gavana
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Способен ли Ваш файервол защитить Вас от реальной атаки хакера? Ответ на этот вопрос не на столько очевиден, как это может показаться.
Тестирование файерволов это только проверка его возможности обнаруживать деятельность конкретного приложения. Но обнаружение совсем не означает защиту. Фактически, если бы обнаружение равнялось защите, тогда не было бы необходимости в файерволах, работающих по принципу контроля приложений. Можно было бы просто открыть окно системных утилит Windows и посмотреть загруженные модули. Такое «обнаружение» будет более детальным, нежели достигается любыми другими файерволами при отсутствии конфликтов программного обеспечения.
Проблема в том, что настоящий «Троян» обычно называется иначе чем «Я есть Троян.exe.», и хакер не предупреждает заранее о дне и времени своей атаки.
Таким образом, Троян не обязательно должен быть замысловатым, чтобы пройти изощренный файервол.
Давайте представим себе специалиста, у которого установлен файервол, работающий на уровне исполняемых модулей. Изначально, файервол установлен на высочайшем уровне безопасности для определения исполняемых модулей (к примеру, ZA Pro). Каждые 10-20 секунд ZA запрашивает специалиста позволить или запретить работу того или иного dll-модуля. В скором времени, однако, он поймет, что даже если файервол поставляет ему информацию о файле, он не может с уверенностью охарактеризовать файл: он не может быть уверен в производителе, так как только 3% файлов имеют цифровые сертификаты, многие из которых зашифрованы и у специалиста нет инструментария для их анализа и так далее.
Спустя несколько часов работы администратор неизбежно сконфигурирует свой файервол на обнаружение только *.ехе файлов.
По прошествии трех часов его успешно «взломает» один из многих Троянов, использующий *.dll компоненты.
Таким образом, главное – это не обнаружить атакующее приложение, что также очень важно, но и правильно установить, что это атака и дать возможность пользователю, не зависимо от уровня его подготовки, остановить ее.
pcInternet Patrol – это новый вид системы контроля приложений, объединяющий способность обнаруживать со способностью определять приложение как вредоносное.
Философия pcInternet Patrol основывается на утверждении, что защита ПК (или сервера) требует эксперта по безопасности, который бы постоянно проверял намерения всех сетевых компонентов, используя специальные знания и инструментарий.
pcInternet Patrol – выделенная система контроля приложений Dedicated Application Control System (DACS) – был разработан, для достижения этой цели без снижения уровня безопасности.
Конечный результат заключается в том, что pcInternet Patrol не только делает эту задачу финансово выполнимой, но и достигает оценки намерения около 98% компонентов в реальном времени и в около реальном остальных 2%.
DACS пользуется тем фактом, что сетевые компоненты частично совпадают. Это означает, что компонент, проверенный для компьютера А, уже не надо будет проверять для компьютера Б, пока компоненты идентичны. Цифровая подпись компонента с соответствующим флагом добавляется в централизованную базу данных, и потом она будет использоваться для проверки таких же компонентов на других компьютерах в реальном времени.
С точки зрения пользователя, DACS заменяет «живого» эксперта по безопасности, обслуживающего его компьютер или сервер.
Разница между файерволом, работающим по принципу контроля приложений, включая файерволы с центральной панелью управления, и выделенной системой контроля приложений состоит в угадывании и знании наверняка.
Выделенная система контроля приложений находит Трояны, даже если они существуют в единственном виде на одном компьютере, использующем интернет-соединение без каких-либо усилий со стороны пользователя.
DACS предлагает более сильную защиту, нежели любой другой файервол, работающий по принципу контроля приложений, включая и файерволы с центральной панелью управления.
• DACS не требует затрат на администрирование.
• DACS не ограничивает пользователя в использовании приложений.
• DACS не зависит от уровня пользователя.
• DACS не требует вовлечения пользователя.
pcInternet Patrol получил высшую оценку от tucows.com
Обзор можно прочитать по адресу: http://www.tucows.com/preview/251110.html
|
Хотя, если троян будет по SSH коннектиться... 
