Ochrana před ransomwarem – důraz na behaviorální analýzu

Aleš Pikora, 29. červen 2016 14:30
Ochrana před ransomwarem – důraz na behaviorální analýzu

Ransomware představuje jednu z nejrychleji rostoucích hrozeb letošního roku. Jednou z příčin popularity ransomwaru je fakt, že tento typ útoků je pro podvodníky poměrně jednoduchý. Ransomware s mírnými modifikacemi zasahuje plošně i mobilní zařízení (i zde se již uchovávají data, za jejichž opětovné zpřístupnění jsou oběti ochotné zaplatit), platformu PC i servery, dokáže narušit provoz nemocnice, obchodního systému i policejní ústředny. Podvodníci logicky vytvořili kolem ransomwaru rozsáhlý ekosystém, kdy kód se mj. pronajímá („jako služba“). Možné řešení této situace nabízí Application Control a Platforma McAfee Global Threat Intelligence Exchange (TIE).

Jak nasadit Application Control

Dodavatelé zabezpečení by na popsané trendy měli reagovat důrazem na behaviorální analýzu. Ransomware funguje na úrovni koncových bodů, vhodnou metodou je proto detekce už na úrovni síťových prvků a samozřejmě propojení bezpečnosti na úrovni sítě a koncových bodů. Vyšší úroveň bezpečnosti lze dosáhnout pomocí tzv. Adaptivní inteligence při vyhledávání hrozeb.

Jedním z takovýchto moderních nástrojů pro ochranu systémů je řešení McAfee Application Control, tzv. využívající právě dynamický whitelisting.

Toto řešení kromě jiného umožňuje měnit právě whitelist, ovšem to může opravdu pouze několik aplikací (ať už přímý zásah do seznamů, nebo úpravy dalších programů). Při instalaci na čistý stroj si Application Control oskenuje současné softwarové vybavení, které v budoucnu povolí spustit, ale nové programy blokuje, a to včetně těch, které jsou zavedeny přímo do paměti pomocí zranitelnosti buffer overflow.

Řešení Application Control stejně tak poskytuje i ochranu paměti RAM, což brání před útoky buffer overflow, ale i jinými hrozbami tohoto typu (memory corruption). Další rovinou, integrovanou s whistelistigem, představuje služba reputace souborů, propojení s technologiemi na bázi sandboxu a desktopovými firewally. Bezpečnostní nástroje Intel Security (McAfee) jsou propojeny s globální reputační platformou McAfee Global Threat Intelligence Exchange na jejímž základě se vytváří dynamické reputační skóre pro adresy URL i soubory – v posledním čtvrtletí roku každý den takto tyto služby analyzovaly 157 milionů URL, 71 milionů potenciálně rizikových programů a 353 milionů infikovaných souborů.

Cloud a hardware

Podle aktuálního průzkumu společnosti Intel Security je zabezpečení poskytované formou cloudu jednou z technologií, do níž firmy chtějí co nejvíce investovat (79 % respondentů z úrovně vedení firem – C-level, preferovanější investice jsou pouze do cloudových technologií IaaS – 81 %).

Současně se vzestupem ransomwaru se svět kybernetických hrozeb vyvíjí i dalšími způsoby. Prognóza McAfee Labs Report 2016 Threats Predictions vychází z toho, že prakticky veškeré síťové interakce bobtnají – roste množství přenesených dat, uživatelů i přenosů přes protokol IP. V roce 2015 podle prognózy McAfee Labs bude přes protokol IP komunikovat téměř 25 miliard zařízení. Nejde však zdaleka jen o internet věcí a budoucnost, už např. současná adopce MS Office 365 ve firemní sféře vytváří další styčný bod (zranitelný „povrch“), kudy mohou přicházet útoky.

McAfee Global Threat Intelligence Exchange (TIE)

Platforma McAfee Global Threat Intelligence Exchange (TIE) představuje oproti jiným dodavatelům podstatnou konkurenční výhodu tím, že pomocí adaptivní bezpečnosti snižuje riziko při spouštění souborů. Zjišťuje reputaci jejich spouštění z různých zdrojů a na základě této reputace umožní spustit nebo zablokovat tuto aplikaci. K distribuci reputací využívá Data eXchange Layer (DLX).

TIE lze využít i pro inventarizaci aplikací a jejich využívání na jednotlivých strojích. Tím, že je propojená s GTI cloud službou umožňuje okamžité reakce na detekované hrozby oproti rychlosti aktualizace DAT. Dalším plusem je i lokální reputace aplikací a souborů, což znamená, že lze eliminovat možnosti detekce interního SW jako virus a možnost definovat „firemní image“ jako prověřený systém. TIE je také napojena na službu Virustotal – využití 57 skenovacích enginů od světových výrobců pro kontrolu spouštěných aplikací.

Jedním z důsledků výše uvedených stavů je potřeba integrovat zabezpečení také přímo do hardwaru. Úroveň aplikací a operačních systémů už zdaleka nepředstavuje jediný vektor hrozeb – je zde i cloud a na druhé straně hardware. Řešení Intel Security na rozdíl od jiných dodavatelů nabízejí i bezpečnost zabudovanou na úrovni procesoru.

Aleš Pikora je ředitelem divize DataGuard společnosti PCS, spol. s r.o.


RSS 

Komentujeme

Lithium není zlato

Pavel Houser , 11. listopad 2017 11:11
Pavel Houser

Hádky o české zásoby lithia v předvolebním období prakticky pomíjely jeden dosti podstatný aspekt. C...

Více







RSS 

Zprávičky

Slovenské soudy zakázaly přístup k více než 30 webům s hazardem

ČTK , 17. listopad 2017 09:00

Podobnou úpravu proti nepovoleným hazardním hrám jako Slovensko uplatňují i další členské země EU....

Více 1 komentářů

Foxconnu klesl čtvrtletní zisk o 39 %

ČTK , 17. listopad 2017 08:00

V důsledku slabého zájmu o iPhone 8 a problémům při výrobě iPhone X akcie společnosti za poslední tř...

Více 0 komentářů

MPSV odstoupilo od zakázky na systém dávek za stovky milionů Kč

ČTK , 16. listopad 2017 17:45

Nový systém pro vyplácení dávek za stovky milionů korun úřady práce příští rok mít nebudou. ...

Více 0 komentářů

Starší zprávičky

Europoslanci schválili větší ochranu při nákupech v e-shopech

ČTK , 16. listopad 2017 09:00

Nedůvěra spotřebitelů k nákupu v zahraničí stále přetrvává....

Více 0 komentářů

Apple ovládl trh s nositelnou elektronikou

ČTK , 16. listopad 2017 08:00

Apple v počtu prodaných kusů dosud zaostával za výrobci levnějších fitness náramků....

Více 0 komentářů

Rok 2018 bude pro kontaktní centra ve znamení automatizace a IoT

Pavel Houser , 15. listopad 2017 11:00

Bosch do svých praček montuje snímače, které odhalí, že se buben otáčí 5 000 otáček za minutu namíst...

Více 0 komentářů

Deloitte: Sdílená ekonomika v ČR má potenciál až 60 miliard Kč

Pavel Houser , 15. listopad 2017 11:00

Sdílená ekonomika představuje pro českou ekonomiku i určité riziko. Její rozmach by mohl omezit popt...

Více 0 komentářů