Защита конечных точек
Cтатья "Современные интернет-атаки" предоставлена Sophos Plc и SophosLabs.
Август 2007 г.
На конечных компьютерах обязательно должно работать защитное ПО, даже если компьютер также защищается сетевыми средствами. Выбор наиболее подходящего решения может диктоваться самыми разными функциями антивирусных продуктов. Одна из таких функций заключается в способности продукта обеспечивать упреждающее выявление угрозы — то есть выявлять ранее неизвестное вредоносное ПО. Активное использование серверной автоматизации для изменения файлов требует, чтобы продукты могли заблаговременно выявлять новые образцы. Полезным дополнением к обычным технологиям проверки файлов будет защита в реальном времени, зачастую называемая системой предотвращения вторжения (HIP) [61,62]. В таких системах ведется проверка выполняемых файлов с целью обнаружения черт вредоносного ПО. Хотя полное предотвращение запуска таких файлов по очевидным причинам предпочтительнее, защита в реальном времени полезна при блокировке уже начавшегося заражения или остановке механизма заражения до момента загрузки основного вредоносного компонента. Это весьма полезно для противодействия методикам заражения, используемым в интернет-атаках, когда загружается и запускается несколько различных компонентов.
Защита клиента с помощью межсетевого экрана также важна, поскольку она помогает противодействовать троянам-загрузчикам даже в случае, если их не удается выявить с помощью антивирусной проверки. В ведущих межсетевых экранах зачастую используются технологии, помогающие противодействовать внедрению кода в процессы — методике, нередко применяемой в троянах-загрузчиках.
С учетом распространенности эксплойтов в интернет-атаках другая полезная методика защиты клиентских компьютеров заключается в противодействии атакам с переполнением буфера (BOP) [63]. В таких технологиях обычно используется мониторинг областей памяти отдельных процессов для выявления атакуемых процессов и возникновения переполнения буфера. Это позволяет противодействовать атакам на клиентские компьютеры путем обнаружения переполнения буфера при попадании уязвимого клиента на атакующий сайт. Рост сложности и изощренности вредоносного ПО ведет к тому, что защитить клиентские компьютеры становится все трудней. При выборе нужного продукта следует принять во внимание все перечисленные здесь методики, не забывая об управляемости и удобстве использования клиентских компьютеров.