Что такое веб защита
Что подразумевается под веб защитой компьютера
В широком смысле слова веб защита – это защита от всех сетевых угроз. Разработчики антивируса НАНО выделяют функции файловой защиты, то есть проверки имеющихся на компьютере файлов с блокированием доступа к инфицированным и подозрительным, и веб защиты, то есть проверки загружаемых из интернета файлов с блокированием загрузки зараженных.
Часто веб защитой компьютера называют блокирование доступа на подозрительные веб страницы, анализ ссылок, предостережение пользователя при попытке зайти на сайт, представляющий угрозу для компьютера. Модуль, препятствующий попытке зайти на потенциально опасный сайт, обычно носит название Web Protection, то есть веб защита. Пользователи многих антивирусных программ предпочитают отключать этот модуль, поскольку он слишком часто поднимает ложную тревогу.
Разновидностями веб-угроз являются фишинговые сайты – сайты-подделки, с которых в момент ввода считывается конфиденциальная информация. Важными условиями обеспечения веб защиты можно считать регулярное обновление антивирусного ПО, в идеале – автоматическое, постоянное использование включенного брандмауэра, защищающего от сетевых атак.
Что подразумевается под веб защитой компьютера
В широком смысле слова веб защита – это защита от всех сетевых угроз. Разработчики антивируса НАНО выделяют функции файловой защиты, то есть проверки имеющихся на компьютере файлов с блокированием доступа к инфицированным и подозрительным, и веб защиты, то есть проверки загружаемых из интернета файлов с блокированием загрузки зараженных.
Часто веб защитой компьютера называют блокирование доступа на подозрительные веб страницы, анализ ссылок, предостережение пользователя при попытке зайти на сайт, представляющий угрозу для компьютера. Модуль, препятствующий попытке зайти на потенциально опасный сайт, обычно носит название Web Protection, то есть веб защита. Пользователи многих антивирусных программ предпочитают отключать этот модуль, поскольку он слишком часто поднимает ложную тревогу.
Разновидностями веб-угроз являются фишинговые сайты – сайты-подделки, с которых в момент ввода считывается конфиденциальная информация. Важными условиями обеспечения веб защиты можно считать регулярное обновление антивирусного ПО, в идеале – автоматическое, постоянное использование включенного брандмауэра, защищающего от сетевых атак.
Веб-приложения — неотъемлемая часть рабочего процесса большинства организаций — АБС системы банков, CRM, 1C и другие программы, которыми ежедневно пользуются сотрудники. Они аккумулируют в себе огромное количество данных, обладающих коммерческой ценностью. Поэтому способствовать обеспечению безопасности веб-приложений — одна из ключевых задач для минимизации финансовых и репутационных рисков бизнеса.
Зачем нужна защита web-приложений?
Безопасность веб-приложений — это защитные меры, при которых злоумышленник не сможет получить доступ к конфиденциальным данным как извне при попытке взлома, так и внутри компании через нелегитимный доступ.
А если инсайдером окажется привилегированный пользователь — он не сможет воспользоваться конфиденциальными данными, так как его нетипичное поведение будет расценено как аномалия, и об этом немедленно будет оповещена служба информационной безопасности.
Веб-приложения становятся финансово-привлекательными не только для их разработчиков, но и для желающих нелегально воспользоваться данными, хранящимися в них. Виды и число атак на них растут в геометрической прогрессии. Атаки можно условно поделить на две категории угроз ИБ:
нарушение конфиденциальности информации;
нарушение доступности информации.
Наиболее распространенная угроза безопасности web-приложений — это эксплуатация уязвимостей, а при популяризации приложения в интернете — не избежать и DDoS-атак. Для взлома и вывода приложения из строя могут использоваться различные инструменты как любительские, так и профессиональные кибератаки и использование автоматических систем сканирования для эксплуатации уязвимостей.
Первый шаг злоумышленника при попытках атак — сканирование с помощью различных утилит. Это может увидеть администратор по частому обращению с одного IP-адреса к разным страницам и большому числу ошибок 404. Поэтому безопасность веб-приложений начинается с непрерывного мониторинга.
Защита веб-приложений актуальна в любых условиях — в том числе и внутри периметра компании. В большинстве случаев доступ к ним имеют не только офисные работники, но и удаленные сотрудники, которые нередко заходят в них с личных компьютеров в обход VPN. И если не обеспечить непрерывный мониторинг доступа к запросам и ответам, может произойти утечка ценной информации.
Чем грозит утечка конфиденциальной информации из веб-приложения?
Риски делятся на две основные группы:
Например, «горячие» лиды из CRM могут быть перепроданы прямым конкурентам нечестным сотрудником. Утечка клиентской базы, в результате которой клиентские данные оказались в продаже на черном рынке или выложены в публичный доступ, подрывает доверие к организации и влечет ответственность в виде штрафных санкций регуляторов.
Поэтому использование веб-приложений в бизнесе и в работе с конфиденциальными данными невозможно без продуманной всесторонней защиты от всех типов существующих угроз и предиктивным подходом к безопасности.
Как обеспечить безопасность web-приложений?
Приложения доступны из Интернета, чем привлекают внимание злоумышленников. Для получения доступа к конфиденциальным данным в них содержащихся, они применяют разнообразные векторы атак.
Прямой способ защиты приложений — межсетевой экран или брандмауэр. Для большего числа веб-приложений применяется прикладной сетевой экран Web Application Firewall (WAF). Если же мы говорим о бизнес-приложениях, которые содержат базы коммерческих и персональных данных, — то здесь требуется другой тип защиты — брандмауэр баз данных Database Firewall (DBF). Это позволяет защитить конфиденциальные данные на разных уровнях.
Применение специализированных решений по информационной безопасности позволяет обнаружить и предотвратить атаки на прикладном и сетевом уровне и реализовать комплекс мер, чтобы обеспечить доступность и непрерывность работы web-приложений за счёт защиты от различных классов атак.
Межсетевой экран автоматически обнаруживает и блокирует атаки на веб-приложения и определяет нелегитимных пользователей, пытающихся проникнуть в веб-приложение.
К основным мерам относятся:
проверка данных на соответствие стандартам протоколов;
контроль трафика на основе нейронных сетей;
защита от SQL-инъекций;
протекция от межсетевого скриптинга (XSS);
контроль доступа к конфиденциальным данным.
Внедрение программно-аппаратных комплексов снижает риски несанкционированного доступа к критичной информации и эксплуатации уязвимостей системного ПО. Более того, наличие специализированных решений по информационной безопасности позволяет обеспечить законодательные требования по защите персональных данных, а также банковских стандартов (СТО БР) и стандарта безопасности данных индустрии платежных карт PCI DSS в вопросах защиты веб-приложений.
Применение специализированных систем защиты web-приложений позволит своевременно обнаруживать и предотвращать попытки несанкционированных действий злоумышленников как внутри организации, так и извне.
Кроме выявления и блокировки атак для защиты данных в приложениях требуется непрерывный мониторинг доступа к базам данных и анализ поведения пользователей и систем. Эти функции обеспечивают решения класса DAM (database activity monitoring). Рассмотрим подробнее принцип работы таких решений.
DAM и DBF — классы систем для защиты веб-приложений
Веб-приложения тесно связаны с СУБД, поэтому атаки, направленные на них могут быть критичными. Получая доступ к приложению, злоумышленник может не только деактивировать его работу, но и завладеть ценной информацией, что грозит крупными финансовыми и репутационными рисками.
Согласно исследованию «Гарда Технологии», базы данных страховых и финансовых компаний оказываются на черном рынке преимущественно из автоматизированных систем, работающих через приложения. Риски утечек могут оцениваться в миллионы долларов. Прибавьте сюда штрафные санкции от регуляторов за нарушение закона о персональных данных и снижение уровня доверия клиентов. Поэтому игнорировать вопрос защиты веб-приложений при веде́нии бизнеса — опрометчивое решение.
Как говорили выше, чтобы защитить бизнес-приложения от современных угроз, одного WAF и сигнатурных средств недостаточно. Требуются специализированные решения для обеспечения безопасности баз данных. Средства по защите баз данных и веб-приложений относятся к классам Database firewall (DBF) / Database Activity Monitoring (DAM) – это аппаратно-программные комплексы для мониторинга, аудита и контроля доступа к информации и защиты от целевых атак на них. Есть решения, объединяющие в себе функциональные возможности по мониторингу, аудиту и защите от атак на базы данных.
В качестве основных функций систем DAM/DBF выделим следующие:
защита от внешних атак;
выявление уязвимостей БД;
обнаружение неучтенных конфиденциальных данных в базах приложений;
блокировка неавторизованных или нетипичных запросов и ответов;
проверка данных на обезличенность при передаче;
тотальный контроль всех запросов к БД и настраиваемые политики безопасности;
построение профилей пользователей и выявление подозрительной активности;
автоматическое сканирование БД на наличие конфиденциальной информации;
расследование инцидентов безопасности;
предотвращение утечек данных.
Обеспечение информационной безопасности веб-приложений с помощью специализированных систем — это комплексная задача бизнеса и возможность нивелировать риски.
Отечественное решение для информационной безопасности веб-приложений
Первое российское решение для обеспечения безопасности веб-приложений классов DBF и DAM стал аппаратно-программный комплекс «Гарда БД» от производителя систем информационной безопасности «Гарда Технологии».
«Гарда БД» изначально разрабатывалась как система защиты баз данных и веб-приложений. И большинство практических кейсов как раз связано с CRM, 1C, банковскими АБС и другими приложениями, которые используются в ежедневной практике работы сотрудников.
Это система аудита и блокировки сетевого доступа к базам данных и бизнес-приложениям. За счет непрерывного мониторинга обращений к базам данных и веб-приложениям детектирует подозрительные действия в реальном времени.
«Гарда БД» за счет сочетания технологических возможностей обеспечивает комплексную защиту: хранение запросов и ответов для дальнейшего ретроспективного анализа, автоматический поиск неконтролируемых баз данных, поведенческий анализ и выявление нарушений политик ИБ, аналитика и автоматическое уведомление об аномалиях.
Систему отличает скорость анализа трафика свыше десяти Гбит/с, что позволяет мгновенно реагировать на аномалии и информировать об этом службу безопасности, ни один подозрительный запрос или атака не останутся незамеченными.
Поведенческая аналитика позволяет выявлять отклонения от нормального поведения сотрудников или приложений. Все данные собираются в наглядные статистические отчеты, где можно видеть все логины, IP-адреса и запросы к базам данных и приложениям за конкретный период времени, а также большое количество запросов и множественные неуспешные авторизации. Контроль осуществляется по протоколам передачи данных HTTP/HTTPS и протоколам аутентификации.
АПК «Гарда БД» — прогрессивное решение, которое позволяет предотвратить инциденты уже по первым признакам аномального поведения пользователей и систем и обеспечить защиту web-приложений от всех видов угроз. Для тестирования системы в организации предусмотрен бесплатный пилотный проект. Уже за первый месяц работы системы удается предотвратить инциденты информационной безопасности в бизнес-приложениях.
Веб-защита
Область применения:
О веб-защите
Веб-защита в Microsoft Defender для конечной точки — это возможность, которая состоит из защиты от веб-угроз, фильтрации веб-контента и пользовательских индикаторов. Веб-защита позволяет обезопасить устройства от веб-угроз и регулировать нежелательный контент. Отчеты о веб-защите можно найти на портале Microsoft 365 Defender, перейдите на веб-> Reports >.
Защита от веб-угроз
Карты, которые составляют защиту от веб-угроз, — это обнаружение веб-угроз со временем и сводка веб-угроз.
Защита от веб-угроз включает в себя:
Настраиваемые индикаторы
Настраиваемые обнаружения индикаторов также суммируются в веб-отчетах об угрозах в организациях в рамках обнаружения веб-угроз со временем и сводки веб-угроз.
Настраиваемый индикатор включает в себя:
Фильтрация веб-содержимого
Фильтрация веб-контента включает веб-активность по категориям, сводку фильтрации веб-контента и сводку веб-действий.
Фильтрация веб-контента включает в себя:
Порядок приоритета
Веб-защита состоит из следующих компонентов, перечисленных в порядке приоритета. Каждый из этих компонентов обеспечивается клиентом SmartScreen в Microsoft Edge и клиентом network Protection во всех других браузерах и процессах.
Настраиваемые индикаторы (IP/URL-адрес, политики Microsoft Defender для облачных приложений)
Веб-угрозы (вредоносные программы, фишинг)
Фильтрация веб-контента (WCF)
В настоящее время Microsoft Defender для облачных приложений создает индикаторы только для заблокированных URL-адресов.
Порядок приоритета связан с порядком операций, по которым оценивается URL-адрес или IP-адрес. Например, если у вас есть политика фильтрации веб-контента, можно создавать исключения с помощью настраиваемого ip/URL-адреса. Настраиваемые индикаторы компромисса (IoC) в порядке приоритета выше, чем блоки WCF.
Точно так же во время конфликта между индикаторами всегда позволяет иметь приоритет над блоками (переопределять логику). Это означает, что допустимый индикатор будет выигрывать над любым индикатором блока, который присутствует.
В приведенной ниже таблице приведены общие конфигурации, которые могут представлять конфликты в стеке веб-защиты. Он также определяет результаты определения, основанные на приоритете, перечисленных выше.
| Настраиваемая политика индикатора | Политика веб-угроз | Политика WCF | Политика Defender for Cloud Apps | Result |
|---|---|---|---|---|
| Разрешить | Блокировка | Блокировка | Блокировка | Разрешить (переопределять веб-защиту) |
| Разрешить | Разрешить | Блокировка | Блокировка | Разрешить (исключение WCF) |
| Warn | Блокировка | Блокировка | Блокировка | Предупреждение (переопределения) |
Внутренние IP-адреса не поддерживаются пользовательскими индикаторами. Для политики предупреждения при обходе конечным пользователем сайт будет разблокирован в течение 24 часов для этого пользователя по умолчанию. Этот срок может быть изменен администратором и передается облачной службой SmartScreen. Возможность обхода предупреждения также может быть отключена в Microsoft Edge CSP для блоков веб-угроз (вредоносных программ и фишинга). Дополнительные сведения см. в Microsoft Edge SmartScreen Параметры.
Защита браузеров
Во всех сценариях веб-защиты SmartScreen и Network Protection можно использовать вместе для обеспечения защиты как в браузерах, так и в сторонних браузерах и процессах. SmartScreen встроен непосредственно в Microsoft Edge, а Network Protection отслеживает трафик в сторонних браузерах и процессах. На приведенной ниже схеме иллюстрирует эту концепцию. Эта схема двух клиентов, работающих вместе для предоставления нескольких покрытий браузера и приложений, является точной для всех функций веб-защиты (Индикаторы, Веб-угрозы, фильтрация контента).
Блоки конечной точки устранения неполадок
Ответы из облака SmartScreen стандартизуются. Такие средства, как Fiddler, можно использовать для проверки ответа облачной службы, которая поможет определить источник блока.
Когда облачная служба SmartScreen отвечает допустимым, блоковым или предупреждать ответом, категория отклика и контекст сервера передаются клиенту. В Microsoft Edge, категория ответа — это то, что используется для определения соответствующей страницы блока для показа (вредоносные, фишинговые, организационные политики).
В таблице ниже показаны ответы и их соотносимые функции.
| ResponseCategory | Функция, ответственная за блок |
|---|---|
| CustomPolicy | WCF |
| CustomBlockList | Настраиваемые индикаторы |
| CasbPolicy | Defender for Cloud Apps |
| Вредоносное | Веб-угрозы |
| Фишинговое | Веб-угрозы |
Расширенный поиск для веб-защиты
Запросы Kusto в области предварительной охоты можно использовать для обобщения блоков защиты веб-сайтов в организации сроком до 30 дней. В этих запросах используется указанная выше информация, чтобы различать различные источники блоков и обобщить их в удобной для пользователя форме. Например, ниже в запросе перечислены все блоки WCF, происходящие из Microsoft Edge.
Кроме того, вы можете использовать ниже запрос, чтобы перечислить все блоки WCF, возникающие из сетевой защиты (например, блок WCF в стороном браузере). Обратите внимание, что ActionType был обновлен, а «Experience» изменен на «ResponseCategory».
Чтобы перечислить блоки, которые обусловлены другими функциями (например, настраиваемые индикаторы), обратитесь к таблице выше с извеской каждой функцией и соответствующей категорией отклика. Эти запросы также могут быть изменены для поиска телеметрии, связанной с определенными машинами в организации. Обратите внимание, что в actionType, показанных в каждом выше запросе, будут показаны только те подключения, которые были заблокированы функцией веб-защиты, а не весь сетевой трафик.
Взаимодействие с пользователем
Если пользователь посещает веб-страницу, которая представляет риск вредоносных программ, фишинга или других веб-угроз, Microsoft Edge запускает страницу блокировки с текстом «Этот сайт был признан небезопасным» вместе с информацией, связанной с угрозой.
Если блокирован WCF или настраиваемый индикатор, на странице Microsoft Edge, которая сообщает пользователю, что этот сайт заблокирован организацией.
В любом случае в сторонних браузерах не отображается блок-страниц, и пользователь видит страницу «Безопасное подключение сбой» вместе с уведомлением о подстесте. В зависимости от политики, ответственной за блок, пользователь увидит другое сообщение в уведомлении тоста. Например, фильтрация веб-контента будет отображать сообщение «Этот контент заблокирован».
Сообщение о ложных срабатывах
Чтобы сообщить о ложном срабатыве для сайтов, признанных SmartScreen опасными, используйте ссылку, которая отображается на странице блока в Microsoft Edge (как показано выше).
Для WCF можно оспорить категорию домена. Перейдите на вкладку Домены отчетов WCF и нажмите кнопку Отчет о неточности. Откроется вылет. Установите приоритет инцидента и ука добавь дополнительные сведения, например предлагаемую категорию. Дополнительные сведения о том, как включить WCF и как оспорить категории, см. в странице Фильтрация веб-контента.
Дополнительные сведения о том, как отправлять ложные срабатыва-
Современные антивирусы: функции и возможности – Часть III: Веб-защита и дополнительные функции
Функции, упоминаемые в этой статье обычно не входят в основной состав антивирусных продуктов. Очень редко вы можете встретить антивирусное решение, которое содержит все вышеперечисленные функции. Инструментарий отдельных антивирусов очень сильно отличается. Вот почему мы затрагиваем только основные принципы и аспекты дополнительной функциональности.
Содержание
Веб-защита браузеров (Web and Browser protection)
Также называют: Веб-контроль (Web Control), веб-безопасность (Web Security), веб-защита (Web Protection), защита браузера (Browser Protection), защита просмотра веб-страниц (Web Browsing Protection)
Веб-браузеры являются самыми основными целями атак со стороны вредоносного ПО. Они могут быть использованы для заражения ПК через интернет, для передачи украденной информации с зараженного компьютера на сервера злоумышленников.
Браузеры часто становятся объектом атаки из-за данных платежных систем, которые могут храниться в базе автозаполнения форм браузеров. Вот почему вендоры антивирусного ПО выполняют огромные усилия по обеспечению безопасности именно веб-браузеров, как никакого другого объекта пользовательского компьютера.
Контроль плагинов (Plugin Control)
Также называют: защита плагинов (Plugin Prevention)
Цепочки браузерных процессов, файлы и другие ресурсы могут быть защищены с помощью функциональности стандартного поведенческого контроля, но в общем случае эти меры недостаточны. Большинство основных браузеров имеют плагины, дополнения, панели управления, дополнительные помощники, которые могут также угрожать их безопасности. Контроль компонентов в этом случае может прийти на помощь. Антивирус должен убедиться, что все компоненты браузерного приложения являются достоверными и безопасными для пользователя.
Фильтры URL-адресов, блокировка рекламы (Domain and URL Filters, Blocking Ads
Внесение в черный список вредоносных доменов и ссылок является основной функцией. Пользователям, в общем случае, позволяется добавлять собственные адреса в список фильтров. Когда браузер пытается соединиться с заблокированным адресом, фильтр обнаруживает эту попытку и запрещает действие до того, как началась передача данных. Данная функциональность может вступать в действие либо на сетевом уровне с низкоуровневым драйвером ядра, либо на уровне расширения браузера.
Расширение браузера является более распространенным, т.к. поведение браузера очень легко контролируется в этом случае и реальное сообщение об ошибке выводится перед мнимой ошибкой соединения, инициируемой вредоносным ПО. По умолчанию фильтры содержат пути назначения, известные как зловредные или незаконные: сайты, использующие фишинг, обманные действия, ресурсы, имеющие вредоносный код, плохую репутацию и порнографическое содержание.
Блокирование рекламы может быть частью веб-контроля. Некоторые антивирусы предлагают пользователю заблокировать рекламу, несмотря на то, что рекламное содержание является важным составляющим бизнес моделей интернета. Если антивирусное ПО содержит фильтры ресурсов, оно может легко определить рекламных провайдеров и с высокой эффективностью заблокировать большинство рекламных объявлений.
Другие формы блокирования рекламы включают блокирование изображений по их размеру, блокирование специальных ключевых слов и применяются против назойливого и ненадлежащего контента. Большинство легитимных рекламных объявлений, отображаются, как правило, корректно.
Динамическое содержание (Dynamic Content)
Динамическое веб-содержание, такое как Flash ролики, Java приложения, объекты ActiveX представляют новые способы обхода современных защит. Антивирусы могут контролировать и блокировать динамические объекты, которые загружаются с недостоверных сайтов. Некоторые продукты содержат блокировку скрытых фреймов и всплывающих окон, которые могут раздражать пользователей.
Наиболее жесткий метод – блокировка всего динамического контента, включая скрипты Java. Как бы то ни было, побочным эффектом этих мер может послужить некорректная работа многих сайтов.
Куки (Cookies)
Это может быть расценено как недопустимое нарушение пользовательской конфиденциальности. Современные антивирусные программы позволяют пользователю управлять cookie-файлами: удалять их или полностью запрещать их создание. Несмотря на то, что эта функциональность является неотъемлемой составляющей современных веб-браузеров, пользователю может быть удобней управлять безопасностью компьютера с одного приложения – антивирусной программы.
Также как и блокирование динамического содержимого, блокирование файлов cookie может вызвать нарушения в работе многих веб-сайтов.
Виртуализация браузера (Browser Virtualization)
Виртуализация браузера является реакцией разработчиков антивирусного ПО на предельную уязвимость интернет браузеров в настольных системах и повышенную привлекательность для кибер-атак. Браузер используются для серфинга по сети и в случае взаимодействия с сайтом с вредоносным содержанием, может появиться уязвимость в браузере, которая будет способствовать заражению всего ПК.
Виртуализация браузера заключается в создании виртуальной среды для работы интернет браузера. Все действия браузера контролируются, если они считаются потенциально опасными, они перенаправляются в песочницу. Например, браузер заражен вредоносным кодом, он пытается сохранить зловредные файлы на компьютере и изменить ключи реестра для последующего автозапуска вируса при перезагрузке системы. Если файловые операции и любые действия с реестром будут происходить в виртуальной среде, запуск вируса произойдет в песочнице и реального заражения системы не произойдет. При закрытии браузера виртуальная среда уничтожается, и заражение ликвидируется навсегда. В то же время пользователю разрешено загружать требуемые файлы в реальную систему, вне песочницы. Достоверные действия браузера не перенаправляются в виртуальную среду, пользовательская функциональность браузера, таким образом, сохраняется.
Виртуализация браузера очень напоминает функцию песочницы, которую мы обсуждали ранее. Отличие заключается в том, что на этот раз в песочнице исполняются не подозрительные приложения, а хорошо известный и достоверный веб-браузер.
Браузерный и поисковый помощник, анти-фишинг (Browser and Search Advisor, Anti-phishing)
Также называют: безопасный Интернет (Safe Web)
Назначение браузерного и поискового помощника – предоставление информации о репутации посещаемого веб-сайта. Если браузерный помощник определяет потенциально опасный веб-сайт, который пользователь намеревается посетить, выводится соответствующее предупреждение. Поисковый советчик сосредоточен именно на результатах выдачи поисковых машин. При запросе страница поисковой системы модифицируются таким образом, чтобы потенциально опасные ссылки или вовсе были невидимыми, или по крайней мере помечены дополнительной информацией о их опасности для пользователя.
Вендоры антивирусного ПО составляют собственные рейтинги интернет сайтов, используя различные критерии. Веб-сайты сканируются на наличие ссылок, ведущих на вредоносные ресурсы. Контент сайтов анализируется и классифицируется согласно фильтрам ключевых слов. Применяется также добавление в белые и черные списки. Одним из наиболее важных параметров ранжирования сайта антивирусом является рейтинг сообществ. Сообщество пользователей определенного антивирусного продукта является мощной защитной единицей, которая позволяет пользователям избегать зловредные веб-сайты. Если внушительное количество пользователей антивируса посещают вредоносный сайт, существует большая вероятность, что многие пользователи пометят этот сайт как опасный с помощью антивирусного ПО. Эта отрицательная репутация впоследствии будет использована для предупреждения других пользователей сообщества.
Опция анти-фишинга используются для предотвращения кражи платежных данных. Существует множество способов распознать сайт, использующий фишинг. Эти методы включают анализ содержания, обнаружение недействительных или неподлинных сертификатов, детектирование подозрительных ссылок и т.д. Если обнаружена попытка фишинга со стороны вредоносного сайта, он блокируется антивирусом, либо критическое предупреждение выводится пользователю.
Сканирование веб-содержания (Web Content Scanning)
Защита конфиденциальной информации (Privacy Protection)
Также называют: защита персональной информации (ID Protection), безопасность личных данных (Identity Safe), защита личных данных (Identity Protection)
Номера кредитных карт, банковских аккаунтов, электронных платежных систем и другие пароли, персональная информация, адреса электронной почты, номера документов, телефонов являются строго конфиденциальной информацией, которая должна быть защищена от действий вредоносного ПО.
Функция защиты персональных данных позволяет пользователю решить, какие данные являются наиболее конфиденциальными и не должны передаваться без его согласия. Исходящий трафик сканируется на предмет защищаемых данных, и в случае совпадения, передача данных блокируется.
Менеджер паролей (Password Management) иногда входит в состав защиты персональных данных. Пользователи могут хранить пароли в безопасности, т.к. они находятся в зашифрованной форме и доступны только владельцу. Некоторые антивирусные программы расширяют область шифрования, включая все пользовательские файлы и, таким образом, защищают настройки сторонних программ и их журналы регистрации событий (логи). Эта мера относится к различным чатам и программам обмена сообщениями, которые могут хранить историю сообщений с конфиденциальной информацией на жестком диске. История браузера, файлы cookie и временные файлы также находятся под защитой функции обеспечения безопасности личных данных. Пользователь может настроить периодичность очистки этих данных: каждый раз при закрытии браузера (этот агрессивный подход может привести к долгой загрузке некоторых веб-сайтов), раз в день, раз в неделю. Использование расписания означает, что мониторинг пользовательской активности в сети ограничен определенным периодом времени.
Родительский контроль (Parental Control)
Также называют: контроль доступа (Access control)
Родительский контроль позволяет приоритетным пользователям (родителям) контролировать использование компьютера менее приоритетной аудиторией (дети). Функция может использоваться для ограничения доступа к учетной записи компьютера. Родительский контроль может эффективно ограничить детям доступ к компьютеру в течение определенного времени в день, либо на определенное количество часов в день. Также может быть ограничено назначение использования ПК, путем контролирования запуска сторонних приложений. Ограничения по времени могут сопоставляться с ограничением запуска определенных приложений. Таким образом, создаются специфические условия работы на компьютере, в которых некоторое приложение может быть использовано 2 часа в день к примеру.
Родительский контроль может иметь возможность ограничивать доступ к аппаратным средствам: переносным накопителям, флоппи дискам, CD/DVD дискам и т.д. Помимо настройки ограничений, родительский контроль может иметь опцию просмотра компьютерной активности детей. Родительский контроль ведет собственный журнал регистрации активности, включающий интернет историю, к которому имеет доступ приоритетный пользователь для анализа правильного использования ПК.
Анти-спам (Anti-spam)
Основное назначение модуля анти-спам – уменьшение количества нежелательных сообщений, который пользователь получает с помощью электронной почты. Анти-спам модуль в современных антивирусных программах обычно имеет поддержку большинства популярных почтовых клиентов, таких как Outlook, Outlook Express, Windows Mail, The Bat, Thunderbird, но не работает с другими почтовыми программами. Веб-интерфейс почты обычно также не поддерживается. Существует несколько способов определения спама. Комплексное анти-спам решение, как правило, сочетает несколько таких методов. Одним из наиболее общих методов является анализ содержимого входящих сообщений с помощью комплексного алгоритма анти-спам модуля и последующее присвоение специальных баллов каждому письму.
Если баллы превышают определенный уровень, электронное сообщение помечается как спам, и либо отсылается в соответствующую папку, либо незамедлительно удаляется. Настроить уровень ограничения и действие, которое требуется предпринять можно в конфигурации анти-спам фильтра. Спам может быть распознан с помощью анализа текста или характерных частей спам-сообщения. Например, многие основные спам-сообщения содержат ссылки на малоизвестные сайты или сайты с низким рейтингом. С помощью спама обычно предлагают товары, услуги и различные призы. Электронные сообщения, содержащие исполняемые файлы или инфицированные документы также являются типичным примером спама. Кроме того, маловероятно, что пользователи, использующие латиницу, будут получать сообщения на кириллическом или азиатском языке. Каждый признак спама добавляет специальные баллы электронному сообщению, и увеличивают вероятность его добавления в спам.
Другая методика включает использование облачных данных или мнения сообщества (иногда называют веб-запрос (Web-query). Вендор антивирусного ПО содержит внушительную базу широкораспространенных спам-сообщений, использующих фишинг, мошенничество и обман. Когда пользователь получает электронное сообщение, анти-спам модуль делает соответствующий запрос в базу данных на предмет соответствия сообщения образцам спама. Новый спам добавляется в базу разработчиками антивирусного, ручным способом самим пользователем, автоматическими скриптами или с помощью пометок в почтовых клиентах пользователями сообщества.
В общем случае модули анти-спама работают с белыми и черными списками адресов электронной почты. Сообщение, отсылаемые с надежных источников никогда не помечаются как спам. Электронные письма, приходящие с адресов из черного списка всегда расцениваются как спам. Белые списки могут формироваться с учетом пользовательской адресной книги, но конечный список редактируется пользователем. Черные списки обновляются с серверов разработчиков антивирусного ПО.
Другой эффективный метод противостоять спаму – блокирование почтовых серверов, отсылающих спам. Каждому спаммеру требуется компьютер для отправки спам-сообщений. Неверно настроенные или взломанные почтовые сервера обычно используются для этих целей. Такие источники спама могут быть идентифицированы антивирусом, а их адреса внесены в черный список. Существует множество пользовательских черных списков спам-серверов в интернете, которые также могут быть использованы для предотвращения спам-атак. Если электронное письмо получено с адреса в черном списке, оно расценивается как спам, несмотря даже на его содержание. Все большее количество компьютеров зловредно используются для отправки спама, поэтому чтобы черные списки были эффективными, их нужно постоянно обновлять.
Защита от уязвимостей (Vulnerability Protection)
Обновления (Updates)
Большинство антивирусов содержат компоненты, которые в своей работе требуют регулярных обновлений. Другие компоненты могут обновляться время от времени с выходом новых версии ПО для добавления новой функциональности и устранения дефектов. Таким образом, постоянные обновления жизненно необходимы для компьютерной безопасности. Существует несколько видов обновлений.
Первый вид обновлений называется обновления антивирусной базы (Database updates), базы данных или базы наборов правил. Эти обновления используются модулями антивируса для распознавания последних видов угроз. Когда новый вирус обнаружен и проанализирован разработчиком антивирусного ПО, делается образец вируса, который распространяется на все антивирусные программы вендора посредством обновлений. До выполнения обновлений антивирусной базы конкретное вредоносное ПО может быть не распознано антивирусом по результатам эвристического анализа или поведенческого контроля. Обновление программных файлов (Program updates) является очень важным. Любое программное обеспечение, включая антивирусы, содержит ошибки. Ошибки устраняются во время пользования антивирусом, а программные патчи распространяются на клиентские системы с помощью обновлений. Кроме того, обновление программных файлов может добавить дополнительную функциональность антивирусному продукту. Иногда даже глобальные обновления программы устанавливаются с помощью обновлений, что зависит от лицензионного соглашения соответствующего вендора антивирусного ПО. Существует немного пользовательских настроек обновлений. В общем случае параметры обновлений включают способ их получения – автоматическое скачивание и установка или частично ручной способ. В случае выбора автоматических обновлений, существует возможность настройки их периодичности. Обновления антивирусной базы должны выполняться регулярно, один раз в день, например, в то время как обновления программных файлов могут происходить один раз в неделю или реже. Для компьютеров, подключенных к интернету через прокси-сервера предоставляется возможность настройки параметров прокси для обновлений. Как бы то ни было, автоматическое определение настроек прокси-серверов прекрасно работает на большинстве систем и, следовательно, пользователь может не трогать эти настройки. Некоторые антивирусы позволяют включать режим экономии сети (bandwidth saving mode), при котором только критические обновления загружаются сразу, а другие обновления приостанавливаются до отключения этого режима.
Защита настроек (Settings Protection)
Онлайн резервное копирование (Online Backup)
Мониторинг производительности (Performance monitoring)
Настройка системы (Tune-up)
Отчеты и журналы регистрации событий (Reports and logs)
Антивирусные программы имеют настраиваемую функцию ведения журнала регистрации событий, который содержит детализированную информацию обо всех событиях в системе и действиях компонентов антивируса. Такие журналы полезны, когда происходит инцидент с безопасностью компьютера. Пользователь имеет возможность просмотреть, что именно случилось и какое действие последовало. Логи фаервола могут быть использованы для выявления зараженных машин в локальной сети или сети Интернет и последующего добавления новых правил для фаервола. Журналы компонента поведенческого контроля могут привлечь внимание пользователя к потенциально опасным приложениям в системе, о которых пользователь не догадывался. Как бы то ни было, для правильного трактования лога необходимо четкое понимание работы каждого компонента, ведущего лог. Отчеты являются более наглядными для пользователя, чем логи, и не требуют от пользователя дополнительных знаний для понимания. Отчеты накапливают все действия антивируса за определенный период без предоставления детальной информации. Ведение журнала крайне необходимо для фиксации ошибок ПО. Чем более детализованная информация представлена вендору антивируса, тем быстрее разработчики смогут обнаружить и устранить ошибки.