В Trend Micro готовы к борьбе с компьютерной заразой в любых условиях
Блокировка вируса и деактивация его вредоносных компонентов — лишь начало борьбы с вирусом. По данным компании Trend Micro, около 80% корпоративных антивирусных затрат составляют расходы на чистку информационной системы от последствий вирусной эпидемии: удаление кодов вируса, удаление из реестра лишних записей, восстановление конфигурации системы, измененной вирусом. Однако далеко не все производители антивирусов включают в свои продукты соответствующие инструменты; обычно их основные силы направляются на подготовку сигнатур вирусов и поиск методов дезактивации вредоносного кода. Тому, что после отражения вирусной атаки в системе остается много неопасного мусора, просто не придают значения.
Михаил Кандрашкин, руководитель центра компетенции Trend Micro компании «Прикладная логистика»: «Минимум вирусных эпидемий приходится на время проведения судебных процессов в США» |
Впрочем, борьба с вирусом начинается еще до его появления. Вирус, как правило, использует какой-нибудь метод проникновения в систему, который основан на дефекте в программном обеспечении. Поэтому антивирусные компании пристально следят за публикацией сообщений о найденных ошибках. После таких сообщений иногда появляются пробные коды, эксплуатирующие найденный дефект, — так называемые эксплойты. Антивирусные компании готовят набор правил, предотвращающих использование опубликованного эксплойта. В результате вирусы, основанные на публичных эксплойтах, уже не смогут пробить защиту антивируса. Однако автор вируса может применить свой метод эксплуатации того же дефекта, и тогда вирус преодолеет защиту.
Что же делать предприятиям, когда вирус уже есть и распространяется с большой скоростью, а сигнатур для его удаления еще нет? Как правило, сообщения о появлении нового вируса сопровождаются инструкциями, как с ним можно бороться. Кроме того, в некоторых антивирусах есть возможность автоматически применить так называемую «блокирующую» политику. Обычно она разрабатывается в течение получаса с момента получения первого экземпляра вируса. Однако такая политика не сможет деактивировать вирус, если он все-таки попал в сеть. Когда же через несколько часов после обнаружения вируса выходит уже полноценная сигнатура для его детектирования и дезактивации, можно приступать уже к очистке информационной системы от вирусов и приведению в порядок настроек, затронутых вирусом.
Центр компетенции Trend Micro предоставляет средства защиты на каждом этапе жизненного цикла вируса. При этом есть три уровня защиты: сетевой, программный и управления эпидемией. Защита сетевого уровня работает с протоколами, программного — с приложениями, а для управления эпидемией используются средства мониторинга. На этапе анализа дефектов Trend Micro предлагает продукт Vulnerability Assessment, который позволяет компании определить дефекты защиты и правила их устранения. Для предотвращения эпидемии, когда вирус уже есть, а сигнатуры для него нет, компания предлагает службу Outbreak Prevention Services, обеспечивающую мониторинг наличия нового вируса и его блокировку. Деактивация вирусов производится с помощью сервиса Virus Response Services, который дает возможность сканировать информационную систему для поиска вирусов, а также для прекращения их работы и размножения. С целью восстановления и очистки системы Trend Micro предлагает сервис Damage Clean Up Services.