Współpraca sposobem na walkę z pandemią złośliwego oprogramowania

1 Check Point Software Technologies, H1N1, Margaret Chan

„Charakterystyczną cechą pandemii jest to, że rozprzestrzenia się natychmiastowo we wszystkich zakątkach świata… Wszyscy razem jesteśmy narażeni i wszyscy razem musimy sobie z tym radzić”. Tak mówiła dr Margaret Chan, szefowa WHO, gdy na początku 2009 wybuchła pandemia H1N1, czyli świńskiej grypy. Jednak mogła równie dobrze mówić o zagrożeniach związanych ze złośliwym oprogramowaniem.

Według badania Ponemon Institute z maja 2012 roku, w ciągu ostatnich dwóch lat 35% brytyjskich firm padło ofiarą złośliwego oprogramowania opartego na technolgiach webowych, a 29% zostało zaatakowane za pomocą APT. Jednak mniej niż połowa przedsiębiorstw posiada odpowiednią ochronę do walki z zaawansowanymi zagrożeniami, takimi jak botnety. Tego typu wirusy działają już na skalę globalną – jak pandemia. Szacuje się, że niemal jedna czwarta wszystkich komputerów podłączonych do Internetu jest elementem sieci botnet. W 2011 roku TDL Botnet prawdopodobnie zainfekował ponad 4,5 miliona komputerów i atakował około 100 000 unikalnych adresów dziennie.

Jedną z najistotniejszych przyczyn tak szybkiego rozprzestrzeniania się botów oraz innych form zaawansowanych wirusów jest to, że cyberprzestępcy atakują kilka firm jednocześnie, aby zwiększyć prawdopodobieństwo sukcesu. Zupełnie jak ich odpowiedniki w świecie medycyny, wirusy komputerowe rozwijają się i stają się coraz bardziej złożone. Botnety są z natury polimorficzne, potrafią udawać zwykłe aplikacje i symulować wzorce ruchu w sieci. Wszystko to sprawia, że bardzo trudno je zwalczyć korzystając z tradycyjnych rozwiązań antywirusowych opartych o sygnatury.

Co więcej, boty są zaprojektowane tak, aby działały po cichu. Większość firm nie ma więc pojęcia o tym, że ich sieci zostały zainfekowane, a pracownicy działów bezpieczeństwa często nie mają odpowiednich narzędzi aby widzieć wszelkie działania podejmowane przez botnety. Z tego właśnie wynika szybkie rozprzestrzenianie się nowych zagrożeń, liczne infekcje na skalę globalną czy pojawiające się ciągle straty.

Samotna walka

Istnieje jeszcze jeden bardzo istotny czynnik składający się na problem rozprzestrzeniania wirusów. Nawet jeżeli tysiące firm zostanie zaatakowane przez botnety, to i tak na ogół każda z nich zwalcza zagrożenie osobno i rozpoczyna działania już po infekcji. W wielu przypadkach ochrona przeciw złośliwemu oprogramowaniu działająca w danej organizacji mogła nie posiadać odpowiedniej aktualizacji pozwalającej na wykrycie infekcji lub warstwowej ochrony do powstrzymania jej skutków. Można to porównać do walki z chorobą polegająca na koncentrowaniu się tylko na tych, którzy już zostali zainfekowani. Czy nie lepszym podejściem byłoby zaszczepić się przeciwko infekcji, tak aby wirus nie mógł rozprzestrzeniać się dalej?

Tak naprawdę to dzięki międzynarodowej współpracy środowiska medycznego udało się zażegnać epidemię H1N1. WHO współpracowało lokalnie z poszczególnymi ministerstwami zdrowia w różnych państwach a następnie przekazywało informację dalej, koordynując obieg wiadomości. Czemu więc przedsiębiorstwa nie mogłyby działać w ten sam sposób i dzielić między sobą danych o zagrożeniach, które właśnie się pojawiają?

Zamykanie okien

W efekcie doprowadziłoby to do tego, że firmy stałyby się częścią globalnej sieci czujników zagrożeń – zamykałyby okno czasowe między wykryciem nowego ataku a zdolnością do obrony przeciwko niemu. Według ostatnich badań w ponad 85% przypadków potrzeba było tygodni, a nawet więcej, aby wykryć fakt włamania przez cyberprzestępców. Gdyby firmy mogły dzielić się informacjami na temat zainfekowania botami lub złośliwym oprogramowaniem zaraz po tym, jak zostały wykryte w ich sieciach, najważniejsze cechy charakteryzujące atak (takie jak adresy IP, URL czy DNS atakującego) mogłyby być udostępniane w chmurze, co w ciągu kilku minut skutkowałoby aktualizacją bazy informacji na temat nowego zagrożenia.

Na przykład mogłoby to pozwolić natychmiastowo udostępnić dane na temat ataku wykrytego w Japonii. Przedsiębiorstwa na całym świecie otrzymałyby niezbędną wiedzę, a ich systemy bezpieczeństwa zostałyby uaktualnione tak, aby były w stanie zablokować atak. Mogłoby to wiązać się z zamknięciem portu na firewallu, aktualizacją systemu Intrusion Prevention lub wgraniem łatki do oprogramowania lub systemu operacyjnego – w każdym razie dzięki takiej wiedzy, firmy mogłyby zabezpieczyć się poprzez profilaktykę.

Nie tylko indywidualne firmy mogą czerpać korzyści z takiego podejścia –dotyczy to również ogólnej strefy biznesowej i społeczności internetowej. Przy zmniejszeniu liczby zainfekowanych danym agentem sieci i maszyn, rozpowszechnianie się infekcji zwalnia – w związku z tym zmniejsza się szansa, że atak osiągnie masę krytyczną i stanie się epidemią. Jak mówi przysłowie – lepiej jest zapobiegać niż leczyć.

Podsumowując, w ramach walki z zagrożeniami płynącymi ze złośliwego oprogramowania, przedsiębiorstwa powinny współpracować i dzielić się danymi na temat wirusów w celu spowolnienia rozprzestrzeniania się infekcji, zmniejszenia skutków ataków i poprawienia ogólnego stanu bezpieczeństwa. W przypadku bezpieczeństwa Internetu, wszyscy jesteśmy narażeni – powinniśmy więc współpracować, żebyśmy wszyscy sobie z tym poradzili.

O spółce Check Point Software Technologies Ltd.

2 Check Point Software Technologies, H1N1, Margaret ChanSpółka Check Point Software Technologies Ltd. (www.checkpoint.com), światowy lider w dziedzinie bezpieczeństwa w Internecie zapewnia swoim klientom bezkompromisową ochronę przed wszelkiego typu zagrożeniami, redukując przy tym złożoność systemów bezpieczeństwa i obniżając koszty utrzymania. Check Point stał się pionierem w branży wprowadzając FireWall-1 i opatentowaną technologię stanowej analizy pakietów. Obecnie Check Point w dalszym ciągu pozostaje spółką innowacyjną, rozwijając modułową architekturę Software Blade, która dostarcza elastycznych i prostych rozwiązań z możliwością pełnego dostosowania do specyficznych potrzeb danej organizacji. Check Point to jedyny dostawca wychodzący poza technologię, traktując bezpieczeństwo jak proces biznesowy. Technologia Check Point 3D Security w unikalny sposób łączy polityki bezpieczeństwa, zaangażowanie ludzi oraz sposób wdrażania w celu jeszcze lepszej ochrony cennych danych i ułatwiania organizacjom tworzenia planów bezpieczeństwa odpowiadających potrzebom przedsiębiorstwa. Wśród klientów Check Point znajdują się dziesiątki tysięcy przedsiębiorstw i organizacji wszelkich rozmiarów, również tych z listy Fortune 100. Nagradzane rozwiązania ZoneAlarm autorstwa Check Point chronią miliony klientów przed hakerami, oprogramowaniem szpiegowskim i kradzieżą tożsamości.

W Polsce dystrybutorami produktów Check Point są firmy  Clico Sp. z o.o. (www.clico.pl) oraz RRC Poland Sp. z o.o. (www.rrc.pl).

PRportal.pl – informacje prasowe dla biznesu