Verovatno ste čuli rečenicu da neko novo sajber security rešenje štiti od nepoznatih pretnji i ta činjenica se ističe kao prednost tog rešenja. Šta to u stvari znači i zašto je važno? Većina tradicionalnih bezbednosnih rešenja osmišljena je tako da se bori protiv poznatih pretnji. To znači da kada se otkrije pretnja, security stručnjaci koji stoje iza tog proizvoda kreiraju virusnu definiciju i uvrste je kroz ažuriranje u AV softver. Kada antivrus sledeći put detektuje tu malicioznu aktivnost, on će je blokirati. Dakle imamo "nultog pacijenta", odnosno neko je morao da bude zaražen da bi se napravio "lek".

Međutim, kako bi zaobišli odbrambene mehanizme koji štite od poznatih pretnji, napadači se trude da naprave nešto što do tog momenta nije bilo poznato. U poslednje vreme takvih novih pretnji je toliko mnogo da je nemoguće kreirati toliko virusnih definicija pre nego što pretnja uzme maha (zbog čega, između ostalog, antivirus više nije dovoljna zaštita).

Nove pretnje nisu isto što i zero-day pretnje. O zero-day pretnjama i ranjivostima možete da pročitate u našem tekstu Šta je Zero-Day?

Kako sajber-kriminalci uspevaju da naprave toliko novih pretnji (videćete koliko su one stvarno nove) i da li postoji način da se zaštitimo i od novih pretnji?

Reciklirane pretnje

Reciklirane pretnje se smatraju najjeftinijim metodom napada što je i razlog zbog kojeg napadači često recikliraju postojeće pretnje koristeći poznate, ranije dokazane tehnike. Ono zbog čega se reciklirane pretnje mogu podvesti pod kategoriju „nepoznato“ se krije u ograničenoj memoriji bezbednosnih proizvoda. Bezbednosni proizvodi imaju ograničenu memoriju, a bezbednosni timovi biraju da se prioritetno zaštite od najnovijih pretnji u nadi da će to biti dovoljno da se blokira većina dolazećih napada. Ukoliko neka stara pretnja koju bezbednosno rešenje nije detektovalo pokuša da uđe u mrežu, moguće je da će napad biti uspešan pošto će se ta stara pretnja kategorizovati kao nešto što ranije nije bilo viđeno.

Kako bi se zaštitili od tih „nepoznatih“ recikliranih pretnji, od ključnog je značaja da postoji pristup memoriji u kojoj se čuvaju informacije o pretnjama. U slučajevima kada bezbednosni proizvod nije identifikovao i sačuvao informacije o određenoj pretnji, od pomoći je da postoji pristup većoj bazi informacija o pretnjama i da se na taj način utvrdi da li je neka aktivnost maliciozna i da li treba da bude blokirana.

Modifikacija postojećeg kôda

Ovo je nešto skuplji metod napada od recikliranja pretnji. Napadači koriste postojeću pretnju i prave male modifikacije u kôdu, ili manuelno ili automatski, dok pretnja aktivno putuje mrežom. Rezultat ovoga je polimorfni malver ili polimorfni URL. Ovaj malver se, poput virusa, neprestano i automatski menja velikom brzinom. Ukoliko bezbednosni proizvod identifikuje originalnu pretnju kao poznatu i napravi zaštitu za nju baziranu na samo jednoj varijaciji malvera, bilo koja sitna promena u kôdu pretvara tu pretnju u nepoznatu. Neki bezbednosni proizvodi se bore protiv pretnji tako što koriste hash (#) tehnologiju koja generiše broj baziran na nizu ili tekstu tako da postoji jako malo verovatnoća da će neki drugi tekst proizvesti istu hash vrednost. U kontekstu ove priče, hash vrednost odgovara jednoj varijaciji pretnje, odnosno malvera, tako da se svaka druga varijacija pretnje smatra novom i nepoznatom.

Kako bi pružili bolju zaštitu od ovih pretnji, bezbednosni proizvodi moraju da koriste „pametne potpise“. Pametni potpisi su bazirani na sadržaju i obrascima saobraćaja i fajlova umesto na hash tehnologiji i mogu da identifikuju i pruže zaštitu od modifikacija i varijacija poznatih pretnji. Fokus na ponašanju dozvoljava detekciju obrazaca u modifikovanim malverima.

Kreiranje nove pretnje

Sajber-kriminalci koji mogu da investiraju više novca, kreiraju potpuno novu pretnju uz pomoć potpuno novog kôda. Svi aspekti životnog ciklusa sajber-napada moraju da budu novi kako bi se napad u pravom smislu smatrao za nepoznatu pretnju.

Zaštita od nepoznatih pretnji

Nepoznate i do tada nezabeležene pretnje mogu brzo postati poznati ako se informacije dele. Kada se nova pretnja analizira i detektuje u jednoj organizaciji, informacije treba podeliti kako bi se preduzeli koraci da se globalno širenje te pretnje ograniči i da se umanji efektivnost mogućih novih napada.

Kada se organizacija suoči sa zaista novom pretnjom, prva linija odbrane je da nepoznate fajlove i linkove pošalje na analizu.

Fajlove možete poslati na analizu i preko IT klinike. Na strani malware-analiza možete uploadovati sumnjive fajlove i dobiti izveštaj da li se radi o pretnji, poznatoj ili nepoznatoj. Prva provera vrši se preko VirusTotal servisa. Ukoliko se radi o poznatom malveru dobićete odmah izveštaj o kojoj pretnji se radi i koji antivirusi je prepoznaju.

Sad ono interesantnije, ukoliko se radi o nepoznatoj pretnji, fajl šaljemo dalje na "detonaciju" tj. izvršavanje u sandbox okruženju. Na osnovu ponašanja fajla donosi se "presuda" da li je fajl malware ili ne. Savetujemo vam da ostavite email, da bismo mogli da vam nakon "detoniranja" i analize pošaljemo detaljan izveštaj.

Ako otkrijemo da je u pitanju novi malware prijavljujemo ga kako bi se za njega napisala definicija. Tako zajedno doprinosimo borbi protiv malvera.

Automatizacija zaštite

Idealno bi bilo da vaše endpoint security rešenje omogućava da se proces detekcije i analize sumnjivih fajlova obavlja automatski, odnosno da ne zavisi od administratora, kao i da odgovor na pretnju bude automatski, da bi se blokirala pretnja pre nego što se pojavi mogućnost za njeno napredovanje.

Efektivnost sandbox analize zavisi od toga koliko je vremena potrebno da se donese precizna „presuda“ o nepoznatoj pretnji i od toga koliko vremena treba da se napravi i implementira zaštita u organizaciji. Poželjno je da to vreme bude što kraće. Kako bismo bili sigurni da pretnja neće dospeti u neki drugi deo sistema, moraju se napraviti i automatski implementirati preventivne mere u svim bezbednosnim proizvodima brže nego što se kreće pretnja.

Od sposobnosti detekcije nepoznatih pretnji i blokiranja napada zavisi efektivost vašeg bezbednosnog sistema.

Bezbednosna platforma nove generacije

Prava bezbednosna platforma sledeće generacije mora da bude agilna, da brzo pretvara nepoznate pretnje u poznate, automatizuje zaštitu i obezbeđuje prevenciju na globalnom nivou.

Palo Alto Netorks platforma je takva platforma, jer automatizuje i prirodno integriše više tehnologija za prevenciju i obezbeđuje prevenciju naprednih, ciljanih i skrivenih napada.

Napredna Endpoint zaštita

Novi proizvod kompanije Palo Alto - TRAPS, zamenjuje tradicionalni antivirus kombinujući više metoda prevencije.

TRAPS koristi potpuno novi i jedinstveni pristup za sprečavanje eksploatacija. Umesto da se fokusira na milione pojedinačnih napada, ili na njihove softverske ranjivosti, TRAPS se fokusira na suštinske eksploatacione tehnike koje se koriste u svim napadima koji se baziraju na eksploataciji. Svaka eksploatacija koristi seriju eksploatacionih tehnika kako bi uspešno kompromitovala aplikaciju. TRAPS čini ove tehnike neefikasnim tako što momentalno blokira svaki pokušaj njihovog korišćenja. Dakle, bilo da se radi o recikliranim, modifikovanim ili potpuno novim pretnjama, Traps prepoznaje eksploatacionu tehniku u pozadini i blokira pretnju.

Zahvaljujući ovim karakteristikama TRAPS je efikasan u i prevenciji ransomware-a. Pogledajte prezentaciju i demonstraciju "TRAPS protiv hakera" sa našeg događaja "Tajni agenti u službi vašeg IT sistema" i videćete na koji način TRAPS blokira ransomware pre nego što uspe da zarazi računar:

Ako želite da saznate još više o TRAPS-u ili biste voleli da iz prve ruke testirate TRAPS na (besplatnoj) radionici koju će organizovati Net++ technology i Palo Alto Networks, javite se (011/3699-967) ili pošaljite email.