Według Coreya Nachreinera, CTO firmy WatchGuard Technologies, w 2017 r. mogą rozpowszechnić się hybrydowe robaki typu ransom-worm. Zatem pojedyncza infekcja jednego komputera będzie się szybko rozprzestrzeniać na pozostałe w firmowej sieci i zwiększać ryzyko konieczności płacenia okupu za odszyfrowanie danych. Już pojawiły się pierwsze ataki tego typu, np. ZCryptor, który infekuje pamięci USB i za ich pomocą przenosi się na kolejne komputery.

Zagrożone są przede wszystkim małe i średnie firmy, których zabezpieczenia sieciowe często nie są wystarczające, aby wykryć i zablokować infekcję. To przede wszystkim w takich przedsiębiorstwach konieczne jest zapewnienie ochrony kompleksowej, funkcjonującej zarówno w sieci, jak i na stanowiskach roboczych czy serwerach.

 

Wykrywanie i obrona

W UTM-ach WatchGuard Firebox w wersji Total Security Suite zapewniona została kompleksowa ochrona dzięki połączeniu w jednym pakiecie zabezpieczeń sieciowych oraz niesygnaturowego systemu ochrony urządzeń końcowych, wyposażonego w mechanizm korelacji zdarzeń. W ten sposób powstała osadzona w chmurze usługa subskrypcyjna Threat Detection and Response, która gwarantuje podjęcie natychmiastowego działania przeciw nowym i ukrytym zagrożeniom przez korelację danych z różnych źródeł.

Składowe systemu Threat Detection and Response

– Konto TDR – zapewnia scentralizowane zarządzanie i usuwanie zagrożeń dla urządzeń końcowych.

– ThreatSync – główny mechanizm analityki TDR, który analizuje, koreluje i klasyfikuje wykryte zagrożenia.

– Firebox – rodzina urządzeń UTM, które identyfikują i przesyłają informacje o zdarzeniach sieciowych do TDR.

– Host Sensor – agenty zainstalowane na urządzeniach końcowych w celu monitorowania plików i procesów, raportowania zdarzeń do TDR oraz ochrony przed złośliwym oprogramowaniem.

– AD Helper – oprogramowanie umożliwiające synchronizację hostów i domen z usługi Active Directory na koncie TDR oraz zdalne instalowanie agentów.

 

TDR zbiera informacje o zdarzeniach, które mogą mieć wpływ na bezpieczeństwo, z UTM-ów Firebox oraz agentów zainstalowanych na urządzeniach końcowych. Następnie analizuje je, koreluje z innymi wydarzeniami, dokonuje oceny i przypisuje „punkty”, które posłużą do klasyfikacji zagrożeń. W efekcie TDR może polecić agentowi na urządzeniu końcowym, aby poddał dany plik kwarantannie, zakończył jakiś proces lub usunął dokonane przez złośliwe oprogramowanie wpisy do rejestru.

Inteligencję usługi TDR zapewnia mechanizm ThreatSync, który jest odpowiedzialny za korelację otrzymywanych danych. Uwzględnia on konkretny kontekst środowiskowy i czasowy, a następnie prezentuje informacje o zdarzeniach sklasyfikowanych jako incydenty, co znakomicie ułatwia zrozumienie ich natury. ThreatSync korzysta także z danych pochodzących z baz wiedzy o zagrożeniach (Threat Intelligence), dzięki czemu stanowi wygodne, skuteczne i efektywne narzędzie wspierania decyzji dotyczących reakcji na wykryte niebezpieczeństwa.

Taki mechanizm gwarantuje aktywną ochronę przed nieznanym złośliwym kodem, zagrożeniami dnia zerowego, wykrywanie i blokowanie botnetów oraz komunikacji z centrami sterowania (C&C Center) i dystrybucji złośliwego oprogramowania, a także ze stronami o złej reputacji.

Jerzy Trzepla

Territory Sales Manager, WatchGuard

W zapewnieniu bezpieczeństwa małym i średnim firmom kluczową rolę odgrywają partnerzy. Zazwyczaj w przedsiębiorstwach MŚP nie ma administratorów ani analityków zajmujących się ochroną danych. Tymczasem ich systemy IT powinny być monitorowane w trybie 24/7 w celu zapewnienia bezzwłocznej reakcji na wykryte zagrożenie, nawet jeśli zostało skutecznie zablokowane.

Dodatkowe informacje:

Jerzy Trzepla, Territory Sales Manager, WatchGuard,

watchguard@bakotech.pl

Artykuł powstał we współpracy z firmami WatchGuard i Bakotech.