Hakerzy każdego dnia uruchamiają szereg najróżniejszych odmian złośliwego oprogramowania w celu zakłócenia działania sieci, bądź zdobycia poufnych danych. Ze względu na ogromną liczbę nowych wirusów, które mogą ukrywać się w pozornie niewinnie wyglądających plikach, przedsiębiorstwa są stale narażone na ataki typu zero-day. 

W celu zwiększenia prawdopodobieństwa sukcesu, hakerzy swoje ataki adresują do setek, a nawet tysięcy przedsiębiorstw. W roku 2012 każdego dnia powstawało i rozprzestrzeniało się średnio 70 000 – 100 000 nowych rodzajów złośliwego oprogramowania – to ponad 10 razy więcej niż w 2011 i ponad 100 razy więcej niż w 2006 roku.

Ciche wirusy, czyli najczęściej wykorzystywany rodzaj ataku, są trudne do wykrycia i zaprojektowane tak, by działać w sposób niewykrywalny dla działów IT. Kod większości tego typu wirusów jest wpleciony w zawartość plików, z których wszyscy korzystają na co dzień w pracy – emaile i załączniki, włączając w to dokumenty Word, PDF, arkusze Excel itp. Narzędzia hakerów potrafią odpowiednio ukryć wykonywalne skrypty w celu zamaskowania uruchamiania złośliwych operacji, które mogą polegać na dokonywaniu zmian w rejestrze systemu, bądź ściągnięciu pliku, który niepotrzebnie uruchomiony infekuje całą sieć w jakiej się znajduje. Nowe techniki bezpieczeństwa pozwalają badać w czasie rzeczywistym wiadomości email, pliki oraz dane wchodzące do sieci za pośrednictwem załączników czy pobrań ze stron web. Złośliwe pliki mogą wtedy zostać odizolowane już na poziomie bramy, czyli na samym krańcu sieci, lub w chmurze – w zależności od decyzji biznesowej firmy. W takim przypadku nie dochodzi do infekcji wewnątrz sieci. Rozwiązania takie dostarczają dodatkowej warstwy ochrony przeciwko atakom.

Skanowanie w poszukiwaniu wirusów

Proces izolowania i badania plików jest wykonywany z użyciem techniki zwanej „emulacją zagrożeń” (sandboxing). Technika ta pozwala na zajrzenie do wewnątrz podejrzanego pliku, który znalazł się w systemie – może to być załącznik email lub plik ściągnięty ze strony internetowej. Zawartość pliku jest badana w odizolowanej strefie zwanej „sandbox”. Ta niezależna, zwirtualizowana wersja środowiska komputerowego działa jak poligon doświadczalny dla najróżniejszych aplikacji, które mogą stanowić zagrożenie, bądź dokonać szkód w prawdziwym systemie.

We wspomnianym środowisku sandbox, plik zostaje uruchomiony i monitorowany w czasie rzeczywistym pod kątem nietypowych działań, takich jak próby wykonywania zmian w rejestrze lub nawiązywania połączeń sieciowych. Jeżeli działanie pliku okaże się podejrzane lub szkodliwe, zostaje on poddany kwarantannie, co powstrzymuje wszelkie możliwości infekcji jeszcze przed momentem, kiedy plik przedostanie się do sieci i wyrządzi szkody. Następnie mogą zostać podjęte kolejne kroki w celu zidentyfikowania i sklasyfikowania nowego zagrożenia w celu ułatwienia detekcji przy kolejnej próbie ataku.

Głównym założeniem usługi ThreatCloud firmy Check Point jest możliwość podzielenia się informacją na temat zagrożenia z innymi firmami, żeby mogły uniknąć infekcji. Wspólna baza wiedzy zmniejsza czas pomiędzy wykryciem zagrożenia a możliwością ochrony przed nim. Gdy nowe zagrożenie zostanie oznaczone, szczegóły dotyczące wirusa (takie jak adres IP, URL lub DNS) są automatycznie wysyłane do ThreatCloud i rozpowszechniane wśród subskrybentów usługi.

Biorąc pod uwagę cyberprzestępców atakujących setki a nawet tysiące przedsiębiorstw emulacja zagrożeń może odegrać kluczową rolę w zwalczaniu nowych fal złośliwego oprogramowania i ataków typu zero-days/zero-hours. Korzystanie z emulacji w celu „poznawania swego wroga” może okazać się najsilniejszą metodą ochrony firmowych sieci, tworząc pierwszą linię obrony przed atakami. Choć na pewno nie jest to jedyna metoda takiej ochrony.

Więcej na temat: Threat Emulation Software Blade

W Polsce dystrybutorami produktów Check Point są firmy Clico Sp. z o.o., RRC Poland Sp. z o.o. oraz Computerlinks Sp. z o.o.