Зачем нужны антивирусные песочницы?
«Врага надо знать в лицо» — так часто говорят в ИТ-кругах. Однако одна из проблем, с которыми регулярно сталкиваются компании, заключается в том, что им каждый раз приходится противостоять новому противнику, который атакует компьютерные сети, дестабилизирует рабочий процесс и крадет конфиденциальную информацию при помощи невероятно мощного арсенала вредоносных программ. Все это значительно затрудняет узнавание врага.
Наглядное представление о том, что происходит сейчас в отрасли, дает тот факт, что в 2012 году ежедневно создавалось и распространялось в среднем от 70 до 100 тысяч образцов вредоносного кода. Это в десять с лишним раз больше, чем в 2011 году, и в сто с лишним раз превышает показатель 2006 года. Стандартные средства борьбы с вредоносным ПО просто не в состоянии противостоять такому мощному росту. Согласно Отчету по безопасности-2013 (Security Report 2013) компании Check Point, 63% организаций были заражены ботами, а более половины подвергались атакам нового вредоносного ПО не реже одного раза в день.
Код большинства нежелательных программ скрывается в файлах обычных форматов, которые мы все используем каждый день: электронные письма, документы в формате Word, PDF, Excel и т.д. В арсенале хакеров существуют специальные средства, позволяющие маскировать их исполняемые сценарии с целью скрыть вредоносные действия, — например, изменение системного реестра или загрузку исполняемого файла, который способен заразить сеть. Вследствие растущих объемов сетевого трафика и огромного количества новых вредоносных программ, скрывающихся под личиной безобидных файлов, организации становятся уязвимыми для атак нулевого дня. Несмотря на то, что многоуровневые системы защиты, основанные на IPS- и IDS-решениях, могут блокировать некоторые действия вредоносных программ, они не в силах предотвратить проникновение вирусов в сеть и их распространение.
Огромное количество и сложность новых атак не оставляют нам надежды узнать все о своих врагах. Тем не менее, мы можем хотя бы понять намерения противника и методы атак, которые он предпочитает применять. Это даст возможность раскрыть жизненно важную информацию, владея которой, можно выявлять и устранять новые риски.
Подобно тому, как при пограничном контроле используются различные технологии наблюдения за людьми, пересекающими границу, и выявления лиц, представляющих опасность, новые способы защиты позволяют изучать электронные письма, файлы и данные, поступающие в сеть, и изолировать вредоносные файлы на входе в сеть, предотвращая ее заражение и не нарушая при этом повседневных рабочих процессов. Все это возможно благодаря методу, который называется эмуляцией угроз.
Разберем на примере. Существует множество уязвимостей в прикладных приложениях (Microsoft Office, Adobe Reader), в операционных системах, и вредоносное ПО их использует, чтобы внедриться на компьютер пользователя. Разумеется, антивирусы пытаются обнаруживать подобное вредоносное ПО, но и злоумышленники не стоят на месте, используют различные техники маскировки, например, шифрование своего кода. Зачастую антивирусы не способны определить, что же делает тот или иной фрагмент кода и принимают решение о его опасности не по его действительным действиям, а по некоторым косвенным признакам (например, код самомодифицируется), что снижает надежность детектирования ранее невстречавшихся угроз.
Гораздо эффективнее позволить вирусу проявиться в естественной среде, то есть, если он внедрен в документ Word, пусть это файл действительно откроет MS Word 2010. А мы посмотрим, что при этом происходит. Если вдруг началась сетевая активность, начали модифицироваться ключи реестра, файлы на жестком диске – это не к добру.
Разумеется, все это следует делать в какой-то песочнице – то есть, некой изолированной среде, в которой выполняется тот или иной код. Именно такой подход применяется в эмуляции угроз, которая проверяет на деструктивные действия файлы, которые пользователь скачивает из Интернета (или получает как вложение). Она действует следующим образом.
Песочница устанавливается на шлюзе безопасности, где каждый скачиваемый файл открывается в виртуальной машине с полноценным программным обеспечением, принятым в организации. Например, «Windows 7 32bit SP1, MS Office 2010 без сервиспака, Adobe Reader 9…», и мониторится активность внутри этой машины. Появление нехарактерной активности позволяет уверенно определить вредоносное ПО, использующее уязвимости операционной системы или приложений. Так как песочница – это полноценная среда (например, Windows 7 32 bit SP1, MS Office 2010), используемая в организации, то злонамеренный код выполняется точь-в-точь в той среде, атаковать которую он создан, чьи уязвимости он эксплуатирует.
Подобно рентгеновскому сканированию на пограничном контроле, метод эмуляции угроз позволяет заглянуть внутрь подозрительных файлов, пересекающих шлюз безопасности, и проверить их содержимое в визуализированной изолированной среде. В песочнице открываются и просматриваются в режиме реального времени все файлы с необычным поведением, например, попытками внести нетипичные изменения в реестр или выполнить необычные подключения. Если такое поведение расценивается как подозрительное или вредоносное, файл блокируется и помещается на карантин, что предотвращает возможное заражение компьютерной системы.
После того, как подозрительный файл обнаружен и блокирован, организация должна иметь возможность передать информацию о новой угрозе другим пользователям, чтобы помочь им избежать заражения. Такой подход способствует распространению информации о новых угрозах, значительно сокращая время между открытием нового вида атаки и разработкой методов защиты от нее. Примерно таким же образом сотрудничают между собой международные организации здравоохранения в борьбе с возникающими на планете заболеваниями.
Исследование, проведенное в 2012 году, показало, что 85% проникновений в систему в результате кибератак были обнаружены спустя недели или даже месяцы после их совершения. Если компании станут обмениваться информацией о возникающих угрозах в режиме онлайн сразу же при их выявлении, случаи заражения станут значительно более редкими. Это поможет всему бизнес-сообществу узнать хотя бы немного об общем враге до того, как произойдут новые атаки.
Источник: http://ruformator.ru/kolonka-eksperta/240613/zachem-nujny-antivirusnye-pesochnicy
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
- 2024-01-25 » Переменные Gitlab-Ci
- 2024-01-25 » Настройка CI/CD в GitLab для синхронизации проекта с веб-серверами
- 2024-01-25 » Копирование файлов scp
- 2024-01-21 » Бездепозитные бонусы от казино: обзор условий и правил использования
- 2024-01-18 » Современная обработка ошибок в PHP
- 2024-01-18 » Пример шаблона проектирования MVC в PHP
- 2024-01-18 » Мифический человеко-DevOps
- 2023-12-28 » Google подвел итоги 2023 года в поиске
- 2023-12-28 » 5 ошибок отдела продаж, из-за которых вы теряете клиентов
- 2023-12-28 » Американский суд признал монополию Google на рынках дистрибуции Android-приложений
- 2023-12-28 » Хостинг-провайдер GoDaddy перестанет оказывать услуги пользователям из России
Когда человек счастлив, он всегда хорош. Но не всегда хорошие люди бывают счастливы. О. Уайльд «Портрет Дориана Грея» |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.