Тут є невидиме зловмисне програмне забезпечення, і ваше програмне забезпечення не може його зламати

"Невидима шкідливе програмне забезпечення", нова порода зловмисних програм, йде на марш, і якщо вона вразить ваші сервери, ви можете не багато з цим зробити. Насправді ви навіть не зможете сказати, що це там. У деяких випадках невидимий зловмисне програмне забезпечення живе лише в пам'яті, тобто на ваших дисках не знайдеться жодного файлу, на якому можна знайти програмне забезпечення захисту кінцевої точки. В інших випадках невидиме зловмисне програмне забезпечення може жити у вашій базовій системі введення / виводу (BIOS), де воно може використовувати одну з небагатьох тактик для нападу на вас. У деяких випадках воно може виглядати навіть як оновлення мікропрограмного забезпечення, де воно замінює наявну вбудовану програму на інфіковану версію та її майже неможливо знайти чи видалити.

"Завдяки просуванню програмного забезпечення проти зловмисного програмного забезпечення та виявлення кінцевих точок та реагування (EDR), що полегшує лову шкідливих програм з нульовим днем, письменники зловмисних програм рухаються все нижче", - сказала Аліса Найт, старший аналітик з практики кібербезпеки Aite Group . Вона спеціалізується на апаратних загрозах. Knight заявив, що розробляється новий тип шкідливих програм, які можуть ухилятися від виявлення застарілим програмним забезпеченням.

Програмне забезпечення EDR, яке є більш досконалим, ніж застарілі AV-пакети, набагато ефективніше для лову атак, і це програмне забезпечення використовує різні методи, щоб визначити, коли зловмисник працює. "Розвиток EDR змушує реагувати на чорну капелюх і створювати корінні набори ядра та корінні набори програмного забезпечення. Це обладнання, де вона може записувати в основний запис завантаження", - сказав Найт.

Це також призвело до створення віртуальних наборів кореня, які завантажуватимуться перед операційною системою (ОС), створюючи віртуальну машину (VM) для зловмисного програмного забезпечення, щоб його не було виявлено програмним забезпеченням, що працює на ОС. "Це робить його майже неможливим зловити", - сказала вона.

Blue Pill Malware та інше

На щастя, встановити віртуальний корінь на сервер все ще важко - настільки, що зловмисники, які намагаються це, як правило, працюють як зловмисники, які фінансуються державою. Крім того, принаймні деякі дії можна виявити, а деякі - зупинити. Найт каже, що "безфайлове зловмисне програмне забезпечення", яке працює лише в пам'яті, може бути переможене примусовим вимкненням комп'ютера, на якому він працює.

Але Knight також сказав, що таке зловмисне програмне забезпечення може супроводжуватися тим, що називається "Blue Pill шкідливе програмне забезпечення", що є формою віртуального корінгового набору, який завантажується в VM, а потім завантажує ОС у віртуальну машину. Це дозволяє підробити відключення та перезапустити, дозволяючи зловмисному ПЗ продовжувати працювати. Ось чому ви не можете просто скористатися вибором відключення в Microsoft Windows 10; тільки витягнути вилку буде працювати.

На щастя, інші типи апаратних атак іноді можна виявити під час їх виконання. Найт сказав, що одна компанія, SentinelOne, створила пакет EDR, який є більш ефективним, ніж більшість, і іноді може виявити, коли зловмисне програмне забезпечення атакує BIOS або мікропрограмне забезпечення на машині.

Кріс Бейтс - глобальний директор із архітектури продуктів компанії SentinelOne. Він сказав, що агенти продукту працюють автономно і при необхідності можуть комбінувати інформацію з іншими кінцевими точками. "Кожен агент SentinelOne будує контекст", - сказав Бейтс. Він сказав, що контекст і події, що трапляються під час створення контексту, створюють історії, які можна використовувати для виявлення операцій зловмисного програмного забезпечення.

Бейтс зазначив, що кожна кінцева точка може самостійно виправити усунення, усунувши зловмисне програмне забезпечення або помістивши його в карантин. Але Бейтс також сказав, що його пакет EDR не може наздогнати все, особливо коли це відбувається поза ОС. Приклад USB-пальця, який переписує BIOS перед завантаженням комп'ютера, є одним із прикладів.

Наступний рівень підготовки

Тут десь наступний рівень підготовки, пояснив Найт. Вона вказала на спільний проект між Intel та Lockheed Martin, який створив загартоване рішення безпеки, яке працює на стандартних процесорах масштабування Intel Xeon другого покоління під назвою "Рішення Intel Select для посиленої безпеки з Lockheed Martin". Це нове рішення призначене для запобігання зараження зловмисним програмним забезпеченням шляхом ізоляції критичних ресурсів та захисту цих ресурсів.

Тим часом Intel також оголосила про ще одну серію апаратних запобіжних заходів під назвою "Hardware Shield", яка блокує BIOS. "Це технологія, де, якщо є якась ін'єкція шкідливого коду, то BIOS може реагувати", - пояснила Стефані Холлфорд, віце-президент і генеральний менеджер платформ бізнес-клієнтів Intel. "Деякі версії матимуть можливість спілкуватися між ОС та BIOS. ОС також може реагувати та захищатись від атаки."

На жаль, не можна багато зробити, щоб захистити існуючі машини. "Вам потрібно замінити критичні сервери", - сказав Найт, додавши, що вам також потрібно буде визначити, які ваші критичні дані і де вони працюють.

"Intel та AMD потребують того, щоб досягти успіху і демократизувати це", - сказав Найт. "У міру того, як автори шкідливих програм покращаться, постачальникам обладнання потрібно буде наздогнати і зробити це доступним."

Проблема лише погіршується

На жаль, Найт сказав, що проблема лише загострюється. "Злочинні набори та набори зловмисних програм стануть легшими", - сказала вона.

Найт додав, що єдиний спосіб уникнути проблеми для більшості компаній - перемістити свої критичні дані та процеси в хмару, хоча б тому, що постачальники хмарних послуг можуть краще захистити від подібної апаратної атаки. "Час переносити ризик", - сказала вона.

І Найт попередив, що зі швидкістю руху речі мало часу для захисту ваших критичних даних. "Це перетвориться на хробака", - прогнозувала вона. "Це стане якимось хробаком, що саморозмножується". Це майбутнє кібервійни, сказав Найт. Це не залишатиметься відомством державних акторів назавжди.

Кроки провести

Отже, з майбутнім цим похмурим, що ти можеш зробити зараз? Ось кілька початкових кроків, які слід зробити відразу:

Якщо ви ще не маєте ефективного програмного забезпечення для EDR, наприклад, SentinelOne, то придбайте його зараз.

Визначте свої найважливіші дані та працюйте над їх захистом шифруванням під час оновлення серверів, на яких розміщені дані, до машин, захищених від вразливих версій обладнання та експлуатаційних можливостей, які ними користуються.

Якщо ваші критичні дані повинні залишатися власними, замініть сервери, які містять ці дані, на платформи, що використовують апаратні технології, такі як апаратний щит для клієнтів та Intel Select Solution for Hardened Security з Lockheed Martin для серверів.

За можливості, перемістіть свої критичні дані до хмарних постачальників із захищеними процесорами.

• • Найкращий антивірусний захист на 2019 рік Найкращий захист від антивірусу на 2019 рік
  • Найкраще програмне забезпечення захисту та захисту кінцевих точок на 2019 рік. Найкраще програмне забезпечення захисту та безпеки кінцевої точки на 2019 рік
  • Найкраще програмне забезпечення для видалення та захисту від зловмисних програм на 2019 рік. Найкраще програмне забезпечення для видалення та захисту від зловмисних програм на 2019 рік

  Продовжуйте навчати своїх співробітників до належної гігієни безпеки, щоб вони не підключили інфікований палець до одного з ваших серверів.

Переконайтеся, що ваш фізичний захист є достатньо сильним, щоб захистити сервери та інші кінцеві точки у вашій мережі. Якщо з усього цього вам здасться, що безпека - це гонка озброєнь, то ви будете вірні.