Оглавление:
- Blue Pall Malware и многое другое
- Следующий уровень подготовки
- Проблема только ухудшается
- Шаги, чтобы взять
Видео: therunofsummer (Ноябрь 2024)
«Невидимое вредоносное ПО», новое поколение вредоносных программ, находится на марше, и, если оно поразит ваши серверы, вы вряд ли сможете с этим поделать. На самом деле, вы даже не сможете сказать, что это там. В некоторых случаях невидимые вредоносные программы живут только в памяти, а это означает, что на ваших дисках нет файлов для программного обеспечения для защиты конечных точек. В других случаях невидимые вредоносные программы могут находиться в вашей базовой системе ввода / вывода (BIOS), где они могут использовать одну из нескольких тактик для атаки на вас. В некоторых случаях это может даже появиться как обновление прошивки, где оно заменяет существующую прошивку на версию, которая заражена и почти невозможно найти или удалить.
Программное обеспечение EDR, которое является более продвинутым, чем устаревшие AV-пакеты, гораздо эффективнее для обнаружения атак, и это программное обеспечение использует различные методы, чтобы определить, когда злоумышленник работает. «Разработка EDR заставляет« черную шляпу »реагировать и создавать руткиты ядра и руткиты прошивки, аппаратно, где она может записывать в основную загрузочную запись», - сказал Найт.
Это также привело к созданию виртуальных корневых комплектов, которые будут загружаться перед операционной системой (ОС), создавая виртуальную машину (ВМ) для вредоносного ПО, чтобы ее нельзя было обнаружить программным обеспечением, работающим в ОС. «Это делает почти невозможным поймать», сказала она.
Blue Pall Malware и многое другое
К счастью, установка виртуального корневого комплекта на сервер все еще затруднительна, поскольку злоумышленники, которые его пробуют, обычно работают как спонсируемые государством нападающие. Кроме того, по крайней мере некоторые из действий могут быть обнаружены, и некоторые могут быть остановлены. Найт говорит, что «безфайловое вредоносное ПО», действующее только в памяти, можно победить, принудительно отключив компьютер, на котором он работает.
Но Найт также сказал, что такое вредоносное ПО может сопровождаться так называемым «вредоносным ПО Blue Pill», которое представляет собой разновидность виртуального корневого набора, который загружается в виртуальную машину и затем загружает операционную систему в виртуальную машину. Это позволяет имитировать завершение работы и перезапуск, а вредоносная программа продолжает работать. Вот почему вы не можете просто использовать выбор выключения в Microsoft Windows 10; будет работать только потянув за вилку.
К счастью, другие типы аппаратных атак иногда могут быть обнаружены во время их выполнения. Найт сказал, что одна компания, SentinelOne, создала пакет EDR, который более эффективен, чем большинство, и может иногда обнаруживать, когда вредоносное ПО атакует BIOS или прошивку на компьютере.
Крис Бейтс - глобальный директор по архитектуре продуктов в SentinelOne. Он сказал, что агенты продукта работают автономно и могут при необходимости объединять информацию с другими конечными точками. «Каждый агент SentinelOne создает контекст», - сказал Бейтс. Он сказал, что контекст и события, которые происходят во время создания контекста, создают истории, которые можно использовать для обнаружения операций вредоносного ПО.
Бейтс сказал, что каждая конечная точка может самостоятельно выполнить исправление, удалив вредоносное ПО или поместив его в карантин. Но Бейтс также сказал, что его пакет EDR не может поймать все, особенно когда это происходит за пределами ОС. В качестве примера можно привести флэш-накопитель USB, который перезаписывает BIOS перед загрузкой компьютера.
Следующий уровень подготовки
Вот где наступает следующий уровень подготовки, объяснил Найт. Она указала на совместный проект Intel и Lockheed Martin, в рамках которого было создано решение для усиленной безопасности, работающее на стандартных масштабируемых процессорах Intel Xeon 2-го поколения, которое называется «Intel Select Solution для усиленной безопасности с Lockheed Martin». Это новое решение предназначено для предотвращения заражения вредоносным ПО путем изоляции критических ресурсов и защиты этих ресурсов.
Между тем, Intel также анонсировала еще одну серию аппаратных профилактических мер под названием «Hardware Shield», которая блокирует BIOS. «Это технология, в которой, если есть какая-то инъекция вредоносного кода, BIOS может ответить», - объяснила Стефани Холлфорд, вице-президент и генеральный менеджер по платформам для бизнес-клиентов Intel. «Некоторые версии будут иметь возможность взаимодействовать между ОС и BIOS. ОС также может реагировать и защищать от атак».
К сожалению, вы мало что можете сделать, чтобы защитить существующие машины. «Вам необходимо заменить критически важные серверы», - сказал Найт, добавив, что вам также необходимо определить, какие критические данные у вас есть и где они работают.
«Intel и AMD понадобятся, чтобы встать на ноги и демократизировать это», - сказал Найт. «По мере того, как авторы вредоносных программ становятся лучше, поставщики оборудования должны наверстать упущенное и сделать его доступным».
Проблема только ухудшается
К сожалению, Найт сказал, что проблема будет только ухудшаться. «Преступные наборы и наборы вредоносных программ станут легче», - сказала она.
Найт добавил, что для большинства компаний единственным способом избежать этой проблемы является перенос их критически важных данных и процессов в облако, хотя бы потому, что поставщики облачных услуг могут лучше защитить от такого рода аппаратных атак. «Пришло время перенести риск», - сказала она.
И Найт предупредил, что при такой скорости вещей у вас мало времени для защиты ваших важных данных. «Это превратится в червя», - предсказала она. «Он станет своего рода самораспространяющимся червем». Это будущее кибервойны, сказал Найт. Это не останется в компетенции спонсируемых государством актеров навсегда.
Шаги, чтобы взять
Итак, с таким мрачным будущим, что ты можешь сделать сейчас? Вот некоторые начальные шаги, которые вы должны предпринять сразу же:
-
- Лучшая антивирусная защита на 2019 год Лучшая антивирусная защита на 2019 год
- Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год
- Лучшее программное обеспечение для удаления и защиты от вредоносных программ на 2019 год Лучшее программное обеспечение для удаления и защиты от вредоносных программ на 2019 год
Обучайте своих сотрудников правилам безопасности, чтобы они не подключали зараженный флэш-накопитель к одному из ваших серверов.
Если у вас еще нет эффективного программного обеспечения EDR, такого как SentinelOne, получите его сейчас.
Идентифицируйте свои критически важные данные и работайте над их защитой с помощью шифрования, пока вы обновляете серверы, на которых находятся данные, до компьютеров, защищенных от аппаратных уязвимостей и эксплойтов, которые их используют.
Если ваши критические данные должны оставаться внутри компании, замените серверы, содержащие эти данные, на платформы, использующие аппаратные технологии, такие как Hardware Shield для клиентов и Intel Select Solution для усиленной безопасности с Lockheed Martin для серверов.
По возможности переносите критически важные данные в облачные провайдеры с защищенными процессорами.
Убедитесь, что ваша физическая безопасность достаточно сильна, чтобы защитить серверы и остальные конечные точки в вашей сети. Если из всего этого вам покажется, что безопасность - это гонка вооружений, вы были бы правы.
