Domov Posel Tu je nevidna zlonamerna programska oprema in vaša varnostna programska oprema je ne more ujeti

Tu je nevidna zlonamerna programska oprema in vaša varnostna programska oprema je ne more ujeti

Kazalo:

Video: RAČUNALNIŠKE OSNOVE: Strojna in programska oprema (November 2024)

Video: RAČUNALNIŠKE OSNOVE: Strojna in programska oprema (November 2024)
Anonim

"Nevidna zlonamerna programska oprema", nova vrsta zlonamerne programske opreme, je na pohodu, in če bo napadel vaše strežnike, morda ne boste veliko storili glede tega. Pravzaprav morda sploh ne boste mogli povedati, da je tam. V nekaterih primerih nevidna zlonamerna programska oprema živi samo v pomnilniku, kar pomeni, da na diskih ni nobene datoteke, ki bi jo našla programska oprema za zaščito končnih točk. V drugih primerih lahko nevidna zlonamerna programska oprema živi v vašem osnovnem vhodno / izhodnem sistemu (BIOS), kjer lahko uporabi eno od nekaj taktik za napad. V nekaterih primerih se lahko celo pojavi kot posodobitev vdelane programske opreme, če nadomesti obstoječo vdelano programsko opremo z okuženo različico in skoraj nemogoče najti ali odstraniti.

"Z napredkom v programski opremi za preprečevanje zlonamerne programske opreme ter zaznavanju in odzivanju končnih točk (EDR) je lažje ujeti zlonamerno programsko opremo, ki se ne ukvarja z enim dnem, se pisci zlonamerne programske opreme pomikajo vse nižje, " je povedala Alissa Knight, višja analitičarka v praksi kibernetske varnosti Aite Group. Specializirana je za strojne grožnje. Knight je dejal, da se razvija nova vrsta zlonamerne programske opreme, ki lahko prepreči zaznavanje starejše programske opreme.

Programska oprema EDR, ki je naprednejša od zastarelih AV paketov, je veliko učinkovitejša pri lovu na napade in ta programska oprema uporablja različne metode za določitev, kdaj je napadalec v službi. "Zaradi razvoja EDR-ja se črni klobuk odzove in ustvari korenske komplete jedra in korenske komplete vdelane programske opreme. To je v strojni opremi, kjer lahko piše v glavni zagonski zapis, " je dejal Knight.

Privedlo je tudi do ustvarjanja navideznih korenskih kompletov, ki se bodo zagnali pred operacijskim sistemom (OS) in ustvarili navidezni stroj (VM) za zlonamerno programsko opremo, tako da ga programska oprema v operacijskem sistemu ne more zaznati. "Zaradi tega je skoraj nemogoče ujeti, " je dejala.

Blue Pill Malware in še več

Na srečo je namestitev navideznega korenskega kompleta na strežnik še vedno težavna - kolikor napadalci, ki to poskušajo, na splošno delujejo kot državni sponzorji. Poleg tega je mogoče zaznati vsaj nekatere dejavnosti in nekatere ustaviti. Knight pravi, da je "zlonamerna programska oprema brez datotek", ki deluje samo v pomnilniku, mogoče premagati s prisilnim izklopom računalnika, na katerem je nameščen.

Toda Knight je še dejal, da takšno zlonamerno programsko opremo lahko spremlja "zlonamerna programska oprema Blue Pill", ki je oblika navideznega korenskega kompleta, ki se naloži v VM in nato naloži OS v VM. To omogoča ponarejeno zaustavitev in ponovni zagon, medtem ko zlonamerna programska oprema še naprej deluje. Zato v programu Microsoft Windows 10 ne morete uporabiti samo možnosti za zaustavitev; samo vlečenje čepa bo delovalo.

Na srečo lahko druge vrste napadov strojne opreme včasih zaznamo, ko so v teku. Knight je dejal, da je eno podjetje, SentinelOne, ustvarilo paket EDR, ki je učinkovitejši od večine in včasih lahko zazna, kdaj zlonamerna programska oprema napada računalnik BIOS ali strojno programsko opremo.

Chris Bates je globalni direktor produktne arhitekture pri SentinelOne. Povedal je, da zastopniki izdelka delujejo samostojno in lahko po potrebi kombinirajo informacije z drugimi končnimi točkami. "Vsak agent SentinelOne gradi kontekst, " je dejal Bates. Dejal je, da kontekst in dogodki, ki se dogajajo med gradnjo konteksta, ustvarjajo zgodbe, ki jih je mogoče uporabiti za zaznavanje delovanja zlonamerne programske opreme.

Bates je dejal, da lahko vsaka končna točka odpravi sanacijo sama, tako da odstrani zlonamerno programsko opremo ali jo da v karanteno. Toda Bates je še dejal, da njegov paket EDR ne more zajeti vsega, še posebej, če se zgodi zunaj operacijskega sistema. Primer USB-palca, ki na novo napiše BIOS, preden se računalnik zažene.

Naslednja stopnja priprave

Tukaj nastopi naslednja stopnja priprav, je pojasnil Knight. Opozorila je na skupni projekt med Intel in Lockheed Martin, ki je ustvaril utrjeno varnostno rešitev, ki deluje na standardnih procesorjih Intel Xeon 2. generacije, imenovanih "Intel Select Solution for Hardened Security with Lockheed Martin." Ta nova rešitev je zasnovana za preprečevanje okužb z zlonamerno programsko opremo z izolacijo kritičnih virov in njihovo zaščito.

Medtem je Intel napovedal tudi drugo serijo ukrepov za preprečevanje strojne opreme, imenovane "Hardware Shield", ki zaklene BIOS. "To je tehnologija, pri kateri lahko BIOS, če pride do neke vrste vbrizgavanja zlonamerne kode, odzove, " je pojasnila Stephanie Hallford, podpredsednica in generalna direktorica platform Business Business Client pri Intelu. "Nekatere različice bodo lahko komunicirale med OS in BIOS-om. OS se lahko odzove in zaščiti pred napadom."

Na žalost ni mogoče veliko storiti za zaščito obstoječih strojev. "Zamenjati morate kritične strežnike, " je dejal Knight in dodal, da boste morali določiti tudi, kaj so vaši kritični podatki in kje se izvajajo.

"Intel in AMD bosta morala doseči prednost in to demokratizirati, " je dejal Knight. "Ko bodo pisci zlonamerne programske opreme postali boljši, bodo morali prodajalci strojne opreme dohiteti cenovno ceno."

Problem se le poslabša

Knight je na žalost dejal, da se težava le še poslabša. "Zločinski kompleti in kompleti zlonamerne programske opreme bodo olajšani, " je dejala.

Knight je dodal, da je edini način, da se večina podjetij izogne ​​težavi, da svoje kritične podatke in procese premakne v oblak, pa čeprav samo zato, ker se lahko ponudniki storitev v oblaku bolje zaščitijo pred tovrstno strojno napado. "Čas je, da tveganje prenesemo, " je dejala.

Knight je opozoril, da je s hitrostjo, ko se stvari premikajo, malo časa za zaščito vaših kritičnih podatkov. "To se bo spremenilo v črva, " je napovedala. "Postal bo neke vrste samorazmnoževalni črv." Knight je prihodnost kibernetskega bojevanja. Ne bo za vedno ostal v pristojnosti akterjev, ki jih financira država.

Koraki za izvedbo

Torej, s prihodnostjo ta prizor, kaj lahko storite zdaj? Tu je nekaj začetnih korakov, ki jih morate takoj sprejeti:

    Če še nimate učinkovite programske opreme za EDR, kot je SentinelOne, si jo zdaj zagotovite.

    Med nadgradnjo strežnikov, na katerih so podatki, v strojih, zaščitenih pred ranljivostjo strojne opreme in podvigi, ki jih izkoristijo, prepoznajte svoje kritične podatke in jih zaščitite s šifriranjem.

    Če morajo biti vaši kritični podatki lastni, zamenjajte strežnike, ki vsebujejo te podatke, na platformah, ki uporabljajo strojne tehnologije, kot sta strojna oprema Shield za stranke in Intel Select Solution for Hardened Security s Lockheed Martin za strežnike.

    Kadar koli je to mogoče, premaknite svoje kritične podatke ponudnikom oblakov z zaščitenimi procesorji.

    • Najboljša protivirusna zaščita za leto 2019 Najboljša protivirusna zaščita za leto 2019
    • Najboljša programska oprema za zaščito in zaščito končne točke za leto 2019 Najboljša programska oprema za zaščito in zaščito končnih točk za leto 2019
    • Najboljša programska oprema za odstranjevanje in zaščito zlonamerne programske opreme za leto 2019 Najboljša programska oprema za odstranjevanje in zaščito zlonamerne programske opreme za leto 2019

    Vadite svoje osebje v dobro varnostno higieno, da ne bo tisti, ki vtakne okuženi palec v enega od vaših strežnikov.

  • Poskrbite, da bo vaša fizična varnost dovolj močna, da ščiti strežnike in preostale končne točke v vašem omrežju. Če se vam ob vsem tem zdi, da je varnost tekma z orožjem, potem bi imeli prav.

Tu je nevidna zlonamerna programska oprema in vaša varnostna programska oprema je ne more ujeti