This page has been robot translated, sorry for typos if any. Original content here.

protection antivirus

Cet article traite de la protection contre les logiciels malveillants. La clé de l’organisation d’une protection antivirus efficace est la présence d’un agent antiviral. Pour commencer, considérons les exigences de base auxquelles doit répondre un logiciel antivirus moderne.

Les conditions requises pour les logiciels antivirus sont les mêmes que pour les autres logiciels: facilité d'utilisation et fonctionnalités étendues, déterminées par la possibilité de sélectionner différents modes d'analyse et une détection de virus de haute qualité. Malgré la diversité des produits logiciels, les principes de leur travail sont les mêmes. Les principales fonctions de l'antivirus moderne incluent:

· Analyses du contenu de la mémoire et du disque conformément au calendrier;

· Analyse de la mémoire de l'ordinateur, ainsi que des fichiers écrits et lisibles en temps réel à l'aide du module résident;

· Analyse sélective des fichiers avec des attributs modifiés - taille, date de modification, somme de contrôle, etc.

· L'analyse des fichiers d'archives;

· Reconnaissance du comportement caractéristique des virus informatiques;

· Installation, configuration et administration à distance de programmes antivirus à partir de la console de l'administrateur système; informer l'administrateur système des événements liés aux attaques de virus par courrier électronique, pager, etc.

· Vérification forcée des ordinateurs connectés au réseau d'entreprise, initiée par l'administrateur système.

· Mise à jour à distance des logiciels antivirus et des bases de données sur les virus, y compris la mise à jour automatique des bases de virus via Internet;

· Filtrage du trafic Internet pour la détection de virus dans les programmes et les documents transmis via les protocoles SMTP, FTP, HTTP.

· Identification des applets Java et des modules ActiveX potentiellement dangereux.

· Fonctionne sur différentes plates-formes clientes et serveurs, ainsi que sur des réseaux d'entreprise hétérogènes.

· Conserver les protocoles contenant des informations sur les événements liés à la protection antivirus.

Comme mentionné dans l'article précédent, l'une des principales caractéristiques des attaques de virus modernes est leur taux de propagation élevé. En outre, on peut noter la fréquence élevée de nouvelles attaques. Ainsi, à l'heure actuelle, un logiciel antivirus moderne peut être requis pour mettre à jour le produit - plus le produit est mis à jour souvent, plus sa qualité est élevée, car il prend en compte toutes les menaces virales actuelles.

Il convient de noter que, dans notre pays, la solution antivirus la plus populaire est la famille de produits Kaspersky Anti-Virus - AVP.

Selon les utilisateurs, pour se protéger efficacement contre les virus, il suffit d’avoir un outil antivirus. Cependant, comme l’a dit un auteur, les balles en argent n’existent pas. La présence d'un logiciel anti-virus est une condition nécessaire mais non suffisante pour repousser une attaque anti-virus (en plus de la disponibilité d'un outil, il est nécessaire d'envisager des méthodes d'utilisation). Ainsi, la protection contre les virus dans une organisation devrait être régie par certaines règles, en d’autres termes, pour être un élément d’une politique de sécurité que tous les utilisateurs du système devraient comprendre et respecter (pour développer une politique de sécurité, il est nécessaire d’évaluer les risques associés à l’infection par le virus et des moyens raisonnables de les minimiser). .

Afin de formuler les principes de base de la politique de sécurité anti-virus, il est nécessaire de rappeler les points clés suivants relatifs aux attaques de virus.

1. L’attaque de virus comprend deux phases: la phase d’infection et la phase de distribution (et éventuellement l’exécution d’actes destructeurs).

2. Les virus modernes se propagent souvent non seulement à l'aide de fichiers exécutables, mais également à l'aide de fichiers de documents de programmes populaires.

3. Les virus modernes dans l'attaque utilisent souvent les capacités d'Internet.

Considérez ce qui peut être recommandé à l'utilisateur pour prévenir l'infection par des virus (évidemment, le meilleur moyen de lutter contre une attaque est de le prévenir). Donc, pour prévenir les attaques de virus, il est recommandé d'effectuer les actions suivantes:

1. Configurez le logiciel anti-virus en conséquence. Pour ce faire, vous devez définir les paramètres suivants:

Ø La numérisation en temps réel, en arrière-plan ou en mode similaire doit être autorisée.

Ø au démarrage du système, la mémoire, le secteur de démarrage et les fichiers système doivent être analysés;

Ø mettre à jour les bases de données de virus

Ø Il est souhaitable d’analyser tous les types de fichiers ou au moins les fichiers * .com, * .exe, ainsi que les fichiers de type * .vbs, * .shs, * .ocx;

Ø établir un audit de toutes les actions des programmes antivirus.

2. Utilisez uniquement des logiciels sous licence. Les logiciels obtenus à partir d'une source inconnue peuvent être un cheval de Troie ou un virus infecté.

3. Limitez le nombre de programmes que l'utilisateur est capable d'installer sur le système (car des programmes superflus peuvent être infectés par des virus ou constituer la raison du succès d'autres attaques). Une attention particulière doit être accordée aux différents services Internet et, surtout, aux programmes de transfert de messages tels que IRC, ICQ, Microsoft Chat (ces programmes peuvent transférer des fichiers et servir de source d'infection du système).

4. En outre, il est souhaitable d'éliminer les vulnérabilités connues des logiciels (car leur présence peut être la raison du succès des attaques de virus). Les vulnérabilités connues sont généralement publiées sur les listes de diffusion Internet, ainsi que sur des sites spéciaux. En tant que source d'informations sur les vulnérabilités, vous pouvez recommander une base de données sur www.securityfocus.com.

5. Surveillez l'utilisation des lecteurs de disquettes et de CD-ROM. Idéalement, toutes les informations contenues sur les disquettes et les CD-ROM devraient être analysées pour rechercher la présence de virus avant que les utilisateurs du système informatique n'y aient accès.

6. Développez une stratégie de traitement du courrier électronique (en tant que partie intégrante de la politique de sécurité). Comme indiqué dans l'article précédent, les courriers électroniques sont l'un des moyens les plus populaires et les plus rapides de propagation de virus. Pour se protéger contre la pénétration de virus par le biais des messages électroniques, chaque utilisateur du système doit:

Ø ne jamais ouvrir la pièce jointe immédiatement dans le courriel qui lui est parvenu;

Ø créer un répertoire "quarantaine" - enregistrer les pièces jointes dans un répertoire "quarantaine" spécifique;

Ø si l'expéditeur du message est inconnu, le message avec la pièce jointe peut même être supprimé; si l'expéditeur du message est connu, le message avec la pièce jointe peut également contenir un virus; La règle générale peut être formulée comme suit: n'ouvrez jamais de pièces jointes à des courriers électroniques qui n'ont pas été demandés ou pour lesquels il n'y a pas eu de notification de l'expéditeur.

Ø Avant d’ouvrir une pièce jointe, vérifiez toujours avec un logiciel antivirus;

Ø si, après l'exécution de toutes ces procédures, vous avez des doutes quant à l'absence de virus dans la pièce jointe du courrier électronique, vous pouvez contacter l'expéditeur et obtenir de lui des informations sur la pièce jointe envoyée;

Ø éliminer les vulnérabilités possibles du logiciel de messagerie client;

7. Développez une stratégie de sécurité des applications (en particulier lorsqu'elle est utilisée dans l'organisation de la famille de produits Microsoft Office) qui traite les documents avec des langages interprétés (en tant que partie intégrante de la stratégie de sécurité).

Mais supposons que l'infection ait déjà eu lieu. Considérez ce que l'utilisateur doit faire dans ce cas. Tout d’abord, ne paniquez en aucune façon.

La première étape à suivre lorsqu'une attaque sur un système est détectée est son identification. Pour identifier avec succès une attaque, il est souvent nécessaire de créer un disque d’amorçage lors de l’installation du système et du chargement du système qui l’utilise.

Si l'attaque est identifiée par l'antivirus, tout est évident. Toutefois, si vous traitez avec un certain virus inconnu, dans de nombreux cas, le temps pendant lequel l'attaque a été identifiée est critique. À cet égard, la capacité de l'utilisateur à détecter rapidement une attaque de virus revêt une grande importance (les signes peuvent être l'envoi en masse, la destruction de fichiers, etc.). La complexité de l'identification d'une attaque dépend souvent de la complexité de l'attaque elle-même. À ce stade, il est souhaitable d’établir au moins les signes suivants: le fait de l’attaque, le type d’attaque (réseau ou local) et la source de l’attaque.

Quel que soit le type de système d'exploitation, vous devez prêter attention à l'activité suivante dans le système:

· Intégrité logicielle utilisée pour détecter l'intrus;

· Intégrité des programmes et des données critiques pour la sécurité;

· Opérations du système et trafic sur le réseau.

Si vous êtes en mesure de déterminer le fait d’une infection virale par un virus inconnu (ou si vous avez des soupçons raisonnables), il est conseillé de contacter le fabricant du logiciel antivirus que vous utilisez.

Et enfin, il est nécessaire d'analyser les effets d'une attaque de virus. Si des données importantes ont été traitées dans votre système, vous les avez bien sûr sauvegardées. Pour ce faire, l'organisation doit avoir développé des règles de sauvegarde. Malheureusement, si la sauvegarde n'est pas disponible, les données risquent d'être perdues (cela ne dépend pas de vous, mais de l'attaquant qui a écrit le virus qui a frappé votre système).

On peut donc tirer la conclusion suivante: la présence de moyens de protection adéquats et la discipline de leur application permettent, sinon d'éviter une attaque de virus, du moins de minimiser ses conséquences.