Ewolucja w ochronie stacji roboczych

Od czasu antywirusów ze statyczną bazą sygnatur minęło już kilka lat, obecnie powszechnie stosuje się technologie umożliwiające korelację zdarzeń przez dostawców oprogramowania ochronnego. Przedstawiamy najbliższą przyszłość systemów ochronnych dla stacji roboczych.

Cechą charakterystyczną nowych zagrożeń jest szybkość ich propagacji. Od utworzenia nowej wersji kodu upływają zazwyczaj godziny, a czasami minuty, zatem tradycyjne podejście bazujące na sygnaturach nie zapewni bezpieczeństwa. Nawet technologia cloud computing, która dzięki efektowi skali umożliwia przechwycenie informacji o świeżo rozwijających się zagrożeniach z wielu komputerów, nie zapewni obrony na początku ataku.

O ile masowe ataki, wykorzystujące składniki pobierane ze znanych serwerów rozsiewających malware, daje się odfiltrować dzięki mechanizmom reputacji IP oraz serwisów, ta sama technika nie zadziała przeciw atakom profilowanym, które charakteryzują się bardzo dokładnym przygotowaniem kodu i niewielką propagacją złośliwego oprogramowania poza cel. Taki kod prędzej czy później zostanie wykryty, niemniej jednak nawet wykorzystujący infrastrukturę nie zapewni ochrony na początku ataku. Filip Demianiuk, Technical Manager dla obszaru Europy Wschodniej w firmie Trend Micro, mówi: "Technologia reputacji plików i adresów IP, w połączeniu z analizą pobieranych składników, dobrze sobie radzi z typowymi atakami i znacząco zmniejsza poziom ryzyka. Niestety, nie może go całkowicie wyeliminować, gdyż ataki kierowane przeciw konkretnej infrastrukturze są bardzo trudne do wykrycia, a złośliwy kod - jeszcze trudniejszy do usunięcia".

Wykryć i porównać

Jedną z możliwości ochrony przed złośliwym kodem jest analiza zmian w systemach operacyjnych i aplikacjach. Jest to dość skuteczna metoda, ale wymaga szczególnej uwagi w implementacji. Polega ona na rejestrowaniu każdej zmiany w monitorowanych zasobach (zmiany pliku, wpisu w rejestrze Windows, atrybutu obiektu) i korelowaniu tych informacji z firmowym systemem zarządzania zmianami wprowadzanymi przez administratorów. W przypadku wykrycia podejrzanej zmiany dział IT może szybko przywrócić stan poprzedni, odtwarzając pliki z kopii lub gotowego obrazu.

Najważniejszym problemem, który występuje w takim systemie, jest zabezpieczenie przed przywracaniem stanu sprzed celowych zmian wprowadzonych przez administratorów, a jednocześnie wykrycie modyfikacji wprowadzanych przez złośliwe oprogramowanie, które próbowałoby podawać się na przykład za fałszywe aktualizacje. Filip Demianiuk jest zdania, że "aby zrealizować omawiany system, należy połączyć oprogramowanie ochrony, takie jak Deep Security, z narzędziami zarządzania zmianami w firmie. Zmiany wykryte przez system powodowałyby wykreowanie informacji, którą można skojarzyć z aktualizacjami lub modyfikacjami w systemie. W przypadku alarmu spowodowanego nieznanymi zmianami administratorzy mogą podjąć interwencję. Aby wykreować taki organizm, niezbędna jest obecnie praca integratorów, by połączyć rozwiązania różnych firm, ale wspomniana ochrona wprowadzi nową jakość do zarządzania bezpieczeństwem systemów IT".