O co chodzi z tymi niesygnaturowymi rozwiązaniami do ochrony przed złośliwym oprogramowaniem?

bezpieczeństwo

Gartner niedawno opublikował wnikliwy raport pod tytułem „The Real Value of a Non-Signature-Based Anti-Malware Solution to Your Organization”. W raporcie tym opisuje, jak technologie niesygnaturowe mogą uzupełnić strategię ochrony punktów końcowych.

Sprawdźmy, jak Gartner zdefiniował niesygnaturowe rozwiązania do ochrony przed złośliwym oprogramowaniem. Oto odpowiedni fragment raportu:

gartner-next-gen-feature-list

Lista technologii niesygnaturowych z raportu Gartnera “The Real Value of a Non-Signature-Based Anti- Malware Solution to Your Organization”, 22 września 2016, autorzy: Eric Ouellet i Peter Firstbrook

Jak zatem nasze technologie ochrony punktów końcowych wypadają na tle konkurencji?

Utwardzanie – zwykle kontrola aplikacji

Funkcję tę, określaną zresztą mianem „Application Control”, dołączamy do naszych produktów biznesowych. To coś, o czym (jeszcze) nie pisałem na blogu. Utwardzanie (hardening) sprawdza się doskonale w środowiskach korporacyjnych, w których dział IT może stworzyć listę oprogramowania albo certyfikatów Authenticode dozwolonych w organizacji. Stosuje się ją następnie do wszystkich punktów końcowych, w których może być wykonywane tylko oprogramowanie zdefiniowane na liście.

Kontrola aplikacji jest szczególnie przydatna w środowiskach „utwardzonych”, takich jak urządzenia osadzone (na przykład bankomaty albo terminale kasowe), gdzie lista dozwolonego oprogramowania jest bardzo krótka i dobrze zdefiniowana. W innych środowiskach korporacyjnych może nadmiernie ograniczać użytkowników. Właśnie dlatego jest to funkcja biznesowa. Pozostawiamy do uznania lokalnych działów IT, jak chcą używać tej funkcji, w zależności od tego, jak bardzo restrykcyjne są ich zasady.

Nie jestem pewien, od jak dawna kontrola aplikacji znajduje się w naszych produktach. Jeśli dobrze pamiętam, funkcja ta była już dostępna, kiedy zacząłem pracować w F-Secure ponad 11 lat temu (spróbowałem zainstalować World of Warcraft na służbowym laptopie, żeby pobawić się po pracy, i spotkałem się z natychmiastową odmową).

Utwardzanie może też obejmować zarządzanie poprawkami. Mamy komponent o nazwie „Software Updater”, który wylicza całe oprogramowanie w systemie, sprawdza najnowsze poprawki i automatycznie aktualizuje oprogramowanie w tle bez ingerencji użytkownika. Ponieważ niezałatane luki w zabezpieczeniach to jeden z najpopularniejszych wektorów infekcji, zarządzanie poprawkami jest niezwykle użyteczne, ponieważ zapewnia administratorom więcej czasu na inne ważne zadania.

Ochrona pamięci (zapobieganie exploitom)

Nasze metody zapobiegania exploitom są takie same jak te, których używa się w produktach niesygnaturowych. Podłączamy się do procesów aplikacyjnych i systemowych, aby analizować zawartość pamięci i ślad wykonania, wykrywać podejrzane zachowania i przerywać procesy, które naruszają reguły. Pozwala nam to powstrzymać exploity, które atakują przeglądarki, wtyczki do przeglądarek oraz popularne aplikacje (takie jak czytniki PDF i Microsoft Office). Przydaje się to również do identyfikowania ataków skryptowych. Tej samej technologii używamy do monitorowania aktywności/zachowania, o czym piszę poniżej.

Izolacja

Technologie izolacji chronią system poprzez umieszczanie procesów w „piaskownicach” z ograniczonym dostępem do systemu operacyjnego. Bromium to pierwszy produkt, który przychodzi mi do głowy, kiedy myślę o technologiach izolacji. My tego nie robimy, ponieważ jest to radykalnie odmienne podejście do zabezpieczenia punktów końcowych, przypominające przerabianie Windows na iOS. Izolacja to naprawdę skuteczny sposób ochrony systemu (pod warunkiem rozwiązania niebanalnych problemów z funkcjonalnością, jakie się z tym wiążą). Poprawnie zaimplementowane technologie izolacji mogą wyeliminować potrzebę stosowania większości innych typów ochrony.

W naszych rozwiązaniach najbliższym odpowiednikiem tej technologii jest analiza w piaskownicy na urządzeniu klienckim. Po napotkaniu pewnych podejrzanych próbek uruchamiamy piaskownicę, wykonujemy plik, badamy ślad wykonania i określamy, czy próbka jest złośliwa. Taka metoda analizy obciąża system, więc nie robimy tego w przypadku każdego napotkanego pliku. Twórcy złośliwego oprogramowania często dodają nowe triki przeciwko emulacji, które uniemożliwiają analizę w piaskownicy, co zmusza nas do regularnego aktualizowania komponentów i reguł.

Monitorowanie aktywności/zachowania

O naszych technologiach analizy behawioralnej pisałem w kilku wcześniejszych postach na blogu. W rzeczywistości jeden z nich poświęciłem w całości temu tematowi. Nie będę powtarzał tu tego, co napisałem w tamtym poście, przypomnę tylko, że oferujemy analizę behawioralną już od dekady i wchodzi ona w skład każdego naszego produktu do ochrony Windows. Słyszałeś o Locky’m? Reguły behawioralne, które wykryły tę konkretną rodzinę ransomware’u, znajdowały się w naszym produkcie już półtora roku przed tym, jak Locky’ego wypuszczono do sieci.

Algorytmiczna klasyfikacja plików

Niedawno pisałem o tym, jak używamy technik maszynowego uczenia się do ochrony systemów i wykrywania zagrożeń. Jak stwierdziłem w tamtym poście, wykorzystujemy techniki maszynowego uczenia się do „szkolenia” komponentów działających w punktach końcowych tak, aby potrafiły określać potencjalną szkodliwość zarówno na poziomie strukturalnym, jak i behawioralnych. I w tym przypadku odpowiednie technologie znajdują się w naszych produktach dla Windows już od dziesięciu lat.

Odhaczyliśmy cztery z pięciu punktów. Gdzie zatem plasuje się F-Secure?

Gartner to autorytatywny i wpływowy głos w branży cyberbezpieczeństwa. Wiele przedsiębiorstw korzysta z jego rad, wybierając nowy produkt lub rozwiązanie. Rozumiemy, że potrzebna jest terminologia do odróżnienia dostawców jednofunkcyjnej technologii od liczących się graczy na rynku ochrony punktów końcowych. W swoim raporcie Gartner używa do tego terminów „niesygnaturowy” i „sygnaturowy”. Problem w tym, że działy marketingu promujące produkty „nowej generacji” postarały się o to, żeby „sygnaturowy” zaczęło znaczyć „bazujący wyłącznie na sygnaturach”.

Każdy, kto interesuje się techniką, wie, że na rynku nie ma żadnych produktów do ochrony punktów końcowych, które korzystałyby wyłącznie z sygnatur. Jednak termin „sygnaturowy” zdaje się również sugerować, że ta kategoria produktów nadmiernie polega na sygnaturach. To z całą pewnością nieprawda. Mamy na przykład wewnętrzne konfiguracje testowe, w których technologie sygnaturowe są wyłączone, a mimo to nasze produkty doskonale sobie radzą z blokowaniem nowych zagrożeń.

Większość wspomnianych wyżej, wyspecjalizowanych producentów używa tylko jednej technologii „niesygnaturowej” jako podstawy całego stosu ochrony (coś, co niektórzy analitycy branżowi nazywają „funkcją w postaci produktu”). Nasz produkt wykorzystuje cztery takie technologie jednocześnie. Ponieważ w raporcie zamieszczono listę producentów „niesygnaturowych”, ale pominięto odpowiednią listę producentów „sygnaturowych”, zastanawiamy się, jak właściwie sklasyfikowano by nasze produkty, bo w oczywisty sposób nie mieścimy się w żadnej z dwóch kategorii.

Przynajmniej tak nam się wydaje… i dlatego odrzucamy etykietkę „sygnaturowości”.

Autorem artykułu jest Andy Patel z F-Secure.

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: