Чёрные списки: Киберзащита в эру продвинутых устойчивых угроз
В связи с обилием сообщений о кражах баз данных в торговых компаниях, о промышленном шпионаже с помощью продвинутых устойчивых угроз, о взятии в «заложники» вредоносными программами-вымогателями важных данных, становится понятно, почему в сфере информационной безопасности многие начали отказываться от предупредительных мер и фокусироваться на выявлении угроз и своевременной реакции на чрезвычайные ситуации.
В основе большинства современных систем защиты лежат «чёрные списки». Однако анализирующие сигнатуры антивирусы и репутационные списки IP-адресов доказывают своим примером, что технологии на базе чёрных списков уже малоэффективны. Ведь атакующим ничего не стоит сменить IP или собрать новый исполняемый файл. Тем не менее, многие компании продолжают расширять свои сети, безопасность которых полностью зависит от чёрных списков. И перенос усилий в область определения угроз и своевременного реагирования не поможет улучшить ситуацию, пока мы не научимся надёжно блокировать большинство атак. Более того, сейчас очень трудно составлять и поддерживать чёрные списки IP-адресов, ведь в связи с исчерпанием адресного пространства IPv4 один и тот же адрес могут использовать десятки разных доменов через сети доставки контента (CDN).
Ярким примером вируса, наносящего большие убытки, стал CryptoLocker. Обычно он распространяется через фишинговые электронные письма с заархивированным исполняемым файлом. При его запуске приложение устанавливает себя в папку Application Data текущего пользовательского профиля Windows. Затем троян обращается к удалённому управляющему серверу, запрашивает криптоключ и шифрует все данные на компьютере, до которых может добраться. После этого начинается вымогание денег за предоставление ключа расшифровки. Если жертва не хочет или не может заплатить, то приходится восстанавливать данные из бэкапа. Авторы вируса позаботились об инструментарии для быстрого генерирования новых версий исполняемого файла, что делает неэффективными все системы обнаружения на базе сигнатур. А генерирование новой зловредной полезной нагрузки почти ничего не стоит.
В основе большинства современных систем защиты лежат «чёрные списки». Однако анализирующие сигнатуры антивирусы и репутационные списки IP-адресов доказывают своим примером, что технологии на базе чёрных списков уже малоэффективны. Ведь атакующим ничего не стоит сменить IP или собрать новый исполняемый файл. Тем не менее, многие компании продолжают расширять свои сети, безопасность которых полностью зависит от чёрных списков. И перенос усилий в область определения угроз и своевременного реагирования не поможет улучшить ситуацию, пока мы не научимся надёжно блокировать большинство атак. Более того, сейчас очень трудно составлять и поддерживать чёрные списки IP-адресов, ведь в связи с исчерпанием адресного пространства IPv4 один и тот же адрес могут использовать десятки разных доменов через сети доставки контента (CDN).
Ярким примером вируса, наносящего большие убытки, стал CryptoLocker. Обычно он распространяется через фишинговые электронные письма с заархивированным исполняемым файлом. При его запуске приложение устанавливает себя в папку Application Data текущего пользовательского профиля Windows. Затем троян обращается к удалённому управляющему серверу, запрашивает криптоключ и шифрует все данные на компьютере, до которых может добраться. После этого начинается вымогание денег за предоставление ключа расшифровки. Если жертва не хочет или не может заплатить, то приходится восстанавливать данные из бэкапа. Авторы вируса позаботились об инструментарии для быстрого генерирования новых версий исполняемого файла, что делает неэффективными все системы обнаружения на базе сигнатур. А генерирование новой зловредной полезной нагрузки почти ничего не стоит.