Как работают веб-антивирусы
4,5 мин.
Некоторое время назад вышла статья о вирусном заражении сайтов, в которой рассмотрели основные пути и способы заражения интернет-ресурсов. Логичным шагом далее становится рассказ о средствах противодействия кибератакам.
Ситуация с заражением
Количество удавшихся вирусных атак на интернет-ресурсы возросло, начиная с 2020 года. Со времени начала пандемии значительная часть бизнеса переориентировалась в сторону сети Интернет. Не имея вариантов продавать продукты (товары или услуги) онлайн, компании создавали сайты, поддерживая бизнес.
Переход резкий, интернет-ресурсы запускали зачастую в сжатые сроки, поэтому страдал вопрос безопасности. По итогу на конец 2020 года компания SIteLock сообщила, что заражен в среднем каждый сотый интернет-ресурс. За 2021 год показатель вырос на 15% и начал плавно снижаться.
Не трудно догадаться, что вопрос безопасности вышел на первый план. Причем следить за этим стали не только со стороны интернет-ресурсов, но и на глобальном уровне для браузеров и поисковых систем. У браузера каждой компании в наличии встроенный антивирус-модуль, который отсекает явные угрозы, отмечая сайты, которые негативно отличились. Яндекс и Google также помечают подозрительные или опасные интернет-ресурсы и оповещают об этом посетителей.
Несмотря на эти меры, компания SiteLock утверждает, что так отсекают около 10% зараженных ресурсов. Остальные в свободном доступе и по-прежнему опасны.
Точки приложения
Со стороны интернет-ресурсов применяют антивирусные механизмы, аналогичные тем, что используют для персональных компьютеров. Разница в том, что привычный антивирус устанавливают на устройстве пользователя, а веб-антивирус — на сервере.
Каждый проверенный веб-антивирус работает против следующих типов угроз:
- внедрение вирусного кода на интернет-ресурс;
- предотвращение XSS-атак;
- исключение LFI-угроз;
- обнаружение червей и троянов;
- обнаружение и противодействие Keyloggers и Rootkits;
- выявление вредоносных Spyware и проч.
Антивирусных программ в наличии набор, но принципы работы одинаковые. Рекомендуем выбирать то программное обеспечение (ПО), с которым работает хостинг-провайдер, потому что это обеспечивает оптимальную работу в текущих условиях.
Принцип работы большинства антивирусных программ базируется на ряде последовательных проверок.
Проверка стандартных кодов
Вирусные программы подразделяют на стандартные и полиморфные.
Стандартные вирусы содержат стандартные части кода, которые как раз отслеживают и выявляют. У известных веб-антивирусов в наличии собственные базы вирусов, где обозначены характерные участки, которые поддаются обнаружению.
В полиморфных вирусах типичные части отсутствуют. Каждый вирус уникален и не поддается выделению характерных элементов. Тем не менее если вирус выявлен, то информация заносится в базу для облегчения последующего обнаружения.
Эвристический анализ
Параллельно с поиском кодов из базы вирусов антивирусная программа выполняет анализ протекающих процессов. Ведь хоть и кажется, что вирусов нет, но по протекающим действиям делают вывод о потенциальной опасности тех или иных процессов. Текущий механизм выявляет негативные для сайта операции и позволяет быстрее выявлять полиморфные вирусы.
Механизм работы
Антивирус, установленный для интернет-ресурса, начинает работу сразу после окончания установки. Проверка проводится последовательно по опциям.
Поиск вредоносного кода
В зависимости от настроек веб-антивирус сканирует интернет-ресурс на предмет вредоносных кодов регулярно. В зависимости от типа защитной программы, частоты обновления информации и степени угрозы, период сканирования от 1 раза в 6 часов до 1 раза в 24 часа. Проводить проверку реже раза в сутки в условиях развития вирусного ПО бессмысленно.
Работа антивирусной программы влияет на быстродействие интернет-ресурса. Поэтому учитывайте это при планировании регулярных запусков сканирования сайта. Рекомендуем выполнять в часы, которые характеризуются минимальной активностью целевой аудитории.
Лечение и удаление
После того как вредоносный или сомнительный код обнаружен, программа выполняет заложенные действия по устранению. Доступны следующие варианты:
- Лечение.
Удаление непосредственно элементов вредоносного кода вируса. - Удаление.
Удаление как вредоносного вирусного кода, так и связанной информации. В отдельных случаях уничтожают пораженные файлы полностью для недопущения распространения. Если это значимые элементы, то требуется последующее восстановление из бекапов.
Если зараженный файл удален с последующим восстановлением, то качественный антивирус поместит его в исключение, чтобы отсечь двойную проверку и не замедлять лишний раз работу сайта.
Заметим, что процедуры лечения и удаления выполняют как автоматически, так и вручную в зависимости от заданных настроек и сложности ситуации.
В ручном режиме антивирус подчиняет действия администратору. Каждый опасный момент выводится в специализированный отчет, который человек изучает и принимает последовательно решения. Этот механизм предпочтителен для интернет-ресурсов, у которых в наличии значительное количество кастомного нестандартного кода, который программа воспринимает как вредоносный.
В автоматическом режиме процесс избавления от заражения протекает быстрее, но в наличии опасность удаления системной информации как незнакомой антивирусу, а поэтому считаемой вредной.
Проверка статуса
Помимо работы на самом интернет-ресурсе веб-антивирус автоматически регулярно просматривает базы Яндекса и Google для определения статуса сайта. Если сайт попал в черные списки поисковиков, то антивирус оповестит об этом администратора для принятия соответствующих мер по очистке или восстановлению «доброго имени».
Черный список Яндекса и Google — это не только оповещение пользователей об опасности интернет-ресурса и, как следствие, потеря новых клиентов. Это еще и спад поисковых позиций и урон для репутации. Поэтому действия требуются незамедлительные.
Web App Firewall
Если интернет-ресурс написан на стандартной CMS без использования кастомных элементов, то у антивируса появляется вариант отслеживания поступающего и исходящего трафика для интернет-ресурса. Это позволяет в короткие сроки выявлять кибератаки и быстро обнаруживать работу вирусного кода.
Этот механизм позволяет быстро блокировать вредоносные действия и разворачивать механизмы противодействия. Ведь чем раньше процесс начат, тем меньше потери для сайта и репутации.
Резюме
Использование веб-антивируса на сервере для интернет-ресурсов — прямая необходимость. Это способ предотвратить атаки злоумышленников и свести технические и репутационные потери к минимуму.
Главное: сотрудничайте с проверенными поставщиками хостинг-услуг, которые предоставляют проверенные антивирус-программы. Не закачивайте на сайт сомнительное ПО, плагины и не увлекайтесь кастомными доработками или бесплатными решениями для CMS. Чем сложнее система и дальше от стандартных механизмов, тем больше точек проникновения вредоносного ПО в обход защитных программ.
Интернет-агентство U-sl+Мирмекс работает только с проверенными компаниями и ПО. Мы поможем в обеспечении безопасности вашего интернет-ресурса!