Blog

Ste storili vse, da se zaščitite pred ransomware-om?

Ransomware. Danes najbolj razširjen ter najbolj opazen in problematičen (ter najdonosnejši) tip malware-a. V tej skupini je še posebej nevarna in pogosta oblika tako imenovanih kripto-virusov. CryptoLocker, CryptoWall, Locky in ostala kripto-družba so pogost vzrok za glavobol IT administratorjev, redke pa so  organizacije, ki se nikoli niso morale srečati z vprašanjem “ali imamo backup podatkov?”.

Tradicionalna antimalware zaščita danes več ni dovolj, namestiti protivirusni agent in odmisliti rešitev ne zagotavlja brezskrbno in varno okolje. CryptoLocker je znan vsem in vemo kaj dela – kriptira dokumente in ostale datoteke na računalniku (ali na omrežnih diskih), vendar znotraj ene družine virusov obstaja mnogo podtipov – manjša sprememba na zlonamerni komponenti in navaden pattern ne zazna grožnje.

Da bi iz kupljene rešitve iztržili maksimum, se je pomembno držati priporočil za konfiguracijo. Sledijo priporočila, ki veljajo za OfficeScan ter ekvivalentne nastavitve lahko najdete tudi pri Worry-Free Business Security rešitvah.

trend_ransomware_crypwall_v3

Osnove

  • Posodobljen produkt – preverite, da je nameščena najnovejša verzija rešitve, v trenutku pisanja teksta je to OfficeScan 11 SP1, oziroma Worry-Free Business Security 9.0 SP3. Zatem preverite ali se strežniška komponenta posodablja redno in z najnovejšimi definicijami s spleta ter vsi klijenti pripadajočega strežnika
  • SmartScan” – ti. konvencionalni način AV skeniranja sloni na bazi definicij, ki se posodablja vsakih 24 ur – kar je danes nezadovoljivo. SmartScan način dela omogoča hitrejšo pokritost in prepoznavanje novih vrst malware-a. Za okolja večja od 1,000 uporabnikov namestite Smart Protection Server
  • Web reputacija – osnovna metoda nadzora pristopa zlonamernim spletnim stranem s ciljem razbijanja verige malware distribucije

Hevristika in naprednejše funkcionalnosti

Čeprav po namestitvi rešitve naslenje možnosti niso vključene, je priporočeno, da jih konfigurirate, ker omogočajo odkrivanje zlonamernih kod, ki niso vključene v tradicionalne antivirusne definicije.

Behavior Monitoring in ransomware zaščita

ransomware_widgetKomponenta katere naloga je proaktiven nadzor sistema ter blokiranje groženj preko analize obnašanja aplikacij – spremljanje obnašanja aplikacij in detektiranje spremembe na nivoju operacijskega sistema (dodajanje novih storitev, sprememba datotek, sprememba nastavitev, itd.).

Pri začetni konfiguraciji svetujemo vključitev komponente z “Assess” možnostjo, oziroma “beleži in prepusti”, ker s tem lahko ocenite vpliv komponente na sistem. Potencialne false positive detekcije nato lahko izključite z uvrščanjem na whitelist, pri detekciji pa na koncu postavite funkcijo “Deny”.

V zadnjih verzijah rešitev OfficeScan in Worry-Free je uvedena tudi dodatna funkcionalnost za preprečevanje škode, ki jo povzročajo ransomware oblike malwarea. Vključujejo tudi boljše odkrivanje malware-a, povezanih procesov, zaščito dokumentov pred spremembami ter samodejno shranjevanje originalnih verzij dokumentov.

Za najnovejše funkcionalnosti obvezno namestite OfficeScan 11 SP1 Critical Patch 6054, oziroma Worry-Free Business Security 9.0 SP3.

bm_ransomware

Več informacij: OSCE 11 Best Practice Guide, str. 17 in 18; eSupport članek za vključitev priporočenih funkcionalnosti.

Blokirajte neznane izvršne datoteke

Dodatno, v globalnih nastavitvah agentov (Agents > Global Agent Settings) lahko onemogočite zagon neznanih* izvršnih datotek prenešenih preko HTTP ali SMTP kanala – oziroma potencialne droppane komponente malware-a ali pa dostavljene preko pošte.

beh_mon_0day

* rešitev preverja in blokira izvrševanje vseh EXE datotek z nedavnim datumom nastanka ter vseh, ki niso razširjene – nepreverjene datoteke, ki lahko predstavljajo na novo ustvarjeni malware (“zero-day” malware).

Firewall

OfficeScan Firewall je ključna komponenta za zaščito pred virusi in napadi (Conficker/Downad, itd.). Zaradi pomembne funkcije, je naziv “Firewall” nekoliko neprimeren, ker napeljuje na napačen zaključek, da je to nekaj, kar ima že vsak Windows klijent. Zaradi tega bi bilo bolj primerno na to gledati kot na scanner za mrežne viruse in s tega vidika je absolutno nujno, da je ta komponenta vključena.

Blokiranje C&C (klic domov)

Command & Control strežniki so ključna komponenta “modernejših” vrst malware-a ter napadalcem služijo kot orodje za oddaljeno upravljanje okuženih računalnikov po tem, ko jim le ti pošljejo povratno informacijo.

Več informacij kako konfigurirati komponento: OSCE 11 Best Practice Guide, str. 16.

deep_discovery_malware_lifecycle

“Življenski cikel” tipičnega ciljanega napada. Prične se z zbiranjem informacij o organizaciji (1), sledi dostava malware-a preko e-pošte ali spleta (2), okužba in povratna komunikacija s Command & Control strežnikom (3), ogrožanje preostalih računalnikov znotraj omrežja (4), odkrivanje podatkov in kritičnih storitev (5) na koncu sledi ekstrakcija podatkov, dokumentov, tabel, finančnih informacij itd. (6)

Blokiranje izvrševanja zlonamernih skript

“Browser Exploit Prevention” je funkcionalnost, ki je namenjena preprečevanju izkoriščanja ranljivosti brskalnika ter posledičnega izvrševanja zlonamerne vsebine. Več informacij si lahko preberete v tem članku.

Blokiranje malware-a v spominu

Določene vrste malware-a nimajo komponent prisotnih na file sistemu, ampak so prisotne samo v spominu. Za blokiranje le teh je potrebno storiti naslednje:

Settings -> Scan Settings -> Real-time Scan Settings -> označiti Quarantine malware variants detected in memory. Dodatno je za to ter predhodno navedeno funkcionalnost (blokiranje skript) potrebno vključiti Advanced Protection Service in Unauthorized Change Prevention Service v Agent -> Agent Management -> Settings -> Additional Service Settings.

E-mail – glavna točka za širitev okužb

Že dlje časa je spletna pošta glavna vhodna točka virusov v organizacijo, po Trend Micro analizah pa več kot 90% ciljanih napadov poteka preko spear-phishing sporočil z namenom zavajanja uporabnika, ki nato zažene zlonamerno priponko in prične verižno okuževanje. Zaradi tega je ključno pripraviti osnovno konfiguracijo rešitve za zaščito spletne pošte:

  • Vključiti web reputacijo na spetni pošti
  • Izključiti izvršne datoteke ali JavaScript datoteke iz pošte
  • Vključiti skeniranje macro-ja v datotekah
  • Nastaviti SPF in DKIM preverjanje

Pri konfiguraciji so vam lahko v pomoč naslednji dokumenti in članki:

Hosted Email Security – Sandbox as a Service

Za manjše in srednje organizacije so idealne rešitve Security as a Service. Trend Micro nudi Hosted Email Security rešitev, ki poleg standardnih antispam in antimalware metod zaščite  nudi tudi naprednejšo analizo datotek v Cloud Sandboxu – rešitve ni potrebno namestiti na uporabnikovi lokaciji.

hes

Virtual patching in whitelisting aplikacij

Naslednje rešitve nudijo dodatne možnosti glede zaščite sistema:

Trend Micro Deep Security in Vulnerability Protection

Ti dve rešitvi spadata v skupino “vulnerability shielding” rešitev, delujeta pa po principu preverjanja prometa znotraj omrežja ter prekinitve prometa povezanega s poizkusi izkoriščanja znanih ranljivosti na aplikacijah (najpogosteje Adobe Flash, Reader, Java runtime, Office paketi, Windows OS itd.). Skratka, rešitve ponujajo “virtualne patche” za ranljive aplikacije.

Deep Security kot strežniško orientirana ter Vulnerability Protection kot klijentsko orientirana rešitev nudita funkcionalnosti zaščite sistemov pred ranljivostmi na pogosto uporabljenih aplikacijah.

deep_security

Trned Micro Deep Security, rešitev namenjena zaščiti strežniškega okolja

Trend Micro Endpoint Application Control

Naslednji korak za zaščito je pristop varnosti v smislu “dovoli samo preverjeno varno”, oziroma zanašanje na whitelisting. Endpoint Application Control je ločena rešitev, ki nudi zaščito pred ransomware-om, ciljanimi napadi in neznanim malware-om ter onemogoča izvrševanje neznanih aplikacij na računalniku.

Ciljana zaščita za ciljane napade

Poleg ohranjanja IT sistema posodobljenega z najnovejšimi posodobitvami in uporabe že omenjenih rešitev, je uspešen način borbe proti ciljanim napadom in naprednim grožnjam (Advanced Persistent Threats ali APT) uporabljanje specifičnih sistemov, ki so bili ustvarjeni za ta namen ter predstavljajo nadgradnjo obstoječih rešitev in ne njihovo zamenjavo. Takšna rešitev je rešitev podjetja Trend Micro z nazivom Deep Discovery, ki je vodilna rešitev na trgu IT varnostnih rešitev.

Z uporabo Deep Discovery ali podobne rešitve, organizacija pridobi vpogled v aktivnosti malware-a v svojem omrežju, vpogled v vhodni in izhodni promet ter možnost proaktivne zaščite skozi integracijo z raznimi drugimi varnostnimi rešitvami. Kako je to izvedljivo? Deep Discovery analizira celoten promet v omrežju, pri tem pa sam ne izvaja nobenih agresivnih korakov ampak daje informacije o prisotnosti virusne kode drugim komponentam (npr. rešitvi za zaščito klijentov, spletne pošte ali pa požarnemu zidu, itd). Najdena sumljiva vsebina se pošlje na analizo v kontroliranem okolju, ki je identičen sistemu znotraj organizacije (ti. uporabniško definiran sandbox). Takšno izvrševanje poda realen vpogled v načrtovano aktivnost aplikacij in skript.

Integracija — deljenje informacij o odkritih grožnjah ter blokiranje – je možna z nizom obstoječih Trend Microvih rešitev ter z varnostnimi rešitvami drugih proizvajalcev:

deep_discovry

Za vse, ki želijo vedeti več:

 

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter