Skip to main content

Zaštita nad svim zaštitama

Svakako da posjedovanje konvencionalnog antivirusnog programa štiti vaše radne stanice od malicioznih napada i potencijalnih katastrofa koje oni mogu da prouzrokuju. Praksa je pokazala da naše firme i u tom segmentu štede, tako da je zaista pohvalno kada se neko odluči za profesionalan, LICENCIRAN, AV program. Ali pitanje je da li je čak i to dovoljan nivo zaštite?

Za početak ćemo pojasniti tipičan način na koji se dešava Cyber napad na EndPoint klijent pomoću današnjih naprednih metoda (Cryptolocker Ransomware attack, Wanna Cry ransomware attack itd.), što je prikazano na sledećoj slici:

proces-napada

Osnovni cilj savremene EndPoint zaštite je da spriječe kompromitovanje EndPoint klijentske jedinice, a na koji način se realizuje kompromitovanje EndPoint klijentske jedinice prikazano je na sledećoj slici:

komprimitovanje-radne-stanice

Proces kompromitovanja EndPoint klijentske jedinice se relizuje u dvije osnovne faze:

  • Isporuke malicioznog agenta
  • Izvršavanje jedne ili više malicioznih aktivnosti na EndPoint klijentskoj jedinici

Da bi osigurao uspješan napad, Cyber napadač obično kombinuje nekoliko načina isporuke i izvršavanja malicioznih aktivnosti, kao npr. napadač isporučuje word dokument koji sadrži maliciozni Macro putem emaila, otvaranjem pomenutog word dokumenta Macro pokreće Powershell skriptu koja izvršava download Malwarea koji kriptuje korisničke podatke i zahtjeva novčanu naknadu od krajnjeg usera za njihovu dekripciju.

Takođe, poseban izazov je spriječiti da Cyber napadač ovlada standardnim „dobrim“ aplakicijama, operativnim sistemom ili nekim procesima putem korupcije određenih prava pristupa. Za prethodno navedene tri stavke trenutno na tržištu ne postoji kvalitetnije i potpunije rješenje osim Palo Alto Networks Traps Advanced Endpoint zaštite.

Prvobitna Antivirus (u daljem tekstu AV) rješenja su nastala 80-ih godina prošlog vjeka i temeljila su se na Signature-based skeniranju, prepoznavanju i blokiranju malicioznih prijetnji. Ali od tada su mrežne tehnologije, operativnis sistemi i uopšte IT tehnologije uveliko evoluirale, a samim tim i prijetnje koje ih „prate“ u stopu, tako da konvencionalna AV rješenja više ne mogu da pruže optimalnu zaštitu na današnje napredne mailiciozne prijetnje.

Sigurnosni zahtjevi koje mora da ispuni naslednik konvencionalnih AV sigurnosniih rješenja su:

  • Primarni fokus je na prevenciji cyber napada, a ne na saniranju njihovih posledica
  • Prevencija poznatih i neopznatih Malwarea
  • Sprečavanja poznatih mailicioznih aktivnosti na principu Zero-Day zaštite, odnoso eksploatacije legitimnih aplikacija i nedozvoljne svrhe.
  • Automatska integracija sa naprednim next-generation sigurnosnim platformama na globalnom nivou sa ciljem efikasne prevencije poznatih mailicioznih aktivnosti, odnosno detekcije i prevencije od nepoznatih malicioznih aktivnosti.
  • Sveprisutnost sigurnosne zaštitite – osiguravanje sigurnosnih rješenja za mobilne EndUsere koji pristupaju matičnoj oraganizacija sa bilo koje tačke na globalnom nivou (cloud servisi, djeljeni podatci itd.).

Palo Alto Networks Traps Advanced Endpoint se nameće kao trenutno najoptimalnije rješenje da zamjeni konvencionalne AV sigurnosne alate, koji pruži miltiplikativnu prevenciju i zaštitu od Malwarea (prikazano na sledećoj slici).

traps-zastita

WildFire Treat Intelligence – je Cloud-based servis za analizu i detekciju malicioznih sadržaja, odnosno preciznije on je najveži globalni distribuirani sisteme za indentifikaciju i prevenciju nepoznatih prijetnji, koji djeli bazu znanja sa više od 40000 korisnika i partnera. Traps pomoću WilFire automatski prepoznaje i prekida izvršavanje programa koji sadrže Malware.

Local Analysis – ova metoda omogućuje trenutno procjenu „sumljivih“ nepoznatih podataka na lokalnom nivou prije nego što bude omogućeno njihovo izvršavanje. Ova metoda osigurava analizu na stotine karakteristika podataka u djeliću sekunde, te detekciju i klasifikaciju malicioznih, odnosno dozvoljenih sadržaja.

WildFire Analysis – Traps koristi WildFire za detaljnu i potpunu analizu podatkovnog sadržaja. WildFire se oslanja na sledeće 4 tehnike:

  • Dinamička analiza
  • Statička analiza
  • Princip „mašinskog „ učenja
  • „Bare Metal“ analiza

Malicious process prevention – omogućuje „finu“ kontrolu pokretanja i izvršavanja legitimnih aplikacija koji su potencijalni nosilac malicioznih aktivnosti.

Palo Alto Networks Traps Advanced Endpoint omogućuje nekoliko efikasnih tehnika sprečavanja izvršavanja malicioznih aktivnosti (prikazano na sledećoj slici):

traps-prevencija2

Pre-Explotation Protection – Traps PREVENTIVNO blokira izvršavanje malicioznih aktivnosti prije njihovog inicijalnog pokretanja.

Technique-based exploit prevention – pošto su trenutno aktuelne hiljade različitih malicioznih sadržaja na globalnom nivou, koji su u isto vrijeme grupisani u određene grupe prema tehnikama napada koje koriste, a čiji broj je neuporedivo manji od ukupnog broja malicioznih aktivnosti, iz tog razloga Traps posjeduje sposobnost prepoznavanja i blokiranja tehnike napada, što na efikasan način spriječava izvršavanje malicioznih aktivnosti.

Post-exploitation prevention – Traps preventivno spriječava izvršavanje malicioznih aktivnosti kojim bi napadač ovladao operativnim sistemo EndUsera ili jednog njegovog djela, a kojima bi Cyber napadač npr. ovladao pristupnim parametrima i pravima pristupa u okviru operativnog sistema EndUsera ili čak sjelokupne organizacije kojoj pripada EndUser koji je predmet Cyber napada.

Palo Alto Networks nudi objedinjenu sigurnosnu platformu koja je dorasla naprednim sigurnosnim prijetnjama modernog doba (prikaz na sledećoj slici).

prijetnja-cloud-inteligenciji

Palo Alto Networks Trap Advansed Endpoint koristi mogućnosti Palo Alto sigurnosne platforme (Next Generation Firewall) čak i ako radi u okruženju gdje nisu implementirana ostala Palo Alto sigurnosna rješenja.

U okruženju gdje egzistiraju npr. i Palo Alto Firewall, Traps EndPoint radi u sinhronizaciji sa pomenutim firewallom i dijeli bazu znanja o malicioznim prijetnjama kako lokalno, tako i na globalnom nivou sa ostalim userima Palo Alto Networks sigurnosnih rješenja, a ovo omogućuje još potpuniju prevenciju i izvršavanje malicioznihi aktivnosti na više sigurnosnih tačaka za inspekciju podatkovnog saobraćaja unutar neke konkretne organizacije.

Rezime, konvencionalni AV-i nisu dovoljni da održe „korak“ sa razvojem naprednih malicioznih prijetnji koje se svakodnevno unapređeuju i pojavljuju. Iz tog razloga će EndUseri u bliskoj budućnosti biti „prisiljeni“ da se orijentišu ka tehnološki superiornijim rješenjma EndPoint zaštite od kojih se trenutno na tržištu posebno ističe Palo Alto Networks Trap Advanced Endpoint. Traps omogućuje multiplikativni pristup za prevenciju i blokiranje Malwrea, kao i spriječavanje izvršavanja poznatih i nepoznatih malicioznih prijetnji prije nego kompromituju EndPoint.

Osnovno pitanje koje svaki EndUser treba sebi da postavi prije nabavke određenog EndPoint sigurnosnog rješenja je: Koliko koštaju Vaši podaci, odnosno koliko Vas košta njihov gubitak i šta to predstavlja zta vašu organizaciju? Koliko bi gubitak podataka uticao na poslovanje i na ugled Vaše organizacije? Da li bi vaša organizacija uopšte imala prostora da nastavi bitisanje u poslovnom okruženju nakon gubitka određenih podataka? Sva ova pitanja morate sebi postaviti sada odmah, jer kada već postanete žrtva nekog novog naprednog Cyber napada, onada povratka više NEMA.

Milan Janjetović
Rukovodilac sektora za sistem integracije, operativne i tehničke podrške
Milan Janjetović

Milan Janjetović

Rukovodilac sektora za sistem integracije, operativne i tehničke podrške

Zaštita nad svim zaštitama

autor Milan Janjetović vrijeme čitanja: 4 min
0