trójai.Billentyűzetfigyelő) és potenciálisan nemkívánatos programok (Adware, Hoax), amelyek hozzáféréssel rendelkeznek olyan felhasználói fájlokhoz, amelyekhez egy korlátozott fiók olvasási és írási jogosultsággal rendelkezik (például saját könyvtár - / home alkönyvtárak a GNU / Linux rendszerben, Dokumentumok és beallítások Windows XP rendszerben a Felhasználók mappába Windows 7 rendszerben) minden olyan mappába, amely lehetővé teszi a fájlok írását és olvasását, vagy a felhasználói felületet (például képernyőképek készítésére vagy a billentyűzetkiosztás megváltoztatására szolgáló programok);

· A számítógéphez való fizikai hozzáférés korlátozása illetéktelen személyek számára;

· Csak megbízható forrásból származó külső adathordozót használjon működő számítógépen;

· Ne nyissa meg a nem megbízható forrásból származó fájlokat a munkahelyi számítógépen;

· Olyan tűzfal (hardver vagy szoftver) használata, amely a felhasználó által beállított házirendek alapján vezérli a személyi számítógépről történő internet-hozzáférést;

· Használjon második számítógépet (nem munkára) megbízhatatlan forrásból származó programok futtatásához, amelyeken nincs harmadik fél számára érdekes információ;

· A fontos információkról készítsen biztonsági másolatot külső adathordozóra, és válassza le azokat a számítógépről.

5. A főbb vírusirtó programok (Norton, Kaspersky) jellemzői és célja

Kaspersky Anti-Virus (Antivirus Kaspersky) – a Kaspersky Lab által kifejlesztett vírusirtó. A Kaspersky Lab a vírus-, levélszemét- és hacker-rendszerek leghíresebb orosz gyártója. Több mint 10 éve dolgozik a biztonsági rendszerek piacán. Nagyon megbízható és hatékony kártevőirtó program.

A Kaspersky Anti-Virus (AntivirusKaspersky) a következő összetevőkből áll:

1. A Fájlvíruskereső a számítógép fájlrendszerét vezérlő összetevő. Ellenőrzi az összes megnyitott, elindított és mentett fájlt a számítógépen.

2. A Mail Anti-Virus egy olyan összetevő, amely a számítógépen lévő összes bejövő és kimenő e-mail üzenetet ellenőrzi.

3. A Webes víruskereső egy olyan összetevő, amely elfogja és blokkolja a webhelyen található szkriptek végrehajtását, ha az fenyegetést jelent.

4. A proaktív védelem egy olyan összetevő, amely lehetővé teszi az új rosszindulatú programok észlelését még azelőtt, hogy idejük lenne kárt okozniuk. Így a számítógép nemcsak a már ismert, hanem az új, még nem vizsgált vírusoktól is védett.

A Kaspersky Anti-Virus fő funkciói:

- három fokozatú védelemmel rendelkezik az ismert és új internetes fenyegetésekkel szemben: aláírás-adatbázisok elleni vizsgálat, heurisztikus elemző és viselkedésblokkoló;

- vírusok, trójaiak és férgek elleni védelem;

- fájlok, levelek és internetes forgalom valós időben történő ellenőrzése;

- vírus elleni védelem az ICQ-val és más IM-kliensekkel végzett munka során;

- védelem minden típusú keylogger ellen;

- minden típusú rootkit észlelése;

- automatikus adatbázis frissítés.

A SymantecNortonAntiVirus az amerikai Symantec cég terméke. A Symantec világszerte vezető szerepet tölt be az alkalmazások, készülékek és szolgáltatások terén, amelyek segítenek a végfelhasználóknak biztosítani a legfontosabb eszközük, az információ biztonságát, elérhetőségét és integritását. Többször nyert díjakat a legnagyobb nemzetközi antivírus teszteken. A Norton Antivirus kellemes felülettel és kényelmes beállításokkal rendelkezik.

A NortonAntiVirus egyetlen modulból áll, amely a számítógép memóriájában található, és olyan feladatokat hajt végre, mint a memória figyelése és a lemezen lévő fájlok vizsgálata. A program kezelőszerveihez és beállításaihoz a megfelelő fülek és gombok segítségével lehet hozzáférni.

Az Auto-Protect funkciónak mindig bekapcsolva kell lennie, hogy megvédje számítógépét a vírusoktól. Az automatikus védelem a háttérben működik a számítógép megszakítása nélkül.

A NortonAntiVirus főbb jellemzői:

- Megkeresi és eltávolítja a vírusokat és kémprogramokat;

- automatikusan blokkolja a kémprogramokat;

- nem teszi lehetővé a fertőzött üzenetek küldését;

- felismeri és blokkolja a vírusokat, kémprogramokat és trójai programokat;

- észleli az olyan fenyegetéseket, mint a Rootkit, és eltávolítja az operációs rendszerben rejtett fenyegetéseket;

- internetes férgek elleni védelem funkciója: e-mailek és azonnali üzenetek szkennelése;

- a teljes rendszerellenőrzés lehetővé teszi az alapos elemzés elvégzését és az észlelt vírusok, kémprogramok és egyéb fenyegetések eltávolítását

KÖVETKEZTETÉS

Ez a cikk felvázolja a rosszindulatú programok fő részét, megvizsgálja osztályozásukat, és azonosítja a különféle fenyegetések elleni küzdelem módjait.

A vírusirtó programok használata, biztonságos helyi hálózat kialakítása, szűrők telepítése tiltott oldalakra, ahonnan a vírusok behatolhatnak, alkalmas a számítógéposztály rosszindulatú szoftverei elleni védekezésre.

BIBLIOGRÁFIA

A számítógép vírusvédelme. A "teáskannától" a felhasználóig: Alexander Zhadaev - Szentpétervár, BHV-Petersburg, 2010 - 224 p.

Antivírusok: P. P. Alekseev, A. P. Korsh, R. G. Prokdi - Szentpétervár, Tudomány és technológia, 2010 - 80 p.

Hogyan védje meg számítógépét (+ CD-ROM): Vaszilij Leonov - Szentpétervár, Eksmo, 2010 - 240 p.

Számítógép védelem 100%. Összeomlások, hibák és vírusok: Petr Tashkov - Moszkva, Szentpétervár, 2011 - 288 p.

A számítógépes vírusok és az ellenük folytatott küzdelem: A. V. Mikhailov - Szentpétervár, Dialogue-MEPhI, 2011 - 104 p.

Technológiák a számítógépes vírusok elleni küzdelemhez: S.V. Goshko - Szentpétervár, Solon-Press, 2011 - 352 p.

Anti-malware módszerek

A rosszindulatú programok elleni küzdelem fő módszere, akárcsak az orvostudományban, az időben történő megelőzés. A számítógépes megelőzés magában foglalja a „számítógép-higiénia” szabályainak betartását, ami jelentősen csökkentheti a fertőzés és az adatok elvesztésének valószínűségét. A számítógépes behatolókkal szembeni védekezés fontos módszere az egyéni számítógép és a hálózat használata során az alapvető magatartási szabályok megértése és szigorú betartása. Összesen három alapszabály létezik, amelyek mind az egyéni, mind a vállalati felhasználókra érvényesek.

• 1. A vírusvédelem kötelező használata. Ha nem szakértő a számítógépes biztonság területén, akkor jobb, ha megbízható vírusvédelmet és hálózati támadások elleni védelmet (tűzfal) használ - bízza a biztonságot szakemberekre. A legtöbb modern víruskereső program számos számítógépes fenyegetést – vírusok, férgek, trójaiak és hirdetési rendszerek – ellen véd. Az integrált biztonsági megoldások a kéretlen levelek, a hálózati támadások, a nem kívánt és veszélyes internetes források látogatása ellen is szűrőt helyeznek el.
• 2. Nem szabad megbíznia a számítógépére érkező összes információban - e-mailek, webhelyekre mutató hivatkozások, üzenetek internetes lapozóknak. Egyáltalán nem szabad megnyitni az ismeretlen forrásból származó fájlokat és hivatkozásokat. A fertőzésveszélyt szervezeti intézkedések is csökkentik. Ezek az intézkedések különféle korlátozásokat foglalnak magukban a felhasználók munkájában, egyéni és vállalati szinten egyaránt, például:
  • az internetes személyhívók használatának tilalma;
  • csak korlátozott számú weboldalhoz való hozzáférés;
  • a vállalkozás belső hálózatának fizikai leválasztása az internetről és dedikált számítógépek használata az internet eléréséhez stb.

Sajnos a szigorú korlátozó intézkedések összeütközésbe kerülhetnek az egyes felhasználók kívánságaival vagy a vállalkozás üzleti folyamataival. Ilyenkor egyensúlyt kell keresni, és ez az egyensúly minden esetben eltérő lehet.

3. Fordítson elég figyelmet a vírusirtó cégektől és számítógép-biztonsági szakértőktől származó információkról. Általában azonnal jelentenek új típusú online csalásokat, új vírusfenyegetéseket, járványokat stb. - fordítson nagyobb figyelmet az ilyen információkra.

A víruskereső programok minőségét meghatározó tényezők

A víruskereső programok minőségét több tényező határozza meg; fontossági sorrendben soroljuk fel őket.

• 1. Megbízhatóság és használhatóság - nincs víruskereső lefagyás és egyéb technikai probléma, amely speciális képzést igényel a felhasználótól.
• 2. Minden elterjedt vírus észlelésének minősége, dokumentumfájlok/táblázatok, csomagolt és archivált fájlok vizsgálata. A "téves pozitívumok" hiánya. Lehetőség a fertőzött tárgyak fertőtlenítésére.
• 3. A fő népszerű platformok (DOS, Windows, Linux stb.) víruskereső verzióinak megléte.
• 4. Az a képesség, hogy "menet közben" szkenneljen.
• 5. A hálózat adminisztrálására alkalmas szerververziók megléte.
• 6. Munka sebessége.

Hogyan lehet megfelelően megszervezni a számítógépes hálózatok védelmét a rosszindulatú programok ellen.

A cikk kezdő rendszergazdáknak szól.

A vírusvédelem alatt minden rosszindulatú program elleni védelmet értem: vírusok, trójaiak, gyökérkészletek, hátsó ajtók, ...

1 Lépjen be a vírusvédelembe – telepítsen víruskereső szoftvert a hálózat minden számítógépére, és legalább naponta frissítse. A helyes séma a víruskereső adatbázisok frissítéséhez: 1-2 szerver keresi a frissítéseket, és elosztja a frissítéseket a hálózat összes számítógépére. A védelem letiltásához feltétlenül állítson be jelszót.

A víruskereső szoftvernek számos hátránya van. A fő hátrányuk az, hogy nem fogják el a nem széles körben használt, egyedi készítésű vírusokat. A második hátrány, hogy töltik a processzort, és a számítógépeken a memóriát foglalják, hol többet (Kaspersky), hol kevesebbet (Eset Nod32), ezt figyelembe kell venni.

A víruskereső szoftverek telepítése kötelező, de nem kielégítő módja a víruskitörések elleni védekezésnek, gyakran a vírusszignatúra a terjedését követő másnap megjelenik az antivírus adatbázisokban, és 1 napon belül a vírus bármely számítógépes hálózat működését megbéníthatja.

Általában a rendszergazdák megállnak az 1. lépésnél, rosszabb esetben nem hajtják végre, vagy nem követik a frissítéseket, és előbb-utóbb mégis bekövetkezik a fertőzés. Az alábbiakban felsorolunk néhány további fontos lépést a vírusvédelem megerősítése érdekében.

2. lépés. Jelszó házirend. A vírusok (trójaiak) megfertőzhetik a hálózaton lévő számítógépeket, ha kitalálják a szabványos fiókok jelszavait: root, admin, Administrator, Administrator. Mindig összetett jelszavakat használjunk! Jelszavak nélküli vagy egyszerű jelszavakkal rendelkező fiókok esetén a rendszergazdát el kell utasítani egy megfelelő bejegyzéssel a munkafüzetben. 10 hibás jelszó megadására tett kísérlet után a fiókot 5 percre le kell tiltani a brute force elleni védelem érdekében (brute-force jelszókitalálás). Nagyon kívánatos a beépített rendszergazdai fiókok átnevezése és blokkolása. A jelszavakat időnként módosítani kell.

3 Lépés. Felhasználói jogok korlátozása. Egy vírus (trójai) az elindító felhasználó nevében terjed a hálózaton. Ha a felhasználó korlátozott jogokkal rendelkezik: nincs hozzáférése más számítógépekhez, nincs rendszergazdai jogosultság a számítógépéhez, akkor még egy futó vírus sem tud megfertőzni semmit. Nem ritka, hogy a rendszergazdák a felelősek a vírus terjedésében: elindították az adminkulcs-gént, és a vírus a hálózat összes számítógépét megfertőzte...

4 Lépés. Biztonsági frissítések rendszeres telepítése. Ez nehéz munka, de meg kell tenni. Nem csak az operációs rendszert kell frissítenie, hanem az összes alkalmazást: DBMS-t, levelezőszervereket.

5. lépés. A vírusok bejutási útjának korlátozása. A vírusok kétféle módon jutnak be a vállalat helyi hálózatába: cserélhető adathordozón és más hálózatokon (az interneten) keresztül. Az USB-hez, CD-DVD-hez való hozzáférés megtagadásával teljesen blokkol 1 elérési utat. Az internet-hozzáférés korlátozásával blokkolja a 2. elérési utat. Ez a módszer nagyon hatékony, de nehezen kivitelezhető.

6 Lépés. Tűzfalak (ITU), ők is tűzfalak (tűzfalak), ők is tűzfalak. Ezeket a hálózat határaira kell telepíteni. Ha számítógépe közvetlenül csatlakozik az internethez, akkor az ITU-t be kell kapcsolni. Ha a számítógép csak helyi hálózathoz (LAN) csatlakozik, és kiszolgálókon keresztül csatlakozik az Internethez és más hálózatokhoz, akkor ezen a számítógépen nem szükséges bekapcsolni az ITU-t.

7. lépés. Vállalati hálózat felosztása alhálózatokra. Kényelmes a hálózat felosztása az elv szerint: az egyik részleg az egyik alhálózatban van, a másik részleg a másikban. Az alhálózatok feloszthatók a fizikai rétegben (SCS), az adatkapcsolati rétegben (VLAN), hálózati szinten (az IP-címekkel nem keresztezett alhálózatok).

8. lépés. A Windows egy csodálatos eszközzel rendelkezik a nagy számítógépcsoportok biztonságának kezelésére - a csoportházirend (GPO). A GPO-n keresztül a számítógépek és szerverek úgy konfigurálhatók, hogy a rosszindulatú programok fertőzése és terjesztése gyakorlatilag lehetetlenné váljon.

9. lépés. Terminál hozzáférés. Állítson fel 1-2 terminálkiszolgálót a hálózatban, amelyeken keresztül a felhasználók felkeresik az Internetet, és a személyi számítógépeik fertőzésének valószínűsége nullára csökken.

10. lépés. A számítógépeken és szervereken elindított összes folyamat és szolgáltatás nyomon követése. Megbizonyosodhat arról, hogy amikor egy ismeretlen folyamat (szolgáltatás) elindul, a rendszergazda értesítést kap. Az erre alkalmas kereskedelmi szoftverek sokba kerülnek, de bizonyos esetekben indokolt a költség.