Что на самом деле делают антивирусы: обзор алгоритма работы защитного ПО
Современные корпоративные системы требуют средств защиты высочайшего качества, ведь для того, чтобы вывести из строя ИТ-инфраструктуру и остановить бизнес-процессы компании, достаточно проникновения всего одного вредоносного файла. Мы расскажем, как современные антивирусы противостоят угрозам и на что обращать внимание при выборе антивирусного ПО. Для выбора поставщика перейдите на страницу ИТ-маркетплейса Market.CNews (вкладка «ИТ-безопасность»).
Разнообразие выбора
На рынке существует большое количество разработчиков антивирусного программного обеспечения. Большая часть — это иностранные производители, но есть и отечественные компании, предлагающие средства защиты высокого уровня. Как правило, производители ПО имеют в своем портфеле решений сразу несколько различных продуктов, выполняющих разный функционал. Это позволяет покрывать потребности всех категорий клиентов — от малого бизнеса до международных корпораций.
В этом многообразии главная задача бизнеса — выбрать максимально сбалансированный набор технологий, который будет эффективно обеспечивать безопасность конкретной ИТ-инфраструктуры. Ниже рассмотрим алгоритм работы антивирусного ПО относительно различных компонентов корпоративной сети.
Объекты защиты
Корпоративная инфраструктура состоит из множества узлов сети, для каждого из которых необходимы индивидуальные алгоритмы защиты от киберугроз. Самыми критичными объектами, нуждающимися в защите от вирусов, являются:
- Рабочие станции организаций (компьютеры и ноутбуки)
- Мобильные устройства (смартфоны и планшеты)
- Сервера (файловые и почтовые)
- Локальная сеть организации
- Сеть интернет
Как работает антивирус
Антивирусное ПО беспрерывно выполняет комплекс мероприятий, который обеспечивает защиту корпоративной сети в целом. Независимо от объекта защиты основной алгоритм работы состоит из следующих действий:
- Мониторинг и фильтрация выполняемых процессов
- Предотвращение заражения
- Восстановление
Рассмотрим более подробно каждое из них.
Мониторинг и фильтрация выполняемых процессов
В настоящее время проникновение угроз возможно через любые каналы передачи информации, поэтому крайне важно обеспечить фильтрацию всей входящий информации, а также вести беспрерывный мониторинг активности защищаемых объектов. Именно выявление подозрительной активности позволяет своевременно предотвратить заражение.
Защита от атак на локальную сеть
Основной задачей антивирусного ПО в части защиты локальной сети компании является мониторинг всего проходящего трафика. Антивирус занимается выявлением опасных сетевых событий, например наличия внештатной сетевой коммуникации. Мониторинг осуществляется путем фильтрации сетевых пакетов и потоков данных, а также исследования текущей активности ПО при работе с сетью. В случае выявления подозрительных инцидентов защитное ПО блокирует опасное соединение.
Безопасность веб-узлов или файрвол
В части защиты веб-узлов антивирусом можно выделить два направления.
Первое — это использование производителями баз данных веб-адресов, в которые занесены как известные вредоносные и фишинговые сайты, так и безопасные ресурсы. От актуальности данных списков зависит скорость реакции антивируса на загрузку потенциально опасного ресурса. При столкновении с сайтом из категории потенциально опасных ресурсов его загрузка будет автоматически остановлена.
Второе направление — это контроль и анализ загружаемого контента с неизвестных веб-ресурсов. Антивирус осуществляет анализ неизвестного HTML-кода во время его загрузки и предотвращает загрузку в случае выявления опасности. Данный анализ проводится для любых точек входа информации, где может присутствовать веб-адрес (например, электронная почта или сообщение в мессенджере).
Контроль подключаемых устройств
Еще одна полезная функция — контроль подключения устройств. В рамках данных мероприятий антивирусное ПО распознает тип подключаемого устройства и определяет легитимность выполняемого действия.
Контроль исполнения
Поиск вредоносного поведения должен проводиться не только относительно новых файлов, но и внутри доверенной среды. В ходе анализа оценивается поведение всех активных компонентов, включая доверенные приложения и системные компоненты. Такой подход позволяет выявлять заражения, которые дают о себе знать лишь спустя какое-то время.
Предотвращение заражения
Успешным заражением считаются те случаи, когда вредоносному коду удалось не только попасть в сеть или на устройство, но и начать производить вредоносные действия. Для того, чтобы обеспечить своевременное предотвращение исполнения вредоносных программ, необходим непрерывный анализ всех работающий объектов системы, которых в современных инфраструктурах большое количество.
Мониторинг уязвимостей
В самом начале построения системы безопасности важно проанализировать инфраструктуру на наличие имеющихся и потенциальных уязвимостей. С этой задачей также может помочь справиться антивирусное ПО (в зависимости от выбранного типа лицензий). Система проанализирует сеть на наличие уязвимостей в компонентах операционной̆ системы и стороннего ПО, а также предложит пути их устранения. Помимо этого, будет осуществляться контроль обновления ПО для обеспечения наличия актуальных версий установленных программ, что в свою очередь значительно снижает количество уязвимостей и возможность заражения.
Контроль запуска программ
В этой части важно создать белый список программ и четкие правила их использования. Тогда, при наличии таких правил, у неавторизированных программ не будет возможности загрузиться на устройстве. В таком подходе администратор сам определяет необходимые программы для выполнения бизнес-задач организации, а антивирусное ПО облегает и структурирует создание и настройку белых списков, а также обеспечивает исполнение заданных правил.
Встроенная песочница
Среди функционала антивирусного ПО можно встретить такое понятие, как песочница. Это удобное решение для защиты основной операционной системы от заражения через запуск ненадежных программ. Песочница является своего рода простой виртуальной машиной или изолированной средой, в которой выполняется загрузка ненадежной или подозрительной программы. Доступ к реальной инфраструктуре в таком решении сильно ограничен.
Различные виды анализа
Чем больше технологий выявления угроз применяет антивирусное ПО, тем система защиты становится более многокомпонентной, что значительно повышает уровень безопасности.
Процесс восстановления
Заражением считается процесс исполнения вредоносного кода. В этой ситуации должно происходить экстренное реагирование на угрозу системы защиты. Как правило антивирусное ПО блокирует потенциально опасную активность и выполняет комплекс мер, нацеленных на возврат к прежнему состоянию среды, подвергшейся атаке. В ходе автоматического отката происходит отмена изменений, возвращая структуру к исходному состоянию.
В сложных ситуациях (когда зловред серьезно повредил систему) может понадобиться лечение активного заражения с перезагрузкой защищаемого объекта. В этом случае происходит поиск и замена системных компонентов, оказавшихся зараженными, на оригинальные исходники. Таким путем система приводится к стабильной работе.
Вывод
Вместе с антивирусным программным обеспечением развиваются и совершенствуются алгоритмы вредоносных кодов. Чем больше технологий выявления угроз применяет антивирусное ПО, тем система защиты становится более многокомпонентной, что значительно повышает уровень безопасности.
Защищенным должно быть каждое устройство, имеющееся в корпоративной сети, иначе даже один незащищенный узел может оказаться настоящим проводником для большого количества вредоносных программ, способных вывести из строя всю инфраструктуру.
Для выбора поставщика решения для ИТ-безопасности рекомендуем воспользоваться ИТ-маркетплейсом Market.CNews (вкладка «ИТ-безопасность»).