Det har varit mycket bråket om ransomware nyligen, och med rätta. Dess prevalens ökade med 59% år 2017 och fjärde kvartalet visar att det inte saktar ner. Det är skrämmande - att förlora data innebär att pengar, affärer, immateriella rättigheter och kunder förloras. Ännu mer alarmerande, ransomware-angripare riktar sig mot det offentliga livet - kommunala system, skolor, sjukhus och andra utsatta höga mål. De flesta av oss tycker det är lättare att förstå ransomware och vad som motiverar angripare - det ger en bättre historia än skrämmande skalskript och fjärrprotokoll.

Ransomware och andra former av skadlig kod går dock långt utöver enkla utnyttjanden för ekonomisk vinning. De förstärker, och ibland ger distraherande täckning för, Advanced Persistent Threats (APTs). Dessa långvariga flerstegsattacker utförs av brottslingar och statssponserade hackare för spionage, legitimation och datatyveri, IP-stöld, bedrägeri, utbredd störning - eller en kombination av dem. APT-stilattacker ökar med en exponentiell takt. En stor bransch av produkter för cybersäkerhet, som går långt bortom tidigare generationens antivirus- och brandväggslösningar, har uppstått för att bekämpa och hantera dessa nya hot på olika stadier av livets livscykel.

Även om APT kan variera avsevärt från varandra finns det en tydlig gemensam nämnare som ligger till grund för varje framgångsrik attack - förmågan att infiltrera ett nätverk, uppehålla sig oupptäckt och genomföra skadliga handlingar. Traditionella försvar, även de mest avancerade som Sandboxing, har alla grundats på antagandet att avancerade tekniker kommer att kunna upptäcka "skadlig avsikt" och skilja den från "god avsikt".

Det här spelet med katt och mus är den viktiga dynamiska formen av säkerhetsbranschen just nu. Men attackerna dominerar alltför ofta, för att de framgångsrikt utvecklar sina tekniker för att arbeta kring heuristikbaserad detektion. Av natur har traditionell försvars teknik en hög grad av feldetektering och falska larm, döljer sårbarheter och skapar ytterligare problem för maxed out säkerhetslag.

För att invertera denna frustrerande och kostsamma dynamik måste vi identifiera en “svagaste länken” vanligt för de flesta cyberattacker som kan ge försvarare överkroppen.

Gemensam grund

För att etablera en beachhead behöver angripare ett sätt att installera en "bit" av körbar kod på en maskin i målnätet. De kommer att använda ett antal metoder för att få en legitim användare att komma åt och aktivera skadligt innehåll (spjutfiskning). För att undvika upptäckt är den körbara koden (aka "skalskod") dold i dataobjekt (kontorsdokument) och utförs genom att utnyttja sårbarheter i vanliga applikationer.

Effekterna av dessa infiltrationer har varit svimlande och fortsätter att spridas. Enligt Cybersecurity Ventures kommer de globala kostnaderna för skadeståndsskada att drabbas av $ 6 biljoner årligen år 2021. Utgifterna för cybersäkerhet kommer att öka produkterna och tjänsterna med mer än $ 1 biljoner under de kommande tre åren. Samtidigt förblir miljontals cybersäkerhetsarbeten ofullständiga på grund av brist på kompetens och otillräckliga utbildningsrörelser.

Det handlar om förebyggande, inte sanering

APT fortsätter att använda en välbekant väg för att uppnå utnyttjande. Enligt Mandiants M-Trends kan detaljer om livscykelutnyttjandet summeras enligt följande:

  • Steg 1: Reconnaissance
  • Steg 2: Initial intrång i nätverket
  • Steg 3: Skapa nätverkets bakdörr
  • Steg 4: Hämta användarbeteckningar
  • Steg 5: Installera olika verktyg
  • Steg 6: Privilege eskalering / sidoförflyttning / Dataexfiltrering
  • Steg 7: Underhåll Persistens

Steg 2 - den ursprungliga intrången - förblir det kritiska steget för APT-operatörer. Att få fotfäste i målmiljön är det primära målet för den inledande intrången. När ett nätverk utnyttjas, placerar angriparen vanligtvis skadlig kod på det kompromissade systemet och använder det som utgångspunkt eller proxy för ytterligare åtgärder. Malware placerad under den inledande intrångsfasen är vanligtvis en enkel nedladdare, grundläggande Remote Access Trojan, eller ett enkelt skal. Problemet är att få cybersecurityverktyg kan upptäcka skalskod med dynamiska packare för vilka inga kända signaturer eller mönster finns tillgängliga.

Det är uppenbart att förebyggande av inbrott tidigt - före behovet av kostsamma lösningar - är den bästa (och billigaste) praxisen för att bekämpa APT. I 60 procent av fallen kan angripare kompromissa med en organisation inom några minuter, men det tar de flesta företag cirka 197 dagar att upptäcka ett brott mot deras nätverk, vilket leder till att kostnaderna för sanering höjs.

Upptäcka den evasiva

Trots stora framsteg och investeringar i säkerhet har angriparna fortfarande kanten, speciellt vid nolldagsangrepp. Traditionell cybersecurity mjukvaran är ofta kontraproduktiv, eftersom den en gång identifierar en skadlig bit innehåll, fortsätter den att analysera den in situ - därigenom utsätta miljön för att det ska förorenas och kompromissa. I ett försök att fortsätta förebygga sig själv behöver du en elegant säkerhetsskyddsarkitektur som är skatteflyktsäker.

En evasionsäkerhetsarkitektur söker systematiskt efter dolda kodinstruktioner - eller andra kommandon som kan indikera skadlig avsikt - och kommer inte att öppna eller exekvera inkommande filer. Genom att titta på koden vs. utnyttjandet inom sig kommer ingen domsdagsanordning att stängas av och plattformen kan fånga någon misstänkt kod, placera den i karantän och granska senare. I slutändan kommer skadlig kod inte till att undvika upptäckt eftersom det aldrig får chansen att utföra sig och sprida sig över nätverket.

På samma sätt kräver det undantagssäkra tillvägagångssättet att analysera och tolka skript, utvärdera varje enskild uttalande linje för rad. Varje eventuellt genomförandeflöde, inklusive villkorade grenar, måste exponeras och normaliseras.

När det gäller skadliga webbadresser, detekterar denna metod exakt och differentierar mellan hyperlänkar och påminner automatiskt fjärrobjekt, vilket ger information om syftet med varje fjärrobjekt och dess beteende. Undviksäker analys bestämmer vilken typ av inbäddning som används - utan att behöva hämta den faktiska fjärrfilen eller objektet - för att kunna räkna ut sin skadliga nivå i realtid och blockera även den mest avvikande skadliga programvaran.

Uppgiften att utvärdera heuristikpoäng, beteendeavvikelser, falska positiva och falska negativa blir snabbt en obestridlig börda för säkerhetslag som redan sträckts tunna. Och när analysen är klar kunde malware ha hittat sig in i ditt nätverk. Genom att inte förlita sig på bakomliggande teknikstackvariationer eller kräva en noggrant curated miljö för runtimeanalys kan en evasionssäker arkitektur vara effektivare när det gäller att stoppa dagens angripare - och skydda mot nya attacker som säkert kommer att utnyttjas i framtiden..

Boris Vaynberg, VD och grundare av Solebit

  • Vi har också markerat det bästa antivirusprogrammet