Obsah:
Video: How to remove a virus from MacBook — Basic malware check for Mac (Listopad 2024)
"Neviditelný malware", nové plemeno malwaru, je na pochodu, a pokud zasáhne vaše servery, nemusí být s tím mnoho práce. Ve skutečnosti možná ani nebudete moci říct, že je tam. V některých případech neviditelný malware žije pouze v paměti, což znamená, že na disku není žádný soubor, který by váš software pro ochranu koncových bodů našel. V ostatních případech může neviditelný malware žít ve vašem systému BIOS (Basic Input / Output System), kde k útoku může použít jednu z mála taktik. V některých případech se může dokonce objevit jako aktualizace firmwaru, kde nahradí váš existující firmware verzí, která je infikovaná a téměř nemožné ji najít nebo odstranit.
Software EDR, který je pokročilejší než starší AV balíčky, je mnohem účinnější při chytání útoků a tento software používá řadu metod k určení, kdy útočník pracuje. „Vývoj EDR způsobuje, že černý klobouk reaguje a vytváří kořenové sady jádra a kořenové sady firmwaru, a to v hardwaru, kde může zapisovat do hlavního spouštěcího záznamu, “ řekl Knight.
To také vedlo k vytvoření virtuálních kořenových sad, které se zavedou před operačním systémem (OS), vytvoří se virtuální počítač (VM) pro malware, takže jej nelze zjistit pomocí softwaru spuštěného v operačním systému. „Díky tomu je téměř nemožné chytit, “ řekla.
Blue Pill Malware a další
Naštěstí je instalace virtuální kořenové sady na server stále obtížná - do té míry, že útočníci, kteří to zkoušejí, obecně pracují jako útočníci sponzorovaní státem. Kromě toho mohou být detekovány alespoň některé z aktivit a některé mohou být zastaveny. Knight říká, že „bezfilmový malware“, který funguje pouze v paměti, lze porazit násilným vypnutím počítače, na kterém běží.
Ale Knight také řekl, že takový malware může být doprovázen tzv. „Blue Pill malware“, což je forma virtuální kořenové sady, která se načte do virtuálního počítače a poté načte operační systém do virtuálního počítače. To mu umožňuje falešné vypnutí a restartování, zatímco nechává malware běžet. Z tohoto důvodu nemůžete použít pouze možnost vypnutí v systému Microsoft Windows 10; funguje pouze tahání za zástrčku.
Naštěstí mohou být někdy detekovány i jiné typy hardwarových útoků, zatímco probíhají. Knight řekl, že jedna společnost, SentinelOne, vytvořila balíček EDR, který je účinnější než většina, a někdy dokáže zjistit, kdy malware útočí na BIOS nebo firmware na počítači.
Chris Bates je globálním ředitelem produktové architektury ve společnosti SentinelOne. Řekl, že agenti produktu pracují autonomně a v případě potřeby mohou kombinovat informace s jinými koncovými body. „Každý agent SentinelOne buduje kontext, “ řekl Bates. Kontext a události, ke kterým dojde během vytváření kontextu, řekl, že vytvářejí příběhy, které lze použít k detekci operací škodlivého softwaru.
Bates uvedl, že každý koncový bod může sám provést nápravu odstraněním malwaru nebo jeho umístěním do karantény. Ale Bates také řekl, že jeho balíček EDR nedokáže zachytit všechno, zvláště když se to stane mimo OS. Jedním z příkladů je palcová jednotka USB, která přepisuje systém BIOS před spuštěním počítače.
Další úroveň přípravy
Tady přichází další úroveň přípravy, vysvětlil Knight. Poukázala na společný projekt mezi společnostmi Intel a Lockheed Martin, který vytvořil tvrzené bezpečnostní řešení běžící na standardních procesorech Intel Xeon škálovatelné 2. generace nazvané „Intel Select Solution for Hardened Security with Lockheed Martin“. Toto nové řešení je navrženo tak, aby předcházelo infekcím škodlivým softwarem izolováním kritických zdrojů a jejich ochranou.
Mezitím společnost Intel také oznámila další řadu preventivních hardwarových opatření zvaných „Hardware Shield“, která blokuje BIOS. „Jedná se o technologii, kde, pokud dojde k nějakému vstříknutí škodlivého kódu, může BIOS reagovat, “ vysvětlila Stephanie Hallford, viceprezidentka a generální ředitelka platformy Business Client Platform společnosti Intel. "Některé verze budou mít schopnost komunikovat mezi OS a BIOS. OS může také reagovat a chránit před útokem."
Bohužel bohužel nemůžete udělat mnoho pro ochranu stávajících strojů. "Musíte vyměnit kritické servery, " řekl Knight a dodal, že budete také muset zjistit, jaká jsou vaše kritická data a kde jsou spuštěna.
"Intel a AMD se budou muset dostat na ples a demokratizovat to, " řekl Knight. "Jak se autoři malwaru budou zlepšovat, dodavatelé hardwaru budou muset dohonit a učinit je dostupnými."
Problém je jen zhoršující se
Bohužel Knight řekl, že problém se bude jen zhoršovat. „Soupravy na zločiny a malware se budou snazší, “ řekla.
Knight dodal, že jediný způsob, jak se většina společností tomuto problému vyhnout, je přesunout jejich kritická data a procesy do cloudu, a to pouze proto, že poskytovatelé cloudových služeb mohou lépe chránit před tímto druhem hardwarového útoku. „Je čas přenést riziko, “ řekla.
A Knight varoval, že při rychlosti, kdy se věci vyvíjejí, není čas chránit vaše kritická data. „Z toho se stane červ, “ předpověděla. "Stane se to jakousi samovolně se rozmnožujícím červem." Je to budoucnost kybernetického průmyslu, řekl Knight. Nezůstane to navždy státem sponzorované herce.
Kroky k provedení
Takže s budoucností této bezútěšné, co můžete dělat teď? Zde je několik úvodních kroků, které byste měli ihned podniknout:
-
- Nejlepší antivirová ochrana pro rok 2019 Nejlepší antivirová ochrana pro rok 2019
- Nejlepší hostovaný software pro ochranu a zabezpečení koncových bodů pro rok 2019 Nejlepší hostovaný software pro ochranu a zabezpečení koncových bodů pro rok 2019
- Nejlepší software pro odstraňování a ochranu malwaru pro rok 2019 Nejlepší software pro odstraňování a ochranu malwaru pro rok 2019
Udržujte školení svých zaměstnanců v dobré bezpečnostní hygieně tak, aby nebyli to ti, kteří připojují infikovanou palcovou jednotku k jednomu z vašich serverů.
Pokud ještě nemáte efektivní software EDR, jako je SentinelOne, pak jej nyní získejte.
Identifikujte svá kritická data a snažte se je chránit šifrováním, zatímco upgradujete servery, na kterých jsou data, na počítače chráněné proti hardwarovým zranitelnostem a jejich zneužití.
Tam, kde vaše kritická data musí zůstat ve vlastní firmě, vyměňte servery, které tato data obsahují, na platformy, které používají hardwarové technologie, jako je například Hardware Shield pro klienty a Intel Select Solution pro Hardened Security, se Lockheed Martin pro servery.
Kdykoli je to možné, přesuňte svá kritická data k poskytovatelům cloudu s chráněnými procesory.
Ujistěte se, že vaše fyzické zabezpečení je dostatečně silné na ochranu serverů a zbývajících koncových bodů v síti. Pokud vám to všechno připadá, že bezpečnost je závod se zbraněmi, měli byste mít pravdu.
