Основные функции Dr.Web для интернет-шлюзов UNIX |
1. Производится поиск как непосредственно вредоносных программ всех возможных типов (различных вирусов, включая вирусы, инфицирующие почтовые файлы и загрузочные записи дисков, а также троянских программ, почтовых червей и т. п.), так и нежелательных программ (рекламных программ, программ-шуток, программ автоматического дозвона). Подробнее о видах угроз см. Приложение А. Виды компьютерных угроз. Для обнаружения угроз используются: •сигнатурный анализ — метод проверки, позволяющий обнаружить уже известные угрозы, информация о которых содержится в вирусных базах; •эвристический анализ — набор методов проверки, позволяющих обнаруживать угрозы, которые еще неизвестны; •облачные технологии обнаружения угроз — производится обращение к сервису Dr.Web Cloud, собирающему свежую информацию об актуальных угрозах, рассылаемую различными антивирусными продуктами Dr.Web.
При проверке файловой системы по запросу пользователя имеется возможность как полной проверки всех объектов файловой системы, доступных пользователю, так и выборочной проверки только указанных объектов (отдельных каталогов или файлов, соответствующих указанным критериям). Кроме того, доступна возможность отдельной проверки загрузочных записей томов и исполняемых файлов, из которых запущены процессы, активные в системе в данный момент. В последнем случае при обнаружении угрозы выполняется не только обезвреживание вредоносного исполняемого файла, но и принудительное завершение работы всех процессов, запущенных из него. В системах, реализующих мандатную модель доступа к файлами с набором различных уровней доступа, сканирование файлов, недоступных на текущем уровне доступа, может производиться в специальном режиме автономной копии. Все объекты с угрозами, обнаруженные в файловой системе, регистрируются в постоянно хранимом реестре угроз, за исключением тех угроз, которые были обнаружены в режиме автономной копии. Утилита управления из командной строки Dr.Web Ctl, входящая в состав Dr.Web для интернет-шлюзов UNIX, позволяет также выполнять проверку на наличие угроз файловых систем удаленных узлов сети, предоставляющих удаленный терминальный доступ через SSH или Telnet.
2.. Отслеживаются и проверяются как запросы пользователей (т. е. попытки подключиться к веб-серверу и загрузить на него некоторый файл), так и непосредственно данные, направляемые веб-серверами в ответ на запросы пользователей. Для анализа запросов и возвращаемых данных, Dr.Web для интернет-шлюзов UNIX подключается по протоколу ICAP как внешний фильтр к прокси-серверу, обрабатывающему HTTP-соединения пользователей локальной сети. Кроме того, при помощи компонента SpIDer Gate можно реализовать функции барьера, предотвращающего прием и передачу инфицированных файлов публичным веб-сервером организации (данная возможность доступна только в ОС GNU/Linux). Для ограничения доступа к нежелательным веб-сайтам используются как автоматически обновляемая база данных, содержащая перечень веб-ресурсов, разбитых на категории, поставляемая вместе с Dr.Web для интернет-шлюзов UNIX, так и черные и белые списки, ведущиеся системным администратором вручную. Также производится обращение к сервису Dr.Web Cloud для проверки наличия информации, не отмечен ли веб-ресурс, к которому пытается обратиться пользователь, как вредоносный, другими антивирусными продуктами Dr.Web. 3. • Отслеживаются обращения пользователей файлового хранилища NSS к файлам на запись. Это позволяет обнаруживать и нейтрализовывать вредоносные программы непосредственно при попытках сохранения их в хранилище NSS, что предотвращает их дальнейшее распространение по сети.
4., обнаруженных в файловой системе сервера, в специальном хранилище — карантине, чтобы они не могли нанести ущерба системе. При перемещении объектов в карантин они специальным образом переименовываются и могут быть восстановлены в исходное место (в случае необходимости) только по команде пользователя. Угрозы, обнаруженные компонентом Dr.Web ICAPD в сообщениях протокола HTTP, не перемещаются в карантин на интернет-шлюзе. Вместо этого блокируется их загрузка и передача получателю, о чем он информируется путем отправки ему специальной HTML-страницы с сообщением о блокировке. 5. антивирусного ядра, содержимого вирусных баз, базы категорий веб-ресурсов для поддержания высокого уровня надежности защиты от вредоносных программ. 6. проверок и инцидентов, связанных с вредоносным ПО. Ведение журнала обнаруженных угроз. Отправка уведомлений об обнаруженных угрозах по SNMP внешним системам мониторинга и серверу централизованной защиты, если Dr.Web для интернет-шлюзов UNIX работает в режиме централизованной защиты, а также облачному сервису Dr.Web Cloud. 7. (такого как Dr.Web Enterprise Server или в рамках сервиса Dr.Web AV-Desk) для применения на сервере единых политик безопасности, принятых в некоторой сети, в состав которой он входит. Это может быть как сеть некоторого предприятия (корпоративная сеть) или частная сеть VPN, так и сеть, организованная провайдером каких-либо услуг, например, доступа к интернету. |