תוכנה זדונית בלתי נראית כאן ותוכנת האבטחה שלך לא יכולה לתפוס אותה

"תוכנה זדונית בלתי נראית", זן חדש של תוכנות זדוניות, נמצאת בצעדה, ואם היא מכה בשרתים שלך, יתכן שלא תוכל לעשות הרבה דברים בנושא. לאמיתו של דבר, אולי אפילו לא תוכלו לדעת שהוא שם. במקרים מסוימים, תוכנות זדוניות בלתי נראות חיות רק בזיכרון, כלומר אין קובץ בדיסקים שתוכל למצוא תוכנה להגנת נקודות הקצה שלך. במקרים אחרים, תוכנה זדונית בלתי נראית עשויה לחיות במערכת הקלט / פלט הבסיסית שלך (BIOS), שם היא יכולה להשתמש באחת מכמה טקטיקות כדי לתקוף אותך. במקרים מסוימים הוא עשוי אף להופיע כעדכון קושחה בו הוא מחליף את הקושחה הקיימת שלך בגירסה נגועה וכמעט בלתי אפשרית למצוא או להסיר אותה.

אליסה נייט, אנליסט בכיר בתחומי אבטחת הסייבר של קבוצת Aite, מסביר אליסה נייט, "עם ההתקדמות בתוכנה נגד תוכנות זדוניות ותוכנות זיהוי ותחושת קצה לקצה (EDR) המקלה על התפיסה של תוכנות זדוניות אפס יום.. היא מתמחה באיומים מבוססי חומרה. נייט אמר כי סוג חדש של תוכנה זדונית מפותח שיכול להתחמק מגילוי על ידי תוכנה מדור קודם.

תוכנת EDR, שהיא יותר מתקדמת מחבילות AV מדור קודם, יעילה בהרבה לתפוס התקפות, ותוכנה זו משתמשת במגוון שיטות כדי לקבוע מתי תוקף עובד. "התפתחות של EDR גורמת לכובע השחור להגיב, וליצור ערכות שורש גרעינים וערכות שורש קושחה, זה בחומרה שבה הוא יכול לכתוב לרשומת האתחול הראשי", אמר נייט.

זה גם הוביל ליצירת ערכות שורש וירטואליות, אשר יאתחלו לפני מערכת ההפעלה (OS) ויצרו מכונה וירטואלית (VM) לתוכנה הזדונית, כך שלא ניתן יהיה לאתר אותה על ידי תוכנה הפועלת על מערכת ההפעלה. "זה כמעט בלתי אפשרי לתפוס, " אמרה.

תוכנות זדוניות לגלולה כחולה ועוד

למרבה המזל, התקנת ערכת שורשים וירטואלית לשרת היא עדיין קשה - עד כדי כך שהתוקפים שמנסים אותה עובדים בדרך כלל כתוקפים בחסות מדינה. בנוסף, ניתן לאתר לפחות חלק מהפעילויות וכמה ניתן להפסיק. נייט אומר כי "תוכנות זדוניות חסרות פתיחה", הפועלות רק בזיכרון, ניתנות להביס על ידי כיבוי בכוח של המחשב בו הוא פועל.

אבל נייט אמר גם כי תוכנות זדוניות כאלה יכולות להיות מלוות במה שמכונה "תוכנה זדונית של הכחול הכחול", שהיא סוג של ערכת שורשים וירטואלית שמטעינה את עצמה ל- VM ואז טוענת את מערכת ההפעלה ל- VM. זה מאפשר לזייף כיבוי ולהתחיל מחדש תוך שהוא מאפשר לתוכנה הזדונית להמשיך לפעול. זו הסיבה שאינך יכול פשוט להשתמש בבחירת הכיבוי ב- Microsoft Windows 10; רק משיכת התקע תעבוד.

למרבה המזל, לפעמים ניתן לאתר סוגים אחרים של התקפות חומרה בזמן שהם בעיצומם. נייט אמר שחברה אחת, SentinelOne, יצרה חבילת EDR שהיא אפקטיבית יותר מרובם ויכולה לפעמים לזהות מתי תוכנות זדוניות תוקפות את ה- BIOS או הקושחה במחשב.

כריס בייטס הוא מנהל גלובלי של אדריכלות מוצרים ב- SentinelOne. לדבריו, סוכני המוצר פועלים באופן אוטונומי ויכולים לשלב מידע עם נקודות קצה אחרות בעת הצורך. "כל סוכן SentinelOne בונה הקשר, " אמר בייטס. הוא אמר שההקשר וההתרחשויות שמתרחשים תוך כדי בניית ההקשר יוצרים סיפורים שניתן להשתמש בהם כדי לאתר את פעולות התוכנה הזדונית.

בייטס אמר כי כל נקודת קצה יכולה ליטול טיפול בכוחות עצמה על ידי ביטול התוכנה הזדונית או הצבתה בהסגר. אבל בייטס אמר גם כי חבילת ה- EDR שלו לא יכולה לתפוס את הכל, במיוחד כשזה קורה מחוץ למערכת ההפעלה. כונן USB אגודל כותב מחדש את ה- BIOS לפני שהמחשב מופעל הוא דוגמה אחת.

הרמה הבאה של ההכנה

כאן נכנס לרמת ההכנה הבאה, הסביר נייט. היא הצביעה על פרויקט משותף בין אינטל ללוקהיד מרטין שיצר פיתרון אבטחה מוקשה שפועל על מעבדים סטנדרטיים של Xeon Intel Xeon Scalable שנקראו "Intel Select Solution for Hardened Security with Lockheed Martin". פיתרון חדש זה נועד למנוע זיהומים זדוניים על ידי בידוד משאבים קריטיים והגנה על אותם משאבים.

בתוך כך, אינטל הודיעה גם על סדרה נוספת של אמצעי מניעה לחומרה בשם "מגן חומרה", אשר נועלת את ה- BIOS. "זו טכנולוגיה שבה, אם יש הזרקה כלשהי של קוד זדוני, ה- BIOS יכול להגיב, " הסביר סטפני הולפורד, סמנכ"ל ומנכ"ל פלטפורמות לקוח עסקי באינטל. "יש גרסאות שיש להן אפשרות לתקשר בין מערכת ההפעלה ל- BIOS. מערכת ההפעלה יכולה גם להגיב ולהגן מפני ההתקפה."

למרבה הצער, לא ניתן לעשות הרבה כדי להגן על מכונות קיימות. "אתה צריך להחליף שרתים קריטיים, " אמר נייט והוסיף כי תצטרך גם לקבוע מהם הנתונים הקריטיים שלך והיכן הם פועלים.

"אינטל ו- AMD יצטרכו לעלות על הכדור ולדמוקרטיזציה של זה", אמר נייט. "ככל שכותבי תוכנות זדוניות ישתפרו, ספקי החומרה יצטרכו להתעדכן ולהפוך אותה לכל נפש."

הבעיה רק ​​מחמירה

לרוע המזל, נייט אמר שהבעיה רק ​​הולכת ומחמירה. "ערכות פשע וערכות זדוניות הולכות להקל", אמרה.

נייט הוסיף כי הדרך היחידה של מרבית החברות להימנע מהבעיה היא להעביר את הנתונים והתהליכים הקריטיים שלהם לענן, ולו רק מכיוון שספקי שירותי הענן יכולים להגן טוב יותר מפני התקפת חומרה מסוג זה. "הגיע הזמן להעביר את הסיכון", אמרה.

ונייט הזהיר שבמהירות הדברים נעים, יש מעט זמן להגן על הנתונים הקריטיים שלך. "זה הולך להפוך לתולעת, " ניבאה. "זה יהפוך למין תולעת המפיצה את עצמה." זה העתיד של רשת הסייבר, אמר נייט. זה לא יישאר בראש מעייניו של שחקנים בחסות המדינה לנצח.

צעדים לנקוט

אז, עם העתיד העגום הזה, מה אתה יכול לעשות עכשיו? להלן מספר צעדים ראשוניים שכדאי לנקוט מייד:

אם אין לך כבר תוכנת EDR יעילה, כמו SentinelOne, קבל תוכנה אחת עכשיו.

זהה את הנתונים הקריטיים שלך, ועבוד להגן עליהם על ידי הצפנה בזמן שאתה משדרג את השרתים שעוברים עליהם נתונים למחשבים המוגנים מפני פגיעויות בחומרה והניצולים המנצלים אותם.

היכן שהנתונים הקריטיים שלך חייבים להישאר בתוך הבית, החלף את השרתים המכילים את הנתונים לפלטפורמות המשתמשים בטכנולוגיות החומרה, כגון מגן חומרה עבור לקוחות ופתרון ה- Intel Select for Hardened Security עם Lockheed Martin לשרתים.

בכל מקום אפשרי, העבר את הנתונים הקריטיים שלך לספקי ענן עם מעבדים מוגנים.

• • ההגנה הטובה ביותר לאנטי-וירוס לשנת 2019. ההגנה הטובה ביותר לאנטי-וירוס לשנת 2019
  • תוכנת ההגנה וההגנה על נקודות הקצה המתארחות הטובות ביותר לשנת 2019
  • התוכנה הטובה ביותר להסרת תוכנות והגנה מפני תוכנות זדוניות לשנת 2019 התוכנה הטובה ביותר להסרת תוכנות והגנה מפני תוכנות זדוניות לשנת 2019

  המשך לאמן את הצוות שלך בהיגיינת אבטחה טובה, כך שהם לא אלו שמחברים כונן אגודל נגוע לאחד השרתים שלך.

וודא שהאבטחה הפיזית שלך חזקה מספיק כדי להגן על השרתים ועל שאר נקודות הקצה ברשת שלך. אם כל זה יראה לך שהביטחון הוא מרוץ חימוש, היית צודק.