Kako uspješno zaštiti tvrtku od ciljanih hakerskih napada i Ransomwarea

Sam tijek napada izgleda vrlo jednostavno: prvo se šalje ciljani mail koji sadrži naizgled valjani link ili privitak na specifičnog primatelja, nakon čega se izvršava zlonamjerni kod. On pokreće funkcije skrivanja kako bi izbjegao antivirusnu detekciju i širi se mrežom. Takva napredna prijetnja koristi iznimno malo računalnih resursa kako korisnik sustava ne bi posumnjao na potencijalne probleme i može ostati skrivena u sustavu iznimno dugo, pri tom prikupljajući podatke ili obavljajući drugu predviđenu funkciju na zahtjev napadača.

Rezultat ovakvog ciljanog napada je krađa ili uništenje povjerljivih informacija tvrtke što dovodi do gubitka tržišne reputacije i prihoda ili kršenja zakonskih propisa. Nezavisna istraživanja, kao i rezultati sigurnosnih testiranja pokazuju prisutnost neke vrste udaljeno upravljanog zloćudnog koda u većini organizacija danas.

Pošto su napadi ciljani za specifičnu organizaciju i/ili imenovanog djelatnika, ostali sigurnosni mehanizmi poput klasičnog antivirusa, vatrozida, IPS sustava i sličnih nisu ih u mogućnosti zaustaviti, te je potrebna dodatna razina vidljivosti koja organizacijama može dati uvid u stanje sustava, tijek napada ili uspješan proboj radi pravovremene reakcije, prekida curenja informacija i saniranja štete.

Uz danas obavezna nastojanja organizacije da drži ICT sustav ažurnim sa potrebnim softverskim zakrpama i primjenom već spomenutih sigurnosnih rješenja, uspješan način borbe sa ciljanim napadima i tzv. naprednim prijetnjama (eng. Advanced Persistent Threats ili APT's) je korištenje specifičnih sustava upravo te namjene, koji predstavljaju nadogradnju na postojeća sigurnosna rješenja, a ne njihovu zamjenu. Jedno od takvih je rješenje tvrtke Trend Micro, pod nazivom Deep Discovery.

Korištenjem Deep Discovery ili sličnog rješenja, organizacija dobiva uvid u aktivnost zloćudnog koda u vlastitoj mreži, vidljivost dolaznog i odlaznog prometa te mogućnost proaktivne zaštite kroz integraciju sa raznim drugim sigurnosnim proizvodima. Deep Discovery analizira kompletan promet pojedine mreže ili organizacije, pri tome sam ne izvodi agresivne korake, već daje informacije o prisutnostima virusa ili zloćudnog koda drugim komponentama zaštite (npr. zaštita klijentskih računala, zaštita emaila, zaštita weba, vatrozid, itd). Kada prilikom provjere prometa pronađe kod za kojeg sustav nije siguran što će napraviti šalje ga se na daljnju analizu kroz izvršavanje u kontroliranom okruženju identičnom klijentskom sustavu na računalima organizacije (tzv. korisnički definiran sandbox). Takvo izvršavanje daje konačni i realni uvid u planiranu aktivnost nepoznatog koda, te je moguće sa preciznošću od preko 99% otkriti do sada nepoznati zloćudni kod. Visoku stopu detekcije Trend Micro Deep Discovery rješenja potvrdilo je nezavisno istraživanje tvrtke NSS Labs drugu godinu za redom, a izvještaj nezavisnog istraživanja dostupan je na ovom linku.

Po potvrdi da je nepoznati kod zloćudan, moguće je blokirati daljnji ulazak koda u organizaciju, zabraniti odlaznu komunikaciju sa potencijalno kompromitiranih računala (npr. prijenosnih računala koja se vraćaju u mrežu nakon nekog vremena sa potencijalnom infekcijom, itd), blokirati email poruke sa takvim karakteristikama (prilog, link na drugu adresu, itd), pokrenuti čišćenje zaraženih računala, itd.

Ukoliko ste zainteresirani za više informacija, slobodno kontaktirajte Veracomp ili svog preferiranog Trend Micro partnera. Uređaje je moguće testirati bez obaveza.