Ochrona danych: pożegnanie z rutyną

Kontradmirał Grace Hopper dała się poznać jako innowator, który pokonał wiele przeszkód i nie bał się rzucić wyzwań wielu konwencjonalnym mądrością. W chwili przejścia na emeryturę w wieku 79 lat była najstarszym oficerem czynnym w marynarce wojennej Stanów Zjednoczonych. Grace Hopper odegrała kluczową rolę w opracowaniu pierwszych opartych na języku angielskim języków programowania, takich jak COBOL. Ale nietuzinkowo myślący generał może być wzorem nie tylko dla żołnierzy, ale również ludzi zajmujących się zupełnie innymi rzeczami. W ostatnich latach prawdziwe boje z hakerami toczą specjaliści od bezpieczeństwa IT. W tym przypadku też potrzebny jest spryt i niestandardowe myślenie, które pomogą być krok przed cyberprzestępcami.

Platforma do ochrony punktów końcowych czy wykrywanie i reagowanie na zagrożenia?

Szefowie działów IT powinni odpowiedzieć sobie na dwa podstawowe pytania. Czy zabezpieczają punkty końcowe zawsze w ten sam sposób? Czy w systemie ochrony istnieją jakieś luki? Nowa generacja rozwiązań do ochrony punktów końcowych (EPP - Endpoint Protection Platform) dostarczanych przez czołowych producentów powstrzymuje dużo więcej rodzajów złośliwego oprogramowania i bardziej zróżnicowane typy zagrożeń niż kiedykolwiek wcześniej. Sztuczna inteligencja, uczenie maszynowe i heurystyka adaptacyjna wykraczają daleko poza statyczne i łatwe do obejścia „pliki definicji wirusów” z przeszłości.

Wykrywanie i blokowanie ataków są podstawowymi funkcjonalnościami najlepszych produktów EPP. Ponadto generują one też mniej fałszywych pozytywnych alertów, a także lepiej wyjaśniają co zostało wykryte i dlaczego. Jednak EPP ma fundamentalne ograniczenia, o których każdy specjalista bezpieczeństwa powinien pamiętać - nie dostrzegają szerokiego spektrum zagrożeń.

Ochrona punktów końcowych może nie wystarczyć.

Zapobieganie włamaniom poprzez wykrywanie i blokowanie ataków na najwcześniejszym etapie byłoby stanem idealnym. Jednak historia sięgająca pierwszych wirusów komputerowych, które pojawiły się w połowie lat 80. pokazuje, iż ​​jest to utopia. Nikomu do tej pory nie udało się osiągnąć 100 procentowej skuteczności w zapobieganiu ataków. Klasyczny przykład stanowią exploity przeglądarek oraz wirusy bezplikowe, w których nie istnieją jakiekolwiek pliki do zablokowania. Poza tym gros zaawansowanych, wieloetapowych i wielowektorowych ataków rozwija się w taki sposób, że są wyjątkowo trudne, jeśli nie niemożliwe, do zapobieżenia im. Wiele z tych incydentów można wykryć dopiero w zaawansowanym stadium lub już po fakcie. Największe ograniczenia EPP to:

• wykrywają incydent tylko wtedy, gdy złośliwe oprogramowanie osiągnęło częściowy lub całkowity sukces,
• generują mnóstwo alertów bez oczywistych wspólnych wątków, które można powiązać, tym samym analitycy nie widzą całego zakresu incydentów ani ciągów skorelowanych zdarzeń,
• blokują złośliwe oprogramowanie, ale nie dostarczają analitykom szczegółowej wiedzy w jaki sposób doszło do naruszenia oraz czy malware działa jeszcze na innych komputerach,

EDR to już nie luksus, lecz konieczność

Ochrona punktów końcowych jest niezbędna do zapewnienia zgodności i blokowania rutynowych zagrożeń, ale jest zdecydowanie niewystarczająca, aby chronić się przed zaawansowanymi atakami. Jeśli zagrożona jest własność intelektualna, dane klientów lub wrażliwe informacje finansowe, specjaliści z Bitdefendera rekomendują zastosowanie narzędzi EDR (Endpoint Detection and Response). Są to rozwiązania proaktywne szukające śladów włamań i ataków na każdym urządzeniu końcowym. Wyrafinowane ataki często rozpoczynają się od niegroźnych lub normalnych wskaźników aktywności - otwierają dokument, nawiązują zdalne połączenie, pobierają zasoby z Internetu, a dopiero później wykazują podejrzane lub złośliwe zachowanie.

Brak możliwości segregowania alertów i reagowania na incydenty

Systemy przeznaczone do ochrony punktów końcowych generują mnóstwo alertów, ale nie dostrzegają wszystkich składowych ataku. Każdy alert jest traktowany poważnie i EPP usuwa podejrzany plik, jednakże często istnieje potrzeba podjęcia innych działań naprawczych, które nie ograniczają się wyłącznie do usunięcia zidentyfikowanych szkodliwych plików. Od czego należy zacząć?

Powolna reakcja na odkryte naruszenia.

System EPP nie dostarcza zbyt wielu wczesnych sygnałów ostrzegawczych, nie potrafi też dokonać prawidłowej oceny zagrożenia. Oczywiście użytkownik może zauważyć, że jego komputer pracuje wolniej, zaś inżynier sieciowy dostrzeże nietypowy przepływ danych, ale nie otrzymają informacji na temat przyczyn występowania tych zjawisk. Niemożność identyfikacji przyczyn źródłowych i zapobieżenia ponownemu atakowi są największymi słabościami produktów EPP. Ich użytkownicy powinni odpowiedzieć sobie na kilka podstawowych pytań:

- Czy możesz być pewien, że udaremniono cały atak, czy tylko jego fragment.

- Jaki był punkt wejścia.

- Skąd przyszedł atak.

- Jak zamknąć tą ścieżkę, żeby historia nie powtórzyła się w przyszłości.

- Czy było to jednorazowe zdarzenie, czy też miało to charakter systemowy na wielu komputerach w przedsiębiorstwie.

- Czy ten sam lub podobny atak wystąpił już wiele razy.

- Przedsiębiorstwa wdrażając takie narzędzia jak EDR zdecydowanie wzmacniają swoją ochronę przed przyszłymi atakami. Ważne jest też, by identyfikować błędne konfiguracje systemu operacyjnego, luki w aplikacjach i ludzkie czynniki behawioralne, które znacznie zwiększają ryzyko wystąpienia incydentu. Należy również mierzyć i śledzić postępy w zakresie skuteczności stosowanych narzędzi i obranej przez organizację strategii bezpieczeństwa - podsumowuje Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Źródło: marken.com.pl; bitdefender.pl