Eset Dynamic Threat Defense, cloudový sandbox pro malé firmy

4. 12. 2020
Doba čtení: 5 minut

Sdílet

 Autor: Eset
Bezpečnostní experti odhalují čím dál sofistikovanější hrozby, které se snaží vyhýbat detekcím pomocí obfuskačních metod. Představujeme sandbox Eset Dynamic Threat Defense, který pomáhá s ochranou před těmito hrozbami.

Kybernetičtí zločinci nechtějí, aby jejich výtvor zablokoval antivir. Vytvářejí proto malware tak, aby se vyhnul standardním detekčním technikám na koncových zařízeních.

Některé hrozby je velmi obtížné automaticky identifikovat statickou analýzou. Rozbor takových souborů je nejsnazší dělat při spuštění, kdy se vždy projeví jejich škodlivé chování. A protože se chceme maximálně vyhnout spouštění škodlivých vzorků na počítačích našich zákazníků, přicházíme se sandboxem. Potenciálně škodlivý soubor spustíme v našem izolovaném prostředí, kde věrně simulujeme operační systém, mnoho různých aplikací, a dokonce i typickou činnost uživatele,“ vysvětluje Václav Zubr, bezpečnostní expert české pobočky Esetu.

V prostředí sandboxu vyhodnocují vzorek ty nejpokročilejší technologie. Jsou zpravidla velmi náročné na hardwarové prostředky, proto jsou umístěné v sandboxu – na výkonných serverech, které umožňují dělat podrobnou analýzu bez vytížení počítačů koncových uživatelů.

Díky těmto technologiím, jako jsou strojové učení, neuronové sítě nebo různé klasifikační algoritmy, je možné včas odhalit a zastavit nové typy hrozeb, jako jsou obávaný ransomware nebo například zero-day útok zneužívající ještě neopravenou chybu v nějaké aplikaci nebo operačním systému. Sandbox také velmi urychluje detekci škodlivého kódu u „pacienta nula“. Pokud má uživatel Eset Dynamic Threat Defense aktivovaný, výsledek analýzy putuje bez prodlení i na zařízení, které do sandboxu jako první vzorek zaslalo a okamžitě dochází k blokaci. Nejtypičtější vektor? E-mailové přílohy.

Většina analyzovaných vzorků pochází z e-mailů. Náš sandbox vyhodnocuje především sofistikované downloadery a škodlivý kód ukrytý v makrech. Je tedy vidět, že e-mailové přílohy jsou stále velmi rizikové,“ říká Zubr.

Díky integrované podpoře cloudového sandboxu přímo v antimalware produktu lze těmto útokům předcházet – škodlivý kód v e-mailech blokovat i proaktivně. Uživateli se neumožní spuštění podezřelého souboru, dokud není známý výsledek jeho analýzy v sandboxu. Tím je možné zajistit, že škodlivý program nepoběží na počítači uživatele ani minutu.

Komplexní rozbor vzorku do pěti minut

Eset Dynamic Threat Defense vyhodnotí 90 % vzorků za méně než pět minut. Po automatické analýze v sandboxu je soubor označen jako čistý, podezřelý, velmi podezřelý nebo rovnou jako škodlivý. Administrátor může předem specifikovat, od jaké hodnoty bude docházet k blokaci. Včetně rozdílného nastavení u jednotlivých zařízení nebo skupin zařízení.

Například finanční oddělení bude moci spouštět pouze soubory, které byly označené jako čisté. Zatímco u skupiny vývojářů budou blokované pouze vzorky označené jako jistý malware. Díky tomu nedojde k situaci, že by byly části vyvíjených legitimních programů automatickým cloudovým sandboxem chybně blokované. Administrátor spolu s informací o míře rizika obdrží i zprávu, která popisuje problematické chování konkrétního vzorku.

Výkonný sandbox na jedno kliknuti

Cloudové řešení Eset Dynamic Threat Defense není třeba instalovat, stačí jej pouze zapnout v existujících produktech pro ochranu koncových stanic nebo serverů. Zároveň je velmi jednoduché nastavit veškeré parametry sandboxu včetně různých výjimek zajišťujících například, že určité typy souborů nebudou nikdy z firmy odeslány.

Často se setkávám s obavami z úniku dat. Přece jen firma posílá data někam do cloudu mimo vlastní organizaci. Určitě je dobré si předem zjistit, jak poskytovatel vybraného sandboxu s daty nakládá. My jsme navrhli systém, kdy si zákazník předem přesně určí, jaká data se budou odesílat a co se má se vzorkem stát po analýze. Pokud jde o nějaké citlivé soubory, je možné nastavit okamžité smazání vzorku z cloudu,“ popisuje Zubr.

Jake firmy využiji EDTD?

EDTD je řešení vhodné pro organizace zpracovávající velké množství osobních dat, zdravotnická zařízení, poskytovatelé důležitých služeb nebo jakékoli společnosti, které si nemohou dovolit odstávku způsobenou bezpečnostním incidentem.

Každá společnost by si měla představit kybernetický incident, při kterém by došlo k vyřazení počítačové sítě, a zjistit si, jak rychle je schopná obnovit provoz. Jsou to dny, týdny, měsíce? Následně si spočítat, kolik by taková odstávka stála. A jak velký problém by způsobila dnes stále častější krádež interních dat a jejich zveřejnění. A s vědomím těchto rizik volit adekvátní systém zálohování a antimalware technologií včetně případného sandboxu,“ doporučuje Zubr.

bitcoin_skoleni

Cílené sofistikované hrozby se nevyhýbají ani menším firmám. Ty mohou nově cloudový sandbox využít také. Eset totiž v reakci na nové hrozby během koronavirové krize zpřístupnil tuto technologii i malým společnostem od pěti koncových stanic.

Zdroj: Eset

Čtěte dále

ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
AT Computers je opět nejlepším distributorem klientských zařízení Dell
AT Computers je opět nejlepším distributorem klientských zařízení Dell