Ochrana před ransomwarem – důraz na behaviorální analýzu

Aleš Pikora, 29. červen 2016 14:30
Ochrana před ransomwarem – důraz na behaviorální analýzu

Ransomware představuje jednu z nejrychleji rostoucích hrozeb letošního roku. Jednou z příčin popularity ransomwaru je fakt, že tento typ útoků je pro podvodníky poměrně jednoduchý. Ransomware s mírnými modifikacemi zasahuje plošně i mobilní zařízení (i zde se již uchovávají data, za jejichž opětovné zpřístupnění jsou oběti ochotné zaplatit), platformu PC i servery, dokáže narušit provoz nemocnice, obchodního systému i policejní ústředny. Podvodníci logicky vytvořili kolem ransomwaru rozsáhlý ekosystém, kdy kód se mj. pronajímá („jako služba“). Možné řešení této situace nabízí Application Control a Platforma McAfee Global Threat Intelligence Exchange (TIE).

Jak nasadit Application Control

Dodavatelé zabezpečení by na popsané trendy měli reagovat důrazem na behaviorální analýzu. Ransomware funguje na úrovni koncových bodů, vhodnou metodou je proto detekce už na úrovni síťových prvků a samozřejmě propojení bezpečnosti na úrovni sítě a koncových bodů. Vyšší úroveň bezpečnosti lze dosáhnout pomocí tzv. Adaptivní inteligence při vyhledávání hrozeb.

Jedním z takovýchto moderních nástrojů pro ochranu systémů je řešení McAfee Application Control, tzv. využívající právě dynamický whitelisting.

Toto řešení kromě jiného umožňuje měnit právě whitelist, ovšem to může opravdu pouze několik aplikací (ať už přímý zásah do seznamů, nebo úpravy dalších programů). Při instalaci na čistý stroj si Application Control oskenuje současné softwarové vybavení, které v budoucnu povolí spustit, ale nové programy blokuje, a to včetně těch, které jsou zavedeny přímo do paměti pomocí zranitelnosti buffer overflow.

Řešení Application Control stejně tak poskytuje i ochranu paměti RAM, což brání před útoky buffer overflow, ale i jinými hrozbami tohoto typu (memory corruption). Další rovinou, integrovanou s whistelistigem, představuje služba reputace souborů, propojení s technologiemi na bázi sandboxu a desktopovými firewally. Bezpečnostní nástroje Intel Security (McAfee) jsou propojeny s globální reputační platformou McAfee Global Threat Intelligence Exchange na jejímž základě se vytváří dynamické reputační skóre pro adresy URL i soubory – v posledním čtvrtletí roku každý den takto tyto služby analyzovaly 157 milionů URL, 71 milionů potenciálně rizikových programů a 353 milionů infikovaných souborů.

Cloud a hardware

Podle aktuálního průzkumu společnosti Intel Security je zabezpečení poskytované formou cloudu jednou z technologií, do níž firmy chtějí co nejvíce investovat (79 % respondentů z úrovně vedení firem – C-level, preferovanější investice jsou pouze do cloudových technologií IaaS – 81 %).

Současně se vzestupem ransomwaru se svět kybernetických hrozeb vyvíjí i dalšími způsoby. Prognóza McAfee Labs Report 2016 Threats Predictions vychází z toho, že prakticky veškeré síťové interakce bobtnají – roste množství přenesených dat, uživatelů i přenosů přes protokol IP. V roce 2015 podle prognózy McAfee Labs bude přes protokol IP komunikovat téměř 25 miliard zařízení. Nejde však zdaleka jen o internet věcí a budoucnost, už např. současná adopce MS Office 365 ve firemní sféře vytváří další styčný bod (zranitelný „povrch“), kudy mohou přicházet útoky.

McAfee Global Threat Intelligence Exchange (TIE)

Platforma McAfee Global Threat Intelligence Exchange (TIE) představuje oproti jiným dodavatelům podstatnou konkurenční výhodu tím, že pomocí adaptivní bezpečnosti snižuje riziko při spouštění souborů. Zjišťuje reputaci jejich spouštění z různých zdrojů a na základě této reputace umožní spustit nebo zablokovat tuto aplikaci. K distribuci reputací využívá Data eXchange Layer (DLX).

TIE lze využít i pro inventarizaci aplikací a jejich využívání na jednotlivých strojích. Tím, že je propojená s GTI cloud službou umožňuje okamžité reakce na detekované hrozby oproti rychlosti aktualizace DAT. Dalším plusem je i lokální reputace aplikací a souborů, což znamená, že lze eliminovat možnosti detekce interního SW jako virus a možnost definovat „firemní image“ jako prověřený systém. TIE je také napojena na službu Virustotal – využití 57 skenovacích enginů od světových výrobců pro kontrolu spouštěných aplikací.

Jedním z důsledků výše uvedených stavů je potřeba integrovat zabezpečení také přímo do hardwaru. Úroveň aplikací a operačních systémů už zdaleka nepředstavuje jediný vektor hrozeb – je zde i cloud a na druhé straně hardware. Řešení Intel Security na rozdíl od jiných dodavatelů nabízejí i bezpečnost zabudovanou na úrovni procesoru.

Aleš Pikora je ředitelem divize DataGuard společnosti PCS, spol. s r.o.


RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více







Kalendář

18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
30. 01. Ecommerce Expo Prague 2018

RSS 

Zprávičky

Bitcoin ztrácí 18 %, dolů ho tlačí obavy z regulace

ČTK , 16. leden 2018 12:18

Trhy se obávají regulace obchodů po oznámení jihokorejského ministra financí....

Více 0 komentářů

Světový trh s polovodiči poroste letos výrazně rychleji

Pavel Houser , 16. leden 2018 10:26

Očekávaný růst souvisí zejména s růstem cen RAM a flash pamětí. Bezpečností slabiny procesorů mohou ...

Více 0 komentářů

Výrobce chytrých telefonů Xiaomi vstupuje na burzu

ČTK , 16. leden 2018 09:00

Někteří analytici hodnotu 100 miliard zpochybňují s argumentem vysoké konkurence na globálním trhu c...

Více 0 komentářů

Starší zprávičky

Internetové bankovnictví používá polovina Evropanů

ČTK , 16. leden 2018 08:00

Česká republika obsadila mezi 28 zeměmi EU spolu s Rakouskem 12. příčku s podílem 57 %....

Více 0 komentářů

Acronis: letos bude ransomware útočit i na IoT zařízení

Pavel Houser , 15. leden 2018 12:28

Ohrožena budou i auta, chytré domácnosti, lékařské přístroje a nositelná elektronika (ransomwear)....

Více 0 komentářů

SoftBank plánuje prodej akcií divize pro mobilní telefony

ČTK , 15. leden 2018 12:18

Prodej akcií divize SoftBank by se mohl stát jednou z největších primárních emisí v Japonsku....

Více 0 komentářů

Vláda projedná novelu zákona o EET do konce února

ČTK , 15. leden 2018 08:00

Ministryně se chce příští týden setkat se zástupci podnikatelských svazů a komor a prodiskutovat s n...

Více 0 komentářů