Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Полностью пропатченную систему трудно скомпрометировать без участия конечного пользователя. В тех случаях, когда вредоносное ПО или набор эксплойтов не находят незакрытую уязвимость, они обычно прибегают к какому-либо трюку социальной инженерии. Обычно он включает в себя указание конечному пользователю, что ему нужно запустить или открыть что-то, чтобы получить некий полезный результат. Обучение пользователей противостоять распространенным методам социальной инженерии – отличный способ снизить шансы успеха вредоносных программ.

Антивирусное ПО необходимо использовать практически в каждой компьютерной системе. Даже лучший антивирус может пропустить вредоносную программу, и ни одна программа не гарантирует 100 %-ную защиту от них, но запуск компьютерной системы без нее – это как езда на машине без тормозов. Вы можете работать в такой системе некоторое время, но в итоге катастрофа все-таки случится. В то же время никогда не верьте обещаниям разработчиков антивирусов о 100 %-ной защите. Это ложь.

Программы контроля запуска приложений (также известные как программы «белых» или «черных» списков) отлично подходят для блокировки вредоносных программ при использовании в режиме «белого» списка. В этом режиме разрешен запуск только определенных и легитимных программ. Такой подход останавливает большинство вирусов, червей и троянов. Программы контроля запуска приложений могут быть трудны в реализации в оперативном плане, потому что по своей природе каждая программа и исполняемый файл должны быть предварительно одобрены для запуска. И не каждый тип вредоносных программ или действия хакера могут быть предотвращены, особенно те, которые используют встроенные легитимные программы и инструменты сценариев. Тем не менее программы контроля запуска приложений – эффективный инструмент, который постоянно совершенствуется. Лично я думаю, что любая система, которая считается достаточно безопасной, должна иметь активную и определенную программу «белых» списков.

Брандмауэры и другие типы локальных и сетевых инструментов пограничной защиты (например, виртуальные ЛВС, маршрутизаторы и т. д.) хорошо защищают компьютерное устройство от вредоносного ПО. Большинство операционных систем имеют встроенные локальные брандмауэры, но многие из них не настроены и не включены по умолчанию. Внедрение брандмауэра может значительно снизить риск быть скомпрометированным, особенно при наличии незакрытой уязвимости. Мы рассмотрим их более подробно в главе 17.

Сетевая (NID/P) и хостовая (HID/P) системы обнаружения/предотвращения вторжений в программное обеспечение и устройства могут использоваться для распознавания и остановки вредоносных программ в сети или на локальном хосте. Обнаружение вторжений описано в главе 14. Но, как и традиционные антивирусные программы, сетевые и хостовые системы не гарантируют 100 %-ную защиту, и не следует доверять только им.

Вредоносные программы уже давно стали частью угроз информационной безопасности и всегда будут оставаться главной из них. Еще в конце 1990-х годов, с развитием антивирусных технологий, я был уверен, что они уйдут в прошлое к 2010 году. В те времена у нас были лишь сотни вредоносных программ. Теперь, сталкиваясь с сотнями миллионов различных вариаций, я понимаю, как был наивен.

Главы 10 и 11 посвящены Сьюзен Брэдли и Марку Руссиновичу, которые успешно борются с вредоносными программами на протяжении десятилетий.

Я познакомился со Сьюзен Брэдли более 15 лет назад, когда получил статус одного из наиболее ценных профессионалов Microsoft (MVP, Most Valuable Professionals). Как известно, этот статус присваивается независимым лидерам сообщества, которые демонстрируют совершенное владение одной или несколькими технологиями Microsoft и активно взаимодействуют с конечными пользователями, например ведут блог, рассылку или колонку в СМИ. С самого начала было ясно, что Брэдли – одна из лучших MVP-экспертов. Она очень умна, трудолюбива и всегда готова помочь не только конечным пользователям, но и другим MVP-экспертам (которые тоже являются конечными пользователями). Статус MVP был впервые присвоен Сьюзен в 2000 году в связи с выпускавшимся в то время продуктом Microsoft Small Business Server (SBS), однако ее глубокие технические знания этим не исчерпывались и охватывали в том числе систему Windows. С тех пор она продолжает получать статус MVP-эксперта каждый год (https://mvp.microsoft.com/ru-ru/PublicProfile/7500?fullName%20=Susan%20Elise%20Bradley), но теперь этот статус относится к категории Cloud and Datacenter Management.