Антивирусные программы: предотвратить «болезнь» или «лечить» последствия?

Проблема вирусной атаки или заражения компьютера знакома сегодня почти каждому пользователю. Получая данные из «внешнего мира»: из Интернета, по электронной почте, локальной сети, с компакт-диска, с «побывавших» в другом компьютере дискет и т. п. — вы рискуете заразить свой компьютер вирусом. При этом совсем не обязателен запуск каких-либо программ пользователем. Иногда достаточно просто зайти на определенный сайт в Интернете (реверсивное заражение). А некоторое вредоносное программное обеспечение («черви») вообще распространяется без участия пользователя, в том числе в сообщениях, передающихся через интернет-пейджеры. Каковы основные «современные тенденции» в области эволюции вредоносного ПО? Как реагируют на них производители антивирусных систем и что нужно делать, чтобы обезопасить корпоративную вычислительную сеть от заражения?«Криминализация» вирусных атакСтатистика инцидентов информационной безопасности за последний год свидетельствует, что объем распространяемого зловредного ПО, вирусов, спама значительно вырос. Более того, отмечается, что в прошедшем году вирусы, черви и другое вредоносное ПО нанесли наибольший ущерб компаниям, а их действие было более длительным. При этом сменился акцент в «назначении» вирусных программ и вредоносного ПО: в последнее время они используются злоумышленниками в качестве инструмента для совершения других преступлений, например мошенничества, когда червь или «троянский конь» собирает определенную информацию пользователя (реквизиты кредитных карт, управляемых через Интернет банковских счетов и т. д.). Хотя количество вирусных эпидемий за последний год упало в 3 раза, значительно возрос объем другого зловредного ПО, имеющего иную природу, распространение которого преследует сугубо «практический» интерес. Так, по оценкам IDC, 67% компьютеров «инфицированы» шпионским ПО, а на каждые 2–3 письма приходится 7–8 рекламных. К вредоносному ПО относятся и сайты-ловушки, связанные с «фишингом».Ярким примером может служить недавняя вирусная атака на фондовую биржу Российской торговой системы, в результате которой на час была приостановлена работа биржи. Или обещанная на 3-е февраля небывалая всемирная вирусная эпидемия, вызванная почтовым червем Nyxem.e, которая, к счастью, Россию задела не сильно. Иногда создателями вредоносного ПО движет чувство мести, как это произошло в Испании, когда несколько сотен тысяч компьютеров были заражены с помощью компьютерного червя, организовавшего распределенную атаку «отказ в обслуживании». Хотя за рубежом правосудие реагирует на такие случаи очень жестко (к сожалению, Россия в этом пока уступает).Как защищаться?Интересные результаты показывает статистический опрос, проведенный «Лабораторией Касперского»: 13% респондентов не используют антивирусное ПО на своих компьютерах. При этом среди тех, кто не установил антивирус (13,6% опрошенных), 19% считают, что они на 100% защищены от действия вредоносных программ, а 23% — чувствуют себя абсолютно незащищенными от этой угрозы.С момента появления первого вируса в начале 80-х годов антивирусные программы эволюционировали до программно-аппаратных комплексов с защитой не только от вирусов и компьютерных червей, но и от спама, «фишинга», шпионского ПО. Предоставляются специальные сервисы сетевой репутации и т. д. Сегодня антивирусное программное обеспечение и программно-аппаратные комплексы выпускают многие компании. Наибольшую известность получили изделия фирм spanend Micro, «Лаборатории Касперского», Symantec, ESET, Dr. Web, Panda, CA. Существуют рейтинги по оценке антивирусного ПО, например, широко известный за рубежом Virus Bulletin (результаты печатаются в одноименном английском ежемесячном журнале и на www.virusbtn.com). Вместе с тем, дать абсолютно объективную оценку такому ПО достаточно тяжело, каждый из продуктов обладает своими сильными и слабыми сторонами. Одни лучше защищают от спама, у других — выше производительность при одновременно невысоких требованиях к вычислительной мощности, какие-то продукты не обеспечивают защиту на уровне шлюзов и т. д.Компании — производители антивирусного ПО, осознавая всю серьезность проблемы, решили объединить усилия. Компании McAfee, Symantec, spanend Micro, ICSA Labs и Thompson Cyber Security Labs объявили о заключении соглашения по созданию методологий идентификации и тестирования для технологий, обеспечивающих противодействие шпионским программам. Тестирование будет независимым, для чего будет проводиться третьей стороной (по стандартным критериям оценки).Кроме того, в настоящее время наблюдается тенденция встраивания антивирусной защиты в сетевое оборудование или межсетевые экраны. Примерами могут служить интегрированный шлюз Check Point Express CI или устройства почтовой безопасности IronPort.Основные рекомендации производителей антивирусных изделий сводятся к призыву: антивирусные базы должны обновляться, и вовремя.Вместе с тем, чтобы противостоять атакам, компании необходимо определить основные требования к системе антивирусной защиты, проанализировать риски, выделить наиболее опасные для себя виды атак и на этой основе выбирать антивирусное программно-аппаратное обеспечение. Ну и, естественно, важна стоимость защитных средств, их поддержки, подписки на обновления, скорость реагирования производителя на инциденты.В целом, требований к корпоративной антивирусной подсистеме очень много. Она должна быть «эшелонированной», то есть защищать каждый участок корпоративной информационной системы и все ее элементы (шлюзы, серверы, компьютеры пользователей) от всех важных типов угроз. Система должна иметь удобное управление, обладать превентивным характером защиты, что включает в себя наличие эвристических алгоритмов работы, и т. д.