Blog

Trend Micro: NextGen antimalware

Katere tehnologije so prisotne v sodobnih orodjih za zaščito pred računalniškimi grožnjami

Organizacije se danes soočajo z vse večjim številom naprednih napadov, medijsko najbolj izpostavljena vrsta napadov pa je ransomware. Bistvena rast prisotnosti crypto ransomwarea je logična posledica vse večje finančne koristi takšnih napadov in djestvo je, da ne gre samo za ciljane napade na določene organizacije ampak napadi prihajajo v množičnih kampanjah. Napadalci uporabljajo razne tehnike, kar pa je pri napadih „napredno“ je to, da vključujejo repakiranje/rehashiranje samega malwarea, da bi se izognili pattern detekciji (čeprav gre pogosto za že znane ali malo modificirane grožnje) ter možnost C&C komunikacije kriptirane s SSL certifikatom (že dlje časa so na voljo brezplačni “navadni” domenski SSL certifikati).

Kaj je s patternom danes?

Težava tradicionalnega patterna oziroma file hash pristopa je predvsem dejstvo, da so datoteke uporabljene pri napadu generirane po kampanji in zaradi tega niso znane nobenemu proizvajalcu AV, da bi jih lahko vključil v svoje reputacijske baze. Prav tako distribucija takšnih reputacijskih podatkov po analizi in prepoznavanju zlonamerne vsebine ni v realnem času, kar je za uspeh malware kampanje povsem dovolj. Povsem nesporna pa je hitrost preverjanja takšnega patterna, ker pa je večina zlonamerne vsebine že nekje analizirana in znana, je jasno, da ni smiselno zapravljati sredstva in čas naprednih tehnologij kot sta machine learning in sandboxing vsakič ko na ponovno analizo pridejo že znane grožnje.

Slojevit pristop varnosti

Seveda, da imajo v varnosti današnjih organizacij svoje mesto tudi moderne tehnologije, zlasti pri zaščiti pred novimi ali še hujše, ciljanimi napadi. V tem primeru se takšno znanje oziroma reputacijski podatki (file, URL, ali IP) najhitreje in najbolj natančno generirajo prav znotraj organizacije. Pogosto napad morda ne bo prišel do raznih senzorjev izven organizacije (pri security vendorjih), na ta način pa ne uvajamo nove ranljivosti ali odpravljamo stare oziroma površina za napad ostaja nespremenjena. Z avtomatizacijo s pomočjo interne varnostne opreme (predvsem sandboxing in machine learning) izvajamo analizo v identičnih pogojih (organizacijski OS, aplikacije, celotno okolje) ter generiramo rezultate in odkrivamo potencijalno sumljive objekte.
Dejstvo je, da imajo zaradi čuvanja sredstev ali hitrejšega odkrivanja groženj tudi tradicionalne tehnologije še vedno svoje mesto in določen vrstni red v celotni varnostni politiki organizacij.

Moderne tehnologije (sandboxing in machine learning)

Da bi sam sandboxing bil bolj učinkovit, je dobro imeti možnost uporabe lastnega korporativnega imagea operacijskega sistema z vsemi korporativnimi orodji in programi. Dodatno prednost pred sandbox evasion tehnikami omogoča uporaba ene izmed open source rešitev (npr. Virtual Box), da bi lahko default nastavitve virtualnega hardwarea spremenili ter tako malware upočasnili pri odkrivanju sandbox okolja. Dodatna prednost TrendMicro rešitev je možnost integracij z nekaterimi rešitvami drugih vendorjev ali celo skriptiranje nekaterih sandbox interakcij.
Pri machine learning komponenti je pomembna količina podatkov na kateri so orodja „trenirana“. Trend Micro je eden izmed pionirjev zbiranja podatkov in analize v oblaku preko svoje tehnologije Smart Protection Network, več kot 10 let zbira velike količine podatkov ter s samim tem je baza za učenje machine learning komponente ogromna. Ta ista baza se hkrati uporablja tudi za samo obnašanje datotek in ne samo za njihove statične značilnosti. Kot velika prednost se je izkazalo tudi dejstvo, da v regiji obstaja veliko število uporabnikov in so zato false positive detekcije z neko specifično, regijsko vsebino ali izvorom zelo redke.

Zanimiva infografika o inovacijah v Trend Micru.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter