Monday, 28 January 2019

5 техник обхода средств защиты от вредоносных программ, и что вы можете сделать для решения этой проблемы

Вредоносное программное обеспечение – ключевой вектор кражи информации. Исследования показывают, что 51% случаев утечки конфиденциальных данных включает использование вредоносного ПО для первоначального взлома, распространения внутри сети или хищения информации. Несмотря на то, что зловреды являются главной угрозой сохранности данных, компании все еще не способны предотвратить беспорядочное распространение вредоносных программ на своих сетях. Более того, самые крупные и обсуждаемые случаи кражи информации стали результатом необнаруженного вредоносного программного обеспечения.

Почему это произошло? Современные зловреды представляют собой технологически совершенное мульти-векторное оружие, которое содержит целый арсенал инструментов и механизмов обхода традиционных средств киберзащиты, позволяющий предотвращать выявление и распознавание атак. В шахматной игре между злоумышленниками и защитниками, хакеры беспрестанно находят новые способы оставаться на шаг впереди существующих методов отражения киберугроз.

Современное вредоносное программное обеспечение

Рассмотрим 5 распространенных техник обхода традиционных средств защиты от вредоносных программ.

Самомодифицирующиеся (полиморфные) вредоносные программы: Многие традиционные средства защиты работают на основе известных сигнатур вредоносного программного обеспечения. Современные зловреды противостоят этому путем постоянной трансформации и видоизменения. За счет нехитрых модификаций кода, атакующие могут с легкостью генерировать новые бинарные сигнатуры файла. Это позволяет обходить такие основанные на сигнатурах средства защиты, как антивирус, фильтрацию электронной почты, IPS/IDS и песочницу (sandboxing).

Бесфайловые вредоносные программы: Многие средства защиты фокусируются на статических файлах или процессах операционной системы для обнаружения следов активности вредоносных программ. Однако злоумышленники все чаще используют бесфайловое программное обеспечение, которое выполняется в оперативной памяти – запускается в пространстве памяти легитимного процесса, не оставляет следов и, таким образом, невидимо для файловых средств защиты. Бесфайловые атаки отбивают такие средства защиты как IPS/IDS, UEBA, антивирус и песочница.

Шифрованная полезная нагрузка: Некоторые средства защиты сканируют содержание для предотвращения утечки конфиденциальной информации. Злоумышленники уклоняются от этой проверки за счет шифрования сессий между инфицированными хостами и командными серверами. Шифрованная полезная нагрузка позволяет обойти такие инструменты защиты как DLP, EDR и защищенные веб-шлюзы (SWG).

Алгоритм генерации доменов (DGA): Некоторые средства защиты используют адреса известных контроллеров вредоносных программ и блокируют соединения с данными серверами. Однако вредоносные программы с функцией генерации доменных имен избегают блокировки за счет периодического изменения адреса контрольного сервера и использования ранее неизвестных доменов. Зловреды с алгоритмом генерации доменов обходят такие инструменты как защищенные веб-шлюзы (SWG), EDR и песочница.
Подмена хоста: подменяет значение заголовка для сокрытия истинного адреса, преодолевая, таким образом, механизмы защиты на основе известных адресов контрольных серверов вредоносных программ. Позволяет обойти такие инструменты как защищенный веб-сервер (SWG), IPS/IDS и песочница.

Что вы можете сделать?

Отражение и предотвращение атак нулевого дня – задача непростая, но вы можете предпринять несколько шагов для кардинального ограничения возможного ущерба.

Многоуровневая система кибербезопасности: Защита от вредоносного программного обеспечения – это непрерывный процесс, требующий использования средств отражения атак в конечных точках на стороне пользователей (таких как антивирусное программное обеспечение) в сочетании с защитой на уровне сети, включая межсетевые экраны (firewalls), защищенные веб-шлюзы и др. Только многоуровневая система предотвращения атак позволяет обеспечить полноценную защиту.

Фокус на защите от атак нулевого дня: Вредоносное программное обеспечение, направленное на эксплуатацию ранее неизвестных и не устранённых уязвимостей, достигает 50% всего потока вредоносных программ. Существующие средства защиты зачастую не способны распознать зловреды нулевого дня, поэтому такие атаки являются основной причиной потери данных. Инструменты защиты, непосредственно нацеленные на отражение атак нулевого дня, должны быть обязательным элементом современной системы кибербезопасности.

Внедрение решения для анализа трафика: Атаки с целью кражи конфиденциальных данных нацелены на всю сеть, включая не только оконечные точки на стороне пользователя, но и все сетевые ресурсы. Поэтому средства защиты не должны фокусироваться на отдельных участках сети или типе ресурсов, а позволять предоставлять комплексную картину всего сетевого окружения и анализ происходящих событий.

Использование big data: Возможность собирать и накапливать с течением времени данные из обширной информационной базы является ключевым ингредиентом успешного обнаружения атак нулевого дня. Использование «больших данных» позволяет выявлять вредоносную активность в глобальном масштабе, соотносить, казалось бы, несвязанные события для отслеживания процесса развития и эволюции вредоносного программного обеспечения.

Источник: radware.com, 17 января 2019