Большинство существующих ныне технологий обеспечения информационной безопасности ориентированы на то, чтобы удалить вредоносный код, однако характер угроз в последнее время резко изменился. Фактически 40% всех атак 2018 года осуществлялось без использования хакерских программ. Устаревшие версии антивирусов, как правило, не могли обнаружить вредоносную активность.
Нередко мошенники вместе с программами для взлома используют средства, не содержащие вирусы, например, бесфайловые методы. Это приводит к тому, что имеющиеся технологии не способны справиться с этими продвинутыми хакерскими приёмами.
В СМИ всё чаще появляются сообщения об увеличившемся за последние годы количестве атак без использования вредоносного ПО, ставших мощным инструментом в арсенале киберпреступников. И тем не менее большинство групп безопасности по каким-то причинам оказываются неспособными дать должный отпор хакерам.
При нынешнем раскладе необходимо, чтобы организации могли не только предотвращать взломы, но также должным образом идентифицировать их и предпринять ответные действия.
Рост числа атак без использования вредоносного ПО
Атаки без использования вредоносного ПО бывают разных видов и форм. Обычно такие взломы происходят из-за того, что злоумышленник посредством перехвата получает доступ к стандартным системным процессам, а затем делает то, что ему заблагорассудится. Как правило, хакеры совершают эти преступления специальными, уже встроенными в операционную систему инструментами, например, при помощи оболочки PowerShell или других средств создания сценариев. Впоследствии злоумышленник может производить наблюдение над объектом, управлять его данными, а потом удалить или выложить о нём важную информацию в сеть.
По этой причине такие атаки особенно трудно обнаружить и устранить до того, как утечка произойдёт.
Что делать, если обычный антивирус не работает?
Рост числа атак без использования вредоносного ПО вызывает особое беспокойство у специалистов по кибербезопасности ввиду того, что традиционные методы борьбы со взломами оказываются неэффективными. Далее мы рассмотрим, как унаследованные технологии пытаются справиться с этими атаками.
Антивирус
Изначально антивирусные системы был разработаны для распознавания сигнатур любого известного вредоносного ПО. Естественно, учитывая сложившуюся ныне картину угроз, в поиске троянов нет необходимости, и большинство экспертов по информационной безопасности согласились бы, что стандартные антивирусы могут значительно снизить производительность системы и в то же время оказаться непригодными для выявления многих типов угроз.
Ведение списков разрешённых приложений (вайтлистинг) и управление приложениями
Вайтлистинг – метод для предотвращения выполнения неизвестных процессов на компьютере посредством ведения списка всех безопасных процессов. Управление приложениями – ещё одна опция, предназначенная для того, чтобы пользователь убедился в том, что в его устройстве установлены только авторизованные версии приложений. Поскольку техники, не подразумевающие использование вредоносных программ, специализируются на эксплуатации стандартных программ или в подделке под них, вайтлистинг и управление приложениями почти бесполезны для предотвращения атак подобного рода. Более того, если в вашем телефоне установлена тысяча приложений, то процессы управления и обновления для обоих компонентов представляют огромную трудность.
Индикаторы угроз (ИУ)
Нельзя полагаться только на индикаторы угроз, потому как, подобно традиционным методам, основанным на анализе сигнатур, ИУ нацелены на поиск только известных вредоносных средств. Обычно индикаторы угроз опознают только те типы атак, которые уже случались раньше. Однако зачастую хакеры меняют свою инфраструктуру и инструменты для взлома, ввиду чего существующие показатели угроз быстро устаревают и, как следствие, становятся непригодными для распознавания новых типов атак.
Индикаторы атак (ИА), в отличие от ИУ, предназначены для того, чтобы обнаружить намерения злоумышленника, в независимости от того, использует ли хакер зловред и эксплойт для атаки.
Так же как и антивирусные сигнатуры, показатели угроз используют технологию, не способную опознать потенциальную опасность вторжений без использования вредоносного ПО и атак нулевого дня. В связи с этим в новейших методах по обеспечению безопасности всё чаще применяется основанный на ИА подход.
"Игра в песочнице"
"Игра в песочнице" – ещё один подход, который может реализовываться, например, в форме сетевой детонации или микровиртуализации. Ввиду того, что пользователь имеет дело с перенесёнными в безопасную среду стандартными процессами, большинство песочниц игнорирует хакерские атаки. Однако в силу того, что данный процесс занимает много времени, он не может быть применён в тех случаях, где необходимы оперативные действия. Вследствие чего некоторые разработчики предлагают комбинировать "игру в песочнице" с другими способами, например, с разведкой угроз безопасности и обнаружением ИУ. Это позволяет разработчикам понять, каким образом совершаются атаки высокой сложности, и сэкономить время посредством автоматизации.
Что нужно предпринять компаниям для защиты от атак без использования вредоносного программного обеспечения?
Организациям следует задуматься о мерах, которые следует предпринять, чтобы защититься от атак без использования вредоносного ПО и иметь полное представление обо всех тактиках, техниках и процедурах для взлома.
Новейшие методы по обеспечению безопасности, специализирующиеся на предотвращении утечки, а не просто устранении вирусов и не ограничивающиеся использованием традиционных подходов для борьбы с вредоносными и им подобными ПО, легче внедрять, распространять и обновлять при современных угрозах высокой сложности.
Чтобы не дать хакеру «прощупать» вашу сеть и похитить личные данные, необходимо обнаружить утечку и предотвратить её, прежде чем злоумышленник украдёт ваш IP-адрес или нарушит работу сети. Если у вас нет всех необходимых средств – квалифицированных специалистов по безопасности или технологий, способных установить факт кражи информации в течение нескольких секунд, в независимости от того, какая программа для взлома используется, – вы проиграете. Для защиты от вторжений без использования вредоносного ПО необходимо использовать новейшие технологии, построенные на трёх основных принципах: стопроцентная облачная архитектура, методы, которые используют индикаторы атак, мониторинг сети в режиме 24/7 и ответные действия.
На сегодняшний день лучшие техники защиты от современных угроз включают сбор большого количества телеметрических данных конечных точек, доработку их в соответствующем контексте и применение полученной информации для обнаружения угроз. Расшифровка синхронно-временного протокола помогает установить личность злоумышленника, а также цели и причины преступления.
Посредством записи и сбора информации от индикаторов атак ваша команда сможет мониторить активность в режиме реального времени и оперативно реагировать на угрозы. Высокий уровень автоматизации и простота применения инструментальных средств позволяют специалистам постоянно проверять средства обеспечения безопасности, чтобы установить местонахождение возможных изъянов и знать о рисках, которые эти уязвимости могут создать. В дальнейшем вам понадобится выработать стратегию, нацеленную в большей степени на упреждение, нежели на реагирование на действия хакеров.
Ссылка на статью:
https://www.infosecurity-magazine.com/opinions/malware-free-attacks/