Kybernetičtí zločinci nechtějí, aby jejich výtvor zablokoval antivir. Vytvářejí proto malware tak, aby se vyhnul standardním detekčním technikám na koncových zařízeních.
„Některé hrozby je velmi obtížné automaticky identifikovat statickou analýzou. Rozbor takových souborů je nejsnazší dělat při spuštění, kdy se vždy projeví jejich škodlivé chování. A protože se chceme maximálně vyhnout spouštění škodlivých vzorků na počítačích našich zákazníků, přicházíme se sandboxem. Potenciálně škodlivý soubor spustíme v našem izolovaném prostředí, kde věrně simulujeme operační systém, mnoho různých aplikací, a dokonce i typickou činnost uživatele,“ vysvětluje Václav Zubr, bezpečnostní expert české pobočky Esetu.
V prostředí sandboxu vyhodnocují vzorek ty nejpokročilejší technologie. Jsou zpravidla velmi náročné na hardwarové prostředky, proto jsou umístěné v sandboxu – na výkonných serverech, které umožňují dělat podrobnou analýzu bez vytížení počítačů koncových uživatelů.
Díky těmto technologiím, jako jsou strojové učení, neuronové sítě nebo různé klasifikační algoritmy, je možné včas odhalit a zastavit nové typy hrozeb, jako jsou obávaný ransomware nebo například zero-day útok zneužívající ještě neopravenou chybu v nějaké aplikaci nebo operačním systému. Sandbox také velmi urychluje detekci škodlivého kódu u „pacienta nula“. Pokud má uživatel Eset Dynamic Threat Defense aktivovaný, výsledek analýzy putuje bez prodlení i na zařízení, které do sandboxu jako první vzorek zaslalo a okamžitě dochází k blokaci. Nejtypičtější vektor? E-mailové přílohy.
„Většina analyzovaných vzorků pochází z e-mailů. Náš sandbox vyhodnocuje především sofistikované downloadery a škodlivý kód ukrytý v makrech. Je tedy vidět, že e-mailové přílohy jsou stále velmi rizikové,“ říká Zubr.
Díky integrované podpoře cloudového sandboxu přímo v antimalware produktu lze těmto útokům předcházet – škodlivý kód v e-mailech blokovat i proaktivně. Uživateli se neumožní spuštění podezřelého souboru, dokud není známý výsledek jeho analýzy v sandboxu. Tím je možné zajistit, že škodlivý program nepoběží na počítači uživatele ani minutu.
Komplexní rozbor vzorku do pěti minut
Eset Dynamic Threat Defense vyhodnotí 90 % vzorků za méně než pět minut. Po automatické analýze v sandboxu je soubor označen jako čistý, podezřelý, velmi podezřelý nebo rovnou jako škodlivý. Administrátor může předem specifikovat, od jaké hodnoty bude docházet k blokaci. Včetně rozdílného nastavení u jednotlivých zařízení nebo skupin zařízení.
Například finanční oddělení bude moci spouštět pouze soubory, které byly označené jako čisté. Zatímco u skupiny vývojářů budou blokované pouze vzorky označené jako jistý malware. Díky tomu nedojde k situaci, že by byly části vyvíjených legitimních programů automatickým cloudovým sandboxem chybně blokované. Administrátor spolu s informací o míře rizika obdrží i zprávu, která popisuje problematické chování konkrétního vzorku.
Výkonný sandbox na jedno kliknuti
Cloudové řešení Eset Dynamic Threat Defense není třeba instalovat, stačí jej pouze zapnout v existujících produktech pro ochranu koncových stanic nebo serverů. Zároveň je velmi jednoduché nastavit veškeré parametry sandboxu včetně různých výjimek zajišťujících například, že určité typy souborů nebudou nikdy z firmy odeslány.
„Často se setkávám s obavami z úniku dat. Přece jen firma posílá data někam do cloudu mimo vlastní organizaci. Určitě je dobré si předem zjistit, jak poskytovatel vybraného sandboxu s daty nakládá. My jsme navrhli systém, kdy si zákazník předem přesně určí, jaká data se budou odesílat a co se má se vzorkem stát po analýze. Pokud jde o nějaké citlivé soubory, je možné nastavit okamžité smazání vzorku z cloudu,“ popisuje Zubr.
Jake firmy využiji EDTD?
EDTD je řešení vhodné pro organizace zpracovávající velké množství osobních dat, zdravotnická zařízení, poskytovatelé důležitých služeb nebo jakékoli společnosti, které si nemohou dovolit odstávku způsobenou bezpečnostním incidentem.
„Každá společnost by si měla představit kybernetický incident, při kterém by došlo k vyřazení počítačové sítě, a zjistit si, jak rychle je schopná obnovit provoz. Jsou to dny, týdny, měsíce? Následně si spočítat, kolik by taková odstávka stála. A jak velký problém by způsobila dnes stále častější krádež interních dat a jejich zveřejnění. A s vědomím těchto rizik volit adekvátní systém zálohování a antimalware technologií včetně případného sandboxu,“ doporučuje Zubr.
Cílené sofistikované hrozby se nevyhýbají ani menším firmám. Ty mohou nově cloudový sandbox využít také. Eset totiž v reakci na nové hrozby během koronavirové krize zpřístupnil tuto technologii i malým společnostem od pěti koncových stanic.
Zdroj: Eset