Organizatiile, bunurile lor si mediul in care isi desfasoara activitatea sunt tintele unor amenintari din ce in ce mai diverse si mai sofisticate. Atacatorii gasesc intotdeauna o vulnerabilitate prin care sa compromita reteaua organizatiei, fie ca este vorba de malware de tip zero-day, de exploatarea unui sistem neupdatat cu cele mai recente patch-uri, de o aplicatie care nu implementeaza “sanity checks” sau de social engineering (stim bine ca omul este veriga cea mai slaba din lantul securitatii cibernetice, tentatiile de tip “quid pro quo” fiind prea mari pentru unii dintre semenii nostrii). Divizia de securitate a departamentului IT trebuie sa fie cu un pas inainte actorilor care doresc sa dobandeasca access la datele companiei, la echipamentele sau la angajatii sai.
Transformarea digitala, mutarea aplicatiilor si a serviciilor in cloud, precum si expansiunea suprafetei de atac a companiei prin telemunca impun folosirea unor masuri de securitate care trebuie sa aiba in vedere stoparea unui atac cat mai aproape de sursa acestuia si cat mai departe de organizatie. In acest sens, un principiu calauzitor si totodata fundamental este reprezentat de maxima “preventia este cel mai bun tratament”. Proliferarea telemuncii si accesarea aplicatiilor necesare pentru desfasurarea activitatii direct peste Internet, o retea intrinsec nesigura, fac din securitatea dispozitivelor de utilizator prima (si in unele cazuri si ultima) linie de aparare.
Cele mai importante caracteristici ale unei solutii de protectie a dispozitivelor de utilizator
O solutie de endpoint security trebuie sa identifice vulnerabilitati si sa identifice si sa carantineze in mod automat fisiere executabile suspicioase inainte ca acestea sa devina o problema reala. De altfel, capabilitatea de a detecta parametrii IoC (Indication of Compromise) inca din primele stagii ale unui atac pot face diferenta dintre succesul si esecul atacului. Acest lucru impune o monitorizare continua a activitatilor fisierelor intr-un mediu cross-platform (PC-uri care ruleaza Windows, macOS, Linux, precum si servere sau device-uri de tip Android sau iOS), monitorizare care poate detecta si malware care incearca sa se camufleze in procesele obisnuite ale sistemului de operare. Posibilitatea de a trimite mostre de fisiere catre un mediu de sandboxing face posibilia analiza dinamica a fisierelor suspicioase.
Rezultatele returnate pot contine mostre din pachetele care compun malware-ul, screenshot-uri surprinse in momentul in care malware-ul este „detonat” si indicatori comportamentali care reflecta modul in care malware-ul se executa (fisiere accesate, programe apelate, artefacte).
Doar monitorizarea fisierelor si a activitatii acestora nu mai este un lucru suficient astazi. Malware-ul devine din ce in ce mai sofisticat, iar solutia de endpoint trebuie sa poate oferi multiple masuri de preventie. Aceste masuri combina analiza comportamentala (behavioral analytics), machine learning si semnaturi specifice pentru a detecta si bloca ransomeware-ul, malware de tip cryptomining si malware de tip fileless (un tip de malware relativ nou, care spre deosebire de un malware traditional „nu lasa urme”, intrucat nu se bazeaza pe fisiere stocate pe disc, deci poate fi invizibil pentru cele mai multe solutii de securitate si pentru cei mai multi analisti de securitate cibernetica. Un astfel de malware lucreaza direct in memorie, putand folosi scripturi PowerShell sau programe ca wscript.exe sau csript.exe (activitatea acestor programe nu este, de regula, monitorizata de solutia de antivirus) pentru a performa exfiltrare de date sau a rula comenzi distrugatoare pentru sistem. Pentru ca blocarea acestor tipuri de malware sa fie cat mai eficienta este necesar ca solutia de endpoint protection sa beneficieze in timp real de fluxurile de update oferite de un furnizor de inteligenta cibernetica (global threat intelligence feeds) care monitorizeaza activitatile malitioase din Internet.
Solutia de endpoint protection trebuie sa fie o solutie simplu de dezvoltat, scalabila si capabila de a se integra usor cu alte masuri de control (ca firewall-uri, sisteme de network access control sau platforme SIEM sau de management). Integrand solutia de endpoint protection cu alte surse care ofera context asupra activitatii dispozitivului se poate obtine o vizibilitate 360⁰ asupra modului in care dispozitivul activeaza in ecosistemul organizatiei.
Masuri de contracare
Raspunsul in fata unei amenintari trebuie sa fie rapid si fara echivoc. Actiunile luate pentru a contracara un malware sau un fisier suspicios pot fi automatizate prin „playbook”-uri care sa execute task-uri ca mutarea dispozitivului compromis intr-un grup de carantina, urmarirea parametrilor IoC pentru a detecta prezenta unui malware sau interogarea activitatii unui anume dispozitiv sau a unui anume fisier in vederea corelarii acesteia cu alte dispozitive sau activitati suspicioase din retea.
Se estimeaza ca timpul mediu de detectie a unui atac de tipul „data breach” este de 200 de zile. 200 de zile in care malware-ul trece neobservat de orice masura de control, in intreaga organizatie. Pentru credibilitatea unei companii, acest numar este inacceptabil de mare. De aceea, detectia si raspunsul in fata unei amenintari trebuie sa aiba loc in cateva ore, poate chiar minute.
O solutie de endpoint protection trebuie sa fie proactiva pentru a identifica un atac, cum s-a desfasurat acesta (vectori de atac, posibile tinte, mod de propagare) si ce este de facut pentru a contracara atacul. Scopul oricarei masuri proactive este de a descoperi si de a preveni ca atacul sa se execute si sa provoace distrugeri.
O alta masura de contracarare poate fi reprezentata de alertele de securitate. Mai exact, aceste alerte trebuie sa fie prioritizate, astfel incat cele mai severe alerte sa fie tratate primele. De regula, omul nu are capabilitatile necesare pentru o astfel de sortare, mai ales daca vreau sa fie una rapida si corecta. De aceea, solutia de endpoint protection poate veni in ajutorul nostru, folosindu-se de severitatea parametrilor IoC pentru triajul alertelor si pentru a reduce timpul de remediere.
Cisco Secure Endpoint (inainte cunoscut ca Cisco AMP for Endpoints) este o solutie de securitate care imbina preventia , detectia, „vanarea” (hunting-ul) de amenintari si capabilitati de remediere intr-o singura solutie software, care foloseste in avantajul sau puterea lui Cisco Talos, platforma de threat intelligence din cloud-ul Cisco. Secure Endpoint este o solutie multiplatform (Windos, macOS, Linux, Android, iOS) care blocheaza malware-ul in punctul de intrare, oferind o monitorizare continua a fisierelor si activitatii acestora pentru a detecta, izola si remedia orice amenintare capabila sa compromita dispozitivul utilizatorului.
Specialistii Dendrio va pot oferi consultanta si serviciile necesare pentru a configura politicile de securitate ale organizatiei dumneavoastra in conformitate cu domeniul specific business-ului precum si implementarea solutiei de Secure Endpoint pentru a oferi cele mai sigure conditii de lucru pentru angajatii care isi desfasoara activitatea de la distanta.
Mihai Dumitrascu, Sr Systems Engineer