Před dvaceti lety řekl Stephen Hawking, přední fyzik a spisovatel, že počítačové viry by měly být chápány a brány jako životní forma, která využívá metabolismus hostitelských počítačů, jež infikují, a stávající se parazity. Uplynulá desetiletí správnost této teorie potvrdila, malwarová infekce roste exponenciálně. A stejně jako jiné formy života, i viry se vyvinuly. V roce 2013 jsme viděli vznik ransomwaru, který kyberzločinci využívají k vydírání organizací, jako rukojmí slouží data a za „propuštění“ se vyžaduje výkupné.

Mezi další generaci útoků se řadí i nedávný útok na Sony Pictures Entertainment, který byl jedním z doposud vůbec nejdestruktivnějších útoků na nějakou organizaci. Útok vyřadil z provozu větší část celé sítě společnosti na jeden týden. Útok využíval wiper malware, který přepíše disky osobních počítačů a vyřadí je tak z provozu. Náprava takového útoku je velmi nákladná, protože každý napadený disk počítače musí být nahrazen nebo opraven a navíc je téměř nemožné obnovit přepsaná data pomocí standardních forenzních metod.

Rozsah a provedení vedlo FBI k vydání upozornění a varování dalších organizací před potenciální hrozbou. Konkrétní malware, použitý při tomto útoku, nebyl detekovatelný konvenčními antivirovými programy. A speciálně to je největším problémem a výzvou, jak se chránit před hrozbami, které jsou pro zabezpečení „neviditelné“.

Neviditelný, neznámý

Pro zločince je poměrně snadné udělat drobné úpravy malwarového kódu a velmi rychle uvolňovat nové a nové varianty, takže snáze obejdou antiviry, které pro detekci využívají signatury. Organizace tak zůstávají zranitelné. Podle zprávy Check Point 2014 Security Report, která analyzovala miliony bezpečnostních událostí z více než 10 000 organizací po celém světě, každá organizace v průměru stáhne nedopatřením nový a neznámý malware do své sítě každých 27 minut. To je téměř 50 neznámých malwarových infekcí každý den.

Co mohou, a měly by, firmy udělat, aby se ochránily před neznámým a destruktivním malwarem? Jako první krok je důležité, aby organizace dodržovaly základní bezpečnostní osvědčené postupy doporučené k ochraně počítačů před jakýmkoli typem infekce:

• Ujistěte se, že antivirový software je aktualizován a obsahuje nejnovější signatury
• Ujistěte se, že operační systém a aplikace jsou aktuální a obsahují nejnovější patche
• Nainstalujte obousměrný firewall na každém uživatelském počítači
• Poučte uživatele o technikách sociální inženýrství, zejména v případě neznámých příloh, které přijedou v nevyžádaných e-mailech

Pokud se malware vyhne detekci antivirem, mohou být některé z jeho činností zaznamenány a zablokovány firewallem nebo nejnovějšími patchy v aplikacích nebo operačním systému. Nicméně tyto osvědčené postupy neposkytují úplnou ochranu proti nově vyvíjeným útokům. I pro technicky zdatné zaměstnance je příliš snadné nechtěně kliknout na přílohu e-mailu a vyvolat infekci.

Sandboxová past

Na obranu proti novým a neznámým bezpečnostním slabinám existuje bezpečnostní technika zvaná emulace hrozeb neboli sandboxing, která umožňuje identifikovat a izolovat neznámý malware ještě dříve, než se může dostat do sítě, takže nedochází k infekci.

Emulace umožňuje nahlédnout do běžných typů souborů, jako jsou e-maily, PDF, dokumenty ve Wordu a Excelu a tak dále, a zjistit, jestli tyto soubory neobsahují nějaký škodlivý kód, protože to je nejčastější způsob šíření nového malwaru. Engine emulace může běžet buď na hlavní podnikové bezpečnostní bráně na vstupním perimetru sítě nebo v cloudu jako služba. Jakmile soubory dorazí na bránu nebo do cloudové služby prostřednictvím e-mailu, jsou zkontrolovány ve virtualizovaném bezpečném a uzavřeném prostředí nazývaném „sandbox“. Zde je soubor otevřen a v reálném čase monitorován, zda nevykazuje nějaké známky neobvyklého chování, jako jsou pokusy o abnormální změny v registru nebo síťových připojeních. Je-li chování vyhodnoceno jako podezřelé nebo nebezpečné, soubor je zablokován a umístěn do karantény, čímž se zamezí jakékoli infekci a následnému poškození.

Celý tento proces probíhá tak hladce, že si příjemce souboru téměř nevšimne jakéhokoli prodlení u e mailových služeb. Informace o detekované aktivitě souboru jsou pak k dispozici IT týmu ve formě podrobné zprávy.

Emulace hrozeb je kritickou vrstvou ochrany proti novým a destruktivním malwarovým kmenům a působí jako bariéra, která zastavuje tyto parazitující formy života. I když není možné skutečně zničit tyto hrozby, sandbox je pomůže zastavit a ochránit cenná firemní data a zdroje před zničením a nebo zneužitím.

David Řeháček