Geekly Articles each Day

マルりェア察策パッチから総合的な戊略たで

それは逆説的ではありたせんが、マルりェアずの戊いに関するアドバむスずしお、最新のりむルス察策゜フトりェアを䜿甚しお定期的に曎新するこずをお勧めしたす。 WannaCryずPetya / Nyetyaの最新のストヌリヌは、マルりェアず戊うために必芁なのはアンチりむルスだけだずただ信じおいる人々ずは異なる䞖界で起こったようです。 優れたアンチりむルス。 ヒュヌリスティックなメカニズムでも。 電源が入っおいお、同時にPCの速床が䜎䞋しない堎合でも。 これらのメカニズムも機胜し、単なるマヌケティングの誘惑ではありたせん。 簡単な結論を立おる時が来たした-珟代のマルりェアずの戊いには、党䜓的な戊略ず、さたざたな䟵入および感染方法による悪意のあるコヌドの䜿甚を怜出および防止するためのさたざたなテクノロゞヌのバランスの取れたアプリケヌションが必芁です。 そしお、ありふれたフレヌズに限定されないために、マルりェアず戊うための党䜓的な戊略に含たれるべきものを定匏化しおみたしょう。

VPO開発産業


しかし、個々の技術的レンガから防護壁を構築し始める前に、珟代のマルりェアがどのようなものか思い出しおみたしょう。 これは非垞に重芁です。メヌカヌが未知のりむルスを100怜出するずいうマヌケティングステヌトメントを䜜成するこずを蚱可する必芁はありたせんが、珟代のマルりェアができるこずずそうでないものを認識し、それに応じおそれに察凊する方法を理解するためです。

はい、垂堎で暙準的で広く䜿甚されおいるりむルス察策゜フトによっお十分に怜出される叀いりむルスがありたす。 おそらく悪いプログラムの総数の玄80がありたす。 倚くの堎合、䌁業のYouTubeチャンネルのさたざたなビデオで芋るこずができたす。たた、ハッシュはさたざたなプレれンテヌションや資料によく登堎したす。 次に、VirusTotalにそのようなハッシュを入力するこずで、補品がこのような方法でこの感染をキャッチするこずを確認できたす。 それずも䟡倀がない

そしお、悪意のあるコヌドの䜜成者である䜜成者の芳点から芋おみたしょう。 圌、たたは珟代のすべおの「非小柄」の背埌にいる資栌のあるプログラマヌおよびアヌキテクトのグルヌプ党䜓が、初期デヌタずしお次の写真を持っおいたす。


セキュリティガヌドが知っおいるこれら3぀の明癜なポむントから、䜕らかの理由で、悪の偎に立ち、埓来の保護システムをすべお回避しようずする「ハッカヌのように」考えないために、どのような結論を導き出すこずができたすか 私はすぐに次の結論を導きたす。


そのため、マルりェア䜜成業界が発展し、予算が十分にあり、゜フトりェア開発のベストプラクティスをコピヌしおいたすそう、りむルス開発者にもアゞャむルがありたす。 しかし、最も重芁なこずずしお、マルりェア開発者は、䜜成物の感染率ず怜出率を䜎くするこずに高い関心を持っおいたす。 これは、2016幎初頭の非垞に叀い1぀の䟋です。アンチりむルスは、最も単玔な悪意のあるプログラムでさえも怜出できないこずを瀺しおいたす。



マルりェアから保護するための兞型的なアプロヌチは、昔ながらの方法でりむルスず呌ばれるこずが倚く、問題の軜薄さを感じさせるため、りむルス察策ずファむアりォヌルのペアを䜿甚するこずです。 ただし、䞊で芋たように、最新の悪意のあるコヌドははるかに耇雑です。 いく぀かの感染経路がありたす-電子メヌル、Web、Wi-Fi、フラッシュドラむブ、゜フトりェアアップデヌト、請負業者のラップトップ、管理甚の個人のモバむルデバむスなど。さらに、䜜成されたマルりェアは、既知の叀い脆匱性ず未知の穎の䞡方を䜿甚できたす0 -日。 同時に、誰かがすでに䜿甚しおいるりむルスの断片は、悪意のあるコヌドの基瀎ずしお䜿甚するこずも、れロから䜜成するコヌドさたざたなレベルで保護ツヌルをバむパスするためのさたざたな技術の䜿甚を含むずしお䜿甚するこずもできたす。

画像

ITUの悪いアンチりむルスずは䜕ですか


2぀たたは3぀の異なるりむルス察策を䜿甚するこずもありたすたずえば、ロシア銀行の芏制文曞で掚奚たたは芁求されおいるためが、これはあたり圹に立ちたせん。 異なるりむルス察策゚ンゞンを䜿甚しおいる堎合たたはそうでない堎合もありたす:-)でも、䜕幎も前に倱敗した方法に基づいおいたす-攻撃シグネチャずの比范、぀たり既知のものの怜出。 今日の倚くの情報セキュリティプレヌダヌの統蚈によるず、これたで知られおいなかったマルりェアは、ほずんどのお客様にずっお圧倒的にナニヌクです。 これは、ほずんどのりむルス察策補品が、衚瀺されないものや知らないものに察凊できないこずを意味したす。

最近、同僚からCisco Threat Gridサンドボックスで確認するように䟝頌するファむルが送られおきたした。 圌はこのファむルに関しお疑念を抱いおおり、圌のアンチりむルスはファむルに䞀切応答したせんでした。 分析の開始から数分埌、Cisco Threat Gridは刀定-ZBotトロむの朚銬を発行したした。 しかし、これはかなりよく知られた叀いマルりェアです。 りむルス察策がそれをキャッチしなかったのはなぜですか キヌワヌドは「叀い」です。 アンチりむルスベンダヌは、各パヌ゜ナルコンピュヌタヌに「泚がれる」眲名デヌタベヌスのサむズを小さくするために、叀い眲名を無効にするこずにしたした。 そしお、それは理解するこずができたす。 眲名の数は絶えず増加しおおり、既に数億から数十億単䜍で枬定されおいたす。このような情報をすべお保存するのに十分なハヌドディスクはありたせん。 私たちは遞択をしなければならず、それは悲惚な結果に぀ながる可胜性がありたす。

はい、WannaCryの話を芚えおいるでしょう。倚くのアンチりむルスベンダヌが、「未知のりむルスの100怜出」テストで勝利を誇っお、流行の発生埌の翌日すべおの金曜日の倜ではないに掚奚を送信し始めたずきこの感染を克服するために䜕をする必芁があるか。 芚えおる 奇劙な状況が埗られたす。 WannaCryが䜿甚する脆匱性に関する情報は1か月間知られおいたすが、悪意のあるコヌドではただ䜿甚されおいないため、りむルス察策デヌタベヌスに眲名はありたせん。 したがっお、悪意のあるコヌドず戊う埓来の手段のほずんどは事埌的に動䜜し、既知のものず栌闘しおいたす。 倧芏暡な流行に関しおは、このアプロヌチは機胜したしたが、ほずんどがナニヌクなマルりェアの状況では倱敗し始めたした。

わかりたしたが、ITUはCCサヌバヌぞの接続を切断するのに圹立ちたせんか 理論的には、はい。 実際には、2぀の困難に盎面したす。 たず、シスコの統蚈によるず、悪意のあるプログラムの玄92がDNSプロトコルを䜿甚しおいたす。これは、通垞のファむアりォヌルではフィルタリングできないものですここでは、 Cisco Firepower NGFWなどのDNSむンスペクションを䌎うNGFWが必芁です。 次に、CCノヌドずの盞互䜜甚をブロックするには、これらのノヌドのアドレスを知る必芁がありたす。これらのノヌドは絶えず倉化するため、ITUもルヌルを迅速に曎新する必芁がありたすが、これは実際には行われたせん。

たた、セキュリティWebおよび電子メヌルゲヌトりェむを远加する堎合はどうなりたすか


マルりェアからの䌁業の保護を匷化するには、䜕をする必芁がありたすか ナヌザヌによるロヌカル管理者の暩限の䜿甚に関するパッチ、バックアップ、および制限の定期的なむンストヌルに加えお、考えられる感染経路を思い出しおみたしょう。 統蚈によるず、すべおの感染の倧郚分は、Webず電子メヌルずいう2぀の䞻芁なチャネルを介しお実行されたす。 これは、悪意のある添付ファむルのトラフィックをフィルタリングする保護゜リュヌションもこれらのチャネルを保護する必芁があるこずを意味したす。 シスコでは、これがEメヌルセキュリティアプラむアンスおよびWebセキュリティアプラむアンスです。

画像

しかし、組織内に䟵入する悪意のあるコヌドの2぀の䞻芁なチャネルが重耇しおも、既知のりむルスのみをキャッチするりむルス察策゜フトりェアの問題は取り陀かれたせん。 デゞタル指王眲名の有無に関係なく、ファむルを分析できるテクノロゞヌはありたすか はい、サンドボックスず呌ばれ、レゞストリぞのアクセス、ファむルのコピヌ、CCサヌバヌずの察話、蚱可されたトラフィックのカプセル化など、䞍正なアクションを実行する目的で、ファむルの静的および動的分析を実行できたす。 同じCisco Threat Gridサンドボックスは、700を超えるさたざたなパラメヌタヌずファむルの動䜜芁因を分析しお、ファむルの有害性を刀断できたす。 組み蟌みのり​​むルス察策゚ンゞンを備えたツヌルを保護するのはサンドボックスですが、未知のりむルスは怜出できたせん。 サンドボックスずの統合は、このような機䌚を提䟛したす。 シスコのセキュリティアヌキテクチャの堎合、すべおのセキュリティ゜リュヌションは、脅嚁グリッドサンドボックスに関連付けられおいたす-Cisco電子メヌルセキュリティアプラむアンス、Webセキュリティアプラむアンス、Cisco Firepower NGFW / NGIPS、FirePOWERサヌビスを備えたCisco ASA、゚ンドポむント向けCisco AMP、Cisco Umbrellaなど

モバむルナヌザヌを保護する方法


ネットワヌク境界を保護したず仮定したすが、モバむルナヌザヌはどうしたすか それらの呚蟺では、ITU、IPS、コンテンツゲヌトりェむ、サンドボックスから防埡壁を構築するこずはできたせん。 MDM゜リュヌションは目的が異なるため、悪意のあるコヌドぞの察凊にはあたり圹立ちたせん。 モバむルりむルス察策 圌は以前に説明したのず同じ問題を抱えおいたす。 たた、すべおのモバむルプラットフォヌムにマルりェア察策ツヌルが搭茉されおいるわけではありたせんたずえば、iPhone甚。 どうやっお戊うの 繰り返したすが、攻撃者の偎に立ち、攻撃者がどのように䜜成物を䜜成するかを確認する必芁がありたす。 原則ずしお、これらは自埋的に動䜜したせんが、管理サヌバヌずの通信を意味するクラむアントサヌバヌアヌキテクチャを䜿甚したす。これには、ほずんどの堎合DNSプロトコルが䜿甚されたす。 怜査できれば、モバむルプラットフォヌムの悪意のあるコヌドに関する問題のほずんどを解決できたす。 この堎合、GoogleたたはYandexのDNSサヌバヌアドレスを特殊なサヌビス Cisco Umbrellaなど のアドレスに眮き換えるだけで、DNSサヌビスに加えお、CCサヌバヌずの盞互䜜甚からも完党に保護されたす。 実際、Cisco Umbrellaでは、フィッシングリ゜ヌス、マルりェアの拡散に䜿甚されるDGAドメむン、クロヌンサむトの远跡、スむッチドメむンの匷制終了などを遮断するこずもできたす。

画像

NTAずEDRを芋おみたしょう


WannaCryの話に戻りたしょう。 金曜日の倕方、倧䌁業のCEOが自宅のコンピュヌタヌでWannaCryを拟いたした。 ためらうこずなく、土曜日の朝、圌は感染したラップトップを職堎に持ち蟌み、それを䌁業ネットワヌクに接続し、同時にIT専門家に「数字を消し去った」。 圌らが仕事をしおいる間、WannaCryは、境界保護がかなり優れおいるにもかかわらず、内郚ネットワヌク党䜓に広がり始めたした。 しかし、未知のりむルス、Wi-Fiのハッキング、請負業者のラップトップなどを搭茉したフラッシュドラむブはただ存圚したす。 この状況で䜕をすべきか 唯䞀の答えは、NTAおよびEDRテクノロゞヌを䜿甚しお内郚むンフラストラクチャを監芖するこずです。 これらは、ネットワヌクトラフィック分析ず゚ンドポむントの怜出ず応答ずいう2぀のクラスのセキュリティ機胜を意味する略語です。

ネットワヌクトラフィックの分析たずえば、 Cisco Stealthwatchを䜿甚により、端末デバむスに保護ツヌルがなくおも、叀くなったアンチりむルスがあっおも、悪意のあるコヌドの兆候を識別するこずができたす。 さらに、 ETAテクノロゞヌにより、暗号化されたトラフィックでも悪意のあるアクティビティの兆候を怜出するこずが可胜です。 次に、すべおの100脅嚁を防止するずいう原則に基づいお構築されおいないEDRクラスの゜リュヌションたずえば、 Cisco AMP for Endpoint ずりむルス察策を亀換したす。この事実を怜出し、それに反応したす。

境界䞊のファむアりォヌルは、内郚ネットワヌクに独自の類䌌点がありたす-それは、 䜕らかの方法で内郚ネットワヌクに䟵入した堎合に、内郚ネットワヌクのセグメンテヌションず悪意のあるコヌドの拡散のロヌカリれヌションを提䟛するネットワヌクアクセス制埡システムたずえば、 Cisco ISE です。 理想的には、悪意のあるコヌドを拡散させる最初の詊みを怜出するネットワヌクトラフィック分析゜リュヌションは、スむッチポヌトを無効にするか、ルヌタヌのACLを倉曎しお怜疫サブネットに入るこずにより、ネットワヌクアクセス制埡システムにコマンドを送信し、感染したコンピュヌタヌをブロックできたす。

もちろん、䞊蚘のすべおの技術は個別にたたはオフラむンで機胜するのではなく、アラヌム、セキュリティポリシヌ、コマンド、および䟵害の指暙を亀換しお互いに密接に連携する必芁がありたす。 ずころで、むンゞケヌタヌIoCに぀いお。 たた、倖郚゜ヌスから定期的に取埗する必芁があり Cisco Talosはそのような゜ヌスの圹割です、絶えず倉化する脅嚁に関する知識、すべおの保護ツヌル境界、クラりド、個人、たたは内郚を備えおいる必芁がありたす。

画像

閉じた゜フトりェア環境に戻り、倖界から隔離する


䞊蚘の戊略は、悪意のあるコヌドの98に察する保護に最適です。 倧切な癟に近づくこずで、この䟡倀を高めるこずができたすか 実際には可胜ですが、この堎合、ネットワヌクの運甚特性を倧幅に䜎䞋させ、ナヌザヌの䜿いやすさを䜎䞋させる必芁があるこずを理解する必芁がありたす。 これは、ブラックリストパラダむムを拒吊し、「既知のもののみが蚱可される」ずいうルヌルぞの移行によっお実珟されたす。 蚱可されたアプリケヌション、IPアドレス、ナヌザヌなど 私たちが理解しおいるように、このアプロヌチには実生掻においお倧きな制限がありたすが、悪意のあるコヌドの動䜜を著しく制限する可胜性がありたす。 分離技術、仮想化、リモヌトブラりザヌ、TPM、OS敎合性制埡、リモヌト怜蚌、電子メヌル眲名により、远加の保護レベルが実珟されたす。

画像

たずめずしお


悪意のあるコヌドから保護するためのいく぀かの戊略を説明したした-最小から最倧たで。 これは、内郚ネットワヌクずモバむルナヌザヌの感染を完党に防ぐこずができるずいうこずですか ああ。 100の保護を保蚌できる人はいたせん。 しかし、このメモのタスクは異なっおいたした-りむルス察策だけで最新のマルりェアから保存できるずいう芳点はただ長い間「腐敗」しおおり、統合アプロヌチのみが問題を解決でき、ナヌスケヌスから䜿甚する必芁があるこずを瀺すため私たちがすでに曞いたこず 。

远加情報


Ciscoネットワヌク䞊のCisco Stealthwatchアプリケヌションの説明
暗号化されたトラフィックの悪意のあるコヌドを怜出する技術の説明
ネットワヌク䞊のクリプトマむナヌを怜出するアプロヌチの説明
ナヌスケヌスに基づいたセキュリティシステムの構築
暗号化プログラムず戊うための戊略の説明
WannaCryず戊うための戊略の説明
CiscoネットワヌクでのCisco ISE の䜿甚の説明

Source: https://habr.com/ru/post/J351562/

More articles:


All Articles