Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1539 / 239 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 15:

Защита от вирусных угроз

Типы вирусных угроз безопасности

Основными видами угроз антивирусной безопасности являются различные типы вредоносного кода, способного нанести ущерб для компании. Вредоносный код может быть представлен в виде компьютерных вирусов, программы типа " Троянский конь ", а также программ типа " adware ", " spyware " и др.

В соответствии с определением, которое приведено в ГОСТ Р 51188-98 компьютерные вирусы представляют собой специально созданный программный код, способный самостоятельно распространяться в компьютерной среде. В настоящее время можно выделить следующие типы вирусов: файловые и загрузочные вирусы, "сетевые черви ", бестелесные вирусы, а также комбинированный тип вирусов. Каждый из этих типов вируса отличается типом носителя, а также методом распространения в АС. В большинстве случаев компьютерные вирусы направлены на нарушение работоспособности автоматизированной системы компании.

Программы типа " Троянский конь " ( Trojan Horses ) также относятся к вредоносному программному коду, однако, в отличие от вирусов, не имеют возможности самостоятельного распространения в АС. Программы данного типа маскируются под штатное ПО системы и позволяют нарушителю получить удалённый несанкционированный доступ к тем узлам, на которых они установлены.

Вредоносное ПО типа " spyware " предназначено для сбора определённой информации о работе пользователя. Примером таких данных может служить список Web -сайтов, посещаемых пользователем, перечень программ, установленных на рабочей станции пользователя, содержимое сообщений электронной почты и др. Собранная информация перенаправляется программами " spyware " на заранее определённые адреса в сети Интернет. Вредоносное ПО данного типа может являться потенциальным каналом утечки конфиденциальной информации из АС.

Основная функциональная задача вредоносных программ класса " adware " заключается в отображении рекламной информации на рабочих станциях пользователей. Для реализации этого они, как правило, выводят на экран пользователя рекламные баннеры, содержащие информацию о тех или иных товарах и услугах. В большинстве случаев эти программы распространяются вместе с другим ПО, которое устанавливается на узлы АС. Несмотря на то, что программы типа " adware " не представляют непосредственную угрозу для конфиденциальности или целостности информационных ресурсов АС их работа может приводить к нарушению доступности вследствие несанкционированного использования вычислительных ресурсов рабочих станций.

Вирусы могут проникать в АС посредством локального или сетевого взаимодействия. Первый вариант предполагает использование съёмных носителей, таких как диски CD-ROM или DVD-ROM, floppy - и zip -диски, USB -диски, а также карты дополнительной памяти, которые применяются в мобильных устройствах, таких как PDA, смартфоны, фотоаппараты и т.д. Инфицирование АС в этом случае может осуществляться посредством загрузки хоста с заражённого носителя или запуска заражённого файла. При этом съёмные носители могут подключаться к хостам АС при помощи внешних портов типа USB, FireWire, COM, LPT и др.

Для инфицирования АС через сетевое взаимодействие может быть использован один из следующих каналов: электронная почта, пиринговые сети P2P ( Peer-To-Peer ), сетевые каталоги и файлы, система обмена мгновенными сообщениями ( instant messaging ), протоколы доступа к Интернет-ресурсам и др.

Последствия вирусных угроз могут воздействовать на аппаратное, общесистемное или прикладное программное обеспечение, а также на информацию, которая хранится в АС. Воздействие вирусов на аппаратное обеспечение, как правило, направлено на несанкционированное изменение памяти микросхемы BIOS, расположенной на материнской плате инфицированного компьютера. В результате такой вирусной атаки может быть изменён пароль доступа к настройкам BIOS или полностью искажено содержимое памяти BIOS, что приведёт к блокированию возможности загрузки компьютера. Восстановление работоспособности хоста в этом случае может потребовать перепрограммирования памяти BIOS.

В процессе воздействия на общесистемное и прикладное программное обеспечение вирусы модифицируют компоненты операционных систем, а также тех программ, которые установлены. Для ликвидации последствий этого типа необходимо провести восстановление отдельных файлов или переустановку инфицированных программ.

Вирусное воздействие на информационном уровне направлено на объекты данных, которые обрабатываются общесистемным и прикладным ПО АС. Примерами таких объектов могут являться файлы, таблицы баз данных, хранилища электронной почты, адресные книги пользователей и др.

Необходимо отметить, что вместе с развитием информационных технологий появляются новые виды вредоносного кода.

Модель нарушителя антивирусной безопасности

Практика показывает, что стратегия антивирусной безопасности предприятия должна определяться моделью нарушителя, от которого должна быть защищена компания.

В модели нарушителя (табл. 21.2) определены четыре класса потенциальных нарушителей, каждый из которых характеризуется определённым уровнем квалификации и степенью преднамеренности выполняемых действий.

Нарушители, относящиеся к классу "Н-1", представляют собой рядовых сотрудников, в результате непреднамеренных действий которых может произойти инфицирование автоматизированной системы компании. Примерами таких действий являются скачивание из сети Интернет непроверенных файлов и запуск их на локальном компьютере.

Нарушители класса "Н-2" выполняют преднамеренные действия, однако для проведения вирусной атаки используются известные экземпляры вредоносного кода, а также опубликованные уязвимости программного обеспечения.

Класс нарушителей "Н-3" предполагает наличие у злоумышленника более высокого уровня квалификации, что даёт ему возможность использовать вредоносный код, который может детектироваться не всеми антивирусными продуктами.

Нарушители класса "Н-4" являются наиболее опасными и обладают достаточной квалификацией для разработки вредоносного кода, который не обнаруживается антивирусными программными продуктами.

Необходимо отметить, что в рамках описанной модели предполагается, что нарушители "Н-2", "Н-3" и "Н-4" являются внешними по отношению к атакуемой компании и обладают минимум информации об автоматизированной системе предприятия.

Общая характеристика описанной модели нарушителя приведена в таблице ниже.

Таблица 21.2. Модель потенциального нарушителя антивирусной безопасности
Класс нарушителя Степень преднамеренности действий нарушителя Уровень квалификации нарушителя
1 Класс "Н-1" Непреднамеренные действия -
2 Класс "Н-2" Преднамеренные действия Низкий
3 Класс "Н-3" Преднамеренные действия Средний
4 Класс "Н-4" Преднамеренные действия Высокий

Представленная модель является лишь одним из возможных примеров классификации нарушителя. Данная модель может быть значительно расширена за счет добавления в неё следующих параметров:

  • вид нарушителя: внешний или внутренний;
  • уровень знаний об автоматизированной системе компании и применяемых средствах защиты информации;
  • возможность использования потенциальным нарушителем специализированных программных средств в автоматизированной системе компании;
  • и др.
Мария Архипова
Мария Архипова
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Сергей Мясников
Сергей Мясников
Россия
Владимир Гнинюк
Владимир Гнинюк
Украина, Киев