Чем отличается целевая атака от вирусов

Кроме того, в течение года пользователи довольно часто сталкивались со взломами своих онлайн-аккаунтов: электронной почты, страницы в социальной сети и т.д. – об этом сообщили 26% респондентов в России. Опасность таких инцидентов заключается не только в том, что скомпрометированные учетные записи используются преступниками для рассылки спама и вредоносных ссылок, они также вполне могут обернуться финансовыми потерями. Например, в почтовом ящике можно найти логины и пароли для доступа к платежным сервисам и онлайн-магазинам, получаемые во время регистрации или восстановления.

Распределенные сетевые атаки / DDoS

Сетевые ресурсы (например, веб-серверы) всегда имеют ограничения по количеству одновременно обрабатываемых запросов. Кроме ограничения мощности сервера, канал, по которому сервер связывается с интернетом, также обладает конечной пропускной способностью. Если число запросов превышает предельные возможности какого-либо компонента инфраструктуры, могут возникнуть следующие проблемы с уровнем обслуживания:

• формирование ответа на запросы происходит значительно медленнее обычного,
• некоторые или даже все запросы пользователей могут быть оставлены без ответа.

Для отправки на ресурс сверхбольшого количества запросов киберпреступники часто создают из зараженных компьютеров зомби-сеть. Так как преступники могут полностью контролировать действия каждого зараженного компьютера зомби-сети, совокупный масштаб такой атаки может быть чрезмерным для атакованных веб-ресурсов.

С начала и до середины 2000-х годов такой вид криминальной деятельности был достаточно распространен. Однако количество успешных DDoS-атак уменьшилось, вероятно, это вызвано следующими причинами:

• полицейские расследования, которые привели к арестам преступников во многих странах мира;
• успешные технические контрмеры против DDoS-атак.

Целевые атаки

В отличие от массовых атак компьютерных вирусов (цель которых — заражение максимального количества компьютеров) в целевых атаках используется совершенно другой подход. Целевые атаки могут быть направлены на заражение сети определенной компании или организации или даже одного сервера в сетевой инфраструктуре организации, для чего может быть написана специальная троянская программа.

Киберпреступники часто проводят целевые атаки на предприятия, обрабатывающие или хранящие информацию, которая может быть использована преступниками с целью получения прибыли. Наиболее часто целевым атакам подвергаются:

• Банки. Преступники атакуют серверы или банковскую сеть, чтобы получить доступ к данным и осуществить незаконный перевод средств с банковских счетов пользователей.
• Биллинговыекомпании (например, телефонные операторы). Когда для атаки выбирается биллинговая компания, преступники пытаются получить доступ к учетным записям пользователей или украсть ценную информацию, такую как клиентские базы данных, финансовую информацию или технические данные.

Поскольку большие компании (которые обычно подвергаются целевым атакам вредоносных программ) нередко имеют высокий уровень ИТ-безопасности, киберпреступникам могут потребоваться некоторые особо хитрые методы. Так как большинство организаций использует сетевые экраны и другие способы защиты от внешних атак, преступник может попытаться найти ходы внутри организации.

• Фишинг. Сотрудники невольно могут помочь преступнику, ответив на фишинговое электронное письмо. Оно может выглядеть как сообщение из ИТ-отдела компании, они предлагают сотруднику в целях тестирования ввести свой пароль доступа к корпоративной системе.
• Использование фальшивых персональных данных. В некоторых случаях преступники могут использовать личную информацию, собранную на веб-сайтах социальных сетей, чтобы выдать себя за одного из коллег сотрудника. В таком случае фишинговый запрос имени пользователя и пароля выглядит так, как если бы он действительно был отправлен коллегой. Это помогает запрашивать у сотрудников их пароли, не вызывая подозрения.

С каждым годом число кибератак растет. Дополнительным фактором роста послужило обнаружение ряда опасных уязвимостей платформы Java, которые были использованы злоумышленниками в кибератаках. Популярность банковских троянцев и других программ для получения финансовой информации обусловлена тем, что с их помощью киберпреступники могут быстро обеспечить себе незаконный доход. При этом набор приемов, используемых злоумышленниками, пополняется едва ли не каждый месяц, и уже нет уверенности, что оградить себя от них можно одной только бдительностью.

Разговоры о целенаправленных атаках (Advanced Persistent Threat, APT) начались относительно недавно, всего несколько лет назад. Впервые термин APT был использован ВВС США в 2006 г., но его адекватного перевода на русский язык нет до сих пор, поэтому специалисты называют такие атаки и таргетированными, и целенаправленными, и целевыми, и скрытыми.

Особенности APT

Путаницы добавляет тот факт, что целенаправленные атаки не относятся к какому-либо определенному классу несанкционированных действий – в отличие от Web- и DoS-атак, распространения вирусов, червей и т.п. – и могут быть реализованы с помощью любого из этих способов (может быть, исключая DoS-атаки). Основные отличия целевых угроз заключаются в особенностях каждого из пяти этапов проникновения (рис. 1).

Рис. 1. Этапы реализации целенаправленной атаки

Именно целенаправленность атак обуславливает их отличие от остальных видов угроз по одному из ключевых параметров в области информационной безопасности – по времени (рис. 2). Согласно отчету Verizon Data Breach Investigation Report, при использовании таргетированных угроз среднее время от атаки до проникновения (компрометации) составляет несколько минут, а время от проникновения до утечки важных данных варьируется от нескольких минут до нескольких дней (в зависимости от целей злоумышленника и характера искомых данных). А вот с обнаружением вторжения и устранением его причин ситуация – прямо противоположная: на обнаружение атаки уходят месяцы, а период от выявления утечки до локализации скомпрометированного узла и устранения уязвимостей, позволивших провести атаку, обычно составляет недели и даже месяцы.

Рис. 2. Время - ключевое отличие целенаправленных атак

Мало того, связанные со временем тенденции пока не обнадеживают. В недавно опубликованном отчете Verizon отмечено, что при целенаправленных атаках время проникновения постоянно уменьшается, а время обнаружения остается практически неизменным.

Известны поименно

Из-за скрытности и узкой сфокусированности целенаправленных атак известно не очень много фактов их применения. Однако и того, что стало достоянием гласности, достаточно для осознания серьезности таких угроз. В таблице приведены примеры атак, многие из которых получили романтические названия, никак не соответствующие разрушительному характеру APT.

Примеры целенаправленных угроз

Пример APT

Краткое описание

• С марта 1998 г. в течение примерно двух лет компьютеры Пентагона, НАСА, министерства энергетики США, университетов и частных компаний, занимающихся исследованиями в области атомного вооружения, подвергались атакам.
• Украдены десятки тысяч файлов о системе дислокации войск, новейших вооружениях.
• Источник атак зафиксирован в России.

• С 2003 г. компьютеры в США несколько лет подвергались скоординированным атакам.
• В результате компьютерного шпионажа пострадали такие компании, как Lockheed Martin, Sandia National Laboratories, Redstone Arsenal, а также НАСА.
• Источник атак зафиксирован в Китае.

• Атаки начались в середине 2009 г. и продолжались до декабря 2009 г.
• Пострадали Google, Adobe Systems, Juniper Networks Rackspace, Yahoo, Symantec, Northrop Grumman, Morgan Stanley.
• Цель – получение доступа к исходным кодам ПО атакованных компаний и к информации о китайских диссидентах.
• Источник атак зафиксирован в Китае.

• В июле 2010 г. эксперты обнаружили на ряде иранских атомных электростанций червя, нацеленного на системы АСУ ТП.
• Предполагается, что заражение произошло еще в июне 2009 г.
• Это был первый червь, заражающий программируемые контролеры (PLC).
• Подвержены заражению АСУ ТП Siemens.

• Сложная вредоносная программа, которая, вероятно, была написана создателями Stuxnet.
• Ее основная задача – кража конфиденциальной информации.

Не стоит думать, что целевые атаки угрожают только дипломатам, государственным органам или компаниям ТЭК. В ходе недавнего изучения поисковых запросов в системе доменных имен (DNS), исходящих из корпоративных сетей, эксперты по мониторингу угроз обнаружили: в каждом случае имелись признаки того, что сети организаций использовались не по назначению или были взломаны. Например, из 100% коммерческих сетей, вошедших в исследование, трафик направлялся на Web-сайты, на которых было размещено вредоносное ПО. В 92% сетей обнаружен трафик, направлявшийся на пустые Web-страницы, на которых обычно реализуются вредоносные действия. Из 96% сетей трафик направлялся на уже взломанные и скомпрометированные серверы.

Несмотря на совместные усилия по защите сетей от вредоносных атак, во всех организациях, вошедших в исследование 2013 г., был обнаружен подозрительный трафик. Анализ трафика поисковых запросов системы доменных имен (DNS) позволяет выделить очевидные индикаторы взлома (рис. 3). Этот трафик заслуживает более подробного изучения организациями, намеренными остановить в своих сетях деятельность злоумышленников, которых практически невозможно обнаружить. Речь идет о методе повышения уровня прозрачности криминальной активности, которую, как правило, очень сложно отслеживать.

Рис. 3. Индикаторы взлома корпоративных сетей (по данным Cisco)

Молчание ягнят

Целенаправленные атаки на промышленные и иные критически важные объекты – это первое, что приходит в голову, когда речь заходит об APT. Если не рассматривать набивший оскомину пример с Stuxnet, то наиболее интересным является исследование американской компании Mandiant. В начале 2013 г. она опубликовала 80-страничный отчет о деятельности одной из 20 групп китайских хакеров, названной APT1.

Интересны некоторые факты, отражающие всю опасность APT-угроз. Самый длительный период, в течение которого целенаправленная атака продолжалась в сети жертвы, составил 4 года и 10 месяцев. А самой объемной утечкой из организации можно считать 6,5 ТБ данных, которые “покинули” компанию-жертву за 10 месяцев целенаправленной атаки.

В России ситуация с APT-атаками остается неопределенной. Полномасштабных исследований в этой области никто не проводил, но по отдельным обрывочным сведениям можно сделать вывод, что наши критически важные объекты из разных отраслей также сталкиваются с целенаправленными атаками.

Почти полный вакуум в России информации о проведении APT можно объяснить лишь тем, что в нашей стране пока отсутствует культура проведения расследований и управления инцидентами в области ИБ. Так уж сложилось, что российские ИБ-регуляторы проводят в жизнь политику выстраивания стены вокруг защищаемого объекта без признания возможности ее взлома или обхода. Если такая возможность и признается, то каких-либо рекомендаций по расследованию инцидентов регуляторы не дают. Жертва остается один на один с атакующими, и успех противодействия злоумышленникам зависит лишь от того, способны ли сотрудники предприятия выстраивать процессы управления инцидентами.

Как показывает опыт, эти процессы мало где выстроены. Ситуация начинает сдвигаться с мертвой точки только сейчас, когда управление инцидентами стало обязательным требованием в ряде нормативных актов.

У нас хорошо умеют бороться с традиционными вирусами, спамом, утечками, DDoS- и тому подобными угрозами, но особенность APT состоит в незаметности атак, что и обуславливает сложность их обнаружения. А как можно реагировать на то, что не обнаружено? Никак. Естественно, об отсутствии APT никто не говорит, так как это не соответствует действительности. Но ведь признать, что организованная против промышленного предприятия целенаправленная угроза несколько лет “вытягивала” из него информацию гигабайтами, означает – расписаться в некомпетентности. Кто же пойдет на такое в здравом уме! К тому же бытует мнение, что эта информация не поможет ни пострадавшей компании, ни производителям средств защиты, не способных обнаруживать APT. Вот и царит в России гробовое молчание по поводу целенаправленных атак на критически важные объекты!

Все в одном флаконе

Ввиду сложности и многовекторности целенаправленных атак назвать универсальное средство борьбы с ними невозможно – оно просто не существует. Борьба с целевыми атаками включает в себя комплекс мероприятий и технических средств (рис. 4). И в первую очередь предприятиям необходимо пересматривать свои модели защиты и обеспечивать контроль над всем жизненным циклом APT – старые модели уже не актуальны.

Рис. 4. Комплексная система нейтрализации целенаправленных угроз

Очевидно, что с помощью одного продукта все задачи не решить. Необходимым, но уже явно недостаточным условием является применение традиционных средств информационной защиты – межсетевых экранов (в том числе МСЭ прикладного уровня), систем предотвращения вторжений (включая системы следующего поколения, NGIPS), антивирусов и средств защиты персональных компьютеров. Но это – только верхушка айсберга. Нужны также средства управления уязвимостями и патчами, средства контроля над доступом и оценки соответствия (NAC), средства управления событиями безопасности и расследования инцидентов, средства мониторинга и анализа аномальной активности…

Целенаправленные атаки – уже не фантастика и не будущее. Это – наше настоящее, и с ним нужно считаться.

Целевые атаки — это любые нападения киберпреступников на конкретную выбранную ими цель. Такие операции противопоставляются массовым атакам с помощью вирусов или других вредоносных программ, где жертва выбирается по принципу доступности. Обнаружив сопротивление, робот массовой атаки отступает и переключается на другую, хуже защищенную цель.

Для целевых же атак характерен взлом и обход защиты жертвы со все более глубоким проникновением в информационную систему. Если массовая атака обычно направлена против индивидуальных пользователей интернета, то целевая — против корпоративных сетей. Среди целевых нападений ярко выделяются атаки типа APT (Advanced Persistent Threat) — усовершенствованный сценарий, в котором используются уязвимости 0-day, пробивающие любую защиту. Данный тип атаки очень дорогостоящ и требует привлечения высококлассных специалистов. Наиболее известная APT-атака — внедрение червя Stuxnet и нарушение работы иранских ядерных комплексов с его помощью.

Вообще целевая атака может быть простой в техническом плане, однако пройти успешно с учетом всех особенностей атакуемой жертвы. Таким образом, APT — это всегда целевая атака, но далеко не каждая целевая атака — это APT.

Классификация и способы целевых атак

Можно выделить следующие типы атак:

Таким образом, нападение может быть выполнено либо через электронную почту, либо через веб-ресурсы с загрузкой вредоносных компонентов из интернета.

Объект воздействия

Когда вредоносный объект установлен на устройство жертвы, дальнейшая атака уже ведется вручную в несколько этапов: изучение, проникновение, закрепление. Например, изучаться могут внутренняя структура сети, подключенные АСУ ТП, системы дистанционного банковского обслуживания, торговые приложения, инженерные разработки и многое другое. Собственно, по цели каждой следующей стадии можно идентифицировать того, кто пытается получить доступ к ценной информации. Поэтому целевые атаки поддаются классификации по объектам воздействия:

Для того чтобы затруднить хакерам развитие атаки, стоит как минимум сегментировать сеть, выделив и особо защитив зоны с наиболее ценной информацией. Впрочем, можно поставить и несколько ловушек или приманок (ханипотов), чтобы затруднить злоумышленникам изучение внутренней структуры сети.

Источник угрозы

Основным источником угрозы является сложность современных информационных технологий, которые очень открыты и позволяют использовать технологии самым неожиданным образом — например, встроив вредоносное приложение в офисный документ. Не всегда средства защиты, которые работают на шлюзе, могут распознать вредоносный код, нацеленный против приложения на рабочем месте сотрудника. При этом вариантов различных вложений, присоединений, параллельных загрузок оказывается так много, что отдельные устройства защиты уже не могут достоверно определить вредоносность передаваемой через них информации.

Анализ риска

Некоторое время назад целевые атаки стали весьма популярной темой, подогревающей интерес к информационной безопасности. В результате производители средств защиты выработали несколько инструментов для детектирования целенаправленных атак. Можно указать следующие примеры:

• Песочница. Это — виртуальная среда, имитирующая рабочее место сотрудника со всеми установленными программами и компонентами. Файлы и приложения запускаются в ней, после чего аналитический алгоритм или специалист по ИБ изучает их поведение. Если объект ведет себя странно, то его можно заблокировать или передать на подробное изучение в лабораторию производителя.
• Репутация. Если файл уже был кем-то или чем-то проверен (в том числе — в песочнице), для него формируется цифровой отпечаток. Когда пользователь запрашивает файл, шлюз может проверить репутацию последнего и в случае подозрений заблокировать передачу. Если же сведений об объекте в базе нет, то файл пропускается, но передается на анализ в песочницу. Репутация может быть определена также и для сайтов или сообщений электронной почты.
• HIPS, или контроль поведения программ. На конечных станциях могут быть установлены специальные агенты, которые отслеживают и ограничивают потенциально опасные действия приложений. Например, так можно защититься от вируса-шифровальщика, который начинает преобразовывать или уничтожать множество файлов. Хотя средства этого типа не предназначены предотвращать заражение вредоносной программой, они могут блокировать ее активность.
• SIEM, или управление событиями безопасности. Этот механизм не предотвращает атаки, но может обнаружить факт их совершения, выявить путь угрозы и тем самым определить уязвимые точки системы. SIEM-решение собирает информацию из различных источников с целью найти во всех этих данных признаки целенаправленного нападения. Системы данного типа очень сложны в настройке и дают множество ложных срабатываний, но в случае реальной атаки могут заметно помочь в расследовании инцидентов и выявлении уязвимых мест информационной системы для их последующего устранения.
• UEBA, или поведенческий анализ действий пользователей и информационных сущностей. Благодаря данной технологии обнаруживаются аномалии поведения, которые могут указывать на потенциальные угрозы безопасности. UEBA — эффективное средство обнаружения целевых атак и другой злонамеренной активности.

Следует отметить, что это — далеко не полный список инструментов, которые помогают обнаружить целевую атаку, поскольку традиционные средства защиты, такие как антивирусы и межсетевые экраны, также могут оказаться небесполезными. Теоретически противостоять целевым атакам должна комплексная система безопасности, которая, получив информацию от различных средств защиты и проанализировав ее, могла бы выявить признаки целенаправленных вредоносных действий против конкретной системы. Попытки создания подобных комплексных продуктов ведутся, однако проблемой является конкуренция между производителями. Закупать все средства защиты у одного производителя не всегда возможно, а комплексных систем, эффективно работающих с решениями всех поставщиков, пока разработать не удалось, поскольку еще не созданы общие стандарты представления информации об инцидентах и протоколы управления. В результате выявить и обезвредить распределенную по времени атаку оказывается весьма сложно.

Защита от целевых атак — это комплексная задача, которую нельзя решить используя какой-либо один продукт. Для достижения цели требуется применять весь спектр средств обеспечения информационной безопасности; только в этом случае можно повысить процент успешного обнаружения и нейтрализации атак.

Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.

Если в 2017 году доля нецелевых атак составляла 90%, а целевыми было всего 9,9%, в 2018 и 2019 году наблюдается устойчивый рост именно целевых атак. Если они настолько сложны в исполнении, почему их становится больше? И как проводятся современные целевые атаки, почему хакеры переключаются с массовых атак на таргетированные? Почему количество таких инцидентов, связанных с известными кибергруппировками, не так велико, как может показаться? Давайте разбираться.

Представим себе группу хакеров, которые решили провести атаку на завод, выпускающий фигурные зубочистки, чтобы похитить секрет их производства и продать его конкурентам. Рассмотрим, из каких этапов может состоять такая атака и какие инструменты для этого понадобятся.

Хакерам нужно собрать как можно больше сведений о заводе, его руководстве и сотрудниках, сетевой инфраструктуре, а также о поставщиках и заказчиках. Для этого злоумышленники исследуют с помощью сканера уязвимостей сайт завода и все IP-адреса, принадлежащие предприятию. По публичным источникам составляется список сотрудников, изучаются их профили в соцсетях и сайты, которые они постоянно посещают. На основании собранной информации готовится план атаки и выбираются все необходимые утилиты и сервисы.

Инструменты: сканер уязвимостей, сервисы по продаже логов веб-сайтов, похищенные учётные данные электронной почты и сайтов.

Используя собранную информацию, хакеры готовят проникновение в сеть компании. Наиболее простой способ — это фишинговые письма с вредоносными вложениями или ссылками.

ИСТОЧНИК: TREND MICRO

На киберпреступных маркетах предлагаются различные варианты таких серверов, выполненные в виде полноценных программных продуктов, на которые даже предоставляется техническая поддержка.

Далеко не факт, что доступ на первый сдавшийся скомпромитированный компьютер в инфраструктуре завода даст возможность получить сведения о производстве фигурных зубочисток. Чтобы добраться до них, требуется выяснить, где хранится главный секрет и как до него добраться.

Инструменты: скрипты для сканирования сети, получения административных привилегий, слива данных и поиска документов.

Времена, когда для сопровождения атаки хакерам приходилось сидеть, уткнувшись в терминал, и непрерывно стучать по клавишам, набирая различные команды, ушли в прошлое. Современные киберпреступники используют для координации своей работы удобные веб-интерфейсы, панели и дашборды. Стадии проведения атаки отображаются в виде наглядных графиков, оператор получает уведомления о возникающих проблемах, причём для их решения могут предлагаться различные варианты действий.

Инструменты: веб-панель управления атакой

Как только необходимые сведения обнаружены, необходимо максимально быстро и незаметно передать её из сети завода хакерам. Передачу нужно замаскировать под легитимный трафик, чтобы система DLP ничего не заметила. Для этого хакеры могут использовать защищённые соединения, шифрование, упаковку и стеганографию.

Инструменты: крипторы, шифраторы, VPN-туннели, DNS-туннели.

Наши гипотетические хакеры с лёгкостью проникли в сеть завода, нашли необходимую заказчику информацию и похитили её. Всё, что им для этого потребовалось, — относительно небольшая сумма на аренду хакерских инструментов, которую они с лихвой компенсировали, продав секрет зубочисток конкурентам.

Всё необходимое для проведения целевых атак легко доступно в даркнете и на хакерских форумах. Купить или арендовать инструментарий может любой желающий, причём уровень предложения настолько высок, что продавцы предлагают техподдержку и постоянно снижают цены. При таком раскладе нет смысла тратить время, стреляя из пушки по колибри и делать широкомасштабные вредоносные кампании. Значительно бо́льшую отдачу принесут несколько целевых атак.

Элитные хакерские группировки тоже идут в ногу с трендами и диверсифицируют риски. Они понимают, что проведение атак — вещь опасная, хотя и прибыльная. Во время подготовки атак и в паузах между ними тоже хочется кушать, а значит, дополнительный доход не помешает. Так почему не дать другим воспользоваться своими разработками за достойное вознаграждение? Это породило массовое предложение хакерских услуг в аренду и по законам рынка привело к снижению их стоимости.

ИСТОЧНИК: TREND MICRO

В результате порог входа в сегмент целевых атак понизился, и аналитические компании год за годом отмечают рост их количества.

Ещё одно следствие доступности инструментария на киберпреступных маркетплейсах состоит в том, что теперь атаки APT-группировок значительно сложнее отличить от атак, проводимых преступниками, которые берут их инструментарий в аренду. Таким образом, защита от APT и неорганизованных киберпреступников требует практически одинаковых мероприятий, хотя для противостояния APT нужно больше ресурсов.

В качестве эмпирического критерия, по которым выявляются действия APT-хакеров, остаются только сложность и оригинальность проводимых атак, использование уникальных разработок и эксплойтов, недоступных на андерграундных маркетплейсах, более высокий уровень владения инструментарием.

— Узнать IP - адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP - АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

FreePBX и Asterisk

Настройка программных телефонов

Протоколы и стандарты

Антивирусное обеспечение организации

Зима сетевые угрозы близко

Антивирусная защита (AV-защита) компаний призвана обеспечить безопасность данных, составляющих коммерческую тайну, а также всех остальных, хранящихся и используемых в корпоративной компьютерной сети и извне нее, но имеющих отношение к организации.

Важно учитывать, что если пользовательские антивирусы в основном отражают атаки вирусов, распространяющихся автоматически сразу на всех, то коммерческий AV-продукт уже должен "уметь" отражать индивидуальные несанкционированные попытки завладения информацией. Если злоумышленникам нет особого смысла стараться проникнуть на частный компьютер, то на компьютерную сеть организации уже вполне может быть предпринято серьезное вторжение по чисто коммерческим соображениям. И, чем выше капитализация компании, тем лучше должна быть AV-защита.

Если частное лицо задается вопросом "платить за антивирус, или не платить", то даже для малого бизнеса такой вариант неприемлем, так как компьютеры там работают не только с информацией, но и с электронными деньгами. В случае вирусной атаки убытки будут слишком значительными.

От корпоративного и "гражданского" антивируса требуются различные задачи. Например, продукт для простого пользователя должен "уметь" инсталлироваться на зараженный компьютер. То есть, когда вирус уже сработал, и пользователь "спохватился" об установке антивируса. Такая типичная для простого человека ситуация не должна происходить в организации. Там всегда установлен тот или иной антивирусный софт, который обязан постоянно обновляться. При этом от корпоративного антивируса сохраняется требование сложной задачи - "лечение" зараженной системы с восстановлением большого количества файлов. Корпоративный продукт отличается, он гораздо сложнее и стоит дороже пользовательского.

Компьютерный вирус - вредоносная программа, обладающая свойствами распространения, (аналогия с распространяющимися биологическими вирусами). Термин "вирус" применяют и к другим рукотворным объектам информационной среды, например "вирусные" рекламные ролики, информационные вбросы, фейки. Цели разработки компьютерных вирусов различные. Первоначально они возникли как любительские изыскания, затем перешли на серьезную коммерческую основу с появлением электронных денег, так как появилась прямая возможность их (деньги) похитить. Сейчас индустрия антивирусных программ защищает не только личные, коммерческие, но и корпоративные и государственные интересы.

Сигнатурный анализ невозможен без базы вирусов, которая содержит все опасные образцы кода. При этом нет никакой необходимости включать в базу буквально все, иначе она будет иметь слишком большой объем, и сравнение с ней затребует значительной вычислительной мощности. Достаточно добавить лишь те фрагменты кода, без которых создание программы, имеющей свойство самостоятельно распространяться (вируса), невозможно. Сигнатурный анализ повсеместно используется в антивирусном ПО, и сейчас переходит в интернет среду для анализа трафика на провайдерах.

База антивируса содержит не образцы вирусов, а сигнатуры - фрагменты кода, общие для многих вредоносных программ. Чем больше сигнатур содержит база - тем лучше защита, а чем меньше ее объем в байтах - тем меньше системных ресурсов потребляет антивирус.

Идеальный антивирус обеспечивает 100% защиту, потребляет ноль ресурсов и имеет ноль ложных срабатываний. Такого программного продукта не существует ни у одной компании в мире. К нему приближаются отдельные разработки, в различной степени и на основе чего составляются рейтинги. Но помните: кто обещает вам 100% гарантию защиты - эти люди просто напросто лукавят.

Для антивирусов важны объективные и независимые тесты надежности. Показатель защиты должен сопоставляться с потребляемой вычислительной мощностью, которая хотя и становится все более значительной, но не бесконечна. Вряд ли кому будут нужны антивирусы, сильно замедляющие работу компьютеров. Антивирусное ПО разрабатывается для различного железа: офисные компьютеры, мобильные устройства, специальное оборудование, например, медицинская техника, терминалы POS, промышленные компьютеры. В защите нуждается абсолютно все. Основные организации, тестирующие софт для AV-защиты и составляющие рейтинги и рекомендации:

• AV-Test.
• ICRT (Международная Ассамблея Потребительских Испытаний).
• Лаборатория Касперского.
• Роскачество.

AV-тест критически оценен лабораторией Касперского, которая официально призывает не доверять его сертификатам. Другие организации из этого списка отрицательных оценок в публичном поле не получали.

Самые первые антивирусы, появившиеся еще в 90-х годах, использовали только сигнатурный анализ. Количество всех известных вредоносных программ на то время было невелико, и их всех можно было занести в базу. Критерий защиты был простой - кто больше вирусов "знает", тот и лучше. Операционные системы того времени (на начало 2000-х годов) не обновлялись так часто, как сейчас, и поэтому имеющиеся уязвимости держались долго, что и использовалось многочисленными хакерскими группировками. Незначительное распространение вирусов при весьма слабых антивирусах связывалось с отсутствием прямой коммерческой заинтересованности. То есть автор вируса не получал денег напрямую от проводимых атак с помощью своего детища. С распространением электронных денег (и криптовалют в особенности), ситуация в корне поменялась.

После 2010 года антивирусы дополнились облачными технологиями, причем облако может быть не только файловым хранилищем, но еще и аналитическим центром по отслеживанию всех кибератак в мире, что чрезвычайно важно для их пресечения.

Чисто сигнатурный подход уже не актуален, так как производство компьютерных вирусов поставлено хакерскими группировками на поток. Их появляются тысячи в день.

Последней новинкой в антивирусной индустрии являются алгоритмы машинного обучения вкупе с облачными технологиями big-data. Именно такое решение предлагается в сегменте корпоративной AV-защиты. Защита от кибератак переходит на надгосударственный уровень. Появляются ассоциации кибербезопасности. Особенность современных антивирусов - кроссплатформенность и наличие версий для защиты специализированного оборудования, например терминалов POS, банкоматов, критических объектов "интернета вещей". Железо в этих устройствах имеет очень небольшую вычислительную мощность, что учитывается при разработке защитного ПО для них.

Программное обеспечение от Microsoft лицензировано для применения во многих организациях, в том числе и в ряде компаний государственного сектора. Факт почти повсеместного доверия к ПО этого гиганта IT-индустрии упрощает регистрацию антивирусов в организации. Microsoft Defender Antivirus при тестировании в лаборатории AV-Comparatives (коммерческие версии) уверенно справляется с банковскими троянами MRG-Effitas.

Встроенный "защитник Windows 10" (пользовательское название Microsoft Defender Antivirus) стал корпоративным антивирусом лишь недавно. Ранее в его лицензионном соглашении стояла рекомендация "только для частного применения" и лицензия не позволяла его применять не по назначению. С изменением правил он стал чуть ли не единственным бесплатным коммерческим антивирусом. Правда, пока что только для мелкого бизнеса с числом рабочих станций не более 10.

Крупному бизнесу приходится сталкиваться с угрозами иного уровня, чем частым лицам и мелким компаниям. В профессиональной среде это отмечается термином "целевые атаки", которые проводятся именно на крупный бизнес во всех странах мира. С целью защиты от них задействуются технологии машинного обучения, облачные данные и весь предыдущий опыт, в который входят десятки тысяч отраженных угроз, постоянный учет и коррекция ошибок. Корпоративные продукты от Касперского используют более 270000 компаний по всему миру. Примеры решений AV-защиты от всем известной компании:

• KasperskyAtniTargetedAttack (Основной антивирусный продукт для крупного бизнеса, помимо стандартных функций безопасности нацелен на выявление ранее неизвестных атак, где не походит сигнатурный метод).
• Kaspersky Endpoint Detection and Response ("внутренний" антивирус для обнаружения и пресечения инцидентов на местах внутри корпорации, а не интернета извне).
• KasperskyEmbeddedSystemsSecurity (для банкоматов и POS-терминалов с учетом требований их маломощного "железа").

Типовой антивирус для малого бизнеса. Использует технологии облачной защиты - подключение к ESET Live Grid с динамически обновляемыми базами и своевременными оповещениями о киберугрозах со всего мира, что ставит его на один уровень с передовыми продуктами Касперского. ESET NOD32 Antivirus Business Edition не работает на мобильных устройствах, поэтому подходит преимущественно для офисов со стандартными рабочими станциями. Корпорация ESET имеет хорошую репутацию, а тысячи компаний - значительный положительный опыт использования ее продукции.

Антивирусная защита постоянно совершенствуется по мере роста IT-технологий. В нее вкладываются значительные инвестиции, так как любая организация вне зависимости от своего масштаба заинтересована в кибербезопасности. AV-защита проводится в комплексе с другими технологиями и правилами информационной безопасности - то есть используется "эшелонированный" подход - на периметре сети устанавливается межсетевой экран следующего поколения с включенной системой предотвращения угроз, отдельно защищается электронная почта и доступ в интернет, все подозрительные файлы отправляются в песочницу и пр. Таким образом, система защиты становится похожа на луковицу - тем, что у нее также много слоев, и из-за этого преодолеть ее становится сложнее.

Кроме того, очень популярна практика установки на предприятиях устанавливается система DLP, отслеживающая попытки несанкционированного доступа и неправильного использования данных. Сотрудники проходят тренинги, обучение "цифровой гигиене", правилам защиты коммерческой тайны. Все используемое программное обеспечение должно быть лицензионным, где разработчики ради сохранения репутации гарантирует сохранность данных. Сервера снабжаются функцией резервного копирования, доступ к информации обеспечивается только для проверенных лиц, что обеспечивается системой СКУД.

Нам жаль, что статья не была полезна для вас :( Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации :) Просто оставьте свои данные в форме ниже.