Зачем нужны антивирусные песочницы?

Фото: www.hackthepc.org

 «Врага надо знать в лицо» — так часто говорят в ИТ-кругах. Однако одна из проблем, с которыми регулярно сталкиваются компании, заключается в том, что им каждый раз приходится противостоять новому противнику, который атакует компьютерные сети, дестабилизирует рабочий процесс и крадет конфиденциальную информацию при помощи невероятно мощного арсенала вредоносных программ. Все это значительно затрудняет узнавание врага.

Наглядное представление о том, что происходит сейчас в отрасли, дает тот факт, что в 2012 году ежедневно создавалось и распространялось в среднем от 70 до 100 тысяч образцов вредоносного кода.

Это в десять с лишним раз больше, чем в 2011 году, и в сто с лишним раз превышает показатель 2006 года. Стандартные средства борьбы с вредоносным ПО просто не в состоянии противостоять такому мощному росту. Согласно Отчету по безопасности-2013 (Security Report 2013) компании Check Point, 63% организаций были заражены ботами, а более половины подвергались атакам нового вредоносного ПО не реже одного раза в день.

Код большинства нежелательных программ скрывается в файлах обычных форматов, которые мы все используем каждый день: электронные письма, документы в формате Word, PDF, Excel и т.д. В арсенале хакеров существуют специальные средства, позволяющие маскировать их исполняемые сценарии с целью скрыть вредоносные действия, — например, изменение системного реестра или загрузку исполняемого файла, который способен заразить сеть. Вследствие растущих объемов сетевого трафика и огромного количества новых вредоносных программ, скрывающихся под личиной безобидных файлов, организации становятся уязвимыми для атак нулевого дня. Несмотря на то, что многоуровневые системы защиты, основанные на IPS- и IDS-решениях, могут блокировать некоторые действия вредоносных программ, они не в силах предотвратить проникновение вирусов в сеть и их распространение.

Огромное количество и сложность новых атак не оставляют нам надежды узнать все о своих врагах. Тем не менее, мы можем хотя бы понять намерения противника и методы атак, которые он предпочитает применять. Это даст возможность раскрыть жизненно важную информацию, владея которой, можно выявлять и устранять новые риски.

Подобно тому, как при пограничном контроле используются различные технологии наблюдения за людьми, пересекающими границу, и выявления лиц, представляющих опасность, новые способы защиты позволяют изучать электронные письма, файлы и данные, поступающие в сеть, и изолировать вредоносные файлы на входе в сеть, предотвращая ее заражение и не нарушая при этом повседневных рабочих процессов. Все это возможно благодаря методу, который называется эмуляцией угроз.

Разберем на примере. Существует множество уязвимостей в прикладных приложениях (Microsoft Office, Adobe Reader), в операционных системах, и вредоносное ПО их использует, чтобы внедриться на компьютер пользователя. Разумеется, антивирусы пытаются обнаруживать подобное вредоносное ПО, но и злоумышленники не стоят на месте, используют различные техники маскировки, например, шифрование своего кода. Зачастую антивирусы не способны определить, что же делает тот или иной фрагмент кода и принимают решение о его опасности не по его действительным действиям, а по некоторым косвенным признакам (например, код самомодифицируется), что снижает надежность детектирования ранее невстречавшихся угроз.

Гораздо эффективнее позволить вирусу проявиться в естественной среде, то есть, если он внедрен в документ Word, пусть это файл действительно откроет MS Word 2010. А мы посмотрим, что при этом происходит. Если вдруг началась сетевая активность, начали модифицироваться ключи реестра, файлы на жестком диске – это не к добру.

Разумеется, все это следует делать в какой-то песочнице – то есть, некой изолированной среде, в которой выполняется тот или иной код. Именно такой подход применяется в эмуляции угроз, которая проверяет на деструктивные действия файлы, которые пользователь скачивает из Интернета (или получает как вложение). Она действует следующим образом.

Песочница устанавливается на шлюзе безопасности, где каждый скачиваемый файл открывается в виртуальной машине с полноценным программным обеспечением, принятым в организации. Например, «Windows 7 32bit SP1, MS Office 2010 без сервиспака, Adobe Reader 9…», и мониторится активность внутри этой машины. Появление нехарактерной активности позволяет уверенно определить вредоносное ПО, использующее уязвимости операционной системы или приложений. Так как песочница – это полноценная среда (например, Windows 7 32 bit SP1, MS Office 2010), используемая в организации, то злонамеренный код выполняется точь-в-точь в той среде, атаковать которую он создан, чьи уязвимости он эксплуатирует.

Подобно рентгеновскому сканированию на пограничном контроле, метод эмуляции угроз позволяет заглянуть внутрь подозрительных файлов, пересекающих шлюз безопасности, и проверить их содержимое в визуализированной изолированной среде. В песочнице открываются и просматриваются в режиме реального времени все файлы с необычным поведением, например, попытками внести нетипичные изменения в реестр или выполнить необычные подключения. Если такое поведение расценивается как подозрительное или вредоносное, файл блокируется и помещается на карантин, что предотвращает возможное заражение компьютерной системы.

После того, как подозрительный файл обнаружен и блокирован, организация должна иметь возможность передать информацию о новой угрозе другим пользователям, чтобы помочь им избежать заражения. Такой подход способствует распространению информации о новых угрозах, значительно сокращая время между открытием нового вида атаки и разработкой методов защиты от нее. Примерно таким же образом сотрудничают между собой международные организации здравоохранения в борьбе с возникающими на планете заболеваниями.

Исследование, проведенное в 2012 году, показало, что 85% проникновений в систему в результате кибератак были обнаружены спустя недели или даже месяцы после их совершения. Если компании станут обмениваться информацией о возникающих угрозах в режиме онлайн сразу же при их выявлении, случаи заражения станут значительно более редкими. Это поможет всему бизнес-сообществу узнать хотя бы немного об общем враге до того, как произойдут новые атаки.

Автор: Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies

Visa и MasterCard присвоят клиентам уникальные коды, чтобы защитить от хакеров

ЦБ хочет взять под контроль Visa и MasterCard

Операторы МПС придумали новую технологию для защиты данных на пластиковых банковских картах. 

Операторы Visa и MasterCard придумали новую технологию по защите данных клиентов на пластиковых банковских картах. Об этом сообщает The Wall Street Journal. Технология основана на использовании уникального кода, который подтвердит личность держателя карты. Его будут использовать при обмене данными между магазинами и банками, которые выпускают карты.

Таким образом, ритейлеры больше не смогут видеть или сохранять личные данные покупателей.

Нововведение будет особенно удобным для совершения регулярных платежей - к примеру, оплаты членства в фитнес-клубе.

Visa и MasterCard разработали такую технологию после целого ряда случаев кражи кибермошенниками личных данных держателей пластиковых карт в США.

Ожидается, что новая схема платежей будет реализована в iPhone 6, который может быть представлен уже 9 сентября. Ранее Bloomberg со ссылкой на источники сообщил о сотрудничестве Apple с Visa и MasterCard для создания системы мобильных платежей, а также о разработке технологии ближней бесконтактной связи (near field communication, NFC) для нового iPhone. 

Напомним, что в 2013 году хакеры похитили данные почти 40 миллионов банковских карт клиентов американской розничной сети Target. Утечка данных клиентов Target произошла  на рождественские и новогодние праздники.  В похищении подозревали русских кибермошенников. Код «частично написан по-русски»,  сообщалось в совместном докладе правительства США и компании iSight Partners Inc.

Расследование выявило, что фрагменты вредоносного кода были доступны на сетевом «черном рынке» с весны 2013 года. Вирус на компьютерах в магазинах не смогла выявить ни одна антивирусная программа. Программа уже получила название «КАРТОХА».

Атаке подверглись также данные ритейлера Neiman Marcus  и еще трех крупных американских розничных сетей.

Фото: Shutterstock

Популярное в

))}
Loading...
наверх