Принципы антивирусной защиты персонального компьютера

Обновлено: 04.07.2024

Даже начинающий пользователь очень быстро сталкивается с опасностями, которые угрожают его компьютеру из различных источников. Поэтому компьютерные курсы всегда включают в себя не только обучение работе с различными программами, но также и пользованию средствами, которые позволяют защитить результаты труда. Чтобы правильно выбрать антивирусную программу, нужно знать, каковы механизмы их работы и от чего именно они защищают.

Главных принципов работы антивирусных программ два. Во-первых, это использование антивирусной базы данных, которая содержит информацию о существующих вирусах и при проверке сравнивает с ней каждый существующий файл. Соответственно, для эффективного пользования такими средствами обнаружения необходимо регулярное и частое обновления. В большинстве случаев для домашнего компьютера достаточно обновлять вирусную базу раз в неделю, но если позволяют условия соединения с интернетом, лучше делать это ежедневно.

Другой метод, с помощью которого программы обнаруживают вирусы, основан на поиске действий, характерных для вирусов. Обнаружив их, антивирус блокирует программу, которая их осуществляет. Таким образом, в большинстве случаев может быть выявлен и вирус, которого нет в базе. Поэтому современные антивирусные программы, обучение использованию которых входит в компьютерные курсы, как правило, используют сочетание обоих подходов.

Также антивирусные программы подразделяются и по режиму работы. Программы-мониторы ведут постоянный контроль над работой компьютера. Они отслеживают те файлы, которые вновь создаются или переносятся на компьютер, и сигнализируют об обнаружении вируса в них. Как правило, программа-монитор запускается автоматически при включении компьютера. Программа-сканер требует отдельного запуска или запускается по определённому расписанию. При её работе проверяются все файлы, которые соответствуют критериям, установленным в настройках программы. Поэтому такая проверка может иметь различную глубину и охватывать один или несколько дисков. Компьютерные курсы рекомендуют использовать оба типа антивирусных средств. Нередко бывает полезным использовать программу-сканер от другого производителя, чтобы оценить качество работы монитора.

При обнаружении вируса программа может предложить совершить различные действия, которые отчасти зависит от того, какой именно объект пострадал. (Вирусы могут поражать не только файлы, но и носители целиком, а также записи баз данных). Если вирус был обнаружен, когда файл копировали на компьютер, и этим файлом всё же нужно воспользоваться, часто оказывается возможным его лечение, то есть уничтожение вируса. Однако иногда, особенно если вирус поражает исполняемые файлы, может не хватить информации для восстановления. Тогда приходится всё же удалять заражённый файл. Ещё один метод, который предлагают антивирусные программы - помещение файла в карантин. Файл остаётся заражённым, но при этом не может быть запущен без контроля пользователя. Поэтому остаётся возможность поиска каких-либо средств для лечения файла.

При современных темпах технологического развития у руководства компаний, да и у простых пользователей компьютеров не вызывает сомнений необходимость установки антивирусного ПО. Все более стремительное расширение информационного взаимодействия — как между информационными системами различных организаций, так и между отдельными пользователями — создает благодатную почву для распространения вредоносных программ. В крупных организациях широко применяются системы эшелонированной защиты от вирусов, небольшие компании ограничиваются более простыми решениями.

Производители антивирусного ПО регулярно сообщают о появлении новых продуктов, новых способов защиты и подходов к обеспечению безопасности. Как следствие, перед организациями и пользователями встает вопрос выбора не просто антивирусного ПО, но и технологий защиты. Если 10 лет назад антивирусы обнаруживали не более 80% вирусов и совсем не защищали от новых вирусов, то сегодняшняя реальность порождает эффективные и разнообразные технологии противодействия угрозам, и все эти технологии с разным успехом присутствуют на рынке, как на международном, так и на российском.

Основным до недавнего времени считался сигнатурный метод (или принцип реактивной защиты), выработанный в самом начале «истории вирусов»: для выявления и обезвреживания конкретного вируса антивирусная программа использует так называемую сигнатуру, своего рода отпечаток его особенностей. Для разработчиков обновление сигнатурных баз стало основным механизмом внесения дополнений, связанных с выявлением новых угроз. Естественно, антивирусные компании стремились предельно сократить сроки выявления новых вирусов и формирования таких обновлений. Сегодня этот процесс хорошо отлажен, в значительной степени автоматизирован, и период выхода обновлений сократился до нескольких часов.

Но сигнатурный метод в принципе бессилен против новых вирусов — всегда остается временное окно, достаточное для нанесения серьезного ущерба. Помимо этого у сигнатурного метода есть еще один недостаток: наряду с универсальными вирусами, поражающими все машины без разбора, существуют замаскированные под вирусы вредоносные программы, написанные «под конкретную организацию». Они способны нанести предприятию очень серьезный ущерб и при этом наверняка не попадут в сигнатурные базы. Именно поэтому любая крупная антивирусная компания обязательно предлагает те или иные технологии, связанные с противодействием вредоносному ПО еще до его внесения в сигнатурные базы.

К основным способам обеспечения безопасности ПК относятся также подходы, основанные на политиках безопасности и на проактивных (эвристических) методах. Цель первого подхода — как можно быстрее, еще до того, как для нового вируса выработана сигнатура, помешать ему проникнуть ему в компьютер и распространиться, используя технологии информационной безопасности. К сожалению, такой подход даже не ставит целью выявление и обезвреживание неизвестных вирусов. По-настоящему способны защитить от неизвестных угроз только технологии проактивной защиты.

Эвристический метод анализирует код и решает, несет ли вред данное ПО. Это позволяет обнаружить новую угрозу, еще не отраженную в сигнатурной базе. Очевидно, что если угроза детектируется эвристическим методом, ее не нужно включать в сигнатурную базу. Соответственно ускоряется работа антивируса, снижаются его требования к ресурсам.

Еще один проактивный метод — поведенческий блокиратор. Суть этой технологии в том, чтобы анализировать поведение программ во время исполнения и блокировать опасные действия. Но сразу возникает вопрос: «Какие действия следует считать вредоносными?» Разработчики первых блокираторов поступили очень просто: если программа пытается сделать что-то подозрительное, следует запросить совета у пользователя; таким образом, ответственность за принимаемые решения несет уже не программа-блокиратор. В результате, если в системе поведенческих блокираторов нет интеллектуальных подходов, пользователю иной раз приходится постоянно выбирать, разрешать ли какие-то действия программ на своем ПК или нет. Со времени появления первых поведенческих анализаторов ситуация не сильно изменилась, и метод так и остался весьма ограниченно применимым на практике, так как большинство действий, характерных для вирусов, могут выполнять и обычные приложения. По большому счету поведенческий блокиратор также можно отнести к методам, основанным на политиках безопасности.

Объективно и количественно оценить эффективность проактивной защиты до некоторой степени позволяет ретроспективное тестирование. При этом тестировании оценивается доля текущей коллекции вирусов, которую обнаруживает версия антивирусного ПО и сигнатурных баз, взятая на момент, когда включенные в коллекцию вирусы заведомо не были известны. Такая методика ставит в относительно невыгодное положение именно антивирусную программу, устаревшим версиям которой противостоят новые (хотя и не последние) достижения «вирусостроения». Проведенные тесты показывают, что сегодня различные продукты способны проактивно выявить от 15 до 90% неизвестных вирусов, причем для антивируса NOD32 этот показатель доходит до 90%.

Отметим, что такими результатами продукт NOD32 во многом обязан специальной технологии ThreatSense. Она представляет собой эвристический механизм, который расшифровывает и анализирует выполняемый код. ThreatSense идентифицирует все более усложняющееся и эволюционирующее поведение вредоносных программ и таким образом позволяет проактивно бороться с возникающими угрозами еще до появления вирусных сигнатур.

Другие статьи из раздела

  • Ноутбук Digma EVE 15 C413: оптимальная производительность за минимальную цену
  • Новые профессиональные панели LG
  • Современные офисные пакеты: сходства и различия
  • Система сетевой безопасности Fortinet
  • VSP G1000 – основа программно-определяемых ЦОД от Hitachi

Другие статьи по схожей теме

С 26 по 29 октября 2010 года состоялась 21-ая ежегодная выставка информационных и коммуникационных технологий Softool

ООО «ИТ-экспо»
С 26 по 29 октября 2010 года состоялась 21-ая ежегодная выставка информационных и коммуникационных технологий Softool
Выставка прошла при поддержке Российской академии наук, Министерство связи и массовых коммуникаций Российской Федерации, Правительства Москвы …

День открытых дверей в дата-центре DataLine

DataLine
День открытых дверей в дата-центре DataLine
27 октября 2010 г. компания DataLine совместно с агентством Cnews провели День Открытых дверей в центре обработки данных на улице Боровой дом 7 …

OKI Data Corporation объявляет о начале работы ООО «ОКИ Системс Рус»

OKI Data Corporation
OKI Data Corporation объявляет о начале работы ООО «ОКИ Системс Рус»
Компания OKI Data Corporation, один из лидеров в разработке технологических решений для печати, объявила об официальном начале работы российской …

RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша

Adaptec by PMC
RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша
Опытные сетевые администраторы знают, что задействование в работе кэш-памяти RAID-контроллера дает серьезные преимущества в производительности …

Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy

Chloride
Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy
Trinergy — новое решение на рынке ИБП, впервые с динамическим режимом работы, масштабируемостью до 9.6 МВт и КПД до 99%. Уникальное сочетание …

30 ноября 2021 г. | Он-лайн формат
Dell Technologies Forum 2021

Главное отличие домашнего компьютера от обычной производственной рабочей станции - это его многофункциональность. Если в организациях вычислительная техника приобретается обычно с какой-то конкретной целью: для набора текста, рисования в профессиональных графических пакетах или для программирования, то домашний компьютер часто используется не только для работы во внерабочее время, но и для компьютерных игр, личной переписки, поиска и просмотра информации в Интернет , для воспроизведения фильмов и музыки. При этом администрирование домашнего компьютера в подавляющем большинстве случаев производится исключительно собственными силами хозяина.

Поэтому все программы, предназначенные для домашнего использования, имеют прозрачный интерфейс , несложны в установке и управлении, обязательно сопровождаются понятной даже для неспециалиста документацией. Программы для обеспечения антивирусной безопасности также должны отвечать всем перечисленным требованиям.

Среди необходимых для полноценной и эффективной защиты домашних компьютеров от вредоносного воздействия программ можно выделить:

  • Антивирусное программное обеспечение, которое отвечает за проверку файлов и других объектов файловой системы на наличие вирусов и в случае их обнаружения предпринимает по отношению к ним определенные пользователем действия
  • Программы для защиты от несанкционированного доступа и сетевых хакерских атак нередко входят в состав антивирусного комплекса или встроены в операционную систему
  • Фильтры нежелательной корреспонденции - это дополнительная мера, позволяющая в некоторых случаях существенно уменьшить нагрузку на антивирусное программное обеспечение, тем самым повысив надежность защиты

Перечисленные программы могут как входить в один комплекс по защите домашнего компьютера, так и быть установлены отдельно. Главное преимущество первого способа - это наличие единого интерфейса управления и продуманное создателями программ взаимодополнение каждого из модулей. Установка отдельных программ, особенно разных производителей, только в некоторых случаях может оказаться полезной, например, когда по тем или иным причинам необходимы специфические функции, но ни один комплексный продукт не может их обеспечить. В случае домашнего пользователя это встречается крайне редко и если требуется установить все три модуля, то желательно это сделать с помощью комплексного решения.

Антивирусное программное обеспечение

Основной и по совместительству обязательный элемент в антивирусной защите - это, безусловно, антивирусная программа . Без нее нельзя говорить об эффективной антивирусной безопасности, если речь идет о компьютере, способном обмениваться информацией c другими внешними источниками. Даже соблюдение пользователем всех правил компьютерной гигиены не гарантирует отсутствие вредоносных программ, если при этом не используется антивирус .

Антивирусное программное обеспечение - это достаточно сложный программный комплекс, для его создания требуются усилия команды высококвалифицированных вирусных аналитиков, экспертов и программистов с многолетним опытом и весьма специфическими знаниями и умениями. Основная технология антивирусной проверки - сигнатурный анализ подразумевает непрерывную работу по мониторингу вирусных инцидентов и регулярный выпуск обновлений антивирусных баз. Ввиду этих и других причин, антивирусные программы не встраиваются в операционные системы. Встроенным может быть только простейший фильтр, не обеспечивающий полноценной антивирусной проверки.

Основные элементы любой антивирусной защиты рабочей станции или сетевого сервера - это постоянная проверка в режиме реального времени, проверка по требованию и механизм обновления антивирусных баз. Они также обязательны и для защиты домашнего компьютера.

Проверка в режиме реального времени

Как правило, на домашнем компьютере происходит постоянный обмен информацией с внешними источниками: файлы загружаются из Интернет, копируются с компакт дисков или по домашней локальной сети и впоследствии открываются и запускаются. Следовательно, главное средство в арсенале антивирусной защиты домашнего компьютера - проверка в режиме реального времени. Ее задача - не допустить заражения системы.

На домашнем компьютере настоятельно рекомендуется использовать постоянную проверку всегда, когда он включен - вне зависимости от того, подключен ли он в данный момент к сети, используются ли чужие мобильные носители информации или выполняются только какие-либо внутренние задачи. Постоянная проверка характеризуется минимальными системными требованиями, необходимыми ей в работе, и поэтому запущенный в этом режиме антивирус в подавляющем большинстве случаев остается пользователем незамеченным и проявляется только при обнаружении вирусов или других подозрительных программ.

Проверка по требованию

Как упоминалось выше, на домашнем компьютере часто происходит обмен информацией с помощью компакт дисков, дискет и других мобильных носителей информации: устанавливаются новые игры, копируются электронные книги и учебники, переписываются фильмы и музыка. Для того чтобы обнаружить проникший в систему вредоносный код, используется проверка по требованию. Всем домашним пользователям настоятельно рекомендуется проверять на наличие вирусов все подозрительные носители информации, причем каждый раз перед тем как начать чтение или копирование с них файлов. Это простое действие занимает немного времени, но позволяет существенно сократить вероятность проникновения вредоносной программы на компьютер. Дополнительно рекомендуется не реже одного раза в неделю проверять на наличие вирусов весь жесткий диск.

По настройкам проверок этот режим отличается особой тщательностью - в проверке по требованию обычно проверяются все объекты файловой системы.

Обновление антивирусных баз

Антивирусные базы

Только своевременное обновление антивирусных баз может гарантировать правильную и эффективную работу наиболее надежной части антивирусной защиты - сигнатурного анализа.

Антивирусные базы - это файлы, содержащие сигнатуры вирусов . Они выпускаются компаниями-производителями антивирусов и соответственно для разных программ они различны - например, Антивирус Касперского не сможет работать с базами антивируса Dr. Web и наоборот.

Получить самые последние версии нужных баз можно с веб-сайта компании-производителя с помощью встроенных в антивирусную программу средств, либо самостоятельно скопировав файлы с веб-сайта. В штатных ситуациях обновляться рекомендуется первым способом, второй - более сложный и предназначен для неординарных ситуаций, например при подозрении на неправильную работу встроенных модулей обновления или невозможности прямого выхода в Интернет.

Это означает, что для обновления антивирусных баз домашнему пользователю обычно достаточно соединиться с сетью Интернет и нажать в интерфейсе антивирусной программы кнопку, запускающую процесс обновления. Если же подключение к Интернет не предусмотрено, единственный выход - это зайти на сайт производителя антивируса с помощью другого компьютера, загрузить и скопировать базы на свой компьютер с помощью мобильного носителя. Подробное описание этой процедуры можно найти в руководстве пользователя или документации к программе.

Поддержание актуальности антивирусных баз

Расширение границ Интернет в совокупности с совершенствованием каналов связи между различными компьютерными сетями делают обмен данными существенно более быстрым. Пропорционально росту мощности информационных потоков возрастает и скорость распространения вирусов. Сегодня от выпуска вируса в мир до начала массовых поражений проходят считанные часы, а иногда и минуты. В такой ситуации, доминирующим критерием выбора средств антивирусной защиты является периодичность выпуска компанией-производителем антивирусных программ обновлений антивирусных баз, а также время реакции на возникновение эпидемии. Сегодня в этой области лидером является Лаборатория Касперского, которая имеет наилучший показатель выпуска антивирусных баз, выпуская обновления ежечасно, в то время как большинство других компаний остановились на ежедневном обновлении.

Однако домашние компьютеры часто имеют очень ограниченный канал, особенно в случае подключения по обычной телефонной линии. Следовательно, проверять наличие новых антивирусных баз таким пользователям каждый час может быть затруднительно. Поэтому оптимальный график обновления сильно зависит от способа подключения к сети. По этому параметру можно выделить такие категории домашних пользователей:

Достаточно часто, приходя к заказчикам, мне в той или иной форме приходится задавать вопрос: а зачем вам нужен антивирус? Как правило, на меня смотрят, как на идиота — это же всем известно! Но в большинстве случаев дальнейшая дискуссия показывает, что подавляющая часть заказчиков не знает ответа на детский вопрос. Если быть точным, за прошедший год правильно ответили всего в двух (двух!) компаниях. И кстати, по статистике, это беда не только России — ситуация за рубежом аналогична.

Данная часть не была изначально запланирована, но, видимо, насущно необходима. Ряд комментариев к предыдущим статьям показывают, что даже ИТ-специалисты не понимают разницы между понятиями «антивирус» и «антивирусная система защиты». Достаточно четко это проявляется в комментариях, когда вместо антивируса в форме вызова предлагают использовать иное ПО — как правило, системы ограничения прав, доступа и т. д.

Поэтому предлагаю вернуться к сказанному ранее. Давайте определим, есть ли у кого возражения против замены антивируса на альтернативные решения и отличается ли антивирус от антивирусной системы безопасности.

Антивирус, данный нам в определениях

В первой части нашего цикла мы осознали, что на данный момент в мире отсутствует определение вредоносной программы — регуляторы в общем-то не знают, от чего нужно защищаться. Перейдем на противоположную сторону и посмотрим, что есть антивирус с точки зрения регуляторов нашей страны и мира:

Занимаемся ловлей блох? Отнюдь. Несмотря на то, что в предыдущих статьях достаточно четко было указано, что главная задача антивируса — обнаружение и удаление ранее неизвестных вредоносных программ — комментарии к двум статьям рекомендовали заменить антивирус на системы, предотвращающие заражения. То есть миф укоренился, и если мы не пропишем правильное определение — система защиты автоматически не получит нужных функций.

Ситуацию иллюстрирует замечательная байка. Говорят, что когда Кеннеди сказал «мы будем первыми на Луне!», специальная комиссия внесла лишь мелкую правку в цель миссии — «Система должна доставить астронавтов на Луну и вернуть их обратно». А ведь можно было и сэкономить.

Также распространенной ошибкой является включение в определение системы защиты перечисления типов вредоносных программ или их действий. В связи с этим появление новых типов вредоносных программ или их действий автоматически выводит их из-под действия нормативных документов.

Почему антивирус пропускает вирусы?

Прежде чем ввести определение системы антивирусной защиты, еще раз определим возможности вредоносных программ по обходу систем антивирусной защиты (уровень риска).

На данный момент наиболее опасные вредоносные программы разрабатываются не хакерами-одиночками — это хорошо организованный криминальный бизнес, вовлекающий в свою преступную деятельность высококвалифицированных системных и прикладных разработчиков ПО.

Внимание! Неважно, кто и какую роль играл в данной «фирме». Возможно, роль простого системного администратора. Незнание не освобождает от ответственности.

Тестирование на необнаружение разрабатываемых вредоносных программ актуальными антивирусными решениями обеспечило возможность выпуска только вредоносных программ, не обнаруживаемых (до получения обновлений) системами защит, предположительно используемых группами пользователей, на которых планируется атака — в том числе с помощью эвристических механизмов. Число таких программ, выпускаемых одной группировкой, может достигать сотен образцов — и ни один из них не будет обнаруживаться антивирусным ПО, используемым целевой группой жертв.

Какие проблемы имеются с обеспечением антивирусной безопасности?

Повторим сказанное в предыдущих статьях:

  • На данный момент основную проблему для систем антивирусной безопасности составляют вредоносные программы, не обнаруживаемые системами защиты (проблему безграмотности и наивности пользователей оставим за кадром, ибо без гипноизлучателей на орбите ее вряд ли можно решить). Данная угроза существовала и ранее, но ранее она была связана лишь с задержкой обнаружения образцов новых вредоносных программ в «дикой природе».
  • Число необнаруживаемых программ составляет не менее 25 процентов от общего их количества.
  • Традиционные эвристические механизмы обнаружения в связи с современной системой разработки вредоносных программ существенно потеряли значимость, что привело к необходимости разработки новых технологий обнаружения вредоносных программ.
  • Обеспечить антивирусную защиту от проникновения силами антивируса невозможно. Но использование иных методов также не дает 100% гарантии, с одной стороны, и требует высокой квалификации специалистов — с другой.

Зачем нужен антивирус?

Соответственно, система антивирусной защиты должна обеспечивать:

  1. защиту от проникновения всех уже известных типов вредоносных программ (в том числе с помощью технологий, позволяющих обнаруживать модификации ранее найденного). Слово «всех» выделено не просто так — типичной является просьба удалить из баз старые вирусы. Не поверите — OneHalf еще жив!
  2. после получения обновлений — обнаружение и уничтожение (но не откат действий!) уже запущенных и активно противодействующих обнаружению вредоносных программ.

Комментарии к предыдущим статьям показывают, что многие, определяя задачу антивирусной защиты, забывают про вторую часть.

Выполнить задачу по предотвращению внедрения вредоносных программ можно и без антивируса — никто вам не мешает, и, более того, иногда наличие антивируса противопоказано. Но вот удаление уже активной заразы без антивируса невозможно. Да, я знаю о наличии специалистов, которые могут сделать это вручную (и даже есть компании, которые формируют такие группы быстрого реагирования). Но есть три но:

  • большинство пользователей на такое не способны;
  • современные вредоносные программы зачастую рассчитаны на длительное незаметное присутствие в системе (и более того, могут закрывать уязвимости, удалять иные вирусы и даже устанавливать антивирус). Протестированные на системах защиты, они могут оставаться незамеченными годы;
  • антивирус при наличии знаний о вредоносной программе удалит ее быстрее.

Система антивирусной защиты — это не всегда антивирус. Это любая программа / настройка ОС / процедура, с помощью которой вы снижаете риск заражения.

  1. Не настроены или некорректно настроены парольные политики.
  2. Администрирование сетевого оборудования с помощью небезопасного протокола TELNET.
  3. Аудит событий не настроен или настроен некорректно.
  4. Межсетевые экраны содержат избыточные правила.
  5. Некорректно проведена сегментация сети, в частности серверные сегменты не отделены от пользовательских сегментов.
  6. Не реализован или некорректно реализован процесс управления обновлениями, в результате чего, например, используется устаревшее ПО, содержащее известные уязвимости
  7. Отсутствие настроек безопасности коммутаторов доступа, в частности, защиты от уязвимости к атакам класса «ARP Cache Poisoning».
  8. Отсутствие обновления сигнатур и настроек оповещения для средства обнаружения вторжений.
  9. Использование небезопасных протоколов для удаленного доступа с помощью технологии VPN.
  10. Некорректно настроены ограничения прав доступа к системным файлам.

Ну а в следующей статье мы поговорим о том, требуют ли регуляторы и создатели стандартов использования именно антивируса, а также какую пользу можно извлечь, если читать на ночь документы по ИБ

Читайте также: