Ochrana před ransomwarem – důraz na behaviorální analýzu

Aleš Pikora, 29. červen 2016 14:30
Ochrana před ransomwarem – důraz na behaviorální analýzu

Ransomware představuje jednu z nejrychleji rostoucích hrozeb letošního roku. Jednou z příčin popularity ransomwaru je fakt, že tento typ útoků je pro podvodníky poměrně jednoduchý. Ransomware s mírnými modifikacemi zasahuje plošně i mobilní zařízení (i zde se již uchovávají data, za jejichž opětovné zpřístupnění jsou oběti ochotné zaplatit), platformu PC i servery, dokáže narušit provoz nemocnice, obchodního systému i policejní ústředny. Podvodníci logicky vytvořili kolem ransomwaru rozsáhlý ekosystém, kdy kód se mj. pronajímá („jako služba“). Možné řešení této situace nabízí Application Control a Platforma McAfee Global Threat Intelligence Exchange (TIE).

Jak nasadit Application Control

Dodavatelé zabezpečení by na popsané trendy měli reagovat důrazem na behaviorální analýzu. Ransomware funguje na úrovni koncových bodů, vhodnou metodou je proto detekce už na úrovni síťových prvků a samozřejmě propojení bezpečnosti na úrovni sítě a koncových bodů. Vyšší úroveň bezpečnosti lze dosáhnout pomocí tzv. Adaptivní inteligence při vyhledávání hrozeb.

Jedním z takovýchto moderních nástrojů pro ochranu systémů je řešení McAfee Application Control, tzv. využívající právě dynamický whitelisting.

Toto řešení kromě jiného umožňuje měnit právě whitelist, ovšem to může opravdu pouze několik aplikací (ať už přímý zásah do seznamů, nebo úpravy dalších programů). Při instalaci na čistý stroj si Application Control oskenuje současné softwarové vybavení, které v budoucnu povolí spustit, ale nové programy blokuje, a to včetně těch, které jsou zavedeny přímo do paměti pomocí zranitelnosti buffer overflow.

Řešení Application Control stejně tak poskytuje i ochranu paměti RAM, což brání před útoky buffer overflow, ale i jinými hrozbami tohoto typu (memory corruption). Další rovinou, integrovanou s whistelistigem, představuje služba reputace souborů, propojení s technologiemi na bázi sandboxu a desktopovými firewally. Bezpečnostní nástroje Intel Security (McAfee) jsou propojeny s globální reputační platformou McAfee Global Threat Intelligence Exchange na jejímž základě se vytváří dynamické reputační skóre pro adresy URL i soubory – v posledním čtvrtletí roku každý den takto tyto služby analyzovaly 157 milionů URL, 71 milionů potenciálně rizikových programů a 353 milionů infikovaných souborů.

Cloud a hardware

Podle aktuálního průzkumu společnosti Intel Security je zabezpečení poskytované formou cloudu jednou z technologií, do níž firmy chtějí co nejvíce investovat (79 % respondentů z úrovně vedení firem – C-level, preferovanější investice jsou pouze do cloudových technologií IaaS – 81 %).

Současně se vzestupem ransomwaru se svět kybernetických hrozeb vyvíjí i dalšími způsoby. Prognóza McAfee Labs Report 2016 Threats Predictions vychází z toho, že prakticky veškeré síťové interakce bobtnají – roste množství přenesených dat, uživatelů i přenosů přes protokol IP. V roce 2015 podle prognózy McAfee Labs bude přes protokol IP komunikovat téměř 25 miliard zařízení. Nejde však zdaleka jen o internet věcí a budoucnost, už např. současná adopce MS Office 365 ve firemní sféře vytváří další styčný bod (zranitelný „povrch“), kudy mohou přicházet útoky.

McAfee Global Threat Intelligence Exchange (TIE)

Platforma McAfee Global Threat Intelligence Exchange (TIE) představuje oproti jiným dodavatelům podstatnou konkurenční výhodu tím, že pomocí adaptivní bezpečnosti snižuje riziko při spouštění souborů. Zjišťuje reputaci jejich spouštění z různých zdrojů a na základě této reputace umožní spustit nebo zablokovat tuto aplikaci. K distribuci reputací využívá Data eXchange Layer (DLX).

TIE lze využít i pro inventarizaci aplikací a jejich využívání na jednotlivých strojích. Tím, že je propojená s GTI cloud službou umožňuje okamžité reakce na detekované hrozby oproti rychlosti aktualizace DAT. Dalším plusem je i lokální reputace aplikací a souborů, což znamená, že lze eliminovat možnosti detekce interního SW jako virus a možnost definovat „firemní image“ jako prověřený systém. TIE je také napojena na službu Virustotal – využití 57 skenovacích enginů od světových výrobců pro kontrolu spouštěných aplikací.

Jedním z důsledků výše uvedených stavů je potřeba integrovat zabezpečení také přímo do hardwaru. Úroveň aplikací a operačních systémů už zdaleka nepředstavuje jediný vektor hrozeb – je zde i cloud a na druhé straně hardware. Řešení Intel Security na rozdíl od jiných dodavatelů nabízejí i bezpečnost zabudovanou na úrovni procesoru.

Aleš Pikora je ředitelem divize DataGuard společnosti PCS, spol. s r.o.



RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

Starší zprávičky

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů