Как выглядит многоуровневая защита от компьютерных вирусов: Многоуровневая защита от вирусов-вымогателей
Содержание
Многоуровневая защита от вирусов-вымогателей
Первый уровень защиты – это внимательность и информирование пользователей.
В прошлом году количество хакерских атак выросло на 50%, увеличивая вероятность рисков на предприятиях. К тому же, по данным 2015 года — у каждого четвертого интернет-пользователя в странах ЕС, возникали проблемы, связанные с безопасностью. Для обеспечения надежности бизнеса в будущем, вопросы безопасности уже сегодня на повестке дня любого предприятия.
Международное распространение в последнее время получили такие вирусы-вымогатели как Wannacry, Petya, NotPetya, Schrodinger’s Petya, а также Misha, хотя они не являются новой угрозой для общества, ведь разновидности таких вирусов появились еще в 2005 году. Распространение вирусов-вымогателей происходит весьма просто, как правило по невнимательности пользователей и как следствие доверия источнику, ведь э-майл может прийти от знакомого отправителя. Получая такой э-майл с инфицированным приложением, пользователь активизирует работу вируса всего одним кликом. Далее вирус крадет доступ к системе пользователя, используя память компьютера, и пытается распространиться уже по локальной сети, впоследствии распространяясь по интернету.
Регулярные обучения по вопросам безопасности на предприятии, в том числе, информирование сотрудников о потенциальных угрозах при работе с электронной почтой не требует дополнительных расходов, зато поможет предотвратить угрозу.
Второй уровень – это защита рабочего компьютера.
Согласно статистике — 1 из 131 полученного э-майла является инфицированными вирусом, однако многие пользователи их даже не получают, так как установленные программы для фильтрации сообщений и антивирус автоматически производят отбор и блокируют подозрительные. Такие инструменты широко распространены и наряду с последними обновлениями операционной системы (ОС) служат так называемой защитой второго уровня.
В мае этого года многие пользователи пострадали от одной из самых массовых кибер-атак всего лишь по той причине, что на их компьютерах не было установлено последнее обновление операционной системы Майкрософт, которое бы не позволило вирусу распространиться дальше. При таком развитии разновидностей вирусов обновление ОС все же позволяет остановить их работу, по крайней мере частично.
Третий уровень — это превентивные меры или план по защите бизнеса.
Как действовать руководителю предприятия, ИТ-специалисту или продавцу компании в случае распространения вируса? Что происходит с хранением данных в облаке или на сервере, продолжают ли они работать и находиться в безопасности?
Положительной практикой на предприятии считается надежное хранение и обработка конфиденциальных и других важных бизнес-данных. Разумно создавать продуманный план аварийного восстановления предприятия (ПАВ или Disaster Recovery Plan), который обеспечит непрерывность бизнес-процессов и предотвратит потенциальные простои. Для каждого предприятия такой план будет отличаться, однако главной ценность такого плана – полученный определенный промежуток времени, в течение которого все ИТ-системы компании восстановятся и вернутся в рабочий режим.
Предприятие может самостоятельно подготовить план аварийного восстановления или же использовать услуги ИТ-аутсорсинга в дата-центре, доверив эту функцию сертифицированным специалистам, которые не только разработают комплекс действий, но и обеспечат необходимый мониторинг систем. Также, в случае непредвиденных обстоятельств, ИТ-эксперты помогут возобновить рабочие процессы.
Четвертый уровень – это комплексные решения для 100% безопасности.
Если вирус все-таки попал в рабочую среду пользователя и распространяется в локальной сети, как предотвратить простои, финансовые потери и оперативно восстановить работу бизнеса? На рынке кибер-защиты доступны различные решения или вакцины, которые могут частично расшифровать инфицированные компьютеры. Однако доступ к таким услугам ограничен и не всегда применим из-за различий вирусных программ.
Следовательно, правильней действовать наперед — оценить критически важные бизнес-процессы и диверсифицировать риски с помощью комплексных решений. Это позволяет предвидеть потенциальные риски, а также быстро и эффективно предотвратить критическую ситуацию. Даже в случае инфицирования вирусом, данные могут быть защищены, и рабочая среда восстановлена в кратчайшие сроки с помощью доступных профилактических методов. Однако способы защиты будут зависеть от используемого предприятием ИТ-оборудования:
- Предприятиям, которые в работе используют персональные компьютеры (ПК), рекомендуется воспользоваться услугой удаленного доступа (Desktop as a Service), которая обеспечит надежную работу с данными из любого места. По сути, это тот же рабочий стол компьютера со всеми программами и данными, только данные не хранятся на ПК, а находятся на сервере в дата-центре. Услугу удаленного доступа лучше всего использовать в комбинации с резервным копированием данных (Back up as a Service), так как резервные копии — это простой и эффективный способ, как восстановить данные в течении часа. Предприятие может самостоятельно решить, как часто и в каком объеме им необходимо создавать резервные копии и кому из сотрудников предоставлять доступ к таким данным. Но важно отметить, что для большей безопасности копии необходимо создавать и хранить в дата-центрах по крайней мере с двумя разными локациями, идеально — в разных странах с различной юрисдикцией.
- В свою очередь, предприятиям, которые используют выделенные, виртуальные серверы или частное облако, желательно застраховаться с помощью уже упомянутого резервного копирования данных и плана аварийного восстановления, который поможет восстановить данные даже через 15-30 минут. Важный аспект при выборе дата-центра — возможность предоставить индивидуальные решения по защите данных. Ведь восстановление может потребоваться не только данным, но и приложениям. Особое внимание стоит уделить используемой программе по обеспечению резервного копирования. Она должна быть не только достаточно эластичной для репликации системы данных всего предприятия, но и иметь возможность восстановления в максимально короткие строки, не допуская остановку работы предприятия. Одна из самых распространённых программ такого рода является Veeam, которую операторы дата-центров предоставляют в комплексе с различными решениями по обработке и хранению данных.
Будьте бдительны и защитите данные своего предприятия уже сегодня!
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Компьютерные вирусы — Обучающее пособие по информатике
Компьютерные вирусы
Компьютерный вирус — это специально
написанная небольшая по размерам программа, которая может «приписывать»
себя к другим программам (т.е. «заражать» их), а также выполнять
различные нежелательные действия на компьютере. Программа, внутри
которой находится вирус, называется «зараженной». Когда такая программа
начинает работу, то сначала управление получает вирус. Вирус находит и
«заражает» другие программы, а также выполняет какие-нибудь вредные
действия (например, портит файлы или FAT-таблицу, «засоряет» оперативную
память и т. д.). Для маскировки вируса действия по заражению других
программ и нанесению вреда могут выполняться не всегда, а при выполнении
определенных условий. После того как вирус выполнит нужные ему
действия, он передает управление той программе, в которой он находится, и
она работает также, как обычно. Тем самым внешне работа зараженной
программы выглядит так же, как и незараженной.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим
образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды
файлов вирус может «заразить». Это означает, что вирус может
«внедриться» в эти файлы, т.е. изменить их так, что они будут содержать
вирус, который при некоторых обстоятельствах может начать свою работу.
Проявление наличия вируса в работе на ПЭВМ
Все действия вируса могут выполняться достаточно быстро и без выдачи
каких-либо сообщений, поэтому пользователю очень трудно заметить, что в
компьютере происходит что-то необычное.
Некоторые признаки заражения:
- некоторые программы перестают работать или начинают работать неправильно;
- на экран выводятся посторонние сообщения, символы и т. д.;
- работа на компьютере существенно замедляется;
- некоторые файлы оказываются испорченными и т.д.
- операционная система не загружается;
- изменение даты и времени модификации файлов;
- изменение размеров файлов;
- значительное увеличение количества файлов на диска;
- существенное уменьшение размера свободной оперативной памяти и т.п.
Некоторые виды вирусов вначале незаметно заражают большое число
программ или дисков, а потом причиняют очень серьезные повреждения,
например
форматируют весь жесткий диск на компьютере.
Другие вирусы стараются вести себя как можно более незаметно, но
понемногу и постепенно портят данные на жестком диске.
Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.
Разновидности компьютерных вирусов
Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:
- файловые вирусы, которые внедряются главным образом в исполняемые
файлы, т. е. файлы с расширением exe, com, bat, но могут
распространяться и через файлы документов; - загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
- макровирусы, которые заражают файлы-документы и шаблоны документов Word и
Excel.; - сетевые, распространяются по компьютерной сети;
По способу воздействия (особенностям алгоритма) вирусы отличаются
большим разнообразием. Известны вирусы-паразиты, вирусы-черви,
вирусы-невидимки (стелс-вирусы), вирусы-призраки (вирусы-мутанты),
компаньон-вирусы, троянские кони и др.
Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют
довольно хитрые приемы маскировки. Рассмотрим «невидимые» и
самомодифицирующиеся вирусы.
«Невидимые» вирусы. Многие резидентные вирусы
(резидентный вирус при инфицировании компьютера оставляет в оперативной
памяти свою резидентную часть, которая затем перехватывает обращение
операционной системы к объектам заражения и внедряется в них) (и
файловые, и загрузочные) предотвращают свое обнаружение тем, что
перехватывают обращения
операционной системы к зараженным файлам и областям диска и выдают их в
исходном (незараженном) виде. Разумеется, этот эффект наблюдается только
на зараженном компьютере — на «чистом» компьютере изменения в файлах и
загрузочных областях диска можно легко обнаружить.
Самомодифицирующиеся вирусы. Другой
способ, применяемый вирусами для того, чтобы укрыться от обнаружения, —
модификация своего тела. Многие вирусы хранят большую часть своего тела в
закодированном виде, чтобы с помощью дизассемблеров нельзя было
разобраться в механизме их работы. Самомодифицирующиеся вирусы
используют этот прием и часто меняют параметры этой кодировки, а кроме
того, изменяют и свою стартовую часть, которая служит для раскодировки
остальных команд вируса. Таким образом, в теле подобного вируса не
имеется ни одной постоянной цепочки байтов, по которой можно было бы
идентифицировать вирус. Это, естественно, затрудняет нахождение таких
вирусов программами-детекторами.
Методы защиты от компьютерных вирусов
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
- общие средства защиты информации, которые полезны также и как
страховка от физической порчи дисков, неправильно работающих программ
или ошибочных действий пользователя; - профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
- копирование информации — создание копий файлов и системных областей дисков;
- разграничение доступа предотвращает несанкционированное
использование информации, в частности, защиту от изменений программ и
данных вирусами, неправильно работающими программами и ошибочными
действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для
защиты от вирусов, все же их недостаточно. Необходимо и применение
специализированных программ для защиты от вирусов. Эти программы можно
разделить на несколько видов: детекторы, доктора (фаги), ревизоры,
доктора-ревизоры, фильтры и вакцины (иммунизаторы).
Программы-детекторы позволяют обнаруживать
файлы, зараженные одним из нескольких известных вирусов. Эти программы
проверяют, имеется ли в файлах на указанном пользователем диске
специфическая для данного вируса комбинация байтов. Такая комбинация
называется сигнатурой. При ее обнаружении в
каком-либо файле на экран выводится соответствующее сообщение. Многие
детекторы имеют режимы лечения или уничтожения зараженных файлов.
Следует подчеркнуть, что программы-детекторы могут обнаруживать только
те вирусы, которые ей «известны».
Таким образом, из того, что программа не опознается детекторами как
зараженная, не следует, что она здорова — в ней могут сидеть
какой-нибудь новый вирус или слегка модифицированная версия старого
вируса, неизвестные программам-детекторам.
Программы-ревизоры имеют две стадии
работы. Сначала они запоминают сведения о состоянии программ и системных
областей дисков (загрузочного сектора и сектора с таблицей разбиения
жесткого диска). Предполагается, что в этот момент программы и системные
области дисков не заражены. После этого с помощью программы-ревизора
можно в любой момент сравнить состояние программ и системных областей
дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Многие программы-ревизоры являются довольно «интеллектуальными» — они
могут отличать изменения в файлах, вызванные, например, переходом к
новой версии программы, от изменений, вносимых вирусом, и не поднимают
ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма
специфическим образом и производят одинаковые изменения в разных
программных файлах. Понятно, что в нормальной ситуации такие изменения
практически никогда не встречаются, поэтому программа-ревизор,
зафиксировав факт таких изменений, может с уверенностью сообщить, что
они вызваны именно вирусом.
Программы-фильтры, которые располагаются резидентно в
оперативной памяти компьютера и перехватывают те обращения к
операционной системе, которые используются вирусами для размножения и
нанесения вреда, и сообщают о них
пользователю. Пользователь может разрешить или запретить выполнение
соответствующей операции.
Некоторые программы-фильтры не «ловят»
подозрительные действия, а проверяют вызываемые на выполнение программы
на наличие вирусов. Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма
значительны — они позволяют обнаружить многие вирусы на самой ранней
стадии.
Программы-вакцины, или иммунизаторы,
модифицируют программы и диски таким образом, что это не отражается на
работе программ, но тот вирус, от которого производится вакцинация,
считает эти программы или диски уже зараженными. Эти программы крайне
неэффективны.
Ни один тип антивирусных программ по отдельности не дает полной
защиты от вирусов. Лучшей стратегией защиты от вирусов является
многоуровневая, «эшелонированная» оборона.
Рассмотрим структуру этой обороны.
Средствам разведки в «обороне» от вирусов соответствуют
программы-детекторы, позволяющие проверять вновь полученное программное
обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры. Эти программы
могут первыми сообщить о работе вируса и предотвратить заражение
программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.
Самый глубокий эшелон обороны — это средства разграничения доступа.
Они не позволяют вирусам и неверно работающим программам, даже если они
проникли в компьютер, испортить важные данные. В «стратегическом
резерве» находятся архивные копии информации. Это позволяет восстановить
информацию при её повреждении.
Итак, одним из основных методов борьбы с вирусами является
своевременная профилактика их появления и распространения. Только
комплексные профилактические меры защиты обеспечивают защиту от
возможной потери информации. В комплекс таких мер
входят:
- Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
- Использование только лицензионных дистрибутивных копий программных продуктов.
- Систематическая проверка компьютера на наличие вирусов. Компьютер
должен быть оснащен эффективным регулярно используемым и постоянно
обновляемым пакетом антивирусных программ. Для обеспечения большей
безопасности следует применять параллельно несколько антивирусных
программ. - Осуществление входного контроля нового программного обеспечения,
поступивших дискет. При переносе на компьютер файлов в архивированном
виде после распаковки их также необходимо проверять. - При работе на других компьютерах всегда нужно защищать свои
дискеты от записи в тех случаях, когда на них не планируется запись
информации. - При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
- При работе в сети необходимо использовать антивирусные программы
для входного контроля всех файлов, получаемых из компьютерных сетей.
Никогда не следует запускать непроверенные файлы, полученные по
компьютерным сетям.
Современные технологии антивирусной защиты позволяют защитить от
вируса файловые сервера, почтовые сервера и сервера приложений.
Например, антивирус Касперского для защиты файловых серверов позволяет
обнаружить и нейтрализовать все типы вредоносных программ на файловых
серверах и серверах приложений, работающих под управлением ОС Solaris,
включая «троянские» программы, Java и ActiveX – апплеты.
В состав антивируса Касперского для защиты файловых серверов входят:
- антивирусный сканер, осуществляющий антивирусную проверку всех
доступных файловых систем на наличие вирусов по требованию пользователя.
Проверяются в том числе архивированные и сжатые файлы; - антивирусный демон, являющийся разновидностью антивирусного
сканера с оптимизированной процедурой загрузки антивирусных баз в
память, осуществляет проверку данных в масштабе реального времени; - ревизор изменений, Kaspersky Inspector, отслеживает все
изменения, происходящие в файловых системах компьютера. Модуль не
требует обновлений антивирусной базы:
контроль осуществляется на основе снятия контрольных сумм файлов
(CRC – сумм) и их последующего сравнения с данными, полученными после
изменения файлов.
Комбинированное использование этих модулей позволяет создать
антивирусную защиту, наиболее точно отвечающую системным требованиям.
Обнаруженные подозрительные или инфицированные объекты могут быть
помещены в предварительно указанную «карантинную» директорию для
последующего анализа.
Антивирус Касперского обеспечивает полномасштабную централизованную
антивирусную защиту почтовых систем, работающих под управлением ОС
Solaris.
Проверке на наличие вирусов подвергаются все элементы электронного
письма – тело, прикрепленные файлы (в том числе архивированные и
компрессированные), внедренные OLE-объекты, сообщения любого уровня
вложенности. Обнаруженные подозрительные или инфицированные объекты
могут быть вылечены, удалены, переименованы, или помещены в заранее
определенную карантинную директорию для последующего анализа.
Ежедневное обновление базы вирусных сигнатур, автоматически реализуется
через Интернет при помощи специально встроенного модуля и обеспечивает
высокий уровень детектирования компьютерных вирусов.
Контрольные вопросы
- Что называется компьютерным вирусом?
- Какая программа называется «зараженной»?
- Что происходит, когда зараженная программа начинает работу?
- Как может маскироваться вирус?
- Каковы признаки заражения вирусом?
- Каковы последствия заражения компьютерным вирусом?
- По каким признакам классифицируются компьютерные вирусы?
- Как классифицируются вирусы по среде обитания?
- Какие типы компьютерных вирусов выделяются по способу
воздействия? - Что могут заразить вирусы?
- Как маскируются «невидимые» вирусы?
- Каковы особенности самомодифицирующихся вирусов?
- Какие методы защиты от компьютерных вирусов можно использовать?
- В каких случаях применяют специализированные программы защиты от
компьютерных вирусов? - На какие виды можно подразделить программы защиты от компьютерных
вирусов? - Как действуют программы-детекторы?
- Что называется сигнатурой?
- Всегда ли детектор распознает зараженную программу?
- Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
- Как выглядит многоуровневая защита от компьютерных вирусов с помощью
антивирусных программ? - Перечислите меры защиты информации от компьютерных вирусов.
- Каковы современные технологии антивирусной защиты?
- Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
- Какие модули входят в состав антивируса Касперского для защиты файловых
систем? - Каково назначение этих модулей?
- Какие элементы электронного письма подвергаются проверке на наличие вирусов?
- Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
- Как обновляется база вирусных сигнатур?
Защита компьютера от вирусов
Защита компьютера от вирусов и других внешних угроз уже давно стала обязательной для пользователя компьютера. ПК хранит очень много информации об использующем его человеке, будь то фотографии, пароли от электронной почты, социальной сети, электронных кошельков. Изо дня в день всё больше и больше интернет пользователей предпочитают совершать покупки в интернет-магазинах.
Как самостоятельно защитить свой компьютер от вирусов
Время, проводимое в виртуальном мире, занимает значительную часть дня. А раз так, то наш виртуальный мир должен быть безопасным, и следить за его безопасностью призваны различные антивирусные программы, которых очень много. Но на Земле нет ни одного антивируса, который бы мог защитить ваше вычислительное устройство на все 100%. Ведь не зря серьезные государственные и не государственные структуры, создают многоуровневые системы защиты информации.
Вы также можете организовать у себя дома многоуровневую защиту вашей персональной информации: установить антивирус, установить фаервол, ограничить удаленный доступ к вашему ПК, защитить места хранения вашей конфиденциальной информации.
Но как защитить компьютер от вирусов и других внешних угроз, ведь с помощью различных вирусных программ его не сложно вывести из строя. Первым эшелоном защиты конечно же является антивирус. Но все антивирусы имеют различия, не только внешние, но функциональные. Некоторые компьютерные пользователи, считают, что лучше установить парочку лучших антивирусов и этим обеспечить повышенную защиту информации. Ни в коем случае этого делать не стоит, два антивируса начнут конфликтовать между собой, что не даст вашей операционной системе корректно работать.
Для многоуровневой защиты, вы можете установить дополнительные программы, такие как фаервол и другие для защиты вашего ПК от различных шпионских программ, руткитов. Такие программы, как правило, никогда не конфликтуют с основным антивирусом, а наоборот работаю в паре прекрасно дополняя друг друга. И так, какой же антивирус выбрать?
Какой антивирус выбрать для защиты компьютера от вирусов
В подавляющем большинстве лучшими антивирусами являются платные, такие как Avast!, Dr.Web, Kaspersky, существуют и другие аналоги, но этих трёх достаточно для защиты от компьютерных угроз. У данных платных антивирусных решений есть и их меньшие (урезанные по функционалу) братья, которые также не плохо справляются с различными внешними угрозами.
Давайте рассмотрим некоторые антивирусы не много поподробней: Аваст — многие пользователи любят этот антивирус за его простоту и удобство в управлении, за его бесплатную версию Avast Free. Аваст быстро и незаметно сканирует файлы на вирусы, блокирует потенциально опасные сайты в режиме реального времени, отслеживает активность программ. Антивирус Касперского обеспечивает высокий уровень защиты, быстро проверяет различные программы и файлы, блокирует подозрительные сайты, схожей функциональностью обладает и DrWeb.
Утилиты проверки (антивирусные сканеры)
Dr.Web CureIt и Kaspersky Virus Removal Tool, это бесплатные утилиты, которые работая без установки на ваш ПК, очень хорошо справляется со своими задачами находя и обезвреживая большинство различных вредоносных программ, проверяют любые архивы.
Ссылки для скачивания с официального сайта:
Dr.Web CureIt
Kaspersky Virus Removal Tool
Перечислять множество других антивирусов, смысла нет, ведь в материале приведены те, которые на сегодняшний день, можно назвать достаточным антивирусным решением для ПК. Для полной безопасности, нужно проверять свой компьютер минимум раз в две недели на вирусы как установленным на нём антивирусом, так и приведёнными утилитами-сканерами.
Это нужно на тот случай если ваш стационарный антивирус пропустит заразу на компьютер, ведь новые угрозы появляются постоянно, а различные базы вредоносных программ у разных производителей, обновляются по-разному.
Стандартные меры осторожности
Помните, что панацеи от всех бед не бывает, каким бы вы не пользовались антивирусом всегда нужно выстраивать многоуровневую защиту, которая у вас может состоять из самого антивируса, фаервола, сканирующих утилит, ограничении удаленного доступа к вашему ПК, и блокировке доступа к вашей конфиденциальной информации. Только так вы сможете обезопасить свой компьютер и себя от вирусной угрозы.
Если у вас один логических диск, на котором установлена операционная система, и хранится вся ваша информация, то имеет смысл разбить его на два. Обычно это Диск: C и Диск: D, здесь вы можете хранить всю вашу личную и рабочую информацию, фото, видео, музыку, рабочие документы, почту.
Для чего это нужно? Это нужно для того, если вдруг, по той или иной причине выйдет из строя ваша операционная система, то после её переустановки все ваши данные останутся не тронутыми и не будут уничтожены. На системном диске должна храниться сама операционная система, и другие программы. На втором диске, должны храниться все ваши личные данные, тут они будут в безопасности, даже если наступит крах вашей ОС.
Получается, что защитить компьютер от вирусов и наверняка обезопасить его, можно только комплексным решением, к примеру, бесплатный антивирус Аваст Free + периодическое сканирование утилитами Dr.Web Curelt! или Kaspersky Virus Removal Tool. Но, как и везде нужно всякий раз подумать перед тем как открыть что-то не известное, особенно скаченное из подозрительного, с переизбытком рекламы сайта. К дополнительной безопасности можно отнести обновления программ и операционной системы, совершенствующих свою защиту.
Защита от компьютерных вирусов. Антивирусные программы: назначение и классификация.
Для защиты от вирусов можно использовать:
общие средства защиты информации,
которые полезны также как страховка
от физической порчи дисков, неправильно
работающих программ или ошибочных
действий пользователей;профилактические меры, позволяющие
уменьшить вероятность заражения
вирусом;специализированные программы для
защиты от вирусов.
Общие средства защитыинформации
полезны не только для защиты от вирусов.
Имеются две основные разновидности
этих методов защиты:
резервное копирование информации, т.
е. создание копий файлов и системных
областей дисков на дополнительном
носителе;разграничение доступа, предотвращающее
несанкционированное использование
информации, в частности, защиту от
изменений программ и данных вирусами,
неправильно работающими программами
и ошибочными действиями пользователей.
Специализированные программы для
защитыот вирусов. Эти программы можно
разделить на несколько видов:
Программы-детекторыпозволяют
обнаруживать файлы, зараженные одним
из нескольких известных вирусов.Программы-доктора, илифаги,
восстанавливают зараженные программы,
убирая из них тело вируса, т. е. программа
возвращается в то состояние, в котором
она находилась до заражения вирусом.Программы-ревизорысначала запоминают
сведения о состоянии программ и системных
областей дисков, а затем сравнивают их
состояние с исходным. При выявлении
несоответствий об этом сообщается
пользователю.Доктора-ревизоры— это гибриды
ревизоров и докторов, т.е. программы,
которые не только обнаруживают изменения
в файлах и системных областях дисков,
но и могут автоматически вернуть их в
исходное состояние.Программы-фильтрырасполагаются
резидентно в оперативной памяти
компьютера, перехватывают те обращения
к операционной системе, которые
используются вирусами для размножения
и нанесения вреда, и сообщают о них
пользователю. Пользователь может
разрешить или запретить выполнение
соответствующей операции.
Ни один тип антивирусных программ по
отдельности не дает полной защиты от
вирусов. Поэтому наилучшей стратегией
защиты от вирусов является многоуровневая
защита.
Средствами разведки в защите от вирусов
являются программы-детекторы, позволяющие
проверять вновь полученное программное
обеспечение на наличие вирусов.
На первом уровнезащиты находятся
резидентные программы для защиты от
вируса. Эти программы могут первыми
сообщить о вирусной атаке и предотвратить
заражение программ и диска.
Второй уровеньзащиты составляют
программы-ревизоры, программы-доктора
и доктора-ревизоры. Ревизоры обнаруживают
нападение тогда, когда вирус сумел
пройти сквозь первый уровень.
Программы-доктора применяются для
восстановления зараженных программ,
если ее копий нет в архиве, но они не
всегда лечат правильно. Доктора-ревизоры
обнаруживают нападение вируса и лечат
зараженные файлы, причем контролируют
правильность лечения.
Третий уровеньзащиты – это средства
разграничения доступа. Они не позволяют
вирусам и неверно работающим программам,
даже если они проникли в компьютер,
испортить важные данные.
В резерве находятся архивные копии
информации и эталонные диски с программными
продуктами. Они позволяют восстановить
информацию при ее повреждении на жестком
диске.
Среди наиболее распространенных
российских антивирусных пакетов следует
отметить ESETNOD32, Kaspersky Antivirus, DrWeb, Adinf. Перечисленные
средства могут оказать серьёзную помощь
в обнаружении вирусов и восстановлении
повреждённых файлов, однако не менее
важно и соблюдение сравнительно простых
правил антивирусной безопасности.
Следует избегать пользоваться
нелегальными источниками получения
программ. Наименее же опасен законный
способ покупки фирменных продуктов.Осторожно следует относиться к
программам, полученным из сети Internet,
так как нередки случаи заражения
вирусами программ, распространяемых
по электронным каналам связи.Всякий раз, когда дискета или
флэш-устройство побывало в чужом
компьютере, необходимо проверить
дискету с помощью одного или двух
антивирусных средств.Необходимо прислушиваться к информации
о вирусных заболеваниях на компьютерах
в своем районе проживания или работы
и о наиболее радикальных средствах
борьбы с ними. Атакам нового вируса в
первую очередь подвергаются компьютеры
образовательных учреждений.При передаче программ или данных на
своей дискете или флэш-устройстве его
следует обязательно защитить от записи.
Многоуровневая защита от киберпреступности | Блог Касперского
В мире кибербезопасности происходит нечто странное. Есть еще частные лица и предприятия, которые считают, что «хороший антивирус» решит все потенциальные проблемы безопасности, несмотря на то, как некоторые эксперты твердят о «смерти антивируса» от старости. И хотя оба эти мнения ошибочны, «истина где-то там» (здесь пошла музыкальная тема «Секретных Материалов»). Перед лицом все более усложняющихся угроз безопасности организации по всему миру вынуждены оборудовать для себя настолько же сложные, многослойные средства защиты себя. Защитный продукт узкого профиля не подойдет.
Средневековая надежность
В средние века деревянные двери, о которых мы читали в школьных учебниках и фэнтезийной литературе, славились своей прочностью. Согласно Википедии, типичная входная деревянная дверь изготовлялась из двух слоев дубовых досок. Древесное волокно располагали вертикально во внешнем слое и горизонтально — во внутреннем, получалось нечто вроде упрощенной фанеры. Железные гвозди скрепляли два слоя досок между собой, а вся конструкция также еще усиливалась железными планками. Сами гвозди торчали остриями наружу так, чтобы повредить оружие тех нападавших, которые попытаются прорваться через такую дверь.
Многоуровневая защита от #киберпреступности. #enterprisesec
Tweet
Многослойную защиту практиковали с древних времен: Если враг прорвется через первый кордон, ему придется преодолеть еще несколько, неся потери на своем пути. Согласно современным представлениям, атакующая армия должна иметь, по крайней мере, шестикратное превосходство в численности и вооружениях, для того чтобы захватить хорошо укрепленные позиции защищающихся.
Это в равной степени применимо к кибербезопасности. Согласно исследованию глобальных ИТ-рисков 2014 года «Лаборатории Касперского», «организации по всему миру сталкиваются с усложняющимися угрозами безопасности. И, к сожалению, давно уже один продукт или подход не может защитить от всех видов вредоносных программ, вирусов, или атак».
Сейчас поговаривают иногда о «смерти антивируса«, различные эксперты (порой даже вендоры защитного программного обеспечения) заявляют, что антивирус устарел и больше не нужен.
Но дело в том, что он до сих пор необходим, хотя и не будет эффективным в одиночку. Инструменты киберпреступников сегодня очень разнообразны, и вы никогда не одолеете их одним лишь простым антивирусом, насколько хорош он бы ни был. Решение безопасности без защиты от вредоносного ПО будет не очень действенным, так как постоянно появляются новые версии вредоносных программ. В 2013 и 2014 годах «Лаборатория Касперского» обнаруживала почти 315 000 образчиков вредоносного ПО ежедневно. Вредоносные программы пребывают в динамике.
В динамике
Распространение мобильных устройств добавляет проблем с безопасностью, так как именно смартфоны и планшеты, а не ПК и серверы, являются основными мишенями злоумышленников. Для обеспечения защиты компании требуется многослойное, многогранное решение, которое охватывает всю совокупность киберпериметра, способное справиться с вредоносными программами, хакерскими атаками, фишингом и другими покушениями на безопасность и сохранность корпоративных данных. Это решение также должно эффективно работать в целом ряде программных платформ и сред – во всех, используемых в корпоративной сети: в LAN, сотовой связи, беспроводной связи, крупных сетях или их комбинациях, в IP-коммуникациях и т.д. Частичная защита равнозначна большим дырам в заборе или средневековой двери без замков или засовов.
Антивирус часто считают неэффективным, но вы не защищены как без него, так и с ним в качестве единственного решения.
Tweet
С полной версией исследования глобальных ИТ-рисков 2014 года «Лаборатории Касперского» можно ознакомиться здесь.
Avira AntiVir Personal (Германия) — Студопедия
Бесплатный антивирус предлагающий эффективную защиту против компьютерных вирусов, троянов, червей и других угроз с постоянным мониторингом в режиме реального времени. К числу наиболее сильных сторон Avira AntiVir Personal следует отнести хорошо отработанный механизм детектирования полиморфных вирусов.
Антивирус включает кнопку быстрого удаления для уничтожения вирусов одним кликом, улучшенный антивирусный, антишпионский и антирекламный движок, а также поддержку низкого разрешения экранов нетбуков.
Контрольные вопросы
1. Что называется компьютерным вирусом?
2. Что называется сигнатурой?
3. Что называется вирусной атакой?
4. Какая программа называется «зараженной»?
5. Что происходит, когда зараженная программа начинает работу?
6. Каковы признаки заражения вирусом?
7. Каковы последствия заражения компьютерным вирусом?
8. По каким признакам классифицируются компьютерные вирусы?
9. Как классифицируются вирусы по среде обитания?
10. Какие типы компьютерных вирусов выделяются по способу воздействия?
11. Что могут заразить вирусы?
12. Как может маскироваться вирус?
13. Каковы особенности самомодифицирующихся вирусов?
14. Перечислите этапы, которые проходит компьютерный вирус в своем развитии.
15. В чем отличие файлового вируса от загрузочного вируса?
16. Какой из видов компьютерных вирусов принято называть макровирусом?
17. В чем отличие программы типа «Троянский конь» от вируса-червя?
18. Какие методы защиты от компьютерных вирусов можно использовать?
19. На какие виды можно подразделить программы защиты от компьютерных вирусов?
20. Как действуют программы-детекторы?
21. Всегда ли детектор распознает зараженную программу?
22. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
23. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
24. Какие модули входят в состав антивируса Касперского для защиты файловых систем? Каково назначение этих модулей?
25. Какие элементы электронного письма подвергаются проверке на наличие вирусов?
26. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
27. Как обновляется база вирусных сигнатур?
28. Сформулируйте порядок выполнения действий, необходимых для проверки диска внешней памяти компьютера на наличие компьютерных вирусов.
29. Какие существуют методы антивирусной профилактики?
30. Какие вы знаете источники заражения компьютерным вирусом?
31. Какие деструктивные действия они осуществляют?
32. Что такое эвристический анализатор? Какие функции он выполняет?
33. Приведите примеры антивирусных программ. Коротко охарактеризуйте их.
Антивирус и антивредоносная программа – это одно и то же?
Одним из главных приоритетов компании Malwarebytes является точность, особенно если речь заходит о двух концепциях кибербезопасности – антивирусном и антивредоносном ПО, – они развиваются параллельно друг другу, но их нередко путают между собой. Оба термина относятся к программным продуктам для киберзащиты, но каковы их особенности, чем они отличаются, а главное – пригодны ли обе эти концепции для противодействия современным цифровым угрозам?
Предлагаем по очереди детально проанализировать основные особенности этих концепций и разобраться в значении ряда терминов, используемых в сфере кибербезопасности.
Чем антивирусы отличаются от антивредоносных программ?
В целом термины «антивирус» и «антивредоносная программа» означают одно и то же. Они обозначают ту или иную программу, предназначенную для защиты от вредоносного ПО, а также для его обнаружения и удаления из системы. Сам термин «антивирус» на сегодняшний день немного устарел, поскольку антивирусные программы противостоят не только вирусам, а их функции гораздо шире, чем предполагает название. Антивредоносные программы разрабатываются в том числе и для защиты от вирусов. Они обозначаются более современным термином, который охватывает все виды вредоносного ПО, включая вирусы. То есть антивредоносные программы могут предотвращать проникновение вируса на компьютер или удалять зараженные файлы. Вместе с тем, антивредоносное ПО может не обладать функциями, позволяющими восстанавливать файлы, модифицированные или замененные вирусом. Антивирусы и антивредоносные программы обозначаются более общим термином – «средства кибербезопасности».
Что такое кибербезопасность?
Кибербезопасность (или компьютерная безопасность) – это общий термин, обозначающий стратегию защиты системы от вредоносных атак злоумышленников, которые стремятся похитить деньги, персональные данные, системные ресурсы (например, для криптоджекинга или организации ботнета), а также выполнить ряд других вредоносных операций. Атака может осуществляться как аппаратными, так и программными средствами или методами социальной инженерии.
На сегодняшний день существует множество разновидностей киберугроз и мер противодействия им, однако в сфере коммерции неизменно наблюдается тенденция к упрощению всяких классификаций, если речь заходит о взаимодействии с клиентами. По этой причине многие склонны думать, что «вирусы» представляют наибольшую опасность для компьютера. В действительности вирусы – лишь один из видов киберугроз, который был распространен на заре развития компьютерной отрасли. Сейчас вирусы встречаются не столь часто, однако рядовые пользователи привыкли употреблять этот термин для обозначения любых киберугроз. Однако это неправильно, как и неправильно называть любое заболевание простудой.
«В целом термины “антивирус” и “антивредоносная программа” означают одно и то же. Они обозначают ту или иную программу, предназначенную для защиты от вредоносного ПО, а также для его обнаружения и удаления из системы».
Что такое компьютерный вирус?
Компьютерный вирус – это (обычно) вредоносное программное обеспечение, которому свойственны две характеристики:
- Для запуска вируса нужны действия ничего не подозревающего пользователя. Для этого может быть достаточно открыть вложение в неблагонадежном электронном письме (вредоносный спам) или запустить зараженную программу. После этого вирус начинает пытаться проникнуть на другие устройства, подключенные к сети или занесенные в список контактов пользователя.
- Вирус должен обладать способностью самокопирования. Если программный объект не создает копии самого себя, то это не вирус. Самокопирование может, например, осуществляться путем модификации или полной замены других файлов в системе пользователя.
Так или иначе, конечный файл должен демонстрировать то же поведение, что и исходный файл вируса.
Компьютерные вирусы сопровождают нас на протяжении десятилетий. Теоретическое осмысление «самовоспроизводящихся автоматов» (т. е. вирусов) было сформулировано Джоном фон Нейманом в статье, опубликованной в конце 1940-х годов. Самые ранние вирусы стали появляться в 1970-х годах на платформах, предшествующих персональным компьютерам. Вместе с тем, история современных вирусов начинается с программы Elk Cloner, которая поразила системы Apple II в 1982 году. Этот вирус, переносчиком которого были зараженные дискеты, не причинял никакого вреда. Однако он проникал на все носители, подключаемые к системе, и распространялся столь стремительно, что многие эксперты в области компьютерной безопасности считают данный случай первой в истории крупномасштабной эпидемией компьютерного вируса.
Первые вирусы, подобные Elk Cloner, были в большинстве своем не более чем шуткой. Их создавали для того, чтобы прославиться и приобрести повод для гордости. Однако к 1990-м годам невинная забава молодежи превратилась в серьезную вредоносную деятельность. Пользователи ПК столкнулись с наплывом разнообразных вирусов, стремящихся уничтожить данные, замедлить работу системы и отследить нажатия клавиш (такие вирусы также называют клавиатурными шпионами). Необходимость разработать меры противодействия обусловила появление первых антивирусных программ.
Их ранние версии действовали только реактивно. Они могли обнаруживать вирусы лишь после их проникновения в систему. Более того, первые антивирусные программы выявляли вирусы на основе относительно примитивного алгоритма, стремясь обнаружить соответствия заранее заданным сигнатурам. Например, если программа «знает», что существует вирус с именем файла «PCdestroy», то при обнаружении этого имени она нейтрализует угрозу. Но если вирус изменит свое имя, то его обнаружение может быть затруднено. Нельзя не отметить, что ранние антивирусы действительно могли распознавать специфическое поведение вирусов и их цифровые признаки, например последовательности кода в сетевом трафике или известные вредоносные последовательности команд, тем не менее, их работа была похожа на игру в догонялки.
Ранние антивирусы использовали сигнатурные технологии поиска, которые могли без проблем обнаружить известные вирусы, но оказывались бессильными перед атаками еще не изученных объектов. Для этого новые вирусы приходилось изолировать и анализировать, чтобы определить их сигнатуры, которые затем вносились в список известных вирусов. Пользователю антивирусной программы приходилось регулярно загружать растущий как на дрожжах файл базы данных с сотнями тысяч сигнатур. Но даже в этом случае многие устройства оставались уязвимыми перед атаками вирусов, появившихся до очередного обновления базы данных. Такое положение вещей означало постоянную гонку: по мере того, как в сети появлялись новые вирусы, разработчики пытались создать антивирусное средство, способное охватить весь постоянно меняющийся ландшафт угроз.
Текущее состояние вирусов и антивирусных программ
На сегодняшний день вирусы для ПК считаются устаревшим типом компьютерных угроз и почти не представляют опасности для пользователей. Они сопровождают нас на протяжении десятилетий, но не слишком изменились за это время. В действительности последний «истинно новый» вирус, который воспроизводил себя в ходе взаимодействия с пользователем, появился в 2011 или 2012 году.
В связи с этим возникает вопрос: если компьютерные вирусы уже давно не представляют серьезной угрозы, почему люди продолжают называть свои защитные программы антивирусами?
Все сводится к узнаваемости названия. В 1990-е годы вспышки компьютерных вирусов производили сенсационные заголовки, так что компании, занимающиеся производством средств защиты, начали использовать термин «вирус» для обозначения любых киберугроз. Отсюда появился и термин «антивирус». И сейчас по прошествии многих лет он продолжает использоваться в маркетинговых кампаниях программных продуктов. На лицо замкнутый круг. Потребители считают, что термин «вирус» – это обозначение любой киберугрозы, поэтому компании называют антивирусными программами свои продукты в области кибербезопасности, в результате чего потребители полагают, что вирусы все еще представляют опасность.
Но есть один нюанс. Хотя вирусы и антивирусы еще не стали анахронизмами, современные киберугрозы еще более коварны, чем их предшественники-вирусы. Они скрываются в недрах компьютерных систем и умеют ускользать от средств обнаружения. Безобидные по современным меркам вирусы вчерашнего дня заложили основу для множества изощренных угроз, в числе которых шпионские программы, руткиты, троянские программы, эксплойты и программы-вымогатели.
По мере появления и развития этих новых видов угроз, дополняющих традиционные вирусы, производители антивирусных программ включались в борьбу с ними. Вместе с тем, у этих компаний возникли сомнения относительно того, как им стоит позиционировать себя. Нужно было решить, продолжать ли обозначать свои продукты как антивирусы, рискуя упростить их значимость в глазах пользователей. Или выработать другой термин (возможно, также с приставкой «анти», например «антишпионская программа»), чтобы более метко и емко представлять выпускаемые программы на рынке? Или лучше было бы использовать обобщающий подход, который учитывал бы все особенности единого продукта, направленного против всех угроз? Каждый производитель антивирусов сам выбирал ответы на эти вопросы.
Компания Malwarebytes придерживается концепции, согласно которой «продукт для кибербезопасности» является самой обширной категорией. Следовательно, имеет смысл обозначить наши продукты термином, отражающим борьбу со всеми компьютерными угрозами, а не только с вирусами. Поэтому мы используем термин «антивредоносные программы» – он наилучшим образом описывает то, что мы делаем.
«Потребители считают, что термин “вирус” – это обозначение любой киберугрозы, поэтому компании называют антивирусными программами свои продукты в области кибербезопасности, в результате чего потребители полагают, что вирусы все еще представляют опасность».
Если вирусы уже не представляют особой опасности, зачем нужны средства кибербезопасности?
Вирусы являются далеко не единственным видом вредоносного ПО. Помимо вирусов, существуют и другие формы вредоносного ПО, которые встречаются намного чаще. Например, вот несколько распространенных угроз, которые может нейтрализовать программа Malwarebytes:
- Рекламное ПО – это нежелательная программа, написанная для того, чтобы забрасывать экран компьютера рекламными сообщениями. Чаще всего это происходит во время использования браузера, но иногда рекламное ПО внедряется и в мобильные приложения. Как правило, подобные объекты обманным путем принуждают пользователя установить их на ПК, планшетный компьютер или мобильное устройство: они выдают себя за обычные программы или проникают в систему в качестве «дополнительной нагрузки» при установке других приложений.
- Шпионские программы – это вредоносное ПО, которое скрытно наблюдает за действиями пользователя компьютера и пересылает накопленные данные своим разработчикам.
- Вирусы – это вредоносное ПО, которое прикрепляется к другой программе и при ее запуске начинает самовоспроизводиться и модифицировать другие приложения на компьютере, внедряя в них элементы своего кода.
- Черви – это тип вредоносного ПО, напоминающий вирусы, однако для активации этим объектам не требуется взаимодействие с пользователем.
- Троянские программы, также обозначаемые как вредоносные программы типа «троянский конь», представляют собой скорее средство доставки вредоносного кода, нежели собственно угрозу. Троянская программа обычно маскируется под полезную программу, стремясь обмануть пользователя и заставить его запустить ее. Она может принести в систему вредоносное ПО любого вида, включая вирусы, шпионские программы и программы-вымогатели.
- Программы-вымогатели – это вредоносное ПО, которое блокирует Ваше устройство и/или шифрует Ваши файлы, а затем заставляет Вас заплатить выкуп за их возврат.
Программы-вымогатели считаются излюбленным оружием киберпреступников, поскольку они дают им возможность быстро получить значительную прибыль в криптовалюте, операции с которой сложно отследить. Код, на котором основываются атаки программ-вымогателей, можно без проблем получить на черном интернет-рынке, а защититься от него всегда непросто. - Руткиты – это вредоносное ПО, которое активно скрывается от пользователя и предоставляет злоумышленникам права администратора на зараженном компьютере. Руткиты стараются оставаться незамеченными и для других программ, даже для самой операционной системы.
- Клавиатурные шпионы – это вредоносное ПО, которое записывает, на какие клавиши нажимают пользователи, сохраняет накопленную информацию и отправляет ее своим авторам, которые извлекают из полученных данных важные сведения, например имена пользователей, пароли или реквизиты кредитных карт.
- Программы для теневого вредоносного майнинга, также иногда обозначаемые как программы для криптоджекинга, – это тип вредоносного ПО, который получает все более широкое распространение. Данные объекты проникают в систему множеством способов, например с помощью вредоносного спама, теневой загрузки, мошеннических приложений или расширений для браузеров. В результате посторонние лица могут использовать ресурсы центрального процессора или графического процессора, чтобы добывать криптовалюты, например биткоин или монеро. Не давая Вам зарабатывать деньги на мощности Вашего компьютера, криптомайнеры отправляют полученные «монеты» на собственные счета. Программы для вредоносного майнинга фактически крадут ресурсы чужих систем с целью получения прибыли.
- Эксплойты – это объекты, которые используют ошибки и уязвимости в системе для внедрения в нее вредоносного ПО. Как и другие угрозы, эксплойты часто распространяются посредством вредоносной рекламы, которая может отображаться даже на законных веб-сайтах. В ряде случаев Вам даже не нужно нажимать на рекламный баннер, чтобы заразить свой компьютер, поскольку эксплойты и связанное с ними вредоносное ПО могут проникать в систему посредством теневой загрузки. Достаточно просто посетить вполне благонадежный веб-сайт в неудачный день.
Как работают антивредоносные программы?
Старая добрая сигнатурная технология обнаружения угроз остается в известной степени эффективной, однако современные антивредоносные программы также обнаруживают угрозы с помощью более новых методов, которые основаны на поиске вредоносного поведения приложений. Сигнатурная технология обнаружения напоминает поиск отпечатков пальцев преступника. Это может быть действенным способом выявить угрозу, однако только в том случае, если известно, как выглядят нужные отпечатки. Современные антивредоносные программы выводят поиск угроз на новый уровень, позволяя обнаруживать ранее не изученные объекты. Анализируя структуру и поведение приложений, эти программы могут выявлять подозрительную активность. Если продолжить аналогию, то они действуют подобно детективу, который находит в кармане у подозреваемого отмычку или замечает, что подозреваемый по какой-то причине появляется в определенном месте в одно и то же время.
Эта более современная и более эффективная технология кибербезопасности называется эвристическим анализом. Термин «эвристика» позаимствован из научной области и обозначает комплекс методов, позволяющих обнаруживать угрозы путем анализа структуры приложений, их поведения и ряда других параметров.
Проверяя исполняемый файл, эвристическая антивредоносная программа тщательно анализирует общую структуру приложения, логику программирования и другие данные. При этом она ищет различные отклонения, например необычные команды или ненужный код. Так программа оценивает, с какой вероятностью то или иное приложение может содержать вредоносное ПО.
Более того, еще одним преимуществом эвристического анализа является возможность обнаруживать вредоносное ПО в файлах и загрузочных записях, прежде чем оно сможет запуститься и заразить компьютер. То есть эвристическая антивредоносная программа действует проактивно, а не реактивно. Некоторые антивредоносные продукты запускают подозрительные приложения в песочнице – контролируемом окружении, где можно определить, является ли исследуемое приложение безопасным для установки. Запуская вероятное вредоносное ПО в песочнице, программа анализирует, какие действия оно выполняет, пытается ли скрыться или нанести вред компьютеру.
Кроме того, эвристическая технология позволяет анализировать характеристики веб-сайтов и выявлять опасные страницы, которые могут содержать эксплойты, что является дополнительным фактором, обеспечивающим безопасность пользователей. Теперь при малейших признаках фишинга программа блокирует подозрительный сайт.
Таким образом, антивирус, применяющий сигнатурную технологию, работает как вышибала у дверей ночного клуба, в руках у него – черный список, и если он видит перед собой кого-то, кто занесен в этот список, он сразу вышвыривает непрошеного гостя прочь. Если же вышибала действует методом эвристического анализа, то он обращает внимание на подозрительное поведение посетителей, обыскивает их и отправляет домой тех, кто решил заявиться в клуб с оружием.
«Термин “эвристика” позаимствован из научной области и обозначает комплекс методов, позволяющих обнаруживать угрозы путем анализа структуры приложений, их поведения и ряда других параметров».
Совершенствование программ в области кибербезопасности
Как ни странно, прогрессу в разработке новых бессигнатурных технологий поспособствовали две относительно новые формы вредоносного ПО: эксплойты и программы-вымогатели. Несмотря на то что эти угрозы во многом похожи на все остальные, их отличительной особенностью является то, что их чрезвычайно сложно обнаружить. Более того, очистка зараженного компьютера в ряде случаев оказывается вовсе невыполнимой.
Эксплойты получили свое название благодаря тому, что для внедрения вредоносного кода они различным образом «эксплуатируют» уязвимости в системе, браузерах или других приложениях. В этом случае меры противодействия основываются на блокировании самой возможности совершить атаку, что позволяет защитить пользователей, например, от flash-эксплойтов и других объектов, использующих бреши в программном коде браузеров, а также от новых эксплойтов или от уязвимостей, для которых еще не выпущены исправления.
Появление программ-вымогателей в 2013 году было действительно эффектным. Эти вредоносные объекты снискали себе дурную славу: они похищали и зашифровывали данные на компьютерах, требовали выкуп за их расшифровку и даже угрожали безвозвратно удалить всю информацию, если платеж не поступит вовремя.
Обе эти угрозы вынудили разработчиков всерьез взяться за дело и наладить выпуск специализированных продуктов, направленных на борьбу с эксплойтами и программами-вымогателями. В декабре 2016 года компания Malwarebytes включила защиту от эксплойтов и программ-вымогателей в premium-версию программы Malwarebytes for Windows. С тех пор технологии противодействия программам-вымогателям постоянно совершенствуются, являясь неотъемлемой составляющей всех наших антивредоносных решений.
Будущее программ в области кибербезопасности (которое уже наступило)
Искусственный интеллект (AI) и машинное обучение (ML) считаются сейчас наиболее перспективными направлениями развития технологий борьбы с вредоносным ПО.
Благодаря искусственному интеллекту машины могут решать задачи, на выполнение которых они не были изначально запрограммированы. Искусственный интеллект позволяет не просто слепо выполнять ограниченный набор команд. С его помощью программа может «анализировать ситуацию» и предпринимать действия для достижения поставленной цели, например выявлять признаки активности программ-вымогателей.
Машинное обучение – это метод программирования, который позволяет распознавать те или иные параметры новых данных, а затем классифицировать их особым образом, чтобы «научить машину учиться».
Другими словами, технологии искусственного интеллекта сосредоточены на производстве умных машин, а технологии машинного обучения используют алгоритмы, с помощью которых машины могут учиться на собственном опыте. Оба этих направления отлично подходят для сферы кибербезопасности, ведь сегодня неуклонно растет как общее количество угроз, так и многообразие их видов, в результате чего сигнатурные и другие ручные методы просто не в состоянии охватить весь ландшафт угроз. Искусственный интеллект и машинное обучение все еще находятся в стадии разработки, однако они обещают стать крайне эффективными.
Компания Malwarebytes уже использует в своем программном продукте компонент машинного обучения, способный выявлять вредоносное ПО, которое еще никогда не встречалось на просторах всемирной паутины, – угрозы такого типа называют угрозами нулевого дня. Другие компоненты нашего программного обеспечения осуществляют эвристический анализ на основе поведения приложений: и хотя они не распознают напрямую тот или иной код как вредоносный, им под силу определить, что конкретный файл или веб-сайт ведут себя странным образом. Методы работы этих компонентов основываются на технологиях искусственного интеллекта и машинного обучения и доступны нашим пользователям как в рамках защиты в реальном времени, так и при выполнении проверок по требованию.
Если же речь идет о корпоративном секторе и занятых в нем IT-специалистах, которым приходится обеспечивать безопасность значительного количества компьютеров в сети, то эвристический подход становится чрезвычайно важным. Мы не можем знать наверняка, каков будет характер следующей крупной угрозы со стороны вредоносного ПО. Поэтому эвристический анализ, искусственный интеллект и машинное обучение являются неотъемлемыми компонентами защиты Malwarebytes Endpoint Protection. Вместе они формируют многоуровневую защиту, которая способна противостоять всем этапам цепи атак, предпринимаемых известными или неизвестными вредоносными объектами.
Болезнь легче предупредить, чем лечить
От настольных ПК и ноутбуков до планшетных компьютеров и смартфонов – все устройства уязвимы перед вредоносным ПО. Если у Вас есть выбор, зачем тратить лишние усилия на устранение последствий атаки, когда можно предотвратить ее?
«Как показывают газетные заголовки, регулярно сообщающие об очередной успешной кибератаке, традиционный антивирус не в состоянии самостоятельно справиться с этой задачей».
Что нужно делать, чтобы оставаться в безопасности? Какой тип программного обеспечения для кибербезопасности – антивирус или антивредоносную программу – следует выбрать для противодействия разнообразному ландшафту угроз, который составляют как устаревшие вирусы, так и новейшее вредоносное ПО?
Следует признать: как показывают газетные заголовки, регулярно сообщающие об очередной успешной кибератаке, традиционный антивирус не в состоянии самостоятельно справиться с этой задачей. В ряде случаев ему не под силу остановить угрозы нулевого дня или даже полностью очистить систему от вредоносного ПО, так что программы-вымогатели продолжают успешно захватывать компьютеры. Поэтому Вам нужна более совершенная программа, которая способна обеспечить Вашу кибербезопасность, являясь достаточно универсальной и умной, чтобы предвидеть характер самых изощренных современных угроз.
Всем этим критериям полностью соответствует Malwarebytes for Windows (а также Malwarebytes for Mac, Malwarebytes for Android и решения Malwarebytes для бизнеса). Программные продукты Malwarebytes защищают от вредоносного ПО, хакерских атак, вирусов, программ-вымогателей и других постоянно совершенствующихся угроз, обеспечивая оптимальные условия для спокойной работы в сети Интернет. Наша технология эвристического анализа, использующая элементы искусственного интеллекта, блокирует даже те угрозы, которые нередко обходят защиту привычных антивирусных приложений.
Обозреватели отрасли отметили программу Malwarebytes for Windows за ее особый многоуровневый подход, который позволяет организовать эффективную защиту, не снижая производительность системы. Эта программа удаляет из системы все следы вредоносного ПО, блокирует новейшие угрозы и быстро выполняет проверки.
Какое бы средство кибербезопасности Вы ни выбрали, первой линией обороны от угроз всегда будут оставаться Ваши знания. Регулярно читайте блог Malwarebytes Labs – и Вы будете получать самую актуальную информацию о новейших угрозах и средствах защиты.
Авторские права (c), 1984, Фред Коэн — Все права защищены
В этом документе определяется основная проблема компьютерной безопасности, называемая вирусом. В
вирус интересен своей способностью присоединяться к другим программам
и заставить их также стать вирусами. Существует два варианта написания
множественное число от вируса; «вирусы» и «вирусы». Мы используем тот, что найден в
3-й Международный несокращенный словарь Вебстера Учитывая широкое распространение
использование совместного использования в существующих компьютерных системах, угроза переноса вирусов
троянский конь [Anderson72] [Linde75]
важно.Хотя в
реализация политики по защите от незаконного распространения информации
[Bell73]
[Denning82], и многие системы были
реализован для защиты от такого рода атак [McCauley79]
[Popek79] [Gold79]
[Landwehr83], мало работ было
сделано в области защиты информации, входящей в область, от причинения ущерба
[Lampson73] [Biba77].
В системах возможно множество типов информационных путей, некоторые из которых законны.
и авторизованные, а также другие, которые могут быть скрытыми [Lampson73],
наиболее часто игнорируемый — через пользователя.Мы будем игнорировать скрытые
информационные пути в этой статье.
Существуют общие средства обеспечения доказуемо правильной защиты.
схемы [Feiertag79], но они зависят
о политике безопасности, которая эффективна против типов атак, которые
выполненный. Даже некоторые довольно простые системы защиты не могут быть проверены
«безопасно» [Harrison76]. Защита от
отказ в обслуживании требует обнаружения останавливающих программ, что
хорошо известно, неразрешима [Garey79].
Проблема точной маркировки информационного потока в системе [Fenton73]
было показано, что он является NP-полным.Использование охранников для прохождения
недостоверная информация [Woodward79]
между пользователями было изучено, но в целом зависит от умения
для доказательства правильности программы, которая, как известно, является NP-полной.
Программа-червь Xerox [Shoch82] имеет
продемонстрировал способность распространяться по сети и даже случайно
вызвал отказ в обслуживании. В более позднем варианте игра «основных войн»
[Dewdney84] был изобретен, чтобы позволить двум
программы для борьбы друг с другом. Другие вариации на эту тему
сообщалось многими неопубликованными авторами, в основном в контексте
ночные игры между программистами.Термин вирус также был
используется вместе с дополнением к APL, в которое автор помещает
общий вызов в начале каждой функции, который, в свою очередь, вызывает
препроцессор для расширения интерпретатора APL по умолчанию [Gunn74].
Рассмотрена потенциальная угроза широко распространенной проблемы безопасности.
[Hoffman82]
и потенциальный ущерб правительству, финансам, бизнесу и академической среде.
институтов крайний. Кроме того, эти учреждения, как правило, используют рекламу
случайные механизмы защиты в ответ на конкретные угрозы, а не на звук
теоретические методы
[Kaplan82].Текущий
системы военной защиты в значительной степени зависят от изоляционизма, однако
разрабатываются новые системы, позволяющие «многоуровневое» использование [Klein83].
Ни одна из опубликованных предлагаемых систем не определяет и не реализует политику, которая
может остановить вирус.
В этой статье мы открываем новую проблему защиты от компьютерных вирусов.
Сначала мы исследуем инфекционные свойства вируса и покажем, что транзитивный
закрытие совместно используемой информации может потенциально заразиться. При использовании
вместе с троянским конем, очевидно, что это может вызвать широкое распространение
отказ в обслуживании и / или несанкционированное манипулирование данными.Результаты
нескольких экспериментов с компьютерными вирусами используются, чтобы продемонстрировать, что
вирусы представляют собой серьезную угрозу как при нормальном, так и при высоком уровне безопасности.
системы. Пути обмена, транзитивность информационного потока и общность
интерпретации информации определены как ключевые свойства в
защита от компьютерных вирусов и их индивидуальный анализ.
свойства показаны. Анализ показывает, что единственные системы с потенциалом
для защиты от вирусной атаки используются системы с ограниченной транзитивностью
и ограниченное совместное использование, системы без совместного использования и системы без общего
интерпретация информации (способность Тьюринга).Только первый случай
представляет практический интерес для современного общества. В общем, обнаружение
показано, что вирусы неразрешимы как априори, так и во время выполнения,
и без обнаружения излечение, вероятно, будет трудным или невозможным.
Рассмотрены несколько предлагаемых контрмер и показано, что они соответствуют
к частным случаям индивидуального анализа вирусных свойств. Ограничено
системы транзитивности считаются обнадеживающими, но показано, что точные
реализация трудноразрешима, и в целом показаны неточные политики
со временем привести к тому, что системы будут использоваться все меньше и меньше.Использование общесистемного
вирусные антитела исследуются, и показано, что они зависят в целом от растворов
к неразрешимым проблемам.
Сделан вывод о важности изучения компьютерных вирусов.
область исследований с потенциальными приложениями к другим областям, которые текущие
системы практически не обеспечивают защиты от вирусных атак, и это единственное
Доказуемо «безопасная» политика на данный момент — изоляционизм.
Компьютерный вирус
Авторские права (c), 1984, Фред Коэн — Все права защищены
Мы определяем компьютерный «вирус» как программу, которая может «заразить» другие программы.
изменяя их, чтобы включить в них возможно эволюционировавшую копию самого себя.С
свойство инфекции, вирус может распространяться по компьютерной системе или
сеть, используя авторизацию каждого пользователя, использующего ее для заражения своих
программы. Каждая зараженная программа может также действовать как вирус и
таким образом инфекция разрастается.
Следующая псевдопрограмма показывает, как вирус может быть записан в
псевдокомпьютерный язык. Символ «: =» используется для определения, «:»
символ обозначает утверждение, «;» разделяет операторы, символ «=»
используется для присвоения или сравнения, символ «~» означает «нет»,
Символы «{» и «}» группируют последовательности операторов вместе, а символ «… »
символ используется, чтобы указать, что несущественная часть кода была
слева неявно.
программный вирус: = {1234567; подпрограмма заражать исполняемый файл: = {цикл: файл = получить-случайный-исполняемый-файл; если первая строка файла = 1234567, то цикл goto; добавить вирус к файлу; } подпрограмма do-damage: = {какой бы ущерб ни был нанесен} подпрограмма нажата на триггер: = {вернуть истину, если выполняется какое-то условие} основная программа: = {заражать исполняемый файл; если нажать на спусковой крючок, то нанеси урон; перейти к следующему;} следующий:}
Простой вирус «V»
В этом примере вирус (V) ищет неинфицированный исполняемый файл (E)
поиск исполняемых файлов без «1234567» в начале,
и добавляет V к E, превращая его в зараженный файл (I).Затем V проверяет
чтобы увидеть, истинно ли какое-то условие срабатывания и наносит ли он ущерб. Ну наконец то,
V выполняет остальную часть программы, к которой он был добавлен. Когда пользователь пытается
для выполнения E вместо него выполняется I; он заражает другой файл, а затем
выполняется так, как если бы это был E. За исключением небольшой задержки заражения,
I выглядит как E, пока условие срабатывания не приведет к повреждению.
Распространенное заблуждение о вирусе связывает его с программами, которые просто
распространяются по сетям. Программа-червь, Core wars и другие подобные
программы сделали это, но на самом деле ни одна из них не связана с заражением.В
Ключевым свойством вируса является его способность заражать другие программы, достигая
переходное закрытие обмена между пользователями. Например, если V инфицирован
один из исполняемых файлов пользователя A (E), а затем пользователь B запустил E, V мог распространять
к файлам пользователя B.
Следует отметить, что вирус не должен использоваться в злых целях.
или быть троянским конем. В качестве примера можно написать вирус сжатия
найти незараженные исполняемые файлы, сжать их с разрешения пользователя,
и готовиться к ним.При запуске зараженная программа распаковывает
сам и работает нормально. Поскольку он всегда спрашивает разрешения перед выполнением
services, это не троянский конь, но поскольку он обладает свойством заражения,
это все еще вирус. Исследования показывают, что такой вирус может сэкономить более
50% пространства, занимаемого исполняемыми файлами в средней системе. В
производительность зараженных программ несколько снизится при их распаковке,
и, таким образом, вирус сжатия реализует определенный компромисс во времени и пространстве.Образец вируса сжатия можно записать следующим образом:
программа-сжатие-вирус: = {01234567; подпрограмма заражать исполняемый файл: = {цикл: файл = получить-случайный-исполняемый-файл; если первая строка файла = 01234567, то цикл goto; сжать файл; добавить вирус сжатия к файлу; } основная программа: = {если спросить-разрешение, то заразить-исполняемый файл; распаковать остаток этого файла в tmpfile; запустить tmpfile;} }
Вирус сжатия «C»
Эта программа (C) находит незараженный исполняемый файл (E), сжимает его,
и добавляет C в начало зараженного исполняемого файла (I).Затем он распаковывает
остальная часть во временный файл и выполняется нормально. Когда я
запущен, он будет искать и сжимать другой исполняемый файл перед распаковкой
E во временный файл и запустив его. Эффект распространяется через
система сжимает исполняемые файлы и распаковывает их как есть
быть выполненным. Пользователи будут испытывать значительные задержки при запуске исполняемых файлов.
распаковываются перед запуском.
В качестве более опасного примера предположим, что мы модифицируем программу
V, указав триггер как истину после заданной даты и времени, и
указание причинения ущерба как бесконечного цикла.С уровнем участия в
большинство современных систем, вся система, вероятно, станет непригодной для использования в качестве
указанной даты и времени. Может потребоваться большая работа
чтобы отменить ущерб, нанесенный таким вирусом. Эта модификация показана здесь:
... подпрограмма do-damage: = {цикл: цикл перехода;} подпрограмма нажата на триггер: = {если год> 1984, вернуть истину, иначе вернуть ложь;} ...
Вирус отказа в обслуживании
По аналогии с компьютерным вирусом рассмотрим биологическое заболевание, которое
100% заразен, распространяется при общении животных, убивает всех инфицированных
животных мгновенно в данный момент и не имеет заметных побочных эффектов
до этого момента.Если между введением использовалась задержка хотя бы на одну неделю
болезни и ее последствий, скорее всего, останется только
несколько отдаленных деревень живы, и наверняка уничтожит подавляющее большинство
современного общества. Если бы компьютерный вирус этого типа мог распространиться повсюду
компьютеров мира, это, скорее всего, остановит использование компьютеров для
значительный период времени и нанести ущерб современному правительству, финансам,
бизнес и академические учреждения.
Защита от компьютерных вирусов
Авторские права (c), 1984, Фред Коэн — Все права защищены
Мы познакомили читателя с концепцией вирусов, а сами вирусы
к системам.Посеяв семена потенциально разрушительной атаки,
целесообразно изучить механизмы защиты, которые могут помочь защитить
против этого. Здесь мы исследуем предотвращение компьютерных вирусов.
Основные ограничения
Чтобы пользователи системы могли обмениваться информацией, необходимо
быть путем, по которому информация может передаваться от одного пользователя к другому.
Мы не делаем различий между пользователем и программой, выступающей в роли суррогата.
для этого пользователя, поскольку программа всегда действует как суррогат для пользователя в
любое использование компьютера, и мы игнорируем скрытый канал через
Пользователь.Чтобы использовать модель машины Тьюринга для вычислений, мы должны учитывать
что если информация может быть прочитана пользователем со способностями Тьюринга, то
его можно скопировать, а затем эту копию можно рассматривать как данные на Тьюринге.
машинная лента.
Учитывая систему общего назначения, в которой пользователи могут использовать информацию
в их распоряжении, как они хотят, и передачу такой информации, как они видят
подходит другим, должно быть ясно, что способность делиться информацией
транзитивен. То есть, если есть путь от пользователя A к пользователю B, и там
— это путь от пользователя B к пользователю C, то есть путь от пользователя A к пользователю
C при сознательном или невольном сотрудничестве пользователя B.
Наконец, нет принципиального различия между информацией, которая
можно использовать как данные, так и информацию, которую можно использовать как программу. Этот
это хорошо видно в случае переводчика, который принимает информацию
редактируется как данные и интерпретирует их как программу. Фактически, информация
имеет смысл только потому, что подлежит интерпретации.
В системе, где информация может быть интерпретирована как программа ее
получателя, такая интерпретация может привести к заражению, как показано выше.Если есть совместное использование, инфекция может распространяться через интерпретацию
поделился информацией. Если нет ограничения на транзитивность информации
поток, то информация может достичь транзитивного замыкания информации
поток начинается в любом источнике. Совместное использование, транзитивность информационного потока,
и универсальность интерпретации, таким образом, позволяют вирусу распространяться на транзитивный
закрытие информационного потока, начинающегося с любого данного источника.
Очевидно, что если нет обмена, не может быть и распространения информации
через границы информации, и, следовательно, никакая внешняя информация не может быть
интерпретируется, и вирус не может распространяться за пределы одного раздела.Этот
называется изоляционизмом. Столь же ясно, что система, в которой нет программы
могут быть изменены, и информация не может быть использована для принятия решений.
быть инфицированным, поскольку заражение требует модификации интерпретируемой информации.
Мы называем это системой «фиксированной функциональности первого порядка». Следует отметить
что практически любая система, имеющая реальную полезность в научных исследованиях или разработках
окружающая среда потребует общности интерпретации, и изоляционизм
неприемлемо, если мы хотим получить пользу от работы других.Тем не менее,
это решения проблемы вирусов, которые могут быть применимы в
ограниченные ситуации.
Модели перегородок
Можно выделить два ограничения на путях информационного потока:
которые делят пользователей на замкнутые собственные подмножества при транзитивности, и
те, которые этого не делают. Ограничения потока, которые приводят к замкнутым подмножествам, могут быть
рассматривается как разделение системы на изолированные подсистемы. Эти ограничения
каждая зараза в один раздел. Это действенное средство предотвращения полного
вирусный захват за счет ограниченного изоляционизма, что эквивалентно
дать каждому разделу свой компьютер.
Модель целостности [Biba77] является примером
политики, которая может быть использована для разделения систем на закрытые подмножества под
транзитивность. В модели Биба уровень целостности связан с
вся информация. Свойства строгой целостности — двойственные свойства Bell-LaPadula.
характеристики; ни один пользователь с заданным уровнем целостности не может прочитать объект с более низким
целостности или написать объект более высокой целостности. В оригинальной модели Бибы
было сделано различие между доступом для чтения и выполнения, но это не может
применяться без ограничения универсальности интерпретации информации
поскольку программа с высоким уровнем целостности может записать объект с низким уровнем целостности, сделайте низкий
целостность копий самого себя, а затем считывание входных данных с низким уровнем целостности и создание
выход с низкой целостностью.
Если модель целостности и модель Белла-ЛаПадула сосуществуют, форма
результат ограниченного изоляционизма, который делит пространство на замкнутые подмножества
при транзитивности. Если для обоих механизмов используются одни и те же деления
(более высокая целостность соответствует более высокой безопасности), результат изоляционизма
поскольку информация, повышающаяся по уровням безопасности, также поднимается по уровням целостности,
а это не разрешено. Когда модель Биба имеет границы внутри
Границы Белла-ЛаПадулы, инфекция может распространяться только от более высокого уровня целостности
уровни на более низкие в пределах данного уровня безопасности.Наконец, когда Bell-LaPadula
границы находятся в пределах границ Биба, инфекция может распространяться только из
от более низких уровней безопасности до более высоких уровней безопасности в рамках заданной целостности
уровень. На самом деле существует 9 случаев, соответствующих всем парам младших
границы с верхними границами, но три, показанные графически ниже
достаточно для понимания.
Те же подразделения Biba в B-L B-L в Biba -------------- --------------- --------------- Biba B-L Результат Biba B-L Результат Biba B-L Результат ---- ---- ---- ---- ---- ---- ---- ---- ---- | \\ | | // | | XX | | \\ | | // | | XX | | \\ | | // | | XX | | \\ | | // | | XX | | \\ | | | | \\ | | | | // | | // | | | + | | = | | | | + | | = | | | | + | | = | | | // | | \\ | | XX | | // | | | | // | | | | \\ | | \\ | | // | | \\ | | XX | | // | | \\ | | XX | | // | | \\ | | XX | ---- ---- ---- ---- ---- ---- ---- ---- ---- \\ = не могу писать // = не могу читать XX = нет доступа \ + / = X
Работа Бибы также включала две другие политики добросовестности:
mark ‘политика, которая делает вывод самой низкой целостностью любого ввода, и
«кольцевая» политика, при которой пользователи не могут вызывать все, что могут прочитать.Первая политика имеет тенденцию перемещать всю информацию в сторону более низкой целостности.
уровней, в то время как последний пытается провести различие, которое не может быть
сделано с обобщенной интерпретацией информации.
Точно так же, как системы, основанные на модели Белла-ЛаПадулы, имеют тенденцию приводить к тому, что вся информация
двигаться к более высоким уровням безопасности, постоянно повышая уровень
для удовлетворения потребностей пользователей самого высокого уровня модель Биба имеет тенденцию перемещать всю информацию
к более низким уровням целостности, всегда снижая целостность результатов
к наименьшей входящей целостности.Мы также знаем, что точная система
ибо целостность является NP-полной (так же, как ее двойник является NP-полным).
Программист, которому доверяют, — это (по определению) программист, который может
писать программы, исполняемые большинством пользователей. Чтобы сохранить Bell-LaPadula
политики, пользователи высокого уровня не могут писать программы, используемые пользователями более низкого уровня.
Это означает, что программисты, пользующиеся наибольшим доверием, должны иметь самый низкий рейтинг.
уровень безопасности. Это кажется противоречивым. Когда мы смешиваем Biba и Bell-LaPadula
модели, мы обнаруживаем, что в результате изоляционизм защищает нас от вирусов,
но не позволяет пользователям писать программы, которые можно использовать повсюду.
система.Как-то так же, как мы разрешаем шифрование или рассекречивание
данные, чтобы переместить их с более высоких уровней безопасности на более низкие, мы должны
возможность использовать тестирование и верификацию программ для перемещения информации из нижних
уровни целостности до более высоких.
Еще одна часто используемая политика, используемая для разделения систем на закрытые подмножества
— это политика категорий, используемая в типичных военных приложениях. Эта политика
разделяет пользователей на категории, каждый пользователь может только получить доступ к информации
требуется для выполнения своих обязанностей.Если каждый пользователь в строгой системе категорий имеет
доступ только к одной категории за раз, система защищена от вирусных
атакуют через границы категорий, потому что они изолированы. К несчастью,
в существующих системах пользователи могут иметь одновременный доступ к нескольким категориям.
В этом случае инфекция может перекинуться через границы категорий на транзитивные
закрытие информационного потока.
Поточные модели
В политиках, которые не разделяют системы на закрытые надлежащие подмножества в
транзитивность, можно ограничить степень, в которой вирус может
распространение.Политика «расстояния потока» реализует метрику расстояния, сохраняя
отслеживать расстояние (количество обменов), на которое были переданы данные.
Правила такие; расстояние вывода информации — максимум
расстояния ввода информации и расстояние разделяемой информации
на единицу больше, чем расстояние одной и той же информации до передачи. Защита
обеспечивается за счет установления порога, выше которого информация становится непригодной для использования.
Таким образом, файл с расстоянием 8, разделенный на процесс с расстоянием 2, увеличивается.
процесс на расстояние 9, и любой дальнейший результат будет не менее
расстояние.
В качестве примера мы показываем поток разрешенной информации на расстоянии.
метрическая система с порогом, установленным на 1, и каждый пользователь (A-E) может общаться
только с 2 ближайшими соседями. Обратите внимание, что информация, начинающаяся с
C может течь только к пользователю B или пользователю D, но не может переходить к A или E даже
при сотрудничестве B и D.
Правила: D (выход) = max (D (вход)) D (общий ввод) = 1 + D (неразделенный ввод) Информация доступна, если DПолитика «список потоков» поддерживает список всех пользователей, оказавших влияние
на каждый объект.Правило ведения этого списка: список потоков
output - это объединение списков потоков всех входов (включая пользовательский
кто вызывает действие). Защита принимает форму произвольного логического значения.
выражение в списках потоков, определяющее доступность. Это очень
общая политика, и может использоваться для представления любой из вышеперечисленных политик.
выбрав правильные логические выражения.На следующем рисунке показан пример системы списков потоков, реализующей
разные ограничения (обозначены A и B) для разных пользователей (в строке, столбце
1,3 и 2,5).Обратите внимание, что, хотя информация может достигать 1,5,
он не может добраться туда, потому что нет пути от его источника в
1,3. Как и в системе метрики расстояний, транзитивность информационного потока
не выполняется, так что даже если информация, указанная B, могла быть
достигнув 2,3, он не мог пройти дальше.Правила: F (выход) = Союз (F (входы)) Информация доступна тогда и только тогда, когда B (F) = 1 1 2 3 4 5 6 + - + + - + + - + + - + + - + + - + 1 | A | --- | A | --- | A | --- | | --- | A | --- | B | + - + + - + + - + + - + + - + + - + | | | | | | + - + + - + + - + + - + + - + + - + 2 | | --- | | --- | A | --- | | --- | B | --- | B | + - + + - + + - + + - + + - + + - + | | | | | | + - + + - + + - + + - + + - + + - + 3 | B | --- | B | --- | B | --- | B | --- | B | --- | B | + - + + - + + - + + - + + - + + - + Образец системы списка потоковВ приведенном выше примере используется довольно простая логическая функция, но в целом
очень сложные условные выражения могут использоваться для определения доступности.Как
Например, пользователю A может быть разрешен доступ только к информации, записанной
пользователи (B и C) или (B и D), но не информация, написанная B, C или D
один. Это может быть использовано для принудительной сертификации информации Б до
C или D могут передать его A. Система списков потоков также может использоваться для реализации
Биба и дистанционные модели. Например, дистанционная модель может
реализуется следующим образом: @center [ИЛИ (пользователи <= расстояние 1) И НЕ (ИЛИ (пользователи > расстояние 1))]В системе с неограниченными информационными путями ограниченная транзитивность может
имеют эффект, если пользователи не используют все доступные пути, но поскольку там
всегда прямой путь между любыми двумя пользователями, всегда есть возможность
инфекции.Например, в системе с транзитивностью, ограниченной
на расстоянии 1 «безопасно» делиться информацией с любым пользователем, которому «доверяешь»
не беспокоясь о том, доверял ли этот пользователь неправильно
другой пользователь.Ограниченная интерпретация
Ограничения на универсальность интерпретации менее строгие, чем фиксированные.
интерпретация первого порядка, способность инфицировать - открытый вопрос, потому что
заражение зависит от разрешенных функций. Требуются определенные функции
на заражение.Умение писать обязательно, но любая полезная программа
должен иметь выход. Можно разработать набор операций, которые не
допускать заражение даже в самом общем случае совместного использования и транзитивности,
но неизвестно, включает ли какой-либо такой набор нефиксированный первый порядок
функции.Например, система только с функцией display-file может только
отображать содержимое файла пользователю и не может изменять какие-либо
файл. В фиксированных базах данных или почтовых системах это может иметь практическое применение,
но, конечно, не в среде разработки.Во многих случаях компьютер
почта - достаточное средство связи, и пока компьютер
почтовая система отделена от других приложений, так что никакой информации
могут течь между ними, за исключением скрытого канала через пользователя, это
может использоваться для предотвращения инфекции.Хотя никакая фиксированная схема интерпретации сама по себе не может быть заражена, высокая
Схема фиксированной интерпретации может быть использована для заражения программ, написанных
быть истолкованным им. Например, микрокод компьютера может
быть исправлено, но код на машинном языке, который он интерпретирует, все еще может быть заражен.LISP, APL и Basic - все это примеры фиксированных схем интерпретации, которые
может интерпретировать информацию в общих чертах. Поскольку их способность интерпретировать
в общем, можно написать программу на любом из этих языков
который заражает программы на одном или всех этих языках.В системах с ограниченной интерпретацией инфекции не могут распространяться дальше
чем в общих системах интерпретации, потому что каждая функция в ограниченном
система также должна быть способна работать в общей системе.Предыдущий
Таким образом, результаты дают верхнюю границу распространения вируса в системах.
с ограниченной интерпретацией.Проблемы с точностью
Хотя изоляционизм и ограниченная транзитивность предлагают решения для инфекции.
проблема, они не идеальны в том смысле, что
считается ценным инструментом в вычислениях. Из этих политик только изоляционизм
могут быть точно реализованы на практике, потому что отслеживание точной информации
расход требует NP-полного времени, а поддержание маркировки требует больших
количество места [Denning82].Это оставляет
нас неточными методами. Проблема с неточными методами заключается в
что они склонны приближать системы к изоляционизму. Это потому, что они
используйте консервативные оценки эффектов, чтобы предотвратить потенциальный ущерб.
За этим стоит философия: лучше перестраховаться, чем сожалеть.Проблема в том, что когда информация несправедливо считается нечитаемой
для данного пользователя система становится менее удобной для этого пользователя. Это
форма отказа в предоставлении доступа к информации, которая должна
быть доступным запрещено.Такая система всегда стремится сделать себя менее
и менее пригоден для совместного использования, пока он не станет полностью изоляционистским
или достигает точки стабильности, когда все оценки точны. Если такой
точка устойчивости существовала, у нас была бы точная система для этой устойчивости
точка. Поскольку мы знаем, что любая точная точка стабильности, кроме изоляционизма
требует решения NP-полной проблемы, мы знаем, что любая не NP-полная
решение должно иметь тенденцию к изоляционизму.Резюме и выводы
В следующей таблице приведены ограничения на распространение вирусов
только что изученная превентивная защита.Неизвестно используется для обозначения
что специфика конкретных систем известна, но ни одна теория не
было показано, что они предсказывают ограничения в этих категориях.Пределы вирусной инфекции общая интерпретация ограниченная интерпретация \ Транзитивность Совместное использование \ ограниченное общее ограниченное общее | ----------- | ----------- | | ----------- | ----------- | генеральный | безлимитный | безлимитный | | неизвестно | неизвестно | | ----------- | ----------- | | ----------- | ----------- | ограниченный | произвольный | закрытие | | произвольный | закрытие | | ----------- | ----------- | | ----------- | ----------- |Лечение компьютерных вирусов
Авторские права (c), 1984, Фред Коэн - Все права защищены
Поскольку предотвращение компьютерных вирусов может оказаться невозможным при широком распространении
желательно, биологическая аналогия приводит нас к возможности излечения
как средство защиты.Лечение в биологических системах зависит от способности
чтобы обнаружить вирус и найти способ победить его. Аналогичная возможность
существует для компьютерных вирусов. Теперь мы исследуем возможность обнаружения
и удаление компьютерного вируса.Обнаружение вирусов
Чтобы определить, что данная программа «P» является вирусом, ее необходимо определить.
что P заражает другие программы. Это неразрешимо, поскольку P может вызывать
процедура принятия решения 'D' и заражать другие программы тогда и только тогда, когда D определяет
что P не вирус.Мы заключаем, что программа, которая точно распознает
вирус из любой другой программы, исследуя его внешний вид, невозможен.
В следующей модификации программы V мы используем гипотетическое решение
процедура D, которая возвращает "истину", если ее аргументом является вирус, например
неразрешимость D.программа-противоречивый вирус: = {... основная программа: = {если ~ D (противоречивый вирус), то {заражать исполняемый файл; если нажать на спусковой крючок, то нанеси урон; } перейти к следующему; } }Противоречие разрешимости вируса "CV"
Изменяя основную программу V, мы убедились, что если решение
процедура D определяет CV как вирус, CV не заразит другие программы,
и поэтому не будет действовать как вирус.Если D определяет, что CV не вирус,
CV заразит другие программы и, таким образом, станет вирусом. Следовательно, гипотетический
процедура принятия решения D противоречива сама по себе, и точное определение
вирус по своему внешнему виду неразрешим.Эволюция вируса
В наших экспериментах некоторым вирусам для реализации требовалось менее 4000 байт.
на компьютере общего назначения. Поскольку мы могли чередовать любую программу,
не останавливается, завершается за конечное время и не перезаписывает вирус
или любой из его переменных состояния, и все еще есть вирус, количество возможных
вариаций одного вируса явно очень много.В этом примере
эволюционный вирус EV, мы увеличиваем V, позволяя ему добавлять случайные утверждения
между любыми двумя необходимыми утверждениями.программа-эволюционный вирус: = {... подпрограмма print-random-statement: = {выведите имя-случайной-переменной, "=", имя-случайной-переменной; цикл: если random-bit = 0, то {вывести случайный-оператор, имя-случайной-переменной; цикл goto;} напечатать точку с запятой; } подпрограмма copy-virus-со-случайными-вставками: = {цикл: копировать эволюционный вирус в вирус до точки с запятой; если random-bit = 1, тогда print-random-statement; if ~ цикл перехода к концу входного файла; } основная программа: = {копировать вирус со случайными вставками; заразить исполняемый файл; если нажать на спусковой крючок, нанесите урон; перейти к следующему;} следующий:}Эволюционный вирус "EV"
В общем, доказательство эквивалентности двух эволюций программы
'P' ('P1' и 'P2') неразрешима, потому что любая процедура принятия решения 'D' способна
об обнаружении их эквивалентности могут воспользоваться P1 и P2.Если найден эквивалент
они выполняют разные операции, и если они отличаются друг от друга, они действуют
то же самое и, таким образом, эквивалентны. Примером этого является следующая модификация
запрограммировать EV, в котором процедура принятия решения D возвращает "истину", если два
программы ввода эквивалентны.программа undecidable-evolutionary-virus: = {... подпрограмма copy-with-undecidable-assertion: = {скопируйте undecidable-evolutionary-virus в файл до строки-begin-with-zzz; если file = P1, то напечатайте «если D (P1, P2), то напечатайте 1;»; если file = P2, то напечатайте «если D (P1, P2), то напечатайте 0;»; скопировать undecidable-evolutionary-virus в файл до конца входного файла; } основная программа: = {если random-bit = 0, то файл = P1, иначе файл = P2; копировать с неразрешимым утверждением; zzz: заразить исполняемый файл; если нажать на спусковой крючок, нанесите урон; перейти к следующему;} следующий:}Неразрешимая эквивалентность эволюции вируса «УЭВ»
Программа UEV превращается в один из двух типов программ P1 или P2.Если тип программы - P1, оператор с меткой «zzz» будет выглядеть следующим образом:
если D (P1, P2), то выведите 1;
в то время как, если тип программы - P2, оператор с меткой "zzz" будет выглядеть следующим образом:
, если D (P1, P2), то выведите 0;
Каждая из двух эволюций вызывает процедуру принятия решения D, чтобы решить,
эквивалентны. Если D указывает, что они эквивалентны, то P1 напечатает
1, в то время как P2 напечатает 0, а D будет противоречить. Если D указывает
что они разные, ни чего не печатает. Поскольку они иначе
равно, D снова противоречит.Следовательно, процедура гипотетического решения
D самопротиворечив, и точное определение эквивалентности
из этих двух программ по их внешнему виду неразрешима.Поскольку и P1, и P2 являются развитием одной и той же программы, эквивалентность
эволюции программы неразрешима, и поскольку они оба являются вирусами,
эквивалентность эволюции вируса неразрешима. Программа UEV также
демонстрирует, что две неэквивалентные эволюции могут быть вирусами. В
эволюции эквивалентны с точки зрения их вирусного воздействия, но могут иметь
немного другие побочные эффекты.Альтернативой обнаружению по внешнему виду является обнаружение по поведению.
Вирус, как и любая другая программа, выступает в роли суррогата для пользователя в
запрашивает услуги, а услуги, используемые вирусом, являются законными в
законное использование. Тогда вопрос о поведенческом обнаружении становится одним из
определение того, что является, а что нет законным использованием системной службы, и поиск
средство обнаружения разницы.В качестве примера легитимного вируса компилятор, компилирующий новый
Сама по себе версия является вирусом по данному здесь определению.это
программа, которая "заражает" другую программу, модифицируя ее для включения
развившаяся версия самого себя. Поскольку вирусные возможности есть в большинстве компиляторов,
каждое использование компилятора - потенциальная вирусная атака. Вирусная активность
компилятора запускается только определенными входами, и, следовательно, в порядке
чтобы обнаружить запуск, нужно уметь обнаруживать вирус по его внешнему виду.
Поскольку точное обнаружение по поведению в этом случае зависит от точного обнаружения
по внешнему виду входов, и поскольку мы уже показали, что точные
обнаружение по внешнему виду неразрешимо, отсюда следует, что точное обнаружение
по поведению тоже неразрешима.Ограниченная вирусная защита
Была разработана ограниченная форма вируса [Thompson84]
в виде специальной версии компилятора C, которая может обнаруживать
компиляция программы входа в систему и добавление троянского коня, позволяющего автору
авторизоваться. Таким образом, автор мог получить доступ к любой системе Unix с помощью этого компилятора.
Кроме того, компилятор может обнаруживать компиляции новых версий самого себя.
и заразить их тем же троянским конем. Было ли это на самом деле
было реализовано неизвестно (хотя многие говорят, что у АНБ есть рабочая версия
из него).В качестве контрмеры мы можем разработать новую программу входа в систему (и компилятор C)
достаточно отличаться от оригинала, чтобы сделать его эквивалентность очень
сложно определить. Если бы «лучшая программа дня на искусственный интеллект» была бы неспособна
обнаружения их эквивалентности за заданный промежуток времени, а компилятор
выполнила свою задачу за меньшее время, это могло быть разумно
предположил, что вирус не мог обнаружить эквивалентность, и поэтому
не распространялась бы сама. Если точный характер обнаружения
были известны, вероятно, было бы довольно просто обойти это.Хотя мы показали, что в целом обнаружить вирусы невозможно,
любой конкретный вирус может быть обнаружен с помощью определенной схемы обнаружения.
Например, вирус V можно легко обнаружить, выполнив поиск 1234567 как
первая строка исполняемого файла. Если будет обнаружено, что исполняемый файл заражен,
он не будет запущен и, следовательно, не сможет распространяться. Следующие
программа используется вместо обычной команды запуска и отказывается выполнять
программы, зараженные вирусом V:программа new-run-command: = {файл = имя-программы-подлежащей выполнению; если первая строка файла = 1234567, то {выведите "в программе есть вирус"; выход;} в противном случае запустите файл; }Защита от вируса V "ПВ"
Точно так же любую конкретную схему обнаружения можно обойти конкретным
вирус.Например, если злоумышленник знал, что пользователь использует программу
PV в качестве защиты от вирусной атаки, вирус V можно легко заменить
с вирусом V ', где первая строка была 123456 вместо 1234567. Многое
могут быть исследованы более сложные схемы защиты и вирусы. Что становится
совершенно очевидно, аналогично старой западной поговорке: «Разве лошадь не
нельзя ездить, это не тот человек, которого нельзя бросить ». Никакой инфекции не может быть
которые не могут быть обнаружены, и не может существовать никакого механизма обнаружения, который не может
быть зараженным.Этот результат наводит на мысль, что баланс сосуществующих вирусов и
защиты могут существовать, так что данный вирус может нанести ущерб только
данной части системы, в то время как данная схема защиты могла только
защитить от заданного набора вирусов. Если каждый пользователь и злоумышленник использовали
идентичные защиты и вирусы, может быть окончательный вирус или защита.
Это имеет смысл как с точки зрения нападающего, так и с точки зрения защитника.
точки зрения иметь набор (возможно несовместимых) вирусов и средств защиты.В случае, если вирусы и схемы защиты не развивались, это
вероятно, приведет к некоторому набору фиксированных выживших, но поскольку программы могут
быть написанной, чтобы развиваться, программа, которая превратилась в трудную для атаки
программа с большей вероятностью выживет, как и более сложный вирус.
обнаружить. По мере эволюции балансы имеют тенденцию меняться,
конечный результат неясен во всех случаях, кроме простейших. Этот
имеет очень сильные аналогии с биологическими теориями эволюции [Dawkins78],
и может иметь хорошее отношение к генетическим теориям болезней.Точно так же и спред
вирусов через системы можно было бы проанализировать с помощью математических
модели, используемые при изучении инфекционных болезней [Baily57].Поскольку мы не можем точно обнаружить вирус, у нас осталась проблема
определения потенциально незаконного использования в разрешимой и легко вычислимой
способ. Возможно, мы захотим обнаружить многие программы, которые не являются вирусами и
даже не обнаруживать некоторые вирусы, чтобы обнаруживать большое количество вирусов.
Если событие происходит относительно редко при «нормальном» использовании, оно имеет высокую информативность.
контент, когда это происходит, и мы можем определить порог, при котором отчеты
готово.Если доступно достаточно инструментов, списки потоков могут быть
ведется отслеживание всех пользователей, которые применили тот или иной файл. Пользователи, которые
появление во многих списках входящих потоков может считаться подозрительным. В
скорость, с которой пользователи входят в списки входящих потоков, также может быть хорошим индикатором
вируса.Этот тип меры может иметь значение, если службы, используемые вирусами
редко используются другими программами, но создают несколько проблем. Если
порог известен злоумышленнику, вирус можно заставить работать в
Это.Интеллектуальная схема определения порога может быть адаптирована так, чтобы порог мог
злоумышленнику нелегко определить. Хотя эта «игра» явно может
воспроизводиться вперед и назад, частота опасных запросов может быть
поддерживается на достаточно низком уровне, чтобы замедлить необнаруженный вирус без значительного вмешательства
при законном использовании.Несколько систем были проверены на их способность обнаруживать вирусные атаки.
Удивительно, но ни одна из этих систем не содержит даже следов владельца
программа, запущенная другими пользователями.Такая маркировка почти наверняка
использоваться, если необходимо обнаружить даже простейшие вирусные атаки.После того, как вирус будет имплантирован, его будет нелегко удалить полностью. Если
система продолжает работать во время удаления, вылеченная программа может быть повторно заражена.
Это представляет собой потенциал для бесконечной погони за хвостом. Без отрицания
сервисов удаление, скорее всего, будет невозможно, если программа, выполняющая
удаление распространяется быстрее, чем удаляемый вирус. Даже в случаях
если удаление происходит медленнее, чем вирус, можно разрешить
большинство действий, которые нужно продолжить во время удаления, не выполняя процесс удаления
будь очень быстрым.Например, можно изолировать пользователя или подмножество пользователей.
и вылечить их, не отказывая в услугах другим пользователям.Как правило, точное удаление зависит от точного обнаружения, потому что без
точное обнаружение, невозможно точно знать, следует ли
удалить данный объект. В особых случаях может быть возможно выполнить
удаление по неточному алгоритму. Например, каждый файл, записанный после
указанную дату можно удалить, чтобы удалить любой вирус, запущенный после
эта дата.Было высказано одно беспокойство, которое легко устраняется:
вероятность того, что вирус может появиться спонтанно. Это сильно
связаны с вопросом, сколько времени займет N обезьян на N клавиатурах
для создания вируса и похоронен с аналогичной отправкой.Эксперименты с компьютерными вирусами
Авторские права (c), 1984, Фред Коэн - Все права защищены
Продемонстрировать возможность вирусной атаки и степень ее поражения.
это угроза, было проведено несколько экспериментов.В каждом случае эксперименты
были выполнены с ведома и согласия системных администраторов.
В процессе проведения экспериментов недоработки реализации тщательно устранялись.
избегали. Было критически важно, чтобы эти эксперименты не основывались на реализации
не работает, но только из-за фундаментальных недостатков в политике безопасности.Первый вирус
3 ноября 1983 года первый вирус был задуман как эксперимент.
будет представлен на еженедельном семинаре по компьютерной безопасности. Концепция была
впервые введен автором на этом семинаре, и название «вирус» было
придумал Лен Адлеман.После 8 часов профессиональной работы на сильно загруженном
Система VAX 11/750 под управлением Unix, первый вирус был завершен и готов
для демонстрации. В течение недели было получено разрешение на проведение экспериментов,
и проведено 5 экспериментов. 10 ноября вирус был продемонстрирован
на семинар по безопасности.Первоначальная инфекция была имплантирована в 'vd', программу, отображающую
Файловые структуры Unix графически и представлены пользователям через систему
доска объявлений. Поскольку vd была новой программой в системе, не работала
характеристики или другие подробности его работы были известны.Вирус
была имплантирована в начале программы, чтобы она была выполнена
перед любой другой обработкой.Чтобы сдержать нападение, были приняты некоторые меры предосторожности.
Все заражения злоумышленник выполнял вручную, повреждений не было.
сделано, только отчетность. Были включены следы, чтобы гарантировать, что вирус будет
не распространяться без обнаружения, для заражения использовались средства контроля доступа
процесс, а код, необходимый для атаки, хранился в сегментах, каждый
зашифрованы и защищены для предотвращения незаконного использования.В каждой из пяти атак злоумышленнику были предоставлены все системные права.
менее чем за час. Самое короткое время было менее 5 минут, а среднее
менее 30 минут. Даже те, кто знал о нападении, были
зараженный. В каждом случае файлы были «вылечены» после экспериментов.
чтобы гарантировать, что конфиденциальность пользователя не будет нарушена. Ожидалось, что
атака будет успешной, но очень короткое время захвата
довольно удивительно. Кроме того, вирус был достаточно быстрым (менее 1/2 секунды).
что задержка зараженных программ осталась незамеченной.После объявления результатов экспериментов администраторы решили
что дальнейшие эксперименты по компьютерной безопасности не будут разрешены на их
система. Этот запрет включал запланированное добавление следов, которые могли отслеживать
потенциальные вирусы и эксперименты по увеличению пароля, которые потенциально могут
в значительной степени улучшили безопасность. Эта очевидная реакция страха
типичная, вместо того, чтобы пытаться решить технические проблемы технически, политика
часто выбираются решения.После успешных экспериментов в системе Unix он
Было совершенно очевидно, что те же методы будут работать во многих других системах.В частности, были запланированы эксперименты с системой Топс-20, системой VMS,
система VM / 370 и сеть, содержащая несколько из этих систем. В
процесс согласования с администраторами, была продемонстрирована целесообразность
путем разработки и тестирования прототипов. Прототип атаки для Топс-20
система была разработана опытным пользователем ТОПС-20 за 6 часов, новичком
Пользователь VM / 370 с помощью опытного программиста за 30 часов, и
начинающий пользователь VMS без посторонней помощи за 20 часов. Эти программы продемонстрировали
возможность находить файлы для заражения, заражать их и пересекать границы пользователей.После нескольких месяцев переговоров и административных изменений он был
решил, что эксперименты не будут разрешены. Офицер службы безопасности
на объекте постоянно сопротивлялся экспериментам по обеспечению безопасности, и
не стал бы даже читать никаких предложений. Это особенно интересно в
в свете того факта, что предлагалось разрешить системным программистам и
сотрудники службы безопасности наблюдают и контролируют все аспекты всех экспериментов.
Кроме того, системные администраторы не хотели разрешать «очищенные» версии.
лент журналов, которые будут использоваться для автономного анализа потенциальной угрозы
вирусов, и не желали добавлять в свои
системы, разработанные их программистами, чтобы помочь обнаружить вирусные атаки.Хотя там
нет очевидной угрозы, исходящей от этих действий, и они не требуют
время, деньги и усилия, администраторы не желали разрешать расследования.
Похоже, что их реакция была такой же, как и реакция страха.
Администраторы Unix.Система на основе Bell-LaPadula
В марте 1984 г. начались переговоры о проведении экспериментов.
на системе на основе Bell-LaPadula [Bell73]
реализован на Univac 1108. Эксперимент был принципиально согласован.
в считанные часы, но на то, чтобы затвердеть, потребовалось несколько месяцев.В
Июль 1984 г. был назначен двухнедельный период для экспериментов. Цель
этого эксперимента просто чтобы продемонстрировать осуществимость вируса
на системе на основе Bell-LaPadula путем реализации прототипа.Из-за крайне ограниченного времени на разработку (26 часов
использования компьютера пользователем, который никогда не использовал 1108, с помощью
программиста, который не использовал 1108 в течение 5 лет) многие вопросы были проигнорированы
в реализации. В частности, производительность и универсальность
атаки были полностью проигнорированы.В результате на каждое заражение уходило около
20 секунд, хотя их легко можно было сделать менее чем за секунду.
Следы вируса остались в системе, хотя они могли быть
устраняется в значительной степени без особых усилий. Вместо того, чтобы заразить
сразу несколько файлов, за раз был заражен только один файл. Это позволило
очень четко продемонстрировать развитие вируса без участия
большое количество пользователей или программ. В качестве меры безопасности система
использовался в выделенном режиме только с системным диском, одним терминалом, одним
принтер и счета, посвященные эксперименту.После 18 часов подключения вирус 1108 выполнил свое первое заражение.
Хост предоставил достаточно полный набор инструкций по использованию системы,
и помощь компетентного пользователя системы в прошлом. Через 26 часов
использования вирус был продемонстрирован группе из 10 человек, в том числе
администраторы, программисты и чекисты. Вирус продемонстрировал
возможность пересекать границы пользователей и переходить с заданного уровня безопасности
на более высокий уровень безопасности. Снова следует подчеркнуть, что ни одна система
ошибки были вовлечены в эту деятельность, но, скорее, Bell-LaPadula
модель позволяет законному осуществлению такого рода деятельности.В целом атаку провести несложно. Код для
вирус состоял из 5 строк ассемблерного кода, около 200 строк Фортрана
код и около 50 строк командных файлов. Считается, что компетентный
системный программист мог бы написать гораздо лучший вирус для этой системы в менее
2 недели. Кроме того, как только станет понятна природа вирусной атаки,
разработать конкретную атаку несложно. Каждый из программистов
присутствующий был убежден, что они могли бы создать лучший вирус в
столько же времени.(Это правдоподобно, поскольку у злоумышленника ранее не было
1108 опыта.)Приборы
В начале августа 1984 года было предоставлено разрешение на использование VAX Unix.
система для измерения распространения и анализа распространения вирусов. Данные на данный момент
довольно ограничен, но появилось несколько тенденций. Степень обмена
похоже, сильно различается между системами, и многие системы, возможно, придется
до того, как эти отклонения будут хорошо изучены. Небольшое количество
пользователей, по всей видимости, составляют подавляющее большинство обмена, а вирус
можно сильно замедлить, защитив их.Защита нескольких «социальных»
люди могут также замедлить развитие биологических заболеваний. Инструментарий был
консервативный в том смысле, что заражение могло произойти без инструментов
поднимая его, поэтому предполагаемое время атаки нереально медленное.В результате оснащения этих систем набор «социальных»
идентифицированы пользователи. Некоторые из них удивили главного системного администратора.
Количество системных администраторов было довольно большим, и если кто-то из них
были заражены, вся система, скорее всего, выйдет из строя в течение часа.Некоторый
были предложены простые процедурные изменения, чтобы замедлить эту атаку несколькими
порядков без снижения функциональности.Сводка по распространению система 1 система 2 класс | ## | распространение | время | класс | ## | распространение | время | ---------------------------- ---------------------- ------ | S | 3 | 22 | 0 | | S | 5 | 160 | 1 | | А | 1 | 1 | 0 | | А | 7 | 78 | 120 | | U | 4 | 5 | 18 | | U | 7 | 24 | 600 |Показаны две системы с тремя классами пользователей (S для системы, A для
системный администратор и U для обычного пользователя).'##' обозначает номер
пользователей в каждой категории, «распространение» - это среднее количество пользователей, на которых вирус
будут распространяться на, а "время" - это среднее время, затрачиваемое на их однократное распространение
они вошли в систему, округленные до ближайшей минуты. Среднее время вводит в заблуждение
потому что как только заражение достигает учетной записи root в Unix, весь доступ
предоставляется. Принимая это во внимание, вы увеличиваете время передачи заказа.
одной минуты, что настолько быстро, что время заражения становится ограничивающим фактором
насколько быстро могут распространяться инфекции.Это совпадает с предыдущим экспериментальным
результаты с использованием реального вируса.Пользователи, которым не предоставлен доступ, игнорируются в этих расчетах, но
другие эксперименты показывают, что любой пользователь может поделиться, предложив
программа на системной доске объявлений. Продемонстрирован подробный анализ
что системные администраторы стремятся попробовать эти программы, как только они
объявляются. Это позволяет обычным пользователям заражать системные файлы за считанные минуты.
Администраторы использовали свои учетные записи для запуска программ других пользователей и
хранение часто выполняемых системных файлов и нескольких обычных пользователей, принадлежащих
очень часто используемые файлы.Эти условия делают вирусную атаку очень быстрой.
Использование отдельных учетных записей для системных администраторов при нормальном использовании
было сразу предложено, а систематическое перемещение (после проверки)
часто используемых программ в системную область.Другие эксперименты
С тех пор аналогичные эксперименты были выполнены на множестве систем, чтобы
продемонстрировать осуществимость и определить простоту внедрения вируса
во многих системах. Написаны простые вирусы для VAX VMS и VAX Unix.
на соответствующих языках команд, и ни одна программа не требует дополнительных
чем 10 строк командного языка для реализации.Вирус Unix независим
компьютера, на котором он реализован, и, следовательно, может работать
под IDRIS, VENIX и множеством других операционных систем на базе UNIX на
широкий выбор систем. Реализован вирус, написанный на Basic
менее 100 строк для Radio Shack TRS-80, IBM PC и нескольких
другие машины с расширенными базовыми возможностями. Хотя это источник
уровень вируса и может быть довольно легко обнаружен создателем любого
Данная программа редко проверяет работающую программу ее создателем.
после того, как он находится в эксплуатации.Во всех этих случаях вирусы были
написано так, чтобы следы в соответствующих операционных системах были
не может определить источник вируса, даже если сам вирус
был обнаружен. Поскольку вирус UNIX и Basic мог распространяться через
гетерогенная сеть настолько легко, что они считаются довольно опасными.На данный момент нам не удалось получить разрешение ни на один из
инструмент или эксперимент на любой из систем, в которых были эти вирусы.
написано для. Результаты, полученные для этих систем, основаны на очень простых
примеры и могут не отражать их общее поведение в системах в нормальном
использовать.Резюме и выводы
В следующей таблице приведены результаты экспериментов на сегодняшний день.
Три системы расположены по горизонтальной оси (Unix, Bell-LaPadula,
и КИПиА), а вертикальная ось указывает меру
производительность (время программирования, время заражения, количество строк кода,
количество проведенных экспериментов, минимальное время до перехода, среднее время
до захвата, и максимальное время для захвата), где время до захвата указывает
что все привилегии будут предоставлены злоумышленнику в течение этой задержки
от занесения вируса.Сводка атак | Unix-C | B-L | Instr | Unix-sh | VMS | Базовый | ------------------------------------------------- Время | 8 часов | 18 часов | N / A | 15мин | 30мин | 4 часа | ------------------------------------------------- Inf t | .5 сек | 20 сек | N / A | 2 сек | 2 сек | 10 сек | ------------------------------------------------- Код | 200 л | 260 л | N / A | 7 л | 9 л | 100 л | ------------------------------------------------- Испытания | 5 | N / A | N / A | N / A | N / A | N / A | ------------------------------------------------- Мин т | 5 мин | Н / Д | 30 сек | N / A | N / A | N / A | ------------------------------------------------- Сред. T | 30 мин | Н / Д | 30 мин | N / A | N / A | N / A | ------------------------------------------------- Макс t | 60 мин | N / A | 48 часов | N / A | N / A | N / A | -------------------------------------------------Кажется, что вирусные атаки легко развиваются за очень короткое время, могут быть
разработаны так, чтобы оставлять мало следов в большинстве современных систем, эффективны
против современных политик безопасности для многоуровневого использования и требует только
минимальный опыт для реализации.Их потенциальная угроза серьезна, и они
может очень быстро распространяться через компьютерную систему. Похоже, что они
могут распространяться через компьютерные сети так же, как они распространяются через
компьютеров, и, таким образом, представляют собой широко распространенную и довольно непосредственную угрозу для
многие современные системы.Проблемы с политиками, предотвращающими контролируемые эксперименты по безопасности
ясны; лишение пользователей возможности продолжать свою работу способствует незаконному
приступы; и если один пользователь может запустить атаку без использования системных ошибок
или специальные знания, другие пользователи также смогут.Просто рассказав
пользователи не запускают атаки, мало что сделано; пользователи, которым можно доверять
не будет атаковать; но нельзя доверять пользователям, которые могут нанести ущерб,
поэтому блокируется только законная работа. Перспектива, которую позволяла каждая атака
иметь место, снижает безопасность, по мнению автора, является ошибкой. В
идея использования атак для изучения проблем требуется даже правительству
политики для доверенных систем [Klein83]
[Kaplan82]. Было бы рациональнее
использовать открытые и контролируемые эксперименты в качестве ресурса для повышения безопасности.Резюме, выводы и дальнейшая работа
Авторские права (c), 1984, Фред Коэн - Все права защищены
Подводя итог, можно сказать, что абсолютной защиты легко добиться абсолютным
изоляционизм, но это обычно неприемлемое решение. Другие формы
защиты, похоже, все зависит от использования чрезвычайно сложных и / или
ресурсоемкие аналитические методы или неточные решения, которые
чтобы со временем сделать системы менее удобными.Профилактика предполагает ограничение законной деятельности, в то время как
лечение может быть сколь угодно трудным без некоторого отказа в услугах.Точный
обнаружение неразрешимо, однако статистические методы могут использоваться для ограничения
необнаруженное распространение ни по времени, ни по размеру. Поведение при типичном использовании
необходимо хорошо понимать, чтобы использовать статистические методы, и это поведение
может меняться от системы к системе. Ограниченные формы обнаружения и
Предотвращение может использоваться для обеспечения ограниченной защиты от вирусов.Доказано, что вирус может распространяться повсюду.
любая система, позволяющая делиться.Каждая система общего назначения в настоящее время
при использовании открыт, по крайней мере, для ограниченной вирусной атаки. Во многих текущих "безопасных"
системы, вирусы имеют тенденцию к дальнейшему распространению, когда их создают менее доверенные пользователи.
Эксперименты показывают жизнеспособность вирусной атаки и указывают на то, что вирусы
быстро распространяются и легко создаются в различных операционных системах.
Дальнейшие эксперименты все еще продолжаются.Представленные результаты не зависят от операционной системы или реализации,
но основаны на фундаментальных свойствах систем.Важнее,
они отражают реалистичные предположения об используемых в настоящее время системах. Способствовать,
почти каждая разрабатываемая в настоящее время «безопасная» система основана на
Белла-ЛаПадула или только политика решетки, и эта работа ясно продемонстрировала
что этих моделей недостаточно для предотвращения вирусной атаки. Вирус по сути
доказывает, что контроль целостности следует рассматривать как неотъемлемую часть любого
безопасная операционная система.Было выявлено несколько неразрешимых проблем с вирусами.
и контрмеры.Вот краткое изложение:Неразрешимые проблемы обнаружения
- Обнаружение вируса по внешнему виду
- Обнаружение вируса по его поведению
- Обнаружение эволюции известного вируса
- Обнаружение спускового механизма по внешнему виду
- Обнаружение спускового механизма по его поведению
- Обнаружение эволюции известного спускового механизма
- Обнаружение детектора вирусов по внешнему виду
- Обнаружение вирусного детектора по его поведению
- Обнаружение эволюции известного вирусного детектора
Некоторые потенциальные меры противодействия были изучены достаточно глубоко, и ни один из них
кажется, предлагают идеальные решения.Некоторые из методов, предложенных в
эта бумага, которая может предложить ограниченную защиту от вирусов, используется ограниченно
В настоящее время. Чтобы быть полностью защищенной от вирусных атак, система должна
защищать от входящего информационного потока, при этом быть защищенным от утечки
информации, которую система должна защищать от исходящего информационного потока.
Чтобы системы разрешили совместное использование, должен существовать некоторый информационный поток.
Таким образом, основной вывод данной статьи заключается в том, что цели обмена
в многоуровневой системе безопасности общего назначения может находиться в таком прямом противостоянии
к целям вирусной безопасности, чтобы их примирение и сосуществование
невозможно.Наиболее важные текущие исследования связаны с влиянием вирусов на
компьютерные сети. Первостепенный интерес представляет определение того, насколько быстро вирус
может распространиться на большой процент компьютеров в мире. Этот
делается с помощью упрощенных математических моделей и исследований вирусных
распространение в «типичных» компьютерных сетях. Последствия заражения вирусом
безопасные сети также представляют большой интерес. Поскольку вирус приводит нас к
считают, что в системе должны поддерживаться как целостность, так и безопасность.
чтобы предотвратить вирусную атаку, сеть также должна поддерживать оба критерия
для обеспечения многоуровневого обмена между компьютерами.Это вводит
значительные ограничения в этих сетях.Значительные примеры эволюционных программ были разработаны в
исходный уровень для создания многих эволюций данной программы. Просто
развивающийся вирус, а также простое эволюционирующее антитело.
в разработке. Механизм списка потоков для Unix будет реализован, когда
имеется необходимое оборудование, а также оборудование сетей
ожидается, что будет продолжаться до тех пор, пока позволяют средства и финансирование.Статистическая
методы обнаружения, основанные на результатах контрольно-измерительной аппаратуры, также находятся в
этапы планирования и набор рекомендаций по снижению вирусной угрозы
были разработаны.Благодарности
Из-за деликатного характера большей части этих исследований и экспериментов
в его ходе, многие люди, которым я очень обязан
нельзя явно поблагодарить. Вместо того, чтобы игнорировать чью-либо помощь, я
решил назвать только имена. Лен и Дэвид предоставили много
хороший совет как при исследовании, так и при написании этой статьи, и без
их я, вероятно, никогда бы не добрался до этого момента.Джон, Фрэнк, Конни,
Крис, Питер, Терри, Дик, Джером, Майк, Марв, Стив, Лу, Стив, Энди,
и Лорейн все больше рискуют своим носом, чем просто чуть-чуть
в их усилиях по проведению экспериментов, публикации результатов и предоставлению
скрытая поддержка работы. Мартин, Джон, Мэгди, Си-ань, Сатиш, Крис,
Стив, младший, Джей, Билл, Фади, Ирв, Сол и Фрэнк - все слушали и предлагали:
и их терпение и дружба были бесценны. Алиса, Джон, Мел, Энн,
и Эд обеспечил лучшую блокировку, чем когда-либо имелось в передней четверке USC.Защита от вредоносных программ и программ-вымогателей в Microsoft 365 - Microsoft Service Assurance
- 6 минут на чтение
В этой статье
Защита данных клиентов от вредоносного ПО
Вредоносное ПО состоит из вирусов, шпионского ПО и другого вредоносного ПО. Microsoft 365 включает механизмы защиты для предотвращения внедрения вредоносных программ в Microsoft 365 клиентом или сервером Microsoft 365.Использование программного обеспечения для защиты от вредоносных программ является основным механизмом защиты активов Microsoft 365 от вредоносного программного обеспечения. Программное обеспечение для защиты от вредоносных программ обнаруживает и предотвращает попадание компьютерных вирусов, вредоносных программ, руткитов, червей и другого вредоносного ПО в любые системы обслуживания. Программное обеспечение для защиты от вредоносных программ обеспечивает как превентивный, так и детективный контроль над вредоносным ПО.
Каждое имеющееся решение для защиты от вредоносных программ отслеживает версию программного обеспечения и используемые сигнатуры.Автоматическая загрузка и применение обновлений сигнатур, по крайней мере, ежедневно с сайта определения вирусов поставщика, централизованно управляется соответствующим средством защиты от вредоносных программ для каждой группы обслуживания.
Следующие функции централизованно управляются соответствующим средством защиты от вредоносных программ на каждой конечной точке для каждой группы обслуживания:
- Автоматическое сканирование окружающей среды
- Периодические проверки файловой системы (не реже чем раз в неделю)
- Сканирование файлов в режиме реального времени по мере их загрузки, открытия или выполнения
- Автоматическая загрузка и применение обновлений сигнатур не реже одного раза в день с сайта определения вирусов поставщика
- Оповещение, очистка и устранение обнаруженных вредоносных программ
Когда средства защиты от вредоносных программ обнаруживают вредоносные программы, они блокируют их и генерируют оповещения для персонала сервисной группы Microsoft 365, службы безопасности Microsoft 365 и / или группы безопасности и соответствия организации Microsoft, которая управляет нашими центрами обработки данных.Принимающий персонал инициирует процесс реагирования на инцидент. Инциденты отслеживаются и решаются, проводится посмертный анализ.
Защита Exchange Online от вредоносных программ
Все сообщения электронной почты для Exchange Online проходят через службу Exchange Online Protection (EOP), которая помещает в карантин и сканирует в реальном времени все сообщения электронной почты и вложения электронной почты, входящие и выходящие из системы, на наличие вирусов и других вредоносных программ. Администраторам не нужно настраивать или поддерживать технологии фильтрации; они включены по умолчанию.Однако администраторы могут выполнять настройки фильтрации для конкретной компании с помощью центра администрирования Exchange.
Используя несколько механизмов защиты от вредоносных программ, EOP предлагает многоуровневую защиту, предназначенную для обнаружения всех известных вредоносных программ. Сообщения, передаваемые через службу, проверяются на наличие вредоносных программ (включая вирусы и шпионское ПО). При обнаружении вредоносного ПО сообщение удаляется. Уведомления также могут быть отправлены отправителям или администраторам, когда зараженное сообщение удалено и не доставлено. Вы также можете заменить зараженные вложения сообщениями по умолчанию или пользовательскими сообщениями, которые уведомляют получателей об обнаружении вредоносного ПО.
Следующие элементы помогают обеспечить защиту от вредоносных программ:
- Многоуровневая защита от вредоносных программ - Несколько модулей сканирования на наличие вредоносных программ, используемых в EOP, помогают защитить как от известных, так и от неизвестных угроз. Эти механизмы включают мощное эвристическое обнаружение, обеспечивающее защиту даже на ранних стадиях распространения вредоносного ПО. Было показано, что такой подход с несколькими ядрами обеспечивает значительно большую защиту, чем использование только одного механизма защиты от вредоносных программ.
- Реагирование на угрозы в реальном времени - Во время некоторых эпидемий у группы по борьбе с вредоносным ПО может быть достаточно информации о вирусе или другой форме вредоносного ПО, чтобы написать сложные правила политики, которые обнаруживают угрозу еще до того, как определение будет доступно из любого из ядер используется службой.Эти правила публикуются в глобальной сети каждые 2 часа, чтобы предоставить вашей организации дополнительный уровень защиты от атак.
- Быстрое развертывание определения защиты от вредоносных программ - Группа защиты от вредоносных программ поддерживает тесные отношения с партнерами, которые разрабатывают механизмы защиты от вредоносных программ. В результате служба может получать и интегрировать определения вредоносных программ и исправления до того, как они будут опубликованы. Наша связь с этими партнерами часто позволяет нам также разрабатывать собственные средства правовой защиты.Служба проверяет наличие обновленных определений для всех механизмов защиты от вредоносных программ каждый час.
Защитник Microsoft для Office 365
Microsoft Defender для Office 365 - это служба фильтрации электронной почты, которая обеспечивает дополнительную защиту от определенных типов сложных угроз, включая вредоносные программы и вирусы. В настоящее время Exchange Online Protection использует надежную многоуровневую антивирусную защиту, основанную на нескольких механизмах, от известных вредоносных программ и вирусов. Microsoft Defender для Office 365 расширяет эту защиту с помощью функции Safe Attachments, которая защищает от неизвестных вредоносных программ и вирусов и обеспечивает лучшую защиту нулевого дня для защиты вашей системы обмена сообщениями.Все сообщения и вложения, которые не имеют известной сигнатуры вируса / вредоносного ПО, направляются в специальную среду гипервизора, где выполняется анализ поведения с использованием различных методов машинного обучения и анализа для обнаружения злонамеренного намерения. Если подозрительной активности не обнаружено, сообщение отправляется для доставки в почтовый ящик.
Exchange Online Protection также сканирует каждое сообщение в пути в Microsoft 365 и обеспечивает защиту времени доставки, блокируя любые вредоносные гиперссылки в сообщении.Иногда злоумышленники пытаются скрыть вредоносные URL-адреса с помощью кажущихся безопасными ссылок, которые перенаправляются на небезопасные сайты службой пересылки после получения сообщения. Safe Links проактивно защищает ваших пользователей, если они переходят по такой ссылке. Эта защита сохраняется каждый раз, когда они нажимают на ссылку, а вредоносные ссылки динамически блокируются, пока хорошие ссылки доступны.
Microsoft Defender для Office 365 также предлагает широкие возможности отчетности и отслеживания, так что вы можете получить критически важную информацию о том, кто становится целью вашей организации и с какой категорией атак вы сталкиваетесь.Отчеты и отслеживание сообщений позволяют исследовать сообщения, которые были заблокированы из-за неизвестного вируса или вредоносного ПО, в то время как возможность отслеживания URL-адресов позволяет отслеживать отдельные вредоносные ссылки в сообщениях, которые были нажаты.
Дополнительные сведения о Microsoft Defender для Office 365 см. В статьях Exchange Online Protection и Microsoft Defender для Office 365.
SharePoint Online и OneDrive для защиты бизнеса от программ-вымогателей
Существует множество форм атак программ-вымогателей, но одна из наиболее распространенных форм - это когда злоумышленник шифрует важные файлы пользователя, а затем требует от пользователя что-то, например деньги или информацию, в обмен на ключ для их расшифровки.Число атак программ-вымогателей растет, особенно тех, которые шифруют файлы, хранящиеся в облачном хранилище пользователя. Дополнительные сведения о программах-вымогателях см. На сайте службы безопасности Защитника Windows.
Управление версиями помогает защитить списки SharePoint Online и библиотеки SharePoint Online и OneDrive для бизнеса от некоторых, но не всех этих типов атак программ-вымогателей. Управление версиями включено по умолчанию в OneDrive для бизнеса и SharePoint Online. Поскольку в списках сайтов SharePoint Online включено управление версиями, вы можете просматривать более ранние версии и при необходимости восстанавливать их.Это позволяет восстанавливать версии элементов, ранее зашифрованные программой-вымогателем. Некоторые организации также сохраняют несколько версий элементов в своих списках по юридическим причинам или в целях аудита.
Корзины SharePoint Online и OneDrive для бизнеса
Администраторы SharePoint Online могут восстановить удаленное семейство сайтов с помощью центра администрирования SharePoint Online. У пользователей SharePoint Online есть корзина, в которой хранится удаленный контент. При необходимости они могут получить доступ к корзине для восстановления удаленных документов и списков.Элементы в корзине хранятся 93 дня. В корзину записываются следующие типы данных:
- Семейства сайтов
- Сайтов
- Списки
- Библиотеки
- Папки
- Элементы списка
- Документы
- Страницы веб-частей
Настройки сайта, сделанные с помощью SharePoint Designer, не сохраняются в корзине. Дополнительные сведения см. В разделе Восстановление удаленных элементов из корзины семейства веб-сайтов.См. Также Восстановление удаленного семейства сайтов.
Управление версиями не защищает от атак программ-вымогателей, которые копируют файлы, шифруют их, а затем удаляют исходные файлы. Однако конечные пользователи могут использовать корзину для восстановления файлов OneDrive для бизнеса после атаки программы-вымогателя.
Что такое компьютерный вирус? Защита от вирусов и многое другое
Что такое компьютерный вирус?
Компьютерный вирус - это вредоносный фрагмент компьютерного кода, предназначенный для распространения с устройства на устройство.Подмножество вредоносных программ, эти самокопирующиеся угрозы обычно предназначены для повреждения устройства или кражи данных.
Подумайте о биологическом вирусе - вирусе, от которого вы заболеете. Это постоянно неприятно, мешает вам нормально функционировать и часто требует чего-то мощного, чтобы избавиться от него. Компьютерный вирус очень похож. Компьютерные вирусы, разработанные для непрерывной репликации, заражают ваши программы и файлы, изменяя способ работы вашего компьютера или полностью останавливая его работу.
Что делает компьютерный вирус?
Некоторые компьютерные вирусы запрограммированы так, чтобы нанести вред вашему компьютеру, повреждая программы, удаляя файлы или форматируя жесткий диск.Другие просто копируют себя или наводняют сеть трафиком, делая невозможным выполнение каких-либо действий в Интернете. Даже менее вредоносные компьютерные вирусы могут значительно нарушить производительность вашей системы, истощая память компьютера и вызывая частые сбои компьютера.
Готовы ли вы к сегодняшним атакам? Узнайте о крупнейших киберугрозах года в нашем ежегодном отчете об угрозах.
В 2013 году был обнаружен ботнет-вирус Gameover ZueS, использующий сайты одноранговой загрузки для распространения программ-вымогателей и совершения банковского мошенничества.В то время как десятки тысяч компьютерных вирусов все еще бродят по Интернету, они разнообразили свои методы, и теперь к ним присоединился ряд разновидностей вредоносных программ, таких как черви, трояны и программы-вымогатели.
Как компьютер получает вирус?
Даже если вы будете осторожны, вы можете заразить компьютерные вирусы обычными действиями в Интернете, например:
Обмен музыкой, файлами или фотографиями с другими пользователями
Посещение зараженного сайта
Открытие спама или вложения к письму
Загрузка бесплатных игр, панелей инструментов, медиаплееров и других системных утилит
Установка основных программных приложений без тщательного изучения лицензионных соглашений
Как распространяются компьютерные вирусы?
Вирусы могут распространяться несколькими способами, в том числе через сети, диски, вложения электронной почты или внешние устройства хранения, такие как USB-накопители.Поскольку соединения между устройствами когда-то были гораздо более ограниченными, чем сегодня, ранние компьютерные вирусы обычно распространялись через зараженные дискеты.
Сегодня связи между устройствами, подключенными к Интернету, являются общими, что дает широкие возможности для распространения вирусов. По данным Агентства по кибербезопасности и безопасности инфраструктуры США, зараженные вложения электронной почты являются наиболее распространенным средством распространения компьютерных вирусов. Большинство компьютерных вирусов, но не все, требуют от пользователя действий, например включения «макросов» или щелчка по ссылке для распространения.
Каковы симптомы компьютерного вируса?
Ваш компьютер может быть заражен, если вы обнаружите какой-либо из следующих симптомов вредоносного ПО:
Низкая производительность компьютера
Неустойчивое поведение компьютера
Необъяснимая потеря данных
Частые сбои компьютера
Как удаляются компьютерные вирусы?
Антивирусы добились больших успехов в обнаружении и предотвращении распространения компьютерных вирусов.Тем не менее, когда устройство действительно заражено, лучшим вариантом для его удаления по-прежнему является установка антивирусного решения. После установки большая часть программного обеспечения будет выполнять «сканирование» на наличие вредоносной программы. После обнаружения антивирус предложит варианты его удаления. Если это невозможно сделать автоматически, некоторые поставщики средств безопасности предлагают техническую помощь в удалении вируса бесплатно.
Примеры компьютерных вирусов
В 2013 году был обнаружен ботнет-вирус Gameover ZueS, использующий сайты одноранговой загрузки для распространения программ-вымогателей и совершения банковского мошенничества.В то время как десятки тысяч компьютерных вирусов все еще бродят по Интернету, они разнообразили свои методы и теперь к ним присоединились несколько разновидностей вредоносных программ, таких как:
Черви - черви - это тип вируса, который, в отличие от традиционных вирусов, обычно не требует действий пользователя для распространения с устройства на устройство.
Троянские программы. Согласно мифу, троянец - это вирус, который скрывается внутри кажущейся законной программы и распространяется по сетям или устройствам.
Программа-вымогатель. Программа-вымогатель - это тип вредоносного ПО, которое шифрует файлы пользователя и требует выкуп за свое возвращение. Программы-вымогатели могут, но не обязательно, распространяться через компьютерные вирусы.
Защита от компьютерных вирусов
Когда вы вооружаетесь информацией и ресурсами, вы лучше понимаете угрозы компьютерной безопасности и менее уязвимы для тактики угроз. Выполните следующие действия, чтобы защитить свой компьютер с помощью лучшей защиты от компьютерных вирусов:
Используйте антивирусную защиту и межсетевой экран
Получить антишпионское ПО
Всегда обновляйте антивирусное и антишпионское ПО
Регулярно обновляйте операционную систему
Увеличьте настройки безопасности вашего браузера
Избегайте сомнительных веб-сайтов
Загружайте программное обеспечение только с сайтов, которым доверяете.
Внимательно оцените бесплатное программное обеспечение и приложения для обмена файлами перед их загрузкой.
Не открывать сообщения от неизвестных отправителей
- Немедленно удаляйте сообщения, которые вы подозреваете в спаме
Незащищенный компьютер - это открытая дверь для компьютерных вирусов. Брандмауэры контролируют входящий и исходящий интернет-трафик на вашем компьютере и скрывают ваш компьютер от онлайн-мошенников, ищущих легких целей.Такие продукты, как Webroot Internet Security Complete и Webroot Antivirus, обеспечивают полную защиту от двух самых опасных угроз в Интернете - шпионского ПО и компьютерных вирусов. Они предотвращают проникновение вирусов в ваш компьютер, стоят на страже у каждого возможного входа в ваш компьютер и отражают любой компьютерный вирус, который пытается открыть его, даже самые опасные и коварные штаммы.
Хотя доступны бесплатные загрузки антивирусов, они просто не могут предложить компьютерному вирусу помощь, необходимую для того, чтобы не отставать от непрерывного натиска новых штаммов.Ранее необнаруженные формы полиморфного вредоносного ПО часто могут нанести наибольший ущерб, поэтому крайне важно иметь своевременную и гарантированную антивирусную защиту.
Как выбрать лучшее антивирусное программное обеспечение
Независимо от того, работает ли ваш компьютер или устройство под управлением Android, Mac или Windows, киберпреступники проводят изощренные атаки на компьютеры в разных операционных системах (ОС). Выбор антивирусного программного обеспечения, разработанного для вашей ОС и адаптированного к вашим компьютерным особенностям, очень важен.
Не все антивирусные программы одинаковы, поэтому необходимо учитывать множество факторов.
Нет ничего хуже, чем просматривать Интернет только для того, чтобы ваш компьютер замедлил сканирование, пока ваше антивирусное программное обеспечение «думает» о ваших решениях. Если программа обнаружит проблему, собирается ли оно исправить ее, не заставляя вас делать 20 сложных шагов?
Последнее, с чем вы хотите иметь дело, когда на карту поставлена ваша информация, - это ошибки, сбои и неудачные попытки защиты от угроз кибербезопасности.Вы должны знать, что искать в антивирусном ПО. Итак, вот руководство по выбору антивирусного программного обеспечения, включая распространенные ошибки и рекомендации.
Защищает ли ваше антивирусное программное обеспечение от основных угроз?
Решение о том, как выбрать лучшее антивирусное программное обеспечение, начинается с защиты, которую оно предлагает.
Антивирус по определению должен защищать от вирусов, но должен также включать и другие угрозы.
Как минимум, вы должны быть защищены от общих опасностей для вашей конфиденциальности и безопасности.
Киберугрозы, с которыми вы можете столкнуться, включают различные типы:
- Вредоносное ПО: Нежелательное программное обеспечение, которое заражает ваши устройства, нарушая работу или собирая от вас данные. Обычно включает вирусы, шпионское ПО, рекламное ПО и программы-вымогатели.
- Мошенничество: Обман, который заставляет вас предоставить конфиденциальную информацию или предоставляет злонамеренный доступ к вашему устройству. Обычно это электронные письма, веб-сайты, текстовые сообщения, плохие приложения и онлайн-сообщения. Распространенные виды мошенничества включают спам, фишинг и фарминг.
Эти угрозы часто накладываются друг на друга для достижения целей дизайнера. Некоторые виды мошенничества распространяют вредоносное ПО, а некоторые вредоносные программы скрываются в ничего не подозревающих местах в Интернете или на подключенных устройствах. Само по себе вредоносное ПО может быть мошенничеством, как в случае с программами-вымогателями.
Как минимум, ваш антивирус должен защищать от частых нарушителей, указанных выше.
Предлагает ли ваша программа профилактику в реальном времени и быстрое удаление инфекции?
Ваш антивирус должен постоянно следить за обнаружением и предотвращением любых рисков кибербезопасности.
Некоторое программное обеспечение для кибербезопасности может устранять проблемы только после того, как они возникли. Вам нужно, чтобы в вашем антивирусе была проактивная защита, чтобы вы могли без проблем использовать свои устройства.
Предотвращение угроз функции вашего программного обеспечения должны включать:
- Реактивное сканирование файлов , которое проверяет любые новые файлы на опасность, прежде чем вы их откроете. Он сравнивает файл с полной базой данных известных рисков антивируса, чтобы решить, является ли он безопасным.
- Полное сканирование системы Просмотрите каждый уголок вашего устройства на предмет скомпрометированных данных. Это может помочь вам быть уверенным, что вокруг ничего не скрывается незамеченным.
- Защита при просмотре веб-страниц , которая фильтрует URL-ссылки и веб-страницы, чтобы оценить историю их безопасности и уровень потенциального риска. Интернет-безопасность имеет решающее значение для вашей цифровой защиты.
Удаление угроз должно быть включено во все антивирусные системы. Просто убедитесь, что он помещает в карантин потенциально вредоносные файлы, чтобы вы могли их просмотреть.
При просмотре веб-страниц убедитесь, что вы выбрали настоящий «антивирус», который предлагает профилактику и удаление. Другие продукты, такие как «антивирусные программы», могут предлагать только удаление без каких-либо превентивных функций.
Ваше программное обеспечение работает точно и эффективно?
С антивирусной защитой само обнаружение полезно только в том случае, если программное обеспечение действительно работает должным образом.
Чтобы ваша защита от киберугроз была надежной, она должна:
- Надежный поиск реальных угроз - без случайного удаления чистых файлов.
- Работайте, не замедляя работу устройства.
Давайте подробно рассмотрим каждый из этих аспектов.
Надежный уровень обнаружения угроз
Когда антивирус сканирует файлы вашей системы, он должен точно сказать, что является вредоносным, а что нет.
Базы данных известных угроз составляются антивирусными компаниями для сортировки опасных данных. Это основа антивирусной системы, и их необходимо постоянно обновлять.
Киберугрозы постоянно развиваются, поэтому невозможно полагаться на антивирусное программное обеспечение для защиты вашего компьютера от всех видов вредоносного, шпионского или рекламного ПО.Но одни инструменты лучше других.
Уровни обнаружения оценивает производительность вашего антивируса на основе того, как часто он точно маркирует чистые файлы и потенциальные угрозы.
Хороший уровень обнаружения будет иметь высокие показатели успеха для следующего:
- Истинные положительные результаты: Когда программа определяет вредоносные файлы как вредоносные программы.
- Истинные отрицания: Когда программа определяет, что безопасные файлы безопасны для открытия.
Идеальное антивирусное программное обеспечение также не должно выдавать вам:
- Ложные срабатывания: Когда программа определяет, что безвредные файлы являются вредоносными программами.Если порог угрозы для вашего программного обеспечения слишком высокий, могут быть удалены полностью безопасные файлы.
- Ложноотрицательные сообщения: Когда программа определяет, что вредоносные файлы безопасно открывать. Это может произойти, если база данных угроз не обнаружила и не зарегистрировала новые или неизвестные угрозы.
Вы также можете найти программу, которую несколько независимых лабораторий тщательно протестировали и проверили. Такие организации, как AV-TEST, NSS Labs и AV-Comparatives, проводят тесты и предоставляют обзоры средств защиты от вредоносных программ и программного обеспечения для Windows, Mac и Android OS.
Обратите особое внимание на оценки ложных срабатываний программного обеспечения. Вы же не хотите выбирать программное обеспечение, которое удаляет нужные вам файлы.
Обнаружение угроз и устранение угроз в продуктах также различаются в зависимости от операционной системы. Лучшее антивирусное программное обеспечение для Mac не обязательно является лучшим программным обеспечением, например, на ПК.
Читайте последние новости и аналитические материалы по тестированию от авторитетных блоггеров и из надежных источников новостей, чтобы определить самые современные и высокопроизводительные программы для вашей ОС.
должен работать хорошо, не замедляя работу вашего устройства
Если антивирусное программное обеспечение постоянно работает в фоновом режиме вашего компьютера, оно должно работать эффективно. Эффективные продукты могут сканировать при выполнении множества задач, в том числе:
- Копирование файлов
- Архивирование и разархивирование
- Установка / удаление приложений
- Запуск приложений
- Скачивание файлов
- Просмотр веб-сайтов
Не все программы обеспечения безопасности идеально работают в тестовых случаях.Однако вы заметите, что некоторые программы более эффективны при выполнении определенных задач, чем другие. Выбирайте программное обеспечение с функциями, адаптированными к типу вычислений, которые вы выполняете чаще всего.
Также подумайте о выборе комплексного пакета, который вы можете настроить в соответствии со своими потребностями позже, если они изменятся. Даже если вы думаете, что определенная функция вам может не понадобиться сейчас, она может пригодиться в будущем.
Легко ли использовать ваше антивирусное программное обеспечение?
Всегда будьте уверены, что вы можете легко использовать антивирусное программное обеспечение, которое вы выбрали для установки, и перемещаться по нему.
Покупка антивирусного программного обеспечения и отключение его, поскольку оно слишком сложное в использовании, откроет доступ к атакам и уязвимостям. Что еще хуже, люди часто запускают программы, но не поддерживают их в актуальном состоянии.
Большинство людей не профессионалы в области кибербезопасности, не говоря уже о том, чтобы хорошо разбираться во внутренней работе антивирусных программ и настроек. Вам не обязательно нужна программа для настройки брандмауэров или запуска дополнительных программ, которые занимают половину вычислительных ресурсов среднего компьютера.
Это зависит от типа вычислений, которые вы выполняете, и от того, храните ли вы конфиденциальные данные на своем компьютере, например, истории болезни или корпоративные финансовые документы.
Основные функции простоты использования, которые вам понадобятся:
- Автоматические обновления : Выберите программное обеспечение, которое обновляет, исправляет и изменяет конфигурацию на лету без вашего вмешательства.
- Простой пользовательский интерфейс: Найдите программное обеспечение, в котором легко ориентироваться и понимать. Вы сможете быстро определить, была ли обнаружена угроза и устранена ли она.
Поддержка клиентов также является важным компонентом повышения удобства использования программы. Люди часто выбирают бесплатное программное обеспечение, и, когда они позже сталкиваются с проблемами, у них нет доступа к помощи, которая поможет им решить свои проблемы.
Даже если вы плохо разбираетесь в использовании антивирусных программ, наличие доступа к компетентным группам поддержки клиентов может помочь вам максимально эффективно использовать программное обеспечение. У вас будет больше спокойствия и уверенности в том, что ваша система также хорошо защищена.
Хотите дополнительных наворотов от высокопроизводительного программного обеспечения?
Некоторые функции могут рекомендовать один антивирусный продукт по сравнению с другим. Новые функции регулярно разрабатываются в соответствии с возникающими тенденциями, чтобы помочь защитить пользователей, и большинство компаний не зарезервированы для рекламы преимуществ этих функций.
Хотя обнаруживать новейшие киберугрозы сложно из-за быстро меняющегося характера кибербезопасности, новые функции могут помочь вам обезопасить себя.
Многоуровневая защита просмотра веб-страниц может отсортировать и предотвратить угрозы в режиме реального времени.Некоторые функции программного обеспечения, такого как Kaspersky Total Security или Kaspersky Security Cloud, включают:
- Ранжирование угроз и упреждающая блокировка URL-ссылок, веб-страниц и вложений электронной почты
- Межсетевые экраны и фильтрация спама
- Безопасные браузеры для финансовых транзакций
- Родительский контроль содержимого
- Безопасное удаление конфиденциальных файлов, истории просмотров, кредитного мониторинга или других виртуальных хлебных крошек, таких как пароли
- Услуги резервного копирования в облако с шифрованием
Менеджеры паролей хранят ваши уникальные, трудно запоминающиеся пароли в зашифрованном «хранилище».«Это решения с высоким уровнем безопасности, требующие запоминания только одного основного пароля.
Очистка и оптимизация производительности системы для увеличения скорости и мощности вашего устройства. Некоторые антивирусные программы даже обновляют ваши программы, драйверы и операционную систему.
Мониторинг Wi-Fi дома , чтобы точно знать, какие устройства подключены к вашей личной беспроводной сети. Оповещения о новых подключениях могут помочь вам найти потенциальных захватчиков в вашем частном Интернете.
Онлайн-счет мониторинг утечки данных может взять все ваши учетные записи и проверить их на наличие известных утечек данных. Если ваши учетные данные были украдены, вы получите уведомление, которое поможет вам принять меры.
Услуги виртуальной частной сети (VPN) могут предоставить вам безопасный зашифрованный интернет-туннель. Это позволяет вам безопасно и анонимно просматривать Интернет - даже в общедоступном Wi-Fi.
Существует множество других функций, поэтому не забудьте присмотреться к ним и сравнить их, исходя из ваших потребностей.
Другие важные вопросы, которые следует задать перед выбором антивирусного программного обеспечения
После того, как вы нашли несколько вариантов антивируса, нужно учесть еще несколько вещей.
Вот несколько вопросов, которые помогут вам сузить круг поиска антивируса:
Какие устройства и операционные системы защищает это программное обеспечение? В настоящее время многие люди, по крайней мере, владеют смартфонами и компьютерами. Ваше антивирусное программное обеспечение может быть доступно не на всех устройствах, которые вы хотите защитить.Некоторые продукты, такие как Kaspersky Security Cloud, могут охватывать несколько устройств, будь то ПК, Mac, iOS или Android.
Может ли это программное обеспечение защитить всю мою семью? Ваша безопасность зависит от самого слабого звена вашей сети. Каждый член вашей семьи может быть точкой доступа преступников для взлома вашей цифровой безопасности. Когда взрослые и маленькие дети используют все типы устройств, вам, вероятно, понадобится план, который защитит многие устройства от любых вредоносных действий. Такие продукты, как Kaspersky Total Security, могут защитить до 10 устройств с помощью одного антивирусного пакета.
Имеет ли это программное обеспечение больше функций, чем я буду использовать? Убедитесь, что вы получаете пакет программного обеспечения, в котором есть все, что вам нужно. Вы должны иметь возможность выбирать между несколькими вариантами, чтобы получить необходимую защиту.
К сожалению, люди нередко избегают покупки антивирусного программного обеспечения, пока не подозревают об атаке. Будь то медленный компьютер или подозрительные сбои, мы часто ждем, пока системы наших компьютеров не начнут работать неправильно, чтобы принять меры.
Если это ваш случай, сделайте своей приоритетной задачей внедрение эффективного антивирусного программного обеспечения. Правильная программа может найти угрозу и заблокировать ее, ни в малейшей степени не влияя на использование вашего компьютера. Если вы будете действовать на опережение, вы сможете спокойно ориентироваться в своей цифровой жизни.
Статьи по теме:
фишинговый вирус | Mimecast
Часто задаваемые вопросы: фишинговый вирус
Что такое фишинговый вирус?
Фишинговый вирус - это разновидность вредоносного ПО, которое устанавливается на компьютер пользователя в рамках фишинг-атаки.Фишинг - это тип киберпреступности, при котором злоумышленники выдают себя за надежную или законную компанию, чтобы обманом заставить человека поделиться информацией, такой как номера банковских счетов, данные кредитной карты, учетные данные для входа и другие конфиденциальные данные, и / или загрузить фишинговый вирус на пользователя компьютер.
Как работает фишинговый вирус?
Обычно злоумышленники заражают компьютер пользователя фишинговым вирусом, отправляя электронное письмо, которое выглядит так, как будто оно исходит от человека или компании, которую получатель знает и которой доверяет.В электронном письме может быть указано, что существует проблема или подозрительная активность в учетной записи пользователя, что необходимо сбросить пароль или подтвердить учетную запись, что необходимо оплатить счет или что получатель должен действовать быстро, чтобы предотвратить негативные последствия или воспользоваться возможностью. Электронное письмо устанавливает фишинговый вирус, предлагая получателю открыть вложение или щелкнуть ссылку, которая приведет его на поддельный веб-сайт, где его также могут попросить поделиться конфиденциальной информацией.После загрузки фишингового вируса он может устанавливать программы-вымогатели, запускать атаки на другие компьютеры или предоставлять злоумышленнику доступ к данным в сети пользователя.
Как обнаружить фишинговую вирусную атаку?
Существует ряд явных признаков того, что электронное письмо может быть частью фишинг-атаки, направленной на получение информации или загрузку фишингового вируса. Фишинговое письмо может содержать один или несколько из следующих показателей:
- Запрос на предоставление конфиденциальной информации, такой как пароли, номера счетов и личную информацию.
- Адрес электронной почты отправителя, который при проверке не соответствует домену компании, от которой якобы отправлено электронное письмо.
- Плохое правописание, грамматические ошибки и необычный выбор языка.
- Угроза негативных последствий или предложение, которое кажется слишком хорошим, чтобы быть правдой.
- Настойчивый, угрожающий или настойчивый тон с выражением, предназначенным для того, чтобы получатель быстро ответил.
- Вложения к письму, которое кажется подозрительным, например неожиданным документом или счетом, который кажется ошибочным.
- Гиперссылки, которые при более внимательном рассмотрении направят получателя на веб-сайт, отличный от того, который указан в тексте электронного письма.
Как заблокировать фишинговый вирус?
Блокировать заражение компьютера пользователя фишинговым вирусом лучше всего с помощью многоуровневого подхода к безопасности.
- На тренинге по вопросам безопасности пользователи узнают, как определять электронные письма с фишинговыми вирусами и другие угрозы и что делать в случае их обнаружения.
- Расширенная технология сканирования и фильтрации электронной почты может блокировать пользователям переход по ссылкам или открытие вложений, которые определены как небезопасные. Эта технология также может искать в электронном письме индикаторы, которые могут указывать на мошенническое выдвижение себя за другое лицо, и может блокировать или помещать электронное письмо в карантин для более тщательной проверки.
- Надежная защита от спама и вредоносных программ может остановить множество фишинговых вирусных писем на безопасном шлюзе электронной почты.
Службы аутентификации
- DNS, использующие протоколы SPF, DKIM и DMARC, очень эффективны для предотвращения попадания определенных фишинговых вирусных писем в систему организации.
Как избавиться от фишингового вируса?
Выполните следующие действия, если считаете, что на вашем компьютере есть фишинговый вирус.
- Отключите компьютер от Интернета и внутренней сети, чтобы предотвратить распространение вируса.
- Немедленно обратитесь в свой ИТ-отдел и к своему руководителю - они помогут ограничить ущерб.
- Тщательно просканируйте свой компьютер на наличие вредоносных программ и вирусов.
- Измените учетные данные для входа в важные учетные записи, к которым злоумышленники теперь могут иметь доступ.
- Сообщите о фишинговой атаке правительственным агентствам, работающим над предотвращением фишинговых вирусных атак, таким как Федеральная торговая комиссия (ftc.gov/complaint), Агентство по кибербезопасности и безопасности инфраструктуры ([email protected]) и Anti-Phishing Рабочая группа (www.antiphishing.org/report-phishing).
Как определить, есть ли на вашем компьютере вирус, и что с ним делать
Все обеспокоены (и должны быть) обеспокоены компьютерными вирусами, особенно новыми разновидностями этого вредоносного программного обеспечения, появляющимися каждый год.Но что означает для ваших данных и устройства заражение вирусом и какой ущерб он может нанести?
Компьютерный вирус работает аналогично вирусу гриппа: он очень заразен, вы чувствуете себя измотанным, вам нужно больше сна и отдыха, чем обычно, и вам трудно выполнять даже самые простые повседневные задачи. Точно так же компьютерный вирус влияет на производительность вашего устройства, реплицируясь и распространяясь по операционной системе. Вирус может повредить программы, удалить файлы, переформатировать или стереть жесткий диск, что приведет к снижению производительности или даже к полному сбою системы.Хакеры также могут использовать вирусы для доступа к вашей личной информации, чтобы украсть или уничтожить ваши данные.
По мере того, как общество становится все более зависимым от технологий, важно обучать себя, семью, друзей, сотрудников и коллег безопасному использованию Интернета. Вот краткое руководство по всему, что вам нужно знать о компьютерных вирусах - от того, что они такое и как их обнаружить, и что делать, если ваше устройство заражено.
Как компьютер получает вирус
Существует несколько способов заражения компьютера вирусом, и большинство из них связано с загрузкой - намеренно или непреднамеренно - зараженных файлов.Распространенными виновниками являются пиратская музыка или фильмы, фотографии, бесплатные игры и панели инструментов, а также фишинговые / спам-сообщения с вложениями. Вирусы также можно загрузить, посетив вредоносные веб-сайты или щелкнув ссылки или рекламу на неизвестном / незащищенном веб-сайте. Даже подключение к зараженному внешнему диску (например, USB) может привести к заражению вашей системы вредоносным ПО.
Как обнаружить компьютерный вирус
Если вы заметили на своем компьютере какие-либо из следующих проблем, он может быть заражен вирусом:
- Низкая производительность компьютера (требуется много времени для запуска или открытия программ)
- Проблемы с завершением работы или перезапуском
- Отсутствующие файлы
- Частые сбои системы и / или сообщения об ошибках
- Неожиданные всплывающие окна
- Новые приложения (панели инструментов и т. Д.), которые появляются без загрузки
- Перегруженный жесткий диск (вентилятор издает звуки, кажется, что он жужжит и усердно работает, когда вы мало что делаете)
- Электронные письма, которые отправляются автономно с ваших учетных записей
- Отставание браузера или перенаправления
- Неисправные антивирусные программы или брандмауэры
Защита компьютера от вирусов
Хотя хакеры постоянно создают более умные и сложные вирусы, есть несколько способов защитить ваше устройство и файлы.
Лучший способ справиться с вирусом - это предотвратить его, в первую очередь, , используя антивирусную защиту и антишпионское программное обеспечение. Важно поддерживать эти приложения в актуальном состоянии, а также регулярно обновлять операционную систему и следить за актуальностью настроек безопасности вашего браузера. Регулярно создавайте резервные копии файлов (в облаке или на безопасном внешнем жестком диске) на случай, если они будут повреждены, выкуплены или удалены. Используйте инструмент безопасности, чтобы оценить свое устройство и выяснить, насколько оно уязвимо.
При работе в Интернете не нажимает на сомнительные ссылки или всплывающие окна . Ваш браузер может предупреждать вас о подозрительных веб-сайтах, или вы можете увидеть красный разблокированный замок слева от URL-адреса в верхней части веб-страницы, если он не защищен. Это не всегда означает, что веб-сайт опасен, но вы можете дважды подумать, прежде чем просматривать или вводить свою информацию.
Еще одно хорошее практическое правило: никогда не открывайте электронное письмо или вложения, если вы не знаете отправителя и не доверяете ему. .Часто хакеры используют имя друга в качестве отправителя или используют «Re:» в строке темы, чтобы обмануть вас, поэтому дважды проверьте реальный адрес электронной почты, чтобы узнать, узнаете ли вы его. Если вы открыли письмо и все еще не уверены, даже если оно из надежного источника, все равно лучше удалить.
Будьте очень осторожны при загрузке программного обеспечения . Загружайте программы, фильмы и музыку только с законных веб-сайтов или сервисов.
Многие люди подключаются с помощью общедоступного Wi-Fi в кафе, ресторанах или магазинах, но эти незащищенные сети могут сделать ваш телефон, планшет или компьютер уязвимым для вирусов.Вместо этого рассмотрите возможность использования персональной точки доступа для подключения к Интернету. Если общедоступный Wi-Fi - ваш единственный вариант, используйте VPN, чтобы лучше защитить свое устройство и данные.
Наконец, узнайте о типах существующих угроз и научите других делать то же самое. Например, около 95 процентов подростков пользуются Интернетом, но 18 процентов говорят, что они не были осведомлены о «хорошем поведении в Интернете». Потратив время на то, чтобы поговорить с семьей о безопасных онлайн-привычках, вы значительно снизите риск взлома устройств.
Что делать, если вы заразились вирусом
Если вы считаете, что ваш компьютер заражен, начните с полного сканирования системы с помощью антивирусного программного обеспечения и программы защиты от вредоносных программ. Просмотрите угрозы и примите все возможные меры (программное обеспечение должно помочь вам в этом). Если вы не можете удалить вирус или зараженные файлы из своего программного обеспечения, попробуйте восстановить компьютер до более ранней резервной копии, прежде чем у вас возникнут проблемы.
Еще одна стратегия, которую стоит попробовать, - это удалить все временные файлы на вашем компьютере.Методы очистки этих файлов различаются в зависимости от системы, но эти процессы достаточно легко исследовать и внедрять для обычного пользователя. Если ваш компьютер неисправен и не позволяет вам получить доступ к файлам для удаления, вы можете попробовать загрузиться в безопасном режиме. Безопасный режим ограничивает определенные программы, поэтому вы можете работать над исправлением проблемы без перерыва.
В некоторых случаях может потребоваться переустановка операционной системы. Если вы не знаете, как это сделать, отнесите устройство в местный магазин, предлагающий компьютерные услуги, и попросите профессионала осмотреть его.
В целом, профилактика и обучение - это наиболее эффективные способы предотвратить заражение вашего компьютера вирусом. Знайте основы безопасности в Интернете и делитесь такими статьями с семьей, друзьями и коллегами.
Автор биография
Алиса - опытный писатель-фрилансер, специализирующийся на технологиях и бизнесе. У нее есть страсть к пониманию того, как технологии меняют человеческий опыт и передаче этой социальной трансформации.
Как защитить свой компьютер с помощью нескольких уровней безопасности
Какое отношение строители старинных замков имели к многоуровневым системам безопасности?
Я расскажу вам об этом в сегодняшнем руководстве по безопасности.
Задача многоуровневой системы безопасности - остановить кибератаки на разных уровнях, чтобы они никогда не достигли ядра системы и важных конфиденциальных данных.
Мы подошли к моменту, когда нам нужна такая стратифицированная система, потому что вредоносное ПО быстро превращается в новые и более агрессивные угрозы.Потому что антивируса уже недостаточно для вашей защиты (по этим причинам). Потому что ни одно решение не может гарантировать 100% защиту.
Ваша компьютерная система должна быть похожа на старинный замок, окруженный различными стенами : сокровище хранится в центре, и злоумышленники должны сражаться за стены один за другим, чтобы достичь своей цели. Ваша цель - ослабить нападающих до такой степени, чтобы они никогда не повлияли на сокровище и не заполучили его.
Как я уже сказал, строители древних замков знали, как дать отпор, когда нападавшие атаковали их крепости. Теперь вам нужно защитить свое сокровище : ваши данные (учетные данные, деньги, личность, воспоминания и т. Д.).
В этом наглядном руководстве объясняется, как разные типы продуктов безопасности обеспечивают защиту на разных уровнях.
Структура имитирует систему кибербезопасности корпоративного уровня , но проще, поэтому вы можете следовать ей и, самое главное, позволить себе ее.
Как вы понимаете, комплекты защиты для компаний чрезвычайно сложны.К счастью, у нас, как у домашних пользователей, тоже есть из чего выбирать.
1. Начните с этого списка цифровых активов для защиты
Для этого не нужно быть одержимым идеей организованности.
Но понимание того, как ваши цифровые данные распределены по устройствам, приложениям и Интернету, является ключом к вашей онлайн-защите.
Итак, есть несколько ключевых активов, которые должна охватывать ваша онлайн-защита:
- Ваша личность
- Ваши устройства
- Ваши программные приложения (то есть данные, хранящиеся в них)
- И ваши конфиденциальные данные.
Если вы не знаете, что входит в каждую категорию, вам может помочь следующая таблица:
Итог : онлайн-преступники хотят взломать ваши устройства и программные приложения, чтобы получить ваши личные данные и данные.
Конечно, это звучит просто. В фоновом режиме происходит много вещей, но теперь давайте сосредоточимся на типах продуктов для обеспечения безопасности и конфиденциальности, которые вы можете использовать в соответствии с вашими потребностями.
2.Выберите подходящие продукты безопасности для каждого уровня
Ваш первый уровень защиты должен защищать данные, которые вы отправляете и получаете через Интернет.
Это потому, что киберпреступники используют Интернет для запуска и распространения большинства своих атак.
Интернет-преступнику гораздо проще рассылать спам-сообщения с вредоносными ссылками, чем, например, распространять на них USB-накопители с вредоносным ПО, чтобы потенциальные жертвы могли подключить их и заразиться.
Киберпреступники обнюхивают, взламывают и взламывают ваши обмены данными через Интернет, если они не защищены должным образом. Вот почему на данном этапе профилактика - лучшая стратегия .
Вот несколько инструментов, которые вы можете использовать для защиты своего интернет-трафика:
- Фильтрация трафика - для очистки вашего интернет-трафика от киберугроз и предотвращения кражи данных (ключ к вашей проактивной безопасности)
- VPN - анонимизирует ваш интернет-трафик и не дает злоумышленникам определить ваше точное местоположение
- Межсетевой экран - для предотвращения несанкционированного доступа к вашей домашней сети
- Anti-spam - для борьбы с нежелательной электронной почтой, которая часто загружается вредоносным ПО
- Антишпионское ПО - для обнаружения и блокирования попыток шпионского ПО, которое направлено на мониторинг вашей онлайн-активности и отправку информации злоумышленникам
- Антифишинг - для блокировки попыток фишинга, направленных на то, чтобы заставить вас разглашать конфиденциальные данные кибер-злоумышленникам
- Родительский контроль - если вы хотите защитить своих детей от доступа к опасному или неприемлемому контенту
- Прокси-сервер - чтобы потенциальные злоумышленники не заразили ваш компьютер или домашнюю сеть напрямую
- Блокировщики рекламы - для устранения угрозы вредоносной рекламы
- HTTPS Everywhere - чтобы гарантировать, что данные, которые вы отправляете и получаете через Интернет, всегда зашифрованы.
Этот набор инструментов может помочь вам построить барьер между вами и попытками киберпреступников , доставленными через Интернет.
Используйте эти инструменты с умом и не переусердствуйте : за инструментами безопасности и конфиденциальности стоит много сложностей, поэтому использование большего количества инструментов не означает, что вы будете более защищены.
Выбирайте те, которые подходят именно вам, и всегда помните, что никто не может гарантировать 100% защиту. Но это определенно цель, которой все хотят достичь.
Второй уровень защиты должен быть нацелен на защиту данных, которые вы храните в онлайн-аккаунтах или в облаке.
Если вы думаете о хранении, идите дальше! Дело не только в фотографиях и видео, которые у вас есть в вашей учетной записи Dropox. В эту категорию также входят вещи, которыми вы поделились на Facebook, данные вашего почтового адреса, сохраненные в вашей учетной записи Amazon, все эти мгновенные сообщения, отправленные через WhatsApp, сотни ваших электронных писем и т. Д.
Все эти биты и фрагменты данных определяют нашу личность в Интернете . И правда в том, что мы делимся гораздо большим количеством данных о себе, чем можем себе представить!
Вы можете защитить свои онлайн-приложения от вторжений, используя:
- Антивирус - надежно защищает вас от атак, направленных на компрометацию ваших настольных приложений
- Менеджер паролей - бесценный инструмент для обеспечения надежности ваших учетных данных и их безопасного хранения (даже лучше, если в сочетании с двухфакторной аутентификацией)
- Автоматическое внесение исправлений - это сэкономит ваше время и энергию, поддерживая программное обеспечение в актуальном состоянии и устраняя неизбежные дыры в безопасности.
- Anti-malware - для завершения функций или традиционный антивирус, который иногда не может справиться с огромным количеством вредоносных программ, выпускаемых каждый день
- Приложения для обмена зашифрованными сообщениями - для обеспечения безопасности вашего общения как с точки зрения обмена сообщениями, так и файлов.
- Зашифрованная электронная почта - гарантия того, что никто не сможет расшифровать ваши важные электронные письма
- Виртуальная клавиатура - для защиты от кейлоггеров, которые кибер-злоумышленники используют для записи ваших нажатий клавиш и кражи ваших паролей и другой конфиденциальной информации
- Облачное хранилище - хорошее место для хранения одной резервной копии ваших (ранее зашифрованных) данных, чтобы вы могли предотвратить потерю данных в случае кибератаки.
Подавляющая часть кибератак нацелена на ваше программное обеспечение, будь то браузер, операционная система или настольные приложения. Если он подключится к Интернету, он будет в поле зрения злоумышленников.
И растущее количество дыр в безопасности в наиболее часто используемых программных приложениях в мире предоставляет множество возможностей для использования онлайн-преступниками.
Это не означает, что ответственность за вашу защиту лежит исключительно на вас. Но зачем полагаться на третьих лиц, если вы так много можете сделать для себя?
С первыми двумя уровнями защиты вы уже заблокировали большинство атак .Если онлайн-преступники зашли так далеко, они будут считать, что отсюда все идет вниз.
Но ты по-прежнему король своего замка!
Ваш третий уровень защиты должен сосредоточиться на защите данных, хранящихся на вашем локальном диске, от повреждений.
Здесь вы, скорее всего, храните такие вещи, как фотографии, музыку, рабочие документы и , так что и многое другое. Это ваш цифровой дом, и вы не можете не чувствовать себя защищенным (как и следовало бы).
Итак, вот что вы можете сделать, чтобы ваши данные, хранящиеся локально, были защищены от последних векторов атак, которые могут проскользнуть через первые два уровня защиты.
Убедитесь, что вы используете:
- Резервное копирование - как минимум в двух разных местах (в облаке и на внешнем диске) для создания избыточности (если вы потеряете одну резервную копию, всегда есть другая, поэтому восстановите свои данные из)
- Шифрование - для защиты ваших данных от изменения, кражи или заражения вредоносным ПО
- Менеджер паролей - потому что независимо от того, насколько сильна программа шифрования, которую вы используете, она по-прежнему полагается на то, что вы устанавливаете и используете надежный пароль (также мы не можем достаточно подчеркнуть, насколько важно хорошее управление паролями)
- Антивирус - мы уже упоминали об этом ранее, но он применим и здесь, потому что он будет проверять ваши файлы и определять наличие вредоносного ПО в системе.
3. Научитесь замечать их уловки
Существует множество других продуктов для обеспечения безопасности, каждое из которых имеет свои особенности. В этом руководстве я сосредоточился на том, чтобы показать вам основы того, что вы можете использовать для каждого уровня защиты.
Запомните это : ваши противники умны и обладают большим количеством ресурсов. Не стоит их недооценивать.
И, самое главное, знайте, что технологии могут помочь, но онлайн-злоумышленники могут обратиться к вашей человеческой стороне, чтобы добиться своего. Остерегайтесь психологических манипуляций (социальная инженерия) тактики, например фишинга. Научитесь определять их уловки и ловушки и избегать их любой ценой.
Освоение основ кибербезопасности - это навык, который нам всем понадобится в будущем. , когда Интернет становится все более важной частью нашей личной и профессиональной жизни.
Прислушивайтесь к советам, проверяйте, что подходит именно вам, и будьте в курсе последних новостей.