Без доступа в интернет сейчас невозможна деятельность ни одной организации. Информационный обмен, расчеты, контакт с подрядчиками, клиентами, удаленными сотрудниками являются ежедневной рутиной любого бизнеса. Для государственных организаций нормой является прием и отправление электронных документов, прием запросов от граждан, электронные приемные и т. д. Понятно, что любые коммуникации — это уязвимости в броне любого суперзащищенного механизма. Какие угрозы могут проникнуть из интернета?
Вирусы — это самое первое, что приходит в голову. Они стары, как сама сеть, но не утрачивают свою актуальность, а развиваются вместе с ней. Вирусные программы крадут коммерческую тайну и персональные данные, разрушают информационную инфраструктуру, повреждают базы данных, вымогают деньги и проводят диверсии, разрушают репутации и приводят к миллионным и миллиардным убыткам. Для того чтобы защититься от них, мы должны быть квалифицированными пользователями средств защиты так же, как мы научились разбираться в офисных приложениях, специализированных программах и офисной технике.
Какие основные способы борьбы с вредоносными программами?
Антивирусы — это основной метод борьбы. Нельзя полагаться на встроенные антивирусные утилиты операционных систем или интернет-провайдеров: комплексную защиту обеспечивают только самостоятельные продукты. Они защищают от разнообразных вирусов, троянов, интернет-червей, и программ-шпионов, но, кроме того, от спама, руткитов и других вредоносных программ. Несмотря на многообразие предложения, идеального продукта на данный момент нет. Антивирусную программу, записанную на загрузочный диск или флешку, нужно иметь под рукой на случай, если компьютер заблокирует СМС-вымогатель.
Следует отметить, что антивирусом следует проверять не только сам компьютер, но и съемные носители. В некоторых компаниях это включено в регламент использования вычислительной техники. Даже если флешка передана вам самым надежным человеком, ее стоит проверить, потому, как и надежный человек может стать жертвой злоумышленников и получить вирус в компьютер.
Файерволы или брандмауэры — лучшая защита компьютеров в локальных сетях, но они не эффективны для того, для чего используются антивирусы, поэтому их нужно использовать параллельно. При этом нужно обратить внимание на то, чтобы файервол не конфликтовал с антивирусом.
Не следует пренебрегать обновлением операционных систем. Не секрет, что злоумышленники часто пользуются уязвимостями ОС. Для них это выгодно, так как дает им инструмент проникновения сразу во многие компьютеры. Но разработчики тоже не дремлют, и наиболее опасные уязвимости они стремятся ликвидировать. В каждом новом обновлении уязвимостей меньше. И, конечно, не следует пользоваться пиратским ПО. Во-первых, вы будете лишены поддержки разработчика, а во-вторых, в пиратской копии может содержаться дополнительный зловред.
Отключение «Удаленного помощника». Программа, с помощью которой любой пользователь, имеющий специальный файл приглашения, может подключиться к компьютеру и управлять им, является опасной уязвимостью. Его не следует держать включенным в фоновом режиме, использовать только по необходимости, а в остальное время держать деактивированным.
Контроль учетных записей. Каждый пользователь должен иметь свою учетную запись. Тогда, если без ведома пользователя на компьютере будет запущена программа, она будет заблокирована при смене пользователя. Кроме того, не все вирусы умеют обходить барьер в виде системного контроля учетных записей. Используйте только защищенный браузер! Программа, взаимодействующая непосредственно с интернетом, стоит того, чтобы ее выбирать так же тщательно, как и антивирус.
Выбирайте наиболее защищенный браузер, к которому можно добавить дополнительные защиты. То же самое можно сказать и о почтовом клиенте. Отдельные программные клиенты предлагают большую функциональность, чем бесплатные почтовые серверы. Из почтовых программ следует выбирать те, в которых имеется модуль антивируса и уметь сканировать локальные почтовые базы. Правильный почтовый клиент проверяет письма буквально на лету, и в случае подозрений отправлять письма в карантин.
Еще несколько дополнительных правил. Следует осторожно относиться к файлам, пришедшим из соцсетей. Стоит убедиться, что они не идут с зараженного компьютера. Сканировать компьютер антивирусом следует ежедневно. Если вы передаете свой компьютер другому лицу, то для него стоит создать дополнительную учетную запись.
Для исследования новой программы на предмет, не является ли она вредоносной или не делает ли нежелательные действия на вашем компьютере, существует режим «песочница», или «лаборатория», или «заморозка». Это режим, при котором создается изолированная среда, так, что даже если обнаружится вредоносность программы, она не сможет нанести вред всей системе. Те, кто пользуется такой программой, говорят, что сюрпризов можно ожидать и от безобидных, и от вполне законных продуктов.
Компании организуют системную защиту пользователей с помощью комплекса «антивирус + файервол + система контроля пользователей». Такой подход позволяет организовать надежную защиту, в которой составные части дополняют друг друга.
Система контроля событий системы и действий пользователей StaffCop Enterprise может служить надежным дополнением системы комплексной защиты с помощью следующих функций.
StaffCop осуществляет полный контроль сетевой активности пользователей операционной системы Windows. Можно создавать в системе «белые» и «черные» списки сайтов, согласно которым пользователи могут иметь или не иметь к ним доступ. Все действия пользователей в сети фиксируются, ведется запись видео экрана, создаются теневые копии файлов, которые закачиваются в интернет и скачиваются оттуда. При нарушении политик безопасности действия пользователей могут быть заблокированы или администратору поступит оповещение об опасном действии.
Функция удаленного администрирования не только выполнит роль «удаленного помощника», но в случае опасности позволит администратору или сотруднику службы безопасности перехватить управление компьютером. С помощью функции «квадратор» сотрудник СБ может контролировать на своем экране до 16 рабочих мест пользователей.
StaffCop контролирует использование учетных записей. Если кто-то воспользуется учетной записью отсутствующего, уволенного или сотрудника, находящегося на выходном или на больничном, последует сигнал опасности.
С помощью системы StaffCop администратор всегда знает, какие программы и приложения используются в организации. Функция «Инвентаризация» с заданной периодичностью проводит сравнение содержимого рабочих станций со списком, заданным при установке агента, и в случае расхождения оповещает администратора. Отчет «Инвентаризация — Приложения» позволяет контролировать, не используется ли вредоносное, постороннее или нелицензионное ПО. Кроме того, возможна настройка алерта в случае запуска определенных программ. В StaffCop также возможно организовать режим «песочница» для нового или подозрительного ПО. И, конечно, при возникновении инцидента с помощью StaffCop возможно проведение полного доказательного расследования.
В организациях, как правило, защита организована не только техническими, но и административными мерами. В частности, предусмотрены организационные мероприятия для обеспечения комплексной защиты корпоративной сети. Они должны включать следующие положения:
- использование антивирусного ПО надежных поставщиков и официальных представителей компаний-разработчиков;
- антивирусная проверка почтовых серверов организуется централизованно, распространяется на всю корреспонденцию, поступающую извне и курсирующую внутри организации в масштабе реального времени;
- Процедура сканирования и обезвреживания вредоносных программ проводится раз в сутки;
- Оперативная память проверяется на предмет обнаружения вирусов принудительно, такая же процедура для важнейших и наиболее используемых каталогов.
В случае массового компьютерного заражения всем пользователям предписывается временный запрет пользования системой. Формируется специальная группа, которая занимается определением очередности восстановления рабочих станций. Участники этой группы распределяются по участкам и проводят «лечение» с помощью «чистых USB, CD/DVD носителей. Компьютеры, для которых проведены восстановительные мероприятия, могут быть разблокированы. В организации вводится временный запрет на использование съемных носителей, который отменяется особым распоряжением.
В заключение еще раз обращаем ваше внимание на тот факт, что полноценная защита внутренней сети от вредоносных программ — это, с одной стороны, комплексная защита, с другой стороны, постоянное обучение и инструктирование всех сотрудников и пользователей.
#кибератака #информационнаябезопасность #антивирус #заражение
