Что такое превентивная защита
Технологии превентивной защиты Dr.Web
Антивирус обязан не допускать заражения. В этом на помощь традиционному антивирусу приходят несигнатурные технологии и технологии превентивной защиты.
Все троянцы делают это:
- Действуют по схожим алгоритмам, используют одни и те же критические места в операционных системах для проникновения, имеют одинаковые наборы вредоносных функций. Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).
Начала проявления активности троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.
Это возможно благодаря разнообразным технологиям Превентивной защиты Dr.Web, действующей на опережение. Они «на лету» анализируют поведение программ и немедленно пресекают вредоносные процессы. По схожести поведения подозрительной программы с известными моделями подобного поведения Dr.Web умеет распознавать и блокировать такие программы. Технологии Превентивной защиты Dr.Web не допускают проникновений новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, которые еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе Dr.Web на момент проникновения в систему.
Перечислим только некоторые из этих технологий.
Dr.Web Process Heuristic
В отличие от традиционных поведенческих анализаторов, полагающихся на жестко прописанные в базе знания, а значит, известные злоумышленникам правила поведения легитимных программ, интеллектуальная система Dr.Web Process Heuristic анализирует «на лету» поведение каждой запущенной программы, сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимаются необходимые меры по нейтрализации угрозы.
Эта технология защиты данных позволяет свести к минимуму потери от действий неизвестного вируса — при минимальном потреблении ресурсов защищаемой системы.
Dr.Web Process Heuristic контролирует любые попытки изменения системы:
- распознаёт процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы (например, действия троянцев-шифровальщиков); препятствует попыткам вредоносных программ внедриться в процессы других приложений; защищает от модификаций вредоносными программами критических участков системы; выявляет и прекращает вредоносные, подозрительные или ненадежные сценарии и процессы; блокирует возможность изменения вредоносными программами загрузочных областей диска с целью невозможности запуска (например, троянцев) на компьютере; предотвращает отключение безопасного режима Windows, блокируя изменения реестра; не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное отображение Рабочего стола или скрыть присутствие троянца в системе руткитом; не позволяет вредоносному ПО изменить правила запуска программ.
Dr.Web Process Heuristic обеспечивает безопасность практически с момента загрузки операционной системы — начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!
- Пресекает загрузки новых или неизвестных драйверов без ведома пользователя. Блокирует автозапуск вредоносных программ, а также определенных приложений, например анти-антивирусов, не давая им зарегистрироваться в реестре для последующего запуска. Блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможной установку нового виртуального устройства. Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером. Не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.
Dr.Web Process Heuristic работает сразу «из коробки», но пользователь всегда имеет возможность настроить правила контроля исходя из собственных потребностей!
Технология Dr.Web ShellGuard, входящая в состав Dr.Web Script Heuristic, закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (так называемые уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.
Dr.Web ShellGuard
Dr.Web ShellGuard защищает:
- все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser); приложения MS Office, включая новейший MS Office 2016; системные приложения; приложения, использующие java-, flash- и pdf-технологии; медиапроигрыватели.
- При обнаружении попытки использования уязвимости Dr.Web принудительно завершает процесс атакуемой программы. Никакие действия антивируса над файлами приложения, включая перемещение в карантин, не производятся. В качестве информации к сведению пользователь видит уведомление о пресечении попытки вредоносного действия, реагировать на которое не требуется. В журнале событий Dr.Web создается запись о пресечении атаки. Облачная база знаний системы получает немедленное уведомление об инциденте. Если необходимо, специалисты «Доктор Веб» мгновенно отреагируют на него — например, улучшением алгоритма контроля.
Технологии системы Превентивной защиты Dr.Web опираются не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, в котором собираются:
- данные об алгоритмах программ с вредоносными намерениями; информация о заведомо «чистых» файлах; информация о скомпрометированных цифровых подписях известных разработчиков ПО; информация о цифровых подписях рекламного / потенциально опасного ПО; алгоритмы защиты тех или иных приложений.
Облако получает информацию о работе Dr.Web на защищаемом ПК, в том числе об обнаруженных новейших угрозах. Это позволяет оперативно реагировать на выявленные недочеты и обновлять правила, хранящиеся на компьютере локально.
Никакие файлы с компьютера пользователя не передаются на серверы «Доктор Веб»!
Что такое превентивная защита
В данном разделе вы можете настроить реакцию Dr.Web на действия сторонних приложений, которые могут привести к заражению вашего компьютера и выбрать уровень защиты от эксплойтов.
При этом вы можете задать отдельный режим защиты для конкретных приложений и общий режим, настройки которого будут применяться ко всем остальным процессам.
Создание нового профиля
2. В открывшемся окне укажите название для нового профиля.
3. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
2. В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.
3. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
Чтобы отредактировать уже созданное правило, выберите его из списка и нажмите на 
.
Подробнее с настройками каждого из режимов работы вы можете ознакомиться ниже в разделе Уровень превентивной защиты.
Уровень превентивной защиты
Средний уровень защиты можно установить при повышенной опасности заражения. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.
В данном режиме защиты возможны конфликты совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра.
Параноидальный уровень защиты необходим для полного контроля за доступом к критическим объектам Windows. В данном случае вам также будет доступен интерактивный контроль за загрузкой драйверов и автоматическим запуском программ.
В режиме работы Пользовательский вы можете выбрать уровни защиты для каждого объекта по своему усмотрению.
Целостность запущенных приложений
Целостность файлов пользователей
Файл HOSTS используется операционной системой для упрощения доступа к сети Интернет. Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы.
Низкоуровневый доступ к диску
Данная настройка позволяет запрещать приложениям запись на жесткий диск посекторно, не обращаясь к файловой системе.
Данная настройка позволяет запрещать приложениям загрузку новых или неизвестных драйверов.
Критические области Windows
Прочие настройки позволяют защищать от модификации ветки реестра (как в системном профиле, так и в профилях всех пользователей).
Доступ к Image File Execution Options:
• Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Доступ к User Drivers:
Параметры оболочки Winlogon:
• Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL
Автозапуск оболочки Windows:
• Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib
Ассоциации исполняемых файлов:
• Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)
Политики ограничения запуска программ (SRP):
Плагины Internet Explorer (BHO):
• Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Конфигурация безопасного режима:
Параметры Session Manager:
• System\ControlSetXXX\Control\Session Manager\SubSystems, Windows
Если при установке важных обновлений от Microsoft или при установке и работе программ (в том числе программ дефрагментации) возникают проблемы, временно отключите превентивную защиту.
Вы можете настроить вывод уведомлений о действиях превентивной защиты на экран и отправку этих уведомлений на электронную почту.
Защита от эксплойтов
Эта опция позволяет блокировать вредоносные объекты, которые используют уязвимости в популярных приложениях. В соответствующем выпадающем списке выберите подходящий уровень защиты от эксплойтов.
Блокировать исполнение неавторизованного кода
Попытка вредоносного объекта использовать уязвимости в программном обеспечении для получения доступа к критическим областям операционной системы будет автоматически заблокирована.
При попытке вредоносного объекта использовать уязвимости в программном обеспечении для получения доступа к критическим областям операционной системы, Dr.Web выведет соответствующее сообщение. Ознакомьтесь с информацией и выберите нужное действие.
Разрешать исполнение неавторизованного кода
Попытка вредоносного объекта использовать уязвимости в программном обеспечении для получения доступа к критическим областям операционной системы будет автоматически разрешена.
Соблюдение кибергигиены поможет обеспечить безопасность в сети
Определение кибергигиены
Кибергигиена представляет собой набор действий, выполняемых пользователями компьютеров и других устройств для повышения сетевой безопасности и обеспечения работоспособности системы. Кибергигиена – это образ мышления и привычки с фокусом на безопасность, помогающие пользователям и организациям снизить количество нарушений в интернете. Основополагающий принцип кибергигиены – войти в повседневную жизнь.
Что такое кибергигиена?
Кибергигиена – это формирование полезных привычек в отношении кибербезопасности, позволяющих не стать жертвой киберугроз и избегать проблем сетевой безопасности. Кибергигиену иногда сравнивают с личной гигиеной: в обоих случаях это регулярные меры предосторожности для обеспечения здоровья и благополучия.
Кибергигиена направлена на поддержание работоспособности и безопасности оборудования и программного обеспечения и защищает от таких угроз, как вредоносные программы. Соблюдение кибергигиены помогает хранить данные в безопасности. Как и любые действия, которые нужно закрепить в качестве привычки, кибергигиенические процедуры требуют регулярного повторения.
Соблюдение кибергигиены поможет не допустить нарушения безопасности и кражи личных данных киберпреступниками, а также быть в курсе обновлений программного обеспечения и операционных систем.
Актуальность кибергигиены как концепции возросла с момента начала пандемии Covid-19, когда увеличение количества работающих удаленно людей привело к росту киберпреступлений.
Проблемы, решаемые с помощью кибергигиены
Проблемы, для решения которых предназначена кибергигиена, включают:
Как обеспечить соблюдение кибергигиены?
Есть два важных аспекта кибергигиены для пользователей: выполнение регулярных действий и выработка привычек, а также использование надлежащих инструментов. Рассмотрим каждый из них.
Регулярные действия и привычки
Кибергигиена – это не разовое мероприятие, ее нужно соблюдать постоянно. Можно вырабатывать привычки, устанавливать автоматические напоминания и добавлять в календарь даты выполнения разных задач. Такие задачи могут включать выполнение антивирусной проверки с помощью соответствующего программного обеспечения, изменение паролей, поддержку в актуальном состоянии приложений, программного обеспечения и операционных систем, а также очистку жесткого диска. Как только вы освоите кибергигиену, ее соблюдение войдет в ваши стандартные действия по обеспечению кибербезопасности.
Использование надлежащих инструментов
Соблюдение кибергигиены помогает поддерживать цифровую среду в рабочем состоянии, не в последнюю очередь благодаря обновлению программ. Устаревшие программы могут иметь уязвимости, используемые злоумышленниками, поэтому, чтобы избежать проблем с безопасностью, необходимо регулярно обновлять веб-приложения, мобильные приложения и операционные системы. В результате регулярных обновлений устанавливаются новые патчи для программ, устраняющие их уязвимости. Обновления оборудования могут предотвратить проблемы с производительностью.
Выполнение регулярной антивирусной проверки позволяет избежать проблем, не допуская их возникновения. При надлежащем обслуживании цифровые устройства будут защищены от постоянно возникающих онлайн-угроз, а файлы – от разбиения на фрагменты, влекущего потерю данных.
Иногда возникает вопрос, как безопасно утилизировать старые компьютеры. При продаже или утилизации компьютера, ноутбука, планшета или смартфона, важно, чтобы на нем не остались личные и конфиденциальные данные. Недостаточно просто удалить личные файлы и данные. Необходимо отформатировать, а затем очистить жесткий диск. Чистый жесткий диск гарантирует, что передачи личных данных не произойдет. На сайте Lifewire есть руководство по очистке жестких дисков.
Помните, что, как и с личной гигиеной, для достижения эффекта требуется регулярное соблюдение кибергигиены.
Чек-лист правил кибергигиены, чтобы оставаться в безопасности
Для соблюдения кибергигиены используйте правила из приведенного ниже чек-листа по кибербезопасности. Следование этим правилам поможет вам обеспечить соответствие передовым практикам.
Хранение паролей в безопасности
Использование многофакторной аутентификации
Регулярное резервное копирование данных
Обеспечение конфиденциальности
Обновление приложений, программного обеспечения и прошивок
Обеспечение безопасности роутеров
Защита от атак социальной инженерии
Использование сетевых экранов
Шифрование устройств
Очистка жестких дисков
Обеспечение надежной антивирусной защиты
По сути, кибергигиена – это разработка набора действия для защиты личной и финансовой информации во время использования компьютера или мобильного устройства. Использование надежных паролей и их регулярное изменение, обновление программного обеспечения и операционных систем, очистка жестких дисков и использование комплексного антивируса, такого как Kaspersky Total Security, позволит избежать новейших киберугроз.
Информационная безопасность
Практика информационной безопасности
Страницы
воскресенье, 15 ноября 2009 г.
ISSP \ Домен 02. Управление доступом. Часть 10
Различные типы управления доступом (административный, физический и технический) работают на разных уровнях в рамках своих категорий. Например, охранники являются разновидностью защитных мер, которые предназначены для того, чтобы отпугнуть злоумышленника и предоставить доступ в здание только уполномоченному персоналу. Если злоумышленник сможет так или иначе преодолеть или обмануть охранников, его зафиксируют датчики движения, остановят замки на дверях, сработает сигнализация. Эти уровни изображены на рисунке 2-17.
Описанные далее типы защитных мер (административные, физические и технические) являются превентивными. Это важно понимать при разработке модели безопасного управления доступом, а также при сдаче экзамена CISSP.
ПРИМЕЧАНИЕ. Очень хорошея практикой является требование от сотрудников подписание соглашения о неразглашении информации и порядке использования ресурсов, к которым им будет предоставлен доступ. Это соглашение может использоваться как некая гарантия неразглашения информации компании после увольнения сотрудника, либо как основание для привлечения сотрудника к ответственности за ненадлежащее использование ресурсов компании, либо разглашение информации. Именно неправильное управление доступом является причиной большинства случаев несанкционированного доступа.
ПРИМЕЧАНИЕ. Замки обычно считают задерживающими механизмами, поскольку они только задерживают злоумышленника на некоторое время. Их цель – задержать злоумышленника на время, достаточное для реакции на инцидент правоохранительным органам или охране.
Любые меры могут, в конечном счете, быть компенсирующими. Компания может выбрать компенсирующие меры, если другие меры слишком дороги, но защита все-таки необходима. Например, компания не может себе позволить нанять охрану, поэтому она устанавливает ограждения, которые будут являться компенсирующей мерой. Другой причиной использовать компенсирующие меры являются потребности бизнеса. Если специалисты по безопасности рекомендуют закрыть определенный порт на межсетевом экране, но бизнес требует доступности для внешних пользователей сервиса, который работает через этот порт, в этом случае могут быть внедрены компенсирующие меры в виде системы обнаружения вторжений (IDS), которая будет отслеживать весь трафик, поступающий на этот порт. Существует несколько видов механизмов безопасности, которые должны работать совместно. Однако сложность защитных мер и окружения, в котором они находятся, может привести к тому, что некоторые меры будут противоречить друг другу, либо оставлять «дыры» в системе безопасности. Это, в свою очередь, может привести к появлению неожиданных недостатков в системе безопасности компании, которые не были выявлены или не были полностью поняты специалистами, внедрявшими защитные механизмы. Компания может иметь очень стойкие технические меры управления доступом, а также все необходимые административные меры, но если любой человек сможет получить физический доступ к любой системе в здании, возникнет реальная угроза безопасности всей среды. Все эти защитные меры должны работать в гармонии для обеспечения здорового, безопасного и продуктивного окружения.
Возможности аудита обеспечивают ответственность пользователей за свои действия, проверку соблюдения политики безопасности, а также могут быть использованы при проведении расследований. Есть целый ряд причин, по которым сетевые администраторы и специалисты по безопасности хотят быть уверены, что механизмы журналирования событий включены и правильно настроены: для отслеживания неправильных действий пользователей, выявления вторжений, реконструкции событий и состояния системы, предоставления материалов по запросам правоохранительных органов, подготовки отчетов о проблемах. Журналы регистрации событий хранят горы информации – не так просто «расшифровать» ее и представить в наглядном и удобном для использования виде.
Подотчетность обеспечивается отслеживаем и записью системой действий пользователя, системы и приложения. Эта запись выполняется посредством функций и механизмов, встроенных в операционную систему или приложение. Журнал регистрации событий содержит информацию о действиях операционной системы, событиях приложений, а также действиях пользователей. Этот журнал может использоваться, в том числе, для проверки правильности работы системы, выявления ошибок и условий, при которых они возникают. После критического сбоя системы сетевой администратор просматривает журналы регистрации событий, пытаясь восстановить информацию о состоянии системы в момент аварии и понять какие события могли привести к ней.
Журналы регистрации событий могут также использоваться для выдачи предупреждений в случае выявления подозрительных действий, которые могут быть расследованы позднее. Дополнительно они могут быть очень ценны при определении, как далеко зашла атака, и какие повреждения она вызвала. Важно убедиться, что обеспечивается надлежащая защита журналов регистрации событий, гарантирующая, что любые собранные данные могут быть в случае необходимости предоставлены в неизменном виде и полном объеме для проведения расследований.
Система обнаружения вторжений (IDS) должна постоянно сканировать журнал регистрации событий на предмет подозрительный действий. При выявлении нежелательных событий или событий, свидетельствующих о попытке вторжения, журналы регистрации событий должны быть сохранены, чтобы использовать их позднее в качестве улик и доказательств. Если произошло серьезное событие безопасности, система IDS должна отправить соответствующее уведомление администратору или другому персоналу, ответственному за реакцию на инциденты, для принятия оперативных мер и прекращения деструктивной деятельности. Например, если выявлена вирусная угроза, администратор может отключить почтовый сервер. Если злоумышленник получил доступ к конфиденциальной информации в базе данных, соответствующий сервер может быть временно отключен от сети или Интернета. Если атака продолжается, администратору может потребоваться проследить действия злоумышленника. IDS может показать эти действия в режиме реального времени и/или просканировать журналы регистрации событий и показать специфические последовательности (шаблоны) или поведение.
Журналы регистрации событий обязательно должны просматриваться и анализироваться. Это можно делать как вручную, так и с помощью автоматизированных средств. Если компания просматривает журналы вручную, необходимо систематизировать эту деятельность – что, как, когда и почему подлежит анализу. Обычно журналы регистрации событий становятся крайне востребованными после инцидента безопасности, непонятной работы системы или сбоя системы. Администратор или другой ответственный персонал пытается по-быстрому сопоставить различные действия, которые привели к этому инциденту. Такой тип анализа журналов регистрации событий называется ориентированным на события (event-oriented). Кроме того, журналы могут просматриваться на периодической основе, чтобы выявить необычное поведение пользователей и систем, а также убедиться в исправной работе системы. При этом перед администраторами должна быть поставлена соответствующая задача периодического просмотра журналов. Для контроля журналов в режиме реального времени (или близко к этому) существуют специальные автоматизированные средства. Данные журналов регистрации событий обычно должны анализироваться, а затем сохраняться в отдельное место для хранения в течение определенного периода времени. Это должно быть отражено в политике и процедурах безопасности компании.
Анализ журналов регистрации событий вручную крайне трудоемок. Следует использовать для этого специализированные приложения и инструменты анализа, которые сокращают объем журналов и повышают эффективность ручных процедур анализа. Основное время при анализе журналов регистрации событий тратится на несущественную информацию, а эти инструменты позволяют выбирать необходимую информацию по заданным критериям и представлять ее в более наглядной и удобной форме.
Мониторинг нажатия клавиш (keystroke monitoring) – это вид мониторинга, позволяющий проанализировать и записать последовательность нажатий клавиш пользователем в течение сеанса его работы. При этом все символы, набранные пользователем, записываются в специальный журнал, который может быть позднее проверен. Обычно такой тип аудита используется только для выполнения специальных задач и только на короткое время, поскольку объем собранной информации будет огромен, а ее значительная часть будет неважной. Если специалист по безопасности или администратор подозревают пользователя в проведении несанкционированных действий, они могут воспользоваться этим видом мониторинга. На некоторых санкционированных этапах проведения расследования между клавиатурой и компьютером может быть вставлено специальное устройство, перехватывающее все нажатия клавиш, включая набор пароля для загрузки системы (на уровне BIOS).
Хакеры также могут использовать такой вид мониторинга. Если атакующий сможет установить троянскую программу на компьютер, она cможет внедрить специальную утилиту перехвата данных, вводимых с клавиатуры. Обычно таким программам наиболее интересны учетные данные пользователя, и они могут уведомить атакующего, когда такие данные будут успешно перехвачены.
Нужно соблюдать осторожность при проведении такого мониторинга, т.к. это может нарушать законодательство. Следует заранее уведомить сотрудников о возможности такого мониторинга, а также получать разрешение руководства на его проведение. Если компания намерена использовать такой контроль, следует внести информацию об этом в политику безопасности, сообщать об этом на тренингах по вопросам безопасности, уведомить пользователей другими доступными способами о возможности такого мониторинга. Это позволит защитить компанию от претензий в нарушении неприкосновенности частной жизни, а также проинформирует пользователей об ограничениях использования рабочего компьютера в личных целях.
Если воры ограбили квартиру, они стараются не оставлять следов (например, отпечатков пальцев), которые позволят связать произошедшее преступление с ними. То же самое происходит при компьютерном мошенничестве и нелегальной деятельности. Злоумышленник старается скрыть следы своей деятельности. Часто атакующие удаляют журналы регистрации событий, которые содержат компрометирующую их информацию, либо удаляют из журналов регистрации событий только информацию о своем присутствии (scrubbing). Это может привести к тому, что администратор не узнает о произошедшем инциденте безопасности. Поэтому данные журналов регистрации событий должны быть защищены посредством строгого управления доступом к ним.
Только определенные лица (администраторы и персонал подразделения безопасности) должны иметь доступ на просмотр, изменение или удаление журналов регистрации событий. Никакие другие люди не должны иметь возможность просматривать данные журналы и, тем более, изменять или удалять их. Целостность этих данных может быть обеспечена средствами ЭЦП, хэш-функциями и строгим управлением доступом. Их конфиденциальность может быть защищена с помощью шифрования и управления доступом. Кроме того, целесообразно сохранять данные журналов регистрации событий на внешних носителях информации с однократной записью (например, компакт-дисках) для предотвращения потери или модификации информации. Все попытки несанкционированного доступа к журналам регистрации событий должны фиксироваться и своевременно анализироваться.
Журналы регистрации событий могут использоваться в качестве доказательств или улик, а также для демонстрации процесса атаки или подтверждения факта инцидента. Целостность и конфиденциальность этих журналов должна постоянно контролироваться.