Глоссарий
Что такое вредоносное ПО? Типы, каналы заражения и базовая защита
Что такое вредоносное ПО, его основные типы (вирус, червь, троян, программа-вымогатель, шпионское ПО, бот), как оно распространяется и общая защита — обновления, EDR, минимум привилегий и резервные копии. Только защита, без шагов атаки.
«Вредоносный софт, который наносит вред вашим устройствам или данным» — этот зонтичный термин и есть вредоносное ПО. Вот основные типы и защита, которая остаётся одной и той же, какой бы тип это ни был (без шагов атаки).
Типы вредоносного ПО (карта)
Названий много, но на деле нужна лишь примерная карта «такие семейства бывают» — потому что, как показано ниже, защита у них общая.
Вирус
Прикрепляется к легитимному файлу и при запуске размножается и распространяется. Сам по себе действовать не может.
Червь
Сам размножается и автоматически распространяется по сети. Взрывообразно расходится через неукреплённые сети.
Троян
Выдаёт себя за полезную, легитимную программу, чтобы проникнуть, а затем действует вредоносно в фоне. Вы устанавливаете его сами.
Программа-вымогатель
Шифрует файлы и требует выкуп. Теперь обычно сопровождается кражей данных — двойное вымогательство (→ отдельная статья).
Шпионское ПО
Незаметно прячется и крадёт нажатия клавиш, учётные данные и историю посещений.
Бот / ботнет
Удалённо управляет заражёнными машинами и сгоняет многие вместе для атак. Команды приходят с C2 (→C2).
На практике одна единица вредоносного ПО нередко носит сразу несколько таких «шляп» (например: проникает как троян, действует как шпионское ПО, чтобы украсть данные, и в конце сбрасывает программу-вымогателя). Именно поэтому полезнее укрепить защиту входа / обнаружения / восстановления, чем тратить время на вопрос «а какой это тип?».
Основные каналы заражения (знай вход)
Вредоносное ПО не появляется по волшебству; оно входит через предсказуемый набор дверей. Здесь только высокоуровневые каналы (без конкретных приёмов).
В каждом случае вход — это брешь в людях и процессах: что-то беспечно открыли, оставили ПО устаревшим, не проверили, откуда оно взялось. Обратная сторона: защита ниже закрывает большую их часть.
Защита (тип разный, работа одна)
Отдельного противодействия под каждый тип не нужно. Сложите три слоя, которые работают против вредоносного ПО в целом.
Закройте вход: обновления, подозрительные файлы, MFA
Регулярно обновляйте ОС и ПО, чтобы известные дыры не оставались открытыми. Не открывайте неожиданные вложения, макросы или ссылки. Защитите ключевые аккаунты многофакторной аутентификацией (MFA), чтобы украденные учётные данные не означали мгновенную компрометацию (→ как выбрать MFA).
Добавьте слой обнаружения: антивирус / EDR
Блокируйте известные угрозы антивирусом (включая встроенный в вашу ОС), а где нужно больше — используйте EDR, чтобы следить за поведением и ловить в том числе неизвестное вредоносное ПО (→ что такое EDR). Но обнаружение не идеально — никогда не полагайтесь только на него.
Ограничьте радиус поражения: минимум привилегий
Не выполняйте повседневную работу с правами администратора. Если держать привилегии на минимуме, то даже когда что-то всё же выполнится, оно не сможет широко распространиться — одно устройство или один аккаунт не обрушит всё.
Суметь восстановиться: резервные копии
Последний рубеж — резервная копия. Особенно против программ-вымогателей решающими становятся офлайн / неизменяемая копия плюс регулярные тесты восстановления (→ основы резервного копирования и восстановления).
Традиционный антивирус (сопоставление известного)
- обнаруживает, сопоставляя «отпечаток» известного вредоносного ПО (сигнатуру)
- лёгкий и эффективный против широко распространённых угроз
- склонен пропускать неизвестные / только что созданные варианты
- часто ошибочно принимают за «поставил — и ты в безопасности»
EDR (наблюдение за поведением)
- обнаруживает по подозрительному поведению (странное шифрование, обращения наружу), а не по имени файла
- замечает неизвестные атаки и «злоупотребление легитимными инструментами»
- оставляет запись, по которой можно расследовать и сдержать после заражения
- всё же не заменяет вход (обновления) и восстановление (резервные копии)
Взгляд нашего сайта: заучивание типов — не стратегия защиты
Атакующие постоянно меняют названия и облик. Погоня за «названием вредоноса этого месяца» не сделает вашу защиту сильнее. Универсально работает структура из трёх слоёв — вход, обнаружение, восстановление. Наш сайт применяет тот же принцип к себе: мы держим зависимости обновлёнными, чтобы закрыть вход, машинно мониторим CVE, чтобы обнаруживать, и держим конфигурацию воспроизводимой, чтобы восстановиться. Защита от вредоносного ПО не особенная — это продолжение этих основ.
Слепое пятно: «у меня есть антивирус, значит всё нормально» — неправда
Самая частая ошибка — относиться к одному инструменту обнаружения как к талисману. Обнаружение всегда пропускает некоторую долю, и в тот момент, когда оно пробито, ваша защита падает до нуля. Сильно другое — многослойность: срезать объём на входе (не открывать, обновлять), поймать оставшееся обнаружением (антивирус / EDR) и нейтрализовать то, что всё же проскользнуло, восстановлением (резервные копии). Не опираться ни на один отдельный слой — вот с чего начинается защита от вредоносного ПО.
Читать дальше
- Глоссарий: что такое программа-вымогатель (самый разрушительный тип — двойное вымогательство) · что такое C2 (командно-контрольный сервер) (как управляют ботами)
- Глоссарий: что такое EDR (обнаружение неизвестного по поведению) · что такое IOC (следы заражения)
- Обучение: основы резервного копирования и восстановления (суметь восстановиться — последний рубеж) · чек-лист базовой безопасности (фундамент для входа, обнаружения, восстановления)
FAQ
QВ чём разница между вредоносным ПО и вирусом?
Вирус — это один из типов вредоносного ПО. Вредоносное ПО — это общий термин для всего «вредоносного софта», и он включает вирусы, черви, трояны, программы-вымогатели, шпионское ПО и боты. В обиходе всё подряд называют «вирусом», но строго говоря вирус — это конкретный тип, который копирует себя, прикрепляясь к другим файлам, а вредоносное ПО — это большой зонтичный термин, накрывающий их всех.
QДостаточно ли бесплатного антивируса?
Для личных базовых нужд встроенная защита, которая идёт с вашей ОС (например, Microsoft Defender в Windows), плюс регулярные обновления, резервные копии и минимум привилегий уже покрывают многое. Но антивирус в основном сопоставляет «известное плохое», поэтому новое или хитрое вредоносное ПО может проскользнуть. Там, где нужна более сильная защита, EDR дополняет его, наблюдая за поведением и ловя неизвестные атаки. В любом случае не полагайтесь только на обнаружение — сочетайте его с входом (обновления, не открывать подозрительные файлы) и восстановлением (резервные копии).
QКажется, я заражён. Что делать?
Сначала — не платите в панике. Порядок такой: (1) отключите это устройство от сети, чтобы остановить распространение и обращения наружу, (2) с отдельного, безопасного устройства смените пароли почты, банка и ключевых аккаунтов и включите многофакторную аутентификацию, (3) восстановитесь из чистой резервной копии или сбросьте устройство, чтобы вернуться к заведомо исправному состоянию, и (4) отрежьте вход, на который подозреваете (открытое вложение, установленное приложение, вставленный USB). Для устройства с важными данными подумайте о привлечении специалиста.