fbpx

Blue Coat – analiza malware si sandboxing dinamic


Creatorii de malware sunt isteti, au rabdare, sunt bine platiti si adversari neobositi. Nu se vor opri pana nu isi ating obiectivele. Daca aveti date pe care vor sa le obtina, nici o aparare nu va fi perfecta. Daca inchizi o usa, intra pe fereastra. Daca blochezi ferestrele, se strecoara pe gurile de aerisire. Daca inchizi orice deschidere catre lumea exterioara, vor sapa un tunel subteran. In expozeul armelor cibernetice si intrecerea dintre atacatori si practicanti ai securitatii, desi straturile de securitate sunt tot mai consistente, vulnerabilitatile persista.

Cum contra-atacam? In primul rand trebuie sa acceptam ca nu toate atacurile malware pot fi blocate in timp real. Sunt cazuri in care codul malitios este atat de raspandit, polimorf si are o capacitate atat de mare de adaptare, incat apararea nu se poate realiza complet. In plus, poate exista malware ascuns in sisteme si in retea, capabil sa reziste luni sau chiar ani, extrangand incet date si compromitand interesele proprietarilor – inainte de a fi detectat si anihilat.

Straturile de aparare pot bloca „raul stiut”, dar de vreme ce unele malware se vor strecura ‚nestiute’, aceste fisiere sau URL-uri ‚necunscute’ trebuie analizate pentru a se determina care sunt adevaratele lor capabilitati, rulandu-le in medii virtuale realiste. Solutia noastra de sandboxing dinamic poate demasca metodic fisierele malware, descoperindu-le comportamentul malitios, intr-un cadru sigur, controlat, configurat pentru a fi pe masura sistemelor reale de productie.

Aceasta ridica intrebarea: ce face o tehnologie de sandboxing sa fie mai buna decat alta? Este setul de capabilitati care automatizeaza procesele si fluxurile si care genereaza o ‚inteligenta activa’ pentru echipele de securitate. Organizatiile mari, care au retele active cu volume mari, pot infrunta zeci de mii de amenintari unice zilnic. O balanta asimetrica intre atacurile in expansiune si bugetele IT mentinute an de an la acelasi nivel sau chiar reduse.

Exista mai multe modalitati prin care se pot marca fisierele suspicioase pentru a fi supuse analizei, folosindu-se algoritmi de analiza, profil analitic de securitate, inspectia fisierelor sursa, filtrarea protocoalelor de securitate, sau orice alta combinatie de factori. Solutiile de sandbox dinamic trebuie sa aiba capacitatea de a analiza un numar mare de exemple aplicand procese paralele care sa completeze scorul de risc automat, emuland mediile target pe cat de bine posibil pentru a permite organizatiilor sa isi prioritizeze eforturile si sa isi concentreze resursele limitate de securitate incat sa solutioneze cele mai urgente amenintari.

Este esential ca mediile instrumentate sa captureze cat mai corect evenimenentele de la nivelele de baza kernel (cum ar fi exceptiile, page faults etc) si cele de la nivelele superioare ale sistemului (cum ar fi fisierele de sistem, obiectele denumite, registri, reteaua si procesele de sistem) in ordinea exacta in care acestea se desfasoara. Acestea mai trebuie sa includa si tehnici anti-VM (masini virtuale) ca sa poata contracara malware-ul vag. Mai mult decat atat,  o tendinta actuala printre autorii de malware consta in deghizarea malware-ului in software legitim – falsele solutii anti-virus fiind probabil cea mai comuna categorie de malware, asa incat este esential sa se asigure generarea unei solutii inteligente. 

Introducerea solutiilor de sandboxing dinamic in infrastructurile de securitate actuale reprezinta o oportunitate pe care organizatiile o pot folosi pentru a-si imbunatati semnificativ apararea si abilitatile de raspuns la amenintarile de securitate. Atunci cand o astfel de solutie este utilizata in conjunctie cu solutiile traditionale de aparare, organizatiile pot sa realizeze o aparare mai corecta si mai rapida impotriva atacurilor targetate si amenintarilor persistente.

Pentru mai multe detalii, accesati pagina producatorului: https://www.bluecoat.com/company-blog/2013-11-12/malware-analysis-dynamic-sandboxing

Cautati informatii