Методы защиты от программных закладок

Одним из возможных методов защиты от программных закладок является использование принципа минимальных полномочий, в соответствии с которым каждому субъекту (процессу или пользователю) всегда предоставляются в системе минимальные права.

Для обнаружения присутствия в системе программной закладки могут применяться следующие способы:

просмотр списка активных процессов с помощью диспетчера задач операционной системы;

просмотр состояния IP-портов с помощью системной программы netstat;

просмотр разделов реестра для обнаружения дополнительно установленных программ, которые автоматически выполняются при загрузке операционной системы;

просмотр файла аудита для поиска попыток доступа неизвестных процессов к критичным объектам КС или объектам с конфиденциальной информацией;

контроль обращений процессов к объектам файловой системы, разделам реестра и используемым сетевыми программами портам (например, с помощью известных программ FileMon, RegMon и PortMon) и др.

Некоторые антивирусные программы (сканеры и мониторы) могут обнаруживать инсталляторы закладок и сами закладки.

Наиболее эффективным методом защиты от программных закладок является использование организационных мер, к которым можно отнести следующие:

минимизация времени работы в КС с полномочиями администратора;

создание специальной учетной записи пользователя КС для выхода в сеть Интернет с минимальными полномочиями (запуск обозревателя и сохранение файлов в специальной папке);

аккуратное использование почтовых и офисных программ привилегированными пользователями (например, запрет доступа администратора к отдельным папкам и файлам).

Помимо организационных мер для выявления программных закладок эффективными могут оказаться методы семантического анализа исполнимого кода системных и прикладных модулей с целью поиска небезопасных для КС участков и (или) недокументированных функций. Для этого должны применяться дисассемблирование кода и эмуляции его выполнения с помощью специальных отладчиков.

Эффективным методом защиты от вредоносных программ является создание изолированной программной среды, обладающей следующими свойствами:

на компьютере с проверенной BIOS установлена проверенная операционная система;

достоверно установлена целостность модулей операционной системы и BIOS для данного сеанса работы пользователя;

исключен запуск любых программ в данной программно-аппаратной среде, кроме проверенных;

исключен запуск проверенных программ вне проверенной среды их выполнения (т.е. в обход контролируемых проверенной средой событий).

Но в соответствии с комплексным подходом к обеспечению информационной безопасности универсальных приемов, сохраняющих постоянную эффективность, быть не может. Требуется тщательный анализ новой информации о типах программных закладок и способах их внедрения в КС для выбора адекватных методов защиты.