Что такое общий поведенческий анализ вирус

Компонент Поведенческий анализ позволяет настроить реакцию Dr.Web на действия сторонних приложений, которые могут привести к заражению вашего компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные системные ветки реестра. При включении компонента Поведенческий анализ программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает систему от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами. Для определения вредоносности приложений используются наиболее актуальные данные облачного сервиса Dr.Web.

Чтобы включить или отключить компонент Поведенческий анализ

1. Откройте меню Dr.Web и выберите пункт Центр безопасности .

2. В открывшемся окне нажмите плитку Превентивная защита .

3. Включите или отключите компонент Поведенческий анализ при помощи переключателя
.

Рисунок 40. Включение/отключение компонента Поведенческий анализ

Параметры Поведенческого анализа

Настройки программы по умолчанию являются оптимальными в большинстве случаев, их не следует изменять без необходимости.

Чтобы перейти к параметрам компонента Поведенческий анализ

2. Нажмите плитку Поведенческий анализ . Откроется окно параметров компонента.

Рисунок 41. Параметры Поведенческого анализа

Вы можете задать отдельный уровень защиты для конкретных объектов и процессов и общий уровень, настройки которого будут применяться ко всем остальным процессам. Для задания общего уровня защиты на вкладке Уровень защиты выберите необходимый уровень из выпадающего списка.

Используется по умолчанию. Dr.Web запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствуют о попытке вредоносного воздействия на операционную систему. Также запрещаются низкоуровневый доступ к диску и модификация файла HOSTS приложениям, действия которых однозначно определяются как попытка вредоносного воздействия на операционную систему.

Блокируются только действия приложений, которые не являются доверенными.

Этот уровень защиты можно установить при повышенной опасности заражения. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.

В данном режиме защиты возможны конфликты совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра.

Этот уровень защиты необходим для полного контроля за доступом к критическим объектам Windows. В данном режиме вам также будет доступен интерактивный контроль за загрузкой драйверов и автоматическим запуском программ.

В этом режиме вы можете выбрать уровни защиты для каждого объекта по своему усмотрению.

Все изменения в настройках сохраняются в Пользовательском режиме работы. В этом окне вы также можете создать новый уровень защиты для сохранения нужных настроек. При любых настройках компонента защищаемые объекты будут доступны для чтения.

Вы можете выбрать одну из реакций Dr.Web на попытки приложений модифицировать защищаемые объекты:

• Разрешать — доступ к защищаемому объекту будет разрешен для всех приложений.

• Спрашивать — при попытке приложения модифицировать защищаемый объект будет показано уведомление:

Рисунок 42. Пример уведомления с запросом доступа к защищаемому объекту

• Блокировать — при попытке приложения модифицировать защищаемый объект приложению будет отказано в доступе. При этом будет показано уведомление:

Рисунок 43. Пример уведомления о запрете доступа к защищаемому объекту

Чтобы создать новый уровень защиты

1. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.

3. В открывшемся окне укажите название для нового профиля.

Чтобы удалить уровень защиты

1. Из выпадающего списка выберите созданный уровень защиты, который вы хотите удалить.

2. Нажмите кнопку . Предустановленные профили удалить нельзя.

3. Нажмите OK , чтобы подтвердить удаление.

Вы можете настроить вывод уведомлений о действиях компонента Поведенческий анализ на экран и отправку этих уведомлений на электронную почту.

Чтобы задать отдельные параметры доступа для конкретных приложений перейдите на вкладку Доступ приложений . Здесь вы можете добавить новое правило для приложения, отредактировать уже созданное правило или удалить ненужное.

Рисунок 44. Параметры доступа для приложений

Для работы с объектами в таблице доступны следующие элементы управления:

• Кнопка — редактирование существующих наборов правил.

• Кнопка — удаление набора правил.

Чтобы добавить правило для приложения

2. В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.

Рисунок 45. Добавление набора правил для приложения

3. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.

Целостность запущенных приложений

Данная настройка позволяет отслеживать процессы, которые внедряются в запущенные приложения, что является угрозой безопасности компьютера.

Файл HOSTS используется операционной системой для упрощения доступа к интернету. Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы.

Низкоуровневый доступ к диску

Данная настройка позволяет запрещать приложениям запись на жесткий диск посекторно, не обращаясь к файловой системе.

Данная настройка позволяет запрещать приложениям загрузку новых или неизвестных драйверов.

Критические области Windows

Прочие настройки позволяют защищать от модификации ветки реестра (как в системном профиле, так и в профилях всех пользователей).

Доступ к параметрам запуска приложений (IFEO):

• Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Драйверы мультимедийных устройств:

Параметры оболочки Winlogon:

• Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL

Автозапуск оболочки Windows:

• Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib

Ассоциации исполняемых файлов:

• Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (ключи)

• Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)

Политики ограничения запуска программ (SRP):

• Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Конфигурация безопасного режима:

Параметры Менеджера сессий:

• System\ControlSetXXX\Control\Session Manager\SubSystems, Windows

Если при установке важных обновлений от Microsoft или при установке и работе программ (в том числе программ дефрагментации) возникают проблемы, временно отключите Поведенческий анализ.

Как следует из определения, основными задачами антивируса является:

• Препятствование проникновению вирусов в компьютерную систему
• Обнаружение наличия вирусов в компьютерной системе
• Устранение вирусов из компьютерной системы без нанесения повреждений другим объектам системы
• Минимизация ущерба от действий вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы -

• Технологии сигнатурного анализа
• Технологии вероятностного анализа

Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа . Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

• Эвристический анализ
• Поведенческий анализ
• Анализ контрольных сумм

В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения.

Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Например, для внедрения в систему, почти каждый макровирус использует один и тот же алгоритм : в какой-нибудь стандартный макрос , автоматически запускаемый средой Microsoft Office при выполнении стандартных команд (например, " Save ", " Save As ", " Open ", и т.д.), записывается код, заражающий основной файл шаблонов normal. dot и каждый вновь открываемый документ.

Средства защиты, вшиваемые в BIOS , также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.

Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Как и в предыдущем случае, возможно выделение действий, однозначно трактующихся как неправомерные - форматирование жестких дисков без запроса, удаление всех данных с логического диска, изменение загрузочной записи дискеты без соответствующих уведомлений и пр. Тем не менее, наличие действий неоднозначных - например, макрокоманда создания каталога на жестком диске, заставляет также задумываться о ложных срабатываниях и, зачастую, о тонкой ручной настройке поведенческого блокиратора.

Анализаторы контрольных сумм (также используется название "ревизоры изменений") как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Подводя итоги обзора технологий, применяемых в антивирусах, отметим, что сегодня практически каждый антивирус использует несколько из перечисленных выше технологий, при этом использование сигнатурного и эвристического анализа для проверки файлов и именно в этом порядке является повсеместным. В дальнейшем средства, реализующие комбинацию сигнатурного и эвристического анализа, мы будем называть антивирусными сканерами.

Вторая группа технологий более разнородна, поскольку ни один из применяемых подходов не дает гарантии обнаружения неизвестных вирусов. Очевидно, что и совместное использование всех этих технологий не дает такой гарантии. На сегодняшний день лучшим способом борьбы с новыми угрозами является максимально быстрое реагирование разработчиков на появление новых экземпляров вирусов выпуском соответствующих сигнатур. Также, учитывая наличие активных вредоносных программ, необходимо не менее быстро реагировать на обнаружение новых уязвимостей в операционных системах и устанавливать соответствующие заплаты безопасности.

Формально, система поведенческого анализа антивируса - это механизм, построенный на технологии принятия решения о предоставлении доступа на основе анализа характера выполняемых объектом или программой действий. И, вероятно, для вас, читающих данные слова, эта фраза может звучать несколько пугающе, непонятно и слишком общо. Поэтому в рамках данной статьи будут изложены и пояснены некоторые важные аспекты, которые позволят даже самому начинающему пользователю понимать "что значат эти слова на самом деле".

Что такое поведенческий анализ?

Достаточно часто, за словами поведенческий анализ видят что-то уникальное и передовое, способное обезопасить вашу систему по максимуму. Однако, это так и не так одновременно. Поэтому для начала необходимо понять, что означают слова "поведенческий анализ". Если по простому, то это умозаключения, которые делаются на основе наблюдения за объектом, другими словами "видим что-то странное - бьем тревогу". К примеру, если программа для редактирования изображений вдруг начала пытаться менять файлы операционной системы Windows или передавать ваши личные данные "куда-то" в интернет, то это, как минимум, странно и стоит такие действия запретить.

Исходя из всего выше сказанного и немного упростив определение, под поведенческим анализом можно понимать простое сравнение текущих действий со списками разрешенных и неразрешенных действий для данной программы или объекта. Другими словами, кто-то когда-то сел и записал все действия, которые разрешены и которые не разрешены для каждого типа программ, а затем стал использовать для определения вирусов, троянов и прочих вредоносных программ. И не более.

Что делает система поведенческого анализа антивируса?

Система поведенческого анализа антивируса, по сути, состоит из двух частей. Первая, это большая база со списками разрешенных и неразрешенных действий, которые могут дополняться или изменяться (например, если система подразумевает режимы обучения и прочие механизмы). В более сложном представлении, это не только действия, но и цепочки действий (например, нельзя перед закрытием документа записывать часть себя в другие документы, как поступают некоторые вирусы), комплексы действий и прочее. Вторая, это система датчиков, которые позволяют отслеживать действия объектов и программ в системе.

Все вышесказанное означает, что система поведенческого анализа антивируса просто закрывает большую часть возможных дыр в системе, которыми могут воспользоваться вредоносные программы. Первая часть перечисляет весь набор, а вторая часть следит за тем, какие действия выполняются в системе. Например, первая часть гласит - никакие программы не должны иметь возможность отформатировать ваш диск без запроса вам; вторая же часть - отслеживает выполнение этого правила.

Тем не менее, тут важно заметить один тонкий момент, от того, что в базе есть какое-то правило, как из примера выше, вам не будет гарантировано то, что в системе такого никогда не случится. Хитрость заключается в датчиках (их количестве и качестве). Если злоумышленник нашел путь, как выполнять действия в обход датчиков, то система поведенческого анализа антивируса, увы, никак не поможет защитить операционную систему.

Какие преимущества дает система анализа поведения программ антивирусам?

Системы поведенческого анализа дают достаточно серьезные преимущества антивирусным программам. За счет закрытия возможных дыр в системе безопасности, такие механизмы позволяют блокировать неизвестные вирусы и вредоносные программы еще до того, как последние станут известными. Кроме того, поведенческие системы не занимаются анализом самих файлов, что позволяет им действовать в режиме реального времени, практически не нагружая ваш компьютер, в отличии от проверки всех данных файла по постоянно растущей базе вирусов.

Важно заметить, что многие вирусы, трояны и вредоносные программы используют одни и те же ошибки и возможности операционной системы. На практике это означает, что антивирусы со старыми базами сигнатур вирусов (специальный код, позволяющий определить наличие вируса в файле), но с хорошо сделанными системами анализа поведения программ, вполне могут достойно защищать компьютер в течении многих лет, конечно, при условии, что последний не стал целью упертого злоумышленника.

Тем не менее, стоит понимать, что потенциал систем поведенческого анализа изначально ограничен их базами правил и набором датчиков с их возможностями. Не стоит ждать от них того, что они не могут.

Ложные обнаружения системами поведенческого анализа антивирусов

Как вы, наверное, уже поняли, системы поведенческого анализа антивирусов представляют из себя некий набор предположений и механизм по их отслеживанию. Но, там где есть предположения, всегда будет вероятность наличия ошибок или недочетов (неучтенных моментов). Так, например, антивирус может заблокировать одну из неизвестных антивирусу утилит безопасности (популярные средства безопасности обычно вносятся в специальный список исключений) просто потому, что утилита попыталась выполнить свое прямое назначение - повысить уровень безопасности, путем изменения настроек защиты операционной системы или, скажем, браузера. Или, например, если брать те же документы, то некоторые макросы специально могут перед закрытием документа вносить корректировки в соседние документы для автоматической синхронизации данных (скажем, запись значений ячеек таблиц из одной книги Excel в соседние книги). Такие действия система поведенческого анализа легко может посчитать вирусными и заблокировать. Если вам интересно, то в интернете можно найти массу казусов на этот счет.

Для решения таких "неказистых" ситуаций применяются разные средства, начиная от пользовательских списков исключений программ и заканчивая режимами обучения с профилями. Тем не мене, какой бы механизм не применялся для минимизации ложных обнаружений, вероятность последнего всегда будет существовать. В этом смысле проверка по базе сигнатур более выгодна (более подробно о ложном обнаружении антивирусами).

Теперь, вы знаете о системах поведенческого анализа антивирусов немного больше и не будете путаться в больших и громоздких словах.

Многие вирусы могут очень долго присутствовать в организме и циркулировать в крови, до поры до времени не вызывая никаких неприятностей. Однако это вовсе не значит, что они безопасны. Лабораторные анализы на вирусы позволяют выявить наличие последних, даже если никаких симптомов нет.

Анализы на вирусы: какие инфекции они выявляют

Для выявления вирусов лаборатории проводят исследования крови несколькими методами. Наибольшее распространение на сегодня получили ПЦР и иммуноферментный (ИФА) анализы.

Иммуноферментный анализ крови определяет наличие антител к вирусам (или антигенов к ним) в крови — иммуноглобулины (lgA, lgG, lgM) вырабатываются при заражении вирусами и являются своеобразными маркёрами инфекции.

Анализ на ДНК вируса, или ПЦР-исследование, позволяет выявить тип инфицирующего агента.

В качестве биоматериала для исследования обычно берут кровь. Анализ крови может подтвердить гепатит, герпес и вирус Эпштейна-Барра, аденовирус, различные половые инфекции (в том числе и сифилис), вирус иммунодефицита человека (ВИЧ) и другие инфекции. Однако кровь не единственный биоматериал, пригодный для выявления вирусных поражений. В зависимости от заболевания и симптомов, для анализа на вирусы сдают соскоб слизистой оболочки, кал, мочу, мазок, слюну.

Как мы уже отмечали, исследование крови на вирусы можно проводить двумя разными способами. Расскажем о них подробнее.

Иммуноферментный метод анализа на вирусы позволяет установить форму болезни, вызванной вирусом (хроническая, острая или бессимптомная), а также оценить эффективность противовирусной терапии. Это один из самых распространенных и точных методов для выявления половых инфекций, в частности ВИЧ и ВПЧ, гепатита В.

Для анализа на вирусы чаще всего сдается кровь. Обязательно предупредите врача, если вы недавно проводили вакцинацию, — этот факт может отразиться на точности анализов. Рекомендуется не принимать пищу на протяжении 8-ми часов перед забором биоматериала, а также воздержаться от употребления алкоголя и от курения.

Время ожидания результатов зависит от типа вируса, на который проводится анализ, и от методики работы лаборатории. Обычно результаты готовы через 1–3 дня, но иногда приходится ждать и 2 недели.

Рассказать о том, каким образом следует трактовать результаты анализов на все виды вирусов, в рамках одной статьи невозможно. Далее мы поговорим лишь о наиболее известных заболеваниях и о часто назначаемых исследованиях.

В случае проведения анализа методом ИФА наличие IgG в крови на гепатит говорит о том, что этот вирус в организме присутствовал, но иммунная система выработала к нему антитела. Присутствие одновременно антител класса IgM и IgG говорит о заболевании в острой форме. Иммуноглобулины только класса IgM — признак первичного инфицирования.

При проведении исследования методом ПЦР определяется РНК вируса. Результаты могут быть приведены в следующем формате:

• РНК вируса не выявлена.
• РНК вируса выявлена в концентрации ниже предела количественного определения (менее15 МЕ/мл). Сомнительный результат.
• РНК вируса гепатита С выявлена (от 15 и выше 100000000 МЕ/мл).

Для выявления этого вируса гепатита чаще всего назначается ИФА. Если в крови присутствуют антитела IgG и IgM, это значит, что вирус очень активен или же заражение произошло недавно.

В случае проведения ПЦР-анализа определяется концентрация фрагментов ДНК вируса гепатита В. Пациент получает результат с одной из приведенных трактовок:

• Не обнаружено.
• Сомнительный результат (результат положительный с концентрацией ДНК вируса гепатита В на границе точности метода).
• Обнаружено.

Если говорить о трактовке ИФА, то наличие антител, обозначаемых как Anti-HSV-IgG, говорит не об иммунитете к вирусу, а о том, что вы уже были когда-то инфицированы. Этот маркёр наблюдается у большинства пациентов. Если показатель anti-HSV-IgG в пробах, взятых в динамике за 2-недельный период, заметно растет, это значит, что заражение произошло недавно. О рецидиве говорит высокий показатель IgG.

Расшифровка анализа крови на ВИЧ очень проста — если результат отрицательный, это значит, что вирус не обнаружен, если положительный — увы, вирус в крови есть. Но следует знать, что сегодня даже самые надежные методы точны лишь на 98–99%, то есть всегда остается шанс, что результат будет, например, ложноположительным.

При анализе на аденовирус, вызывающий респираторные заболевания, применяется в основном ИФА. В ходе анализа подсчитываются IgG-антитела. Если показатель менее 0,8 условных единиц — результат отрицательный, более 0,8 — положительный.

Не пре­не­бре­гай­те про­фи­лак­ти­чес­ки­ми ана­ли­за­ми на ви­ру­сы. Ран­нее вы­яв­ле­ние ин­фек­ции по­зво­ля­ет от­сро­чить или по­да­вить раз­ви­тие за­бо­ле­ва­ния. В слу­чае же бе­ре­мен­нос­ти сда­ча био­ма­те­ри­а­ла на ана­лиз с целью вы­яв­ле­ния ви­рус­ных ин­фек­ций яв­ля­ет­ся обя­за­тель­ной про­це­ду­рой. По­во­дом для про­хож­де­ния ис­сле­до­ва­ния так­же мо­жет стать по­вы­шен­ный уро­вень лей­ко­ци­тов в кро­ви, сдвиг лей­ко­ци­тар­ной фор­му­лы, уве­ли­че­ние ко­ли­чест­ва нейтро­фи­лов (па­лоч­ко­ядер­ных), ми­е­ло­ци­тов и ме­та­ми­е­ло­ци­тов, сни­же­ние чис­ла лим­фо­ци­тов при вы­со­кой СОЭ в ре­зуль­та­тах кли­ни­чес­ко­го ана­ли­за кро­ви.

Аннотация

Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных. В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась. Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала.

С развитием Ransomware появляются и средства противодействия им. В первую очередь это открытый проект No more Ransom! (www.nomoreransom.org), предоставляющий жертвам атак средства дешифрования данных (в случае вскрытия ключа шифрования), во вторую – специализированные open-source средства защиты от вирусов-шифровальщиков. Но и они либо анализируют поведение ПО по сигнатурам и не способны обнаружить неизвестный вирус, либо обеспечивают блокировку вредоносного ПО после его воздействия на систему (шифрования части данных). Специализированные Open-source решения применимы интернет-пользователями на личных / домашних устройствах, крупным организациям, обрабатывающим большие объемы информации, в том числе критичной, необходимо обеспечивать комплексную проактивную защиту от направленных атак.

Проактивная защита от направленных атак и Ransomware

Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:

• Воздействие на периметр локальной вычислительной сети из интернета возможно через:
• корпоративную электронную почту;
• веб-трафик, в том числе веб-почту;
• периметровый маршрутизатор / межсетевой экран;
• сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
• системы защищенного удаленного доступа.
• Воздействие на серверы, рабочие места пользователей по сети:
• загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
• использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
• загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
• подключение к локальной сети нелегитимных устройств.
• Прямое воздействие на информацию на серверах, рабочих местах пользователей:
• подключение внешних носителей информации с вредоносом;
• разработка вредоносных программ прямо на конечной точке / сервере.

Для уменьшения вероятности реализации угрозы для каждого типа доступа к защищаемой информации необходимо обеспечивать выполнение комплекса организационно-технических мер по защите информации, перечень которых отражен на рисунке (см. Рисунок 1)

Рисунок 1. Проактивные меры защиты от направленных атак и Ransomware

К основным организационным мерам проактивной защиты от направленных атак и Ransomware относятся:

• Повышение осведомленности сотрудников в области ИБ.
  Необходимо регулярно проводить обучение сотрудников и информировать их о возможных угрозах ИБ. Минимальной и необходимой мерой является формирование принципов работы с файлами и почтой:
  o не открывать файлы с двойным расширением: настроить для пользователей отображение расширений, чтобы идентифицировать вредоносные файлы с двойными расширениями (например, 1СRecord.xlsx.scr);
  o не включать макросы в недоверенных документах Microsoft Office;
  o проверять адреса отправителей почтовых сообщений;
  o не открывать ссылки на веб-страницы, почтовые вложения от неизвестных отправителей.
• Оценка эффективности защиты как внутри организации, так и с привлечением внешних специалистов.
  Оценивать эффективность обучения персонала необходимо при помощи моделирования атак, как внутренних, так и с участием внешних специалистов — проводить тесты на проникновение, в т. ч. с использованием метода социальной инженерии.
• Регулярное обновление системного ПО (Patch Management).
  Для предотвращения атак вредоносного ПО на целевые системы через известные уязвимости необходимо обеспечить своевременное тестирование и установку обновлений системного и прикладного ПО с учетом приоритизации по степени критичности обновлений.
• Систематизация резервного копирования данных.
  Необходимо регулярно выполнять резервное копирование критически важных данных серверов информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться на ленточных библиотеках системы хранения данных, на отчуждаемых носителях информации (при условии, что носитель информации не подключен постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.

Технические мероприятия проактивной защиты от направленных атак и Ransomware предпринимаются на уровне сети и на уровне хоста.

Дополнительно к вышеперечисленным мерам предотвратить направленную атаку в корпоративной сети поможет следующее:

• Обеспечение регулярного анализа защищенности ИТ-инфраструктуры — сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
• Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.

Приоритезация мер защиты от вирусов-вымогателей

Надежная комплексная защита от направленных атак обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:

• Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
• Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
• Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.

Рисунок 2. Приоритизация мер защиты от трояна-вымогателя

Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей Интернет, для которых также применимы отдельные меры по предотвращению заражения:

• своевременная установка обновлений системного ПО;
• использование антивирусов;
• своевременное обновление баз сигнатур антивирусов;
• использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.

Меры защиты для мобильных устройств:

• Для корпоративного сектора:
  o использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
  o для защиты корпоративных данных на мобильных устройствах пользователя — системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
  o использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
• Для конечных пользователей:
  o использование официальных магазинов для установки приложений;
  o своевременное обновление системного ПО;
  o исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.

Выводы

Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего. В связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе и потребность в обеспечении комплексной защиты.