Vysvětlovat dnes někomu v IT, že ransomware je nejrozšířenější způsob útoku, je jako chodit s dřívím do lesa. Resellery však může pobavit fakt, že skupina, která vytvořila ransomware Locky, na něm nejenže loni vydělala kolem 1,5 miliardy dolarů, ale vymyslela také partnerský program. „Obchodní partneři“ spolupracují na lokalizaci (phishingu) pro úspěšnější šíření útoků v jiných regionech. To vysvětlil Peter Skondro, senior sales engineer ve společnosti Sophos, ve své prezentaci.
Ta se udála uvnitř kamionu, který Sophos přestavěl na prezentační prostor svého nového řešení Intercept X, a jezdí s ním napříč Evropou.
Skondro nejprve ukázal, jak jak lze hrozby většinou zastavit na endpointu. Tradiční malware lze odrazit v 80 % na povrchu (URL filteringem, reputační kontrolou stahovaných souborů a kontrolou zařízení). Další desetina se dá zablokovat heuristickou analýzou a na úrovni nastavení pravidel. Pouze pět procent malwaru pak zastaví kontrola na základě známých signatur.
Stále však zbývá pět procent moderních hrozeb. Z nich lze podle Petera Skondra tři procenta zastavit behaviorálním monitoringem (sledováním, jak se procesy chovají, a při podezřelém chování je zablokovat). Zbylá dvě procenta představují exploity dosud neopravených zranitelností.
Útoky, na jejichž ochranu nemá IT čas
Přesto, že výrobci SW pravidelně vydávají záplaty, řada IT oddělení je nestíhá instalovat v době jejich vydání. Mezidobí využívají útočníci k jejich zneužití, shrnul Skondro.
Tuto oblast se Sophos rozhodl ošetřit technologií Intercept X sestávající se z několika modulů. Jeden detekuje a blokuje neautorizované šifrování disku, další např. skrze forenzní detekci hledá a zastavuje neznámý malware. Poslední komponenta Root Cause Analysis analyzuje útok – co se stalo, co bylo dotčeno a jak se tomuto útoku bránit do budoucna.
Jak funguje ochrana před ransomwarem? Peter Skondro vysvětlil, že tzv. CryptoGuard rozpoznává, zda se proces chystá šifrovat soubor. V takovém případě vytvoří jeho zálohu, dovolí malwaru soubor zašifrovat, a čeká na další kroky. Pokud se to několikrát opakuje, CryptoGuard proces zablokuje, nahlásí, šifrované soubory ze zálohy obnoví a případně analyzuje způsob šifrování porovnáním zálohovaného a zašifrovaného souboru. Stejně technologie funguje na úrovni zařízení i na úrovni sítě.
Konkurenční výhodou Sophos Intercept X má být možnost používat řešení současně s jinými (konkurenčními) antimalwarovými programy.
Intercept X je napojený na „Security Heartbeat“, kterou Sophos používá pro zvýšení zabezpečení a komunikaci jednotlivých bezpečnostních prvků napříč sítí – v případě zachycení podezřelého chování to zařízení nahlásí firewall, který podle nastavených pravidel např. zakáže komunikaci koncového bodu dál po síti. V případě ransomwaru tak dojde k zablokování odeslání nešifrovaných souborů útočníkovi a zastavení šíření nákazy dál. Správce pak může situaci vyhodnotit a rozhodnout o dalším postupu.
Zatím je dostupní řešení pro Windows, verze pro MacOS by měla být dostupná na přelomu druhého a třetího kvartálu. Pro virtuální servery jsou podporované HyperX a VMware.
Zdroj: ChannelWorld
