Prawie połowa firm, które uczestniczyły w badaniu IDC Market Analysis Perspective: Worldwide Security Products przeprowadzonym w grudniu 2012 r. uważa, że coraz bardziej zaawansowane ataki stanowią poważne zagrożenie dla ich infrastruktury IT. Coraz powszechniejsze wśród cyberprzestępców staje się wykorzystywanie wyspecjalizowanego szkodliwego oprogramowania w celu przeprowadzania ataków na korporacje, obejścia popularnych narzędzi służących do ochrony przed szkodliwym
oprogramowaniem oraz utrudniania wykrywania i odpierania ataków. Dlatego – jak twierdzą analitycy – firmy mają bardziej wyśrubowane wymogi dotyczące swoich rozwiązań bezpieczeństwa korporacyjnego.
– Stopień zaawansowania i złożoności ataków zwiększa potrzebę stosowania zaawansowanych rozwiązań ochrony przed szkodliwym oprogramowaniem, które uwzględniają różnorodne wektory ataków (sieć, urządzenie itd.) w celu wniknięcia do punktu końcowego i minimalizują zasoby niezbędne do odparcia takich ataków jak również ochrony urządzeń oraz danych – powiedział Kevin Bailey, dyrektor ds. badań, dział odpowiedzialny za polityki dotyczące produktów i usług bezpieczeństwa na region EMEA, IDC.
W ubiegłym roku w różnych miejscach na świecie miało miejsce wiele incydentów naruszających bezpieczeństwo różnych sieci korporacyjnych, wobec których obecne oprogramowanie bezpieczeństwa okazuje się bezsilne. Mając nadzieję na uzyskanie zysków ze sprzedaży skradzionych poufnych danych (takich jak korporacyjna własność intelektualna, informacje o krytycznym znaczeniu dla firmy itd.), cyberprzestępcy intensywnie inwestują w zakup i rozwój szkodliwego oprogramowania, które może obejść większość dostępnych rozwiązań bezpieczeństwa. W tej sytuacji Kaspersky Lab agresywnie inwestuje w rozwój technologii heurystycznych i proaktywnych, co oznacza, że jego rozwiązania potrafią wykrywać szkodliwe oprogramowanie, nawet jeśli wcześniej nie zostało zidentyfikowane lub jest wykorzystywane po raz pierwszy.
Technologie ochrony proaktywnej firmy Kaspersky Lab
Z wszystkich nowych zagrożeń wykrytych w 2012 r. przez produkty Kaspersky Lab, 87% zostało zidentyfikowanych z pomocą technologii heurystycznych zawartych w wielu produktach, w tym Kaspersky Endpoint Security for Business. Niezależnie od metody wykorzystywanej w celu przeniknięcia do sieci korporacyjnej, cyberprzestępcy muszą zmierzyć się z tymi technologiami.
Jeśli atakujący będą wiedzieli, że w komputerach korporacyjnych znajduje się oprogramowanie zawierające niezałatane luki, mogą próbować wykorzystać je w celu ukradkowego zainfekowania komputerów korporacyjnych.
Cyberprzestępcy zwykle wykorzystują luki w zabezpieczeniach popularnego oprogramowania, takiego jak Adobe Flash, Adobe Reader, Java, przeglądarki internetowe czy komponenty systemu operacyjnego. Ponieważ tego typu aplikacje są legalne i często wykorzystywane przez pracowników korporacyjnych, osoby atakujące liczą na to, że rozwiązania bezpieczeństwa „nie zauważą” nietypowego zachowania jakiegoś powszechnie wykorzystywanego programu, dzięki czemu szkodliwe oprogramowanie wniknie niezauważenie do sieci. Produkty firmy Kaspersky Lab zawierają moduł Kontrola systemu, który regularnie analizuje kod pod kątem podejrzanych modyfikacji, nawet w zaufanych aplikacjach. Ponadto wyspecjalizowana technologia Automatyczne zapobieganie exploitom, zaimplementowana w ramach modułu Kontrola systemu, potrafi wykrywać i blokować zachowanie typowe dla exploitów.
Cyberprzestępcy często próbują zainfekować komputery w sieci korporacyjnej przy użyciu tzw. rootkitów i bootkitów. Te wysoce niebezpieczne rodzaje szkodliwego oprogramowania modyfikują sektor rozruchowy dysku twardego atakowanego komputera, aby móc uruchomić się przed systemem operacyjnym czy zainstalowanym oprogramowaniem bezpieczeństwa. Technologia ochrony przed rootkitami, zaimplementowana w Kaspersky Endpoint Security for Business i kilku innych produktach firmy, przechwytuje i analizuje wszystkie przypadki dostępu do sektora rozruchowego dysku, sprawdzając ich legalność i zapobiegając potencjalnej infekcji. Co więcej, nawet gdyby rootkit zdołał w jakiś sposób zmodyfikować rekord rozruchowy, technologia firmy Kaspersky Lab wykryje go i przeprowadzi leczenie infekcji.
Różne wektory ataków
W miarę rozpowszechniania się trendu BYOD (ang. Bring Your Own Device) pracodawcy coraz częściej pozwalają na korzystanie z prywatnych urządzeń mobilnych w pracy, zapewniając cyberprzestępcom więcej okazji przeniknięcia do sieci korporacyjnych. Szeroki wachlarz urządzeń mobilnych i systemów operacyjnych zapewnia im szeroki wybór wektorów ataków. Na przykład luka w zabezpieczeniach urządzenia mobilnego podłączonego do sieci korporacyjnej, jeśli zostanie wykorzystana, może zapewnić cyberprzestępcy dostęp do sieci, nawet jeśli pozostałe segmenty są dobrze chronione. Dostępne w rozwiązaniu Kaspersky Endpoint Security for Business technologie służące do zabezpieczenia i zarządzania korporacyjnymi urządzeniami mobilnymi oferują mocną ochronę przed coraz większą liczbą i złożonością wektorów ataków dostępnych w środowiskach, w których zezwala się na przynoszenie do pracy własnych urządzeń.
Oprócz skanowania urządzeń mobilnych pod kątem wykrywania szkodliwego oprogramowania, technologia Kaspersky Lab może stosować różne restrykcyjne polityki dotyczące zainstalowanych aplikacji, identyfikować urządzenia złamane przy użyciu jailbreakingu (iOS) lub rootowania (Android) i zdalnie usuwać przechowywane na urządzeniu dane korporacyjne, jeżeli istnieje obawa, że dostęp do niego może uzyskać niepowołana osoba.
Podsumowując, technologie firmy Kaspersky Lab chronią każdy słaby punkt, jaki stanowią urządzenia mobilne, udaremniając próby ataków na sieci korporacyjne. Dzięki głęboko zintegrowanym technologiom bezpieczeństwa dla różnych rodzajów urządzeń zapewniają również ochronę przed atakami łączonymi, gdy cyberprzestępcy próbują włamać się do korporacyjnej infrastruktury IT, wykorzystując zarówno dziury w zabezpieczeniach oprogramowania jak i luki w ochronie urządzeń mobilnych.