Допустим, мой VPS работает только с IIS и Sql Server, и ничего больше. Нужна ли мне антивирусная программа? другими словами, возможно ли поймать вирус, не просматривая Интернет, и устанавливать случайные файлы?
2 ответа
2
Ценность антивирусного программного обеспечения спорна. Некоторые люди говорят, что не нужно никаких программ для защиты от вредоносных программ.
Вот одно совсем другое представление: для виртуального частного сервера (также известного как виртуальная машина) может потребоваться запуск еще большего количества программного обеспечения для защиты от вредоносных программ: запуск программного обеспечения для защиты от вредоносных программ на виртуальной машине, а также на компьютере, который работает программное обеспечение "виртуальной машины".
Нет никаких гарантий, что IIS не содержит ошибок. (На самом деле, многие версии IIS были особенно глючными, даже больше, чем конкурирующие решения.) Весьма правдоподобно, что антивирусное программное обеспечение может заметить результаты сетевой атаки, использующей слабость, встроенную в IIS. Поэтому установка антивирусного программного обеспечения может показаться разумной.
Теперь, установит ли антивирусное программное обеспечение вашу защиту? Не 100%. Микко Хиппонен (Mikko Hypponen), «Почему антивирусные компании, такие как моя, не смогли поймать Flame и Stuxnet», говорит:«Это означает, что все мы пропустили обнаружение этой вредоносной программы в течение двух или более лет. Это впечатляющий провал для нашей компании и для антивирусной индустрии в целом. "..." Правда в том, что антивирусные продукты потребительского уровня не могут защитить от целевого вредоносного ПО, созданного государствами с хорошими ресурсами и огромным бюджетом ".
Таким образом, установка антивирусного программного обеспечения не является определенным способом полной защиты от любой возможной атаки. Тем не менее, он часто помогает против многих атак и считается разумным вариантом действий. Так же устанавливается и другая защита, например сетевой брандмауэр. Иногда некоторые из этих защит могут перекрываться. Некоторые люди могут сказать, что некоторые из защит не нужны. Существует множество мнений, даже среди профессионалов отрасли и других, которые многие считают экспертами. Так что вам нужно принять разумное, разумное решение, а не один ответ.
С учетом всего сказанного позвольте мне дать простой, прямой ответ на один из ваших вопросов. Если вы просматриваете Интернет и устанавливаете что-либо, это один из способов, которым злоумышленник может получить контроль над компьютером. Есть и другие способы. Итак, чтобы ответить на ваш вопрос одним словом:
«Другими словами, возможно ли поймать вирус, не просматривая Интернет, и устанавливать случайные файлы?"Да.
1
@ TOOGAM отлично подходит для общего использования систем VPS, в частности, но для более общего / традиционного подхода к проблемам безопасности сервера я расскажу об этом здесь.
Короткий ответ: да, как правило, любая ОС Windows должна быть оснащена платформой защиты от вредоносных программ. Если вы не используете полностью урезанную, тщательно контролируемую систему без графического интерфейса в корпоративной среде, слишком большая площадь поверхности. Все это теперь возможно с более новыми серверами Windows (не пытаясь ослабить MS), но не является распространенным для развертываний VPS.
Вы правы в том, что серверы сталкиваются с другим набором векторов атак, чем рабочие станции конечных пользователей (которые в основном являются "пассивными" троянами), но различия на самом деле делают это хуже, чем лучше, потому что серверные атаки "активны", управляемые противник, и непостоянны в том, что незаконный оператор, возможно, не делает ничего обнаружимого.
Взлом сервера, как правило, будет следовать одному из нескольких потоков в зависимости от степени таргетинга, доступной автоматизации и используемых систем. Хотя, в отличие от рабочих станций, это повсеместно связано с атакующим сервисным программным обеспечением.
Системы удаленного администрирования (RAS), такие как SSH, telnet, VNC. RemoteDesktop и т.д. Являются привлекательной целью. После идентификации злоумышленник попытается использовать эксплойты против этого конкретного RAS и получит некоторую степень доступа. Затем они будут использовать второй набор атак Эскалация привилегий в попытке получить беспрепятственный доступ к системе. Эти атаки могут быть автоматизированы, так что они могут масштабироваться в значительной степени.
Более тревожными являются атаки на приложения (демон) и атаки на приложения. Любой сервис, доступный внешнему миру, представляет собой уязвимую поверхность, пытающуюся использовать недостатки в стеке сервисов или его конфигурации. Сервис - это, по сути, средство для удаленного пользователя отправлять команды и ввод на ваш сервер и требовать от него принятия мер в ответ, поэтому реальность такова, что почти любой демон имеет уязвимость, которую можно использовать.
Приложения, стоящие на вершине стека сервисов, являются наиболее распространенной поверхностью атаки. Атаки на веб-сервисы, такие как SQL-инъекция, CSRF, эксплойты Pathing и т.д. (По сути, можно использовать любой механизм ввода, включая файлы cookie, URL-адреса, элементы управления вводом и т.д.), Часто используются для получения доступа к базовому сервису и, в конечном итоге, к ОС сервера. сам.
Итак, теперь, когда мы рассмотрели ландшафт угроз, системы защиты от вредоносных программ могут помочь предотвратить или смягчить атаки несколькими способами. В частности, для серверов особенно важны включение брандмауэров с поддержкой приложений, системы обнаружения / предотвращения вторжений (IDPS) и обнаружения уязвимостей системы (VDS).
Брандмауэры приложений и системы обнаружения вторжений специализируются на мониторинге пороговых значений событий и часто имеют представление о службе, которую они защищают, и, таким образом, могут предоставлять расширенные обнаружения и ответы на ввод, который является вредоносным для рассматриваемой службы, но в противном случае может показаться безвредным. , Например, общая утилита Fail2Ban работает с IPTables и обнаруживает неудачные попытки входа в такие службы, как SSH. Он может быть настроен так, что если пользователю не удается войти в систему 3 раза в течение определенного периода времени, его IP-адрес будет полностью заблокирован и позднее разблокирован автоматически (при желании). Это позволяет специфичному для приложения событию инициировать общесистемный ответ для защиты от всех дальнейших атак этого пользователя.
Детекторы уязвимостей системы используют базы данных угроз / уязвимостей / версий программного обеспечения для обнаружения уязвимого программного обеспечения и помогают пользователю в устранении проблемы. Они также могут обнаруживать небезопасные конфигурации и рекомендовать решения для защиты уязвимости.
Традиционная сигнатура файла / процесса / памяти и эвристические обнаружения также имеют свое место в общей схеме вещей. Они могут обнаруживать программное обеспечение для джейлбрейка, используемое для эскалации служб по мере его загрузки или компиляции, обнаруживать незаконные наборы RAS / Root и конфигурации, добавленные злоумышленниками с частичным доступом, и защищать от вредоносного ПО.
Современные серверные платформы защиты от вредоносных программ в разной степени реализуют подобные компоненты. В Linux вы, как правило, используете свои собственные компоненты, внедряя компоненты, необходимые для предоставляемых вами услуг (если вы используете SSH, установите fail2ban). Для Windows или других систем, которые могут запускать несколько служб, наборы инструментов пытаются обеспечить комплексную защиту.
Итак, в целом, различные рабочие процессы требуют как традиционных, так и нетрадиционных методов защиты в сочетании для защиты систем.