Historia poszkodowanych firm pokazuje, że w większości przypadków na komputerze, z którego inicjowano połączenie do banku, był już zainstalowany aktualny program antywirusowy. Jak twierdzą badacze, skuteczność antywirusa wobec komercyjnych koni trojańskich stosowanych obecnie przez złodziei internetowych jest bardzo niska. Jednym z powodów jest możliwość przetestowania i dostosowania kodu przed jego dostarczeniem ofierze. Holenderska firma RedSocks Malware Research Labs wydała raport poświęcony omijaniu programów antywirusowych przez złośliwe oprogramowanie. Wynika z niego, że w styczniu 2014 r. średnio 29% przechwyconych próbek złośliwego oprogramowania nie było wykrywanych przez stosowane skanery antywirusowe, w lutym br. odsetek ten wzrósł do alarmujących 35%, w marcu skuteczność antywirusów się poprawiła, ale nadal średnio co czwarta próbka przechodziła bez wykrycia. Oznacza to, że skuteczność detekcji nie przekraczała 75%. Badacze firmy RedSocks Malware Research Labs twierdzą, że poziom ten jest zbyt niski i obecnie ochrona przed zagrożeniami z internetu za pomocą oprogramowania antywirusowego po prostu nie wystarczy. Według badaczy producent antywirusa nie ma znaczenia. W grudniu 2012 r. firma Imperva opublikowała kontrowersyjny raport (Hacker Intelligence Initiative, Monthly Trend Report 14), z którego wynika, że antywirus potrafi zatrzymać zaledwie 5% nowych zidentyfikowanych zagrożeń. Badacze piszą: „Chociaż dostawcy próbują usprawnić swoje mechanizmy detekcji, na początku ich skuteczność jest niemal zerowa. Uważamy, że większość produktów na rynku nie dotrzymuje kroku prędkości propagacji wirusów przez internet. U niektórych dostawców oprogramowania antywirusowego wprowadzenie detekcji wirusa zajmuje aż do czterech tygodni”.

Tak dużą rozbieżność można wyjaśnić również różnicą w poziomie skomplikowania ataków. Część z nich stanowią zagrożenia powodowane przez proste konie trojańskie. Zheng Bu oraz Rob Rachwald poinformowali na blogu: „Proste złośliwe oprogramowanie nadal będzie obecne i antywirusy w dalszym ciągu będą dostarczać podstawowej ochrony przeciw tym nieskomplikowanym zagrożeniom. Do ochrony przed skomplikowanymi i zaawansowanymi atakami, które zdarzają się coraz częściej, będą jednak potrzebne technologie nowej generacji i nowe podejście”.

Zobacz również:

• Czy smartfony potrzebują oprogramowania antywirusowego
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?#

Jak wykryć nieznane ataki

Złośliwe oprogramowanie nigdy nie działa samodzielnie, gdyż jego zadaniem jest wykonanie określonych zadań w przejętych systemach, raportowanie aktywności i kradzież pozyskanych tą drogą danych. Malware zainstalowane na stacjach roboczych i serwerach najczęściej korzysta z najprostszej drogi komunikacji: bezpośrednich połączeń przy użyciu protokołu TCP/IP. Te połączenia można śledzić, a pozyskaną informację analizować i udostępniać innym organizacjom. W ten sposób działa np. system ARAKIS-GOV, który jest wyposażony w sondy zainstalowane w sieci różnych instytucji rządowych. Potrzebę podobnych systemów zauważa wielu menedżerów IT, szczególnie w instytucjach finansowych.

Kluczem do wykrywania nieznanych ataków jest określenie normalnego stanu aktywności w firmie. Dotyczy to wszystkich aspektów pracy – od działań użytkowników na stacjach roboczych, przez ruch sieciowy, aktywność aplikacji, uwierzytelnienie, aż do raportów z obciążenia systemów. Po zebraniu tych informacji należy poddać je dokładnej analizie. Bardzo wiele informacji dostarcza analiza ruchu sieciowego, umożliwiając wykrycie aktywności złośliwego oprogramowania. Po skorelowaniu aktywności ze wzorcami pracy można znaleźć niektóre symptomy, takie jak automatycznie nawiązywane połączenia.

Jednym ze sposobów prewencji jest blokowanie połączeń SSL do wszystkich serwerów, poza tymi, które znajdują się na liście zatwierdzonej przez IT. Każde otwarcie połączenia wychodzącego poza sieć firmową znajduje odzwierciedlenie w logach zapory sieciowej, zatem dokładna analiza połączeń szyfrowanych umożliwia wykrycie podejrzanej komunikacji. Niestety, nie wszędzie można takie zabezpieczenie wdrożyć w praktyce. Wymaga ono obecności urządzenia służącego do zarejestrowania i zablokowania połączenia, a także pracy specjalisty, który będzie analizował informacje zapisane w logach.

Czy firma może pozbyć się antywirusa?

Użytkownicy domowi mogą otrzymać dobre oprogramowanie antywirusowe za darmo, a firmowe systemy IT są chronione przez inne zabezpieczenia. Mimo to dzisiejsze przedsiębiorstwo nadal powinno mieć oprogramowanie antywirusowe na stacji roboczej. Podstawowym zadaniem jest ochrona firmowych systemów IT przed prostymi, dobrze znanymi wirusami, a także przed niefrasobliwym działaniem, takim jak choćby otwieranie nieznanych załączników czy odwiedzanie wątpliwych stron. Innym powodem, dla którego nadal antywirusy będą instalowane na stacjach roboczych, jest konieczność zachowania zgodności z wymagającymi tego regulacjami branżowymi (przykładem jest PCI Data Security Standard).

Narzędzia ochrony stacji roboczej stanowią nadal wielki rynek IT na świecie – Gartner szacuje korporacyjne wydatki na ten cel na poziomie 3,4 mld USD. Użytkownicy prywatni wydają jeszcze więcej – ponad 5 mld USD. Najwięcej pieniędzy przynosi rynek firewalli – aż 6,5 mld USD. Mimo to należy zauważyć, że razem ze spadkiem skuteczności narzędzi antywirusowych i zapór sieciowych firmy powinny zainteresować się systemami, które oferują lepszy zwrot z inwestycji, takimi jak analiza logów z urządzeń sieciowych w poszukiwaniu symptomów ataku.

Andy Ellis, CSO firmy Akamai, mówi: „Trzeba zaoszczędzić pieniądze i analizować logi. Właśnie to umożliwi wykrycie problemów w firmie”. Nie zgadza się z tym jednak Ruggero Contu, analityk Gartnera, który uważa, że dostawcy oprogramowania antywirusowego usprawniają swoje produkty i oferują o wiele więcej – np. szyfrowanie plików i ochronę przed wyciekiem danych – a zatem firmy nadal powinny inwestować w te rozwiązania.