13:09
18/11/2015


Boląca głowa, w którą wdziera się jak opętany dźwięk telefonicznego dzwonka. Sklejone snem oczy, za oknem ciemność, a przez neurony w mózgu leniwie rusza pierwszy impuls. Co się do licha ciężkiego dzieje? Gdy organizm po kilku sekundach jako tako dochodzi do siebie, zaczynasz rozpoznawać litery na wyświetlaczu smartfona. Jest 3 w nocy. Dzwoni Twój wspólnik, który w Waszej firmie odpowiada za IT. To chyba nie będzie radosna informacja…

Niniejszy artykuł sponsorowany jest elementem akcji promującej Malware Protection, pierwszą w Polsce usługę ochrony przed APT i zero-day z chmury. Jego autorem jest firma Integrated Solutions.

Kto z Czytelników miał już takie sny? Niestety w dzisiejszych czasach atak na firmę już od dawna wyszedł poza fantastykę hollywoodzkich filmowców – teraz zamiast zastanawiać się „czy zostanę zaatakowany” trzeba by raczej spytać „kiedy zostanę zaatakowany”, a nawet „od kiedy jestem atakowany”. Nie bez przyczyny przez ostatnie 11 lat publikacji Verizon Data Breach Investigation, najbardziej znanego raportu na świecie, dotyczącego bezpieczeństwa IT, liczba organizacji, które zdołały wykryć włamanie w ciągu dni lub wcześniej nigdy nie przekroczyła 25 procent, a w wielu przypadkach wciąż mamy do czynienia z atakami, trwającymi tygodnie, miesiące lub lata!

malware-protection

Postawmy się bowiem w sytuacji przestępcy. Zwykłego, nie komputerowego. Albo inaczej – w sytuacji niegrzecznego dziecka, które regularnie potrzebuje paru złotych na swoje fanaberie i woli pójść na łatwiznę, podbierając pieniądze z portfela ojca. Jaka jest szansa, że „ofiara” zauważy, gdy raz na jakiś czas zniknie mu kilka złotych? Na pewno znacznie mniejsza, niż wtedy, gdy właściciela zmieni stuzłotowy banknot! Tak samo jest przy włamaniu online, gdy złym ludziom nie zależy na szybkiej ucieczce z „fantami” – znacznie bardziej opłaca się im cichutko wemknąć się do naszej sieci i w nieregularnych odstępach wysyłać z niej po trochu kolejne kradzione dane.

„To jest wojna. Musicie zabijać albo nie przeżyjecie”

Tak mówił swoim żołnierzom grany przez Bogusława Lindę mjr Edward Keller w „Demonach Wojny wg Goi” Władysława Pasikowskiego. W cyberprzestrzeni nie ma mowy o śmierci, ale rywalizacja jest nie mniej zacięta. Kiedyś faktycznie wystarczała instalacja antywirusa, teraz niestety w tej kwestii przestępcy znacznie wyprzedzili osoby odpowiedzialne za bezpieczeństwo firmowej sieci. Przy kilkudziesięciu – często nawet ponad stu – tysiącach próbek malware’u dziennie nie jest możliwe, by sygnatury wszystkich natychmiast znalazły się w bazach antywirusów, tym bardziej, że gros wśród nich, to malware polimorficzny, przypominający nieco tradycyjne rosyjskie „matrioszki”, gdzie dopiero ostatni element, po wielokrotnym zdeszyfrowaniu, okazuje się być rozpoznawany jako złośliwy. Wtedy jednak przy tradycyjnym podejściu jest już za późno.

Historia pewnego nieautoryzowanego dostępu…

Można powiedzieć, że sam odegrałem kiedyś rolę „złośliwego oprogramowania”, gdy 19 lat temu, machając nieważną legitymacją dziennikarską, bez akredytacji, dostałem się na teren koncertu Michaela Jacksona na wielkim terenie lotniska na stołecznym Bemowie. Przy bramce udawałem wtedy kogoś, kim nie byłem, a potem mogłem robić, co mi się żywnie podobało, pomimo braku ważnego biletu.

Jak można było mnie zatrzymać? Może za pierwszą linią ochroniarzy postawić kolejną? Albo, dodatkowo do strefy dziennikarskiej wprowadzić krążących panów, którzy weryfikowaliby czy żurnalista ma ważną akredytację? Te dodatkowe obostrzenia są analogiczne do zasad, jakimi rządzi się właśnie Malware Protection:

  • Wypowiadane przez bramkarza „A chodź pan tu i pokaż dokładnie tę legitymację!” — to analogia do wykrywania nieznanych, niebezpiecznych plików z zewnątrz sieci poprzez uruchamianie ich w wirtualnym, odizolowanym środowisku
  • „Dziennikarz dziennikarzem – a akredytacja gdzie? Żegnam pana!” — to druga warstwa ochrony, blokująca transmisję znanych plików, ale zawierających niebezpieczne oprogramowanie
  • Czynności sprawdzające wykonywane w osobnym pomieszczeniu (aby zapobiec krzyknięciu przeze mnie „Ludzie, ratunku, bije!”) — to z kolei analogia do nie dopuszczenia komunikacji złośliwego oprogramowania z infrastrukturą Command&Control

Naszej analogii brakuje odniesienia się do jeszcze jednej funkcji Malware Protection, a mianowicie automatycznej informacji o wykryciu ataku i generowaniu raportów. 19 lat temu ochroniarze mieli ograniczone możliwości wzywania posiłków, dziś korzystają z pilotów wyposażonych w “panic button” wzywający dodatkowe patrole interwencyjne. Dodatkowo, Malware Protection pozwala na szczegółową analizę złośliwego kodu (ale ja na kontrolę osobistą nie dałbym się zabrać!). Malware Protection to także możliwość testowania oprogramowania na różnych systemach operacyjnych i w różnych konfiguracjach (w sumie do hali trudniej przemknąć się niezauważonym, niż na wielki otwarty teren), a nawet skanowania ruchu ze stacji roboczych pod kątem złośliwego kodu. A to wszystko po to, by opisany na początku koszmar mógł pozostać wyłącznie złym snem.

Ty też jesteś celem — pilnuj się

Nie ma co się łudzić, że akurat nasze dane nie zainteresują cyberprzestępców – a takie przekonanie wciąż pokutuje wśród internautów. Każde wrażliwe dane da się sprzedać na czarnym rynku. Niech pierwszy rzuci kamieniem ten, kto w małej, czy nawet średniej firmie separuje od internetu sieci przetwarzające dane wrażliwe, szyfruje wszystkie dyski i ma pewność, że nikt z pracowników nie ma prostego hasła, nie pisze o życiu w firmie na portalach społecznościowych i na pewno nie da się złapać na mniej lub bardziej skomplikowany phishing. Niech pierwszy rzuci kamieniem ten, kto uważa, że Malware Protection absolutnie mu się nie przyda. Paru na pewno by się znalazło – oby pozostali nigdy nie doświadczyli takiej pobudki, jak opisana na wstępie.

Integrated Solutions to dostawca rozwiązań ICT, należący do Orange Polska. Firma wprowadziła pierwszą w Polsce usługę ochrony przed złośliwym oprogramowaniem, atakami APT i zero-day z chmury. Malware Protection wykorzystuje zasoby infrastrukturalne Orange, zlokalizowane terenie Polski.

Przeczytaj także:

12 komentarzy

Dodaj komentarz
  1. Prawda jest niestety bardzo przykra ale prawdziwa. Niestety dziś w internecie globalnym nie ma żadnego zabezpieczenia. Jak ktoś ma się włamać do komputera, to się włamie nie zależnie od tego jakich programów ochronnych używasz. Patrząc na różnych dostawców zabezpieczenia, to zauważam że stanęli w miejscu i nie oferują już żadnej ochrony. Dotyczy to wszystkie firmy zajmującym się zabezpieczeniem. Trzeba myśleć już inaczej, a trzeba myśleć jak przestępca komputerowy, a to jest bardzo trudne.

    • Chyba, że się nim jest…

    • Jak takiś mądry to włam się do mojego kompa. Zobacz sobie na nasdaq ile zarabiają firmy zajmujące się zabezpieczeniami IT. Uważasz że wszyscy są w błędzie i zabezpieczanie nie działają?

  2. Nadal jest to tylko zaawansowane rozwiązanie antywirusowe, a nie ochrona przed APT. Jeśli firma twierdzi, że jest w stanie ochronić przed APT to omijałbym taką firmę z daleko, bo nie rozumie tak naprawdę problemu. Pozwolę sobie tutaj zacytować specjalistę firmy Cisco: “…If anyone attempts to sell your organization on a hardware or software solution for APT, they either don’t understand APT, don’t really understand how computers work, or are lying – or possibly all three. If there were a way to identify/detect APT that could be written on an ASIC or software signature that you deploy, it wouldn’t be Advanced Persistent Threat. It would be EDPTD (Easy to Detect Persistent Threat for Dummies) or perhaps Annoyingly Persistent Threat. Unfortunately, taking advantage of the extreme and complex nature of such a threats, parts of the security community attempt to sell ineffective APT defense with promises of alchemy…”.Tyle na temat.

  3. > Niniejszy artykuł sponsorowany

    ctrl+w

    • kłamczuszek

    • “Tagi: 0day, APT, ARTYKUŁ SPONSOROWANY”
      I kto tu jest kłamczuszkiem, Piotrze?

    • jakby zrobił ctrl+w to nie napisałby komentarza. O to chodziło, Mariuszu :)

    • Zrobił to po wypowiedzeniu się :D

  4. Już czuję sukces ! Na miarę G+
    Anty APT, Anty Malware, Anty Antek

  5. a ja czuje jak orange kompletuje drzewa plików wszystkich zainteresowanych :)

    • Miejmy nadzieję, że skasuje zarażone pliki i zostawi czyste a nie odwrotnie. W końcu to Orange…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.