“Musisz znać swojego wroga tak dobrze, jak znasz siebie” – to często cytowana maksyma w świecie bezpieczeństwa IT. Jednak jednym z większych problemów, z jakimi borykają się przedsiębiorstwa jest to, że każdego dnia przybywa coraz więcej hakerów przeprowadzających ataki, zakłócających działanie firmy oraz kradnących poufne dane przy użyciu niesamowicie szerokiej gamy złośliwego oprogramowania. W związku z tym „poznanie swojego wroga” jest dość trudnym zadaniem.

Cyberprzestępstwa stały się dochodowym interesem, i jak to w interesach bywa, przestępcy szukają sposobów aby zwiększyć zyski oraz udział w rynku. Oznacza to, że ataki są wymierzane w setki lub nawet tysiące firm, aby zwiększyć prawdopodobieństwo skutecznego włamania. Najczęściej stosowaną techniką ataku jest ciche, złośliwe oprogramowanie, zaprojektowane tak, by było trudne do wykrycia i działało w sposób niezauważalny dla zespołu IT.

Aby zdać sobie sprawę ze skali zjawiska, wystarczy spojrzeć na statystyki z 2012 roku – każdego dnia powstawało średnio od 70 000 do 100 000 nowych próbek złośliwego oprogramowania. Jest to liczba ponad 10 razy większa niż w 2011 i ponad 100 razy większa niż w 2006 roku. Korzystając z tradycyjnych technik chroniących przed złośliwym oprogramowaniem, nie ma możliwości nadążyć za tak ogromnym przyrostem. Badanie 2013 Security Report firmy Check Point wykazało, że 63% badanych przedsiębiorstw było zainfekowanych botami, a ponad połowa przynajmniej raz dziennie padała ofiarą ataku złośliwego oprogramowania.

Najciemniej pod latarnią

Kod większości nowych wirusów jest zaszyty w najczęściej używanych w przedsiębiorstwach rodzajach plików – emailach, dokumentach Word, PDF, arkuszach Excel itp. Hakerzy posiadają specjalne narzędzia, które potrafią dobrze zamaskować skrypty uruchomieniowe i ukryć ich szkodliwe działania, takie jak zmiany w rejestrze systemu lub ściągnięcie pliku, który następnie infekuje sieć. Biorąc pod uwagę coraz większy ruch w korporacyjnych sieciach oraz coraz szerszy zakres złośliwego oprogramowania ukrytego w pozornie nieszkodliwych plikach, przedsiębiorstwa są wyjątkowo mocno narażone na ataki typu zero-day. Nawet przy użyciu warstwowej ochrony, stosując IPS i IDS, które potrafią powstrzymać część szkodliwych działań wirusów, nie ma możliwości powstrzymania infekcji, która dociera do sieci, a następnie się w niej rozprzestrzenia.

Obserwuj, emuluj, roześlij informację, chroń

Wspomniane techniki wykorzystują emulację zagrożeń. Działa ona tak, jak rentgen na kontroli granicznej – pozwala zajrzeć do wnętrza podejrzanego pliku, który ma przekroczyć bramę, oraz zbadać jego zawartość w zwirtualizowanym, odseparowanym środowisku zwanym „sandbox”. Plik jest tam otwierany i na bieżąco monitorowany pod kątem specyficznych działań, takich jak dokonywanie nietypowych zmian w rejestrze lub nawiązywanie połączeń sieciowych. Jeżeli plik zostanie uznany za podejrzany lub złośliwy, zostaje on zablokowany i poddany kwarantannie, co powstrzymuje potencjalną infekcję zanim jeszcze trafi do sieci i wyrządzi szkody.

Poza wykrywaniem i blokowaniem w ten sposób złośliwych plików, przedsiębiorstwa powinny mieć możliwość rozesłania informacji na temat nowego zagrożenia, aby pomóc innym w zabezpieczeniu się przed atakiem. Umożliwia to rozpowszechnianie wiedzy odnośnie nowego przeciwnika. Być może emulacja stanie się kiedyś najsilniejszą z metod zabezpieczania się przed nowymi zagrożeniami.