[МУЗЫКА] Первым сервисом безопасности,
который мы в сегодняшней лекции рассмотрим подробно, является сервис антивирусной
защиты, или защиты от вредоносного программного обеспечения.
Для того чтобы ввести ряд необходимых нам определений,
обратимся к документу Федеральной службы технического и экспортного контроля,
о которой мы уже говорили в предыдущих лекциях,
под названием «Профили защиты средств антивирусной защиты».
Из этого документа мы возьмем определение такого понятия, как антивирусная защита.
Под ней подразумевается защита информации и компонентов информационной системы от
вредоносных компьютерных программ.
Практически синонимом этого понятия является понятие вируса, хотя,
вообще говоря, понятие вредоносных компьютерных программ или вредоносного
программного обеспечения значительно шире и охватывает не только вирусы,
но об этом мы поговорим чуть далее.
А под, собственно, защитой от вредоносных компьютерных программ подразумевается
обнаружение таких программ,
их блокирование, изолирование зараженных объектов,
удаление вредоносных компьютерных программ из зараженных объектов.
Данный сервис безопасности направлен на защиту информационной
системы от различных вредоносных программ, не только вирусов.
С классификацией таких вредоносных программ мы чуть
далее ознакомимся подробнее.
Под вредоносной программой будем подразумевать программу,
используемую для осуществления несанкционированного доступа к информации
или воздействия на информацию, или ресурсы информационной системы.
Можно еще добавить — или для вывода из строя различных механизмов защиты
информационной системы,
в некоторых источниках такой признак вредоносных программ также добавляется.
Основным источником определения понятия вредоносная
программа является Уголовный кодекс Российской Федерации,
в котором имеется 273 статья, которая так и звучит: создание, использование,
распространение вредоносных компьютерных программ.
Собственно, в данном документе под вредоносной программой подразумевается
программа, заведомо предназначенная для несанкционированного уничтожения,
блокирования, модификации, копирования компьютерной информации,
или вот как раз пример, о котором я говорил,
— или нейтрализации средств защиты компьютерной информации.
Иными словами, вредоносная программа — это некая программа,
которую разрабатывает нарушитель с целью реализации угрозы, той или иной.
Например, несанкционированного доступа, несанкционированного уничтожения,
атаки типа отказа в обслуживании, то есть блокирование возможности
легальному пользователю получить беспрепятственный доступ к информации.
Либо с целью так или иначе обойти средства защиты компьютерной информации, например,
отключить систему как раз таки антивирусной защиты.
Вредоносные программы, в частности, вирусы,
могут угрожать всем аспектам безопасности информации.
Приведем ряд примеров.
Например, угроза конфиденциальности от вредоносных
программ может заключаться в том, что вредоносная программа, в частности, вирус,
может собирать среди файлов пользователей по неким шаблонам такие фрагменты данных,
которые, возможно, являются адресами электронной почты для
дальнейшей рассылки спама, номерами кредитных карт,
группами цифр или по количеству цифр, или по каким-то шаблонам цифр в этих группах,
пин-кодами к кредитным картам и кодами безопасности,
которые обычно публикуются на обратной стороне карты и запрещены к разглашению,
их требуют сохранить в конфиденциальном виде.
Угроза целостности может заключаться, например, в том,
что вирус может вносить искажения в пользовательские файлы,
например, просто с целью сделать их непригодными для использования либо,
как мы увидим далее, когда будем говорить подробно про классификацию,
с целью, например, получения выкупа со стороны пострадавшего,
то есть со стороны владельца информационной системы.
Ну и еще более яркий пример такого поведения — это пример угрозы доступности.
Ситуация, при которой вирус-вымогатель либо полностью блокирует
работоспособность системы, либо, например, шифрует пользовательские файлы и
опять-таки требует выкуп за их приведение в первоначальный вид.
Пути попадания в информационную систему вредоносных программ весьма различны,
и их следует иметь в виду,
оценивая безопасность той или иной информационной системы.
Далее, по тексту сегодняшней лекции будем использовать понятие
вирус как полный синоним понятия вредоносная программа, хотя,
когда будем говорить о классификации, будет показано,
что вирусы — это лишь одна из разновидностей вредоносных программ,
причем обладающая определенными признаками.
Но, пока мы говорим о всех вредоносных программах в общем, буду я
использовать понятие вируса как полный синоним понятия вредоносной программы.
Так вот, вирусы могут попадать в информационную систему, например,
при посещении сайта в сети Интернет, при загрузке файлов из сети Интернет,
при запуске программ в информационной системе,
при получении писем электронной почты, при подключении внешних носителей информации.
Соответственно, данный перечень потенциальных путей,
через которые вирусы могут попадать в информационную систему, следует иметь
в виду, оценивая безопасность тех или иных действий пользователя,
разрабатывая регламенты поведения пользователей, настраивая различные
средства защиты информации, проводя какой-то аудит действий,
оценку безопасности и прочие организационные мероприятия.
На самом деле, это все не означает, что любое посещение сайта,
например, любая загрузка файла потенциально являются опасными.
Но существуют вирусы, которые используют такие действия пользователя для того,
чтобы попадать в информационную систему.
Поэтому не стоит, как минимум, считать, что такие действия являются
безопасными и полностью гарантированными от заражения вредоносными программами.
Есть некий риск, его следует здраво оценивать,
его следует исследовать и принимать адекватные меры для того,
чтобы риск не превратился в реально реализовавшуюся угрозу.
Вредоносные программы могут воздействовать на информационную
систему следующими проявлениями, то есть следующими действиями.
Например, похищение конфиденциальной информации из пользовательских файлов.
Такой пример уже был рассмотрен, он заключается в краже, например,
финансовой информации, номеров кредитных карт,
пин-кодов и подобной конфиденциальной информации.
Предоставление нарушителю доступа к ресурсам информационной системы — еще один
из примеров воздействия вредоносных программ на саму систему,
заключается в том, что нарушитель, возможно, без ведома пользователя, то есть
никак не проявляя себя в зараженной системе, может после этого использовать
ресурсы информационной системы, например, для проведения каких-то вычислений или,
что еще хуже, для реализации атаки на другие информационные системы.
Как раз данный пример вредоносного воздействия наиболее показателен для
обоснования такого тезиса о том, что владелец любой информационной системы,
даже маленького домашнего компьютера, на котором, казалось бы, нет никакой
критичной информации, в общем-то должен заботиться об антивирусной защите.
Иногда можно столкнуться с таким мнением, к счастью,
оно все реже и реже встречается, что, якобы, если на компьютере нет никаких
критичных объектов информации, то и не жалко, если он будет заражен вирусом.
Нет никакой проблемы переустановить операционную систему,
когда уже совсем средство перестает работать, и, соответственно,
жить дальше и пользоваться далее этим компьютером.
Как минимум, есть риск того, что однажды данный компьютер окажется вовлеченным
в реализацию атаки на ту или иную информационную систему, и, в общем-то,
по действующему законодательству владелец данного компьютера может быть,
как минимум, подозреваемым в реализации такой компьютерной атаки.
Далее последуют некие следственные мероприятия, экспертизы,
которые могут достаточно долго проводиться, и это все вызовет,
если говорить об организации, некие финансовые потери,
связанные с невозможностью работать на вычислительных средствах.
Блокирование пользовательских данных — уже рассмотренный пример,
при котором вирус-вымогатель блокирует пользовательские данные
и далее требует выкуп, например, шифрует их.
Очень похожий пример блокирования работы информационной системы, снова, например,
с целью выкупа либо с целью вывести систему из строя, если мы говорим,
например, о получении конкурентных преимуществ.
Перехват информации, вводимой с клавиатуры, также доступен вредоносным
программам, после этого перехваченная информация отправляется, например,
по сети Интернет владельцу, и таким образом могут похищаться пароли для
доступа к тем или иным сайтам, также пин-коды, вводимые при
осуществлении операций в различных онлайн-кабинетах, в онлайн-банке.
Именно по этой причине, кстати говоря, на многих сайтах,
уделяющих серьезное внимание безопасности,
рекомендуется использовать экранную клавиатуру — именно для того, чтобы
нейтрализовывать действия клавиатурных перехватчиков, так называемых.
И сбор информации о действиях пользователя — пожалуй, одно из наименее
разрушительных вредоносных воздействий, как правило, оно связано с дальнейшей
демонстрацией назойливой рекламы, о которой мы далее тоже поговорим.
Собственно, угроза использования нарушителем вредоносных
программ актуальна для любой информационной системы, таким образом,
обладающей какими-либо из следующих признаков.
Этими признаками можно руководствоваться для того, чтобы оценивать,
есть ли риск заражения вредоносными программами исследуемой информационной
системы, и если хотя бы какой-то из них присутствует, из этих признаков,
то следует внимательно рассмотреть возможность такой угрозы и ее реализации.
Наличие доступа в сеть Интернет — однозначно фактор риска для любой
информационной системы.
Возможность для пользователей подключать внешние носители данных к аппаратному
обеспечению информационной системы, то есть, условно говоря,
вставлять USB-носители в разъемы соответствующих системных блоков,
подключать различные внешние жесткие диски,
вставлять оптические диски в приводы и подобные действия.
Соответственно, поскольку вирусы могут распространяться через
переносимые носители, остается риск того,
что однажды на одном из таких внешних носителей будет принесен в систему вирус.
А также тот вариант, что система является многопользовательской,
а пользователи могут разрабатывать или запускать программное обеспечение.
Здесь речь идет о том,
что один из пользователей может оказаться внутренним нарушителем.
В ситуации, когда система однопользовательская,
то есть пользователь сам работает на своей машине, как правило, он обладает всей
полнотой полномочий в этой системе, и вроде как использовать вредоносное
программное обеспечение для него не имеет смысла, несколько неоправданно.
А вот в ситуации, когда система является многопользовательской, имеется достаточно
очевидная мотивация для нарушителя, а именно, например, отслеживать
действия своего коллеги по использованию той же информационной системы.
Например, если пользователь на рабочем месте обладает ограниченными правами,
но при этом может разрабатывать и запускать программное обеспечение,
он может разработать или запустить готовое вредоносное
программное обеспечение, которое со всех пользователей,
которые работают за этой машиной, перехватывает, например, нажатие клавиш,
и, таким образом, отслеживать действия администратора, например,
узнать администраторский пароль или каким-то образом попытаться расширить свои
полномочия за счет получения информации, которая ему не должна быть известна.
Антивирусная защита, как следствие вот этих перечисленных тезисов,
необходима почти для любой информационной системы,
особенно при наличии доступа к сети Интернет.
Собственно, здесь расписан пример, о котором я уже говорил,
что даже при отсутствии информации, представляющей ценность,
нарушитель может использовать вредоносное программное обеспечение для того,
чтобы использовать в дальнейшем ресурсы информационной системы для угроз
безопасности информации, направленные на другие информационные системы,
таким образом делая владельца информационной системы своим невольным
соучастником.
[МУЗЫКА]