Как Поймать То, Чего Нет. Самое Грустное: Что Такое Антивирус?

Довольно часто, приходя к клиентам, мне приходится в той или иной форме задавать вопрос: зачем вам антивирус? На меня, как правило, смотрят как на идиота – это все знают! Но в большинстве случаев дальнейшее обсуждение показывает, что подавляющее большинство клиентов не знают ответа на вопрос ребенка.

Если быть точным, то за последний год только две (две!) компании ответили правильно.

И кстати, по статистике, это проблема не только России – аналогичная ситуация и за рубежом.

Эта часть изначально не планировалась, но, судя по всему, крайне необходима.

Ряд комментариев к предыдущим статьям показывает, что даже ИТ-специалисты не понимают разницы между понятиями «антивирус» и «система антивирусной защиты».

Это довольно наглядно видно в комментариях, когда вместо антивируса в виде звонилки предлагают использовать другое программное обеспечение - как правило, системы ограничения прав, доступа и т.п.

Поэтому предлагаю вернуться к сказанному ранее.

Давайте определим, есть ли у кого-нибудь возражения против замены антивируса альтернативными решениями и чем антивирус отличается от антивирусной системы безопасности.

Антивирус, данный нам в определениях В первой части нашей серии мы поняли, что на данный момент в мире не существует определения вредоносного ПО — регуляторы вообще не знают, от чего защищаться.

Давайте подойдем к противоположной стороне и посмотрим, что такое антивирус с точки зрения регуляторов нашей страны и мира:

• программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ в целом и восстановления файлов, зараженных (модифицированных) такими программами, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

  (Википедия)

• программа, которая делает вид, что ищет вирусы, трояны, черви и другие инфекции в иммунодефицитной среде Microsoft Windows, но на самом деле ничего не делает, замедляя работу устройства, на котором она установлена.

  Пытается защититься от угроз, которых нет в антивирусных базах, но ужасно это делает (Lurkmor)

• программа, целью которой является обнаружение, предотвращение размножения и удаление компьютерных вирусов и других вредоносных программ
• программа, предотвращающая заражение ПК компьютерными вирусами и позволяющая устранить последствия заражения (Последние два определения широко распространены в Рунете, но первоисточник мне не известен.

  )

• Меры антивирусной защиты должны обеспечивать обнаружение в информационной системе программ для ЭВМ или иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, изменения, копирования ЭВМ или нейтрализации мер информационной безопасности, а также реагирование на обнаружение этих программ и информации (Приказ ФСТ № 17 www.rg.ru/2013/06/26/gostajna-dok.html )
• защита информационной системы, в том числе обнаружение программ для ЭВМ или иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, изменения, копирования ЭВМ или нейтрализации мер информационной безопасности, а также реагирование на обнаружение этих программ и информации (Методический документ ФНСЭК.

  Меры защиты информации в государственных информационных системах).

• программа, которая обнаруживает, предотвращает и выполняет определенные действия для блокировки или удаления вредоносных программ, таких как вирусы и черви ( www.microsoft.com/ru-ru/security/resources/antivirus-whatis.aspx )
• результат интеллектуальной деятельности в виде программы для ЭVM (объект авторского права), исключительное право на которую принадлежит Правообладателю (Лицензиару) (достаточно типичное определение из конкурсной документации)

Мы ловим блох? Нисколько.

Несмотря на то, что в предыдущих статьях четко говорилось, что основная задача антивируса — обнаружение и удаление ранее неизвестного вредоносного ПО, в комментариях к двум статьям рекомендовалось заменить антивирус системами, предотвращающими заражение.

То есть миф укоренился, и если мы не запишем правильное определение, то система безопасности не получит автоматически необходимые функции.

Ситуацию иллюстрирует замечательная история.

Говорят, что когда Кеннеди сказал «мы будем первыми на Луне!», специальная комиссия внесла лишь незначительные изменения в цель миссии — «Система должна доставить астронавтов на Луну и вернуть их обратно».

Но можно было сэкономить.

Еще одна распространенная ошибка — включение в определение системы защиты списка типов вредоносных программ или их действий.

В связи с этим появление новых типов вредоносных программ или их действие автоматически выводят их из-под действия нормативных документов.

Почему мой антивирус пропускает вирусы? Прежде чем ввести определение системы антивирусной защиты, еще раз определим возможности вредоносных программ по обходу систем антивирусной защиты (уровень риска).

На данный момент наиболее опасные вредоносные программы разрабатываются не хакерами-одиночками, а представляет собой хорошо организованный преступный бизнес, вовлекающий в свою преступную деятельность высококвалифицированных разработчиков системного и прикладного программного обеспечения.

Внимание! Неважно, кто какую роль играл в этой «компании».

Возможно роль простого сисадмина.

Незнание не освобождает от ответственности.

Тестирование на необнаружение разработанного вредоносного ПО текущими антивирусными решениями позволило выпустить только вредоносные программы, необнаружимые (до получения обновлений) системами защиты, предположительно используемыми группами пользователей, на которых планировалась атака, в том числе с использованием эвристические механизмы.

Число таких программ, выпущенных одной группой, может достигать сотен образцов — и ни одна из них не будет обнаружена антивирусным ПО, используемым целевой группой жертв.

Какие проблемы возникают с обеспечением антивирусной безопасности? Повторим сказанное в предыдущих статьях:

• На данный момент основной проблемой для систем антивирусной безопасности является вредоносное ПО, не обнаруживаемое системами защиты (проблему неграмотности и наивности пользователей оставим за кадром, поскольку ее вряд ли можно решить без гипноизлучателей на орбите).

  ).

  Такая угроза существовала и раньше, но ранее она была связана лишь с задержкой обнаружения образцов нового вредоносного ПО в «дикой природе».

• Количество необнаруживаемых программ составляет не менее 25 процентов от общего количества.

• Традиционные эвристические механизмы обнаружения утратили существенное значение в связи с современной системой разработки вредоносных программ, что привело к необходимости разработки новых технологий обнаружения вредоносных программ.

• Обеспечить антивирусную защиту от проникновения с помощью антивируса невозможно.

  Но использование других методов также не дает 100% гарантии, с одной стороны, и требует высокой квалификации специалистов, с другой.

Ранее мы говорили, что увеличено производство наиболее опасного вредоносного ПО.

Но справедливо ли это для других вредоносных программ? По данным AVG ( http://now.avg.com/kids-writing-trojans-show-computer-skills-friends ), треть современных вредоносных программ создается детьми.

Зачем нужен антивирус? Соответственно, система антивирусной защиты должна обеспечивать:

1. защита от проникновения всех уже известных типов вредоносных программ (в том числе с использованием технологий, позволяющих обнаруживать модификации ранее найденных).

   Слово «всем» выделено не просто так — типичный запрос на удаление старых вирусов из баз.

   Хотите верьте, хотите нет, OneHalf все еще жив!

2. после получения обновлений - обнаружение и уничтожение (но не откат действий!) уже запущенных и активно противодействующих обнаружению вредоносных программ.

Поэтому и функции, реализованные на основе этих определений, и состав систем антивирусной защиты также оказываются неверными.

Комментарии к предыдущим статьям показывают, что многие, определяя задачу антивирусной защиты, забывают о второй части.

Выполнить задачу по предотвращению внедрения вредоносного ПО можно и без антивируса – вам никто не мешает, более того, иногда наличие антивируса противопоказано.

Но удалить уже активную инфекцию без антивируса невозможно.

Да, я знаю, что есть специалисты, которые могут сделать это вручную (и даже есть компании, которые формируют такие группы быстрого реагирования).

Но есть три но:

• большинство пользователей на это не способны;
• Современные вредоносные программы часто созданы для того, чтобы оставаться незамеченными в системе в течение длительного времени (более того, они могут закрывать уязвимости, удалять другие вирусы и даже устанавливать антивирус).

  Протестированные на системах безопасности, они могут оставаться незамеченными в течение многих лет;

• Если антивирус знает о вредоносном ПО, он удалит его быстрее.

Соответственно, никто вам не мешает (кроме регуляторов, но и там все не так очевидно) не использовать антивирус для предотвращения заражения, но для лечения без антивируса не обойтись.

Но есть один момент( www.infosec.ru/news/8119 ):

Наиболее распространенные уязвимости и недостатки:

1. Политики паролей не настроены или настроены неправильно.

2. Администрирование сетевого оборудования по незащищенному протоколу TELNET.
3. Аудит событий не настроен или настроен неправильно.

4. Брандмауэры содержат избыточные правила.

5. Сегментация сети была проведена неправильно; в частности, серверные сегменты не были отделены от пользовательских сегментов.

6. Процесс управления обновлениями не реализован или реализован неправильно, что приводит, например, к использованию устаревшего программного обеспечения, содержащего известные уязвимости.

7. Отсутствие настроек безопасности коммутаторов доступа, в частности защиты от уязвимости к атакам ARP Cache Poisoning.
8. Невозможно обновить сигнатуры и настройки оповещений для средства обнаружения вторжений.

9. Использование небезопасных протоколов для удаленного доступа с использованием технологии VPN.
10. Неправильно настроены ограничения прав доступа к системным файлам.

Если вы готовы не просто настроить систему, а анализировать новости ИБ в режиме реального времени и, соответственно, еще и улучшать защиту в режиме реального времени, то ни я, ни регуляторы (особенно в контексте 31-го приказа ФСТ? К) категорически против.

Ну а в следующей статье мы поговорим о том, требуют ли регуляторы и создатели стандартов использования антивируса, а также какую пользу можно получить от чтения документов по информационной безопасности в ночное время.

Теги: #информационная безопасность #антивирусы #информационная безопасность

• Североамериканское Соглашение О Свободной Торговле (Нафта)

  19 Oct, 24

• Uber Запустился В Санкт-Петербурге

  19 Oct, 24

• Плакат «7 Способов Избежать Жуткого Веб-Дизайна»

  19 Oct, 24

• Введение В Архитектуру Безопасности 5G: Nfv, Ключи И Аутентификация 2

  19 Oct, 24

• Цветной И Гибкий Дисплей: Ждем В Рулонах - Наклеим Стенки (Апд - Дисплей Прорезали И Прострелили)

  19 Oct, 24

• Алиса, Google Ассистент, Сири, Алекса. Как Писать Приложения Для Голосовых Помощников

  19 Oct, 24

• В России Также Можно Оплатить Мобильный Телефон И Интернет Биткойнами.

  19 Oct, 24

• Научное Программирование: Часть 1

  19 Oct, 24

• Что Будет, Если Прилетит Нло И Обратит Всех Сотрудников Mail.ru В Ислам?

  19 Oct, 24

• Доступ К Passwordbox В Условиях Mvvm

  19 Oct, 24