Методы защиты от программных закладок
Одним из возможных методов защиты от программных закладок является использование принципа минимальных полномочий, в соответствии с которым каждому субъекту (процессу или пользователю) всегда предоставляются в системе минимальные права.
Для обнаружения присутствия в системе программной закладки могут применяться следующие способы:
просмотр списка активных процессов с помощью диспетчера задач операционной системы;
просмотр состояния IP-портов с помощью системной программы netstat;
просмотр разделов реестра для обнаружения дополнительно установленных программ, которые автоматически выполняются при загрузке операционной системы;
просмотр файла аудита для поиска попыток доступа неизвестных процессов к критичным объектам КС или объектам с конфиденциальной информацией;
контроль обращений процессов к объектам файловой системы, разделам реестра и используемым сетевыми программами портам (например, с помощью известных программ FileMon, RegMon и PortMon) и др.
Некоторые антивирусные программы (сканеры и мониторы) могут обнаруживать инсталляторы закладок и сами закладки.
Наиболее эффективным методом защиты от программных закладок является использование организационных мер, к которым можно отнести следующие:
минимизация времени работы в КС с полномочиями администратора;
создание специальной учетной записи пользователя КС для выхода в сеть Интернет с минимальными полномочиями (запуск обозревателя и сохранение файлов в специальной папке);
аккуратное использование почтовых и офисных программ привилегированными пользователями (например, запрет доступа администратора к отдельным папкам и файлам).
Помимо организационных мер для выявления программных закладок эффективными могут оказаться методы семантического анализа исполнимого кода системных и прикладных модулей с целью поиска небезопасных для КС участков и (или) недокументированных функций. Для этого должны применяться дисассемблирование кода и эмуляции его выполнения с помощью специальных отладчиков.
Эффективным методом защиты от вредоносных программ является создание изолированной программной среды, обладающей следующими свойствами:
на компьютере с проверенной BIOS установлена проверенная операционная система;
достоверно установлена целостность модулей операционной системы и BIOS для данного сеанса работы пользователя;
исключен запуск любых программ в данной программно-аппаратной среде, кроме проверенных;
исключен запуск проверенных программ вне проверенной среды их выполнения (т.е. в обход контролируемых проверенной средой событий).
Но в соответствии с комплексным подходом к обеспечению информационной безопасности универсальных приемов, сохраняющих постоянную эффективность, быть не может. Требуется тщательный анализ новой информации о типах программных закладок и способах их внедрения в КС для выбора адекватных методов защиты.
Дата добавления: 2017-08-01; просмотров: 1488;