U današnje vreme većina organizacija se redovno suočava sa malverskim napadima kroz e‑mail ili web kanal
Malver današnjice će sa lakoćom zaobići sve slojeve zaštite neke organizacije (antispam, URL filtering, IPS/IDS, firewall, antivirus, itd.), pokazujući njihovu neadekvatnost u novim prilikama. Najvidljiviji pokazatelj ovog trenda je ransomver (ransomware), malver koji kriptuje datoteke na disku, pri čemu autori traže novac u zamenu za povrat podataka. Masovna pojava ransomvera zapravo je najviše doprinela porastu potražnje za tzv. Breach Detection System rešenjima u regiji.
Pri kupovini rešenja za odbranu od naprednih napada, treba razmisliti o nekoliko važnih stavki.
- Napredna sandboxing tehnologija sa konzistentno dobrim stopama detekcije.
- Opseg pokrivenih protokola (videti ilustraciju): rešenje mora pokriti ne samo e‑mail (SMTP) i web (HTTP) gateway promet, već i intranet promet na CIFS i ostalim protokolima kakve tipično viđamo u LAN‑u. (Važno je uočiti tzv. lateral movement fazu napada.)
- Način pokrivanja SSL‑a: napadači sve češće koriste kriptovanu komunikaciju, što znači da su postojeća rešenja potpuno slepa za detekciju malvera isporučenog kroz SSL. Treba proceniti može li se postojećim rešenjima sav ili barem web (HTTP) dekriptovani promet dovesti do Breach Detection sistema, ili je potrebno dopuniti zaštitu ETM rešenjem (Encrypted Traffic Management).
- Poželjno je imati jednu tačku administracije i jednostavnu prezentaciju rezultata detekcije.
- Mogućnosti automatskog blokiranja u mail prometu (SMTP). Naime, priroda mail prometa je takva da najčešće ne funkcioniše u realnom vremenu, tj. dopušta određeno kašnjenje u isporuci (npr. 5 minuta) unutar kojeg je moguće izvršiti sandboxing analizu. U cilju prevencije, poželjno je da rešenje ima SMTP proxy, radi zaustavljanja problematičnog mail‑a.
- Otvorenost rešenja kroz jednostavan API pomoću kojeg je moguće „trošiti“ rezultate analize i staviti u pogon postojeća rešenja u ekosistemu zaštite (npr. isporuka pronađenih sumnjivih URL‑ova ili IP adresa u Nextgen Firewall sistem, itd.). Ovaj kriterijum često biva zanemaren, a zapravo je vrlo bitan, jer štiti postojeće investicije u zaštitu i omogućava blokiranje pretnji gotovo u realnom vremenu.
- Bilo bi idealno imati mogućnost korišćenja rezultata analize na end‑point antimalver sloju (automatski fidbek, tj. „oplemenjivanje“ detekcije lokalno pronađenim malverom).
Trend Micro Deep Discovery
Rešenje koje se bavi svim navedenim elementima zaštite je Trend Micro Deep Discovery. Koristeći Deep Discovery, organizacija dobija uvid u aktivnost zloćudnog koda u sopstvenoj mreži, vidljivost dolaznog i odlaznog saobraćaja i mogućnost proaktivne zaštite kroz integraciju sa raznim drugim sigurnosnim proizvodima. Deep Discovery analizira kompletan promet u pojedinoj mreži ili organizaciji i pri tom ne izvodi agresivne korake samostalno, već informacije o prisustvu virusa ili zloćudnog koda daje drugim komponentama zaštite (npr. zaštita klijentskih uređaja, zaštita e‑mail‑a, web zaštita, firewall, itd.). Kada prilikom provere prometa pronađe kod za koji sistem nije siguran šta će učiniti, šalje ga na dalju analizu, kroz izvršavanje u kontrolisanom okruženju, identičnom klijentskom sistemu (tzv. korisnički definisan sandbox). Takvo izvršavanje daje konačan i realan uvid u planiranu aktivnost nepoznatog koda, te je moguće sa preciznošću od preko 99% otkriti do sada nepoznat zloćudni kod.
Trend Micro i COMING – Computer Engineering tim dostupni su za svaku vrstu detaljnih konsultacija u vezi sa ovim rešenjem, uz mogućnost testiranja uređaja bez ikakvih obaveza.
Treću godinu zaredom, nezavisno istraživanje kompanije NSS Labs potvrđuje visoku stopu detekcije Trend Micro Deep Discovery rešenja.
0 %s Comments