Casa Negocis Pot ser que pugueu trobar programari maliciós invisible, però eliminar-lo no és fàcil

Pot ser que pugueu trobar programari maliciós invisible, però eliminar-lo no és fàcil

Taula de continguts:

Vídeo: Mundó: "Aquest judici és el fracàs de la política, estem a temps de trobar solucions" (De novembre 2024)

Vídeo: Mundó: "Aquest judici és el fracàs de la política, estem a temps de trobar solucions" (De novembre 2024)
Anonim

Saber que hi ha una cosa tan maliciós invisible fora de l’abast del vostre programari antivirus no té prou por. Però, què hi ha quan aprenguis que, encara que trobeu aquestes coses, és possible que no pugueu desfer-vos-en? Malauradament, segons el tipus de programari maliciós basat en maquinari de què parlem, podria ser així.

La setmana passada ja vaig escriure sobre el problema del programari maliciós invisible, que pot existir al sistema bàsic d’entrada / sortida (BIOS) del vostre ordinador i que pot albergar enllaços virtuals. Després, els rootkits poden fer-se càrrec dels vostres servidors, ordinadors de sobretaula o altres dispositius. Com que existeixen en maquinari, la protecció d’endpoints o altres paquets antimware no generalment els poden veure. De fet, potser mai no se sap que està infectat fins que les dades es mostren a la venda després d’una infracció.

Detecció de programari maliciós

Afortunadament, els experts han trobat maneres com es pot revelar aquest malware invisible, però com si els dolents seguissin el ritme, també hi ha noves maneres d’instal·lar-lo. Tot i així, la tasca de trobar-lo es facilita una mica. Per exemple, es pot atacar una nova vulnerabilitat en processadors Intel anomenats "ZombieLoad" mitjançant codi d'explotació subministrat al programari. Aquesta vulnerabilitat pot permetre la inserció de programari maliciós a la BIOS d’un ordinador de manera remota.

Si bé els investigadors continuen estudiant ZombieLoad, tractant de determinar l'abast del problema d'aquesta última ronda d'explotacions d'Intel, el cert és que aquestes explotacions de maquinari es poden estendre a tota l'empresa. "El firmware és un codi programable assegut en un xip", explica Jose E. Gonzalez, cofundador i conseller delegat de Trapezoid. "Teniu un munt de codi al vostre sistema que no esteu veient."

El problema és que el firmware pot existir a tota la vostra xarxa, en dispositius que van des de càmeres web i dispositius de seguretat fins a commutadors i encaminadors als ordinadors de la sala de servidors. Tots ells són essencialment dispositius informàtics, de manera que qualsevol d'ells pot contenir programari maliciós amb codi d'explotació. De fet, només aquests dispositius s’han utilitzat per llançar atacs de denegació de servei (atacs DoS) des de robots basats en el seu firmware.

Trapezoid 5 és capaç de detectar la presència de programari maliciós basat en el firmware mitjançant un sistema únic de filigranes que vincula de forma criptogràfica el firmware de cada dispositiu a qualsevol maquinari on s’executi. Inclou dispositius virtuals, incloses màquines virtuals (VMs) ubicades en locals o en instal·lacions virtuals com a infraestructura com a servei (IaaS) que s’executen al núvol. Aquestes filigranes poden revelar si alguna cosa del firmware del dispositiu ha canviat. Si afegiu programari maliciós al firmware, es canviarà de manera que la marca d'aigua no sigui vàlida.

El trapezoide inclou un motor de verificació d’integritat del firmware que ajuda a detectar problemes al firmware i permet al personal de seguretat examinar-los. Trapezoid també s'integra amb moltes eines de gestió i informes de polítiques de seguretat de manera que podeu afegir estratègies de mitigació adequades per a dispositius infectats.

Explicant a la part posterior

Alissa Knight està especialitzada en problemes de seguretat de maquinari. És analista sènior de The Aite Group i autora del proper llibre Hacking Connected Cars: Tactics, Techniques and Procedures . cavaller va dir que els professionals de les TI que busquen cercar programari maliciós invisible necessitaran probablement una eina com el Trapezoide. "Hi ha un aspecte fonamental de les zones posteriors que els fan difícils de detectar perquè esperen que es produeixen determinats disparadors", va explicar.

Knight va dir que, si existeix una porta del darrere, ja sigui si forma part d’un atac de programari maliciós o existeix per algun altre motiu, el millor que podeu fer és evitar que funcionin impedint que es detectin els desencadenants. Va assenyalar Silencing Hardware Backdoors , un informe de recerca d'Adam Waksman i Simha Sethumadhavan, ambdues Laboratori d’Arquitectura i Tecnologia de la Seguretat Informàtica, Departament d’Informàtica de la Universitat de Columbia.

La investigació de Waksman i Sethumadhavan demostra que es pot evitar que aquests desencadenants de programari mal funcionin mitjançant tres tècniques: en primer lloc, un restabliment de l’energia (per a programari maliciós resident a la memòria i atacs basats en el temps); segon, ofuscació de dades; i el tercer, trencament de seqüències. Obfuscation consisteix a xifrar les dades que entren a les entrades i pot evitar que els desencadenants siguin reconeguts, ja que pot produir l'ordre aleatori del flux de comandaments.

El problema d’aquests enfocaments és que poden ser poc pràctics en un entorn d’informàtica per a totes les implementacions més crítiques. Knight va assenyalar que alguns d'aquests atacs són més propensos a ser realitzats per atacants patrocinats per l'estat que per cibercriminals. Tot i això, val la pena assenyalar que aquells atacants patrocinats per l'estat passen per petites per a les empreses mitjanes (SMB) per intentar obtenir informació o un altre accés als seus objectius finals, de manera que els professionals de les TI de la SMB no poden simplement ignorar aquesta amenaça perquè són massa sofisticats. per aplicar-los.

Eviteu que els programes maliciosos es comuniquin

Tanmateix, una estratègia que funciona és evitar que el malware no es comuniqui, cosa que és veritable per a la majoria de programari maliciós i a la part de darrere. Tot i que hi són, no poden fer res si no es poden activar o si no poden enviar les seves càrregues útils. Un bon aparell d’anàlisi de xarxa pot fer-ho. "necessita comunicar-se amb la base domèstica", va explicar Arie Fred, vicepresidenta de Gestió de Productes de SecBI, que utilitza un sistema de detecció i resposta de l'amenaça basat en intel·ligència artificial (AI) per evitar que la comunicació de programari maliciós es mantingui.

"Utilitzem un enfocament basat en registres utilitzant dades dels dispositius existents per crear visibilitat completa de l'abast", va dir Fred. Aquest enfocament evita els problemes creats per les comunicacions xifrades del programari maliciós que alguns tipus de sistemes de detecció de programari maliciós no poden atrapar.

"Podem fer investigacions autònomes i mitigacions automàtiques", va dir. D’aquesta manera, es poden fer un seguiment i bloqueig de les comunicacions sospitoses des d’un dispositiu fins a una destinació inesperada i es pot compartir informació en qualsevol altre lloc de la xarxa.

Eliminació de programari maliciós basat en maquinari

Potser heu trobat algun malware invisible, i potser heu aconseguit evitar que continuïn una conversa amb la seva mare materna. Tot bé, però què passa amb desfer-se’n? Resulta que això no és només difícil, però pot ser que sigui impossible.

Dels casos en què és possible, la cura immediata consisteix a canviar el firmware. Això pot eliminar el programari maliciós, tret que passi per la cadena de subministrament pròpia del dispositiu, cas en què només vareu tornar a carregar el malware.

  • El millor programari de monitorització de xarxa del 2019 El millor programari de monitorització de xarxa per al 2019
  • El millor programari d’eliminació i protecció de programari maliciós per al 2019 El millor programari de eliminació i protecció de programari maliciós per al 2019
  • Aquí hi ha un programari maliciós invisible i el vostre programari de seguretat no el podeu capturar El programari maliciós invisible és aquí i el vostre programari de seguretat no el podeu aconseguir.

Si feu reflash, també és important veure la vostra xarxa per veure signes de reinfecció. Si el programari maliciós havia d’introduir el vostre maquinari des d’algun lloc i, si no provenia del fabricant, és possible que la mateixa font l’enviï de nou per tal de restablir-se.

El que això redueix és més seguiment. Això continuaria monitoritzant el trànsit de la xarxa per detectar signes de comunicacions malicioses, així com mantenint pestanyes a les instal·lacions del firmware del vostre dispositiu per detectar signes d'infecció. I si esteu fent un seguiment, potser podreu esbrinar d’on prové i també eliminar-ne.

Pot ser que pugueu trobar programari maliciós invisible, però eliminar-lo no és fàcil