Aproape jumatate din atacurile malware de noua generatie nu pot fi stopate de solutiile traditionale de protectie folosite pe echipamentele mobile. Concluzia apartine analistilor de la Enterprise Security Group (ESG), iar cauzele vor fi detaliate mai jos. Pentru o mai buna intelegere, va propunem analiza unui caz concret:

Un angajat din compania dvs. primeste si deschide – pe laptop, tableta sau smartphone – un mail trimis aparent de un expeditor legitim. Mail-ul contine un link catre un site pe care angajatul il acceseaza, fara sa stie insa ca astfel incarca si exploateaza automat o vulnerabilitate Adobe Flash. Care, la randul ei, lanseaza aplicatia Windows PowerShell prin care sunt rulate script-uri trimise de un server de comanda si control. Rezultatul final: hackerii preiau controlul asupra dispozitivului utilizat,

Exemplul de mai sus este scenariul tipic al unui Fileless Attack, categorie care in 2017 a reprezentat 77% dintre atacurile suferite de catre companii. In 2018, tehnica Fileless a inceput sa fie utilizata frecvent in atacuri care combina mai multe tipuri de amenintari.

Problema este ca un astfel de atac nu poate fi depistat si blocat de solutiile clasice de protectie – precum cele antivirus – din urmatoarele cauze:

  • atacurile Fileless ruleaza la nivelul memoriei RAM;
  • se folosessc de aplicatii comune considerate drept sigure (browsere Web, Microsoft Office, Adobe Reader etc.);
  • nu lasa destule „urme“ pentru ca solutiile AV sa poata depista o semnatura malware. (Motiv pentru care sunt denumite si atacuri „Zero footprint“ sau „Non-malware“.)

 

Totusi, ce puteti face?

Raspunsul specialistilor Datanet Systems in fata acestui tip de amenintari este Cisco Advanced Malware Protection for Endpoints. Solutia Cisco actioneaza, in cazul unui atac Fileless, pe trei paliere:

  • Previne situatia critica– AMP for Endpoints identifica si semnaleaza automat vulnerabilitatile aplicatiilor instalate pe echipamentele mobile, prioritizandu-le pe baza sistemului Common Vulnerabilities and Exposures. Clasificarea CVE ofera administratorilor o evidenta clara a terminalelor si aplicatiilor care au nevoie de patch-uri si update-uri.
  • Depisteaza atacul– Solutia Cisco monitorizeaza continuu activitatea echipamentelor pentru a indentifica si bloca comportamentele anormale ale programelor care ruleaza. In plus, prin utilizarea tehnologiei Cognitive Threat Analytics, depisteaza echipamentele afectate de atacurile de noua generatie prin corelarea datelor de trafic generate de utilizator. Un alt avantaj intrinsec al solutiei este vizibilitatea extinsa pana la nivel de linie de comanda, care permite administratorilor sa determine daca aplicatiile legitime (cum sunt, de exemplu, utilitarele Windows) sunt folosite in alte scopuri. (AMP for Endpoints poate depista astfel modificarile listelor de Acces Control, utilizarile nelegitime ale PowerShell etc.)
  • Elimina amenintarea – Odata depistat un potential risc la nivelul aplicatiilor sau al proceselor aferente sistemului de operare, tehnologia proprietara de Exploit-prevention incorporata modifica structura memoriei RAM chiar inainte ca atacul sa inceapa. Atunci cand blocheaza efectiv un atac, tehnologia Cisco inchide aplicatia si/sau procesul afectat si incarca datele de logare contextuale in AMP for Endpoints pentru ca administratorii si utilizatorii finali sa stie exact unde si cum s-a produs atacul.

 

Acoperirea creste semnificativ

Solutia Cisco are insa un spectru mult mai larg de acoperire, integrand tehnologii avansate de detectie si protectie (in afara celei antivirus) precum:

  • File reputation, cu ajutorul carora amenintarile malware sunt recunoscute rapid si introduse in carantina fara a mai fi necesar niciun proces de scanare care sa consume resursele echipamentului;
  • Identificarea amenintarilor polimorfice– solutia analizeaza „amprentele“ fisierelor cu potential de risc pentru a depista posibilele similitudini cu familiile malware cunoscute;
  • Machine Learning– AMP for Endpoints este „antrenata“ prin algoritmi specifici sa invete cum sa identifice fisierele si activitatile cu potential de risc pe baza atributelor malware cunoscute;
  • Indicatori de compromitere– centrul Cisco Talos analizeaza continuu mostre malware construind profile comportamentale dinamice ale amenintarilor emergente (Indicators of Compromise – IoCs), cu ajutorul carora solutia poate depista rapid orice noua amenintare. Administratorii isi pot scrie propriile IoCs personalizate (in format OpenIOC) pentru a fi utilizate in raspunsul la incidente;
  • Analize „low prevalence“ – solutia Cisco identifica automat executabilele cu prezenta scazuta pe echipamentele terminale (care pot fi amenintari malware tintite sau de tipul Advanced Persistent Threats) si analizeaza comportamentul acestora in propria aplicatie sandbox pentru a identifica amenintarile necunoscute.

 

Raspunsurile sunt rapide

Un alt avantaj major al AMP for Endpoints este acela ca furnizeaza informatii actionabile, care asigura un raspuns rapid in fata amenintarilor, evenimentele fiind prioritizate. In plus, functionalitatile de tipul „file trajectory“ si „device trajectory“ permit administratorilor sa identifice punctul de intrare si modul in care se propaga malware-ul.

La randul lor, comportamentele fisierelor suspecte pot fi analizate intr-un mediu sandbox securizat (livrat in Cloud prin intermediul Cisco Threat Grid), care furnizeaza informatii detaliate. AMP for Endpoints coreleaza aceste informatii cu cele despre noile amenintari, iar pe baza datelor rezultate poate pune automat in carantina un fisier atunci cand acesta incepe sa aiba un comportament anormal.

 

Analizele confirma nivelul de performanta

Solutia Cisco este nominalizata ca lider in clasamentul IDC (Endpoint Security Marketscape), iar versiunea 6.0.5 a primit anul trecut recomandarea NSS Labs. AMP for Endpoints a inregistrat scoruri foarte bune in cadrul testelor Advanced Endpoint Protection (100% blocare a amenintarilor livrate via HTTP, 99,4% a celor furnizate prin email, 100% – Docs&Scripts etc.), scorul de eficienta efectiva fiind de 94,7%.

 

Ce puteti face in plus

Specialistii Datanet va pot ajuta sa extindeti protectia utilizatorilor mobili prin integrarea AMP for Endpoints cu alte solutii din portofoliul Cisco. Cum ar fi, de exemplu, Identity Services Engine (ISE), care, atunci cand AMP for Endpoints detecteaza un echipament compromis, ii poate restrictiona accesul in retea, punandu-l in carantina. Complementar, Cisco Umbrella, functioneaza ca o prima linie de aparare impotriva amenintarilor, blocand accesul terminalelor la adresele IP, URL si domeniile compromise, in timp ce AnyConnect Mobility Solution securizeaza conexiunile utilizatorilor mobili catre retelele companiilor. AMP for Endpoints poate „colabora“ insa si cu aplicatiile altor furnizori. Specialistii Datanet va pot ajuta sa o integrati cu solutii precum Splunk SIEM, Swimlane Security Operations Manager, IBM QRadar, LogRhythm Security Intelligence Platform etc.

Daca doriti sa aflati detalii suplimentare despre modul in care solutia Cisco AMP for Endpoints si specialistii Datanet Systems va pot ajuta sa imbunatatiti protectia utilizatorilor mobili, contactati-ne la office@datanets.ro