תוכן עניינים:
וִידֵאוֹ: XXI Congresso do PCP - 1.ª Sessão (נוֹבֶמבֶּר 2024)
הידיעה שיש דבר כזה תוכנות זדוניות בלתי נראות זה מעבר להישג ידם של התוכנה שלך נגד תוכנות זדוניות מפחיד מספיק. אבל מה לגבי כשאתה לומד את זה, גם אם אתה מוצא את הדברים האלה, ייתכן שלא תוכל להיפטר מהם? למרבה הצער, תלוי בסוג התוכנה הזדונית מבוססת החומרה עליה אנו מדברים, יתכן וזה יהיה המקרה.
איתור תוכנות זדוניות
למרבה המזל, מומחים מצאו דרכים בהן ניתן לחשוף תוכנה זדונית בלתי נראית, אך כאילו שהחבר'ה הרעים עומדים בקצב, יש גם דרכים חדשות להתקנה. ובכל זאת, המשימה למצוא אותה הופכת לקלה מעט יותר. לדוגמה, פגיעות חדשה במעבדי אינטל המכונה "ZombieLoad" עשויה להיות מותקפת באמצעות קוד ניצול שנמסר בתוכנה. פגיעות זו עשויה לאפשר הכנסת תוכנה זדונית ל- BIOS של מחשב מרחוק.
בעוד החוקרים עדיין בוחנים את ZombieLoad ומנסים לקבוע את היקף הבעיה בסיבוב האחרון של ניצולי אינטל, העובדה היא כי ניצולי חומרה כאלה יכולים להתרחב בכל רחבי הארגון. "קושחה היא קוד לתכנות היושב על שבב", מסביר חוזה א. גונזלס, מייסד-שותף ומנכ"ל טרפז. "יש לך מערכת קוד שאתה לא מסתכל עליה."
החמרה של בעיה זו היא העובדה שקושחת זו יכולה להתקיים בכל רחבי הרשת שלך, במכשירים הנעים בין מצלמות רשת והתקני אבטחה למתגים ונתבים למחשבים בחדר השרת שלך. כולם מכשירי מחשוב למעשה, כך שכל אחד מהם יכול להכיל תוכנה זדונית המחזיקה בקוד ניצול. למעשה, רק מכשירים כאלה שימשו להפעלת מתקפות מניעת שירות (התקפות DoS) מבוטים המבוססים בקושחה שלהם.
הטרפז 5 מסוגל לאתר נוכחות של תוכנות זדוניות מבוססות קושחה באמצעות מערכת סימני מים ייחודית הקושרת באופן קריפטוגרפי את הקושחה של כל מכשיר לכל חומרה שהיא פועלת אי פעם. זה כולל התקנים וירטואליים, כולל מכונות וירטואליות (VMs) הממוקמות במקום או תשתית וירטואלית כשירות (IaaS) המופעלות בענן. סימני מים אלה יכולים לחשוף האם משהו בקושחת המכשיר השתנה. הוספת תוכנה זדונית לקושחה תשנה אותה כך שסימן המים אינו תקף.
הטרפז כולל מנוע אימות של קושחה המסייע לאתר בעיות בקושחה, ומאפשר לצוות האבטחה לבחון אותן. הטרפז משתלב גם עם כלי ניהול ודיווח רבים של מדיניות אבטחה, כך שתוכל להוסיף אסטרטגיות הפחתה מתאימות למכשירים נגועים.
הסבר על דלתות אחוריות
אליסה נייט מתמחה בנושאי אבטחת חומרה. היא האנליטיקאית הבכירה בקבוצת Aite ומחברת הספר הקרוב Hacking Connected Cars: Tactics, Techniques and Procedures . אביר אמרו כי אנשי IT המחפשים לסרוק אחר תוכנות זדוניות בלתי נראות, ככל הנראה יזדקקו לכלי כגון טרפז 5. שום דבר פחות מומחה יעשה. "יש היבט מהותי של דלתות אחור שמקשות עליהן לגלות כי הן מחכות לטריגרים מסוימים שיעירו אותם", הסבירה.
נייט אמר שאם דלת אחורית כזו קיימת, בין שהיא חלק מהתקף תוכנות זדוניות ובין שהיא קיימת מסיבה אחרת, הרי שהדבר הטוב ביותר שאתה יכול לעשות הוא למנוע מהם לפעול על ידי כך שלא יגלה מהם את הטריגרים שלהם. היא הצביעה על השתקת דלתות אחוריות בחומרה , דו"ח מחקרי של אדם ווקסמן ושמחה סתומבדאן, שניהם מעבדת אדריכלות מחשבים וטכנולוגיית אבטחה, המחלקה למדעי המחשב באוניברסיטת קולומביה.
המחקר של ווקסמן וסתומבדאן מראה כי ניתן למנוע מפעילי זדוניות אלה לעבוד על ידי שלוש טכניקות: ראשית, איפוס כוח (עבור תוכנות זדוניות של תושבי זיכרון והתקפות מבוססות זמן); שנית, ערפול נתונים; ושלישית, שבירת רצף. ערפול כולל הצפנת נתונים הנכנסים לתשומות יכולות למנוע את ההכרה של הטריגרים, וכך גם לאקראית את זרם הפקודה.
הבעיה בגישות אלה היא שהם יכולים להיות לא מעשיים בסביבת IT לכל היישומים הקריטיים ביותר. נייט ציין כי חלק מההתקפות הללו צפויות להתנהל על ידי תוקפים בחסות המדינה מאשר על ידי פושעי רשת. עם זאת, ראוי לציין כי אותם תוקפים בחסות המדינה אכן דואגים לעסקים קטנים ובינוניים בגודל בינוני (SMB's) בניסיון להשיג מידע או גישה אחרת ליעדים האולטימטיביים שלהם, כך שמומחי IT-SMB לא יכולים פשוט להתעלם מאיום זה כמתוחכם מדי לפנות אליהם.
מניעת תקשורת זדונית
עם זאת, אסטרטגיה אחת שעושה עבודה היא מניעת התקשרות של תוכנות זדוניות, דבר הנכון לרוב תוכנות זדוניות ודלתות אחוריות. גם אם הם שם, הם לא יכולים לעשות שום דבר אם לא ניתן להפעיל אותם או אם הם לא יכולים לשלוח את המטען שלהם. מכשיר לניתוח רשת טוב יכול לעשות זאת. "צריך לתקשר עם הבסיס הביתי", הסביר אריה פרד, סמנכ"ל ניהול מוצר ב- SecBI, המשתמש במערכת זיהוי ותגובה של איומים מבוססי בינה מלאכותית (AI) על מנת למנוע תקשורת זדונית.
פרד אמר כי "אנו משתמשים בגישה מבוססת יומן שמשתמשים בנתונים מהמכשירים הקיימים בכדי ליצור ראות מלאה." גישה זו נמנעת מהבעיות הנוצרות כתוצאה מהתקשורת המוצפנת מהתוכנה הזדונית, אשר סוגים מסוימים של מערכות גילוי תוכנות זדוניות אינן יכולות לתפוס.
"אנו יכולים לבצע חקירות אוטונומיות והפחתות אוטומטיות, " אמר. בדרך זו ניתן לעקוב אחר חסימות של תקשורת חשודה ממכשיר ליעד בלתי צפוי, וניתן לשתף את המידע במקום אחר ברשת.
מחיקת תוכנה זדונית מבוססת חומרה
אז אולי מצאת תוכנה זדונית בלתי נראית, ואולי הצלחת לחסום אותה מלהעביר שיחה עם ספינת האם שלה. הכל טוב, אבל מה עם להיפטר מזה? מתברר שזה לא סתם קשה, יכול להיות שזה בלתי אפשרי.
מבין המקרים שבהם זה אפשרי, התרופה המיידית היא לרענן מחדש את הקושחה. זה עשוי לבטל את התוכנה הזדונית, אלא אם כן זה הגיע דרך שרשרת האספקה של המכשיר עצמו, ובמקרה זה אתה פשוט טוען מחדש את התוכנה הזדונית.
- תוכנת ניטור הרשת הטובה ביותר לשנת 2019 תוכנת ניטור הרשת הטובה ביותר לשנת 2019
- התוכנה הטובה ביותר להסרת תוכנות והגנה מפני תוכנות זדוניות לשנת 2019 התוכנה הטובה ביותר להסרת תוכנות והגנה מפני תוכנות זדוניות לשנת 2019
- תוכנה זדונית בלתי נראית כאן ותוכנת האבטחה שלך אינה יכולה לתפוס אותה תוכנה זדונית בלתי נראית כאן ותוכנת האבטחה שלך אינה יכולה לתפוס אותה
אם אתם מבצעים שטיפה מחודשת, חשוב גם לצפות ברשת שלכם בסימני זיהום מחדש. תוכנה זדונית זו הייתה צריכה להיכנס לחומרה שלך ממקום כלשהו, ואם היא לא באה מהיצרן, בהחלט ייתכן שאותו מקור ישלח אותו שוב כדי לבסס את עצמו מחדש.
מה שמסתכם בזה הוא פיקוח יותר. זה ימשיך לעקוב אחר תנועת הרשת שלך אחר סימנים לתקשורת זדונית, כמו גם שמירה על כרטיסיות בהתקנות הקושחה השונות של המכשירים שלך לצורך סימני זיהום. ואם אתה עוקב אחר, אולי תוכל לגלות מאין זה בא ולחסל גם את זה.