Prim Hírek

A legfőbb eredmény az, hogy a vállalatok továbbra sem képesek felvenni a harcot napjaink gyorsan fejlődő fenyegetéseivel. A zsarolóvírus továbbra is komoly problémát jelent világszerte. A válaszadó szervezetek 54 százalékát érte tavaly támadás, további 31 százalékuknál pedig számítanak arra, hogy előbb-utóbb az ő cégük is áldozattá válik. A felmérésben résztvevőket átlagosan két támadás érte. 

„A zsarolóvírus újra és újra megjelenhet ugyanannál a szervezetnél. Tudunk olyan digitális bűnözőkről, akik négy különböző zsarolóvírus családot indítanak félórás időközökkel, így biztosítva azt, hogy legalább az egyik megkerüli a biztonsági rendszert és sikeres támadást hajt végre.” - nyilatkozta Dan Schiappa, a Sophos alelnöke. „Ha az IT szakemberek nem tudják teljes mértékben megtisztítani a rendszereket a zsarolóvírusoktól és más veszélyektől a támadásokat követően, sebezhetőek maradnak az újabb rosszindulatú kísérletekkel szemben. A digitális bűnözők több támadómódszert alkalmaznak a siker érdekében, akár több zsarolóvírus keverékét használva egyetlen kampány során, vagy más esetekben távoli hozzáférési lehetőségeket szereznek, megfertőzve egy szervert vagy kikapcsolva a biztonsági szoftvert.”

A Sophos szerint a támadások kíméletlen jellege, a zsarolóvírus-szolgáltatások sikere, a még komplexebb fenyegetések előjelzései és a WannaCryhoz vagy NotPetyához hasonló férgek újjáéledése miatt a vállalatoknak súlyos fejlesztéseket kell véghez vinniük informatikai biztonság terén. Sőt, a sikeres zsarolóvírus támadásokban érintettek több, mint 77 százaléka naprakész endpoint-védelmi rendszert futtatott, ez pedig azt az elméletet bizonyítja, mely szerint a tradicionális végpont/endpoint biztonsági szoftverek manapság már nem elegendőek a zsarolóvírus fenyegetések kivédéséhez.

„Rengeteg különböző méretű vállalat kezdte a 2018-as évet elégtelen zsarolóvírus -védelemmel.” - mondta Schiappa. „Tekintettel a támadások leleményességére, gyakoriságára és pénzügyi hatásaira, minden vállalatnak át kellene értékelnie a saját biztonsági helyzetét. Olyan védelmi rendszerre van szükség, ami prediktív biztonsági technológiát foglal magába, tehát képes a zsarolóvírusokkal és egyéb költséges digitális veszélyekkel szemben felvenni a kesztyűt.”   

A tavalyi zsarolóvírus támadások áldozatai által megadott teljes veszteségek átlaga 133 ezer dollár volt. Ez bármilyen váltságdíj követelésen túlmutató összeg és magába foglalja a szolgáltatás-kimaradással eltelt időt, az emberi erőforrások, az eszközök, a hálózatok és elveszített lehetőségek költségeit is. A felmérésben résztvevők 5 százaléka 1,3 és 6,6 millió dollár közötti összköltséget határoztak meg. 

A megkérdezett IT adminisztrátorok kétharmada nem ismeri az anti-exploit technológiákat

Sajnos a Sophos felmérése komoly hiányosságra mutatott rá az exploitok elleni technológiák tudatossága terén, hiszen a megkérdezettek 69 százaléka nem tudta pontosan meghatározni az anti-exploit szoftver definícióját.  Ebből fakadóan nem meglepő, hogy 54 százalékuk semmilyen anti-exploit védelemmel nem rendelkezik. Ezek a számok arra is utalnak, hogy a vállalatok jelentős részénél abban a tévhitben élnek, mely szerint védettek ezzel az általános támadási formával szemben, miközben valójában rendkívüli kockázatnak vannak kitéve. 

Habár a válaszadók 60 százaléka elismerte, hogy az endpoint védelmük nem elegendő a támadások megakadályozásához, csak 25 százalékuk rendelkezik prediktív technológiákkal, mint a gépi tanulás vagy a deep learning, míg a maradék 75 százalék védtelen az ismételt zsarolóvírus támadásokkal, exploitokkal és fejlődő összetett fenyegetésekkel szemben. 60 százalékuk tervezi, hogy prediktív technológiát vezet be egy éven belül. A megkérdezettek 56 százaléka elismerte, hogy nem teljesen értik a különbség a gép tanulás és a deep learning között. 

____________

A tradicionális endpoint-technológiák gyakran képtelenek megvédeni a rendszereket az exploitalapú támadásokkal szemben, ezért a Sophos prediktív, illetve deep-learning képességeket fejlesztett új generációs endpoint-védelmi termékéhez, a Sophos Intercept X-hez.

Az új generációs endpoint biztonsági szoftver legfrissebb verziója korábban nem látott hatásfokkal ismeri fel és hárítja el a fenyegetéseket. 

Deep Learning-en alapuló malware felismerés

• a deep learning model ismert és ismeretlen malware-eket és potenciálisan nem kívánt alkalmazásokat (PUAs) derít fel, mielőtt elindulnának, ráadásul nincs szüksége szignatúra-adatbázisra
• ritkán kell frissíteni

Aktív támadói tevékenység felderítés

• hozzáférési adatok ellopása elleni védelem: megakadályozza a hitelesítő jelszavak és hash információk memóriából, regisztrációs adatbázisból vagy háttértárból történő ellopását. Ezeket a módszereket használják például a Mimikatz használatával végrehajtott támadásoknál.
• Code cave kihasználása: Az alkalmazásokba injektált kódok jelenlétét fedi fel. Ezt a módszert gyakran alkalmazzák a vírusvédelmek megkerülése érdekében. -
• APC védelem: Felderíti az alkalmazás-eljáráshívások (Application Procedure Call, APC) nem megfelelő használatát, amelyet gyakran AtomBombing kódinjektáló technika részeként alkalmaznak és nemrégiben a WannaCry féreg, illetve a NotPetya destruktív trójai EternalBlue-n és DoublePulsaron keresztül való terjesztésére is használták (a támadók ezeket az APC-ket használják ki, hogy egy másik folyamat hajtsa végre a káros kódot). 

Új és továbbfejlesztett exploit prevenciós technikák

• kártékony folyamatok migrációja: detektálja a távoli reflektív DLL injekciót (remote reflective DLL injection), amelyet támadók arra használnak, hogy a rendszeren futó folyamatok között tudjanak mozogni.
• jogosultság emelés ellenőrzése: megakadályozza, hogy egy alacsonyszintű jogosultságokkal bíró folyamat magasabb szintre tudjon emelkedni, amellyel rendszer szintű hozzáféréseket lehet szerezni.

Továbbfejlesztett alkalmazás védelem

• böngésző tevékenység zároló: az Intercept X zároló funkciója megakadályozza a PowerShell scriptek böngészőből történő kártékony használatát
• HTA alkalmazás zároló: a böngésző által betöltött HTML alkalmazások a zárolófunkciók szerint vannak kezelve, mintha maguk is böngésző korlátozásai között futnának.