Ochrana koncových bodů nové generace

Některé produkty nabízejí pouze část rozsáhlé oblasti ochrany, často pouze detekci. Výrobci se tak snaží tvrdit, že jejich produkt je „Next Gen“, i když pro uživatele je podstatné, zda v případě detekce útoku budou též ochráněna jeho data a přijata potřebná bezpečnostní opatření.

Rozlišujeme tři základní oblasti ochrany: prevenci, detekci a reakci.

Hlavním cílem prevence je zabránit protivníkovi v přístupu ke kódu nebo jeho spuštění na chráněném zařízení. Cíl protivníka není v tuto chvíli znám, vzdát se však této vrstvy ochrany by bylo chybou. Dle místa a způsobu můžeme dále prevenci dělit na předcházení expozici škodlivému kódu, ochranu proti exploitům a zabránění spuštění. Každý jistě chápe, že pokud se náš systém se malware nepotká, nemůže tak být napaden. Zde najdou uplatnění techniky jako například ochrana procházení webových stránek, blokování nebo kontrola USB a jiných portů a pravidelná aplikace bezpečnostních záplat. Jiná situace je u exploitů, byť jsou zde s námi již pěknou řádku let, stále si drží své tajemství. Možná i právě proto se úroveň ochrany proti exploitům tolik liší u jednotlivých výrobců. Z dnešního pohledu se jeví jak kvalitní přístup ten, který se zaměřuje nikoliv na jednotlivé útoky, exploit kity nebo exploity, ale naopak na techniky, které mohou být exploity zneužity. Jedině takto lze zajistit kvalitní ochranu i před zcela neznámými hrozbami a bez nutnosti vývoje a ditribuce jednotlivých signatur. Technik exploitů je naštěstí relativně málo, přibližně okolo dvaceti. Pod pojmem zabránění spuštění rozeznáváme analýzu před spuštěním (pre-execution analysis), sandboxing, reputační analýzu stahovaných souborů, whitelistování aplikací a pochopitelně signaturovou detekci. Velkou novinkou, kterou již někteří výrobci zavádějí, je strojové učení, neboli Machine Learning. Produkt vybavený touto technikou je schopen na základě kvalitních modelů a algoritmů se ze vzorků malware sám učit, který soubor je či není nebezpečným. Dokáže výrazně snížit množství falešných poplachů a hlavně opět umí reagovat plně automaticky.

Kvalitní prevence je důležitá, nikdy však nedokáže na 100% zabránit průniku škodlivého kódu. A na vině může být například uživatel, který podlehne sociálnímu inženýrství, krádež přihlašovacích údajů nebo injektáž škodlivého kódu do důvěryhodného procesu. Proto je neméně důležitá detekce aktivního škodlivého software, což zahrnuje kontrolu síťového chování, chování aplikací/procesů, ochranu dat a detekci exploitů. Kontrola síťového chování bývala dlouho výspou síťových firewallů či systémů SIEM, dnes je ale velmi vítaná i přímo v ochraně koncových stanic. Aplikace můžeme kontrolovat, zda neprovádí obdobné akce jako známé hrozby. To může zahrnovat vše od interakce s registry, ostatními procesy, přístupu do paměti nebo specifické metody šifrování. V posledních několika letech jsou nejvážnější hrozbou útoky různých ransomware, s příchodem GDPR dostanou podobné útoky další rozměr. Schopnost detekovat škodlivý kód a zastavit jej je jistě cenné, v případě ransomware však již může být pozdě, uživatel již může o některá data přijít. Existují produkty, které nejenže takový škodlivý kód zastaví, ale umí také vrátit zpět do původního stavu postižené soubory.

Poslední a neméně důležitou částí je reakce na incidenty. Při výběru kvalitní ochrany příští generace pro Vaše zákazníky posuzujte, zda vybraný produkt je schopen nejen malware odstranit, ale také zanalyzovat příčiny a vektor útoku, identifikovat postižené součásti, identifikovat podezřelé komponenty nebo zda je schopen skenovat malware a podezřelé komponenty i na jiných zařízeních, případně doporučit jak vylepšit zabezpečení proti aktuálně detekované podezřelé aktivitě.

Na závěr je nutno konstatovat, že výběr kvalitní ochrany příští generace pro Vaše zákazníky je komplexní a složitý úkol. Je nutno posoudit mnoho aspektů a vybírat nejen dle ceny, ale hlavně dle komplexity, ale zároveň jednoduchosti řešení. Vybírejte z produktů výrobců, jež jsou na vrcholu inovací, mají komplexní portfolio a kvalitní vizi.

Autor: Michal Hebeda, Sales Engineer ve společnosti SOPHOS. Zkušený IT profesionál s více než 15letou zkušeností především z oblasti IT bezpečnosti