Контентная фильтрация — четыре рубежа защиты от вредоносных программ

Говоря о современных интернет-угрозах, прежде всего стоит задуматься о целях атакующих нас злоумышленников. А хотят они простого – либо отнять у нас деньги, либо воспользоваться нашими компьютерами для пополнения своих бот-сетей, которые представляют собой средство производства современного кибер-преступника: спам, DDoS – все, что пожелаете за ваши деньги.

Нас атакуют – мы защищаемся

В общем случае атака происходит в два этапа.

1. Инициирование – пользователь переходит по ссылке на страницу, содержащую вредоносный код, либо загружает инфицированный файл на свой компьютер. В первом случае активный контент, который скрыт в web-странице, выполняется на атакуемом компьютере. Во втором – инфицированный файл тем или иным способом запускается на выполнение;
2. Выполнение полезной нагрузки – вредоносная программа отправляет в центр управления (С & C) документы, пароли, снимки экранов, последовательности нажатий клавиш и тому подобные вещи с целью получения коммерческой выгоды абсолютно незаконным путем либо выполняет команды владельца бот-сети (DDoS, спам), что также является абсолютно криминальным способом его обогащения.

Защита может осуществляться как на серверах и клиентских компьютерах (всегда актуальные классические антивирусные средства), так и на шлюзе на границе защищаемого периметра (контентные фильтры). Еще несколько лет назад шли ожесточенные споры о том, какие средства обеспечивают лучшую защиту и какие следует применять. На сегодня эти споры уже история. Все согласились с мнением, что в борьбе с компьютерным криминалом все средства хороши и наилучший результат дает как раз сочетание персональных и шлюзовых средств защиты.

Исторически подавляющее большинство антивирусных пакетов предназначалось, в первую очередь, для предотвращения инфицирования. И сейчас огромные усилия прилагаются именно для предотвращения проникновения вредоносного кода на атакуемые хосты. Несмотря на эти усилия, по ряду объективных причин, предотвратить инфицирование удается далеко не всегда. В чем же причина?

Во-первых, авторы вредоносных программ всеми имеющимися средствами пытаются предотвратить детектирование своих произведений популярными антивирусными средствами и, в большинстве случаев, тестируют свои произведения на актуальных версиях решений ведущих компаний-разработчиков антивирусных средств.

Очень интересный пример маскировки вредоносного кода описан в статье эксперта Лаборатории Касперского Марты Янус, опубликованной на ресурсе www.securelist.com 15 июня 2011 года. Прочитав упомянутую статью, начинаешь понимать, насколько изощренными и в своем роде изящными методами пользуются криминальные программисты для того, чтобы защитить свои программы от обнаружения и уничтожения.

Во-вторых, часто довольно трудно отличить вредоносный код от легитимного. Неплохим примером подобного кода является переадресация (drive-by) на «заряженную» атакующим кодом web-страницу. Сам по себе переход по ссылке безопасен, однако перестает быть таковым, когда ведет на зараженный вредоносным кодом ресурс. В данном случае важно то, что пользователь, как правило, даже не подозревает о том, что между делом посетил какой-то неизвестный ему web-ресурс и вернулся оттуда с «подарком» от неизвестных хакеров.

Вывод: сегодня избежать инфицирования для компьютеров, которые выходят в Интернет, довольно трудно, особенно если не проявлять необходимую осторожность в браузинге. Однако большинство применительно к интернет-безопасности все-таки руководствуется пословицами типа «тормоза придумал трус» и не беспокоится об инфицировании до тех пор, пока не ощутит на себе воздействие вредоносного кода в полной мере.