Dobre praktyki dla hostowych IPS i ochrony behawioralnej

Systemy wykrywania włamań i ochrona behawioralna to ostania linia obrony przed intruzami. Właściwe ustawienie tych narzędzi to m.in. przestrzeganie następujących zasad:

Ochrona przed keyloggerem: większość programów malware zawiera jakąś formę silnika keyloggera do przechwytywania wprowadzanych haseł, numerów kart kredytowych i innych danych osobowych. Ochronę przed keyloggerem należy więc włączać w ramach polityki host IPS.

· Monitorowanie sieci: ustawienie reguł polityki na monitorowanie każdej aplikacji próbującej wykonać połączenie sieciowe. Nieautoryzowane połączenia pomagają wykryć procesy malware, podejmujące próby nawiązania łączności z ich dysponentem.

Ochrona przed rootkitem: używając predefiniowanej białej listy sterowników ładowanych przez Windows, można wykryć malware wyglądające pozornie na niezbędny, uzasadniony sterownik, ale w rzeczywistości sygnowane skradzionym certyfikatem dostawcy sterowników.

Zapobieganie iniekcjom DLL: ulubioną techniką wykorzystywaną przez programy malware, mającą na celu uniknięcie usunięcia przez antywirusy, jest ich iniekcja w pracujące DLL. Program antywirusowy nie może usunąć lub poddać kwarantannie DLL, który już został wgrany. Zazwyczaj malware wgrywa się sam w procesy systemowe, takie jak winlogon.exe lub explorer.exe.

Obowiązkowe używanie trybu "learning" lub "testing" w ramach funkcji zapobiegania włamaniom i ochronie behawioralnej, w celu uzyskania możliwości przeprowadzenia testów ochrony uwzględniających występowanie wyjątków, które mogą być brane za fałszywe rozpoznania. Poprawia to również poziom zaufania do wdrażanego oprogramowania ochronnego, zwłaszcza gdy przychodzi czas uaktualniania lub instalowania nowych aplikacji, ponieważ działania takie w dużym stopniu odpowiadają za fałszywe rozpoznania.

Ochrona przed przepełnieniem bufora jest również obowiązkowa. Dobrym przykładem są nie tak dawno wykryte luki Microsoft Windows i Adobe Acrobat. Ramy czasowe udostępniania łatek na nie mogą wydłużać się do miesiąca, a eksploit wykorzystujący lukę może pojawić się w internecie już po kilku godzinach.

Dobre praktyki w kontroli aplikacji

Cyberzłodzieje będą wykorzystywać słabości w tych obszarach systemu operacyjnego, który często się zmienia, aby obsługiwać legalne aplikacje. Dlatego też należy zabezpieczyć rejestr Windows przed możliwością automatycznego wgrania malware:

klucze AutoRun

moduły i ActiveX Internet Explorer

iniekcja DLL w systemie (winlogin itp.)

usługi Windows

sterowniki.

Ponadto należy:

Zablokować - na poziomie aplikacji - możliwość kopiowania plików wykonywalnych lub skryptów ze współdzielonych pamięci sieciowych. Takie działania zapobiegają rozprzestrzenianiu się robaków wewnątrz sieci korporacyjnej.

Zablokować możliwości "Print Screen" i "Kopiuj/Wklej" w aplikacjach wrażliwych, takich jak finansowe czy związane z danymi osobowymi.

Wymuszać regułę, która dopuszcza jedynie specyficzne aplikacje do wykonywania operacji zachowywania plików na odległych serwerach.