"Wipery" – wirusy odpowiedzialne za atak na Sony Pictures
Dwadzieścia lat temu Stephen Hawking, światowej klasy fizyk i autor wielu książek popularno-naukowych powiedział, że wirusy komputerowe powinny być traktowane jako forma życia, gdyż wykorzystują „metabolizm" zainfekowanych komputerów zupełnie jak pasożyty. Kolejne dwie dekady pokazały, że w tych słowach kryje się wiele prawdy: liczba komputerowych infekcji wzrasta wykładniczo, a wirusy ciągle ewoluują. W 2013 roku zaobserwowano pojawienie się tzw. ransomware (ang. ransom - okup), które kryminaliści wykorzystują w celu szantażowania firm, żądając okupu za wykradzione dane.
Kolejny etap tej ewolucji nastąpił podczas niedawnego ataku na Sony Pictures Entertainment, opisywanego jako największy z dotychczasowych ataków na jakiekolwiek przedsiębiorstwo. W jego wyniku wiele z komputerów w sieci firmowej pozostało bez dostępu do sieci przez tydzień. Przy ataku wykorzystano tzw. wipery (ang. wipe - kasować), które nadpisują całą zawartość dysku twardego, trwale uniemożliwiając korzystanie z komputera. Naprawa jest wyjątkowo kosztowna, gdyż dysk musi być wymieniony lub nagrany od nowa, a dane są praktycznie nie do odzyskania korzystając z ogólnie dostępnych metod.
Skala i cel ataku spowodowały, że FBI opublikowało specjalny alert, w którym ostrzega inne organizacje o potencjalnym zagrożeniu, zwracając szczególną uwagę na fakt, że użyte złośliwe oprogramowanie nie było wykrywane przez programy antywirusowe. Firmy nie mogą w łatwy sposób ustrzec się przed takimi atakami, gdyż ich systemy obronne go „nie widzą".
Niezauważony, nieznany
Problem stanowi fakt, że nowe, nieznane złośliwe oprogramowanie jest wydawane w zastraszającym tempie. Cyberprzestępcom nie sprawia trudności wprowadzanie drobnych zmian w kodzie powodując, że ich wirusy są ignorowane przez aktualne bazy sygnatur wirusów, co sprawia, że firmy stają się podatne na nowe ataki. Raport Bezpieczeństwa 2014 firmy Check Point, w którym przeanalizowano miliony incydentów bezpieczeństwa spośród ponad 10 000 organizacji na całym świecie wskazuje, że w firmach nowe, nieznane złośliwe oprogramowanie pobierane jest średnio co 27 minut. To oznacza około 50 infekcji dziennie.
Co więc mogą zrobić firmy, aby ustrzec się przed nieznanym, destruktywnym oprogramowaniem? Jako pierwszy krok, ważne jest wprowadzenie dobrych praktyk rekomendowanych w celu zabezpieczenia komputera przed dowolną infekcją:
- Upewnij się, że baza wirusów programu antywirusowego jest aktualna
- Upewnij się, że system operacyjny oraz wszystkie używane aplikacje mają zainstalowane najnowsze aktualizacje
- Zainstaluj obustronny firewall na każdym PC
- Przeprowadź szkolenie użytkowników z zakresu najczęściej stosowanych sztuczek socjotechnicznych, zwracając szczególną uwagę na niebezpieczeństwo pobierania nieznanych załączników
Nawet jeżeli złośliwe oprogramowanie jest w stanie uniknąć wykrycia przez oprogramowanie antywirusowe, niektóre z jego działań mogą zostać zablokowane przez firewall lub najnowsze patche. Niestety, wymienione wyżej dobre praktyki nie zawsze są w stanie ustrzec firmę przed nowymi atakami. Nawet świadomy potencjalnych niebezpieczeństw pracownik może nieumyślnie kliknąć na załącznik e-mailowy, powodując zarażenie.
Na kłopoty sandbox
Aby uchronić się przed nowymi, nieznanymi zagrożeniami, stosuje się technikę bezpieczeństwa zwaną sanboxing (ang. sandbox - piaskownica). Pozwala ona zidentyfikować oraz wyizolować nieznane złośliwe oprogramowanie, zanim zostanie ono wpuszczone do sieci, a dzięki temu zapobiec infekcji. Mechanizm ten umożliwia przeanalizowanie zawartości plików często używanych w biznesie - e-maili, dokumentów Word, PDF-ów, arkuszy Excel itp. - aby sprawdzić, czy nie zawierają one złośliwego oprogramowania, co jest bardzo popularną metodą infekowania komputerów. Może on działać na głównej bramie dostępowej sieci firmowej lub jako usługa w chmurze.
Wszystkie pliki przechodzące przez system emulacyjny zostają przebadane w wydzielonym, wirtualnym środowisku nazywanym sandbox. W nim plik jest otwierany i badany w czasie rzeczywistym pod kątem wszelkiej podejrzanej działalności, takiej jak dodawanie wpisów do rejestru czy nawiązywanie połączeń sieciowych. Jeżeli zachowanie pliku zostaje sklasyfikowane jako podejrzane lub złośliwe, plik zostaje zablokowany i umieszczony w kwarantannie, co zapobiega możliwości infekcji i wyrządzenia szkód.
Cały opisany proces przebiega transparentnie dla większości plików, co sprawia, że odbiorca wiadomości nie dostrzeże żadnej zwłoki w działaniu usług pocztowych, natomiast wszystkie informacje o zachowaniu pliku są dostępne dla zespołu IT w szczegółowym raporcie o zagrożeniach.
Emulacja zagrożeń jest kluczową i niezbędną warstwą zabezpieczeń dla firm. Działa ona jak bariera, która blokuje złośliwe „formy życia" przed atakowaniem sieci. Pomimo, że nigdy nie będziemy w stanie wyeliminować tych zagrożeń, sandboxing z pewnością może pomóc zapobiec wyczyszczeniu cennych firmowych danych i zasobów.
Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL