Casa Negocis El programari maliciós invisible ja està aquí i el vostre programari de seguretat no el pot agafar

El programari maliciós invisible ja està aquí i el vostre programari de seguretat no el pot agafar

Taula de continguts:

Vídeo: Эми Кадди: Язык тела формирует вашу личность (De novembre 2024)

Vídeo: Эми Кадди: Язык тела формирует вашу личность (De novembre 2024)
Anonim

"Maliciós invisible", una nova raça de programari maliciós, està a la marxa i, si s'atropellen els vostres servidors, potser no hi podreu fer gaire coses al respecte. De fet, és possible que ni tan sols pugueu dir que hi és. En alguns casos, el programari maliciós invisible només viu a la memòria, el que significa que no hi ha cap fitxer als discos que trobeu el vostre programari de protecció de punt final. En altres casos, el malware invisible pot aparèixer al vostre sistema d'entrada / sortida bàsica (BIOS), on pot utilitzar una de les poques tàctiques per atacar-vos. En alguns casos, fins i tot pot aparèixer com una actualització de firmware on substitueix el firmware existent per una versió infectada i gairebé impossible de trobar o eliminar.

"Amb l'avanç del software anti-malware i Endpoint Detection and Response (EDR), que facilita la captura de programari maliciós de zero dies, els escriptors de programari maliciós van baixant a la pila", va dir Alissa Knight, analista principal amb la pràctica de ciberseguretat de l'Aite Group.. És especialista en amenaces basades en maquinari. Knight va dir que s’està desenvolupant aquest nou tipus de programari maliciós que pot defugir la detecció mitjançant programari heretat.

El programari EDR, més avançat que els paquets AV anteriors, és molt més eficaç per atacar atacs i aquest programari utilitza diversos mètodes per determinar quan un atacant funciona. "El desenvolupament d'EDR fa que el barret negre respongui i creï kits d'arrel del nucli i kits d'arrel del firmware, en maquinari on pugui escriure al registre d'arrencada mestre", va dir Knight.

També ha estat creat per a la creació de kits d’arrel virtual, que s’iniciaran abans del sistema operatiu (OS), creant una màquina virtual (VM) per al malware, de manera que no es pot detectar mitjançant el programa que s’executa al sistema operatiu. "Això fa que sigui gairebé impossible de captar", va dir.

Malware Blue Pill i molt més

Afortunadament, encara és difícil instal·lar un kit d’arrel virtual en un servidor, fins al punt que els atacants que ho intenten funcionen generalment com a atacants patrocinats per l’estat. A més, es poden detectar almenys algunes de les activitats i algunes es poden aturar. Knight diu que el "malware sense fil", que només funciona en la memòria, pot ser derrotat en apagar força l'ordinador on funciona.

Però Knight també va dir que aquest programari maliciós podria anar acompanyat del que es diu "malware Blue Pill", que és una forma de kit d'arrel virtual que es carrega en una màquina virtual i que després carrega el sistema operatiu en una màquina virtual. D’aquesta manera, es pot produir una fallada d’apagada i reinici mentre es deixa que el programari maliciós funcioni. Per això, no podeu fer servir l’elecció d’apagada a Microsoft Windows 10; Només funcionarà la presa del connector.

Afortunadament, de vegades es poden detectar altres tipus d’atacs de maquinari mentre estan en marxa. Knight va dir que una empresa, SentinelOne, ha creat un paquet EDR que és més eficaç que la majoria i, de vegades, pot detectar quan el programari maliciós ataca la BIOS o el firmware d'una màquina.

Chris Bates és director global d’arquitectura de productes de SentinelOne. Va dir que els agents del producte funcionen de manera autònoma i que poden combinar informació amb altres punts finals quan calgui. "Tots els agents SentinelOne estan construint context", va dir Bates. Va dir que el context i els esdeveniments que succeeixen mentre es construeix el context creen històries que es poden utilitzar per detectar les operacions de programari maliciós.

Bates va dir que cada extrem pot prendre una correcció per compte propi eliminant el programari maliciós o posant-lo en quarantena. Però Bates també va dir que el seu paquet EDR no pot agafar-ho tot, sobretot quan ocorre fora del sistema operatiu. És un exemple la unitat de polze USB que reescriu la BIOS abans de l'arrencada de l'equip.

Següent nivell de preparació

Aquí és on arriba el següent nivell de preparació, va explicar Knight. Va assenyalar un projecte conjunt entre Intel i Lockheed Martin que va crear una solució de seguretat endurida que s'executava en processadors estàndard Intel Xeon de segona generació anomenats "Solució Intel Seleccionada per a la seguretat endurida amb Lockheed Martin". Aquesta nova solució està dissenyada per prevenir infeccions per programari maliciós aïllant recursos crítics i protegint aquests recursos.

Mentrestant, Intel també ha anunciat una altra sèrie de mesures preventives del maquinari anomenades "Hardware Shield", que bloqueja la BIOS. "Aquesta és una tecnologia on, si hi ha algun tipus d'injecció de codi maliciós, llavors la BIOS pot respondre", va explicar Stephanie Hallford, vicepresidenta i directora general de plataformes de clients empresarials d'Intel. "Algunes versions podran comunicar-se entre el sistema operatiu i el BIOS. El sistema operatiu també pot respondre i protegir-se contra l'atac".

Malauradament, no es pot fer molt per protegir les màquines existents. "Heu de substituir els servidors crítics", va dir Knight, que va afegir que també haureu de determinar quines són les vostres dades crítiques i on es publiquen.

"Intel i AMD necessitaran posar-se a la pilota i democratitzar-ho", va dir Knight. "A mesura que els escriptors de programari maliciós millorin, els venedors de maquinari hauran de posar-se al dia i fer-lo assequible."

El problema només està empitjorant

Malauradament, Knight va dir que el problema només empitjorarà. "Els kits de crims i els kits de programari maliciós seran més fàcils", va dir.

Knight va afegir que l’única manera de que la majoria d’empreses evitin el problema és traslladar les seves dades i processos crítics al núvol, només si els proveïdors de serveis en núvol poden protegir-se millor davant d’aquest tipus d’atacs de maquinari. "És el moment de transferir el risc", va dir.

I Knight va advertir que, a la velocitat, les coses es mouen, hi ha poc temps per protegir les vostres dades crítiques. "Això es convertirà en cuc", va predir. "Es convertirà en algun tipus de cuc autopropagador." És el futur de la guerra cibernètica, va dir Knight. No restarà sempre per sempre dels actors patrocinats per l'estat.

Passos a fer

Aleshores, amb el futur, desolador, què podeu fer ara? A continuació, es detallen els primers passos que cal fer en aquest moment:

    Si encara no teniu programari EDR efectiu, com SentinelOne, en podeu obtenir un.

    Identifiqueu les vostres dades crítiques i utilitzeu per protegir-les mitjançant xifratge mentre actualitzeu els servidors que les dades es troben a les màquines protegides contra les vulnerabilitats del maquinari i les explotacions que en treuen profit.

    Quan les dades crítiques hagin de romandre internes, substituïu els servidors que continguin aquestes dades per plataformes que utilitzin les tecnologies del maquinari, com ara Hardware Shield per als clients i la solució Intel Select per a la seguretat endurida per Lockheed Martin per servidors.

    Sempre que sigui possible, traslladeu les vostres dades crítiques als proveïdors de núvol amb processadors protegits.

    • La millor protecció antivirus del 2019 La millor protecció antivirus del 2019
    • El millor programari de protecció i seguretat de l’endpoint final allotjat per al 2019 El millor programari de protecció i seguretat de l’endpoint final allotjat per al 2019
    • El millor programari d’eliminació i protecció de programari maliciós per al 2019 El millor programari de eliminació i protecció de programari maliciós per al 2019

    Mantingueu entrenant el vostre personal en una bona higiene de seguretat perquè no siguin els que connectin una unitat polseguera infectada a un dels vostres servidors.

  • Assegureu-vos que la vostra seguretat física sigui prou forta com per protegir els servidors i la resta d’endpoints de la vostra xarxa. Si tot això fa que us sembli que la seguretat és una cursa d’armes, haureu de ser correcte.

El programari maliciós invisible ja està aquí i el vostre programari de seguretat no el pot agafar