Moderní počítačové hrozby se za posledních několik let hodně zdokonalily, a je proto nutné vylepšit i arzenál zbraní proti útočníkům, kteří je používají. Níže jsou popsány nejlepší nástroje na ochranu IT proti těm nejrafinovanějším hrozbám - cíleným útokům.

Robin Bay

sales engineer, Trend Micro

Nejčastějším vstupním bodem cíleného útoku je e-mail. Ten prochází e-mailovou bránou, která by měla umět dešifrovat archiv v příloze pomocí hesla, které se pokusí najít v těle e-mailu. Podezřelý soubor (aplikaci nebo dokument) by měla zaslat do sandboxu, což je virtuální prostředí, ve kterém se soubor spustí a vyzkouší se, jak se chová: kam zapisuje, jaké IP adresy v internetu kontaktuje apod. Protože cílené útoky využívají často zero day zranitelnosti, doporučuje se, aby byl sandbox customizovatelný, tedy s verzemi a nastaveními OS a SW, které zákazník používá, nikoliv které jsou defaultně nastaveny od výrobce. Malware v XLS tak nezjistí, že se nachází v testovacím virtualizovaném prostředí, a spustí se naplno, například proto, že běží v operačním systému s českým nastavením, které pro cílený útok očekává.

Dalším kladivem na čarodějnice jsou IDS/IPS, tedy systémy pro detekci a prevenci průniků, které stejně jako sandbox chrání uživatele proti nejnovějším zranitelnostem. V nich by mělo být implementováno co nejvíce ochran proti zranitelnostem, které již někdo objevil, ale výrobce na ně zatím stále nevytvořil bezpečnostní záplatu. Je běžnou praxí, že tento stav trvá i několik týdnů až měsíců.

S tím, jak roste podíl šifrovaného provozu a útoky jsou čím dál sofistikovanější, klesá (obzvláště bez IPS a sandboxu) procento problémů objevených na síťové úrovni a roste naopak šance na nalezení hrozby na koncovém bodu, tj. serveru, notebooku nebo mobilním telefonu. Přímo na koncovém bodu se totiž mnohem snáze odhalí, že šifrovaný https provoz řídí neznámá aplikace. I na koncovém zařízení je vhodné využívat síťový sandbox a hostované IPS. Koncový bod by měl spolupracovat se zbytkem sítě a zablokovat tak nebezpečný objekt na všech dalších zařízeních připojených k síti.

V bezpečnostním portfoliu firmy by neměl chybět ani učící se antimalware, který analyzuje statistické srovnání strojových instrukcí aplikace a stovky až tisíce parametrů a umí posoudit, z kolika procent je pravděpodobné, že se jedná o určitý druh malwaru. Finální fázi útoku může poté překazit ochrana dat pomocí šifrování nebo systému DLP.

Kromě výše zmíněných nástrojů by se v arzenálu bezpečnostních nástrojů nemělo zapomínat na vzdělávání uživatelů, bezpečnostní audity, korelaci logů z celé sítě na jednom místě, bezpečnostní politiku firmy a další procesní záležitosti.

Hojně využívané nástroje jako firewall a antivir jsou tedy dnes nutnou, ale nikoliv jedinou postačující částí velmi složitého komplexu zvaného bezpečnost.

 

Sloupek byl publikován v ICT revue 12/2016.