Na redakční otázky odpovídál Ondrej Kováč, Trend Micro Technical Sales Engineer, CZ-HU-SK 

1) Jak účinné jsou dnešní filtry obsahu? Jak tuto účinnost měřit nebo jakým typům měření v laboratořích důvěřovat?

Zjednodušeně řečeno obsahové filtry jsou tak účinné, jak je aktuální informace o škodlivém kódu. Vektor dnešních hybridních hrozeb je potřeba analyzovat z více směrů. Takže účinnost je závislá také na tzv. „Time2Protect“, což je časový interval mezi objevením nové neznámé hrozby a okamžiku, kdy dodavatel bezpečnostního řešení doručí ochranu na zákazníkovu infrastrukturu. Z daného vyplývá, že klasický mechanismus „download a update“ je typicky reaktivní ochrana, která přichází většinou pozdě.

Skutečně účinná ochrana musí disponovat také aktivní infrastrukturou na straně výrobce a dodavatele, dnes už tak často zmiňovaná bezpečnost v cloudu, kde kromě automatizovaných operací je zahrnut i lidský faktor, reprezentovaný týmem odborníků, kteří zaručují kvalitu reputačních databází a filtrů a minimalizují „False positive“ hlášení, zejména u modulů s heuristickou analýzou. Trend Micro díky konceptu Trend Micro Smart Protection Network může v současnosti doručit ochranu včas, ještě před tím než útok zasáhne klienta a jeho aktivity a navíc v krátkém čase reagovat na nové hrozby preventivně. Jednoznačnou odpověď na účinnost můžeme dát jen při scénáři, který se nejvíc podobá reálnému prostředí klienta.

V dnešní době se mění i metodologie testování účinnosti bezpečnostních řešení, které zohledňují nejen tradiční ukazatele detekce hrozeb, ale také dvě nové klíčové metriky: první je měření míry detekce a blokování hrozeb na základě zdroje URL a druhou měření takzvané „doby zajištění ochrany“, tedy času, který uplyne od chvíle, kdy se dodavatel zabezpečení poprvé dozví o potenciální nové hrozbě, do chvíle, kdy mají koncové body zákazníků k dispozici ochranu proti této hrozbě. 

Jeden z posledních testů, který používá metodiku NSS Lab se přibližuje realitě. Více na: http://emea.trendmicro.com/imperia/md/content/uk/products/whitepapers/endpoint_security_whitepaper_uk.pdf

2) Které škodlivé kódy (umístění, typ, účely) dnes představují největší nebezpečí?

Nejnebezpečnější jsou škodlivé kódy, proti kterým momentálně není dostupná ochrana a případně záplata od dodavatele bezpečnostního řešení. Jako kritickou hrozbu vnímáme škodlivý kód, který je možné spustit vzdáleně a kompromitovat tak daný systém (kompromitací rozumíme možnost získat neautorizovaný přístup k datům, případně modifikovat data a poškodit systém, tak, že jej nelze použít), bez jakéhokoliv zásahu uživatele tzv. „Zero Day“ – den nula. Vzdálené spuštění neznamená jen mimo perimetr dané IT infrastruktury, ale i v rámci interní IT infrastruktury. Další vektor šíření škodlivého kódu je podvrhnutí aplikace, které se distribuují jako bezpečnostní aplikace. Jejich podoba a signatury simulují důvěryhodné dodavatele, ať už z oblasti dodavatelů bezpečnostních řešení nebo velkých softwarových firem. Šíření takových aplikací nabralo v současnosti na intenzitě zejména díky sociálním sítím. Další způsob šíření škodlivých kódů je šíření prostřednictvím tzv. „univerzálních aplikací jako jsou webové prohlížeče a příslušné funkce rozšíření těchto aplikací formou plug-in.

3) Jak se před škodlivými kódy a nebezpečím z webu co nejúčinněji chránit?

Jedna technologie vás dnes již neochrání. Na zabezpečení je nutné používat více bezpečnostních modulů, technologií na různých úrovních IT infrastruktury, ať už na úrovni perimetru nebo uvnitř infrastruktury a v neposlední řadě na koncových stanicích a zařízeních. Bezpečnost je živý systém a statický přístup k ochraně je nedostatečný. Proto Trend Micro přistupuje k ochraně aktivit uživatelů na každé úrovni IT infrastruktury a navíc ji propojuje s technologií Smart Protection Network – inteligencí v cloudu. Dalším legitimním požadavkem zákazníků je být chráněn kdekoliv se nacházejí, a to jak uvnitř podnikové IT infrastruktury, tak mimo perimetr v případě mobilního uživatele kdekoliv je připojený k potenciálně nebezpečnému nebo neznámému obsahu.

Další důležitým úkolem ochrany je potom zabránění nechtěným nebo neznámým aplikacím, které jsou schopné spustit instalační proces na koncových stanicích. Většina útoků se pokouší maskovat šifrováním daného datového přenosu, kdy síťové bezpečnostní technologie jako jsou IPS, FW, bezpečnostní brány nejsou dostatečné a je potřeba nasadit agenty na koncové stanice, kde nastane dešifrování daného obsahu. Můžeme říci, že co je užitečné nemá důvod být skryté a není důvod, aby se takové aplikace spouštěly na pozadí bez vědomí uživatele – jinak řečeno, „dobré“ aplikace by měly mít transparentní chování. Ale ani zde se nedá zevšeobecňovat.

4) Nakolik se na URL filtering dá spolehnout a nakolik jej kombinovat s jinými (jakými?) technologiemi?

Filtrování URL je jen jednou z bezpečnostní vrstev. Dynamika vzniku a zániku webového obsahu je rychlá v krátkém časovém úseku a není jednoduché udržet aktualizovanou ochranu. Jak už bylo výše řečeno, vektor útoků a šíření škodlivého kódu je hybridní a polymorfní a na ochranu je potřeba kombinovat více technologií jako je analýza obsahu e-mailů, analýza URL a webového obsahu, analýza komunikace. Dále je potřeba korelovat informace mezi jednotlivými reputačními databázemi ať už e-mailovými, webovými nebo souborovými. Sofistikovaná technologie musí mít i podporu další inteligentní vrstvy, reprezentovanou lidskou inteligencí. 

5) Jak vytvořit co nejlepší proaktivní zeď novým (= neznámým) škodlivým kódům?

Chránit se proti něčemu neznámému je jistě obtížný úkol a úsilí výrobců antimalwarových produktů je vyvinout maximální ochranu proti určitým vektorům útoků. V současné době je nezbytné, aby měl dodavatel nejen sofistikovanou technologii, ale i vlastní výzkumný tým bezpečnostních specialistů. Korelací dat z automatizovaných systémů a výsledky analýzy bezpečnostního výzkumu můžete vytvořit účinnou bezpečnostní platformu. Kromě takovéto komplexní platformy musíte vsadit na dodavatele, který vám dokáže doručit ochranu v čase, kdy ji potřebujete, nejlépe před tím, než dojde k napadení systému a škodám. Trend Micro tento koncept podporuje již dlouhou dobu svojí platformou Smart Protection Network.

Antiviry | Škodlivé kódy