ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопасность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
«юзин ¬ладислав
Ѕусенков јлексей

«юзин ¬ладислав

18 минут чтени€

ћежсетевые экраны (Firewall)

 онцепци€ межсетевого экрана (ћЁ) была введена дл€ того, чтобы обезопасить процесс обмена данными между сет€ми. ћежсетевой экран это программное или аппаратное устройство, которое контролирует поток трафика между различными сет€ми и может блокировать и пропускать определенные данные по предопределенным правилам безопасности. ћЁ используетс€ не только дл€ защиты системы от внешних угроз, но и от внутренних. Ќадежный ћЁ может справитьс€ как с внутренними, так и с внешними угрозами и вредоносным программным обеспечением. ћежсетевой экран также позвол€ет системе остановить пересылку незаконных данных в другую систему. ћЁ всегда находитс€ между частной сетью и интернетом, который €вл€етс€ публичной сетью, поэтому он фильтрует вход€щие и исход€щие пакеты. ¬ыбор надежного межсетевого экрана имеет решающее значение в создании безопасной инфраструктуры.

—истема межсетевого экрана может работать на п€ти уровн€х эталонной модели OSI. Ќо большинство работают на четырех уровн€х: канальном, сетевом, транспортном и прикладном.  оличество слоев, охватываемых брандмауэром, зависит от типа используемого ћЁ. „ем больше уровней анализирует ћЁ, тем выше безопасность всей системы. ѕри классификации по методам фильтрации основными типами €вл€ютс€:

  1. ћ—Ё дл€ фильтрации пакетов: система изолированно провер€ет каждый вход€щий или выход€щий из сети пакет и принимает или отклон€ет его на основе определ€емых пользователем правил. ѕакетна€ фильтраци€ достаточно эффективна, но не имеет возможности просмотреть содержание пакета.
  2. ћ—Ё с инспекцией пакетов (SPI) провер€ет сеансы между приложени€ми и ограничивает прохождение пакетов, нарушающих спецификации TCP/IP.
  3. ћ—Ё прикладного уровн€ провер€ет данные внутри пакетов, поступающих от приложений.
  4. ћ—Ё следующего поколени€ (NGFW) использует многоуровневый подход дл€ интеграции возможностей.
—пособы защиты персональных данных

ћежсетевые экраны дл€ фильтрации пакетов.  огда пакет проходит через ћ—Ё он сообщает источник пакета, пункт назначени€, протокол и номер порта. ѕакет отбрасываетс€, не пересылаетс€ к месту назначени€ если он не соответствует набору правил ћ—Ё. Ќапример, ћ—Ё с правилом блокировки доступа Telnet, будет отклон€ть пакеты TCP к порту 23, через который работает протокол Telnet. ћ—Ё с фильтрацией пакетов работает в основном на сетевом уровне эталонной модели OSI, а также используетс€ транспортный уровень дл€ получени€ номера порта. ќн провер€ет каждый пакет независимо от существующего трафика и не может определ€ть из чего состоит пакет.

ћ—Ё с инспекцией пакетов (SPI) также называемые как ћ—Ё с динамической пакетной фильтрацией. “акие ћ—Ё не только провер€ют каждый пакет, но и отслеживают, €вл€етс€ ли этот пакет частью установленного TCP или другого сетевого сеанса. Ёто обеспечивает большую безопасность, чем фильтраци€ пакетов или мониторинг каналов, но оказывает большее вли€ние на производительность сети. ќни контролируют пакеты и соединение по времени и провер€ют как вход€щие, так и исход€щие пакеты. Ётот тип ћ—Ё основываетс€ на таблице, котора€ отслеживает все открытые соединени€. ѕри поступлении новых пакетов ћ—Ё сравнивает информацию в заголовке пакета с таблицей, содержащей список открытых соединений, и определ€ет, €вл€етс€ ли пакет частью установленного соединени€. ≈сли это так, то пакет пропускаетс€ без дальнейшего анализа. ≈сли же он не соответствует существующему соединению, он оцениваетс€ в соответствии с набором правил дл€ новых соединений. ћ—Ё с инспекцией пакетов достаточно эффективны, но они могут быть у€звимы дл€ атак типа "отказ в обсаживании" (DoS). DoS-атаки работают, использу€ преимущества установленных соединений, которые данный тип ћ—Ё определ€ет безопасными.

ћ—Ё уровн€ приложений обеспечивает фильтрацию на уровне приложений и объедин€ет в себе некоторые атрибуты ћ—Ё с фильтрацией и инспекцией пакетов. ќн фильтрует пакеты не только по службе, дл€ которой они предназначены, но и по некоторым другим характеристикам, таким как строка HTTP-запроса. ћ—Ё уровн€ приложени€ могут просматривать пакет, чтобы отличить допустимые запросы от вредоносного кода, замаскированного под допустимый запрос данных. ѕоскольку этот тип провер€ет содержимое пакета, он представл€ет инженерам безопасности более детальный контроль над сетевым трафиком.  лючевым преимуществом фильтрации на уровне приложений €вл€етс€ возможность блокировать конкретно содержимое, например известное вредоносное программное обеспечение или некоторые веб-сайты, а также распознавать, когда определенные приложени€ и протоколы, такие как протокол передачи гипертекста (HTTP), протокол передачи файлов (FTP) и система доменных имен (DNS) используютс€ не по назначению. ѕравила ћ—Ё уровн€ приложений также могут использоватьс€ дл€ управлени€ выполнением файлов или обработки данных конкретными приложени€ми.

ћ—Ё следующего поколени€ (NGFW) сочетает в себе фильтрацию и инспекцию, и некоторые типы глубокой инспекции пакетов, а также другие системы сетевой безопасности, такие как обнаружение, предотвращение вторжений, фильтраци€ вредоносных программ и антивирусы. —овременные сети имеют много точек входа и различных типов пользователей, что требует строгий контроль доступа и безопасность хоста. Ёта потребность привела к по€влению NGFW.


јутентификаци€ и контроль доступа

јутентификаци€ процесс определени€ того, €вл€етс€ ли кто-то или что-то на самом деле тем, кем оно себ€ объ€вл€ет. “ехнологи€ аутентификации обеспечивает управление доступом путем проверки соответстви€ учетных данных пользовател€ учетным данным в базе данных авторизованных пользователей или же на сервере аутентификации данных. ѕользователи обычно идентифицируютс€ с помощью своего кода, и аутентификаци€ выполн€етс€, когда пользователь предоставл€ет учетные данные, например пароль, который соответствует идентификатору пользовател€. јутентификаци€ имеет важное значение, поскольку она обеспечивает безопасность сетей и систем позвол€€ только аутентифицированным пользовател€м получать доступ к защищенным ресурсам, таким как компьютерные сети, базы данных, веб-сайты и другие сетевые приложени€. ѕосле аутентификации пользователь или процесс подвергаетс€ процессу авторизации, чтобы определить, может ли аутентифицированных объект иметь доступ к защищенному ресурсу или системе. ѕользователь может быть аутентифицирован, но ему не будет предоставлен доступ к ресурсу, если этому пользователю не было предоставлено разрешение на доступ к нему. ѕроцесс, посредством которого доступ к этим ресурсам ограничиваетс€ определенным кругом пользователей, называетс€ контролем доступа.

јутентификаци€ пользовател€ с помощью имени пользовател€ и парол€ обычно считаетс€ самым простым типом аутентификации и заключаетс€ в том, что пользователь должен предоставить свой идентификатор пользовател€ и пароль. ѕоскольку этот тип аутентификации зависит от одного фактора аутентификации, то он относитс€ к однофакторной аутентификации. —трога€ аутентификаци€ это термин, который не бы формально определен, но обычно используетс€ дл€ обозначени€ того, что используемый тип аутентификации €вл€етс€ более надежным и устойчивым к атаке. Ёто достигаетс€ как правило при помощи использовани€ двух различных факторов аутентификации. ‘актор аутентификации представл€ет собой некоторый фрагмент данных или атрибут, который может быть использован дл€ проверки подлинности пользовател€, запрашивающего доступ к системе. ¬ыдел€етс€ несколько факторов аутентификации: фактор знани€, фактор обладани€ и фактор неотъемлемости. ¬ последние годы были предложены и введены в действие дополнительные факторы, такие как фактор местоположени€ и фактор времени. ¬ насто€щее врем€ используют следующие факторы аутентификации:

  1. ‘актором знани€ могут быть любые учетные данные дл€ аутентификации, которые состо€т из информации, которой обладает пользователь, включа€ личный идентификационный номер, им€ пользовател€, пароль или ответ на секретный вопрос.
  2. ‘актором обладани€ могут быть любые учетные данные, основанные на элементах, которыми пользователь может владеть и носить с собой, включа€ аппаратные устройства, такие как токен безопасности или мобильный телефон, используемый дл€ приема текстового сообщени€ или запуска приложени€ аутентификации, которое может генерировать одноразовый пароль.
  3. ‘актор неотъемлемости основан на некоторой форме биометрической идентификации, включа€ отпечатки пальцев, распознавание лиц, сканирование сетчатки глаза или любой другой формы биометрических данных.
  4. ‘актор местоположени€ используетс€ в качестве дополнени€ к другим факторам. ћестоположение может быть определенно с высокой точностью с помощью устройств, оснащенных GPS, или с меньшей точностью путем проверки сетевых маршрутов. ‘актор местоположени€ обычно не используетс€ сам по себе дл€ аутентификации, но он может дополнить другие факторы, предоставл€€ средство исключени€ ложных запросов.
  5. ‘актор времени, как и фактор местоположени€ сам по себе недостаточен, но €вл€етс€ дополнительным механизмом дл€ вы€влени€ злоумышленников, которые пытаютс€ получить доступ к ресурсу в то врем€, когда этот ресурс недоступен авторизованному пользователю.

ƒобавление факторов аутентификации в процесс проверки подлинности обычно повышает безопасность. —трога€ аутентификаци€ обычно относитс€ к аутентификации, котора€ использует по крайней мере два фактора, имеющих различные типы. ƒвухфакторна€ аутентификаци€ обычно зависит от фактора знаний в сочетании с фактором неотъемлемости или фактором владени€. ћногофакторна€ аутентификаци€ может включать любой тип аутентификации, который зависит от двух и более факторов, но процесс аутентификации, использующий пароль и два различных типа биометрической аутентификации не будет считатьс€ трехфакторной аутентификацией.

“радиционна€ аутентификаци€ зависит от использовани€ файла паролей, в которых идентификаторы пользователей хран€тс€ вместе с хэшами паролей, св€занных с каждым пользователем. ѕри входе в систему предоставленный пароль хешируетс€ и сравниваетс€ со значением в файле паролей. ≈сли два хэша совпадают, пользователь проходит проверку. Ётот метод аутентификации имеет недостатки. «лоумышленники, у которых есть доступ к файлу паролей, могут использовать атаку грубой силы на хэш парол€ дл€ его извлечени€. “акже этот подход потребует несколько аутентификаций в приложени€х, которые получают доступ к ресурсам в нескольких системах. —истемы аутентификации на основе парол€ €вл€ютс€ более у€звимыми, чем системы, требующие нескольких независимых методов.   наиболее распространенным методам аутентификации относ€тс€:


ћногофакторна€ аутентификаци€ (MFA)

ћетод аутентификации, который требует двух или более независимых способов идентификации пользовател€. ƒобавл€ет дополнительный уровень защиты к процессу аутентификации. ћногофакторна€ аутентификаци€ требует, чтобы пользователь предоставил второй фактор аутентификации в дополнение к паролю. “акие системы часто требуют от пользовател€ ввести код подтверждени€, полученный с помощью текстового сообщени€ на предварительно подтвержденном мобильном телефоне, или код, созданный приложением дл€ аутентификации, а также отпечатки пальцев или распознавание лиц. ћетоды и технологии аутентификации MFA повышают доверие пользователей, добавл€€ несколько уровней безопасности. MFA служит хорошей защитой от взломов, однако имеет недостатки, такие как потер€ телефона или SIM-карты, что в свою очередь ограничит пользователю доступ к своей учетной записи.


ѕроверка подлинности на основе сертификатов

“ехнологи€ проверки подлинности на основе сертификатов позвол€ет идентифицировать пользователей, компьютеры и другие устройства с помощью цифровых сертификатов. —ертификат содержит цифровой идентификатор пользовател€, включа€ открытый ключ, и цифровую подпись центра сертификации. ѕользователи предоставл€ют свои цифровые сертификаты при входе на сервер. —ервер провер€ет достоверность цифровой подписи и центра сертификации. «атем сервер использует криптографические методы, чтобы подтвердить, что пользователь имеет правильный закрытый ключ, св€занный с сертификатом. “акими €вл€ютс€, например, SSL-сертификаты (Secure Sockets Layer). ѕоддержка SSL встроена во все основные браузеры.


Ѕиометрическа€ аутентификаци€

ѕроцесс обеспечени€ безопасности, который зависит от уникальных биологических характеристик человека. Ќекоторые системы могу зависеть исключительно от биометрической идентификации. ќднако, биометри€ обычно используетс€ в качестве второго или третьего фактора аутентификации. Ќаиболее распространЄнные типы биометрической аутентификации включают в себ€ распознавание лиц, сканеры отпечатков, идентификацию голоса и сканеры сетчатки глаз.


јутентификаци€ по ключам доступа

“акой способ используетс€ дл€ аутентификации сервисов, приложений или устройств при обращении к веб-сервисам. ¬ методе проверки ключа первому пользователю присваиваетс€ уникальное сгенерированное значение, указывающее, что пользователь известен. «атем каждый раз, когда пользователь пытаетс€ войти в систему, его уникальный ключ используетс€ дл€ проверки того, €вл€етс€ ли он тем же пользователем, что вошел в систему раннее. »спользование ключей позвол€ет избежать использовани€ парол€ пользовател€ сторонними сервисами.


јутентификаци€ по токенам

“ехнологии аутентификации на основе маркеров позвол€ют пользовател€м вводить свои учетные данные один раз и получать уникальную зашифрованную строку случайных символов. «атем пользователь может использовать свой токен дл€ доступа к защищенным системам без повторного ввода учетных данных. “акой способ аутентификации чаще всего примен€етс€ при построении систем единого входа Single-Sign-On (SSO), в которых один сервис предоставл€ет функцию аутентификации другому сервису. ѕримером может послужить ситуаци€, когда пользователь может войти в приложение через свою учетную запись в социальной сети. Ќаиболее попул€рным стандартом данного типа €вл€етс€ протокол OAuth, который позвол€ет выдать одному сервису права на доступ к данным пользовател€ на другом сервис. OAuth выступает в качестве посредника от имени пользовател€, предоставл€€ сервису токен доступа, который разрешает совместное использование определенных данных.


Ўифрование данных

Ўифрование конфиденциальных данных €вл€етс€ одним из ключевых способов защиты. Ќесмотр€ на комплексную защиту сервиса или системы у злоумышленника есть шанс получить доступ к конфиденциальной информации, так как ни одна система не может €вл€тьс€ полностью защищенной от атак и утечек. Ўифрование же позвол€ет сделать украденную информацию бесполезной дл€ злоумышленника, так как в зашифрованном виде данные не несут никакой информации. „тобы расшифровать информацию злоумышленник должен будет подобрать ключ дл€ расшифровки, однако при определенной длине ключа это будет сделать невозможно. Ёто делает метод шифровани€ основой дл€ построени€ безопасных систем и защиты персональных данных.

Ўифрование обычно используетс€ дл€ защиты данных при передаче и хранении. ѕри использовании банкоматов или покупок в интернет-магазинах, шифрование используетс€ защиты передаваемой информации.  омпании и организации все больше полагаютс€ на шифрование дл€ защиты приложений и конфиденциальной информации, когда происходит утечка данных. —уществует три главных компонента системы шифровани€: данные, алгоритм шифровани€ и управление ключами шифровани€. ¬ большинстве устройств три этих компонента наход€тс€ в одном месте, однако безопаснее хранит и выполн€ть в разных местах, так как это снизит риск компрометации каждого компонента.

—уществует множество различных методов шифровани€, но не все предоставл€ют необходимую защиту. Ќе так давно 64-битное шифрование считалось достаточно надежным, но с совершенствование электронной вычислительной техники и введением 128-битных решений шифрование с такой длиной ключа оказалось небезопасным. ¬се алгоритмы шифровани€ можно подлить н две категории: симметричные и ассиметричные.

—имметричные шифры используют один ключ дл€ шифровани€ и расшифровани€.  люч называют общим, так как он хранитс€ и у отправител€, и у получател€. —имметричные шифры считаютс€ более быстрыми по сравнению с ассиметричными. Ќаиболее часто использующимс€ алгоритмом шифровани€, €вл€етс€ алгоритм AES (AdvancedEncryptionStandard), который был разработан дл€ защиты секретной правительственной информации, однако сейчас используетс€ повсеместно. ¬ нашей стране симметричным алгоритмом шифровани€ €вл€етс€ √ќ—“ – 34.12 2015.

јссиметричные шифры используют два различных ключа дл€ шифровани€ и расшифровани€. ¬ основе таких алгоритмом лежит использование больших простых чисел дл€ создани€ ключа. јлгоритм ассиметричного шифровани€ RSA (Rivest-Shamir-Adleman) €вл€етс€ наиболее распространенным. ѕри его использовании создаетс€ пара ключей: открытый и закрытый ключ. ќткрытый ключ используетс€ при шифровании данных, он известен любому и может передаватьс€ открыто. «ашифрованное же сообщение может быть расшифровано только владельцем закрытого ключа. ¬ насто€щее врем€ многие криптографические процессы используют симметричный алгоритм дл€ шифровани€, а ассиметричный дл€ безопасной передачи закрытого ключа.

Ўифрование €вл€етс€ эффективным способом защиты конфиденциальной информации, но дл€ этого требуетс€ тщательно хранить и использовать ключи, чтобы гарантировать защищенность информации и доступность, когда она необходима. ƒоступ к закрытым ключам должен контролироватьс€ и ограничиватьс€ определенным кругом лиц, кому необходимо их использовать. ѕравильное управление закрытыми ключами на прот€жении всего срока их использовани€, защита их от утечек и неправильного использовани€ кажда€ организаци€ вырабатывает дл€ себ€ самосто€тельно. Ќеобходимо поводить аудит дл€ выработки эталонной модели управлени€ закрытыми ключами. ѕрограммное обеспечение дл€ управлени€ ключами может помочь централизовать этот процесс, а также защитить ключи от несанкционированного доступа, подмены и удалени€.

’еш-функции представл€ют другой тип шифровани€. ’еш-функции чрезвычайно полезны и примен€ютс€ во множестве приложений, обеспечивающих информационную безопасность. ’эширование это преобразование входного значени€ бит в другое более сжатое значение бит при помощи математических функций. ¬ходные данные различаютс€ по длине, но на выходе имеют одинаковый размер. ƒанные, преобразованные с помощью хэш-функций при малейшем изменении, могут быть обнаружены, так как это повлечет полное изменение результирующего хэша. ’эш-функции считаютс€ типом одностороннего шифровани€, так как дл€ расшифровки необходим другой ключ, не совпадающий с ключом шифровани€. ќсновным применением хэш-функций €вл€етс€ хранение паролей и проверка целостности данных. ѕопул€рными алгоритмами хэшировани€ €вл€ютс€ алгоритмы SHA-2 и SHA-3. Ќаиболее попул€рными алгоритмами шифровани€ €вл€ютс€:

  1. јлгоритм DES алгоритм шифровани€ данных с симметричным ключом. DES работает с использованием одного и того же ключа дл€ шифровани€ и расшифровки сообщени€, поэтому отправитель и получатель знают и используют один и тот же ключ. ќснован на конструкции называемой сетью ‘ейстел€. Ќа данный момент алгоритм DES практически не используетс€. ќн заменен более надежным алгоритмом шифровани€ AES.
  2. јлгоритм AES также €вл€етс€ симметричным блочным шифром. ќн используетс€ в программном и аппаратном обеспечении по всему миру и пришел на замену алгоритма DES. AES имеет длину блока в 128 бит, размер ключа 128, 192 или 256 бит.
  3. ѕротокол ƒиффи-’елмана был разработан в 1978 году и стал первым ассиметричным шифром, при помощи которого можно было обмениватьс€ сообщени€ по открытому каналу св€зи, не бо€сь утечки информации. јлгоритм позвол€ет двум сторонам договоритьс€ через незащищенный канал об общем секретном ключе дл€ шифровани€ симметричным алгоритмом.
  4.  риптографи€ на эллиптических кривых (ECC).  риптосистемы на эллиптических кривых это системы с открытым ключом шифровани€, основанные на теории эллиптических кривых, которые используютс€ создани€ более быстрых и эффективных способов создани€ ключей. ƒанный способ может использоватьс€ в сочетании с другими ассиметричными алгоритмами. ћенее короткий ключ в такой системе дает тот же уровень защищенности, как и в обычных алгоритмах шифровани€ с более длинным ключом. Ќа данный момент криптографи€ на эллиптических кривых примен€етс€ в протоколах TLS, SSL на которых основываетс€ все современные компьютерные сети и системы.
  5.  вантовое распределение ключей. ћетод шифровани€ сообщений с помощью пары запутанных фотонов.  вантова€ запутанность позвол€ет отправителю и получателю узнать, был ли ключ шифровани€ перехвачен или изменен, еще до того, как он поступает получателю, так как сам акт наблюдени€ над передаваемой информацией измен€ет ее. ѕосле того как было определено, что шифрование €вл€етс€ безопасным и не было перехвачено, предоставл€етс€ разрешение на передачу зашифрованного сообщени€.

ƒл€ любого криптографического шифра основным способом атаки €вл€етс€ метод грубой силы, который заключаетс€ в переборе ключей пока не будет найден нужный. ƒлинна ключа определ€ет количество возможных ключей, из чего и вытекает целесообразность атаки грубой силы. —ложность шифровани€ напр€мую зависит от длинны ключа, чем длиннее требуетс€ ключ, тем требуетс€ ресурсов дл€ выполнени€ этой задачи. «лоумышленники также могут взломать шифр с помощью криптоанализа. ѕроцесса поиска слабых мест у целевого шифра. ¬ некоторых случа€х этот способов требует меньше ресурсов чем атака грубой силы. ¬еро€тность успешной атаки на шифр выше, если у самого алгоритма имеютс€ недостатки.


јнтивирусна€ защита

јнтивирусное программное обеспечени€ это класс программ, предназначенных дл€ предотвращени€ и удалени€ вредоносных файлов и скриптов на отдельных компьютерах, сет€х или системах. јнтивирусы предотвращают множество угроз, таких как вирусы, тро€нские кони, черви, рекламное программное обеспечение, ботнеты, вымогатели, шпионские программы и множество других разновидностей угроз. ѕринцип работы антивируса заключаетс€ в фоновом сканировании компьютера, сервера или сети, обнаружении и предотвращении распространени€ вредоносных файлов. ƒл€ полного сканировани€ системы антивирусное ѕќ должно обладать повышенными правами дл€ доступа ко всей системе. Ётот факт делает антивирусы привлекательной целью дл€ злоумышленников.

јнтивирусы используют различные способы обнаружени€ вредоносных программ. »значально антивирусы обнаруживали вредоносные файлы на основе сигнатур. —игнатурами €вл€ютс€ уникальные последовательности байтов, принадлежащие конкретному вирусу и не существующие в других программах. —игнатуры используютс€ антивирусом дл€ определени€ того, что €вл€етс€ вирусом, которые в свою очередь были уже обнаружены и проанализированы специалистами. ƒл€ эффективного использовани€ антивирусного программного обеспечени€, использующего метод сканировани€, необходимо посто€нно обновл€ть базы со сведени€ми о новых вирусах. “ак как ежегодно по€вл€етс€ миллионы новых вредоносных программ, современные базы данных с сигнатурами вредоносного ѕќ могут быть огромных размеров. Ёто делает антивирусы, основанные на сканировании сигнатур, малоэффективным и непрактичным.

Ёвристический анализ в антивирусах позвол€ет определ€ть неизвестные на данный момент вирусы. ќн основан на сигнатурах и эвристическом алгоритме. ƒанный метод позвол€ет улучшить работу сканеров примен€ть сигнатуры и позвол€ет обнаруживать модифицированные и измененные версии вредоносного ѕќ. ќбнаружение срабатывает, когда сигнатура вируса частично совпадает с обнаруженным подозрительным ѕќ, имеющим общие признаки с известным вирусом или модель его поведени€. ќднако такой метод может генерировать множество ложных совпадений в случа€х, когда определенное ѕќ ведет себ€ как известный вирус.

јнтивирусы также используют методы обнаружени€ изменений, который основываетс€ на слежении за изменением файлов на дисках компьютера. “ак как любой вирус измен€ет файлы системы каким-либо образом. ƒанный метод позвол€ет обнаруживать даже неизвестное на данный момент программное обеспечение.


SIEM системы

—истемы управлени€ информацией и событи€ми о безопасности обеспечивают в реальном времени анализ событий безопасности, полученных нескольких источников, вы€вл€€ отклонени€ и нормы и дает возможность среагировать до получени€ существенного ущерба. SIEM система при обнаружении потенциальной угрозы может регистрировать записывать поступающую информацию и давать инструкции другим элементам управлени€ безопасностью дл€ остановки возможной угрозы. SIEM системы работают путем сбора данных о событи€х, созданных приложени€ми, операционными системами и устройствами безопасности, такими как межсетевые экраны и антивирусное программное обеспечение. —истемы управлени€ информацией и событи€ми о безопасности идентифицируют и сортируют данные о событи€х безопасности, такие как неудачные входы в систему, вредоносна€ активность и другие возможные злонамеренные действи€. ѕри вы€влении потенциальных угроз SIEM система создает предупреждени€. Ќапример, учетна€ запись пользовател€, в которую сделали множество неудачных попыток входа в течение короткого времени, может быть определена как подозрительна€ активность и SIEM система создает предупреждение о попытке атаки грубой силы на учетную запись пользовател€. SIEM системы упрощают управление безопасностью компании путем анализа большого количества данных о состо€нии системы или сервиса, создаваемых программным обеспечением. “акие системы позвол€ют обнаруживать инциденты, которые в любой другой ситуации могли остатьс€ незамеченными.  роме того, благодар€ посто€нной фиксации и сбору событий из различных источников, SIEM система может воссоздать весь процесс атаки, что позволит компании определ€ть характер атак и слабые места системы. SIEM системы значительно повышают безопасность системы и помогают обнаружить атаки злоумышленников в самом начале.