BIZIT 11 - prvi dan

Multilayer pristup u zaštiti od Cyber napada

Cyber rat besni, a hakeri stalno menjaju svoje strategije i tehnike kako bi ostali neuhvatljivi i postigli svoje ciljeve. Danas se udružuju u zajednice sa ciljem razmene informacija o bezbednosnim propustima operativnih sistema i aplikacija

PANTH_home_2k

Na osnovu novootkrivenih propusta veoma je lako napisati maliciozni kod, odnosno kreirati još uvek nepoznatu pretnju (zero‑day attack). Takav kod se dalje razmenjuje unutar cyber zajednice, a najmanja promena u malicioznom kodu stvara novu podvarijantu već postojećeg malvera ili novu zero‑day pretnju. Dostupnost malicioznog koda i činjenica da ga je lako napraviti, omogućava čak i hakerima‑početnicima da budu podjednako opasni kao i oni iskusniji.

Kada otkriju bezbednosni propust i kreiraju maliciozni kod, cilj hakera je da osmisle što maštovitiji način kako da ga distribuiraju i zaraze što više radnih stanica.

Najčešći načini preuzimanja malicioznog koda jesu putem:

  • lažnih URL stranica koje izgledaju isto kao i originalne (phishing URL),
  • lažnog e‑mail‑a koji izgleda kao da ga šalje neko poznat (phishing e‑mail)
  • malicioznih URL oglasa (malicious ads)
  • prenosivih medija (USB, CD/DVD )…

Kada se negde u svetu desi zero‑day napad i otkrije se bezbednosni propust, standardna procedura je da se napiše odgovarajuća zakrpa (patch) koja ima cilj da otkloni taj propust u operativnom sistemu, a zatim i „potpis“ koji treba da „nauči“ IPS i antivirusni softver da prepoznaju malvere, pre nego što oni dođu do radnih stanica. Na taj način sprečava se dalje širenje sada već poznatog zero‑day napada. Tradicionalan network security model zasnovan na firewall‑u, IPS i antivirusnim post‑infection tehnologijama pokazao se kao nedovoljan u zaštiti od zero‑day pretnji. Period od trenutka kada se radne stanice zaraze do trenutka detekcije, kreiranja odgovarajuće zakrpe, ažuriranja operativnih sistema, kreiranja potpisa i ažuriranja IPS i antivirusnih rešenja, može da se meri danima ili čak nedeljama… Do tada je šteta već učinjena i hakeri su ostvarili svoj cilj.

Malver se trenutno najviše širi putem zaraženih Word‑ovih, Excel‑ovih ili izvršnih datoteka koje se preuzimaju na razne načine preko phishing URL‑a, phishing e‑maila‑a ili malicious ads‑a.

Prethodno je, naravno, korisnik naveden da putem interesantnog sadržaja pristupi zaraženim URL stranicama, da otvori zaraženi URL link u e‑mail‑u ili prilog poruci.

Zaražene dokumente moguće je zaštititi jedino emulacijom, tj. pokretanjem dokumenata na nekoj virtuelnoj mašini u kontrolisanom okruženju, korišćenjem tehnologije sandboxing koja proverava da li dokument sadrži neki maliciozni kod, pa ako sadrži, konvertuje dokument u neki bezbedan format.

Multilayer pristupom u zaštiti od cyber napada i konstantnom edukacijom, bićete korak ispred cyber kriminalaca.

Multilayer pristup obuhvata:

  • korišćenje packet filtering firewall pravila za kontrolu pristupa IP mrežama i servisima,
  • kontrolu pristupa URL lokacijama za koje se zna da sadrže malver, sajtovima za razmenu datoteka, sajtovima s torrent‑ima, social media i instant messaging aplikacijama,
  • korišćenjem firewall‑a nove generacije sa uključenim post‑infection tehnologijama, kao sto su IPS, antivirus, antiboot i antispam rešenja,
  • korišćenjem tehnologije sandboxing pre‑infection za zaštitu od zero‑day pretnji.

Slobodan Milidrag dipl. ing. el.

www.rrc.rs

Objavljeno u časopisu PC#231

 

Facebook komentari:
Računari i Galaksija
Tagovi: ,