Cyberskyddet har utvecklats

Modernt skydd överger inte testade säkerhetsmetoder. De utvecklas till bättre och mer heltäckande metoder.

Författare: Christer Spörndly
Datum: 09.03.2016
Lästid: 4 Minuter

De senaste åren har vi sett artiklar som till och från säger att antivirus är dött, och att det inte räcker för att skydda företag mot moderna attacker. Ett nytt exempel på det är detta från Forbes.

Berättelser som denna får oss inom cyberförsvars-industrin att känna oss roade och förbryllade. Vi är roade eftersom det antivirus dessa artiklar vill döda, inte har funnits sedan 2008, så för oss är detta det gamla sättet att göra saker på. Samtidigt är vi förbryllade för hur vi ska förklara för människor att deras syn på området inte är det senaste.

Speciellt sedan det finns ”next generation”-leverantörer som utnyttjar den här typen av förvirring på marknaden.

Det gamla sättet att skydda sig mot attacker baserar sig helt enkelt på motorer som skannar efter antivirus, där programmet använder en databas med AV-signaturer för att upptäcka känd skadlig kod i Windows eller andra datorfilssystem. Dessa har inte varit i framkant för att skydda sig de senaste åtta åren. Motorer som skannar efter skadlig kod började förlora i effektivitet omkring 2006, då servergenererade sabotageprogram började bli standard.

Detta betyder, att det var då som det blev känt att AV-industrin började leta efter en ny lösning.

Det huvudsakliga problemet med skannings-motorer är att de som attackerar lätt kan sätta upp en testmiljö med alla vanliga antivirusprogram och testa ny skadlig kod, tills dom lurar AV-skanningen. Inte nog med det, eftersom hackare tycks ha obegränsat med tid, möjliggör det för dom att kunna modifiera skadlig kod så att den inte upptäcks.

Den här situationen syns tydligt i olika ”tester” där en forskare laddar upp ny kadlig kod till VirusTotal eller andra stora stickprovs-insamlare som använder AV-skanningsmotorer som ett trick att få folk att ladda upp testprogram.

Sådana tester är felaktiga av två anledningar; för det första, för de skyddslager som aktiveras innan AV-motorn och för det andra, även för saker där vi fortfarande använder AV-motorer håller vi dom mest användbara metoderna för att upptäcka borta från VirusTotal.

Ja, så helt klart; det gamla sättet att lita på antivirus-databaser och skanningsmotorer är dött, och har vilat i frid i många år. Trots att många produkter använder skanningsmotorer (inklusive F-secure) som en sista försvarslinje och för att städa upp, förlitar vi oss inte enbart på dessa skanningsmotorer för att ge ett fullt skydd.

Under Januari 2013  postade vi en artikel som förklarar grunderna i hur antivirus (eller cyberförsvar) har utvecklats sedan skanningsmotorerna. Naturligtvis stannade inte utvecklingen 2013.

Grundidén i ett modernt skydd är att förstå hur attackerna fungerar. Istället för att jaga blottorna en dag och skadlig kod den andra, koncentrerar vi oss på de resurser som de som attackerar behöver för att kunna lyckas och neka åtkomst för dessa resurser.

För närvarande är den mest effektiva metoden i skyddsarsenalen att begränsa ytan som är tillgänglig för de som attackerar. Speciellt försöker vi att identifiera exploateringspaketet eller andra attacker via trafikmönster, eller helt enkelt neka access till Java, Flash eller andra farliga element när det kommer till okända resurser.

Det betyder att i de flesta fall har den som attackerar ingenstans att ta vägen, beroende på att dom inte kan kontakta offret, eller att de inte kan skicka innehållet som innehåller exploateringspaketet som ska användas för att attackera offret.

Om det förebyggande faller för att kunna kontakta, kommer vi att använda andra metoder som generellt upptäcker exploateringspaket eller upptäcker beteendeförändring i utnyttjade applikationer. Slutet är detsamma – att förebygga exploateringspaketet som kan ta över offrets system.

Om paketet kan köras kan vi fortfarande fånga det genom att övervaka beteendet, molnbaserade analyser eller liknande.

Men i de flesta fall har vi kunnat försvara oss mot attacken innan uppdateringen till skanningsmotorn anländer.

Och medans det mesta skyddet sker genom mer avancerade metoder, skanningsmotorer är fortfarande användningsbara i vissa fall. När ett sabotageprogram väl är känt kan vi använda motorerna att distribuera skyddet till alla klienter. Det tillåter att kända hot kan upptäckas långt ut i nätet – vilket mer generiska metoder inte kan klara. Skanningsmotorer tillåter också stora mängder av stickprov att identifieras och kategoriseras, vilket hjälper till att spara energi. I det här sammanhanget kan skanningsmotorer ses som grön teknologi.

Plus att skanningsmotorn inte behöver finnas ute i slutanvändarnas klienter. Vi erbjuder redan ”outsourcad” server baserad skanning i våra företagstjänster, i vilka slutanvändarnas arbetsstationer skickar filer som ska skannas på företages skannings server. Vi håller också på med en prototyp med samma angrepp för våra konsumenttjänster, så mest troligt kommer skanningsmotorer i framtiden bara att finnas i företags eller molnbaserade servrar. Och visst ja, dom där ”nextgen” företagen använder också skanningsmotorer. Dom kallar dom istället för IOC (indicator of compromise) skannrar.

Skrivet av Jarno Niemelä, Senior Researcher, F-Secure Labs

[Foto av Alexandre Dulaunoy | via Flickr]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s