Blog

Trend Micro: NextGen antimalware

Koje su tehnologije prisutne u suvremenim alatima za zaštitu od računalnih prijetnji

Organizacije se danas suočavaju sa sve većom količinom naprednih napada, a možda medijski najeksponiraniji takav jest ransomware. Značajan porast crypto ransomwarea logična je posljedica sve veće financijske isplativosti takvih napada i činjenice da ne moraju biti posebno ciljani za određene organizacije, odnosno često dolaze u masovnim kampanjama. Napadači se koriste raznim tehnikama, no ono što je „napredno“ u tim napadima sigurno uključuje repakiranje/rehashiranje samog malwarea kako bi se izbjegla pattern detekcija (iako se često radi o poznatom ili malo modificiranom malwareu) te moguća C&C komunikacija kriptirana SSL certifikatom (već se neko vrijeme mogu naći “obični” domenski SSL certifikati besplatno).

 

Što s patternom danas?

Problem tradicionalnog patterna, odnosno file hash pristupa je prvenstveno činjenica da se datoteke korištene kod napada generiraju po kampanji, pa samim time nisu poznate ni jednom AV proizvođaču kako bi ih uključio u svoje reputacijske baze. Također distribucija takvih reputacijskih podataka i nakon analize i prepoznavanja zlonamjernog sadržaja nije u realnom vremenu, što je za malware kampanju sasvim dovoljno. Međutim, ono što je neosporno jest brzina provjere takvog patterna, a kako većina malicioznog sadržaja ipak jest već negdje analizirana i poznata, jasno je da nema smisla trošiti resurse i vrijeme modernih tehnologija kao što su machine learning i sandboxing svaki puta na ponovnu analizu već poznatih prijetnji.

 

 

Slojevit pristup sigurnosti

Naravno da u sigurnosti današnjih organizacija svoje mjesto imaju i moderne tehnologije. Pogotovo u zaštiti od novonastalih, ili još gore, ciljanih napada. No onda se takvo znanje, odnosno reputacijski podaci (bilo file, URL, ili IP) najbrže i najtočnije generiraju upravo u samoj organizaciji. Pogotovo jer neki napadi možda neće doći do raznih senzora van organizacije (kod security vendora), a na taj način niti ne uvodimo nove ranjivosti ili uklanjamo postojeće u samoj organizaciji. Odnosno površina za napad nije izmijenjena. Automatizmom pomoću interne sigurnosne opreme (prvenstveno sandboxing i machine learning), radimo analizu u identičnim uvjetima (vlastiti organizacijski OS, aplikacije, kompletna okolina) te generiramo rezultate i potencijalne sumnjive objekte.
No poanta jest, što zbog očuvanja resursa, što zbog brže detekcije, tradicionalne tehnologije i dalje imaju svoje mjesto, ali i sasvim određen redoslijed, u ukupnoj sigurnosnoj politici organizacije.

 

Moderne tehnologije (sandboxing i machine learning)

Kako bi sam sandboxing bio što učinkovitiji dobro je imati mogućnost korištenja vlastitog korporativnog imagea operacijskog sustava sa svim korporativnim alatima i programima. Dodatnu prednost nad sandbox evasion tehnikama omogućava korištenje nekog open source rješenja (npr. Virtual Box), kako bi se defaultne postavke virtualnog hardwarea mogle izmjeniti te samim time otežati malwareu otkrivanje sandbox okoline. Dodatna prednost TrendMicro rješenja sastoji se i u potencijalnoj integraciji sa nekim rješenjima drugih vendora ili čak skriptiranje nekih sandbox interakcija.
Kod machine learning komponente bitna je količina podataka na kojoj su alati „trenirani“. Trend Micro je jedan od pionira sakupljanja podataka i analize u cloudu kroz svoj Smart Protection Network više od 10 godina i prikuplja velike količine podataka te samim time baza za učenje machine learning komponente jest ogromna. Pored toga, ista tehnologija koristi se i za samo ponašanje datoteka, a ne samo njihove statičke odlike. Dosta velika prednost se pokazala i činjenica da u regiji postoji velik broj većih korisnika pa su false positive detekcije sa nekim specifičnim, regionalnim sadržajem ili izvorom veoma rijetke.

 

 

Jedna zanimljiva infografika o inovacijama u Trend Micru.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter