この部分は当初は計画されていませんでしたが、明らかに緊急に必要でした。 過去の記事に対する多くのコメントは、ITプロフェッショナルであっても「アンチウイルス」と「アンチウイルス保護システム」の概念の違いを理解していないことを示しています。 これは、コールの形でのウイルス対策の代わりに、他のソフトウェアの使用を提案するコメントで非常に明確に明示されています-原則として、権利、アクセスを制限するためのシステムなど。
したがって、私は以前に言ったことに戻ることを提案します。 アンチウイルスを代替ソリューションに置き換えることに異議があるかどうか、またアンチウイルスがアンチウイルスセキュリティシステムと異なるかどうかを判断しましょう。
定義で提供されたウイルス対策
サイクルの最初の部分では、現時点では世界に悪意のあるプログラムの定義はないことに気付きました。規制当局は通常、何から自分を守るべきかを知りません。 反対側に行って、私たちの国と世界の規制当局の観点からアンチウイルスが存在するものを見てみましょう。
- コンピューターウイルス、および一般的な望ましくない(悪意のあると考えられる)プログラムを検出し、そのようなプログラムに感染した(変更された)ファイルを回復するためのプログラム、および防止-悪意のあるコードによるファイルまたはオペレーティングシステムの感染(変更)を防止するためのプログラム (ウィキペディア)
- Microsoft Windowsの免疫不全環境でウイルス、トロイの木馬、ワーム、その他の感染を探すふりをするプログラムですが、実際には何も行わず、インストール先のデバイスの動作が遅くなります。 ウイルス対策データベースに含まれていない脅威からの保護を試みますが、その方法を知っています(Lurkmore)
- コンピューターウイルスやその他の悪意のあるプログラムを検出、再現、および削除することを目的とするプログラム
- PCのコンピューターウイルスへの感染を防ぎ、感染の結果を排除するプログラム(最後の2つの定義はRunetで広まっていますが、ソースは私にはわかりません。)
- ウイルス対策対策は、不正な破壊、ブロック、変更、コンピューター情報のコピーまたは情報保護ツールの無効化を目的とする情報システム内のコンピュータープログラムまたはその他のコンピューター情報の検出、およびこれらのプログラムおよび情報の検出に対する応答を保証する必要があります(FSTEC No. 17 www .rg.ru / 2013/06/26 / gostajna-dok.html )
- 情報システムの保護(コンピュータープログラムまたはコンピューター情報の不正な破壊、ブロック、変更、コピー、または情報保護ツールの無効化を目的とするその他のコンピューター情報の検出、およびこれらのプログラムおよび情報の検出に対する応答を含む)(FSTEC方法論文書。情報システム)
- ウイルスやワームなどの悪意のあるプログラムをブロックまたは削除する特定のアクションを検出、防止、および実行するプログラム( www.microsoft.com/en-us/security/resources/antivirus-whatis.aspx )
- コンピュータープログラム(著作権オブジェクト)の形式での知的活動の結果、著作権所有者(ライセンサー)に属する排他的権利(入札文書からのかなり典型的な定義)
したがって、保護システムが悪意のあるプログラムを検出するタイミングを少なくとも定義が決定していないか、保護対策(変更)の古い定義を含んでいることがわかります。
ノミの捕獲に従事している? まったくありません。 以前の記事では、ウイルス対策の主なタスクが以前は未知のマルウェアを検出して削除することであることが明確に示されていましたが、2つの記事のコメントは、ウイルス対策を感染を防ぐシステムに置き換えることを推奨していました。 つまり、神話は根付いており、正しい定義を書き留めないと、保護システムは必要な機能を自動的に受け取りません。
素晴らしい自転車は状況を示しています。 彼らは、ケネディが「私たちは月に最初になる!」と言ったとき、特別委員会は、ミッションの目標にわずかな修正を加えただけだと言います-「システムは月に宇宙飛行士を送り返します。」 しかし、節約できます。
もう1つのよくある間違いは、保護システムの定義にマルウェアの種類またはそのアクションの列挙を含めることです。 この点で、新しいタイプのマルウェアまたはそのアクションの出現は、規制文書のアクションからそれらを自動的に削除します。
ウイルス対策がウイルスをスキップするのはなぜですか?
ウイルス対策システムの定義を紹介する前に、ウイルス対策システム(リスクレベル)をバイパスする悪意のあるプログラムの機能をもう一度確認します。
現時点では、最も危険なマルウェアは単一のハッカーによって開発されたものではありません。犯罪活動に高度な資格を持つシステムおよびアプリケーションソフトウェア開発者が関与する、よく組織化された犯罪ビジネスです。
注意! この「会社」で誰がどのような役割を果たしたかは関係ありません。 おそらく、単純なシステム管理者の役割。 無知は言い訳ではありません。
現在のウイルス対策ソリューションによって開発された悪意のあるプログラムが検出されないことをテストすることにより、ヒューリスティックメカニズムの使用を含む、攻撃が計画されたユーザーグループによって使用されたと思われる保護システムによって検出されなかった(更新プログラムが受信されるまで)悪意のあるプログラムのみをリリースする可能性を確認しました。 1つのグループが作成するこのようなプログラムの数は、数百のサンプルに達する可能性があり、ターゲットグループの被害者が使用するウイルス対策ソフトウェアによって検出されることはありません。
ウイルス対策セキュリティにはどのような問題がありますか?
以前の記事で述べたことを繰り返します。
- 現時点では、アンチウイルスセキュリティシステムの主な問題は、保護システムによって検出されない悪意のあるプログラムです(軌道上のハイポエミッターなしでは解決できない可能性があるため、ユーザーの非識字性と素朴さの問題を舞台裏に残します)。 この脅威は以前から存在していましたが、以前は、新しいマルウェアサンプルの検出の遅延のみに関連していました。
- 検出できないプログラムの数は、合計数の少なくとも25%です。
- 現代のマルウェア開発システムに関連する従来のヒューリスティック検出メカニズムは、その重要性を大幅に失い、新しいマルウェア検出技術の開発が必要になりました。
- アンチウイルス力による侵入に対するアンチウイルス保護を提供することは不可能です。 しかし、他の方法を使用しても100%の保証が得られるわけではなく、高度な専門家が必要です。
ところで。 先ほど、最も危険なマルウェアの生産が開始されたと述べました。 しかし、これは他のマルウェアにも当てはまりますか? AVG(http://now.avg.com/kids-writing-trojans-show-computer-skills-friends)によると、現代のマルウェアの3分の1は子供によって作成されています。
ウイルス対策が必要なのはなぜですか?
したがって、アンチウイルス保護システムは以下を提供する必要があります。
- 既知のすべての種類のマルウェアの侵入に対する保護(以前に見つかった変更を検出する技術の使用を含む)。 単語「everyone」が強調されています-典型的な要求は、データベースから古いウイルスを削除することです。 信じないでください-OneHalfはまだ生きています!
- 更新プログラムを受信した後-既に起動され、悪意のあるプログラムの検出に積極的に反対しているものの検出と破棄(ただし、アクションのロールバックではありません!)
この定義は、アンチウイルス保護の定義の規範文書のデータが単なる偽ではなく、これらの定義を志向する企業にとって明らかに有害であることを示しています。 したがって、これらの定義とアンチウイルス保護システムの構成に基づいて実装された機能も正しくありません。
以前の記事へのコメントは、多くの人が、アンチウイルス保護のタスクを定義するとき、2番目の部分を忘れていることを示しています。
ウイルス対策なしでマルウェアの侵入を防ぐタスクを完了することができます-誰も煩わせず、さらに、ウイルス対策の存在が禁忌である場合もあります。 ただし、ウイルス対策なしで既にアクティブな感染を削除することはできません。 はい、手動でこれを行うことができる専門家がいることを知っています(そのような迅速な対応グループを形成している企業もあります)。 ただし、次の3つがあります。
- ほとんどのユーザーはこれができません。
- 現代の悪意のあるプログラムは、多くの場合、システム内に長く目立たないように設計されています(さらに、脆弱性を閉じたり、他のウイルスを削除したり、アンチウイルスをインストールしたりすることもあります)。 保護システムでテストされているため、何年も気付かれることはありません。
- マルウェアについて知っている場合、ウイルス対策はそれをより速く削除します。
ウイルス対策システムとウイルス対策システムの違いは何ですか?
ウイルス対策システムは、必ずしもウイルス対策ではありません。 これは、感染のリスクを軽減するプログラム/ OSセットアップ/手順です。
したがって、感染を防ぐためにウイルス対策を使用することを誰も気にしません(規制当局を除き、すべてはそれほど明白ではありません)が、ウイルス対策なしでは治療のために何もできません。 しかし、一つだけあります( www.infosec.ru/news/8119 ):
最も一般的な脆弱性と弱点:
- パスワードポリシーが設定されていないか、正しく設定されていません。
- 安全でないTELNETプロトコルを使用したネットワーク機器管理。
- イベント監査が構成されていないか、正しく構成されていません。
- ファイアウォールには冗長なルールが含まれています。
- ネットワークセグメンテーションが誤って実行されました。特に、サーバーセグメントはユーザーセグメントから分離されていません。
- 更新管理プロセスが実装されていないか、誤って実装されているため、たとえば、既知の脆弱性を含む古いソフトウェアが使用されている
- アクセススイッチのセキュリティ設定の欠如、特に「ARP Cache Poisoning」クラスの攻撃に対する脆弱性に対する保護。
- 侵入検知のための署名の更新とアラート設定の欠如。
- VPNテクノロジを使用したリモートアクセスに安全でないプロトコルを使用します。
- システムファイルへのアクセス権に関する誤った構成の制限。
カラシニコフ突撃ライフルを使用するか、スナイパーライフルを自分で挽くことができます。 システムを構成するだけでなく、リアルタイムでISニュースを分析し、それに応じてリアルタイムで保護を改善する準備ができている場合、私も規制当局も(特にFSTECの31次のコンテキストでは)気にしません。
さて、次の記事では、規制当局や標準の作成者がウイルス対策の使用を必要とするかどうか、また夜間に情報セキュリティに関する文書を読んだ場合に得られるメリットについて説明します