Čia nematoma kenkėjiška programa, todėl jūsų saugos programinė įranga negali jos sugauti

„Nematoma kenkėjiška programa“ yra nauja kenkėjiškų programų rūšis ir, jei ji atsitrenks į jūsų serverius, gali būti, kad joje nėra daug ką padaryti. Tiesą sakant, jūs net negalite pasakyti, kad ten yra. Kai kuriais atvejais nematoma kenkėjiška programa gyvena tik atmintyje, o tai reiškia, kad diskuose nėra jokio failo, kurį galėtų rasti galinio taško apsaugos programinė įranga. Kitais atvejais nematoma kenkėjiška programa gali gyventi jūsų pagrindinėje įvesties / išvesties sistemoje (BIOS), kur ji gali panaudoti vieną iš nedaugelio jūsų taktikų taktikų. Kai kuriais atvejais tai gali pasirodyti net kaip programinės aparatinės įrangos naujinimas, kai jis pakeičia esamą programinę-aparatinę įrangą užkrėsta versija, kurios rasti ar pašalinti yra beveik neįmanoma.

„Tobulėjant kovos su kenkėjiška programine įranga ir galutiniam taškų aptikimo bei reagavimo (EDR) programinei įrangai, palengvinančiai nulinės dienos kenkėjiškų programų gavimą, kenkėjiškų programų autoriai juda vis žemiau“, - teigė Alissa Knight, vyresnioji „Aite Group“ kibernetinio saugumo praktikos analitikė.. Ji specializuojasi aparatinės įrangos grėsmių srityje. „Knight“ teigė, kad kuriama ši naujo tipo kenkėjiška programa, kuri gali išvengti aptikimo pasenusia programine įranga.

EDR programinė įranga, kuri yra labiau pažengusi nei senieji AV paketai, yra daug efektyvesnė užpuolimų gaudymui, ir ši programinė įranga naudoja įvairius metodus, kad nustatytų, kada užpuolikas dirba. „EDR plėtra priverčia juodąją skrybėlę reaguoti ir sukuria branduolio šaknies rinkinius ir programinės įrangos šaknies rinkinius aparatinėje įrangoje, kur ji gali įrašyti į pagrindinį įkrovos įrašą“, - teigė Knight.

Tai taip pat paskatino sukurti virtualius šakninius rinkinius, kurie bus paleidžiami prieš operacinę sistemą (OS), sukuriant virtualią mašiną (VM) kenkėjiškoms programoms, kad jos nebūtų galima aptikti OS veikiančioje programinėje įrangoje. „Dėl to pagauti beveik neįmanoma“, - sakė ji.

„Blue Pill“ kenkėjiška programa ir dar daugiau

Laimei, virtualų šaknies rinkinį įdiegti į serverį vis dar sudėtinga - tiek, kiek jį bandantys užpuolikai paprastai dirba kaip valstybės remiami užpuolikai. Be to, bent dalį veiklos galima aptikti, o keletą sustabdyti. „Knight“ sako, kad „failų neturinti kenkėjiška programa“, veikianti tik atmintyje, gali būti nugalėta priverstinai išjungiant kompiuterį, kuriame jis veikia.

Tačiau „Knight“ taip pat teigė, kad prie tokios kenkėjiškos programos gali būti pridėta vadinamoji „Blue Pill“ kenkėjiška programa, kuri yra virtualios šaknies rinkinio forma, įkelianti save į VM, o paskui įkelianti OS į VM. Tai leidžia suklastoti išjungimą ir paleisti iš naujo, tuo pačiu leidžiant kenkėjiškajai programai toliau veikti. Štai kodėl jūs negalite tiesiog naudoti išjungimo pasirinkimo „Microsoft Windows 10“; veiks tik vilkdami kištuką.

Laimei, kartais gali būti aptinkama ir kita aparatinės įrangos atakų rūšis. „Knight“ teigė, kad viena įmonė, „SentinelOne“, sukūrė EDR paketą, kuris yra efektyvesnis nei dauguma, ir kartais gali aptikti, kai kenkėjiška programinė įranga puola į BIOS arba programinės įrangos aparatą.

Chrisas Batesas yra „SentinelOne“ produktų architektūros pasaulinis direktorius. Jis sakė, kad produkto agentai veikia autonomiškai ir prireikus gali derinti informaciją su kitomis pasekmėmis. „Kiekvienas„ SentinelOne “agentas kuria kontekstą“, - teigė Batesas. Jis sakė, kad kontekstas ir įvykiai, kurie vyksta kuriant kontekstą, sukuria istorijas, kurias galima panaudoti aptikant kenkėjiškų programų operacijas.

Batesas teigė, kad kiekviena pasekmė gali ištaisyti savo jėgą pašalindama kenkėjišką programinę įrangą arba įdėdama ją į karantiną. Bet Batesas taip pat sakė, kad jo EDR paketas negali sugauti visko, ypač kai tai vyksta ne OS. Vienas iš pavyzdžių yra USB nykščio diskas, kuris perrašo BIOS prieš paleidžiant kompiuterį.

Kitas pasirengimo lygis

Čia paaiškėja kitas pasirengimo lygis, paaiškino „Knight“ atstovas. Ji atkreipė dėmesį į bendrą „Intel“ ir „Lockheed Martin“ projektą, kuris sukūrė grūdinto saugumo sprendimą, veikiantį standartiniuose 2-osios kartos „Intel Xeon Scalable“ procesoriuose, vadinamą „Intel Select Solution Security with Lockheed Martin“. Šis naujas sprendimas skirtas užkirsti kelią kenkėjiškų programų infekcijoms, išskiriant kritinius išteklius ir juos apsaugant.

Tuo tarpu „Intel“ taip pat paskelbė apie dar vieną aparatinės įrangos prevencijos priemonių seriją, pavadintą „Hardware Shield“, kuri užrakina BIOS. „Tai technologija, kur, jei yra koks nors kenksmingo kodo švirkštimas, BIOS gali reaguoti“, - aiškino „Intel“ verslo klientų platformų viceprezidentas ir generalinis direktorius Stephanie Hallford. "Kai kurios versijos turės galimybę bendrauti tarp OS ir BIOS. OS taip pat gali reaguoti ir apsaugoti nuo išpuolio."

Deja, nėra daug ką galite padaryti, kad apsaugotumėte esamas mašinas. „Jūs turite pakeisti kritinius serverius“, - sakė „Knight“ ir pridūrė, kad taip pat turėsite nustatyti, kokie yra jūsų kritiniai duomenys ir kur jie veikia.

„„ Intel “ir AMD reikės įsitvirtinti ir demokratizuoti tai“, - teigė Knightas. "Kenkėjiškų programų kūrėjams tobulėjant, aparatinės įrangos pardavėjams reikės pasivyti ir padaryti prieinamą kainą."

Problema tik blogėja

Deja, Knightas teigė, kad problema tik blogės. „Nusikalstamumo ir kenkėjiškų programų rinkiniai taps lengvesni“, - sakė ji.

„Knight“ pridūrė, kad vienintelis būdas daugumai kompanijų išvengti problemos yra kritinių duomenų ir procesų perkėlimas į debesis, jei tik todėl, kad debesų paslaugų teikėjai gali geriau apsisaugoti nuo tokio tipo aparatinės įrangos išpuolių. „Laikas perduoti riziką“, - sakė ji.

O „Knight“ perspėjo, kad tuo metu, kai viskas juda, yra mažai laiko apsaugoti savo kritinius duomenis. „Tai virsta kirminu“, - prognozavo ji. "Tai taps savotišku dauginamuoju kirminu". Tai kibernetinio karo ateitis, sakė riteris. Tai amžinai nepaliks valstybės remiamų aktorių atsakomybės.

Žingsniai, kurių reikia imtis

Taigi, ką jūs dabar galite padaryti, kai ateityje tai niūrus? Štai keli pradiniai žingsniai, kuriuos turėtumėte atlikti iškart:

Jei dar neturite veiksmingos EDR programinės įrangos, tokios kaip „SentinelOne“, įsigykite ją dabar.

Atpažinkite savo svarbius duomenis ir stenkitės juos apsaugoti šifruodami, kol atnaujinate serverius, kuriuose yra duomenys, į mašinas, apsaugotas nuo aparatūros pažeidžiamumų, ir išnaudojimus, kuriais jomis pasinaudojama.

Jei jūsų kritiniai duomenys turi likti įmonėje, pakeiskite serverius, kuriuose yra šie duomenys, į platformas, kurios naudoja aparatūros technologijas, tokias kaip „Hardware Shield“ klientams ir „Intel Select Solutioned Security“ sprendimas su „Lockheed Martin“ serveriams.

Kur įmanoma, perkelkite savo kritinius duomenis debesies tiekėjams su saugomais procesoriais.

• • Geriausia antivirusinė apsauga 2019 m. Geriausia antivirusinė apsauga 2019 m
  • Geriausia 2019 m. Teikiama galinio taško apsaugos ir saugos programinė įranga Geriausia 2019 m
  • Geriausia kenkėjiškų programų pašalinimo ir apsaugos programinė įranga 2019 m. Geriausia kenkėjiškų programų pašalinimo ir apsaugos programinė įranga 2019 m

  Mokykite savo darbuotojus laikytis geros saugos higienos, kad jie nebūtų tie, kurie prijungia užkrėstą nykščio diską prie vieno iš jūsų serverių.

Įsitikinkite, kad jūsų fizinė sauga yra pakankamai stipri, kad apsaugotumėte serverius ir likusius tinklo galinius taškus. Jei visa tai leidžia jums manyti, kad saugumas yra ginklavimosi varžybos, tada jūs būsite teisūs.