8 Các biện pháp hỗ trợ
8.7Bảo vệ chống lại mã độc
Các mã độc (virus, sâu máy tính, Trojan, phần mềm gián điệp,… thường được gọi chung là “phần mềm độc hại”) có thể được đưa ra thông qua các kết nối mạng. Mã độc có thể làm cho một máy tính thực hiện các chức năng trái phép (như tấn công một mục tiêu cho trước bằng các bản tin vào ngày và thời gian nhất định), hoặc thực chất là phá hoại các tài nguyên thiết yếu (như xoá các tệp) ngay khi chúng được tái tạo để cố gắng tìm kiếm các máy chủ có điểm yếu khác. Mã độc có thể không bị phát hiện cho đến khi các phá hoại được hoàn thành trừ khi các biện pháp thích hợp được triển khai. Mã độc có thể dẫn đến việc gây hại cho các biện pháp an toàn (ví dụ như chiếm đoạt hoặc làm lộ các mật khẩu), vô tình tiết lộ thông tin, vô tình thay đổi thông tin, phá hủy thông tin, và/hoặc sử dụng bất hợp pháp các tài nguyên của hệ thống.
Một vài dạng mã độc phải được phát hiện và loại bỏ bằng các phần mềm quét chuyên dụng. Các phần mềm quét này thường sẵn có trong các tường lửa, các máy chủ dữ liệu, máy chủ tin nhắn, và các máy tính cá nhân/trạm làm việc cho một số loại mã độc. Hơn nữa, để cho phép phát hiện
các mã độc mới thì một điều rất quan trọng là phải chắc chắn rằng phần mềm quét luôn được cập nhật, tốt nhất là được cập nhật hàng ngày. Tuy nhiên, những người sử dụng và những nhà quản trị mạng phải nhận thức được rằng các phần mềm quét có thể không tin cậy khi phát hiện tất cả các mã độc (hoặc thậm chí tất cả các mã độc của một dạng đặc thù) bởi vì các dạng mới của mã độc liên tục tăng lên. Nói chung, các hình thức kiểm soát khác là cần thiết để gia tăng sự bảo vệ được cung cấp bởi các phần mềm quét (khi chúng tồn tại).
Nói một cách tổng quan, công việc của phần mềm chống mã độc là quét toàn bộ các dữ liệu và chương trình để xác định những mẫu nghi ngờ có liên quan đến phần mềm mã độc. Nhóm mẫu mà được quét được biết đến như các chữ kí, và phải được cập nhật thường xuyên theo những khoảng thời gian nhất định, hoặc bất cứ khi nào mà các chữ kí mới trở nên sẵn sàng cho các cảnh báo về phần mềm độc hại có độ rủi ro cao. Trong trường hợp truy cập từ xa, phần mềm chống mã độc phải được chạy trên các hệ thống từ xa và trên các máy chủ của hệ thống trung tâm – đặc biệt là các máy chủ dùng hệ điều hành Windows và máy chủ thư điện tử.
Những người sử dụng và những nhà quản trị mạng phải nhận thức được rằng, có những rủi ro lớn hơn thông thường liên quan đến các phần mềm độc hại khi liên hệ với các đối tác bên ngoài thông qua các đường kết nối ngoài. Các chỉ dẫn cho những người sử dụng và những nhà quản trị mạng phải được phát triển để vạch ra các thủ tục và thực hành nhằm hạn chế khả năng phát tán mã độc.
Những người sử dụng và những nhà quản trị mạng phải đặc biệt quan tâm đến cấu hình các hệ thống và những ứng dụng liên quan tới các kết nối mạng đối với những chức năng không có khả năng hoạt động mà không cần thiết trong những trường hợp như những ứng dụng của PC có thể được cấu hình sao cho các macrô không được phép để mặc định, hoặc yêu cầu người sử dụng xác nhận trước khi thực hiện macrô.
Các nội dung chi tiết hơn về bảo vệ mã độc được cung cấp trong TCVN ISO/IEC 27002:2011 và ISO/IEC 27005.
CHÚ THÍCH: ISO/IEC 11889 mô tả công nghệ mà được triển khai rộng rãi trong các hệ thống khách hàng và máy chủ có thể được sử dụng cho việc phát hiện và cô lập mã độc hoặc các nguồn gôc không rõ ràng.