Какие используются средства защиты ?
С течением времени средства защиты и средства нападения эволюционируют. Когда сеть появлялась, никто не задумывался о средствах защиты. В конце двадцатого века эта проблема стала очень остро. Как пример, можно вспомнить выполнение атаки компьютерного червя Code Red, который в 2001 году атаковал веб-сервера Microsoft. Примерно за восемь часов были заражены сотни тысяч серверов. В 2003 году была аналогичная ситуация. Червь Slammer атаковал майкрософтовское программное обеспечение и скорость атаки была ещё более быстрой, чем при атаке в 2001 году. В течении тридцати минут пострадали более 250000 серверов.
На сегодняшний день абсолютно все операционные системы имеют проблемы с вредоносным программным обеспечением. Выделяют три класса такого ПО:
1. Вирусы. Количество вирусов достаточно велико. Основное свойство вирусов – это прикрепление к другим программам, т.е. заражение их подобно тому, как заражают живые организмы биологические вирусы.
2. Черви. Как правило, они распространяются через сеть. Размножаются путём самокопирования и заражают другие компьютеры в сети. Часто черви не имеют файла, хранящегося в файловой системе. Т.е. это программа, которая работает только в памяти компьютера. Это бывает не всегда, некоторые черви могут сохраняться в файлы.
3. Троянские кони. Программы, позиционирующие себя как полезные продукты, но реально выполняющие злонамеренные функции.
Из перечисленной классификации наиболее опасными считаются черви. Они всегда попадают в систему через какую-то уязвимость и затем пытаются в ней распространиться. Т.е. червь самокопируется и атакует новые цели. Обычно это случайным образом выбранные IP адреса из того же адресного пространства, как и компьютер, на котором уже червь находится. Когда желаемое действие достигается, т.е. устройство заражается, то он получает тот или иной доступ к целевой системе и дальше может выполнять какие-то злонамеренные действия, вплоть, до полного удаления файловой системы.
Различают несколько этапов существования червя:
1. Этап тестирования. Когда он пытается обнаружить устройство. Сканирует сеть, сканирует наличие программного обеспечения на устройствах сети и дальше проникает в эту систему.
2. Этап проникновения. Вредоносный код каким-то образом устанавливается в систему и старается закрепиться. Изменить параметры реестра, если это Windows для того, чтобы после перезагрузки остаться на этой системе в рабочем состоянии.
3. Этап распространения, когда он пытается атаковать соседние системы.
4. Этап паралича, когда червь на заражённой системе выполняет какие-то нехорошие действия.
Если говорить о средствах защиты, то в этом случае различаю следующие моменты:
1. Сдерживание. На этом этапе стремятся ограничить область подверженную заражению разными способами. Можно добавлять правила на файрволе, разбивая сеть на дополнительные сегменты. Блокировать сегменты друг от друга, останавливая возможность для распространения.
2. Вакцинация. Этот этап может выполняться как параллельно с этапом сдерживания, так и после него. Устанавливаются патчи, исправления операционной системы или конкретного системного программного обеспечения для устранения уязвимости.
3. Карантин. На этом этапе все заражённые системы выявляются, изолируются и переходят на этап излечения.
4. Излечение. Здесь удаляются те изменения, которые были сделаны вредоносным ПО в процессе проникновения.
Для защиты используется антивирусное программное обеспечение, которое пользуется базами сигнатур вирусов. Эти базы нуждаются в постоянном обновлении. Существует проблема в задержке между появлением вируса и появлением этого вируса в базах сигнатур. И всегда возможна, так называемая, «атака нулевого дня», когда вирус уже есть, а в базу он ещё не попал, т.е. он никаким антивирусным программным обеспечением не может быть выявлен.
