Ochrana před ransomwarem – důraz na behaviorální analýzu

Aleš Pikora, 29. červen 2016 14:30
Ochrana před ransomwarem – důraz na behaviorální analýzu

Ransomware představuje jednu z nejrychleji rostoucích hrozeb letošního roku. Jednou z příčin popularity ransomwaru je fakt, že tento typ útoků je pro podvodníky poměrně jednoduchý. Ransomware s mírnými modifikacemi zasahuje plošně i mobilní zařízení (i zde se již uchovávají data, za jejichž opětovné zpřístupnění jsou oběti ochotné zaplatit), platformu PC i servery, dokáže narušit provoz nemocnice, obchodního systému i policejní ústředny. Podvodníci logicky vytvořili kolem ransomwaru rozsáhlý ekosystém, kdy kód se mj. pronajímá („jako služba“). Možné řešení této situace nabízí Application Control a Platforma McAfee Global Threat Intelligence Exchange (TIE).

Jak nasadit Application Control

Dodavatelé zabezpečení by na popsané trendy měli reagovat důrazem na behaviorální analýzu. Ransomware funguje na úrovni koncových bodů, vhodnou metodou je proto detekce už na úrovni síťových prvků a samozřejmě propojení bezpečnosti na úrovni sítě a koncových bodů. Vyšší úroveň bezpečnosti lze dosáhnout pomocí tzv. Adaptivní inteligence při vyhledávání hrozeb.

Jedním z takovýchto moderních nástrojů pro ochranu systémů je řešení McAfee Application Control, tzv. využívající právě dynamický whitelisting.

Toto řešení kromě jiného umožňuje měnit právě whitelist, ovšem to může opravdu pouze několik aplikací (ať už přímý zásah do seznamů, nebo úpravy dalších programů). Při instalaci na čistý stroj si Application Control oskenuje současné softwarové vybavení, které v budoucnu povolí spustit, ale nové programy blokuje, a to včetně těch, které jsou zavedeny přímo do paměti pomocí zranitelnosti buffer overflow.

Řešení Application Control stejně tak poskytuje i ochranu paměti RAM, což brání před útoky buffer overflow, ale i jinými hrozbami tohoto typu (memory corruption). Další rovinou, integrovanou s whistelistigem, představuje služba reputace souborů, propojení s technologiemi na bázi sandboxu a desktopovými firewally. Bezpečnostní nástroje Intel Security (McAfee) jsou propojeny s globální reputační platformou McAfee Global Threat Intelligence Exchange na jejímž základě se vytváří dynamické reputační skóre pro adresy URL i soubory – v posledním čtvrtletí roku každý den takto tyto služby analyzovaly 157 milionů URL, 71 milionů potenciálně rizikových programů a 353 milionů infikovaných souborů.

Cloud a hardware

Podle aktuálního průzkumu společnosti Intel Security je zabezpečení poskytované formou cloudu jednou z technologií, do níž firmy chtějí co nejvíce investovat (79 % respondentů z úrovně vedení firem – C-level, preferovanější investice jsou pouze do cloudových technologií IaaS – 81 %).

Současně se vzestupem ransomwaru se svět kybernetických hrozeb vyvíjí i dalšími způsoby. Prognóza McAfee Labs Report 2016 Threats Predictions vychází z toho, že prakticky veškeré síťové interakce bobtnají – roste množství přenesených dat, uživatelů i přenosů přes protokol IP. V roce 2015 podle prognózy McAfee Labs bude přes protokol IP komunikovat téměř 25 miliard zařízení. Nejde však zdaleka jen o internet věcí a budoucnost, už např. současná adopce MS Office 365 ve firemní sféře vytváří další styčný bod (zranitelný „povrch“), kudy mohou přicházet útoky.

McAfee Global Threat Intelligence Exchange (TIE)

Platforma McAfee Global Threat Intelligence Exchange (TIE) představuje oproti jiným dodavatelům podstatnou konkurenční výhodu tím, že pomocí adaptivní bezpečnosti snižuje riziko při spouštění souborů. Zjišťuje reputaci jejich spouštění z různých zdrojů a na základě této reputace umožní spustit nebo zablokovat tuto aplikaci. K distribuci reputací využívá Data eXchange Layer (DLX).

TIE lze využít i pro inventarizaci aplikací a jejich využívání na jednotlivých strojích. Tím, že je propojená s GTI cloud službou umožňuje okamžité reakce na detekované hrozby oproti rychlosti aktualizace DAT. Dalším plusem je i lokální reputace aplikací a souborů, což znamená, že lze eliminovat možnosti detekce interního SW jako virus a možnost definovat „firemní image“ jako prověřený systém. TIE je také napojena na službu Virustotal – využití 57 skenovacích enginů od světových výrobců pro kontrolu spouštěných aplikací.

Jedním z důsledků výše uvedených stavů je potřeba integrovat zabezpečení také přímo do hardwaru. Úroveň aplikací a operačních systémů už zdaleka nepředstavuje jediný vektor hrozeb – je zde i cloud a na druhé straně hardware. Řešení Intel Security na rozdíl od jiných dodavatelů nabízejí i bezpečnost zabudovanou na úrovni procesoru.

Aleš Pikora je ředitelem divize DataGuard společnosti PCS, spol. s r.o.


RSS 

Komentujeme

Biometrie podle mozku

Pavel Houser , 29. březen 2017 10:00
Pavel Houser

Budou na bankomatech jakási sluchátka pro čtení EEG? Palaniappan Ramaswamy se ve své vědecké práci i...

Více






RSS 

Zprávičky

Uber se kvůli zpřísnění zákona o taxislužbě stahuje z Dánska

ČTK , 29. březen 2017 15:00

Americký provozovatel internetové aplikace pro alternativní taxislužbu Uber Technologies přestane od...

Více 0 komentářů

Kvantové hradlo simuluje přenos kvantových peněz mezi bankami

Pavel Houser , 29. březen 2017 13:00

Vědci z Olomouce jako první ověřili, jak mohou fungovat kvantové peníze. ...

Více 0 komentářů

ČR se v únoru posunula mezi méně bezpečné země

Pavel Houser , 29. březen 2017 11:00

Nejrozšířenější malwarovou rodinou byl v únoru ve světe i v ČR botnet Kelihos. ...

Více 0 komentářů

Starší zprávičky

Musk založil firmu pro propojení lidských mozků s počítači

ČTK , 29. březen 2017 09:30

Neuralink chce vyvíjet mozkové implantáty, které budou přidávat lidem umělou inteligenci.

...

Více 0 komentářů

Váhový software vyžaduje certifikace

Pavel Houser , 29. březen 2017 09:00

Pokladní software myCASH společnosti Kvados uspěl....

Více 0 komentářů

DDoS útoky zločincům v průměru vynášejí

Pavel Houser , 29. březen 2017 08:00

Provedení DDoS útoku stojí pouze 7 dolarů za hodinu (175 Kč), přičemž postižená firma může přijít o ...

Více 0 komentářů

Český prezident měl prý v počítači dětskou pornografii

ČTK , 29. březen 2017 07:00

Pražský hrad se v případě dětské pornografie, kterou podle prezidenta Miloše Zemana někdo nainstalov...

Více 2 komentářů