Pull to refresh

Comments 16

Честно говоря пугает количество ресурсов, которое тратят на всю эту борьбу меча с щитом вместо чего-то полезно.
Решение бизнес-задач или основного функционала, когда речь про разработку приложения.
Безопасность — это тоже часть бизнес-задачи. В зависимости от конкретного примера можно проследить полную цепочку влияния ИБ на бизнес-показатели
борьба с современным вредоносным ПО требует целостной стратегии и сбалансированного применения различных технологий, направленных на обнаружение и предотвращение использования вредоносным кодом различных способов проникновения и заражения.

Именно так, но вот выводы неверные. Дело в том, что описанные продвинутые методы борьбы могут быть (и должны быть) использованы, но могут л и их использовать обычные пользователи, мелкий и средний бизнес. Им же нужно по сути поднять SOC, нанять для круглосуточного обслуживания системы специалистов (не менее двух-трех) — тогда как иногда в компании даже обычного админа нет.
Поэтому антивирус — не панацея. Но увы — а что делать тем, у кого нет средств на продвинутые средства защиты?

Да, есть старые вирусы, которые хорошо детектируются стандартными и широко распространенными на рынке антивирусами. Их, наверное, около 80% в общем числе плохих программ.

Цифра на самом деле похуже даже, но обнаружение идет не старых вирусов, а вирусов, создаваемых ламерами, вирусов, создаваемых на основе часто используемых исходников. Отличный пример — ВаннаКрай, который ловили сразу на основании эвристики/облака

Вредоносный код должен быть уникальным и не должен повторяться

Не обязательно, достаточно перешифровывать уже известный код
Вредоносный код должен использовать несколько векторов распространения

Почти нет смысла. Вредоносный код рано или поздно возникнет на компьютере в виде файла/эксплойта и будет перехвачен по имеющимся сигнатурам. Пример тот же ВаннаКрай. Проникало через уязвимость, но как только файл возникал на машине — антивирус его прибивал

Вредоносный код должен быть модульным

Это отслеживается со времен полиморфных вирусов

Типовым подходом для защиты от вредоносного ПО, которое часто по старинке все еще зовут вирусами, что и создает чувство несерьезности проблемы, является применение пары антивирус и межсетевой экран. Однако, как мы увидели выше, современный вредоносный код гораздо сложнее. Каналов заражения можно выделить несколько — e-mail, Web, Wi-Fi, флешки, обновление ПО, лэптопы подрядчиков, личные мобильные устройства руководства и др. При этом создаваемый вредонос может использовать как уже известные старые уязвимости, так и еще неизвестные дыры (0-Day).

И что? Антивирусу чхать на дыры и методы проникновения (не совсем, есть нюансы, но в общем для нормального антивируса должно быть так) — это не его задача. Антивирус отслеживает возникновение на машине файла. Как файл проник — не важно.

У вас может быть даже два или три разных антивируса (как это, например, рекомендуется или требуется в нормативных документах Банка России), но это не сильно помогает.

Вот тут соглашусь. Сколько бы не было антивирусов, протестированный на них вредоносный файл их пройдет.

Оказывается, для уменьшения объема базы сигнатур, которая “заливалась” на каждый персональный компьютер, антивирусный вендор решил старые сигнатуры отключить

Этож кто такой? Если можно — в личку? У нас периодически OneHalf'ы ловятся

Да вы и сами наверное помните историю с WannaCry, когда многие антивирусные вендоры, кичающиеся победой в тестах “100%-е обнаружение неизвестных вирусов”, на следующие дни (и не все в тот же вечер пятницы) после начала эпидемии стали рассылать рекомендации о том, что надо сделать, чтобы побороть эту заразу

Далеко не все. Доктор Веб сразу ловил эвристиком. Касперский по слухам облаком

Поэтому большинство традиционных средств борьбы с вредоносным кодом работают пост-фактум, борясь с чем-то известным.

Вот тут мешается кислое с холодным. Не нужно забывать, что в антивирусе есть не только антивирусные базы, но и облако, превентивка, антиспам (тоже отсекает неизвестные угрозы) и прочее

Но перекрытие двух основных каналов попадания вредоносного кода внуть организации не снимает проблемы антивирусов, которые ловят только известное. Есть ли технология, позволяющая анализировать файлы, не взирая на наличие или отсутствие по ним цифровых отпечатков (сигнатур)? Да, называется она песочница (sandbox)

Свежий пример обхода www.securitylab.ru/news/492188.php — просто прелесть обхода песочниц и заражения только целевой группы

Именно с песочницей связываются средства защиты, которые обладают встроенными антивирусными движками, но не могут обнаруживать неизвестные вирусы.

Если не могут обнаружить антивирусными базами — следят превентивкой и репутационным контролем

Вернемся опять к истории с WannaCry. Генеральный директор одной из крупных промышленных компаний в пятницу вечером подхватил WannaCry на свой домашний компьютер. Не долго думая, в субботу утром он привез зараженный лэптоп на работу, подключил его к корпоративной сети, попутно вызвав своих айтишников “разобраться”. Пока те ехали на работу, WannaCry стал распространяться по внутренней сети, не взирая на достаточно неплохую защиту периметра. А ведь есть еще подброшенные с неизвестным вирусом флешки, взлом Wi-Fi, ноутбуки подрядчиков и т.п. Что делать в этой ситуации? Ответ один — мониторить внутреннюю инфраструктуру с помощью технологий NTA и EDR.

Поставить для начала всем антивирус, ограничить права на запуск всякого ПО, разграничить сеть по подсетям, внедрить бекап и тд

И я не против продвинутых технологий, но рекомендовать только их вне зависимости от анализа рисков и стоимости защиты — помоему неверно
1. Да, небольшие организации не могут позволить себе такой паноптикум — либо на open source строить и иметь хорошие скиллы у админов.
2. Вот что-то по нашим заказчикам WannaCry мало кто прибивал из антивирусников в первые часы заражения. Только после обновления сигнатур.
3. «Вирус» может быть безтелесным и антивирус тут начинает сбоить.
4. Название антивируса не назову, но это один из лидеров рынка.
5. «Эвристиком» ловили при его включении. А многие отключают, так как эвристика тормозит комп.
Резюме: и я не против продвинутых технологий. Заметка продолжает тему use case, начатую раньше. Поэтому понятно, что мы должны начать с моделирования угроз и нарушителя. И уже от этого отталкиваться.
«Вирус» может быть безтелесным и антивирус тут начинает сбоить.

Тут все сложнее. Термин «бестелесный» применяют налево и направо. Скажем если вредоносное ПО сохраняется в реестр, а не в файл — считается бестелесным. При этом такое ПО отлично ловится антивирусами.
Руткиты сейчас крайняя редкость. Так что опять же смотря у кого из антивирусов проблемы — нужно точно смотреть имена

Сейчас на самом деле проблема не бестелесное ПО, а неверная установка антивируса. При отсутствии модуля проверки трафика в поле зрения антивируса не попадают скрипты в клиентских программах. И те же майнеры в браузерах могут запускаться

То есть не сам продукт для защиты плох (он майнера знает), а квалификация пользователя продукта не позволяет обеспечить нужное качество защиты

«Эвристиком» ловили при его включении. А многие отключают, так как эвристика тормозит комп.

Вот как раз и получается (продолжение предыдущего замечания), что проблема не сам продукт зачастую, а его неправильное использование. Скажем поставить антивирус и сразу поставить все в исключения или разрешить установку нового ПО. Или как сейчас с майнерами — разрешать запуск потенциально вредоносного ПО. Получается, что заказчику зачастую предлагается продвинутое ПО, тогда как у них бардак с базовыми мерами защиты.

Типично скажем для банков — антивирусы стоят у всех, о возможности проникновения неизвестного ПО не думает практически никто и при этом все хотят внедрять продвинутые меры защиты

Насколько я помню статистика Циско постоянно показывает использование Конфикера — а это тоже отсутствие базовых мер защиты
Ну я же не спорю, что начинать надо с базовых мер. Но многие почему-то хотят сразу продвинутые :-)
Достигается это за счет отказа от парадигмы черных списков и переход к правилу “разрешено только то, что известно”.

Вот с этого и нужно начинать — надежнее и дешевле вышеописанных свистоплясок.
Рецепт по-дешевле для большинства контор: латаем дыры в ОС, включаем SRP/noexec, настраиваем права как положено, параноим в отношении источника софта, антивирусы используем исключительно для защиты от регуляторов.
«Разрешено только то, что известно» не работает в обычной жизни, так как нам заранее не известно то, с чем мы будем контактировать.

И рецепт подешевле тоже часто дает сбой — скорее это работает на сетке из 5-10 компов. В более менее крупной сети это уже не работает. А на личных мобильных устройствах это вообще не работает
Почему? Недавно видел крупную контору — все на терминальном доступе, права пользователей серьезно проработаны, сетка разделена как нужно и тд. Ничего крутого, просто грамотные специалисты сидят — и ни одного заражения

Подавляющее же количество заражений — пропуск в сеть исполняемых файлов в аттачах или ссылках, доступ к серверам с машин пользователей, доступ в иные подсети и тд. То есть неграмотная политика.

Это исключение из правила. Терминалка — это неудобно. Плюс куча исключение для того же руководства
Это всего лишь один из вариантов.

Или вот еще один нюанс. Последние годы бюджеты резали на 20 процентов в год и во многих компаниях (государственных в первую очередь) запретили даже закупку железа

То есть какие такие продвинутые средства? Этим компаниям и организациям нужно обеспечивать защиту именно базовыми (дешевыми средствами). Без СОК'ов, СИЕМ'ов и прочего. Денег нет

Очень интересно читать (и ваши посты тоже, без всякой иронии) про все эти продвинутые вещи, но очередная командировка в регионы — на что их народу приобретать? На какие средства нанимать сотрудников для их обслуживания?

Приедешь в какое областное учреждение образования — волосы дыбом от безнадеги встают. Админов нет и не предвидится

При этом я не отрицаю никоим образом полезность всех этих продвинутых средств
Вчера, Волгоград — сотрудники закупают бумагу, покупают ручки и заправляют катриджи на свои деньги, ибо в бюджет не заложено.
Тоже самое Ивановская область и иные регионы

Вопрос конечно сложнее — зачастую при том, что на бумагу нет денег — с легкостью закупают что-то дорогущее. Умение работать с руководством и госпрограммы никто не отменял
Именно. Но преимущество тех же ASD35, что там многие меры бесплатны с точки зрения бюджета. Топ4 вообще это установка патчей, контроль привилегированного доступа и application whitelistening. WSUS и GP уже неплохо повысит защищенность.
Sign up to leave a comment.