По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Что такое антивирусная защита? Примеры решений
Антивирусная защита (AV-защита) компаний призвана обеспечить безопасность данных, составляющих коммерческую тайну, а также всех остальных, хранящихся и используемых в корпоративной компьютерной сети и извне нее, но имеющих отношение к организации.
Важно учитывать, что если пользовательские антивирусы в основном отражают атаки вирусов, распространяющихся автоматически сразу на всех, то коммерческий AV-продукт уже должен "уметь" отражать индивидуальные несанкционированные попытки завладения информацией. Если злоумышленникам нет особого смысла стараться проникнуть на частный компьютер, то на компьютерную сеть организации уже вполне может быть предпринято серьезное вторжение по чисто коммерческим соображениям. И, чем выше капитализация компании, тем лучше должна быть AV-защита.
Если частное лицо задается вопросом "платить за антивирус, или не платить", то даже для малого бизнеса такой вариант неприемлем, так как компьютеры там работают не только с информацией, но и с электронными деньгами. В случае вирусной атаки убытки будут слишком значительными.
От корпоративного и "гражданского" антивируса требуются различные задачи. Например, продукт для простого пользователя должен "уметь" инсталлироваться на зараженный компьютер. То есть, когда вирус уже сработал, и пользователь "спохватился" об установке антивируса. Такая типичная для простого человека ситуация не должна происходить в организации. Там всегда установлен тот или иной антивирусный софт, который обязан постоянно обновляться. При этом от корпоративного антивируса сохраняется требование сложной задачи - "лечение" зараженной системы с восстановлением большого количества файлов. Корпоративный продукт отличается, он гораздо сложнее и стоит дороже пользовательского.
Виды угроз
Компьютерный вирус - вредоносная программа, обладающая свойствами распространения, (аналогия с распространяющимися биологическими вирусами). Термин "вирус" применяют и к другим рукотворным объектам информационной среды, например "вирусные" рекламные ролики, информационные вбросы, фейки. Цели разработки компьютерных вирусов различные. Первоначально они возникли как любительские изыскания, затем перешли на серьезную коммерческую основу с появлением электронных денег, так как появилась прямая возможность их (деньги) похитить. Сейчас индустрия антивирусных программ защищает не только личные, коммерческие, но и корпоративные и государственные интересы.
Но "вирус" - это несколько устаревшее название, которое, тем не менее, до сих пор крайне популярно в непрофессиональных кругах. Подробнее почитать про другие типы вредоносов можно почитать в другой нашей статье: https://wiki.merionet.ru/seti/19/tipy-vredonosnogo-po/
Антивирусные базы - основы антивирусов
Сигнатурный анализ невозможен без базы вирусов, которая содержит все опасные образцы кода. При этом нет никакой необходимости включать в базу буквально все, иначе она будет иметь слишком большой объем, и сравнение с ней затребует значительной вычислительной мощности. Достаточно добавить лишь те фрагменты кода, без которых создание программы, имеющей свойство самостоятельно распространяться (вируса), невозможно. Сигнатурный анализ повсеместно используется в антивирусном ПО, и сейчас переходит в интернет среду для анализа трафика на провайдерах.
База антивируса содержит не образцы вирусов, а сигнатуры - фрагменты кода, общие для многих вредоносных программ. Чем больше сигнатур содержит база - тем лучше защита, а чем меньше ее объем в байтах - тем меньше системных ресурсов потребляет антивирус.
Рейтинг AV-защиты от различных разработчиков
Идеальный антивирус обеспечивает 100% защиту, потребляет ноль ресурсов и имеет ноль ложных срабатываний. Такого программного продукта не существует ни у одной компании в мире. К нему приближаются отдельные разработки, в различной степени и на основе чего составляются рейтинги. Но помните: кто обещает вам 100% гарантию защиты - эти люди просто напросто лукавят.
Для антивирусов важны объективные и независимые тесты надежности. Показатель защиты должен сопоставляться с потребляемой вычислительной мощностью, которая хотя и становится все более значительной, но не бесконечна. Вряд ли кому будут нужны антивирусы, сильно замедляющие работу компьютеров. Антивирусное ПО разрабатывается для различного железа: офисные компьютеры, мобильные устройства, специальное оборудование, например, медицинская техника, терминалы POS, промышленные компьютеры. В защите нуждается абсолютно все. Основные организации, тестирующие софт для AV-защиты и составляющие рейтинги и рекомендации:
AV-Test.
ICRT (Международная Ассамблея Потребительских Испытаний).
Лаборатория Касперского.
Роскачество.
AV-тест критически оценен лабораторией Касперского, которая официально призывает не доверять его сертификатам. Другие организации из этого списка отрицательных оценок в публичном поле не получали.
Эволюция антивирусов, что изменилось с начала 21 века?
Самые первые антивирусы, появившиеся еще в 90-х годах, использовали только сигнатурный анализ. Количество всех известных вредоносных программ на то время было невелико, и их всех можно было занести в базу. Критерий защиты был простой - кто больше вирусов "знает", тот и лучше. Операционные системы того времени (на начало 2000-х годов) не обновлялись так часто, как сейчас, и поэтому имеющиеся уязвимости держались долго, что и использовалось многочисленными хакерскими группировками. Незначительное распространение вирусов при весьма слабых антивирусах связывалось с отсутствием прямой коммерческой заинтересованности. То есть автор вируса не получал денег напрямую от проводимых атак с помощью своего детища. С распространением электронных денег (и криптовалют в особенности), ситуация в корне поменялась.
После 2010 года антивирусы дополнились облачными технологиями, причем облако может быть не только файловым хранилищем, но еще и аналитическим центром по отслеживанию всех кибератак в мире, что чрезвычайно важно для их пресечения.
Чисто сигнатурный подход уже не актуален, так как производство компьютерных вирусов поставлено хакерскими группировками на поток. Их появляются тысячи в день.
Последней новинкой в антивирусной индустрии являются алгоритмы машинного обучения вкупе с облачными технологиями big-data. Именно такое решение предлагается в сегменте корпоративной AV-защиты. Защита от кибератак переходит на надгосударственный уровень. Появляются ассоциации кибербезопасности. Особенность современных антивирусов - кроссплатформенность и наличие версий для защиты специализированного оборудования, например терминалов POS, банкоматов, критических объектов "интернета вещей". Железо в этих устройствах имеет очень небольшую вычислительную мощность, что учитывается при разработке защитного ПО для них.
Пример решения: Microsoft Defender Antivirus
Программное обеспечение от Microsoft лицензировано для применения во многих организациях, в том числе и в ряде компаний государственного сектора. Факт почти повсеместного доверия к ПО этого гиганта IT-индустрии упрощает регистрацию антивирусов в организации. Microsoft Defender Antivirus при тестировании в лаборатории AV-Comparatives (коммерческие версии) уверенно справляется с банковскими троянами MRG-Effitas.
Встроенный "защитник Windows 10" (пользовательское название Microsoft Defender Antivirus) стал корпоративным антивирусом лишь недавно. Ранее в его лицензионном соглашении стояла рекомендация "только для частного применения" и лицензия не позволяла его применять не по назначению. С изменением правил он стал чуть ли не единственным бесплатным коммерческим антивирусом. Правда, пока что только для мелкого бизнеса с числом рабочих станций не более 10.
Решения Лаборатории Касперского для крупного бизнеса
Крупному бизнесу приходится сталкиваться с угрозами иного уровня, чем частым лицам и мелким компаниям. В профессиональной среде это отмечается термином "целевые атаки", которые проводятся именно на крупный бизнес во всех странах мира. С целью защиты от них задействуются технологии машинного обучения, облачные данные и весь предыдущий опыт, в который входят десятки тысяч отраженных угроз, постоянный учет и коррекция ошибок. Корпоративные продукты от Касперского используют более 270000 компаний по всему миру. Примеры решений AV-защиты от всем известной компании:
Kaspersky Atni Targeted Attack (Основной антивирусный продукт для крупного бизнеса, помимо стандартных функций безопасности нацелен на выявление ранее неизвестных атак, где не походит сигнатурный метод).
Kaspersky Endpoint Detection and Response ("внутренний" антивирус для обнаружения и пресечения инцидентов на местах внутри корпорации, а не интернета извне).
Kaspersky Embedded Systems Security (для банкоматов и POS-терминалов с учетом требований их маломощного "железа").
Пример решения: ESET NOD32 Antivirus Business Edition
Типовой антивирус для малого бизнеса. Использует технологии облачной защиты - подключение к ESET Live Grid с динамически обновляемыми базами и своевременными оповещениями о киберугрозах со всего мира, что ставит его на один уровень с передовыми продуктами Касперского. ESET NOD32 Antivirus Business Edition не работает на мобильных устройствах, поэтому подходит преимущественно для офисов со стандартными рабочими станциями. Корпорация ESET имеет хорошую репутацию, а тысячи компаний - значительный положительный опыт использования ее продукции.
Заключение
Антивирусная защита постоянно совершенствуется по мере роста IT-технологий. В нее вкладываются значительные инвестиции, так как любая организация вне зависимости от своего масштаба заинтересована в кибербезопасности. AV-защита проводится в комплексе с другими технологиями и правилами информационной безопасности - то есть используется "эшелонированный" подход - на периметре сети устанавливается межсетевой экран следующего поколения с включенной системой предотвращения угроз, отдельно защищается электронная почта и доступ в интернет, все подозрительные файлы отправляются в песочницу и пр. Таким образом, система защиты становится похожа на луковицу - тем, что у нее также много слоев, и из-за этого преодолеть ее становится сложнее.
Кроме того, очень популярна практика установки на предприятиях устанавливается система DLP, отслеживающая попытки несанкционированного доступа и неправильного использования данных. Сотрудники проходят тренинги, обучение "цифровой гигиене", правилам защиты коммерческой тайны. Все используемое программное обеспечение должно быть лицензионным, где разработчики ради сохранения репутации гарантирует сохранность данных. Сервера снабжаются функцией резервного копирования, доступ к информации обеспечивается только для проверенных лиц, что обеспечивается системой СКУД.
Друг, на днях к нам в офис подъехал E1 - шлюз от китайского вендора Dinstar модели MTG200-1-E1. Взяв в руки коробку мы устремились в лабораторию – скрещивать шлюз с E1 потоком со стороны ТфОП и с IP – АТС Asterisk другой.
Коротко про шлюз
Произведем небольшой «анбоксинг» шлюза. Изделие поставляется в коробке и защищено специальной пленкой:
В комплект поставки входит:
Ethernet – кабель;
Провод для подключения E1 потока;
Консольный кабель;
Сам шлюз;
На фронтальной панели MTG200 расположились:
Индикатор питания;
Индикатор «алярмов»;
Физический разъем, предназначенный для сброса настроек устройства к заводским;
Консольный порт;
Индикация E1/T1 и Fast Ethernet интерфейсов;
Разворачиваем шлюз на 180 градусов и видим:
Разъем для подключения питания;
Физические интерфейсы для E1/T1;
Физический интерфейсы для Fast Ethernet;
Вот такой шлюз ожидает своего владельца :) Мы переходим к настройке связки с IP – АТС Asterisk с помощью FreePBX.
Связка со стороны Asterisk
Настройки мы будем выполнять с помощью графического интерфейса FreePBX 14 версии. Подключившись, переходим в раздел Connectivity → Trunks и добавляем новый транк для MTG200 (chan_sip). Дайте удобное для вас имя транка в поле Trunk Name. В разделе Outgoing (исходящие параметры) заполняем:
host=IP_адрес_Dinstar
type=friend
fromuser=логин
username=логин
secret=пароль
qualify=yes
port=5060
context=from-pstn
Переключаемся на вкладку Incoming (входящие параметры) и указываем следующие реквизиты:
disallow=all
allow=alaw&ulaw
canreinvite=no
context=from-pstn
dtmfmode=rfc2833
username=логин
secret=пароль
qualify=yes
insecure=invite
host=dynamic
type=friend
Отлично. Теперь давайте проверим статус этих пиров:
Мы немного забежали вперед, и, как видите, статус нашего входящего пира так же отмечен как OK. Это возможно, только после создания «плеча» в сторону Asterisk на шлюзе. Мы наглядно покажем этот процесс далее.
После, создайте входящий/исходящий маршрут для направления вызовов в нужном направлении или формате. Как это сделать, можно прочитать в этой статье.
Связка со стороны провайдера
Приступаем к настройке шлюза. Провайдер прислал нам следующие параметры:
Каждая настройка сильно зависит от параметров вашего провайдера. Свяжитесь с ним, перед настройкой
CRC выключен
D-канал User
А-номер от Вашей АТС должен приходить 10 знаков с типом National (49Xxxxxxxx)
План нумерации А-номера должен быть ISDN/Telephony
С ними мы и будем работать. По умолчанию, шлюз почти готов к работе – поменяем некоторые параметры. Переходим в раздел PRI Config → PRI Trunk и добавляем новый транк со следующими настройками:
Скорректируем SIP параметры: переходим в SIP Config → SIP Parameter:
Скорректируем SIP параметры: переходим в SIP Config → SIP Trunk. Указываем IP – адрес и порт со стороны Asterisk:
Настроим общие E1/T1 параметры: PSTN Group Config → E1/T1 Parameter :
Готово. Делаем телефонный звонок и проверяем, как занимаются тайм – слоты на нашем шлюзе: Status & Statistics → E1/T1 Status :
Мы сделали входящий звонок – как видите, зеленым цветом, отображается занятый тайм – слот, а сам звонок, улетает по SIP в сторону Asterisk.
В последние годы рынок программного обеспечения прогрессирует ударными темпами. Чтобы удержаться на плаву, компании-разработчики программного обеспечения постоянно разрабатывают новые решения и совершенствуют уже существующее программное обеспечение. И если в первом случае анализируются желания, озвучиваемые пользователями, то во втором более эффективным методом сбора данных оказывается телеметрия.
Что же это такое? Говоря по-простому, сетевая телеметрия — это процесс автоматизированного сбора данных, их накопление и передача для дальнейшего анализа. Если говорить о программном обеспечении, то анализ проводится разработчиками софта с целью оптимизации существующих программ, либо разработки и внедрения новых решений. Телеметрия в сети осуществляется посредством сбора данных с использованием сетевого протокола NetFlow или его аналогов.
Зачем же нужен NetFlow?
Сетевой протокол NetFlow был разработан в конце прошлого века компанией Cisco. Изначально он использовался как программа-распределитель пакетов данных для оптимизации работы маршрутизаторов, однако с течением времени она была заменена на более эффективную программу. Тем не менее, такой функционал, как сбор полезной статистики по использованию сетевого трафика и поныне оставляет Netflow актуальным. Правда, специализация этого протокола уже не соответствует исходной. Тем не менее, Netflow обладает функционалом, который невозможно реализовать, применяя альтернативные сетевые технологии.
Система постоянного наблюдения за работой сетевых приложений и действиями пользователей;
Сбор и учет информации об использовании сетевого трафика;
Анализ и планирование развития сети;
Распределение и управление сетевым трафиком;
Изучение вопросов сетевой безопасности;
Хранение собранных посредством телеметрии данных и их итоговый анализ;
Хотя уже существуют программные решения, обладающие схожим функционалом, решение от компании Cisco до сих пор остается одним из лучших в этой сфере. Кстати, теперь это решение называется Cisco Stealthwatch и на 95% обладает функционалом для решения исключительно задач, связанных с информационной безопасностью.
Отметим, что технологию сбора данных посредством NetFlow поддерживают не все роутеры или коммутаторы. Если Ваше устройство имеет поддержку данного протокола, то оно будет замерять проходящий трафик и передавать собранные данные в NetFlow-коллектор для последующей обработки. Передача будет осуществляться в формате датаграмм протокола UDP или пакетов протокола SCTP, поэтому на скорость работы интернета существенным образом это не повлияет.
В настоящее время решения NetFlow (как и многих других приложений) подразделяются на три типа:
Базовые технологии. Отличаются низкой ценой и довольно скудным функционалом анализа сетевого трафика. Тем не менее, для большинства пользователей или же для изучения технологии этого вполне достаточно
«Продвинутые» корпоративные варианты. Здесь базовый функционал дополнен более широким набором инструментов для предоставления расширенной отчетности анализа данных. Также эти решения содержат готовые модели оптимизации для разных сетевых устройств.
«Флагманские» корпоративные решения. Отличаются наивысшей ценой, однако при этом и наиболее широким функционалом, а также позволяют осуществлять мониторинг информационной безопасности в крупных организациях.
«А как же быть с приватностью? Ведь сбор данных ставит под угрозу частную жизнь пользователей, тайну переписки, личные сообщения и прочее» - спросит беспокойный читатель. Согласно политике приватности компании Cisco, персональные данные пользователей остаются в полной безопасности. Посредством телеметрии NetFlow анализируется исключительно передача сетевого трафика, не угрожая приватности пользователей.
Примеры решений
Также приведем несколько самых популярных сетевых анализаторов, работающих под протоколом NetFlow:
Solarwinds NetFlow Traffic Analyzer – мощный инструмент для анализа динамики трафика в сети. Программа осуществляет сбор, накопление и анализ данных, выводя их в удобном для пользователя формате. При этом можно проанализировать поведение трафика за определенные временные промежутки. Для ознакомления на сайте производителя доступна бесплатная 30-дневная версия
Flowmon – программа, предоставляющая комплекс инструментов для изучения пропускной способности сети, нагрузки на сеть в определенные периоды времени, а также обеспечения безопасности сети от DDOS-атак
PRTG Network Monitor - универсальное решение для сбора, хранения и обработки данных о поведении сети. В отличие от других подобных программ, данный инструмент работает на основе сенсоров – логических единиц, отвечающих за сбор данных по определенным аспектам изучаемого устройства.
ManageEngine NetFlow Analyzer – схожая с остальными по функционалу программа. Её выделяют из ряда других такие возможности, как гибкая настройка аналитики, а так же возможность мониторить поведение сети из любого места, благодаря приложению для телефона.
Как можно заметить, все вышеуказанные программы не только обладают схожим базовым функционалом, но и конкурируют между собой, продумывая и внедряя новые технические решения. Выбор, какой из нескольких десятков программ начать пользоваться – целиком и полностью дело конечного пользователя.