Systemy antymalware'owe nowej generacji

Tradycyjne rozwiązania bezpieczeństwa chroniące przed złośliwym oprogramowaniem opierały się na systemie sygnatur i reguł, których zadaniem była identyfikacja znanych zagrożeń w postaci plików wykonywalnych i ruchu sieciowego.

Ewolucja zagrożeń doprowadziła jednak do tego, że współcześnie są one często dedykowanymi atakami lub cechują się silnym polimorfizmem, na co rozwiązania oparte o sygnatury i reguły są bezradne. Liczba wariantów malware i sposobów ich dostarczania oraz wyrafinowane metody ukrywania ruchu do serwerów zarządzających malware'ami, powodują, że organizacje nie mają świadomości o trwającym ataku i wycieku informacji przez miesiące albo nawet lata.

Ataki wykonywane są zwykle przeciwko konkretnym podmiotom i wykorzystują często tzw. podatności „zero day” aplikacji i systemów operacyjnych, które nie były publicznie znane w momencie ich użycia. Przeprowadzane są z wykorzystaniem różnych technologii i obejmują wiele etapów – od rozpoznania celu ataku, poprzez techniki socjotechniczne, różne kanały komunikacji (najczęściej web, e-mail) w celu przesłania do ofiary tzw. exploita, a następnie uruchomienie złośliwego kodu, który stara się zamaskować swoją obecność na komputerze ofiary, po komunikację zwrotną z „centrum sterowania” (command and control server) i wreszcie realizację celu ataku, czyli np. wyciągnięcie z organizacji interesujących danych.

W naszej ofercie posiadamy innowacyjne rozwiązania w dziedzinie zatrzymywania tego typu zaawansowanych, ukierunkowanych ataków (Advanced Persistent Threat - APT) opartych na malware'ach nowej generacji i eksplojtach „zero day”. Uzupełnia ono firewalle (tradycyjne oraz nowej generacji), IPSy, antywirusy oraz proxy, które nie są w stanie zablokować zaawansowanych zagrożeń, zostawiając luki w systemie bezpieczeństwa sieci. Rozwiązania te wykorzystują w swoim działaniu kilka metod takich jak:

  • wykrywanie ruchu sieciowego do adresów sieciowych zidentyfikowanych jako zawierających serwery zarządzające - informacje są na bieżąco aktualizowane z wielu źródeł
  • Konteneryzacja oprogramowania użytkowego (przeglądarka internetowa, MS Office, Acrobat Reader) – poprzez umieszczenie wystawionych na atak i podatnych aplikacji w wirtualnym kontenerze. Ewentualny atak na aplikacje użytkowe (najczęstszy wektor ataku) jest ograniczony tylko do danej aplikacji i nie ma wpływu na system operacyjny i pozostałe aplikacje oraz dane
  • wykrywanie charakterystycznych dla malware wzorców w komunikacji sieciowej i anomalii w strukturze plików (np. PDF, Word)
  • obserwacja zachowania podejrzanych plików w maszynie wirtualnej i dedukcja na tej podstawie o złośliwości danego oprogramowania
  • tradycyjne podejście oparte o sygnatury znanych zagrożeń

Nasza firma zajmuje się nie tylko wdrożeniami rozwiązań antymalware'owych nowej generacji ale też dzięki bogatym doświadczeniom w analizie sposobów działania malware, audytach bezpieczeństwa i sposobach monitorowania bezpieczeństwa pomagamy w dobraniu odpowiednich rozwiązań i analizie incydentów APT.

Oferowane rozwiązania:

  • FireEye
  • Invincea