Blog

Zaštita od ciljanih napada – kako efikasno trošiti novac?

Većina organizacija je danas suočena sa redovnim malware napadima kroz email ili web kanal. Današnji malware će sa lakoćom zaobići sve slojeve zaštite organizacije (antispam, url filtering, IPS/IDS, firewall, antivirus, itd.) pokazujući njihovu neadekvatnost u novim prilikama.

Najvidljiviji pokazatelj ovog trenda je malware koji kriptuje datoteke na disku, pri čemu autori traže novac u zamenu za povrat podataka (tzv. Ransomware). Pojava masovnog Ransomware-a je zapravo najviše doprinela rastu potražnje za tzv. Breach Detection System rešenjima u regiji. To ujedno znači i da se odluka o kupovini ovakvih rešenja često donosi ubrzano i ne sagledavajući mogućnosti integracije sa već postojećim ulaganjima u zaštitu IT sistema.

Koje faktore treba imati na umu kod nabavke rešenja za obranu od naprednih napada?

  1. Napredna sandboxing tehnologija sa konzistentno dobrim stopama detekcije. Izvikana imena često ne znače i kvalitetnu detekciju. Dobar izvor analiza je NSS Labs (pogledaj ovde);sandboxing
  2. Opseg pokrivenih protokola: rešenje mora pokriti ne samo email (SMTP) i web (HTTP) gateway promet, već i intranet promet na CIFS i ostalim protokolima kakve tipično viđamo u LAN-u (važno je uočiti tzv. lateral movement fazu napada);malware_lifecycle
  3. Način pokrivanja SSL-a – napadači sve češće koriste kriptovanu komunikaciju, što znači da su postojeća rešenja potpuno slepa na detekciju malware-a isporučenog kroz SSL. Razmislite možemo li postojećim rešenjima dovesti sav ili barem web (HTTP) dekriptovani promet do Breach Detection Sistema ili je potrebno zaštitu dopuniti sa ETM rešenjem (Encrypted Traffic Management). Više o SSL problematici u nekom od narednih postova.
  4. Jedna tačka administracije i jednostavna prezentacija rezultata detekcije: rešenje ne sme komplikovati život već ionako prezaposlenim administratorima (koji često moraju proveriti niz admin-konzola kako bi utvrdili šta se događa u sistemu);threats_dd
  5. Mogućnosti automatskog blokiranja u mail prometu (SMTP): naime, priroda mail prometa je da najčešće ne funkcioniše u realnom vremenu tj. dopušta određena kašnjenja u isporuci (npr. 5 minuta) unatar kojeg je moguće izvršiti sandboxing analizu. Rešenje je poželjno da ima SMTP proxy koji se ubacuje u postojeći tok mail prometa, kako bi dobili direktno zaustavljanje problematičnog maila (npr. ransomware isporuke).
  6. Otvorenost rešenja kroz jednostavni API pomoću kojeg je moguće „trošiti“ rezultate analize i upogoniti postojeća rešenja u ekosistem zaštite (npr. isporuka pronađenih sumnjivih URL-ova ili IP adresa u Nextgen Firewall sistem, itd). Ovo je češto zanemareni, ali zapravo vrlo bitan kriterijum koji značajno štiti postojeće investicije u zaštitu i omogućava blokiranje pretnji u gotovo realnom vremenu;
  7. Idealno, mogućnost korišćenja rezultata analize na endpoint antimalware sloju (automatski feedback, tj. „oplemeniti“ detekciju sa lokalno pronađenim malware-om). Trend Micro je ovde najbolje pozicioniran, stoga preporučujemo postojećim korisnicima Trend Micro endpoint zaštite da ne traže dalje.
Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter