Näkymätön haittaohjelma on täällä, ja tietoturvaohjelmistosi ei pysty siihen kiinni

"Näkymätön haittaohjelma" on uudenlainen haittaohjelma, joka on marssilla, ja jos se iskee palvelimillesi, siellä ei ehkä ole paljon tehtävää. Itse asiassa et ehkä edes voi kertoa, että se on olemassa. Joissain tapauksissa näkymätön haittaohjelma elää vain muistissa, mikä tarkoittaa, että levyilläsi ei ole tiedostoa, jota päätepisteohjelmisto löytää. Muissa tapauksissa näkymätön haittaohjelma voi elää perustietojen syöttö- ja tulostusjärjestelmässä (BIOS), jossa se voi käyttää jotakin harvoista taktiikoista hyökkäyksessäsi. Joissain tapauksissa se saattaa jopa näyttää laiteohjelmistopäivityksenä, kun se korvaa nykyisen laiteohjelmistosi ohjelmalla, joka on saastunut ja jota on lähes mahdotonta löytää tai poistaa.

"Koska haittaohjelmien torjunta ja päätepisteiden havaitseminen ja reagointi (EDR) -ohjelmat ovat helpottaneet nollapäivän haittaohjelmien sieppaamista, haittaohjelmien kirjoittajat ovat siirtymässä ala-alalle pinoa", kertoi Alissa Knight, vanhempi analyytikko Aite Groupin kyberturvallisuuskäytännössä.. Hän on erikoistunut laitteistopohjaisiin uhkiin. Knight kertoi, että tätä uudentyyppistä haittaohjelmaa kehitetään, joka voi kiertää vanhojen ohjelmistojen havaitsemisen.

EDR-ohjelmisto, joka on edistyneempi kuin vanhat AV-paketit, on paljon tehokkaampi hyökkäysten sieppaamisessa, ja tämä ohjelmisto käyttää erilaisia ​​menetelmiä määrittääkseen, milloin hyökkääjä on töissä. "EDR: n kehitys saa mustan hatun reagoimaan ja luomaan ytimen juurikomplektit ja laiteohjelmiston juurikomplektit laitteistoon, johon se voi kirjoittaa pääkäynnistysrekisteriin", Knight sanoi.

Se on myös johtanut virtuaalisten juurikomplektien luomiseen, jotka käynnistyvät ennen käyttöjärjestelmää (OS), luomalla haittaohjelmille virtuaalikoneen (VM), jotta käyttöjärjestelmässä toimivat ohjelmistot eivät tunnista sitä. "Se tekee melkein mahdotonta kiinniottamista", hän sanoi.

Blue Pill -haittaohjelmat ja muut

Onneksi virtuaalisen juurikomplektin asentaminen palvelimelle on edelleen vaikeaa - siltä osin kuin sitä yrittävät hyökkääjät toimivat yleensä valtion tukemina hyökkääjinä. Lisäksi ainakin osa toiminnoista voidaan havaita ja muutamat voidaan lopettaa. Knight sanoo, että "vain tiedostoina toimiva haittaohjelma", joka toimii vain muistissa, voidaan voittaa sammuttamalla virta tietokoneesta, jolla se toimii.

Mutta Knight sanoi myös, että tällaiseen haittaohjelmaan voi liittyä niin kutsuttu "Blue Pill -haittaohjelma", joka on eräänlainen virtuaalinen juurikomplekti, joka lataa itsensä VM: ään ja sitten OS: n VM: ään. Tämän avulla se voi väärentää sammutuksen ja käynnistyä uudelleen, kun se antaa haittaohjelmien jatkuvan käynnissä. Siksi et voi vain käyttää sammutusvaihtoehtoa Microsoft Windows 10: ssä; vain pistokkeen vetäminen toimii.

Onneksi muun tyyppiset laitehyökkäykset voidaan joskus havaita niiden ollessa käynnissä. Knight kertoi, että yksi yritys, SentinelOne, on luonut EDR-paketin, joka on tehokkaampi kuin useimmat ja voi joskus havaita, kun haittaohjelmat hyökkäävät koneen BIOS- tai laiteohjelmistoon.

Chris Bates on SentinelOnen tuotearkkitehtuurin johtaja. Hänen mukaan tuotteen edustajat toimivat itsenäisesti ja voivat tarvittaessa yhdistää tietoja muihin päätepisteisiin. "Jokainen SentinelOne-agentti rakentaa kontekstia", Bates sanoi. Hän sanoi, että konteksti ja kontekstin rakentamisen aikana tapahtuvat tapahtumat luovat tarinoita, joiden avulla voidaan havaita haittaohjelmien toiminta.

Bates sanoi, että jokainen päätepiste voi korjata itsensä poistamalla haittaohjelmat tai asettamalla ne karanteeniin. Mutta Bates sanoi myös, että hänen EDR-paketinsa ei pysty kaappaamaan kaikkea, varsinkin kun se tapahtuu käyttöjärjestelmän ulkopuolella. Yksi esimerkki on USB-peukalo, joka kirjoittaa BIOSin ennen tietokoneen käynnistystä.

Seuraava valmistautumisaste

Tässä tulee seuraava valmistelutaso, Knight selitti. Hän huomautti Intelin ja Lockheed Martinin yhteishankkeesta, joka loi kovetetun tietoturvaratkaisun, joka toimii tavanomaisissa toisen sukupolven Intel Xeon Scalable -prosessoreissa ja nimeltään "Intel Select Solution for Soldened Solution with Lockheed Martin". Tämä uusi ratkaisu on suunniteltu estämään haittaohjelmainfektiot eristämällä kriittiset resurssit ja suojaamalla niitä.

Samaan aikaan Intel on ilmoittanut myös toisesta laitteistojen ehkäisevien toimenpiteiden sarjasta nimeltään "Hardware Shield", joka lukitsee BIOSin. "Tämä on tekniikka, jossa BIOS voi reagoida, jos siinä on jonkinlainen haittakoodin injektio", selitti Intelin Business Client Platforms -yrityksen varatoimitusjohtaja ja toimitusjohtaja Stephanie Hallford. "Joillakin versioilla on kyky kommunikoida käyttöjärjestelmän ja BIOS: n välillä. OS voi myös vastata ja suojata hyökkäykseltä."

Valitettavasti olemassa olevien koneiden suojaamiseksi ei voi tehdä paljon. "Sinun on vaihdettava kriittiset palvelimet", Knight sanoi ja lisäsi, että sinun on myös määritettävä, mikä kriittinen tietosi on ja missä se toimii.

"Intelin ja AMD: n on saatava pallo ja demokratisoitava tämä", Knight sanoi. "Kun haittaohjelmien kirjoittajat paranevat, laitteistovalmistajien on kiinni asiasta ja tehtävä siitä edullinen."

Ongelma vain pahenee

Valitettavasti Knight sanoi, että ongelma vain pahenee. "Rikos- ja haittaohjelmistopaketit helpottavat", hän sanoi.

Knight lisäsi, että useimpien yritysten ainoa tapa välttää ongelma on siirtää kriittiset tiedot ja prosessit pilveen, jos vain siksi, että pilvipalveluntarjoajat voivat paremmin suojautua tällaisilta laitteistohyökkäyksiltä. "On aika siirtää riski", hän sanoi.

Ja Knight varoitti, että asioiden liikkuessa nopeudella ei ole vähän aikaa kriittisten tietojen suojaamiseen. "Tämä muuttuu matoksi", hän ennusti. "Siitä tulee jonkinlainen itsestään lisäävä mato." Se on tietoverkkojen tulevaisuus, Knight sanoi. Se ei pysy ikuisesti valtion tukemien näyttelijöiden vastuulla.

Vaiheet toteutettavaksi

Joten mitä tulevaisuuden tämän synkkä, mitä voit tehdä nyt? Tässä on muutamia aloitusvaiheita, jotka sinun pitäisi suorittaa heti:

Jos sinulla ei vielä ole tehokasta EDR-ohjelmistoa, kuten SentinelOne, hanki se nyt.

Tunnista kriittiset tiedot ja suojaa niitä salaamalla, kun päivität tietoja palvelimiin laitteisiin, jotka on suojattu laitteiden haavoittuvuuksilta, ja hyödyntää niitä hyödyntäviä hyödykkeitä.

Jos kriittisten tietojen on pysyttävä sisäisinä, korvaa kyseiset tiedot sisältävät palvelimet laitteistoteknologiaa käyttävillä alustoilla, kuten laitteiden suojaus asiakkaille ja Intel Select Solution Security Solution -sovellus palvelimille Lockheed Martin.

Siirrä kriittiset tiedot mahdollisuuksien mukaan pilvipalveluntarjoajiin, joilla on suojattu prosessori.

• • Paras virustorjuntaohjelma vuodelle 2019 Paras virustorjuntaohjelma vuodelle 2019
  • Paras isännöity päätepisteiden suojaus- ja tietoturvaohjelmisto vuodelle 2019 Paras isännöity päätepisteiden suojaus- ja tietoturvaohjelmisto vuodelle 2019
  • Paras haittaohjelmien poisto- ja suojausohjelmisto vuodelle 2019 Paras haittaohjelmien poisto- ja suojausohjelmisto vuodelle 2019

  Pidä henkilöstösi kouluttamisessa hyvää turvallisuushygieniaa, jotta he eivät ole niitä, jotka kytkevät tartunnan saaneet peukaloaseman johonkin palvelimiin.

Varmista, että fyysinen tietoturvasi on riittävän vahva palvelimien ja verkon muiden päätepisteiden suojaamiseksi. Jos kaiken tämän perusteella näyttää siltä, ​​että turvallisuus on asekilpailua, olisit oikeassa.