7 Ноября, 2018

Почему атаки с вредоносными программами больше не должны быть проблемой

Panda Security в России и СНГ
На саммите по безопасности 2018 Panda Security Summit (PASS), Педро Уриа, Директор антивирусной лаборатории PandaLabs в компании Panda Security , заявил, что «в будущем вызов для информационной безопасности будет связан с хакерами, а не с вредоносными программами».

«Для борьбы с кибер-преступниками и атаками, которые не используют вредоносные программы, - сказал Уриа, - компании должны защищать свое ИТ-оборудование с помощью решения с опциями расширенной информационной безопасности, способного осуществлять глубокий мониторинг систем в реальном времени и точно понимать, действительно ли выполняемые действия являются легитимными…».

Дело в том, что хакеры являются высоко обученными кибер-преступниками с доступом к ресурсам, способным незаметно взламывать систему в организации. Особую популярность приобретают атаки, не использующие вредоносные программы, в рамках которых кибер-преступники получают доступ к критическим объектам корпоративных сетей без использования вредоносных программ.

С учетом этого, следует ли считать атаки с использованием вредоносных программ какой-то проблемой или действительно основным вопросом безопасности для современных предприятий, особенно, когда существуют решения для их предотвращения?

В этом блоге мы взглянем на текущее положение с вредоносными программами и объясним, как предприятия всех размеров могут наилучшим образом бороться с ними и новейшими атаками, не использующими вредоносные программы.

Новые вредоносные программы создаются ежедневно, но с ними можно бороться с помощью существующих решений безопасности
Статистика AV-Test , ведущей независимой организации по тестированию решений ИТ-безопасности, показывает, что в период с мая по август 2018 года ежемесячно появлялось примерно 11 миллионов новых вредоносных образцов, а к концу года их общее количество за все время достигнет отметки примерно в 815 миллионов уникальных вредоносных программ (вдвое больше чем по итогам 2014 года).

Это массовый рост числа вредоносных программ может быть связан с тем, что системы информационной безопасности стали более совершенными, и кибер-преступники ищут новые способы компрометации систем.

Однако большинство предприятий имеют некоторые решения для обнаружения угроз или управления событиями, которые автоматизируют регистрацию атак с использованием вредоносных программ. В некоторых случаях эти решения могут применять корректирующие действия (такие как помещение на карантин или удаление) без участия аналитика. Кроме того, поскольку эти решения используют технологии машинного обучения, они со временем становятся все более эффективными и точными.

Наконец, когда выходит новая вредоносная программа, антивирусные программы обновляют свои сигнатуры в течение 24 часов или еще быстрее, как утверждает CSO , что значительно понижает шансы вредоносных программ на успех.

Атаки, использующие вредоносные программы, стали намного более сложными, но таким же становятся и системы информационной безопасности
Наряду с использованием методов сокрытия и диверсионных тактик (такие как создание и удаление файлов в случайном порядке, чтобы избежать обнаружения со стороны решений информационной безопасности), новейшие формы вредоносных программ оснащены «kill switch» - функцией, которая по существу удаляет любые записи о ее существовании.

Среди старых примеров таких вредоносных программ можно выделить Green Dispenser и Flame. Green Dispenser позволял хакеру «сливать» наличность из банкомата, если он был заражен вредоносной программой. Как только банкомат был опустошен, вредоносная программа удаляла себя, используя процесс «глубокого удаления», не оставляя практически никаких следов того, каким образом был ограблен банкомат.
С другой стороны, Flame был обнаружен в 2012 году и имел несколько  библиотек, баз данных, уровней шифрования и различные плагины, которые можно было менять для обеспечения хакерам различной функциональности. В то время эксперты по безопасности называли Flame как « самое сложное вредоносное ПО, когда-либо найденное » в силу его природы функционирования и возможностей.

Конечно, в то время как обе эти программы демонстрируют, насколько мощными могут быть атаки с использованием вредоносных программ, существующие на сегодняшний день системы информационной безопасности могут отслеживать угрозы в реальном времени и непрерывно. В наши дни такие атаки успешны только в тех случаях, когда предприятия пренебрегают регулярными обновлениями используемого программного обеспечения, политиками безопасности, уведомлениями об угрозах, а также используют пиратское и/или неправильное ПО.
Несмотря на ежедневное создание новых вредоносных программ, доля кибер-атак, использующих вредоносное ПО, снижается
Согласно нашему собственному исследовательскому отчету , 62% нарушений безопасности были вызваны действиями хакеров. Среди этих нарушений 51% стал результатом работы вредоносных программ. В остальных случаях кибер-преступники использовали другие инструменты, против которых большинство предприятий не защищены, - по сути это были «атаки, не использующие вредоносные программы».

Предприятия атакуются таким способом, против использования которого они не подготовлены или не защищены, и традиционный подход к обеспечению информационной безопасности в виде традиционных решений защиты и файерволов только лишь для защиты от атак, использующих вредоносные программы, более не эффективен.

Обнаружение угроз в реальном времени и системы охоты за угрозами ( threat hunting ) могут снизить риск со стороны вредоносных программ и атак, не использующих вредоносные программы
Чтобы защититься от современных кибер-атак и атак, не использующих вредоносные программы, предприятиям необходимо комплексное решение корпоративного уровня с функциями предотвращения и обнаружения угроз, реагирования и восстановления в режиме реального времени, а также возможностями глубокого экспертного анализа для существенного сокращения риска со стороны вредоносных программ.

Panda Security, с помощью решения информационной безопасности Adaptive Defense 360 , заметила ощутимое снижение количества инцидентов в результате атак с использованием вредоносных программ. Это решение является облачным сервисом безопасности конечных устройств, которое устраняет пробелы в информационной защите многих предприятий. Оно содержит файловую, веб- и почтовую защиту, клиентский файервол, фильтрацию веб-контента, контроль устройств и защиту Exchange.

Кроме того, решение анализирует и классифицирует все приложения, запущенные на конечных устройствах (мобильные устройства, ноутбуки и другие подключенные устройства), и блокирует те из них, которые не разрешены. Встроенные автоматизированные возможности экспертного анализа и управляемые сервисы threat hunting позволяют значительно повысить уровень защиты.

Любые потенциальные угрозы помечаются в реальном времени с использованием техник машинного обучения, позволяя аналитикам реагировать на них и устранять проблемы прежде, чем эти угрозы смогут причинить какой-либо ущерб. Как только вредоносная программа обнаруживается в сети, компилируется подробная информация о местоположении вредоносной программы, ее типе и пострадавших от нее устройствах, а также весь ее жизненный цикл с информацией обо всех предпринятых действиях (кто, что, где, когда, куда и т.д.).
По состоянию на май 2018 года от всех клиентов Adaptive Defense 360 во всем мире для дополнительного изучения поступило только три инцидента.

Если вы хотите узнать подробнее о нашем решении Adaptive Defense 360, пожалуйста, смотрите здесь .
Заключение
Существует ряд решений корпоративного уровня, способных реагировать на атаки, использующие вредоносные программы. Но в наши дни для предприятий остро стоит вопрос не защиты от вредоносных программ, а защиты от других форм кибер-атак. Атаки, не использующие вредоносные программы, находятся на подъеме, и ежедневно предприятиям необходимо уметь защищать не только свои периметры сети, но также и конечные устройства за их пределами.
Для защиты от подобных и других новых угроз необходимо использовать решения с опциями расширенной защиты (EPP+EDR), в которых интегрированы сервисы 100% классификации процессов и управляемые сервисы threat hunting – такие как Panda Adaptive Defense 360.

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com