антивирусен софтуер

Последен ъпдейт на 26 декември 2024 в 12:20 ч.

В днешната ера на все по-сложни кибератаки традиционните антивирусни решения вече не са достатъчни за адекватна защита на бизнеса. Добрата новина е, че технологиите за защита също се развиват.

Преди години антивирусният софтуер разчиташе основно на сигнатури – дигитални „пръстови отпечатъци“ на известен зловреден код. Днес модерните решения са значително по-усъвършенствани и включват машинно обучение, поведенчески анализ и облачна защита. Въпреки това те остават фокусирани предимно върху превенцията и блокирането на познати заплахи.

EDR: Следващото ниво на защита

EDR (Endpoint Detection and Response) решенията представляват следващата стъпка в еволюцията на защитата. Те не само откриват и блокират заплахи, но и предоставят детайлна видимост върху всички процеси, протичащи в крайните точки.

EDR системите записват и анализират всяко действие, позволявайки на специалистите по киберсигурност да:

• проследяват целия път на атаката;
• разкриват скрити заплахи;
• автоматизират реакцията при инциденти;
• извършват цялостни разследвания.

MDR: Когато експертизата е от значение

MDR (Managed Detection and Response) добавя човешкия елемент към технологичното уравнение. Това е услуга, при която екип от експерти по сигурност наблюдава вашите системи денонощно с помощта на EDR технологии.

MDR е особено подходящ за организации, които:

• нямат собствен екип по киберсигурност;
• искат 24/7 мониторинг без изграждане на собствен SOC;
• търсят експертна помощ при реагиране на инциденти;

XDR: Интегрирана защита от ново поколение

XDR (eXtended Detection and Response) е най-новото развитие в тази област. Този тип системи разширяват възможностите на EDR, интегрирайки данни от множество източници:

• крайни точки;
• мрежов трафик;
• облачни услуги;
• имейл системи;
• мобилни устройства;
• IoT/OT системи.

XDR използва изкуствен интелект за анализ и съпоставка на данни от всички тези източници. Това позволява откриването на сложни атаки, които иначе биха останали незабелязани.

Кое решение да изберем?

Традиционните антивирусни решения продължават да еволюират, но новите технологии като EDR, MDR и XDR предлагат значително по-високо ниво на защита. Най-важното при избора на решение е да анализирате конкретните си нужди, както и възможностите на вашата организацията.

Антивирусните решения са достатъчни за:

• малки организации с ограничен бюджет;
• среди с ниско ниво на риск;
• базова защита в домашни условия;

Използването на EDR е подходящ когато имате:

• собствен IT екип;
• повишени изисквания за сигурност;
• необходимост от детайлна видимост;
• достатъчно ресурси за управление на решението.

MDR е правилният избор при:

• липса на вътрешна експертиза;
• желание за професионално обслужване;
• среден до голям бизнес.

Интеграцията на XDR е подходяща за:

• големи организации;
• компании с комплексна IT инфраструктура;
• високи изисквания към сигурността;
• нужда от централизирано управление на сигурността.

Независимо от избора ви, най-важно е да не забравяте, че киберсигурността е непрекъснат процес, а не еднократно решение.

Последен ъпдейт на 15 октомври 2018 в 15:34 ч.

Атаките над UEFI са редки, но за сметка на това имат много сериозни последствия. Това заяви Роман Ковач, директор „Анализи“ в словашката компания за киберсигурност ESET. Миналата седмица фирмата съобщи, че е открила LoJax – първата кибератака от организирана престъпна група, разполагаща със собствен UEFI руткит.

Атаката е изключително опасна, защото не се поддава на стандартни превантивни мерки. Освен това повечето антивирусни програми не сканират UEFI(спецификация за софтуерен интерфейс между операционната система и хардуера), което означава, че руткитът може да инфектира системата напълно незабелязано.

Нищо ново под слънцето

Атаките върху UEFI не са нещо ново. Има инструменти за осъществяването им, с които държавните разследващи институции се снабдяват напълно легално. В интервю за Welivesecurity.com Ковач посочва за пример Hacking Team – италианска компания, която продава шпионски софтуер на правителства от различни страни по света.

Дейността на Hacking Team стана известна на широката общественост през юли 2015 г. Тогава имейл комуникация на компанията с нейни клиенти изтече в интернет. „Hacking Team рекламираха активно като услуга опцията да достъпват и модифицират фърмуеъра на набелязаната цел. В данните, които изтекоха в WikiLeaks, имаше информация за UEFI руткит. Това доказва, че твърденията на Hacking Team са били истина“, посочва Ковач.

В ръцете на руски хакери

Откритият от ESET руткит обаче е първият, за който е известно, че се използва от организарана престъпна група, а не от държавен орган. Предполага се, че той е собственост на Sednit – руска хакерска група, която многократно е попадала в медиите заради извършени от нея атаки.

„Ако злонамерено лице може да контролира процесите, които се стартират на устройството, той го контролира изцяло. Освен че са изключително опасен вектор на атака, промените във фърмуеъра са трудни за засичане и могат да оцелеят дори след радикални мерки за сигурност като преинсталиране на операционната система или смяна на твърдия диск“, коментира Ковач.

Какви са рисковете

„Нека ви напомня една от основните принципи в управлението на риска: той е функция от цената, която плащаш като резултат от едно събитие, и неговата вероятност. Дори и ако тези атаки са редки, те носят със себе си сравнително висок риск, ако последиците от тях са значими. Случаят с UEFI руткитът е точно такъв“, казва Ковач.

Трябва ли обикновените потребители да се притесняват? Според Ковач – не, защото индивидуалните потребители не са основната цел на такъв тип атаки. Обикновено те са насочени към държавни институции и бизнеси. Това са организациите, които понасят най-голяма тежест от подобни атаки. За индивидуалните потребители рискът (засега) клони към нула.

Последен ъпдейт на 6 декември 2018 в 09:34 ч.

В началото на 2016 г. стотици хиляди потребители по цял свят получиха на служебните си имейли писмо със заглавие “Фактура” и прикачен към него документ за Word. Всеки опит да се отвори документа приключваше по един и същ начин: съдържанието на файла беше неразбираемо, а потребителят получаваше предупреждение да активира зареждането на макроси в Word, за да види какво има в документа.

Това обаче не беше нищо повече от социално инженерство. Потребителите, които последваха инструкциите, се заразиха с Locky – един от най-опасните криптовируси в световен мащаб.

Locky е пословичен пример за опасностите, които могат да се крият в един най – обикновен на пръв поглед Word документ или таблица за Excel. Това са файлове,с които всички бизнеси работят и които се разпращат масово по имейл. Хакерите използват този факт, за да разпращат зловредни файлове. В тях те скриват макро скриптове: код, написан на Visual Basic for Applications (програмен език). който при отварянето на документа сваля малуер на устройството на потребителя.

Макро вируси, макропроблеми

Макро скриптовете бяха гигантски проблем, затова от години зареждането им по подразбиране е забранено в Microsoft Office. Това намали честотата на атаки със зловредни .DOC и .XLS файлове. Въпреки това те все още представляват опасност и случаят с Locky го доказва.

Някои експерти по информационна сигурност определят макро вирусите като отживелица от 90-те години на миналия век. Но през 2016 г. американският държавен център за борба с киберзаплахите US-CERT излезе с предупреждение за ръст в случаите на макро вируси, засягащи организации и индивидуални потребители.

[box type=“success“ align=“alignleft“ class=““ width=““]

Как да предпазите бизнеса си:

• Обучавайте служителите си да не отварят прикачени файлове от имейли с неизвестен произход;
• Позволявайте използването на макро скриптове само за документи, които сте получили от доверен източник;
• Използвайте и обновявайте редовно антивирусния си софтуер;

[/box]