На данный момент основными путями проникновения вредоносных программ в сеть компании служат

1. 08.07.2013

   
   

   #1

   

   
   Administrator
   

   

   

   ---

   Вес репутации

   17

   

   Ответы на экзамен по лицензированию DrWeb
   

   Вынос мозга от Dr.Web.
   Публикую ответы (правильные и неправильные) на экзамен DrWeb’а.

   Код:

   Номер    Вопрос    Ваш ответ    Время    Результат
   1     Какой дополнительный компонент не лицензируется с программным продуктом Dr.Web для интернет-шлюзов Kerio?     1.    SMTP proxy     00:42    Да
   2     Покупатель приобрел лицензию на Dr.Web Security Space для защиты 2 ПК. Сколько операционных систем одновременно он имеет право защитить?     •    Все ответы верные     00:46    Да
   3     За продажу какого коробочного продукта Dr.Web начисляются 125 бонусов?     4.Никакого.     01:38    Да
   4     Сколько дополнительных компонентов защиты предусмотрено для Dr.Web Server Security Suite?     1.Один — Центр управления     01:13    Да
   5     Миграционная программа ООО «Доктор Веб» называется:     1.    «Переходи на зеленый!»     00:32    Да
   6     Dr.Web для файловых серверов Windows лицензируется:     2.    По количеству защищаемых файловых серверов     00:51    Нет
   7     FLY-CODE — это:     3.    Технология универсальной распаковки неизвестных Dr.Web упаковщиков     00:43    Да
   8     Антивирус Dr.Web для Windows входит в состав коммерческого продукта:     1.    Dr.Web Desktop Security Suite— защита рабочих станций     00:28    Да
   9     Лицензия для Dr.Web для интернет-шлюзов Unix предоставляется минимум на:     1.    5 пользователей     01:33    Да
   10     Скидка на переход с другого антивируса пользователям ОЕМ-лицензий других производителей составляет     1.    50%     00:35    Нет
   11     В какую группу продуктовой линейки Dr.Web Security Suite входит Dr.Web Office Shield?     4.    Программно-аппаратные комплексы     00:48    Да
   12     Выберите верное утверждение:     •    Дозакупка возможна даже для лицензий с истекшим сроком действия.     02:17    Нет
   13     Какого продукта нет в линейке Dr.Web Security Suite?     3.    Dr.Web Internet Gateway Security Suite     04:36    Нет
   14     Продлить со скидкой можно     3. Действующую или истекшую лицензию независимо от срока давности ее истечения     01:06    Да
   15     Какой компонент Dr.Web запретит ребенку доступ к социальным сетям?     3.Родительский контроль.     00:09    Да
   16     В коммерческий продукт Dr.Web Desktop Security Suite входят программные продукты для защиты рабочих станций     5.Windows, Mac OS X, Linux, MS DOS     01:14    Да
   17     В качестве дополнительных компонентов к базовым лицензиям для бизнеса предусмотрены     3. Антиспам, SMTP proxy, Криптограф, Центр управления     00:15    Да
   18     В состав Dr.Web Security Space входит:     8.    В состав Dr.Web Security Space входят все перечисленные компоненты     01:05    Да
   19     В состав комплектации коробочного продукта Dr.Web Security Space:     1.Входит установочный диск, на который записаны дистрибутивы программ Dr.Web.     00:12    Да
   20     Заказчику необходимо приобрести продукт для комплексной защиты от интернет-угроз и для защиты конфиденциальной информации для 100 рабочих станций под управлением Windows. Какую лицензию следует предложить в этом случае?     4.    Dr.Web Desktop Security Suite (Комплексная защита + Криптограф)     01:09    Да
   21     Для работы с криптографом в составе Dr.Web Бастион не требуется специальных знаний, так как:     5.    Все ответы верны     00:53    Нет
   22     После установки программ Dr.Web из коробочных продуктов:     2.Их можно использовать без регистрации серийного номера — это очень полезное свойство Dr.Web, которое позволяет использовать программу даже если нет доступа к сети Интернет.     00:15    Да
   23     Какие варианты лицензий возможны для программного продукта Dr.Web для Linux     3.    Антивирус + Центр управления     01:10    Да
   24     Какой компонент в составе Dr.Web Security Space сканирует HTTP-трафик и блокирует зараженные интернет-страницы?     1.Веб-антивирус SpIDer Gate     00:08    Да
   25     В каком случае срок лицензии продления Dr.Web уменьшится на 150 дней?     1.Если при регистрации серийного номера продления НЕ БУДЕТ указан ключевой файл или серийный номер предыдущей лицензии Dr.Web.     01:42    Да
   26     Выберите верное утверждение:     3.    Dr.Web — один из немногих антивирусов, который в большинстве случаев может быть установлен на уже инфицированный компьютер и способен вылечить зараженные файлы     00:37    Да
   27     Потенциальные пользователи консольных сканеров Dr.Web для MS DOS/Windows/OS2     3.    Любые пользователи ПК, имеющие опыт работы с командной строкой     00:47    Да
   28     Программный продукт Dr.Web Security Space входит в:     2.    Dr.Web Desktop Security Suite — защита рабочих станций     00:50    Нет
   29     В случае новой покупки срок лицензии на Dr.Web Desktop Security Suite с Центром управления может составить     3.    12, 24 или 36 месяцев     01:11    Да
   30     Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для интернет-шлюзов Unix?     3.Оба компонента не лицензируются с этим продуктом     00:18    Нет

   Код:

   Номер    Вопрос    Ваш ответ    Время    Результат
   1     За продажу какого коробочного продукта Dr.Web начисляются 125 бонусов?     4.Никакого.     00:22    Да
   2     Все скидки для продуктов и решений, в лицензиях на которые количество защищаемых объектов превышает количество, указанное в прайс-листе:     1.    Согласуются с компанией «Доктор Веб»     01:10    Да
   3     Какие компоненты защиты ПК под управлением Mac OS X входят в состав Dr.Web Security Space?     •    Антивирус     01:33    Да
   4     Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для серверов Unix (Samba)?     2.    Антиспам     01:20    Нет
   5     При приобретении Dr.Web Desktop Security Suite с Центром управления сроком на 24 месяца цена новой лицензии для НЕльготных категорий составляет:     3.    1,6 от цены соответствующего диапазона на 12 месяцев     02:47    Да
   6     Право защиты каких ОС обеспечивает покупателю приобретение лицензии на Dr.Web Security Space?     •    Windows, Mac OS X или Linux     00:44    Да
   7     Какой бонус получают покупатели продукта Dr.Web Desktop Security Suite?     2.    Право бесплатного использования продуктов для защиты мобильных устройств     00:53    Нет
   8     Стоимость продления лицензии на 1 год для НЕльготных категорий пользователей на бизнес-продукты Dr.Web составляет:     1.    0,6 от текущей стоимости соответствующей лицензии     00:53    Да
   9     Право бесплатного использования сетевой лечащей утилиты Dr.Web CureNet! предоставляется при покупке коммерческого продукта:     1.    Dr.Web Desktop Security Suite — защита рабочих станций     01:27    Да
   10     Бонус в 150 дней предоставляется пользователю Dr.Web Security Space:     3.При продлении лицензии на Dr.Web Security Space или Антивирус Dr.Web, срок которой от 3 месяцев и больше.     01:52    Да
   11     Какие операционные системы поддерживает Криптограф в составе коробочного продукта Dr.Web Бастион?     •    Только Windows     00:10    Да
   12     Какие компоненты защиты НЕ входят в базовую лицензию «Антивирус» для программного продукта Dr.Web для Windows в составе Dr.Web Desktop Security Suite?     1.    Криптограф     02:01    Да
   13     Какой продукт обеспечивает защиту от киберпреступности, направленной против детей (позволяет блокировать доступ к нежелательным интернет-ресурсам)?     2.    Dr.Web Security Space     00:15    Да
   14     Какое количество ПК можно лечить утилитой Dr.Web CureIt!?     1.1     00:11    Нет
   15     Покупатель приобрел лицензию на Dr.Web Security Space для продления лицензии на Антивирус Dr.Web.     1.Покупатель сможет пользоваться дополнительными компонентами защиты начиная с момента активации серийного номера на Dr.Web Security Space.     00:19    Да
   16     В какую группу продуктовой линейки Dr.Web Security Suite входит Dr.Web Office Shield?     4.    Программно-аппаратные комплексы     00:07    Да
   17     Кто является потенциальным потребителем Dr.Web Office Shield?     4.    Все ответы верны     00:40    Да
   18     Брандмауэр Dr.Web обеспечивает:     4.    Все вышеперечисленное     00:28    Да
   19     Лицензионный ключ Dr.Web НЕ содержит:     2.    Перечень операционных систем, в которых конечный пользователь имеет право использовать данное ПО     00:35    Да
   20     Выберите НЕВЕРНОЕ утверждение:     2.Коробочный продукт Dr.Web «Малый бизнес» содержит средства защиты почтового трафика на уровне сервера.     00:36    Да
   21     Скидка на продление предоставляется при покупке лицензии     2. для любого числа защищаемых объектов     00:35    Нет
   22     Программно-аппаратные комплексы Dr.Web Office Shield НЕ могут использоваться в качестве:     2.    Рабочего компьютера оператора ЭВМ     00:58    Да
   23     Миграция возможна, если лицензия на другой антивирус истекла не более     3.    30 дней назад     02:21    Да
   24     Dr.Web AV-Desk™ обеспечивает:     1.    Предоставление услуг по защите ПК от вирусов и спама неограниченному числу подписчиков, компьютеры которых подключены к сети поставщика услуг     00:56    Да
   25     При приобретении 2 лицензий на 1 год новым покупателем и их последовательной регистрации сразу одна за другой покупатель получит:     3.    Возможность использования купленного продукта в течение 2 лет и дополнительно 150 дней в качестве бонуса     02:13    Да
   26     Продлить со скидкой можно     3. Действующую или истекшую лицензию независимо от срока давности ее истечения     00:08    Да
   27     Какие категории пользователей не имеют права на получение специальной скидки?     2.    Частные учебные заведения     00:22    Нет
   28     Для работы с криптографом в составе Dr.Web Бастион не требуется специальных знаний, так как:     3.    Криптограф обладает исчерпывающей системой подсказок     00:53    Нет
   29     В состав комплектации коробочного продукта Dr.Web Security Space:     1.Входит установочный диск, на который записаны дистрибутивы программ Dr.Web.     00:48    Да
   30     К числу преимуществ вирусной базы Dr.Web относится:     2.    Способность определять множество вирусов одной вирусной записью     01:00    Да

   Код:

   Номер	Вопрос	Ваш ответ	Время	Результат1	 Сетевая лечащая утилита Dr.Web CureNet! является:	 1.	Средством разовой проверки	 01:22	Да
   2	 Бонус 150 дней при продлении Dr.Web ОЕМ Универсальный будет предоставлен покупателю:	 2.Если ОЕМ-лицензия будет продлена до конца срока ее действия.	 01:45	Нет
   3	 Вид лицензирования лечащих утилит Dr.Web CureIt! и Dr.Web CureNet!	 1.Пользовательская лицензия	 01:02	Да
   4	 Dr.Web для Windows в варианте лицензии «Комплексная защита» поддерживает следующие ОС:	 2.	Windows 8/7/Vista/XP/2000	 01:10	Нет
   5	 В коммерческий продукт Dr.Web Mail Security Suite НЕ входит программный продукт:	 3.	Dr.Web для интернет-шлюзов Unix	 00:54	Да
   6	 Какой дополнительный компонент не предусмотрен для Dr.Web Gateway Security Suite?	 2.	Брандмауэр	 02:20	Да
   7	 Выберите НЕверное утверждение. Сетевая лечащая утилита Dr.Web CureNet!	 2.	Требует установки на проверяемые ПК	 01:36	Нет
   8	 Клиент владеет лицензией на антивирус другого производителя. Срок лицензии: 1 января 2009 года — 1 января 2010 года. Клиент обратился к партнеру «Доктор Веб» за льготным переходом по программе «Переходи на зеленый» 28 января 2010 года. Возможен ли переход?	 1.	Невозможен, поскольку лицензия уже истекла.	 00:29	Нет
   9	 Какое количество ПК можно лечить утилитой Dr.Web CureIt!?	 2.От 1 до 50	 00:10	Да
   10	 Какой продукт следует предлагать покупателю, если требуется защита более 50 рабочих станций?	 2.Dr.Web Desktop Security Suite с Центром управления	 02:55	Да
   11	 После установки программ Dr.Web из коробочных продуктов:	 2.Их можно использовать без регистрации серийного номера — это очень полезное свойство Dr.Web, которое позволяет использовать программу, даже если нет доступа к сети Интернет.	 00:25	Да
   12	 Выберите НЕверное утверждение: Антиспам Dr.Web:	 3.	Требует постоянного обучения	 00:53	Да
   13	 Антивирус Dr.Web корректно сканирует:	 4.	Архивы любого уровня вложенности	 00:10	Да
   14	 К какому коммерческому продукту относится программный продукт Dr.Web для MIMEsweeper?	 3.	Dr.Web Mail Security Suite	 02:15	Нет
   15	 Какой дополнительный компонент не лицензируется с программным продуктом Dr.Web для интернет-шлюзов Kerio?	 1.	SMTP proxy	 00:15	Да
   16	 Выберите верное утверждение:	 3.	Во всех продуктах Dr.Web используется одно и то же антивирусное ядро	 00:38	Да
   17	 Компания «Доктор Веб» — правообладатель ПО Dr.Web — ни при каких обстоятельствах не несет ответственности	 4.	Все перечисленное верно	 02:00	Да
   18	 Выберите верное утверждение:	 1.	Dr.Web имеет незначительное количество ложных срабатываний, а значит, крайне редко пугает и отвлекает пользователя	 00:13	Нет
   19	 Если клиенту лицензируются четыре продукта Dr.Web, предоставляется скидка в размере	 1. 30%	 01:35	Да
   20	 Серийный номер для лицензии «Антивирус + Криптограф» (Home Security Suite) дает возможность использовать его для активации продуктов Dr.Web для защиты ПК под управлением следующих операционных систем:	 1. Только Windows XP/Vista/7/8	 00:22	Да
   21	 В состав школьного комплекта включены продукты Dr.Web для защиты	 3.	Рабочих станций, файловых серверов и мобильных устройств	 01:12	Да
   22	 Минимальный срок лицензии, которую можно продлить со скидкой, составляет:	 1.	3 месяца	 01:30	Да
   23	 Продукт Dr.Web Desktop Security Suite предназначен:	 4. для защиты рабочих станций, клиентов терминальных серверов и клиентов встроенных систем	 00:48	Да
   24	 В каком случае срок лицензии продления Dr.Web уменьшится на 150 дней?	 1.Если при регистрации серийного номера продления НЕ БУДЕТ указан ключевой файл или серийный номер предыдущей лицензии Dr.Web.	 00:26	Да
   25	 Покупатель приобрел лицензию на Dr.Web Security Space для защиты 3 ПК на 1 год для продления лицензии на Dr.Web Security Space 1 ПК на 1 год.	 2.Бонус 150 дней будет добавлен к сроку одной лицензии (3 ПК на 1 год).	 01:35	Да
   26	 Dr.Web SelfPROtect — это:	 4.	Модуль самозащиты	 00:08	Да
   27	 При приобретении 2 лицензий на 1 год новым покупателем и их последовательной регистрации сразу одна за другой покупатель получит:	 3.	Возможность использования купленного продукта в течение 2 лет и дополнительно 150 дней в качестве бонуса	 00:13	Да
   28	 Лицензии на криптограф Atlansys Bastion входят в состав комплекта	 3.	«Dr.Web Универсальный + Криптограф»	 01:05	Да
   29	 Криптограф в коробочном продукте Dr.Web Бастион работает под управлением:	 1.Только ОС Windows	 00:11	Да
   30	 Базовая лицензия Комплексная защита предусмотрена для продукта	 1. Dr.Web Desktop Security Suite	 00:13	Да

   В гугле глухо… Было.. До этого поста. )

   ---

2. 17 пользователей сказали cпасибо Genuine Savenger за это полезное сообщение:

   Acid (19.11.2013),

   Ale (04.12.2015),

   alik (08.07.2013),

   dimasus (19.01.2016),

   Ильсур (09.07.2013),

   Гортор (09.09.2013),

   Find Server (15.02.2016),

   Graf (19.11.2015),

   GUFI*BASSCLUB* (08.07.2013),

   iga (08.07.2013),

   Nonlinear equation (08.07.2013),

   Rigiy (24.11.2016),

   rust17 (20.02.2017),

   Sadvakas Phantomov (08.07.2013),

   Segodnya (08.07.2013),

   SERGant1407 (26.11.2018),

   The Hamster (12.07.2013)

   ---

3. 

   
   Незнакомец
   

   

   ---

   Вес репутации

   0

   
   

   Номер Вопрос Ваш ответ Время Результат
   1 Действие Удалить для файла в Карантине Dr.Web для Mac OS X означает: 1.Безвозвратное удаление файла из файловой системы. 00:24 Да
   2 Dr.Web для Mac OS X может быть установлен: 1.Только в операционных системах семейства Mac OS. 00:18 Да
   3 Когда истекает срок действия лицензионного ключевого файла для Dr.Web для Mac OS X: 2.Необходимо получить новый ключевой файл. 00:09 Да
   4 Веб-антивирус SpIDer Gate без дополнительной настройки Защищает ваш компьютер от вредоносного контента и блокирует источники распространения вирусов. Дополнительно можно настроить тематический фильтр 00:18 Да
   5 Сколько категорий насчитывает тематический фильтр Веб-антивируса SpIDer Gate? 10 00:08 Да
   6 Dr.Web для Mac OS X можно скачать с официального сайта: 4.В виде монтируемого образа диска. 00:12 Да
   7 Компонент SpIDer Guard антивируса Dr.Web для Mac OS X служит для: 3.Проверки используемых файлов в режиме реального времени. 00:13 Да
   8 Для ускорения работы SpIDer Guard нельзя: 3.Настроить отключение компонента по расписанию. 01:00 Да
   9 Когда веб-антивирус SpIDer Gate блокирует сайт, добавленный по обращению правообладателя, это значит, что Блокирован сайт, который распространяет нелегальное ПО, использование которого может представлять угрозу для вашего компьютера 00:19 Да
   10 Вирусные базы продукта Dr.Web для Mac OS X могут обновляться: 3.По расписанию либо по запросу пользователя. 00:09 Да
   11 Компонент SpIDer Guard Dr.Web для Mac OS X: 3.Может работать и после завершения работы антивируса. 00:10 Да
   12 Раздел Пульт главного окна Dr.Web для Mac OS X не дает возможности: 2.Менять настройки расписания сканирования. 00:09 Да
   13 Действие «Восстановить файл для объекта, находящегося в Карантине» означает: 1.Помещение файла туда, откуда он был перемещен. 00:11 Да
   14 Что сделает веб-антивирус SpIDer Gate, если пользователь добавит в белый список адрес сайта, инфицированный вирусом? Сайт все равно будет блокирован 00:13 Да
   15 Эвристический анализ это: 2.Совокупность методов, позволяющих обнаружить вредоносные программы, не занесенные в вирусные базы. 00:11 Да
   16 Один и тот же веб-ресурс: Будет отнесен к необходимому количеству категорий тематического фильтра веб-антивируса SpIDer Gate, в соответствии с тематиками этого ресурса 00:11 Да
   17 Режим Централизованной защиты для Dr.Web для Mac OS X: 3.Предполагает работу в сети, контролируемой Центром управления Dr.Web, или подключение к сервису Dr.Web AV-Desk. 00:44 Да
   18 Для запроса демонстрационного ключевого файла в окне Менеджера лицензий Dr.Web для Mac OS X: 3.Ввести личные данные. 00:16 Да
   19 Файлы для выборочной проверки Сканером Dr.Web для Mac OS X: 2.Могут быть указаны в виде одного или нескольких редактируемых пользовательских режимов. 01:01 Да
   20 Проверка конкретного файла из контекстного меню файла: 3.Осуществляется компонентом SpIDer Guard. 00:28 Нет
   21 Компонент Сканер антивируса Dr.Web для Mac OS X позволяет выполнять следующие действия: 1.Проверка системы по требованию пользователя или по расписанию, обезвреживание обнаруженных угроз. 00:32 Да
   22 Если действующий ключевой файл будет удален, замещен или поврежден: 2.Все компоненты Антивируса будут заблокированы до установки действующего ключевого файла. 00:15 Да
   23 Демонстрационный ключевой файл Dr.Web для Mac OS X ограничивает: 2.Только срок использования продукта. 00:11 Да
   24 Папки Карантина Dr.Web для Mac OS X: 2.По умолчанию исключены из списка проверяемых разделов. 00:09 Да
   25 Консольный сканер Антивируса Dr.Web для Mac OS X: 2.Предоставляет возможность проверки системы по требованию, аналогично Сканеру с графическим интерфейсом. 00:09 Да
   26 Почему в веб-антивирусе SpIDer Gate реализована проверка трафика до его поступления в браузер? Все варианты верны 00:10 Да
   27 С какими браузерами может работать веб-антивирус SpIDer Gate? С любыми браузерами 00:08 Да
   28 Компонент, который не содержится в составе Dr.Web для Mac OS X: 2.Родительский контроль 00:10 Да
   29 Для различных пользователей, зарегистрированных на данном компьютере: 2.Существует общий для всех пользователей системный Карантин и отдельный для каждого пользователя. 00:09 Да
   30 Блокировку каких ресурсов нельзя отключить в веб-антивирусе SpIDer Gate? Инфицированных вирусами 00:12 Да
   31 Уведомление пользователя о различных событиях в Dr.Web для Mac OS X: 4.Может осуществляться как с помощью звуковых сигналов, так и с помощью экранных сообщений. 00:11 Да
   32 После завершения работы Dr.Web для Mac OS X: 4.Остаются активными компоненты Планировщик и SpIDer Guard. 00:17 Да
   33 Когда веб-антивирус SpIDer Gate блокирует нерекомендуемый сайт, это значит, что Блокирован ресурс, который может содержать ссылки на опасные ресурсы 00:15 Да
   34 Отключение проверки упакованных и почтовых файлов при сканировании: 1.Ускоряет процесс проверки, но представляет опасность при отключенной постоянной защите. 00:13 Да
   35 Компонент SpIDer Guard: 1.Проверяет файлы, к которым обращаются пользователь или программы. 00:10 Да
   36 Серийный номер продукта Dr.Web для Mac OS X: 1.Позволяет получить лицензионный ключевой файл. 00:10 Да
   37 По умолчанию изменение настроек компонента SpIDer Guard Антивируса Dr.Web для Mac OS X: 3.Доступно только для пользователей с правами администратора. 00:09 Да
   38 Критические области жесткого диска: 3.Могут быть проверены только при запуске Сканера пользователем с административными правами. 00:11 Да

   ---

4. 

   
   Незнакомец
   

   

   ---

   Вес репутации

   0

   
   

   Номер Вопрос Ваш ответ Время Результат
   1 Проверку трафика HTTP осуществляет: SpIDer Gate 00:12 Да
   2 В состав антивирусного ПО, устанавливаемого на защищаемые станции в рамках лицензии Комплексная защита, не входит следующий компонент: Входят все перечисленные компоненты. 00:46 Да
   3 Пользователь станции АВ-сети, столкнувшись с неразрешимой проблемой, связанной с работой Enterprise Агента, должен обратиться: К администратору АВ-сети. 00:12 Да
   4 Для использования Dr.Web Enterprise Server следующей базы данных требуется драйвер ODBC: Верные ответы 1,2 01:05 Нет
   5 В качестве базы данных при развертывании Enterprise Сервера может быть использована: Верные ответы 1,2,5 00:24 Да
   6 От несанкционированного доступа извне компьютер защищает: Firewall 00:11 Да
   7 Для исключения воздействия вредоносных программ антивирусные решения должны устанавливаться: Все ответы верные 00:09 Да
   8 В каком случае трафик между Enterprise Сервером и Enterprise Агентом останется незашифрованным? Шифрование на Enterprise Сервере установлено в режим «возможно», на Enterprise Агенте — в режим «нет». 00:58 Да
   9 Если Enterprise Агент находится в мобильном режиме, пользователь имеет право: Самостоятельно обновлять вирусные базы. 00:20 Да
   10 Антивирусная сеть — это: Совокупность рабочих станций и серверов, на которых установлено, настроено и функционирует антивирусное ПО Dr.Web ESS 00:29 Да
   11 На компьютере, на котором производится работа с критически важными данными и/или денежными средствами: Все ответы верные 00:11 Да
   12 В случае необходимости дополнительного анализа файлов, попавших в карантин станции: Администратор может экспортировать файлы из карантина станции на Enterprise Сервер. 00:15 Да
   13 Аутентификация администратора для подключения к серверу Dr.Web Enterprise Security Suite возможна следующими способами: Верные ответы 1,2,3,4 00:09 Да
   14 Если в сети предприятия было принято решение установить в рамках одной иерархической сети дополнительный Enterprise Сервер, т. к. один перестал справляться с нагрузкой, то: Достаточно с помощью Менеджера лицензий Dr.Web ESS самостоятельно разделить существующую лицензию на необходимое количество составляющих. 00:19 Да
   15 Для возможности использования на станциях антиспам-модуля, который работает совместно со SpIDer Mail, необходимо и достаточно: Приобрести лицензию на Dr.Web Enterpise Security Suite 01:27 Нет
   16 После установки Dr.Web Enterprise Server первым делом необходимо: Провести хотя бы одно удачное обновление компонентов антивирусного ПО, находящегося в репозитории Enterprise Сервера. 00:13 Да
   17 Для проникновения на компьютеры во многих случаях используются уязвимости. При этом: По большей части для проникновения используются уязвимости, известные уже несколько лет. 00:14 Да
   18 Закрытый ключ шифрования: Называется drwcsd.pri и находится на Enterprise Сервере. 00:18 Да
   19 Для того чтобы в почтовых клиентах на станциях началась фильтрация спама, необходимо: Верные ответы 1,2 00:33 Да
   20 Оповещение администраторов возможно с помощью средств: Верные ответы 1,2,3,5 00:11 Да
   21 Система защиты от вредоносных программ, включающая в себя только антивирус, установленный на рабочих станциях и файловых серверах Windows локальной сети компании: Может защитить только от известных типов вредоносных файлов — с известными методами заражения. 00:31 Да
   22 Система контроля и ограничения доступа, требуемая для обеспечения невозможности активации вредоносной программы, еще неизвестной антивирусу, должна включать: Все ответы верные 00:27 Да
   23 Для проникновения в систему, как правило, используются уязвимости: Все ответы верные 00:09 Да
   24 Отказоустойчивость функционирования антивирусной сети может быть обеспечена за счет: Все варианты верные 00:09 Да
   25 При каких настройках шифрования на Enterprise Агенте и Enterprise Сервере они не смогут связаться между собой? Шифрование на Enterprise Сервере установлено в режим «нет», на Enterprise Агенте — в режим «да». 00:18 Да
   26 Просмотр файлов журнала антивирусного сервера возможен: На компьютере, на котором был запущен Центр управления 00:14 Да
   27 Проверку файлов «на лету» осуществляет: SpIDer Guard 00:09 Да
   28 Наиболее оптимальна ситуация, когда администратором АВ-сети является: Сотрудник предприятия, являющийся администратором сети и имеющий наибольший опыт работы с антивирусными продуктами. 00:14 Да
   29 По умолчанию при установке Enterprise Сервера предлагается использование: Встроенной базы данных SQLite 00:16 Да
   30 Таблица Состояние в Центре управления не отражает информацию: О станциях с неправильно выставленным временем на них. 00:38 Нет

   Номер Вопрос Ваш ответ Время Результат
   1 Администратор антивирусной сети может снизить риск ложного срабатывания путем: Использования отложенных обновлений и тестирования их на выделенных группах или отдельных станциях 00:19 Да
   2 Таблица Состояние в Центре управления не отражает информацию: О вирусных инфекциях. 01:26 Да
   3 На данный момент основными путями проникновения вредоносных программ в сеть компании служат: Верные ответы 2,3,4,5 00:23 Да
   4 Репозиторий Enterprise Сервера — это: Файловое хранилище на локальном диске сервера, содержащее все обновления продуктов, входящих в состав ПО Dr.Web ESS 00:31 Да
   5 Файлы, необходимые для установки вручную, по умолчанию располагаются: В папке на Enterprise Сервере, созданной в процессе установки 01:01 Нет
   6 Система защиты от вредоносных программ, включающая только антивирус: Не может защитить от наиболее опасных вредоносных файлов, протестированных перед выпуском «в дикую природу» на актуальных версиях антивирусных программ. 00:14 Да
   7 Для развертывания антивирусной сети необходимо и достаточно иметь в распоряжении следующие файлы: enterprise.key 01:12 Нет
   8 При автоматическом подтверждении доступа новых станций к Enterprise Серверу: Имеется возможность настройки правил автоматического распределения станций по пользовательским группам 01:20 Да
   9 Для использования Dr.Web Enterprise Server следующей базы данных требуется драйвер ODBC: Oracle 01:03 Нет
   10 Установки антивирусов только на рабочие станции и файловые серверы Windows локальной сети компании: Не достаточно для обеспечения защиты от вредоносных программ, так как неизвестные на момент заражения сети вредоносные программы могут быть использованы злоумышленниками для заражения иных узлов сети — и не только серверов и рабочих станций. 00:36 Да
   11 В состав антивирусного ПО, устанавливаемого на защищаемые станции в рамках лицензии Комплексная защита, не входит следующий компонент: Входят все перечисленные компоненты. 01:04 Да
   12 Администратор АВ-сети, столкнувшись с неразрешимой проблемой, связанной с работой Dr.Web ESS в сети предприятия, должен обратиться: В службу технической поддержки компании «Доктор Веб» 00:18 Да
   13 Если на Enterprise Агенте, установленном на серверной ОС Windows, не запускается SpIDer Guard, то в первую очередь необходимо: Убедиться, что в ключевом файле agent.key есть поддержка SpIDer Guard для серверов. 00:17 Да
   14 Для возможности использования на станциях антиспам-модуля, который работает совместно со SpIDer Mail, необходимо и достаточно: Приобрести лицензии на DSS+ЦУ Комплексная защита 00:17 Да
   15 С помощью чего осуществляется управление Enterprise Сервером? Центр управления 00:12 Да
   16 Персональные настройки антивирусного ПО станции можно задать: Как на компьютере пользователя, так и через Центр управления 00:20 Да
   17 Отказоустойчивость функционирования антивирусной сети может быть обеспечена за счет: Все варианты верные 00:13 Да
   18 Enterprise Агент — это: Компонент Dr.Web ESS, устанавливаемый на всех компьютерах защищаемой сети 00:19 Да
   19 Dr.Web Enterprise Agent нельзя централизованно установить на следующие ОС: Верные ответы 1,2 00:11 Да
   20 Администратор антивирусной сети Dr.Web ESS имеет возможность: Имеет возможность производить все перечисленные действия. 00:22 Да
   21 Если Enterprise Агент находится в мобильном режиме, пользователь имеет право: Самостоятельно обновлять вирусные базы. 00:31 Да
   22 Причиной эксплуатации криминальными группировками давно известных уязвимостей служат: Все ответы верные 00:32 Да
   23 Настройка подключения к базе данных производится в: Верные ответы 1,2 00:13 Да
   24 Enterprise Сервер может получать обновления компонентов антивирусного ПО следующим образом: Всеми перечисленными способами. 00:25 Да
   25 Найдите верное утверждение. Enterprise Сервер… … может работать с внешней базой данных. 00:14 Да
   26 Состав компонентов и настройки антивируса на рабочей станции наследуются от: Первичной группы 00:13 Да
   27 Если в сети предприятия было принято решение установить в рамках одной иерархической сети дополнительный Enterprise Сервер, т. к. один перестал справляться с нагрузкой, то: Достаточно с помощью Менеджера лицензий Dr.Web ESS самостоятельно разделить существующую лицензию на необходимое количество составляющих. 00:21 Да
   28 Демонстрационный ключевой файл для Dr.Web Enterprise Security Suite нельзя получить следующим способом: Скачать с сайта партнера компании «Доктор Веб». 00:20 Да
   29 Проверку трафика HTTP осуществляет: SpIDer Gate 00:16 Да
   30 Закрытый ключ шифрования: Называется drwcsd.pri и находится на Enterprise Сервере. 00:23 Да 16:17Нравится
   1 Информация об общем количестве обработанных объектов разного рода в Dr.Web для MS Exchange доступна на закладке: Статистика 00:48 Да
   2 Для запуска системы управления Webmin Dr.Web Mail Gateway необходимо: набрать в строке браузера адрес сервера управления и порт 10000, например: http://192.168.1.100:10000 00:25 Да
   3 Использование Dr.Web Mail Gateway необходимо: верные ответы 3 и 4 00:55 Да
   4 GTUBE — это: тестовая последовательность символов, применяемая для тестирования функций антиспама 00:32 Да
   5 Для чего служит компонент daemon, входящий в состав Dr.Web Mail Gateway? для обнаружения и лечения вирусов и других вредоносных объектов в проверяемых файлах как на локальной, так и на удаленной машине 01:08 Да
   6 Dr.Web для MS Exchange лицензируется по: верные ответы 2,3 00:34 Да
   7 Dr.Web Mail Gateway может быть установлен в сетях, поддерживающих протоколы: IPv4/IPv6 00:18 Да
   8 Dr.Web Mail Gateway имеет большую эффективность фильтрации по сравнению с Dr.Web для почтовых серверов UNIX и другими решениями для почтовых серверов за счет: верные ответы 1,2,3,4,5 01:53 Нет
   9 Для Dr.Web Mail Gateway для вирусов могут применяться следующие действия: одно из основных действий — Лечить, Удалить, Заменить на предопределенное вложение, Отклонить с уведомлением, Отклонить без уведомления, а также дополнительные — Карантин, Информировать, Перенаправить, Добавить заголовок, Добавить счет, Заблокировать отправителя 01:21 Нет
   10 Скрипт постинсталляционной настройки configure.pl: может быть запущен неоднократно, в том числе после установки продукта 00:19 Да
   11 Белые и черные списки, используемые в Dr.Web для MS Exchange, можно: верные ответы 1,3 00:22 Да
   12 Плагины Dr.Web Mail Gateway: могут быть установлены вручную после завершения установки продукта 00:32 Да
   13 Dr.Web для MS Exchange не осуществляет проверку следующих элементов электронных писем: заголовок письма 01:15 Да
   14 Окончание приема сообщений в Dr.Web для MS Exchange можно отслеживать с помощью: средства просмотра очереди 01:07 Да
   15 Доступ к карантину при использовании управляющих писем осуществляется с помощью: заранее составленной инструкции по шаблону, приложенному к документации 00:32 Нет
   16 Для упрощения организации антивирусной защиты среды Exchange в консоли Dr.Web для MS Exchange реализована возможность создания: верные ответы 3,4 01:13 Да
   17 Текущие настройки Dr.Web для MS Exchange 9.0 могут быть сохранены: в структуре Active Directory 01:23 Нет
   18 Dr.Web Mail Gateway имеет возможность работы с несколькими почтовыми системами с различными настройками: нет 00:22 Нет
   19 Возможности Dr.Web Mail Gateway зависят от: верные ответы 1,3 00:12 Да
   20 Значение debug настройки подробности ведения журнала в Dr.Web Mail Gateway соответствует режиму: Отладочный 00:10 Да
   21 Для чего служит Dr.Web Scanner, входящий в состав Dr.Web Mail Gateway? для обнаружения и лечения вирусов на всех машинах, подключенных к локальной сети 00:41 Нет
   22 Карантин Dr.Web Mail Gateway, организованный в файловой системе, можно ограничивать: по времени хранения сообщений, размеру и числу сохраненных сообщений 00:27 Да
   23 Для запуска веб-интерфейса управления Dr.Web Mail Gateway системы управления Webmin необходимо: перейти в раздел Службы и выбрать Dr.Web консоль для почтовых серверов Unix 00:44 Да
   24 По какому протоколу происходит обновление компонентов ПО Dr.Web с ВСО Dr.Web? HTTP 00:33 Да
   25 Dr.Web Mail Gateway включает следующие технологии: верные ответы 3,4,5,6 02:10 Нет 16:40Нравится

   ---

5. 

   
   Незнакомец
   

   

   ---

   Вес репутации

   0

   
   

   1 Какой компонент Dr.Web Security Space запретит ребенку доступ к социальным сетям? Родительский контроль. 00:25 Да
   2 Какие компоненты защиты НЕ входят в базовую лицензию «Антивирус» для программного продукта Dr.Web для Windows в составе Dr.Web Desktop Security Suite? Криптограф 00:28 Да
   3 В состав комплекта Dr.Web Универсальный для защиты свыше 25 объектов включены продукты Dr.Web для защиты Всех типов объектов, защищаемых Dr.Web 01:37 Да
   4 При миграции бизнес-пользователя на двухгодичную лицензию Dr.Web ее стоимость составит 50% от текущей стоимости 02:12 Нет
   5 При количественной дозакупке стоимость дозакупаемых лицензий рассчитывается: Из диапазона суммарного количества защищаемых объектов без какой-либо скидки 00:58 Да
   6 Продлить со скидкой можно Действующую или истекшую лицензию независимо от срока давности ее истечения 00:24 Да
   7 Сервис Dr.Web AV-Desk способен защитить следующее количество компьютеров: Неограниченное количество компьютеров 01:02 Да
   8 Покупатель приобрел лицензию на Dr.Web Security Space для защиты 3 ПК на 1 год для продления лицензии на Dr.Web Security Space 1 ПК на 1 год. Бонус 150 дней будет добавлен к сроку одной лицензии (3 ПК на 1 год). 00:32 Да
   9 Лицензионный договор об использовании ПО Dr.Web заключается между: Конечным пользователем и правообладателем антивируса 00:42 Да
   10 Dr.Web AV-Desk — это: Интернет-сервис для поставщиков ИТ-услуг 01:02 Да
   11 Если пользователь имеет право на несколько видов скидок, то Скидки не суммируются, предоставляется одна наибольшая 00:19 Да
   12 Какая скидка предоставляется заказчику при продлении лицензии на комплект «Малый бизнес» на один год? Скидка не предоставляется, т. к. продукт продается по специальной цене 00:54 Да
   13 В Dr.Web Security Suite входят: Все вышеперечисленное 00:28 Да
   14 На комплекты Dr.Web предоставляется скидка Скидка на комплекты не предоставляется никому 00:32 Да
   15 Какой компонент Dr.Web Security Space защищает от случайного удаления информации? Родительский контроль. 00:29 Да
   16 Потенциальные пользователи консольных сканеров Dr.Web для MS DOS/Windows/OS2 Любые пользователи ПК, имеющие опыт работы с командной строкой 00:27 Да
   17 За продажу какого продукта Dr.Web начисляются 50 бонусов? Dr.Web Антивирус 00:48 Да
   18 Выберите верное утверждение: Дозакупка невозможна для лицензий с истекшим сроком действия, требуется дозакупка + продление. 00:42 Да
   19 При миграции пользователя с антивируса другого вендора на годовую лицензию Dr.Web предоставляется скидка в размере 50% 00:30 Да
   20 Скидка на миграцию не предоставляется Все перечисленное верно 00:43 Да
   21 Выберите верное утверждение: На комплект Dr.Web «Малый бизнес» не предоставляется скидка на продление. 00:42 Да
   22 Dr.Web для Windows в варианте лицензии «Комплексная защита» поддерживает следующие ОС: Windows 8/7/Vista/XP/2000 00:31 Да
   23 Какой бонус получают покупатели продукта Dr.Web Desktop Security Suite? Право бесплатного использования утилиты Dr.Web CureIt! 08:13 Нет
   24 В какую группу продуктовой линейки Dr.Web Security Suite входит Dr.Web Office Shield? Программно-аппаратные комплексы 00:26 Да
   25 Dr.Web для интернет-шлюзов Unix лицензируется: По количеству пользователей 01:05 Да
   26 Для работы с криптографом в составе Dr.Web Security Space + Криптограф не требуется специальных знаний, так как: Верны варианты 1 и 3 02:03 Да
   27 Базовая лицензия «Антивирус» в составе продукта Dr.Web Desktop Security Suite отличается от лицензии Комплексная защита тем, что: Она не может использоваться на предприятиях, где производится работа с информацией, составляющей государственную тайну. 01:45 Нет

   ---

6. 

   
   Незнакомец
   

   

   ---

   Вес репутации

   0

   
   

   Номер Вопрос Ваш ответ Время Результат
   1 Большинство современных вредоносных программ разрабатываются: 3. Хорошо организованными преступными сообществами, вовлекающими в свою деятельность высококвалифицированных разработчиков ПО. Именно этим можно объяснить такое огромное количество угроз, создаваемых для извлечения коммерческой выгоды преступным путем. 00:14 Да
   2 В каком ПО не бывает уязвимостей? 5. Уязвимости есть в любом ПО. 00:08 Да
   3 Сервер какой роли не требует антивирусной защиты? 3. Сервер любой роли нуждается в защите антивирусом. 00:09 Да
   4 По какой причине ни одна антивирусная компания не может обработать все вредоносные объекты, которые ежедневно многими тысячами попадают в ловушки ее системы вирусного мониторинга? 1. По причине огромного количества новых вредоносных объектов — многие десятки тысяч ежедневно. 00:19 Да
   5 Какой функционал в Dr.Web Desktop Security Suite позволяет клиентам уменьшать расходы ? 4. Все ответы верны. 01:34 Да
   6 Каким образом компания может обеспечить невозможность распространения вирусов и троянцев с устройств пользователей внутрь корпоративной сети? 4. Купив для сотрудников лицензию на Dr.Web Desktop Security Suite и Dr.Web Mobile Security Suite. При этом важно обязательно использовать Центр управления Dr.Web как гарант невозможности изменения сотрудниками настроек антивируса, установленных системным администратором. 00:34 Да
   7 Может ли партнер заказать для клиента вебинар через форму на странице https://pa.drweb.com/webinar/customers, если клиент желает приобрести Dr.Web Desktop Security Suite для защиты 100 рабочих станций и ему требуется техническая консультация? 1. Да, для организации вебинара количество защищаемых объектов данным продуктом не имеет значения. 00:50 Нет
   8 Троянцы проникают на компьютеры жертв: 6. Все ответы верны. 00:32 Да
   9 С каких устройств руководители предприятий могут подключаться к системе дистанционного банковского обслуживания? 5. Все ответы верны. 00:34 Нет
   10 Система фильтрации спама, входящая в состав лицензии «Комплексная защита» продукта Dr.Web Desktop Security Suite: 2. Использует интеллектуальную систему анализа сообщений на основе правил и не требует постоянного обучения, эффективно работает сразу после установки Dr.Web. 00:25 Да
   11 Какой продукт Dr.Web требуется для защиты клиентов, подключающихся к виртуальному серверу? 1. Dr.Web Desktop Security Suite + Центр управления Dr.Web. 01:18 Да
   12 Клиент из сектора СМБ рассматривает покупку Dr.Web Security Space. Какие аргументы в пользу покупки продукта Dr.Web с Центром управления нужно привести руководителю предприятия? Все ответы верны. 00:38 Да
   13 Выберите верное утверждение 1. Антивирус, обновления которого могут отключаться пользователями, или которые производятся от случая к случаю, не способен качественно защищать. 00:23 Да
   14 Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер через спам, должна включать: 4. Все ответы верны. 01:08 Да
   15 Какими средствами Dr.Web Desktop Security Suite обеспечивается частичное ограничение доступа к съемным носителям? 2. Включением опции «Блокировать автозапуск со сменных носителей» в SpIDer Guard. 00:37 Нет
   16 Клиент желает приобрести Dr.Web Desktop Security Suite, но без антиспама. Какой аргумент в пользу покупки лицензии «Комплексная защита» следует привести? 4. Верны аргументы 2 и 3. 00:26 Да
   17 Почему установка антивируса необходима даже там, где используются другие (неантивирусные) средства защиты от проникновений? 3. Оба ответы верны. 00:56 Да
   18 Каким образом на компьютере, изолированном от сети Интернет, могут появиться вирусы? 4. Все ответы верны. 00:36 Да
   19 Какими средствами Dr.Web Desktop Security Suite обеспечивается полное ограничение доступа к съемным носителям? 1. Средствами Офисного контроля. 00:10 Да
   20 Клиент желает приобрести Dr.Web Desktop Security Suite, но без компонента SpIDer Gate. Какой аргумент в пользу покупки лицензии «Комплексная защита» следует привести? 4. Верны аргументы 2 и 3. 00:18 Да
   21 Какой компонент лицензии «Антивирус» в составе продукта Dr.Web Desktop Security Suite дает возможность запретить использование сотрудниками переносных хранилищ информации (флеш-дисков, USB-устройств), сетевых устройств, а также отдельных файлов и каталогов — т. е. обезопасить важную информацию от удаления или похищения злоумышленниками? 3. Офисный контроль. 00:13 Нет
   22 Какая мера безопасности позволит на 100% устранить риск заражения компьютера, на котором установлена система дистанционного банковского обслуживания? 5. Ни одна из этих мер сама по себе проблемы не решает — решает только комплекс этих мер. 00:30 Да
   23 Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер через съемные носители информации (флешки, цифровые фотоаппараты и т. д.), должна включать: 1. Систему ограничения доступа к сменным носителям информации — для исключения возможности проникновения вирусов с флешек. 00:20 Да
   24 Почему сегодня только одного антивируса не достаточно для комплексной защиты рабочих станций компании? 1. В лицензии «Антивирус» нет компонентов, перекрывающих многие возможные пути проникновения вирусов на рабочую станцию: через спам, зараженные сайты, съемные носители, заведомо вредоносные сайты и т. д. 00:48 Да
   25 Каких типов вредоносных объектов больше всего на сегодняшний день? 2. Троянцы. 00:38 Да
   26 У Dr.Web рекордное МАЛОЕ количество записей в вирусной базе. В чем преимущество вирусной базы Dr.Web для клиентов? 5. Верны ответы 1, 2 и 3. 00:16 Да
   27 Мобильные устройства под управлением каких операционных систем возможно администрировать централизованно при покупке Dr.Web Mobile Security Suite + Центр управления Dr.Web? 2. Android, Windows Mobile. 00:34 Да
   28 Антивирус, имеющий последние версии вирусных баз, может НЕ обнаружить вредоносный файл потому, что: 5. Верные ответы только 1 и 3. 01:30 Да
   29 Какие функции выполняет Dr.Web SelfPROtect? 4. Защищает компоненты Dr.Web от выведения из строя в результате действий анти-антивирусных программ. 00:18 Да
   30 Какой дополнительный компонент Dr.Web есть в лицензии для защиты рабочих станций в составе Dr.Web Desktop Security Suite? 3. SMTP proxy. 00:52 Нет
   31 Почему мнение о том, что антивирус должен обнаруживать 100% вирусов, — неверное? 4. Все ответы верны. 00:16 Да
   32 Что может гарантировать, что на рабочей станции будут производиться регулярные обновления антивируса и сканирования? 2. Центр управления Dr.Web. 00:42 Да
   33 Какой продукт Dr.Web требуется для защиты тонких клиентов, подключающихся к терминальному серверу? 1. Никакой, т. к. тонкий клиент — это специальное устройство, не имеющее жесткого диска, единственной функцией которого является подключение к терминальному клиенту, и защищать там нечего. 00:39 Да
   34 Компания арендует файловый сервер в дата-центре. Для связи с сервером не используется защищенный канал. Какой продукт Dr.Web нужно рекомендовать клиенту? 2. Dr.Web Server Security Suite + Dr.Web Gateway Security Suite — в такой компании должен использоваться антивирусный шлюз, который не позволит получить, передать или подменить при передаче зараженный файл. 00:32 Да
   35 Что может гарантировать, что антивирус на каждой рабочей станции не отключен и работает именно с теми настройками, которые задал администратор сети? 2. Центр управления Dr.Web. 00:11 Да

   ---

7. 

   
   Незнакомец
   

   

   ---

   Вес репутации

   0

   
   

   Общие принципы защиты мобильных Android-устройств по курсу DWCERT-070-7
   1 Как называется платная версия продукта Dr.Web для защиты ОС Android? Dr.Web Security Space для Android 00:17 Да
   2 Что делать пользователю, если он потерял или случайно удалил сообщение с напоминанием о продлении? Зайти в личный кабинет «Мой Dr.Web» в раздел «Сообщения» и прочитать его там. 03:54 Да
   3 Может ли пользователь Dr.Web Security Space для Android перенести лицензию на другое устройство? Да 00:11 Да
   4 Какой размер скидки на продление на 1 год для пользователя Dr.Web Security Space, в составе лицензии которого содержится право бесплатного использования Dr.Web для защиты мобильных? 40% 03:13 Да
   5 У пользователя куплена лицензия на Dr.Web Security Space для Android для защиты 1 устройства. Через 3 месяца после начала ее использования ему потребовалось обеспечить защиту еще одного устройства. Что необходимо сделать пользователю, чтобы расширить лицензию? Купить вторую лицензию со скидкой за количество на оставшиеся 8 месяцев до конца действия первой лицензии. 04:31 Нет
   6 После окончания срока действия лицензии для того, чтобы продолжить использование Dr.Web Security Space для Android, пользователь может: Верные ответы 1 и 2 00:28 Да
   7 Право бесплатного использования какой лицензии Dr.Web для Android получает покупатель коробочного продукта или электронной лицензии Dr.Web Security Space? Shareware (комплексная защита) 00:14 Да
   8 Какие действия выполняет URL-фильтр в Dr.Web для Android Light? Этого компонента в составе Light-версии нет. 00:37 Да
   9 Какой размер скидки на 1 год при продлении Dr.Web Mobile Security? Скидки на продление для этого продукта нет. 00:38 Да
   10 Как распространяются троянцы для ОС Android? Все ответы верные. 00:11 Да
   11 Может ли пользователь Dr.Web Security Space для Android (life license) перенести лицензию на другое устройство? Да 00:23 Да
   12 Какого Dr.Web для Android нет на сайте «Доктор Веб»? Оба ответа верные 00:18 Да
   13 Лицензия на Dr.Web Security Space для Android закончилась восемь месяцев тому назад. Будет ли предоставлена пользователю скидка на продление? Нет. Скидок на продление для этого продукта нет. 01:34 Да
   14 Для чего предназначен Аудитор Безопасности Dr.Web Security Space для Android? Он ищет на устройстве уязвимости (ошибки в коде) и дает рекомендации пользователю по их устранению. 00:18 Да
   15 В чем разница между программными продуктами Антивирус Dr.Web для Android Light и Dr.Web Security Space для Android? Верные ответы 2 и 3. 01:53 Да
   16 Если Антивор заблокировал устройство, а пользователь забыл код разблокировки, что делать пользователю, чтобы быстрее всего разблокировать Антивор? Восстановить код разблокировки через сервис https://antitheft.drweb.com. 00:23 Да
   17 Dr.Web Security Space для Android позволяет: Защищать устройства на основе Android OS / Android TV. 01:32 Да
   18 Что значит «пожизненная лицензия»? Лицензия для одного устройства без права переноса на другое устройство. 01:39 Да

   ---

8. 

   
   Незнакомец
   

   

   ---

   Вес репутации

   0

   
   

   Собственно, мои 5 копеек. Удачи

   1 Клиент владеет лицензией на антивирусный продукт разработки BitDefender. Может ли он совершить льготную миграцию по условиям программы «Переходи на зеленый»? Может, поскольку по условиям программы в ней могут участвовать коммерческие лицензии на продукты любых разработчиков средств информационной безопасности 01:33 Да
   2 Dr.Web Mobile Security Suite предоставляется бесплатно при покупке: Оба ответа верны 00:37 Да
   3 Какие особенности продуктов и решений Dr.Web обеспечивают их превосходство над конкурентами? Верны варианты 1, 2, 3 00:23 Да
   4 Dr.Web Katana позволяет: Настроить ограничения для каждой конкретной программы, запущенной на компьютере 01:17 Нет
   5 Кто является правообладателем антивируса Dr.Web? Все перечисленное верно 00:25 Да
   6 На комплекты Dr.Web предоставляется скидка Скидка на комплекты не предоставляется никому 00:33 Да
   7 Продукт Dr.Web Desktop Security Suite предназначен: Для защиты рабочих станций, клиентов терминальных серверов и клиентов встроенных систем 00:41 Да
   8 Выберите НЕверное утверждение. Сетевая лечащая утилита Dr.Web CureNet! Все утверждения неверны 00:38 Да
   9 Dr.Web AV-Desk — это: Интернет-сервис для поставщиков ИТ-услуг 00:22 Да
   10 Выберите НЕверное утверждение: Антиспам Dr.Web… Требует постоянного обучения 00:22 Да
   11 Origins Tracing — это: Алгоритм несигнатурного обнаружения вредоносных программ 00:18 Да
   12 Какие варианты лицензий возможны для программного продукта Dr.Web для Linux ? Антивирус + Центр управления 00:35 Да
   13 Базовая лицензия Комплексная защита предусмотрена для продукта Dr.Web Desktop Security Suite 00:35 Да
   14 Какая скидка предоставляется заказчику при продлении лицензии на комплект «Малый бизнес» на один год? Скидка не предоставляется, т. к. продукт продается по специальной цене 00:33 Да
   15 Все скидки для продуктов и решений, в лицензиях на которые количество защищаемых объектов превышает количество, указанное в прайс-листе: Согласуются с компанией «Доктор Веб» 00:46 Да
   16 Для чего предназначено средство криптографической защиты Atlansys Bastion Pro в составе а Dr.Web Security Space + Криптограф? Для сохранения данных в зашифрованным виде. 00:25 Да
   17 Повторное скачивание одним и тем же коммерческим пользователем дистрибутива любой программы Dr.Web возможно Повторное скачивание ничем не ограничивается 00:25 Да
   18 Сетевая лечащая утилита Dr.Web CureNet! является: Средством разовой проверки 00:07 Да
   19 Комплект Dr.Web Универсальный — экономичное предложение для организаций с числом ПК От 5 до 50 00:34 Да
   20 Продукт Dr.Web Desktop Security Suite с Центром управления предназначен для: Комплексной защиты рабочих станций предприятия 00:37 Да
   21 Выберите верное утверждение: Dr.Web — один из немногих антивирусов, который в большинстве случаев может быть установлен на уже инфицированный компьютер и способен вылечить зараженные файлы 00:48 Да
   22 В состав Dr.Web Katana входит: Верны ответы 2, 3, 5 01:19 Да
   23 Если серийный номер продления Dr.Web зарегистрирован до истечения срока действия лицензии, которую необходимо продлить, срок действующей лицензии: Добавляется к сроку лицензии продления 00:41 Да
   24 Dr.Web Katana поддерживает следующие ОС: Windows 10/8/7/Vista/XP 00:28 Да
   25 В какую группу продуктовой линейки Dr.Web Security Suite входит Dr.Web CureIt!? Утилиты 00:25 Да
   26 При продуктовой дозакупке стоимость дозакупаемых лицензий рассчитывается: Из диапазона суммарного количества защищаемых объектов без какой-либо скидки. 00:31 Да
   27 Выберите верное утверждение: На комплект Dr.Web «Малый бизнес» не предоставляется скидка на продление. 01:31 Да

   ---

9. 

   
   Junior Member
   

   

   ---

   Вес репутации

   0

   
   

   Номер Вопрос Ваш ответ Время Результат
   1 Между Enterprise Агентами и Enterprise Сервером должна быть связь по протоколу: По любому из перечисленных протоколов 00:35 Да
   2 Перед приобретением Dr.Web ATM Shield продавцу необходимо указывать следующую информацию: Необходимо предоставить всю перечисленную информацию. 00:08 Да
   3 Для того чтобы иметь возможность связать два Enterprise Сервера, необходимо чтобы: Необходимы все перечисленные условия. 01:02 Нет
   4 Значок агента в Области уведомлений в виде черного рисунка на зеленом фоне означает, что: Агент работает нормально и связывается с сервером. 00:05 Да
   5 Для исключения установки неизвестных, а также вредоносных программ на встраиваемое устройство: Все ответы верные 01:03 Да
   6 Какие порты следует открыть для работы Enterprise Сервера? Верные ответы 2,3,4,5,6,7,8 00:04 Да
   7 Если срок действия лицензионного ключа Enterprise Сервера, но не защищенных устройств, истечет или ключ будет заблокирован, то: Все компоненты Dr.Web ATM Shield, включая антивирусное ПО на устройствах, будут продолжать свою работу, но не будут приниматься обновления с ВСО Dr.Web. 00:49 Да
   8 В качестве базы данных при развертывании Enterprise Сервера может использоваться: Верные ответы 1,2,3,5 00:50 Да
   9 Дистрибутив, формируемый для установки вручную для конкретного устройства, называется: esinst.exe 00:14 Да
   10 Наиболее оптимальной является ситуация, когда администратором АВ-сети является: Сотрудник предприятия, являющийся администратором сети и имеющий наибольший опыт работы с антивирусными продуктами. 00:14 Да
   11 Обслуживающий персонал устройств, защищенных с помощью Dr.Web ATM Shield, по умолчанию имеет возможность: Запускать сканер с графическим интерфейсом и сканировать систему. 00:24 Да
   12 Максимальное число уровней иерархии между связанными Enterprise Серверами: Количество не ограничено 00:20 Да
   13 Dr.Web ATM-Shield: Верные ответы 1,3 00:10 Да
   14 Администратор антивирусной сети Dr.Web ATM Shield имеет возможность: Имеет возможность производить все перечисленные действия. 00:30 Да
   15 Развертывание АВ-сети не включает в себя следующий этап: Включает все перечисленные действия. 00:21 Да
   16 Причиной особой опасности неизвестных на момент заражения сети вредоносных программ является следующее: Все ответы верные 00:20 Да
   17 Допускается установка Dr.Web Enterprise Server от имени пользователя со следующими правами на выбранном компьютере: Администратор 00:16 Да
   18 Enterprise Агент — это: Компонент Dr.Web ATM Shield, устанавливаемый на всех компьютерах защищаемой сети. 00:49 Да
   19 Enterprise Сервер — это: Компьютер, находящийся в локальной сети предприятия, на котором установлено ПО Dr.Web Enterprise Server. 00:09 Да
   20 Dr.Web ATM-Shield может использоваться для защиты встроенных устройств на основе: Windows® XP Professional, Windows® Vista и Windows® 7 и Windows® 8, XP Embedded, Windows® 7 Embedded, Windows® 8 Embedded 00:33 Да
   21 Демонстрационный ключевой файл для Dr.Web ATM Shield нельзя получить следующим способом: Скачать с сайта партнера компании «Доктор Веб» 00:18 Да
   22 Максимальное число Enterprise Серверов, которое может работать одновременно в сети: Количество не ограничено 00:04 Да
   23 Закрытый ключ шифрования: Называется drwcsd.pri и находится на Enterprise Сервере. 00:41 Да
   24 Открытый ключ шифрования: Называется drwcsd.pub и находится в папке установки Enterprise Агентов, по умолчанию расположенной на Enterprise Сервере. 00:18 Да
   25 Если у новой версии Enterprise Сервера поменялся формат базы данных, то при обновлении ПО Enterprise Сервера перед запуском новой версии Enterprise Сервера необходимо: Запустить скрипт обновления базы данных Enterprise Сервера до актуальной версии. 00:43 Да
   26 Если в сети предприятия было принято решение установить дополнительный Enterprise Сервер, т. к. один перестал справляться с нагрузкой, то: Необходимо обратиться к продавцу лицензии либо в службу технической поддержки компании «Доктор Веб» с просьбой разделить лицензию на две составляющие. 00:23 Да
   27 Таблица «Инфекции» в Центре управления НЕ отражает информацию: Общую статистику по вирусам, обнаруженным в АВ-сети. 00:29 Да
   28 Администратор антивирусной сети: Сотрудник предприятия, в котором расположена защищаемая антивирусная сеть, отвечающий за нормальное функционирование антивирусной сети 00:42 Да
   29 Персональные настройки антивирусного ПО устройства можно задать: Как на защищенном компьютере, так и через Центра управления 00:37 Да
   30 В связи с существенным количеством неизвестных на момент заражения сети вредоносных программ в общем их потоке система защиты от вредоносных программ должна включать: Установку на встраиваемые устройства антивирусных средств защиты, а также систем контроля и ограничения доступа, системы централизованной установки обновлений всех используемых программ, а также брандмауэра, обеспечивающего невозможность сканирования из сети Интернет и локальной сети. 00:24 Да
   31 В случае необходимости дополнительного анализа файлов, попавших в карантин устройства: Администратор может экспортировать файлы из карантина устройства на Enterprise Сервер. 00:24 Да
   32 На данный момент вредоносные программы попадают во встраиваемые устройства следующим образом: Верный ответ 1,2,3,5 00:21 Да
   33 Проверку трафика HTTP осуществляет: SpIDer Gate 00:11 Да
   34 Enterprise Сервер: Отвечает за прием и передачу всей необходимой для функционирования АВ-сети информации, за правильное функционирование антивирусного комплекса на каждом компьютере, а также за выполнение заданий, назначенных на защищаемом компьютере. 00:15 Нет
   35 Dr.Web Enterprise Server не поддерживает следующую СУБД для организации внешней базы данных: MySQL 00:25 Да

   ---

10. 

    
    Junior Member
    

    

    ---

    Вес репутации

    0

    
    

    Номер Вопрос Ваш ответ Время Результат
    1 Найдите верное утверждение. Enterprise Сервер… … имеет возможность работать с платными СУБД, но для их использования предприятию необходимо приобрести соответствующую лицензию. 00:26 Да
    2 По умолчанию при установке Enterprise Сервера предлагается использование: Встроенной базы данных SQLite 00:24 Да
    3 Во время установки Enterprise Агента нельзя отказаться от установки на станцию этого компонента: Dr.Web Агент для Windows 01:01 Да
    4 Найдите верное утверждение. Enterprise Сервер… … может работать с внешней базой данных. 00:21 Да
    5 Защиту файлов и каталогов Dr.Web от несанкционированного удаления или модификации выполняет: Системный монитор SelfPROtect 00:23 Да
    6 Система защиты от вредоносных программ, включающая только антивирус: Не может защитить от наиболее опасных вредоносных файлов, протестированных перед выпуском «в дикую природу» на актуальных версиях антивирусных программ. 02:50 Да
    7 Антивирусная сеть — это: Совокупность рабочих станций и серверов, на которых установлено, настроено и функционирует антивирусное ПО Dr.Web ESS 00:28 Да
    8 Администратор АВ-сети, столкнувшись с неразрешимой проблемой, связанной с работой Dr.Web ESS в сети предприятия, должен обратиться: В службу технической поддержки компании «Доктор Веб» 00:18 Да
    9 Компоненты SpIDer Guard, SpIDer Mail, Dr.Web Update, сканер Dr.Web с графическим интерфейсом для программного продукта Dr.Web ES по отношению к Dr.Web для Windows: Эти компоненты одинаковы для обоих решений. 00:26 Да
    10 Состав компонентов и настройки антивируса на рабочей станции наследуются от: Первичной группы 00:18 Да
    11 Установки антивирусов только на рабочие станции и файловые серверы Windows локальной сети компании: Не достаточно для обеспечения защиты от вредоносных программ, так как неизвестные на момент заражения сети вредоносные программы могут быть использованы злоумышленниками для заражения иных узлов сети — и не только серверов и рабочих станций. 00:32 Да
    12 Закрытый ключ шифрования: Называется drwcsd.pri и находится на Enterprise Сервере. 00:19 Да
    13 Enterprise Агенты можно установить следующими способами: Enterprise Агенты можно установить всеми перечисленными способами. 00:34 Да
    14 Для возможности использования на станциях антиспам-модуля, который работает совместно со SpIDer Mail, необходимо и достаточно: Приобрести лицензии на DSS+ЦУ Комплексная защита 00:27 Да
    15 Для контроля за состоянием локальной сети: Администратор имеет возможность задать интервал обновления страницы статистики. 03:11 Да
    16 В состав антивирусного ПО, устанавливаемого на защищаемые станции в рамках лицензии Комплексная защита, не входит следующий компонент: Входят все перечисленные компоненты. 00:52 Да
    17 Для возможности использования Enterprise Агента на ОС Windows NT/2000/2003/2008/2012 Server необходимо и достаточно: Приобрести лицензии на SSS+ЦУ. 00:46 Да
    18 На какие операционные системы можно установить Enterprise Сервер? Верные ответы 1,2,3,4 00:24 Да
    19 Для проникновения на компьютеры во многих случаях используются уязвимости. При этом: По большей части для проникновения используются уязвимости, известные уже несколько лет. 00:09 Да
    20 Использование антивирусных решений должно дополняться: Все ответы верные 01:24 Да
    21 При переводе базы данных Enterprise Сервера с внутренней реализации на внешнюю СУБД непосредственно перед импортом базы необходимо совершить эту операцию: Инициализация базы данных. 00:15 Да
    22 Перед приобретением Dr.Web Enterprise Security Suite продавцу необходимо указывать следующую информацию: Необходимо предоставить всю перечисленную информацию. 00:09 Да
    23 Для развертывания антивирусной сети необходимо и достаточно иметь в распоряжении следующие файлы: drwcsd.pri 01:07 Нет
    24 Администратор антивирусной сети может снизить риск ложного срабатывания путем: Использования отложенных обновлений и тестирования их на выделенных группах или отдельных станциях 00:12 Да
    25 Существуют пакеты для установки Enterprise Сервера на следующие операционные системы: Верные ответы 2,3,4,5 01:04 Да
    26 Enterprise Сервер — это: Компьютер, находящийся в локальной сети предприятия, на котором установлено ПО Dr.Web Enterprise Server 00:12 Да
    27 В связи с существенным количеством неизвестных на момент заражения сети вредоносных программ в общем их потоке система защиты от вредоносных программ должна включать: Установку антивирусных средств защиты на все рабочие станции и серверы сети — вне зависимости от используемой на них операционной системы, а также систему контроля и ограничения доступа, систему централизованной установки обновлений и персональный брандмауэр, обеспечивающий невозможность сканирования локальной сети и защиту от внутрисетевых атак. 00:29 Да
    28 Оповещение администраторов возможно с помощью средств: Верные ответы 1,2,3,5 00:17 Да
    29 При переносе Enterprise Сервера с одного компьютера на другой необходимо сохранять: Для быстрого и наиболее корректного переноса Enterprise Сервера необходимо сохранить всю перечисленную информацию. 00:14 Да
    30 Открытый ключ шифрования: Называется drwcsd.pub и находится в папке установки Enterprise Агентов, по умолчанию расположенной на Enterprise Сервере. 00:18 Да

    ---

11. 

    
    Junior Member
    

    

    ---

    Вес репутации

    0

    
    

    Номер Вопрос Ваш ответ Время Результат
    1 Система защиты от вредоносных программ, включающая только антивирус: 2) не может защитить от наиболее опасных вредоносных объектов, протестированных злоумышленниками на актуальных версиях антивирусных программ перед выпуском «в дикую природу» 00:14 Да
    2 Если ваши файлы зашифрованы троянцем семейства Encoder, то при запросе в техподдержку нужно: 4) все ответы верны 00:32 Да
    3 Антивирус на почтовом сервере в первую очередь нужен: 2) для задания правил обработки почты в зависимости от потребностей каждого сотрудника, а также для удаления ранее неизвестных вирусов из почтовых ящиков 00:21 Да
    4 Локальная служба технической поддержки на русском языке: 2) позволяет оказывать помощь максимально оперативно и квалифицированно 00:04 Да
    5 По какой причине крайне небезопасно использовать один сервер для различных целей — например, совмещать функции файлового сервера и почтового сервера? 3) оба ответа верны 00:12 Да
    6 Использование централизованной системы обновлений позволяет 1) в режиме реального времени контролировать отсутствие известных уязвимостей на защищаемых рабочих станциях и серверах 00:46 Да
    7 Система защиты локальной сети от вредоносных программ, включающая только антивирус, установленный на рабочих станциях и файловых серверах Windows: 2) может защитить только от известных типов угроз и вредоносных файлов с известными методами заражения 00:31 Да
    8 Система контроля и ограничения доступа, препятствующая активации вредоносной программы, еще неизвестной антивирусу, должна включать: да) 5) все ответы верны 00:20 Да
    9 Основная причина легкости проникновения вредоносных программ в сеть заключается в том, что: 1) пользователи выходят в Интернет с рабочего компьютера, на котором стоит ПО, имеющее уязвимости 00:34 Да
    10 Выберите верное утверждение: 2) для мобильных устройств уже существуют банковские троянцы 00:07 Да
    11 Каким образом на компьютере, изолированном от локальной сети, могут появиться вирусы? 4) все ответы верны 00:38 Да
    12 18. Для исключения установки неизвестных, а также вредоносных программ: 2) должна использоваться система контроля и ограничения доступа 00:23 Нет
    13 Должна ли антивирусная система защиты иметь систему обновлений, находящуюся под контролем системы самозащиты антивирусной системы? 2) должна, поскольку это позволяет не использовать для обновлений компоненты операционной системы, которые могут быть скомпрометированы 01:17 Да
    14 Чем опасны уязвимости нулевого дня? 2) вирусы проникают на компьютеры через эти уязвимости, т. к. те либо еще не закрыты, либо еще даже неизвестны производителю того или иного софта, зато известны хакеру, придумавшему, как их использовать 00:22 Да
    15 Каковы причины роста хищений, совершаемых с помощью вредоносных компьютерных программ? 3) оба ответа верны 00:20 Да
    16 Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер через съемные носители информации (флешки, цифровые фотоаппараты и т. д.), должна включать: 1) систему ограничения доступа со сменных носителей информации — для исключения возможности проникновения вирусов с флешек 00:38 Да
    17 Уязвимость — это: 1) недостаток в программном обеспечении, используя который можно нарушить целостность ПО или вызвать его неработоспособность 00:08 Да
    18 Для противодействия современным угрозам использование антивируса должно дополняться: 1) изоляцией внутренней сети компании от Интернета — разделением сети на внешнюю и внутреннюю 00:09 Да
    19 В связи с тем, что наиболее опасные вредоносные программы не обнаруживаются антивирусами в момент заражения: 1) используемый антивирус должен иметь систему самозащиты, способную противостоять попыткам вредоносной программы нарушить его работу до момента получения обновления 00:10 Да
    20 Что может гарантировать, что антивирус на каждой рабочей станции не отключен и работает именно с теми настройками, которые задал администратор сети? 2) центр управления антивирусной защитой 00:33 Да
    21 Если ваши файлы зашифрованы троянцем семейства Encoder, нельзя: 4) все ответы верны 01:15 Да
    22 Чем сегодня опасны вредоносные программы? 4) все ответы верны 00:12 Да
    23 Можно ли заметить «невооруженным глазом», что вирус заразил систему? 2) нет, многие вредоносные программы рассчитаны на долговременное скрытое присутствие в системе, предпринимают целый ряд действий для того, чтобы обмануть средства контроля и наблюдения, парализовать антивирусную защиту 00:07 Да
    24 Для исключения появления в сети вредоносных программ антивирусные решения: 4) верны ответы 2 и 3 00:27 Да
    25 Если при антивирусном сканировании было найдено большое количество вирусов, то это означает, что: 5) верны ответы 2 и 3 00:24 Да

    ---

12. 

    
    Junior Member
    

    

    ---

    Вес репутации

    0

    
    

    Номер Вопрос Ваш ответ Время Результат
    1 Компания приняла решение организовать фильтрацию почты от вирусов на шлюзе. Какую лицензию Dr.Web ей следует использовать? 2.Dr.Web Mail Security Suite Антивирус + SMTP proxy 00:20 Да
    2 Какой вариант организации фильтрации почты лучше для решения задачи снижения нагрузки на рабочие станции? 1.Фильтровать всю внешнюю почту (протоколы POP3 и IMAP4, SMTP) на шлюзе (Dr.Web Mail Security Suite Антивирус + Антиспам + SMTP proxy), а на почтовом сервере сосредоточить только обработку внутренней почты (Dr.Web Mail Security Suite Антивирус + Антиспам). 00:55 Да
    3 Выберите верное утверждение: 1.Почтовые потоки, проходящие через рабочую станцию и сервер компании, не совпадают, поэтому необходимо фильтровать почту и на станциях, и на сервере. 00:40 Да
    4 Какие функции, как правило, выполняет транзитный почтовый сервер (почтовый шлюз)? 5.Верные ответы 1 и 2. 00:27 Да
    5 Компания пренебрегла принципом «защищать ВСЕ узлы корпоративной сети» и приобрела только антивирус для защиты рабочих станций. Откуда в почтовом трафике компании могут взяться вирусы? 3.Оба ответа верные 00:19 Да
    6 Можно ли превратить компьютер в зомби, если такой компьютер получит сообщение электронной почты, но это сообщение не будет никогда открыто? 2.Именно так в последнее время компьютеры становятся зомби. 00:15 Да
    7 Выберите НЕВЕРНОЕ утверждение: 1.Почтовый шлюз компании всегда находится внутри сети компании, но располагается на границе между сетью Интернет и локальной сетью компании. 00:26 Да
    8 Можно ли попасть в состав ботнета, не открывая подозрительных писем почты? 1. Да. Технологии продвинулись так далеко, что уже нет необходимости открывать полученное инфицированное письмо — уже самого факта его получения может быть достаточно для заражения машины и превращения ее в узел бот-сети, за которым следуют внесение компании в черные списки и отключение от сети Интернет за рассылку спама 00:21 Да
    9 Какие угрозы существуют для компании, которая арендует почтовые адреса на специальном сервисе? 4.Все перечисленные угрозы. 00:22 Да
    10 Выберите верное утверждение: 1.Необходимо фильтровать как внешнюю (входящую и исходящую), так и внутреннюю почту компании. 00:23 Да
    11 Для каких целей НЕ ИСПОЛЬЗУЮТСЯ почтовые шлюзы? 2.Для хранения почты сотрудников. 00:32 Да
    12 «Зомби-сети», «ботнеты», «сети зомбированных компьютеров» — что подразумевается под этими определениями? 3.Массив компьютеров, доступ к удаленному управлению которыми благодаря работе троянских программ получает злоумышленник. 00:12 Да
    13 Провайдер услуг доступа желает организовать фильтрацию почты своих клиентов от вирусов и спама средствами Dr.Web. Какую лицензию Dr.Web следует использовать? 2.Dr.Web Mail Security Suite Антивирус + Антиспам + SMTP proxy 00:23 Да
    14 К каким последствиям приводят спам-атаки на почтовый сервер компании? 4.Все ответы верные. 00:12 Да
    15 Выберите несуществующий вариант почтового сервера: 2.Microsoft Exchange/Unix 00:22 Да
    16 Почтовый сервер клиента установлен на ПК под управлением Unix, и клиент планирует защищать сам сервер. Какой продукт или продукты Dr.Web необходимо предложить клиенту? 1.Только Dr.Web Mail Security Suite 01:22 Да
    17 Влияют ли вирусы в почте на репутацию компании в глазах клиентов и даже собственных сотрудников? 3.Оба ответа верные. 00:18 Да
    18 Существуют ли ботнеты для операционных систем, отличных от Windows? Например, для Mac OS X, малоуязвимой для вирусов? 1.Да. Так, ботнет Flashback включал в себя более 600 000 компьютеров по всему миру на пике своей активности. 00:18 Да
    19 Почтовый сервер компании отделен от сети Интернет шлюзом. Компания желает фильтровать почту на спам. Какую лицензию необходимо использовать компании? 1.Антиспам + SMTP proxy 00:46 Да
    20 Какой лицензии достаточно компании для организации максимально надежной защиты почтового трафика, если почта фильтруется на почтовом сервере? 3.Dr.Web Mail Security Suite Антивирус + Антиспам 00:39 Да
    21 Влияют ли вирусы в почте на задержки в выполнении обязательств компании перед клиентами? 1.Да, т. к. зачастую общение с клиентами происходит через почту. 00:19 Да
    22 Офисы компании находятся в нескольких помещениях, и для связи между ними НЕ ИСПОЛЬЗУЮТСЯ выделенные каналы связи. Какую лицензию Dr.Web ей следует использовать? 2.Dr.Web Mail Security Suite Антивирус + Антиспам + SMTP proxy 00:34 Да
    23 Выберите верное утверждение: 3.Оба утверждения верные. 00:21 Да
    24 Компания приняла решение организовать фильтрацию почты от спама на шлюзе. Какую лицензию Dr.Web ей следует использовать? 2.Dr.Web Mail Security Suite Антивирус + Антиспам + SMTP proxy 00:26 Да
    25 Какой функционал Dr.Web Mail Security Suite позволяет клиентам уменьшать расходы на почтовый трафик? 2.Фильтрация спама. 00:17 Да
    26 Какой процент компаний в России вообще не использует электронную почту в своей работе? 2.Около 5%. 00:19 Нет
    27 Компания пренебрегла принципом «защищать ВСЕ узлы корпоративной сети» и приобрела решение только для фильтрации почты на шлюзе на вирусы и спам. Откуда во внутренней сети компании могут появиться вирусы? 4.Все ответы верные. 00:26 Да

    ---

Программно-математическое воздействие — это воздействие на защищаемую информацию с помощью вредоносных программ.

Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы[44]. Иными словами вредоносной программой называют некоторый самостоятельный набор инструкций, который способен выполнять следующее:

1. скрывать свое присутствие в компьютере;
2. обладать способностью к самоуничтожению, маскировкой под легальные программы и копирования себя в другие области оперативной или внешней памяти;
3. модифицировать (разрушать, искажать) код других программ;
4. самостоятельно выполнять деструктивные функции — копирование, модификацию, уничтожение, блокирование и т.п.
5. искажать, блокировать или подменять выводимую во внешний канал связи или на внешний носитель информацию.

Основными путями проникновения вредоносных программ в АС, в частности, на компьютер, являются сетевое взаимодействие и съемные носители информации (флешки, диски и т.п.). При этом внедрение в систему может носить случайный характер.

Основными видами вредоносных программ являются:

• программные закладки;
• программные вирусы;
• сетевые черви;
• другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы и фрагменты программного кода, предназначенные для формирования недекларированных возможностей легального программного обеспечения.

Недекларированные возможности программного обеспечения — функциональные возможности программного обеспечения, не описанные в документации[45]. Программная закладка часто служит проводником для других вирусов и, как правило, не обнаруживаются стандартными средствами антивирусного контроля.

Закладки иногда делят на программные и аппаратные, но фактически все закладки — программные, так как под аппаратными закладками подразумеваются так называемые прошивки.

Программные закладки различают в зависимости от метода их внедрения в систему:

• программно-аппаратные. Это закладки, интегрированные в программно-аппаратные средства ПК (BIOS, прошивки периферийного оборудования);
• загрузочные. Это закладки, интегрированные в программы начальной загрузки (программы-загрузчики), располагающиеся в загрузочных секторах;
• драйверные. Это закладки, интегрированные в драйверы (файлами, необходимые операционной системе для управления подключенными к компьютеру периферийными устройствами);
• прикладные. Это закладки, интегрированные в прикладное программное обеспечение (текстовые редакторы, графические редакторы, различные утилиты и т.п.);
• исполняемые. Это закладки, интегрированные в исполняемые программные модули. Программные модули чаще всего представляют собой пакетные файлы, которые состоят из команд операционной системы, выполняемых одна за другой, как если бы их набирали на клавиатуре компьютера;
• закладки-имитаторы. Это закладки, которые с помощью похожего интерфейса имитируют программы, в ходе работы которых требуется вводить конфиденциальную информацию;

Для выявления программных закладок часто используется качественный подход, заключающийся в наблюдении за функционированием системы, а именно:

1. снижение быстродействия;
2. изменение состава и длины файлов;
3. частичное или полное блокирование работы системы и ее компонентов;
4. имитация физических (аппаратных) сбоев работы вычислительных средств и периферийных устройств;
5. переадресация сообщений;
6. обход программно-аппаратных средств криптографического преобразования информации;
7. обеспечение доступа в систему с несанкционированных устройств.

Существуют также диагностические методы обнаружения закладок. Так, например, антивирусы успешно находят загрузочные закладки. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплекс утилит Norton Utilities. К наиболее распространенным программным закладкам относится «троянский конь«.

Троянским конем называется:

• программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
• программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Перечислим основные виды троянских программ и их возможности:

• Trojan-Notifier — Оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п.
• Trojan-PSW — Воровство паролей. Они похищают конфиденциальные данные с компьютера и передают их хозяину по электронной почте.
• Trojan-Clicker — интернет-кликеры — Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Методы для этого используются разные, например установка злонамеренной страницы в качестве домашней в браузере.
• Trojan-DDoS — Trojan-DDoS превращают зараженный компьютер в так называемый бот, который используется для организации атак отказа в доступе на определенный сайт. Далее от владельца сайта требуют заплатить деньги за прекращение атаки.
• Trojan-Proxy — Троянские прокси-сервера. Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.
• Trojan-Spy — Шпионские программы. Они способны отслеживать все ваши действия на зараженном компьютере и передавать данные своему хозяину. В число этих данных могут попасть пароли, аудио и видео файлы с микрофона и видеокамеры, подключенных к компьютеру.
• Backdoor — Способны выполнять удаленное управление зараженным компьютером. Его возможности безграничны, весь ваш компьютер будет в распоряжении хозяина программы. Он сможет рассылать от вашего имени сообщения, знакомиться со всей информацией на компьютере, или просто разрушить систему и данные без вашего ведома.
• Trojan-Dropper — Инсталляторы прочих вредоносных программ. Очень похожи на Trojan-Downloader, но они устанавливают злонамеренные программы, которые содержатся в них самих.
• Rootkit — способны прятаться в системе путем подмены собой различных объектов. Такие трояны весьма неприятны, поскольку способны заменить своим программным кодом исходный код операционной системы, что не дает антивирусу возможности выявить наличие вируса.

Абсолютно все программные закладки, независимо от метода их внедрения в компьютерную систему, срока их пребывания в оперативной памяти и назначении, имеют одну общую черту: обязательное выполнение операции записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может.

Вирус (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Таким образом, обязательным свойством программного вируса является способность создавать свои копии и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Жизненный цикл вируса состоит из следующих этапов:

• Проникновение на компьютер
• Активация вируса
• Поиск объектов для заражения
• Подготовка вирусных копий
• Внедрение вирусных копий

Классификация вирусов и сетевых червей представлена на рисунке 5.1.

Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Загрузочные вирусы записывают себя либо в в boot-сектор, либо в сектор, содержащий системный загрузчик винчестера, либо меняют указатель на активный boot-сектор. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А:, С: или CD-ROM, в зависимости от параметров, установленных в BIOS Setup.

В случае дискеты или CD-диска управление получает boot-сектор диска, который анализирует таблицу параметров диска (ВРВ — BIOS Parameter Block), высчитывает адреса системных файлов ОС, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо другие в зависимости от установленной версии DOS, и/или Windows, или других ОС. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска, выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Она анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска С:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Пример: Вредоносная программа Virus.Boot.Snow.a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания INT 10h, 1Ch и 13h. Иногда вирус проявляет себя визуальным эффектом — на экране компьютера начинает падать снег.

Файловые вирусы — вирусы, которые заражают непосредственно файлы. Файловые вирусы можно разделить на три группы в зависимости от среды, в которой распространяется вирус:

1. файловые вирусы — работают непосредственно с ресурсами операционной системы. Пример: один из самых известных вирусов получил название «Чернобыль». Благодаря своему небольшому размеру (1 Кб) вирус заражал PE-файлы таким образом, что их размер не менялся. Для достижения этого эффекта вирус ищет в файлах «пустые» участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт. После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS) либо потеря данных на всех жестких дисках компьютера.

2. Макровирусы — вирусы, написанные на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.п.). Самыми распространенными являются вирусы для программ Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя (свои копии) из одного документа в другой.

   Для существования макровирсуов в конкретном редакторе встроенный в него макроязык должен обладать следующими возможностями:

   1. привязка программы на макроязыке к конкретному файлу;
   2. копирование макропрограмм из одного файла в другой;

   3. получение управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

   Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. Современные макроязыки обладают вышеперечисленными особенностями с целью предоставления возможности автоматической обработки данных.

   Большинство макровирусов активны не только в момент открытия (закрытия) файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда — зашифрованных), либо хранится в области переменных документа[46].

3. Сетевые вирусы — вирусы, которые для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным свойством сетевого вируса является возможность самостоятельно тиражировать себя по сети. При этом существуют сетевые вирусы, способные запустить себя на удаленной станции или сервере.

Основные деструктивные действия, выполняемые вирусами и червями:

1. перезагрузка каналов связи
2. атаки «отказ в обслуживании»
3. потеря данных
4. нарушение работы ПО
5. загрузка ресурсов компьютера
6. хищение информации.

Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием «OneHalf». Этот вирусный код, оказавшись в компьютерной среде операционной системы «MS-DOS» заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус «OneHalf» просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: «Dis is one half, Press any key to continue…».
После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите работать. В вирусе «OneHalf» использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код «OneHalf» весьма проблематично, потому что, его могут увидеть не все антивирусные программы.

На этапе подготовки вирусных копий современные вирусы часто используют методы маскировки копий с целью затруднения их нахождения антивирусными средствами[47]:

• Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.
• Метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода «мусорных» команд, которые практически ничего не делают. Сочетание этих двух технологий приводит к появлению следующих типов вирусов.
• Шифрованный вирус — вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
• Метаморфный вирус — вирус, применяющий метаморфизм ко всему своему телу для создания новых копий.
• Полиморфный вирус — вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.

Червь (сетевой червь) — тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Самым знаменитым червем является червь Moriss, механизмы работы которого подробно описаны в литературе. Червь появился в 1988 году и в течение короткого промежутка времени парализовал работу многих компьютеров в Интернете. Данный червь является «классикой» вредоносных программ, а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками. Moriss являлся самораспространяющейся программой, которая распространяла свои копии по сети, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем, была уязвимая версия программы sendmail (функция «debug» программы sendmail, которая устанавливала отладочный режим для текущего сеанса связи), а другой — программа fingerd (в ней содержалась ошибка переполнения буфера).
Для поражения систем червь использовал также уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

• Сетевые черви — черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip

• Почтовые черви — черви, распространяющиеся в формате сообщений электронной почты. Как правило, в письме содержится тело кода или ссылка на зараженный ресурс. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие электронные адреса и отправляя по ним зараженные сообщения. Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook; использование функций Windows MAPI.

  Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.

• IRC-черви — черви, распространяющиеся по каналам IRC (Internet Relay Chat). Черви этого класса используют два вида распространения: посылание пользователю URL-ссылки на файл-тело; отсылку пользователю файла (при этом пользователь должен подтвердить прием).

• P2P-черви — черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей. Механизм работы большинства подобных червей достаточно прост: для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера.

  Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию).

• IM-черви — черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger — ICQ, MSN Messenger, AIM и др.). Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб — сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

Мы перечислили наиболее распространенные категории сетевых червей, на практике их значительно больше. Например, в настоящее время всё большую «популярность» приобретают мобильные черви и черви, распространяющие свои копии через общие сетевые ресурсы. Последние используют функции операционной системы, в частности, перебирают доступные сетевые папки, подключаются к компьютерам в глобальной сети и пытаются открыть их диски на полный доступ. Отличаются от стандартных сетевых червей тем, что пользователю нужно открыть файл с копией червя, чтобы активизировать его.

По деструктивным возможностям вирусы и сетевые черви можно разделить на:

• безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
• опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
• очень опасные — в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов — вводить в резонанс и разрушать головки некоторых типов винчестеров.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус DenZuk довольно корректно работает с 360-килобайтовыми дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие СОМ или ЕХЕ не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.

Если проанализировать всё вышесказанное, то можно заметить схожесть сетевых червей и компьютерных вирусов, в частности, полное совпадение жизненного цикла и самотиражирование. Основным отличием червей от программных вирусов является способность к распространению по сети без участия человека. Иногда сетевых червей относят к подклассу компьютерных вирусов.

В связи с бурным развитием Интернета и информационных технологий количество вредоносных программ и вариантов их внедрения в информационную систему неустанно растет. Наибольшую опасность представляют новые формы вирусов и сетевых червей, сигнатуры которых не известны производителям средств защиты информации. В настоящее время всё большую популярность получают такие методы борьбы, как анализ аномального поведения системы и искусственные иммунные системы, позволяющие обнаруживать новые формы вирусов.

Если на заре развития Интернета вредоносное программное обеспечение создавалось чаще всего в экспериментальных или «шуточных» целях, то теперь это мощное оружие для получения материальной или иной выгоды, часто приобретающее характер киберпреступности.

Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:

• социальная инженерия (также употребляется термин «социальный инжиниринг» — калька с английского «social engineering»);
• технические приёмы внедрения вредоносного кода в заражаемую систему без ведома пользователя.

Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и вирусописателей — привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки — червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, — и послушно сдался властям.

В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение — почтовое, через ICQ или другой пейджер, реже — через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло — специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.

Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее — сообщить) свои коды доступа — распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.

Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.

Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы — черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.

В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами — и ссылка на эту страницу оказывается в списке других страниц в результатах поиска.

Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.

Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. Многие троянские «боты» используют новые уязвимости для увеличения своей численности, а новые ошибки в Microsoft Office тут же начинают применяться для внедрения в компьютеры очередных троянских программ. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым — немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.

Одновременное использование технологий внедрения и методов социальной инженерии

Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии — для привлечения внимания потенциальной жертвы, а технический — для увеличения вероятности проникновения заражённого объекта в систему.

Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива — уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.

Другим примером является рассылка спама с темой «Привет» и текстом «Посмотри, что про тебя пишут». За текстом следовала ссылка на некую веб-страницу. При анализе выяснилось, что данная веб-страница содержит скрипт-программу, которая, пользуясь еще одной уязвимостью в Internet Explorer, загружает на компьютер пользователя троянскую программу LdPinch, предназначенную для воровства различных паролей.

Противодействие антивирусным программам

Поскольку цель компьютерных злоумышленников — внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени — при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца — разные. Примером применения этой технологии является почтовый червь Warezov, несколько версий которого вызвали значительные эпидемии во второй половине 2006 г.

Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера. Данные технологии активно используются, например, троянцем-бэкдором HacDef.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ — ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами — следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков — содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом — если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются компьютерным андеграундом для противодействия антивирусным программам. При этом активность киберпреступников растёт год за годом, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной индустрией и индустрией вирусной. Одновременно растёт количество хакеров-индивидуалов и преступных групп, а также их профессионализм. Всё это вместе значительно увеличивает сложность и объём работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.

• ПК и комплектующие
  • Настольные ПК и моноблоки
  • Портативные ПК
  • Серверы
  • Материнские платы
  • Корпуса
  • Блоки питания
  • Оперативная память
  • Процессоры
  • Графические адаптеры
  • Жесткие диски и SSD
  • Оптические приводы и носители
  • Звуковые карты
  • ТВ-тюнеры
  • Контроллеры
  • Системы охлаждения ПК
  • Моддинг
  • Аксессуары для ноутбуков
• Периферия
  • Принтеры, сканеры, МФУ
  • Мониторы и проекторы
  • Устройства ввода
  • Внешние накопители
  • Акустические системы, гарнитуры, наушники
  • ИБП
  • Веб-камеры
  • KVM-оборудование
• Цифровой дом
  • Сетевые медиаплееры
  • HTPC и мини-компьютеры
  • ТВ и системы домашнего кинотеатра
  • Технология DLNA
  • Средства управления домашней техникой
• Гаджеты
  • Планшеты
  • Смартфоны
  • Портативные накопители
  • Электронные ридеры
  • Портативные медиаплееры
  • GPS-навигаторы и трекеры
  • Носимые гаджеты
  • Автомобильные информационно-развлекательные системы
  • Зарядные устройства
  • Аксессуары для мобильных устройств
• Фото и видео
  • Цифровые фотоаппараты и оптика
  • Видеокамеры
  • Фотоаксессуары
  • Обработка фотографий
  • Монтаж видео
• Программы и утилиты
  • Операционные системы
  • Средства разработки
  • Офисные программы
  • Средства тестирования, мониторинга и диагностики
  • Полезные утилиты
  • Графические редакторы
  • Средства 3D-моделирования
• Мир интернет
  • Веб-браузеры
  • Поисковые системы
  • Социальные сети
  • «Облачные» сервисы
  • Сервисы для обмена сообщениями и конференц-связи
  • Разработка веб-сайтов
  • Мобильный интернет
  • Полезные инструменты
• Безопасность
  • Средства защиты от вредоносного ПО
  • Средства управления доступом
  • Защита данных
• Сети и телекоммуникации
  • Проводные сети
  • Беспроводные сети
  • Сетевая инфраструктура
  • Сотовая связь
  • IP-телефония
  • NAS-накопители
  • Средства управления сетями
  • Средства удаленного доступа
• Корпоративные решения
  • Системная интеграция
  • Проекты в области образования
  • Электронный документооборот
  • «Облачные» сервисы для бизнеса
  • Технологии виртуализации

Архив изданий

• О нас
• Размещение рекламы
• Контакты

Популярные статьи

КомпьютерПресс использует

Основные пути проникновения вирусов в компьютер

Способы распространения вирусов

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.

Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.

Основные признаки появления в системе вируса:

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие: прекращение работы или неправильная работа ранее успешно функционировавших программ:

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Последствия действия вирусов.

По величине вредных воздействий вирусы можно разделить на:

Сохраняют свои позиции вирусы «старого» типа, которые надо один раз запустить, после чего они постоянно при загрузке компьютера активно включаются в работу и начинают заражать все исполняемые файлы, которые попадаются им под руку.

Источник

Компьютерные вирусы: классификация, признаки и пути заражения

О вреде компьютерных вирусов знают даже маленькие дети. Сегодня известно около 70 000 вредоносных программ различной целевой направленности. Современные вирусы могут не только повредить пользовательские и системные файлы, но и вывести из строя комплектующие компьютерного устройства, например, полностью стереть BIOS материнки или покалечить винчестер.

Главными особенностями вредоносного софта являются: способность маскироваться, прятаться, быстро размножаться и нарушать работоспособность компьютерного устройства. Противника нужно знать в лицо! Мы откроем завесу тайны над этим антигероем и расскажем, откуда берутся компьютерные монстры, каким образом они попадают в наши устройства, каковы признаки поражения вирусом и как уберечься от этой напасти.

История возникновения вирусов

Еще в 40-х годах прошлого столетия известный математик Джон фон Нейман написал книгу, в которой говорилось о появлении самовоспроизводящихся математических автоматов, принцип которых лег в основу создания первых вирусов.

Прародители вредоносных кодов вышли из стен исследовательских лабораторий, как это бывает зачастую, когда «благими намерениями вымощена дорога в ад». В 50-х годах один ученый Ф. Шталь экспериментировал с математическими структурами, в части их способности к активации и размножению, и с удивлением обнаружил, что одна из электронных мутаций «удалила» своих «родителей» и затем самоуничтожилась.

Первые вирусы были достаточно безобидными, оказывая раздражающее воздействие в виде какой-либо надписи, появляющейся на экране пользователя. Следующие модификации отличались большей агрессивностью: плодясь, они захватывали системные ресурсы, вызывая даже сбои в работе серверов.

Массовая компьютерная эпидемия впервые произошла в 1981 году. Это был вирус Elk Clon, который поражал загрузочные сектора дискет. Попадая на компьютеры пользователей, он наводил на них ужас, вытворяя разные несанкционированные действия: искажал изображения на экране, заставлял мигать монитор и проявлялся в виде надписей.

В 1983 году американский программист Лен Эйделман впервые употребил термин вирус по отношению к внедряющейся и быстро размножающейся математической программе. А в 1988-м был создан по-настоящему вредоносный софт, который не просто мешал пользователю, а наносил реальный вред компьютеру, поражая системные файлы command.com. Хорошо, что этот «паразит» был выведен в Лехайском университете, где при наличии квалифицированных кадров его быстро ликвидировали.

Однако, «ящик Пандоры» был открыт, и новые вредоносные программы начали кочевать по миру, с регулярностью поражая компьютеры, как целых отраслей экономики, так и отдельных пользователей. С появлением Интернета для вирусов открылись невиданные перспективы, появились всевозможные самоучители для создания зловредного контента, теперь написать и распространить вирусную программу могут даже школьники. Так в 2004 году была нарушена работа французских спутниковых каналов передачи данных и даже отменены рейсы некоторых авиакомпаний, вследствие воздействия компьютерного вируса Sasser, написанного и распространенного в День своего совершеннолетия 17-летним французским школьником.

А самым разрушительным действием, по мнению книги рекордов Гиннеса, обладал «червь» под названием «ILoveYou», который «прилетел» из Филиппин в ночь с 4 на 5 мая 2000 года. Он распространялся на почтовые ящики пользователей «под прикрытием», прикидываясь обычным текстовым файлом «LOVE-LETTER-FOR-YOU.TXT.vbs», где расширение vbs было скрыто. Улов вируса составил 3 млн. компьютеров по всему миру, в которых он произвел вредоносные изменения в системе, и ущерб от его воздействия оценили примерно 10-15 млрд. долларов.

Классификация вирусов

Современные компьютерные «вирусологи», т.е. программисты, занимающиеся созданием антивирусных программ, весь вредоносный софт делят на два больших класса: вирусы и черви.

Рассмотрим, в чем состоят их различия:

Не запускается сам, а только после того, как будет скачен вредоносный файл из Интернета или установлен с диска под видом нужной программы, мода или читы для компьютерной игры и т.п.

Самостоятельно проникают через «дырки» в операционной системе, браузера или какой-то программы.
Могут попадать через чаты, программы для общения, например, skype, а также посредством электронной почты. При распространении по локальной сети, заражают все остальные компьютеры.

Вносит вредоносный код в одну из программ. Может маскироваться программой, расположенной в месте, куда пользователи обычно не заходят. Такими являются, например, скрытые системные папки.

Установка постоянно действующей антивирусной программы, в том числе и на проверку USB-портов, DVD-дисков, периодическое сканирование файлов антивирусным сканером.

Регулярное обновление операционной системы, браузеров и прочих программ.

Все вирусы собрать воедино по какому-либо принципу достаточно сложно, самыми распространенными сегодня считаются следующие:

По типовым угрозам вирусы можно сгруппировать следующим образом:

Это перечень наиболее типичных видов вредоносного ПО, хотя на практике их гораздо больше, при этом, софт постоянно пополняется новыми экземплярами, может комбинироваться, объединяться в группы и нести сразу несколько видов угроз.

Признаки заражения компьютерного устройства

Симптомы заражения компьютера вирусом могут быть похожими на другие признаки «нездоровья» устройства. Однако, в любом случае, прежде чем начать диагностировать свой ПК или ноутбук на наличие нарушений в работе программного обеспечения или «железа», нужно проверить его на присутствие вирусов.

Вредоносный ПО можно определить по следующим признакам:

Вот часть симптомов, при наличии которых стоит произвести проверку компьютера на наличие вредоносных программ.

Пути заражения вирусом и основные методы защиты компьютера

Для того чтобы правильно защитить от «паразитов» свой компьютер, нужно знать, как они туда попадают.

Основными путями компьютерного «инфицирования» являются:

Благодаря грамотному, обдуманному и осторожному поведению в интернет-среде, установив надежные антивирусные программы разного назначения, а также регулярно обновляя операционную систему и браузер можно максимально обезопасить свой компьютер от вторжения «непрошенных» гостей – компьютерных вирусов.

Источник

Пути заражения компьютера вредоносными программами

Ниже приведены наиболее распространенные случаи заражения устройств вредоносными программами.

Письма со спамом

Авторы вредоносных программ часто пытаются обманным умыслом скачать вредоносные файлы. Это может быть письмо с вложенным файлом, который описывается как уведомление о доставке, возврат налогового платежа или счет по купленному билету. В письме может быть сказано, что необходимо открыть вложение, чтобы получить отправление или деньги.

Если вы откроете вложение, то на ваш компьютер будет установлена вредоносная программа.

Иногда вредоносное письмо легко заметить: в нем может быть орфографические и грамматические ошибки, или оно может быть отправлено с незнакомого электронного адреса. Тем не менее, эти письма могут выглядеть и так, будто их отправила настоящая компания или знакомый вам человек. Некоторые вредоносные программы могут взламывать учетные записи электронной почты и использовать их для отправки вредоносной нежелательной почты на все адреса, найденные в списке контактов.

Чтобы снизить вероятность заражения устройства:

Если вы не уверены, что знаете отправителя, или что-то кажется подозрительным, не открывайте письмо.

Никогда не щелкать в сообщении электронной почты непредвиденное сообщение. Если кажется, что оно принадлежит к вашей организации или вашей организации, которая, по вашему мнению, является законной, откройте веб-браузер и перейдите на веб-сайт организации из своего сохраненного избранного или из поиска в Интернете.

Не открывайте вложение в сообщении электронной почты, которое вы не ожидали, даже если оно отправлено от человека, который вам доверяет.

Дополнительные сведения см. в статье Защита от фишинга.

В Microsoft OneDrive встроена система защиты от атак программ-шантажистов. Дополнительные данные см. в этой теме.

Вредоносные Office макрос

Microsoft Office включает в себя мощный язык сценариев, позволяющий разработчикам создавать дополнительные инструменты, которые помогут вам работать продуктивнее. К сожалению, злоумышленники также могут использовать этот язык для создания вредоносных сценариев, которые устанавливают вредоносные программы или делают другие плохие вещи.

Если вы откроете файл Office и увидите такое уведомление:

не в enable that content unless you’re certain you know exactly what it does, even if the file appears to come from someone you trust.

Предупреждение: Злоумышленники могут сообщить вам о том, что с вас будут взиматься плата за службу, на которую вы никогда не подписаны. Когда вы свяжитесь с ним, чтобы сообщить вам, что для отмены службы вам нужно просто скачать Excel файл, который они предоставляют, и упростят некоторые сведения. Если скачать и открыть файл, Excel вы увидите предупреждение выше. Если выбрать включить содержимое, запустится вредоносный макрос и заражает вашу систему.

Ни одна законная компания никогда не задаст вам Office, чтобы отменить службу. Если кто-то попросит вас, просто повесь трубку. Это мошенническое решение, и вам не нужно отменять службу.

Дополнительные информацию о том, как управлять запуском макроса на устройстве, см. в Office файлах.

Зараженные съемные носители

Многие вредоносные программы распространяются, заражая съемные носители, такие как USB-устройства флэш-памяти или внешние жесткие диски. Вредоносная программа может автоматически установиться при подключении зараженного носителя к компьютеру.

Ниже приведены рекомендации, которые помогут защититься от этого типа заражения.

Во-первых, необходимо очень осторожно относиться к USB-устройствам, которые вам не принадлежат. Если вы нашли USB-устройство, которое предположительно было утеряно или выброшено, не подключайте его к компьютеру с важными данными. Иногда злоумышленники намеренно оставляют зараженные USB-устройства в общественных местах, рассчитывая, что кто-нибудь их найдет и подключит к компьютеру.

Совет: Это называется «USB-drop attack».

Если не подключать это устройство, вы не сможете заразить компьютер. Если вы обнаружили, что USB-накопитель просто затерялся, посмотрите, есть ли ближайший регистратор или потерянный и найденный, что его можно сдать.

Во-вторых, если вы подключили неизвестное съемное устройство к компьютеру, незамедлительно выполните его сканирование.

Вместе с другим программным обеспечением

Некоторые вредоносные программы могут устанавливаться одновременно с другими скачанными программами. К таким программам относится программное обеспечение со сторонних веб-сайтов или файлы, передаваемые через одноранговые сети.

Кроме того, некоторые программы могут устанавливать другое ПО, которое Майкрософт определяет как потенциально нежелательные программы. К такому ПО могут относиться панели инструментов или программы, отображающие дополнительную рекламу при просмотре веб-страниц. Как правило, вы можете отказаться от установки такого дополнительного программного обеспечения, сняв флажок в процессе установки. Безопасность Windows защитить вас от потенциально нежелательных приложений. Дополнительные сведения см. в статье Защита компьютера от потенциально нежелательных приложений.

Программы для генерирования программных ключей (генераторы ключей) часто параллельно устанавливают вредоносные программы. Средства обеспечения безопасности Майкрософт обнаруживают вредоносные программы на более чем половине компьютеров с установленными генераторами ключей.

Чтобы избежать установки вредоносных программ или потенциально нежелательных программ, выполните следующее.

Скачивайте программное обеспечение только с официального веб-сайта его поставщика.

Внимательно читайте информацию об устанавливаемом программном обеспечении, прежде чем нажимать кнопку «ОК».

Взломанные или скомпрометированные веб-страницы

Вредоносные программы могут использовать известные программные уязвимости для заражения компьютера. Уязвимость — это брешь в программном обеспечении, через которую вредоносные программы могут получить доступ к компьютеру.

При попытке перейти на веб-сайт он может попытаться использовать уязвимости в веб-браузере, чтобы заражать компьютер вредоносными программами. Это может быть вредоносный веб-сайт или обычный веб-сайт, который был взломан или скомпрометирован.

Именно поэтому очень важно поддерживать все программное обеспечение, особенно веб-браузер, в актуальном состоянии и удалять не используемую программу. К ним относятся неиспользованые расширения браузера.

Таким образом вы можете снизить вероятность получения вредоносных программ с помощью современного браузера, например Microsoft Edge ирегулярно обновляя его.

Совет: Не хотите обновлять браузер, так как открыто слишком много вкладок? Все современные браузеры снова откроют вкладки после обновления.

Другие вредоносные программы

Некоторые типы вредоносных программ могут загружать на компьютер другие угрозы. После установки этих угроз на компьютере они продолжат загружать дополнительные угрозы.

Лучший способ защиты от вредоносных программ и потенциально нежелательного программного обеспечения — это последние обновления в режиме реального времени, такие как антивирусная программа в Microsoft Defender.

Источник

Компьютерные вирусы и вредоносное ПО: факты и часто задаваемые вопросы

Пользователи компьютеров Windows и Mac, смартфонов и планшетов находятся под постоянно растущей угрозой, исходящей от компьютерных вирусов и вредоносных программ. Принятие мер означает понимание того, с чем вы столкнулись. Рассмотрим основные типы вредоносных программ и их последствия.

Краткий обзор

Термин «вредоносное ПО» используется для описания любой вредоносной программы на компьютере или мобильном устройстве. Эти программы устанавливаются без согласия пользователей и могут вызывать ряд неприятных последствий, таких как снижение производительности компьютера, извлечение из системы персональных данных пользователя, удаление данных или даже воздействие на работу аппаратных средств компьютера. Поскольку киберпреступники придумывают все более сложные способы проникновения в системы пользователей, рынок вредоносных программ существенно расширился. Давайте рассмотрим некоторые из наиболее распространенных типов вредоносных программ, которые можно встретить в интернете.

1. Вирусы

2. Черви

В отличие от вирусов, червям для распространения не требуются вмешательства человека: они заражают один компьютер, а затем через компьютерные сети распространяются на другие машины без участия их владельцев. Используя уязвимости сети, например, недостатки в почтовых программах, черви могут отправлять тысячи своих копий и заражать все новые системы, и затем процесс начинается снова. Помимо того, что многие черви просто «съедают» системные ресурсы, снижая тем самым производительность компьютера, большинство из них теперь содержит вредоносные «составляющие», предназначенные для кражи или удаления файлов.

3. Рекламное ПО

4. Шпионское ПО

5. Программы-вымогатели

Программы-вымогатели заражают ваш компьютер, затем шифруют конфиденциальные данные, например, личные документы или фотографии, и требуют выкуп за их расшифровку. Если вы отказываетесь платить, данные удаляются. Некоторые типы программ-вымогателей могут полностью заблокировать доступ к вашему компьютеру. Они могут выдавать свои действия за работу правоохранительных органов и обвинить вас в каких-либо противоправных поступках. В июне 2015 года в Центр приёма жалоб на мошенничество в Интернете при ФБР обратились пользователи, сообщившие о финансовых потерях на общую сумму 18 000 000 долларов в результате деятельности вируса-вымогателя CryptoWall.

6. Боты

7. Руткиты

Руткиты позволяют третьей стороне получать удаленный доступ к компьютеру и управлять им. Эти программы используются IT-специалистами для дистанционного устранения сетевых проблем. Но в руках злоумышленников они превращаются в инструмент мошенничества: проникнув в ваш компьютер, руткиты обеспечивают киберпреступникам возможность получить контроль над ним и похитить ваши данные или установить другие вредоносные программы. Руткиты умеют качественно маскировать свое присутствие в системе, чтобы оставаться незамеченными как можно дольше. Обнаружение такого вредоносного кода требует ручного мониторинга необычного поведения, а также регулярного внесения корректировок в программное обеспечение и операционную систему для исключения потенциальных маршрутов заражения.

8. Троянские программы

Более известные как троянцы, эти программы маскируются под легитимные файлы или ПО. После скачивания и установки они вносят изменения в систему и осуществляют вредоносную деятельность без ведома или согласия жертвы.

9. Баги

Мифы и факты

Существует ряд распространенных мифов, связанных с компьютерными вирусами:

Между тем, рост количества устройств взаимодействующих друг с другом в Интернете Вещей (IoT), открывает дополнительные интересные возможности: что если зараженный автомобиль съедет с дороги, или зараженная «умная» печь продолжит нагреваться, пока не случится превышение нормальной нагрузки? Вредоносного ПО будущего может сделать такой физический ущерб реальностью.

У пользователей есть ряд неправильных представлений о вредоносных программах: например, многие считают, что признаки заражения всегда заметны и поэтому они смогут определить, что их компьютер заражен. Однако, как правило, вредоносное ПО не оставляет следов, и ваша система не будет показывать каких-либо признаков заражения.

Tweet: Как правило, вредоносное ПО не оставляет следов, и ваша система не будет показывать каких-либо признаков заражения. Твитни это!

Стандартные методы заражения

Итак, как же происходит заражение компьютерными вирусами или вредоносными программами? Существует несколько стандартных способов. Это ссылки на вредоносные сайты в электронной почте или сообщениях в социальных сетях, посещение зараженного сайта (известного как drive-by загрузка) и использование зараженного USB-накопителя на вашем компьютере. Уязвимости операционной системы и приложений позволяют злоумышленникам устанавливать вредоносное ПО на компьютеры. Поэтому для снижения риска заражения очень важно устанавливать обновления для систем безопасности, как только они становятся доступными.

Признаки заражения

Другие полезные статьи и ссылки по теме «Компьютерные вирусы и вредоносное ПО»

Источник

Способы проникновения вредоносных программ в систему

Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:

Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и вирусописателей — привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки — червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение — почтовое, через ICQ или другой пейджер, реже — через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло — специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.

Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее — сообщить) свои коды доступа — распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.

Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.

Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами — и ссылка на эту страницу оказывается в списке других страниц в результатах поиска.

Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.

Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. Многие троянские «боты» используют новые уязвимости для увеличения своей численности, а новые ошибки в Microsoft Office тут же начинают применяться для внедрения в компьютеры очередных троянских программ. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым — немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.

Одновременное использование технологий внедрения и методов социальной инженерии

Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии — для привлечения внимания потенциальной жертвы, а технический — для увеличения вероятности проникновения заражённого объекта в систему.

Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива — уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.

Другим примером является рассылка спама с темой «Привет» и текстом «Посмотри, что про тебя пишут». За текстом следовала ссылка на некую веб-страницу. При анализе выяснилось, что данная веб-страница содержит скрипт-программу, которая, пользуясь еще одной уязвимостью в Internet Explorer, загружает на компьютер пользователя троянскую программу LdPinch, предназначенную для воровства различных паролей.

Противодействие антивирусным программам

Поскольку цель компьютерных злоумышленников — внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени — при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца — разные. Примером применения этой технологии является почтовый червь Warezov, несколько версий которого вызвали значительные эпидемии во второй половине 2006 г.

Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера. Данные технологии активно используются, например, троянцем-бэкдором HacDef.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ — ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами — следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков — содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом — если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются компьютерным андеграундом для противодействия антивирусным программам. При этом активность киберпреступников растёт год за годом, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной индустрией и индустрией вирусной. Одновременно растёт количество хакеров-индивидуалов и преступных групп, а также их профессионализм. Всё это вместе значительно увеличивает сложность и объём работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.

Публикации на схожие темы

Описание модулей Trickbot

Шпионские инструменты FinSpy: новые находки

Источник

Безопасность. Слово означающие защищённость человека или организации от чего-либо/кого-либо. В эпоху кибербезопасности мы всё чаще задумываемся не столько о том, как защитить себя физически, сколько о том, как защитить себя от угроз извне (киберугроз).

Сегодня мы поговорим о том, как можно проникнуть в современную корпоративную сеть, которая защищена на периметре различными, даже очень хорошими, средствами сетевой безопасности и самое главное поговорим о том, как с этим можно бороться.

Давайте посмотрим на современную сеть, которая используют самые новомодные технологии в области безопасности.

У вас защищен периметр, стоят различные Firewall-ы, Next-Generation Firewall-ы и многие другие средства защиты периметра.

Какие варианты проникновения в вашу корпоративную сеть существу и в каких случаях ваш Next-Generation Firewall вам никак не поможет?

Задумайтесь на минутку. Попробуйте ответить на этот вопрос, а я хотел бы привести несколько примеров которые смогут продемонстрировать что, какие бы мощные, классные, широко разрекламированные, попавшие в самые лучшие квадраты, круги, кривые Гартнера, Фореста и так далее продукты вы не использовали, все равно у злоумышленников существует возможность атаки на вашу корпоративную или ведомственную сеть, и поэтому вам надо смотреть чуть шире, чем защита периметра.

Итак, один из примеров, с которым компании Cisco удалось столкнуться — это использовании протокола DNS для кражи информации.

Обычно злоумышленники используют протокол DNS для того, чтобы либо подгружать какие-то новые модули, либо использовать DNS в качестве взаимодействия уже установленных модулей внутри корпоративной/ведомственной сети на заражённых компьютерах с некими «командными серверами». В данном же случае протокол DNS использовался для того, чтобы в названии домена происходила утечка информации. По статистике, большинство доменов, имен доменов третьего уровня содержат в себе не более 25-30 символов, однако, мы видим что на правом графике у нас длины доменов составляют 200-230 символов.

Человек не способен придумать такого рода домен. Запомнить его он тоже не способен. Это в чистом виде некая «аномалия» которая может нам говорить о том, что либо используются некие домены для каких-то маркетинговых целей, но обычно такие длинные даже в маркетинговых целях не используются, либо это действия злоумышленников. И вот в данном случае 1 из DNS-серверов, обслуживающий данный вредоносный домен, как раз и использовался для того, чтобы названия доменов, содержащие достаточно длинные текстовые строки (231 символ), были расшифрованы, и в них выявлялись украденные номера кредитных карт. Как мы понимаем, учитывая что DNS является стандартом де-факто для работы современной сети интернет, корпоративной или ведомственной сети, заблокировать DNS мы не можем и даже инспекция DNS на Firewall-е далеко не всегда нам помогает, потому что в данном случае злоумышленники использовали нестандартный подход, для того чтобы обойти средства защиты периметра.

Другой пример

Это иллюстрация из системы мониторинга беспроводной сети компании Cisco. Вы видите на карте здания расположения легально установленных точек доступа (зеленые кружки), но, обратите внимание, здесь мы видим, что есть несанкционированно установленные беспроводные точки доступа (красные кружки), а также беспроводные, несанкционированные чужие клиенты, которые пытаются подключиться корпоративной беспроводной сети (серые прямоугольники). Понятно, что данный способ подключения также минует периметр, также не проходит через корпоративные Firewall-ы, и если бы точки доступа были не защищены, то злоумышленники могли бы проникнуть в корпоративную сеть минуя периметр, минуя NG Firewall-ы, стоящие на этом самом периметре. Кроме того, если злоумышленник может создать фальшивую точку доступа, то клиент, который подключился к точке доступа, может даже об этом не знать, а злоумышленник при этом может перехватывать данные, которые передаются с клиента. Это может быть смартфон, это может быть планшет, ноутбук или даже стационарный компьютер, который подключился к несанкционированной, чужой, фальшивой точке доступа, и в данном случае, к сожалению, Firewall-ы нам тоже ничем не помогли.

Ещё пример

После этого инцидента компания Cisco существенно изменила архитектуру безопасности сетевого оборудования. Были добавлены программно-аппаратные компоненты, которые позволяют отслеживать закладки в оборудовании, а также предотвращать появление этих закладок, но в начале двухтысячных годов такие примеры были.

Их было несколько, которые удалось зафиксировать, и в данном случае мы сталкиваемся с ситуацией, когда в рамках некой поставки заказчик получает оборудование с уже предустановленным вредоносным кодом. Поскольку он изначально доверяет своему поставщику, он не задумывается о том, что надо проверить сетевое оборудование. Проверку можно осуществить через программное обеспечение, которое заказчик может скачать с официального сайта. Нужно это для того, чтобы убедиться, что в оборудовании нет никаких закладок, и оно не крадёт информацию, которая через сетевое устройство передаётся. Также было несколько случаев, когда администраторы, не имея контракта на техническую поддержку на купленное ими оборудование, вынуждены были скачивать новые прошивки со сторонних сайтов. Это также приводило к тому, что в этих прошивках содержался вредоносный код, который «зеркалировал» весь трафик и отправлял его злоумышленнику. То есть в данном случае мы также понимаем, что классические периметровые средства безопасности не могут ничего с этим сделать, потому что закладки находятся на оборудовании, стоящем перед межсетевыми экранами.

Можно вспомнить более свежий пример когда компания Cisco (ее подразделение Cisco Talos) обнаружило угрозу под названием VPN-Filter, когда злоумышленники заражали различные сетевые устройства различных производителей (D-Link, Asus и так далее) и устанавливали на них соответствующий вредоносный код, который также крал трафик и перенаправлял его злоумышленникам. То есть недооценка этой проблемы приводит к тому, что у нас нижний уровень сетевой инфраструктуры остается абсолютно не защищенным, и никакие Firewall-ы, разумеется, здесь не помогают, так как сетевые устройства находятся до Firewall-ов, они и могут передавать весь трафик, особенно если он не зашифрованный, злоумышленникам.

Ещё один пример

2 года назад (в 2017 году) злоумышленники нашли уязвимость на Web-портале одного из крупнейших кредитных бюро Equifax. Эта уязвимость позволила получить доступ к Web-порталу и выполнять на нём некоторые команды. После идентификации уязвимости злоумышленники запустили эксплоит и получили доступ к системе с административными правами. Никаких данных украдено на тот момент ещё не было не было. То есть злоумышленники только протестировали саму возможность работы на Web-портале с административными правами. А вот дальше спустя где-то 2 месяца уязвимость, которая по каким-то причинам не была устранена, была проэксплуатирована.

Злоумышленники проникли во внутренние системы кредитного бюро и замаскировали свою деятельность от средств сетевой безопасности. Во-первых, за счет доверительных отношений между Web-порталом и внутренними серверами, в том числе серверами баз данных, система защиты никак не контролировала данные соединения и пропустила злоумышленника внутрь корпоративной сети. Кроме того, злоумышленники использовали зашифрованное соединение, и оно осталось бесконтрольным с точки зрения средств сетевой безопасности. Злоумышленникам в течение нескольких месяцев удавалось красть информацию в результате чего пострадало более 140 миллионов граждан США, Великобритании и ряда других стран, чьи данные были украдены в результате данной атаки, несмотря на наличие средств защиты периметра, которые, к сожалению, в данном случае никак не помогли.

Ещё пример

Ещё один пример, произошедший в прошлом 2018 году, когда в двухнедельный период между 21 августа и 5 сентября хакерская группа под названием Magic Art взломала сервера авиакомпании British Airways, похитила данные 380 000 клиентов включая персональные данные и данные кредитных карт. По данным British Airways пострадало порядка полумиллиона клиентов за две недели.

Самое интересное что злоумышленники даже не пытались проникнуть в корпоративную сеть! Они взломали сайт авиакомпании, подменили скрипт, который собирал данные клиентов, и переслали эти данные на вредоносный ресурс, который контролировался злоумышленниками. Также в одной из версий данного инцидента рассматривается, что злоумышленники взломали не основной сайт British Airways, а его кэшированную копию (CDN, используемый провайдерами связи для кэширования популярных ресурсов). Таким образом, периметровые средства защиты никак не помогли защититься от данной атаки.

Ещё одна атака, которую назвали «водопой» («water hole»), которая была зафиксирована некоторое время назад американскими правоохранительными органами. Зафиксировали атаки на ряд энергетических компаний в Соединенных Штатах Америки, и в рамках расследования была выявлена очень нестандартная схема, которая, однако, с тех пор стала достаточно популярной.

Почему она называется водопой?

Если мы вспомним жизнь животных (особенно животных Африки), то во время засухи многие животные приходят на редкие водопои, которые не пересохли во время засухи, и природа делает так, что животные не нападают друг на друга во время водопоя, но дело в том, что как раз по дороге на водопой хищники очень часто подстерегают животных и едят их для того, чтобы прокормить себя и свои прайды. Так вот, злоумышленники воспользовались ровно той же самое стратегией.
Вместо того, чтобы ломать компании-жертвы, на которые они ориентируют свои усилия, а таких компаний может быть много (единицы, десятки или даже сотни), иногда достаточно взломать всего лишь одного производителя программного обеспечения, с сайта которого затем все начинают скачивать обновления программного обеспечения (новые прошивки, патчи, апдейты или новые версии софта). Если взломали именно производителя, то дальше вместе с этими обновлениями, которые скачиваются с его сайта, возможно разместить в сети компании-жертвы ещё и вредоносный код, который затем облегчает хакерам развитие плацдарма внутри уже скомпрометированной сети жертвой. То есть таким окольным путем, но хакеры добились своей цели. Такого рода атака была зафиксирована в 2016 году в Соединенных Штатах Америки. После этого было несколько схожих сценариев. Буквально недавно (в конце 2018 года) была зафиксирована атака на компанию Asus, которая со своего сайта распространяла вредоносные обновления. Тоже самое делалось в компании Avast, которая распространяла заражённую программу для дефрагментации и оптимизации работы системы Windows под названием CCleaner. Эту вредоносную кампанию зафиксировало и раскрыло подразделение Cisco Talos в 2017 году.

Это всё примеры, когда далеко не всегда надо взламывать саму компанию-жертву. Можно взломать организации, обслуживающие её, и за счет неких доверительных отношений между компанией-жертвой и компанией, которую взломали, все коммуникации между ними подвергаются меньшему контролю, и этим активно пользуются злоумышленники.

Наконец, последний и один из самых свежих примеров

18 июня 2019 года аэрокосмическое агентство НАСА зафиксировала и объявила о том, что во внутреннюю сеть одного из ее подразделений (одной из её лаборатории) проникли хакеры ещё в апреле 2018 года. То есть они в течение длительного времени оставались незамеченными и смогли украсть более 500 МБ данных по миссии на Марс. Самое интересное, что произошло это за счет внедрения аппаратного портативного компьютера Raspberry Pi, который был установлен в сети НАСА и который крал информацию и передавал ее наружу.

Вот эти все примеры очень хорошо демонстрирует, что даже наличие очень мощных, хорошо спроектированных, грамотно спроектированных систем защиты периметра не даёт гарантии, что злоумышленники не проникнут.

Всё из-за того, что у них существует 17 каналов проникновения в нашу организацию, часть из которых мы уже посмотрели.

Есть часть каналов, которые остаются за рамками рассмотрения (допустим, обычное VPN-соединение, либо site-to-site VPN с удалёнными площадками, либо Remote Access VPN с удаленными пользователями), но в случае наличия защищённого соединения по нему, помимо вполне легального трафика, может проникнуть и внедриться во внутреннюю сеть компании. USB-флешки, подброшенные на парковке перед входом в организацию, также являются излюбленным инструментом, которым пользуются злоумышленники для того, чтобы обойти периметровые средства корпоративной информационной безопасности или ведомственной информационной безопасности, потому что такого рода флешка, будучи воткнута в компьютер, обходит все периметровые средства защиты. Остается надеяться только на то, что на компьютере установлено нечто более современное, чем устаревший по идеологии антивирус, который не видит никаких целевых атак, направленных на организацию.

Ещё один пример, с которым столкнулась компания Cisco два года назад.

Генеральный директор крупной российской энергетической компании «заразился» на своём домашнем ноутбуке вредоносным кодом WannaCry. Это произошло в пятницу вечером, как раз когда WannaCry стал распространяться по миру. В субботу утром директор привез на работу зараженный ноутбук. Ну а куда его ещё привезти? Дома нет своих IT-специалистов, а на работе они есть.

Пока эти специалисты, срочно вызванные генеральным директором, ехали на работу, вредоносный код успел распространиться по корпоративной сети, потому что генеральный директор подключил этот ноутбук к корпоративной сети. Автоматом он подключился, после чего даже изолированная от внешнего мира корпоративная сеть пострадала от WannaCry.

Понятно, что у компании Cisco может быть таких примеров ещё очень много, когда какой-либо высокопоставленный, либо облечённый полномочиями сотрудник, руководитель, руководитель среднего или высшего звена, приносит на работу домашнее устройство, которое по каким-то причинам может быть заражено. Это может быть даже не только сотрудник. Это может быть аудитор. Это может быть подрядчик, который приносит такого рода устройство в рамках проведения неких регламентных работ на защищаемой площадке. Например, в 2003 году именно из-за подрядчика, который подключил свой ноутбук к внутренней сети на атомной электростанции Davis–Besse в Соединенных Штатах Америки, произошло заражение атомной электростанции червём Conficker, что привело к останову реактора и веерным отключениям электроэнергии на всем восточном побережье США.

Ещё один пример, когда не работают методы периметровой защиты — это разработчики, которые занимаются DevOps-ом, у которых, как правило, свои «правила игры», которые любят работать не на выдаваемых компанией компьютерах, а на своих ноутбуках со своим программным обеспечением, на которые не всегда можно поставить какие-то средства защиты, и это является некой «точкой входа» в корпоративную сеть, либо внедрение закладок в разрабатываемое в организации программное обеспечение.

Наконец, мы не должны забывать про облака.

Если организация активно использует облака, никакие корпоративные средства защиты периметра не помогут. Необходимо расширять систему обеспечения безопасности за пределы периметра и осуществлять мониторинг внутренней инфраструктуры.

Поможет в этом протокол NetFlow, который изначально разрабатывался для траблшутинга, для анализа статистики сетевого трафика, но за счет своих возможностей, особенно за счет расширенных возможностей, которые существуют в девятой версии протокола NetFlow, либо в его стандартизованной версией IPFIX, появляется возможность отвечать на вопросы, которые интересуют инженеров с точки зрения информационной безопасности (кто?, что?, когда?, как?, в каком объёме? осуществлял те или иные взаимодействия). Затем, наложив на это соответствующие алгоритмы принятия решений, появляется возможность делать выводы о наличии той или иной угрозы, той или иной аномалии, которые могут быть интересны в контексте информационной безопасности.

Одним из примеров решения, которые используют именно эту конструкцию для цели информационной безопасности, является решение Cisco Stealthwatch.

Это решение, которое занимается анализом Flow-протоколов (не только NetFlow). Это может быть sFlow, Jflow, IPFIX, NetStream — неважно. То есть это решение будет работать не только на инфраструктуре Cisco, но и на инфраструктуре других вендоров (в том числе даже российских производителей, которые поддерживают протокол с Flow) либо когда есть возможность передавать трафик через PAN либо Airspan на решение Cisco Stealthwatch, и за счет анализа существующей инфраструктуры возможно выявлять те или иные аномалии, те или иные угрозы в корпоративной или ведомственной сети.

Одним из ключевых отличий данного подхода от защиты периметра является то, что администратору не надо ставить отдельные сенсоры, отдельные краны в контролирующих местах сети в контрольных точках. Cisco превращает существующую сетевую инфраструктуру в такого рода распределенную систему мониторинга.

В своем минимальным варианте решение Cisco stealthwatch состоит из двух компонентов — Flow Collector, который собирает данные от устройств, поддерживающих Flow протоколы, и менеджмент консоль, которая отвечает за управление, за визуализацию, за генерацию отчетов и так далее. В тех случаях, когда по каким-то причинам устройство либо не поддерживает Flow, либо поддержка включения Flow приводит к существенной загрузке процессора, можно использовать так называемые «Flow сенсоры». Это аппаратное либо виртуальное решение, которое пропускает через себя сетевой трафик, транслирует его в NetFlow и передаёт на Flow Collector. Тем самым, к Flow Sensor можно подключать чем подключать span port какого-то оборудования, которое изначально не поддерживает Flow протокол и обеспечивать полную и большую видимость внутренней сети, а не только её периметра.

Помимо Flow sensors, существует ещё такой компонент как UDP Direcrot, который позволяет эффективно обрабатывать данные с удалённых площадок. Когда слабый интернет канал между удаленными площадкой и штаб-квартирой, но при этом надо передавать данные NetFlow, UDP Direcrot осуществляет оптимизацию передачи такого трафика.

Помимо этого, компании Cisco разработала специальный протокол nvzFlow, который позволяет интегрировать сетевую составляющую с хостовой и за счет модуля Network Visibility модуль, который встроен в AnyConnect (это программный защитный клиент который устанавливается на Windows, Linux, Mac OS, iOS, Android и так далее). Благодаря этому, появилась возможность транслировать поведение узла, поведение приложений пользователей в схожий с NetFlow протокол и осуществлять автоматическую корреляцию события, которые происходят на узлах с событиями, которые происходят на уровне сети, тем самым улучшая состояние мониторинга информационной безопасности в корпоративной либо ведомственной сети.

Ещё одним из элементов который может отдавать данные на Flow Collector является прокси-сервера и тем самым можно коррелировать данные сетевого уровня, которые получаются после анализа NetFlow или иных Flow протоколов и прикладного уровня, которые мы получаем от различных прокси-серверов, тем самым есть возможность фиксировать работу шифровальщиков, взаимодействие с командными серверами, работу сети сетью Тор и так далее.

Для того чтобы собирать доказательства противоправной деятельности, для того чтобы хранить их, проводить расследование, либо передавать в правоохранительные органы решения Cisco Stealthwatch интегрируются с компонентом Cisco Security Packet Analyzer, который как раз и сохраняет всю необходимую для дальнейшего расследования и взаимодействия с правоохранительными органами информацию.

Самое интересное что данное решение работает не только внутри корпоративной/ведомственной сети, не только внутри ЦОДа, не только внутри промышленной площадки (например, в АСУ ТП), но и также может работать на различных облачных платформах, тем самым единое решение позволяет увидеть разные участки корпоративной или ведомственное сети. Увидеть в них аномалии, увидеть угрозой и соответствующим образом сигнализировать и при необходимости блокировать эти угрозы, опираясь не только на то что проходит через корпоративный периметр. Если замечается какая-то флешка, незащищённый Wi-Fi, подброшенный Raspberry Pi в корпоративную сеть и так далее, этого не увидит периметр. Это увидит Stealthwatch который соответствующим образом мониторит все что проходит через сетевую инфраструктуру. Как бы злоумышленниками маскировался он всегда будет проходить через коммутаторы и маршрутизаторы, которые у нас размещены в корпоративной или ведомственное сети. Он не может в принципе их миновать и в этом случае работает Stealthwatch, который видит весь сетевой трафик и за счет наложения большого количества различных алгоритмов, может выявлять те или иные аномалии или угрозы.

Выглядит это следующим образом.

На картинке видно топ узлов, которые зафиксированы за определенный интервал времени. Один из этих узлов имеет адрес 10.201.3.149. Это рабочая станция. Она находится в группе пользовательских устройств. Видно когда и какая активность происходил на этом узле. Видно какие политики применяются к данному узлу. Видно что за пользователь работает на данном узле, например за счет интеграции с Active directory. Таким образом, мы знаем конкретного пользователя, конкретного сотрудника организации, который работает в конкретный момент на данном хосте и это позволяет более оперативно проводить расследование инцидентов.

Но это далеко не все что можно увидеть.

Допустим мы видим видим события с очень высоким уровнем подозрительности, так называемый «Concern Index» и хотим получить более подробную информацию о том, что скрывается за данным событием. Мы хотим получить все ассоциированные соединения связанные с данной угрозой утечки информации.

Сделав это, обнаружено, что внутренний нарушитель использует протокол SSH для того чтобы захватить данные с внутренней корпоративной сети. Обратите внимание, при том что с узла злоумышленника отправлено всего около одного гигабайта данных получено более 160 ГБ данных. Вполне возможно, что речь идет о злоумышленнике, который пытается захватить данные до которых он успевает «дотянуться» и скачать их себе на компьютер. Для чего?

Здесь Stealthwatch также помогает.

В данном случае, видно что хакер «сливает» данные через HTTPS соединение куда-то на внешний узел. То есть, возможно это действительно злоумышленник, который как если вспомнить историю со Сноуденом, в начале скопировал к себе все данные, до которых смог дотянуться, а потом он пытается их вынести за пределы компании. В случае со Сноуденом, он это делал на внешних носителях вынося за пределы контрольно-пропускного пункта. В случае с данным кейсом, злоумышленник пытается «слить» данные через HTTPS наружу на какой-то командный сервер, в облако или ещё куда-то.

Ещё один пример, как может помочь Cisco Stealthwatch. Например, распространения черви или вредоносного кода внутри корпоративной сети.

Обычно, для того чтобы зафиксировать это, необходимо иметь агент/агентов на хосте. Там может быть антивирус. Это может быть решение класса и EDR (endpoint detection and responseэто). Это может быть что-то иное, что за счет анализа активности на узле выявляет действия вредоносного кода. Но что делать если мы не можем устанавливать агенты на узлах (например, эти агенты слишком «сжирают» мощности процессора, либо увеличивают нагрузку на него, либо «сжирают» оперативную память)? Компьютер тормозит и поэтому не хочется ставить на него никаких защитных агентов (например в ЦОДе). Либо это сегмент на который вообще нельзя поставить какие-то защитные агенты. Это может быть промышленный сегмент (АСУ ТП), это может быть сегмент с операционными системами, для которых не разработано защитных агентов. Причин может быть много. Иными словами, при отсутствии хостовых средств защиты инженеры остаются слепы. У них единственный источник данных для обнаружения вредоносных активности — это сетевой трафик и здесь снова помогает Stealthwatch, который в данном случае зафиксировал действия вредоносного кода. Видны события сканирования узлов и в деталях по данному событию можно увидеть, что данная активность присуща распространению червей по сети.

Это можно и визуализировать.

Визировать в таком вот виде.

Происходит визуализация и мы можем понять где была точка отсчета, кто дальше попал под раздачу и быстро локализовать проблему, не давая ей развиваться по нашей сети, не давая злоумышленником расширять «плацдарм» в нашей корпоративной либо ведомственной сети. А что делать в ситуациях когда злоумышленники начинают активно использовать шифрование, как например это было в случае с Equifax?

К сожалению, по статистике Cisco, злоумышленники за последний год в 3 раза увеличивают число вредоносных программ, которые используют для своей деятельности, а точнее для её скрытия — шифрование. Из теории известно, что «правильный» алгоритм шифрования не может быть взломан. Для того чтобы понять что скрывается внутри зашифрованного трафика, необходимо либо его расшифровывать зная ключ, либо попытаться дешифровать его различными уловками, либо взломом в лоб, либо используя какие-то уязвимости в криптографических протоколах.

На самом деле оказалось, что на практике существуют и другие методы анализа зашифрованного трафика без его расшифровки. Этот метод называется просто — «машинное обучение». Оказалось, что если на вход специального классификатора подать очень большой объём различного трафика, которые используются злоумышленниками, и обучить этот классификатор распознавать такого рода вредоносное действие, даже внутри зашифрованного трафика, который мы не можем расшифровать или дешифровать, система с очень высокой степенью вероятности может детектировать действия вредоносного кода внутри зашифрованного трафика.

Обратите внимание, точность обнаружения составляет 99,99 %. Ложные срабатывания — это сотые доли процента. То есть, опираясь на анализ телеметрии, которую компания Cisco получает с сетевого оборудования, даже без каких-то криптографических преобразований, можно сказать что внутри того или иного зашифрованного трафика скрывается вредоносная активность и это позволяет эффективнее осуществлять мониторинг внутренней инфраструктуры.
Сегодня многие компании, многие приложения-сервисы переходят на протокол TLS 1.3, который нельзя изначально расшифровывать. То есть, он специально спроектирован для того чтобы нельзя было делать даже легальный Man In The Middle. Сделано это для обеспечения приватности данных пользователей. Эта приватность пользователя, к сожалению, играет не на руку, а против корпоративных служб безопасности, которые раньше (до TLS 1.3) еще могли делать расшифровку трафика на периметре с помощью тех или иных SCAffolder-ов, то сейчас, к сожалению, это сделать уже невозможно. Но технология которая заложена в Cisco Stealthwatch под названием Encrypted Traffic Analytics позволяет без расшифрования трафика понять что находится внутри. Разумеется, никто не поймёт что там написано. Это невозможно. Криптография здесь работает. Но можно понять тип этого трафика и если он вредоносный, то принять соответствующие решения.

Вот как выглядит работа технологии Encrypted Traffic Analytics.

Видно, что осуществляется утечка информации (надпись «Exfiltration» — утечка данных) с конкретного узла, за которым работает пользователь по имени Роланда Торсиелло и видна пометка «Encrypted». Это означает — трафик зашифрован. То есть, несмотря на наличие шифрования, всё равно возможно зафиксировать факт утечки информации, то есть нанесение ущерба корпоративному ресурсу.

Хочется отметить, что у решения Cisco Stealthwatch есть ряд очень важных особенностей. Важных преимуществ.

• Во-первых, это возможность анализа зашифрованного трафика, что в последнее время становится очень важной функцией для средства обеспечения информационной безопасности.
• Во-вторых, это защита сделанных инвестиций в сетевую инфраструктуру. Cisco не только имеем сетевую инфраструктуру, которую передаёт трафик из точки А в точку Б, Cisco превращает ее в распределенную систему обнаружения атак.
• Данная система не требует перестройки сети. Не надо ставить новые железки внутрь корпоративной сети, не надо переконвертировать трафик, менять его адресацию и так далее. С существующей инфраструктурой идёт сборка Flow и начинается анализ его на предмет тех или иных аномалий или угроз.
• И самое интересное. Несмотря на то, что решение Cisco Stealthwatch разработано и предлагается компанией Cisco, в основе сети которую необходимо защитить, может быть не только инфраструктура компании Cisco, но и структуры различных других производителей. В данном случае, Cisco Vendor Agnostic (производитель система защиты). Не важно что «лежит» в основе. Это может быть Cisco, это может быть Huawei, это может быть Juniper, 3com, Hewlett, это может быть российские производители типа Полигон, Русьтелетех, Zelax, Натекс и так далее. Любую сетевую инфраструктуру, которая поддерживает либо протоколы Flow, либо SPAN/RSPAN возможно превратить в распределенную систему обнаружения атак.

После того как была зафиксирована какая-то вредоносная активность возникает вопрос: «А как ее заблокировать?».

В этом случае очень хорошо подходит решение Cisco ISE (Identity Services Engine), которая превращает сетевую инфраструктуру, которую уже превратилась в распределенную систему обнаружения атак, Cisco ISE превращает её в распределенный межсетевой экран. Это когда каждый коммутатор, каждый маршрутизатор, каждая точка доступа используется в качестве точки принятия решения — «пускать или не пускать?», «пускать пользователя?», «пускать устройство?», «пускать приложение?» к запрошенному ресурсу. Cisco ISE превращает существующую инфраструктуру (причём не только происхождения Cisco, это можно делать на других вендорах) в распределенный межсетевой экран. Если на периметре обычно используется NG Firewall-ы (например Cisco FirePower) и NGIPS (например Cisco Firepower IPS), то во внутренней сети можно использовать связку Cisco Stealthwatch и Cisco ISE.

Вместе они позволяют мониторить и контролировать доступ к внутренней инфраструктуре, существенно уменьшая площадь атаки и, самое главное, что они могут быть интегрированы с периметровыми средствами защиты и они имеет единую сквозную политику безопасности. В случае, если на периметре стоят не решение Cisco, всё равно, за счёт Cisco ISE можно создавать единую сквозную политику безопасности, тем самым повышая защищенность корпоративных/ведомственных ресурсов от действий злоумышленников, которые научились разными способами обходить систему защиты периметра.

Видеопрезентация:

Аудиопрезентация:

За всю предоставленную информацию огромная благодарность компании Cisco и

Алексею Лукацкому