Як протистояти черговим викликам у сфері інформаційної безпеки

12 Декабря, 2018 09:02
Володимир Нужний, RRC
Теперішня міжнародна політична обстановка в значній мірі є визначальною у стані інформаційної безпеки нашої країни. Наприклад, користувачі не встигли оговтатись від недавніх атак WannaCry та Petya, як зустрілися з новим викликом – вірусом Pterodo, повідомляють фахівці CERT-UA.

Методика розповсюдження вірусів майже не змінюється – це вкладення електронної пошти, надіслані з фішінгових адрес, замасковані під відправлення з довірених джерел. Вміст вкладень в різних випадках може відрізнятися, але спільним є те, що вкладення містять файли зі схожою на достовірну інформацію, яка дуже часто вводить користувача в оману і спонукає все ж таки відкрити надісланний файл, та втрапити в підготовлену зловмисниками пастку. Далі все розгортається як у відомому давньогрецькому міфі про скриню Пандори, з усіма випливаючими наслідками – безсоні ночі системних адміністраторів, працюючих над відновленням данних, відчай користувачів, що вмить втратили напрацювання за багато років, та напруження керівництва, яке терміново повинно налагоджувати всі бізнес-процеси в умовах відсутності таких звичних та зручних інформаційних систем підприємства.

Великою помилкою буде думати, що під прицілом ворожих «вірусо-бомбардувальників» можуть опинитися лише державні підприємства та організації. Часто метою зловмисників є не стільки компроментація державних установ або органів, а завдання шкоди економіці країни вцілому. Тому під потенційною загрозою знаходяться і комерційні та фінансові організації, енергетичні та промислові підприємства також.

Традиційні методи захисту, як то «антивірус» можуть допомогти у вирішенні данної проблеми, але НЕ ЗАВЖДИ. І причини можуть бути різними – починаючи з того, що провайдер сигнатур не встигне вчасно зреагувати на появу нового семпла того чи іншого «вірусу» або «трояна», і закінчуючи ймовірністю використання для атаки невідомої вразливості програмного забезпечення, сигнатурного захисту від якої, на момент атаки, не може існувати апріорі.

Тому сьогодні більшість експертів в галузі IT Security сходяться в думці, що поставленим викликам зможе протистояти лише виважений підхід до політики інформаційної безпеки та використання сучасних технологій захисту.

Чи означає це, що традиційні антивірусні засоби захисту застаріли і являються такими, що втратили свою актуальність?

Ні, це означає лише те, що в умовах сучасних викликів, їх стає недостатньо для повноцінного захисту. І прекрасним доповненням до існуючих засобів антивірусного захисту може стати технологія попередньої емуляції виконання файлів – Sandblast, або, як її часто називають, «пісочниця».

Ця технологія вже не нова, досить широко представлена на ринку останні декілька років, та вже встигла зарекомендувати себе, як досить ефективне рішення.

Компанія Check Point Software Technologies стала однією з «піонерів» у розробці цього рішення, і вже має багато досить цікавих напрацювань в області Sandblast, які вигідно відрізняються від інших продуктів, представлених на ринку.

Основними можливостями рішення є:

  • реалізація технології Sandblast на базі міжмережного екрану Check Point NGFW
  • підтримка емуляції більш ніж 50 різних форматів файлів розміром до 100 Мбайт кожний
  • можливість аналізувати файли, що передаються по протоколам HTTP/HTTPS, SMTP/SMTPS, FTP, CIFS, SMB
  • унікальна технологія виявлення експлойтів на рівні виконання інструкцій центрального процесора – CPU-level detection, що практично униможливлює реалізацію механізмів обходу систем захисту Sandblast, що часто використовується хакерами

В якості середовища для емуляції може використовуватися як спеціально розроблений пристрій, так і хмарний сервіс від Check Point.

Звичайно, більша частина небезпечних файлів надходить через мережеві канали, але не потрібно забувати і про ще один вектор атаки – наприклад, передачу файлів через зовнішні накопичувачі інформації. Адже в такому випадку NGFW не може відслідкувати таку транзакцію, а тому існує досить серйозна загроза «зараження». Для захисту від подібних загроз у Check Point  є рішення для захисту на рівні кінцевих робочих станцій користувачів – Sandblast Agent. Sandblast Agent може працювати, як в симбіозі з мережевим Sandblast, використовуючи інтерфейс NGFW для доступу до середовища емуляції файлів, так і абсолютно автономно, при цьому емуляція буде відбуватися в «хмарі» Check Point.

Споживачі, які вже встигли скористатися технологією Sandblast від Check Point, відзначають надзвичайновисоку ефективність та надійність цього рішення.

 Ефективна методика протидії загрозам знайшла відповідну оцінку у користувачів. Окрім державних установ Ізраілю, США, ЄС  обладнання Check Point використовується в НАТО https://www.checkpoint.com/products-solutions/certified-check-point-solutions/# та міжнародних корпораціях https://www.checkpoint.com/customer-stories/motortech/

В Україні за допомогою Check Point захищено головні державні установи, його застосуванню сприяє  наявність бренду в Переліку засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?showHidden=1&art_id=288071&cat_id=44795  та в Переліку засобів КЗІ, які мають експертний висновок за результатами державної експертизи у галузі КЗІ http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?art_id=283948&cat_id=72110 

Таким чином рішення Check Point забезпечує найкращий захист на всіх рівнях та напрямках здійснення можливих кібер загроз. Компетентні інженери представництва Check Point в Україні,  дистриб’юторів та партнерів, завжди готові надати вам практичні рекомендації та тестове обладнання для захисту вашої мережі.

Автор: Володимир Нужний, консультант BU Security, RRC

vn@rrc.com.ua

Комментарии:

НОВЫЕ СТАТЬИ

Не только Cisco: прибыль и выручка NetApp снижаются
Владимир Смирнов 19 Августа 09:25
Cisco озвучила слабый прогноз по доходам
Владимир Смирнов 15 Августа 11:37
Открой меня
Обратите внимание: ×