Ochrana koncových bodů nové generace

22. 1. 2018. (redaktor: František Doupal, zdroj: DCD Publishing a Sophos)
Zcela jistě jste se již setkali s pojmem „Next gen antivirus“ nebo „Ochrana koncových bodů nové generace“. Co si pod tím však představit a hlavně jak porovnat, zda daný produkt opravdu splňuje to, co slibuje – tedy ochranu před hrozbami nové generace, a zda pomůže či umožní naplnit požadavky vyplývající z nařízení GDPR?

Některé produkty nabízejí pouze část rozsáhlé oblasti ochrany, často pouze detekci. Výrobci se tak snaží tvrdit, že jejich produkt je „Next Gen“, i když pro uživatele je podstatné, zda v případě detekce útoku budou též ochráněna jeho data a přijata potřebná bezpečnostní opatření.

Rozlišujeme tři základní oblasti ochrany: prevenci, detekci a reakci.

Hlavním cílem prevence je zabránit protivníkovi v přístupu ke kódu nebo jeho spuštění na chráněném zařízení. Cíl protivníka není v tuto chvíli znám, vzdát se však této vrstvy ochrany by bylo chybou. Dle místa a způsobu můžeme dále prevenci dělit na předcházení expozici škodlivému kódu, ochranu proti exploitům a zabránění spuštění. Každý jistě chápe, že pokud se náš systém se malware nepotká, nemůže tak být napaden. Zde najdou uplatnění techniky jako například ochrana procházení webových stránek, blokování nebo kontrola USB a jiných portů a pravidelná aplikace bezpečnostních záplat. Jiná situace je u exploitů, byť jsou zde s námi již pěknou řádku let, stále si drží své tajemství. Možná i právě proto se úroveň ochrany proti exploitům tolik liší u jednotlivých výrobců. Z dnešního pohledu se jeví jak kvalitní přístup ten, který se zaměřuje nikoliv na jednotlivé útoky, exploit kity nebo exploity, ale naopak na techniky, které mohou být exploity zneužity. Jedině takto lze zajistit kvalitní ochranu i před zcela neznámými hrozbami a bez nutnosti vývoje a ditribuce jednotlivých signatur. Technik exploitů je naštěstí relativně málo, přibližně okolo dvaceti. Pod pojmem zabránění spuštění rozeznáváme analýzu před spuštěním (pre-execution analysis), sandboxing, reputační analýzu stahovaných souborů, whitelistování aplikací a pochopitelně signaturovou detekci. Velkou novinkou, kterou již někteří výrobci zavádějí, je strojové učení, neboli Machine Learning. Produkt vybavený touto technikou je schopen na základě kvalitních modelů a algoritmů se ze vzorků malware sám učit, který soubor je či není nebezpečným. Dokáže výrazně snížit množství falešných poplachů a hlavně opět umí reagovat plně automaticky.

Kvalitní prevence je důležitá, nikdy však nedokáže na 100% zabránit průniku škodlivého kódu. A na vině může být například uživatel, který podlehne sociálnímu inženýrství, krádež přihlašovacích údajů nebo injektáž škodlivého kódu do důvěryhodného procesu. Proto je neméně důležitá detekce aktivního škodlivého software, což zahrnuje kontrolu síťového chování, chování aplikací/procesů, ochranu dat a detekci exploitů. Kontrola síťového chování bývala dlouho výspou síťových firewallů či systémů SIEM, dnes je ale velmi vítaná i přímo v ochraně koncových stanic. Aplikace můžeme kontrolovat, zda neprovádí obdobné akce jako známé hrozby. To může zahrnovat vše od interakce s registry, ostatními procesy, přístupu do paměti nebo specifické metody šifrování. V posledních několika letech jsou nejvážnější hrozbou útoky různých ransomware, s příchodem GDPR dostanou podobné útoky další rozměr. Schopnost detekovat škodlivý kód a zastavit jej je jistě cenné, v případě ransomware však již může být pozdě, uživatel již může o některá data přijít. Existují produkty, které nejenže takový škodlivý kód zastaví, ale umí také vrátit zpět do původního stavu postižené soubory.

Poslední a neméně důležitou částí je reakce na incidenty. Při výběru kvalitní ochrany příští generace pro Vaše zákazníky posuzujte, zda vybraný produkt je schopen nejen malware odstranit, ale také zanalyzovat příčiny a vektor útoku, identifikovat postižené součásti, identifikovat podezřelé komponenty nebo zda je schopen skenovat malware a podezřelé komponenty i na jiných zařízeních, případně doporučit jak vylepšit zabezpečení proti aktuálně detekované podezřelé aktivitě.

Na závěr je nutno konstatovat, že výběr kvalitní ochrany příští generace pro Vaše zákazníky je komplexní a složitý úkol. Je nutno posoudit mnoho aspektů a vybírat nejen dle ceny, ale hlavně dle komplexity, ale zároveň jednoduchosti řešení. Vybírejte z produktů výrobců, jež jsou na vrcholu inovací, mají komplexní portfolio a kvalitní vizi.

Autor: Michal Hebeda, Sales Engineer ve společnosti SOPHOS. Zkušený IT profesionál s více než 15letou zkušeností především z oblasti IT bezpečnosti

Štítky: 

Podobné články

Co přinesly dva roky s GDPR?

27. 5. 2020. (redaktor: František Doupal, zdroj: dTest)
Obecné nařízení o ochraně osobních údajů, neboli General Data Protection Regulation (GDPR), nabylo účinnosti 25. května 2018. Kolem tohoto data se zdálo, že nastává naprostá právní revoluce a „nezůstane kámen na kameni“. Dva roky účinnosti nařízení však ukázaly klidnější vývoj, i když rozhodně nelze tvrdit, že se nedělo nic zajímavého. Čtěte více

Spotřebitelé volají po důslednější ochraně osobních údajů

6. 12. 2019. (redaktor: František Doupal, zdroj: EY)
Devět 9 z 10 Čechů je velmi opatrných při zveřejňování osobních a finančních údajů na internetu, i když jde o web značky, kterou zná. Skoro třetina z nás (31 %) souhlasí s tvrzením, že nabídka komunikačních služeb je velmi složitá. Mimo televizi sleduje filmy přes jiná zařízení 62 % Čechů, v zahraničí je to třetina domácností. Čtěte více

GDPR: Zažíváme klid před bouří?

22. 7. 2019. (redaktor: František Doupal, zdroj: Zyxel)
Možná si ještě vzpomenete na všechny ty žádosti o souhlas se zasíláním emailů, které jste dostali loni na jaře, než 25. května 2018 nabylo účinnosti Všeobecné nařízení o ochraně osobních údajů (GDPR). Od té doby jakoby toto téma upadlo v zapomnění. Čtěte více

Zavedení GDPR zlepšilo informační zabezpečení firem, edukace zaměstnanců však pokulhává

28. 5. 2019. (redaktor: František Doupal, zdroj: Eset)
Před rokem vstoupilo v Evropské unii v účinnost Obecné nařízení o ochraně osobních údajů (GDPR). Nařízení přineslo jednotný právní rámec, který zajistil všem občanům EU stejnou ochranu jejich osobních a citlivých údajů. Firmy reagovaly a investovaly do zabezpečení a ochrany citlivých dat. Čtěte více