- Tavaly a szervezetek több, mint 50 százalékát érte zsarolóvírus támadás, átlagosan két alkalommal
- Több, mint 75 százalékuk naprakész végpont/endpoint védelmet használt, amikor zsarolóvírus támadás érte őket – ez nem bizonyult elégséges védelemnek
- A zsarolóvírus támadások költsége átlagosan 133 ezer dollár volt
- A szervezetek több, mint 50 százaléka nem rendelkezik anti-exploit technológiával, ami azt jelenti, hogy az adatlopások és a WannaCryhoz hasonló összetett támadásokkal szemben védtelenek
- 2018-ban a szervezeteknek súlyos fejlesztéseket kell véghez vinniük informatikai biztonság terén a támadások kivédése érdekében
A Sophos, The State of Endpoint Security Today („Az endpoint-biztonság aktuális állapota”) felmérése kimutatta, hogy a vállalatok milyen mértékben vannak kitéve az ismételt zsarolóvírus támadásoknak és mennyire sebezhetőek az exploitokkal – szoftver sérülékenységet hasznosító kód – szemben. A felmérés kérdéseire több, mint 2700 középvállalatoknak dolgozó informatikai döntéshozó válaszolt a világ minden tájáról.
A legfőbb eredmény az, hogy a vállalatok továbbra sem képesek felvenni a harcot napjaink gyorsan fejlődő fenyegetéseivel. A zsarolóvírus továbbra is komoly problémát jelent világszerte. A válaszadó szervezetek 54 százalékát érte tavaly támadás, további 31 százalékuknál pedig számítanak arra, hogy előbb-utóbb az ő cégük is áldozattá válik. A felmérésben résztvevőket átlagosan két támadás érte.
„A zsarolóvírus újra és újra megjelenhet ugyanannál a szervezetnél. Tudunk olyan digitális bűnözőkről, akik négy különböző zsarolóvírus családot indítanak félórás időközökkel, így biztosítva azt, hogy legalább az egyik megkerüli a biztonsági rendszert és sikeres támadást hajt végre.” – nyilatkozta Dan Schiappa, a Sophos alelnöke. „Ha az IT szakemberek nem tudják teljes mértékben megtisztítani a rendszereket a zsarolóvírusoktól és más veszélyektől a támadásokat követően, sebezhetőek maradnak az újabb rosszindulatú kísérletekkel szemben. A digitális bűnözők több támadómódszert alkalmaznak a siker érdekében, akár több zsarolóvírus keverékét használva egyetlen kampány során, vagy más esetekben távoli hozzáférési lehetőségeket szereznek, megfertőzve egy szervert vagy kikapcsolva a biztonsági szoftvert.”
A Sophos szerint a támadások kíméletlen jellege, a zsarolóvírus-szolgáltatások sikere, a még komplexebb fenyegetések előjelzései és a WannaCryhoz vagy NotPetyához hasonló férgek újjáéledése miatt a vállalatoknak súlyos fejlesztéseket kell véghez vinniük informatikai biztonság terén. Sőt, a sikeres zsarolóvírus támadásokban érintettek több, mint 77 százaléka naprakész endpoint-védelmi rendszert futtatott, ez pedig azt az elméletet bizonyítja, mely szerint a tradicionális végpont/endpoint biztonsági szoftverek manapság már nem elegendőek a zsarolóvírus fenyegetések kivédéséhez.
„Rengeteg különböző méretű vállalat kezdte a 2018-as évet elégtelen zsarolóvírus -védelemmel.” mondta Schiappa. „Tekintettel a támadások leleményességére, gyakoriságára és pénzügyi hatásaira, minden vállalatnak át kellene értékelnie a saját biztonsági helyzetét. Olyan védelmi rendszerre van szükség, ami prediktív biztonsági technológiát foglal magába, tehát képes a zsarolóvírusokkal és egyéb költséges digitális veszélyekkel szemben felvenni a kesztyűt.
A tavalyi zsarolóvírus támadások áldozatai által megadott teljes veszteségek átlaga 133 ezer dollár volt. Ez bármilyen váltságdíj követelésen túlmutató összeg és magába foglalja a szolgáltatás-kimaradással eltelt időt, az emberi erőforrások, az eszközök, a hálózatok és elveszített lehetőségek költségeit is. A felmérésben résztvevők 5 százaléka 1,3 és 6,6 millió dollár közötti összköltséget határoztak meg.
A megkérdezett IT adminisztrátorok kétharmada nem ismeri az anti-exploit technológiákat
Sajnos a Sophos felmérése komoly hiányosságra mutatott rá az exploitok elleni technológiák tudatossága terén, hiszen a megkérdezettek 69 százaléka nem tudta pontosan meghatározni az anti-exploit szoftver definícióját. Ebből fakadóan nem meglepő, hogy 54 százalékuk semmilyen anti-exploit védelemmel nem rendelkezik. Ezek a számok arra is utalnak, hogy a vállalatok jelentős részénél abban a tévhitben élnek, mely szerint védettek ezzel az általános támadási formával szemben, miközben valójában rendkívüli kockázatnak vannak kitéve.
Habár a válaszadók 60 százaléka elismerte, hogy az endpoint védelmük nem elegendő a támadások megakadályozásához, csak 25 százalékuk rendelkezik prediktív technológiákkal, mint a gépi tanulás vagy a deep learning, míg a maradék 75 százalék védtelen az ismételt zsarolóvírus támadásokkal, exploitokkal és fejlődő összetett fenyegetésekkel szemben. 60 százalékuk tervezi, hogy prediktív technológiát vezet be egy éven belül. A megkérdezettek 56 százaléka elismerte, hogy nem teljesen értik a különbség a gép tanulás és a deep learning között.
A tradicionális endpoint-technológiák gyakran képtelenek megvédeni a rendszereket az exploitalapú támadásokkal szemben, ezért a Sophos prediktív, illetve deep-learning képességeket fejlesztett új generációs endpoint-védelmi termékéhez, a Sophos Intercept X-hez.
Az új generációs endpoint biztonsági szoftver legfrissebb verziója korábban nem látott hatásfokkal ismeri fel és hárítja el a fenyegetéseket.
Deep Learning-en alapuló malware felismerés
– a deep learning model ismert és ismeretlen malware-eket és potenciálisan nem kívánt alkalmazásokat (PUAs) derít fel, mielőtt elindulnának, ráadásul nincs szüksége szignatúra-adatbázisra
– ritkán kell frissíteni
Aktív támadói tevékenység felderítés
– hozzáférési adatok ellopása elleni védelem: megakadályozza a hitelesítő jelszavak és hash információk memóriából, regisztrációs adatbázisból vagy háttértárból történő ellopását. Ezeket a módszereket használják például a Mimikatz használatával végrehajtott támadásoknál.
– Code cave kihasználása: Az alkalmazásokba injektált kódok jelenlétét fedi fel. Ezt a módszert gyakran alkalmazzák a vírusvédelmek megkerülése érdekében.
– APC védelem: Felderíti az alkalmazás-eljáráshívások (Application Procedure Call, APC) nem megfelelő használatát, amelyet gyakran AtomBombing kódinjektáló technika részeként alkalmaznak és nemrégiben a WannaCry féreg, illetve a NotPetya destruktív trójai EternalBlue-n és DoublePulsaron keresztül való terjesztésére is használták (a támadók ezeket az APC-ket használják ki, hogy egy másik folyamat hajtsa végre a káros kódot).
Új és továbbfejlesztett exploit prevenciós technikák
-kártékony folyamatok migrációja: detektálja a távoli reflektív DLL injekciót (remote reflective DLL injection), amelyet támadók arra használnak, hogy a rendszeren futó folyamatok között tudjanak mozogni.
-jogosultság emelés ellenőrzése: megakadályozza, hogy egy alacsonyszintű jogosultságokkal bíró folyamat magasabb szintre tudjon emelkedni, amellyel rendszer szintű hozzáféréseket lehet szerezni.
Továbbfejlesztett alkalmazás védelem
-böngésző tevékenység zároló: az Intercept X zároló funkciója megakadályozza a PowerShell scriptek böngészőből történő kártékony használatát
-HTA alkalmazás zároló: a böngésző által betöltött HTML alkalmazások a zárolófunkciók szerint vannak kezelve, mintha maguk is böngésző korlátozásai között futnának.