Obsah:
- Detekcia škodlivého softvéru
- Vysvetľuje zadné vrátka
- Prevencia škodlivého softvéru v komunikácii
- Odstránenie malvéru založeného na hardvéri
Video: Energetika v době krize – Dana Drábová (Septembra 2024)
Vedieť, že existuje niečo ako neviditeľný malware to je mimo dosahu vášho antivírusového softvéru, je dosť desivé. Ale čo keď sa dozviete, že aj keď tieto veci nájdete, možno sa ich nebudete môcť zbaviť? Bohužiaľ, v závislosti od typu hardvéru založeného na hardvéri, o ktorom hovoríme, by to tak mohlo byť.
Detekcia škodlivého softvéru
Našťastie odborníci našli spôsoby, ako sa dá tento neviditeľný malware odhaliť, ale ako keby zbabelci držali krok, existujú aj nové spôsoby, ako ho nainštalovať. Napriek tomu je úloha nájsť niečo o niečo ľahšie. Napríklad nová zraniteľnosť v procesoroch Intel s názvom „ZombieLoad“ môže byť napadnutá prostredníctvom kódu zneužitia dodaného v softvéri. Táto chyba zabezpečenia môže umožniť diaľkové vloženie škodlivého softvéru do systému BIOS počítača.
Zatiaľ čo vedci stále študujú program ZombieLoad, snažia sa zistiť rozsah problému v tomto poslednom kole vyťažení spoločnosti Intel, faktom je, že takéto vyťaženia hardvéru sa môžu rozšíriť v celom podniku. „Firmvér je programovateľný kód, ktorý sedí na čipe, “ vysvetľuje Jose E. Gonzalez, spoluzakladateľ a generálny riaditeľ spoločnosti Trapezoid. „Vo svojom systéme máte kopu kódu, na ktorý sa nepozeráte.“
Tento problém zhoršuje skutočnosť, že tento firmvér môže existovať v celej sieti, a to v zariadeniach od web kamier a bezpečnostných zariadení po prepínače a smerovače do počítačov v serverovej miestnosti. Všetky z nich sú v podstate výpočtové zariadenia, takže každý z nich môže obsahovať škodlivý softvér obsahujúci zneužívajúci kód. V skutočnosti sa práve takéto zariadenia používajú na spustenie útokov typu DoS (útoky proti odmietnutiu služby) z robotov založených na ich firmvéri.
Trapezoid 5 dokáže zistiť prítomnosť škodlivého softvéru založeného na firmvéri prostredníctvom jedinečného systému vodoznakov, ktorý kryptograficky spája firmvér každého zariadenia s akýmkoľvek hardvérom, na ktorom je spustený. Patria sem virtuálne zariadenia vrátane virtuálnych počítačov (VM) nachádzajúcich sa v priestoroch alebo virtuálna infraštruktúra ako služba (IaaS) bežiaca v cloude. Tieto vodoznaky môžu odhaliť, či sa niečo vo firmvéri zariadenia zmenilo. Pridanie škodlivého softvéru do firmvéru ho zmení, takže vodoznak je neplatný.
Trapezoid obsahuje modul na overenie integrity firmvéru, ktorý pomáha odhaliť problémy vo firmvéri a umožňuje bezpečnostnému personálu ich preskúmať. Trapezoid sa tiež integruje do mnohých nástrojov na správu a vykazovanie bezpečnostných politík, takže môžete pridať infikované stratégie zmierňovania infikovaných zariadení.
Vysvetľuje zadné vrátka
Alissa Knight sa špecializuje na problémy s bezpečnosťou hardvéru. Je senior analytička v skupine Aite a je autorom pripravovanej knihy Hacking Connected Cars: Tactics, Techniques and Procedures . rytier uviedol, že odborníci v oblasti IT, ktorí hľadajú skenovanie neviditeľného škodlivého softvéru, pravdepodobne budú potrebovať nástroj, ako je Trapézoid 5. Nič menej špecializovaného nebude. „Je tu základný aspekt zadných dvier, ktoré ich sťažujú odhalenie, pretože čakajú, až ich niektoré spúšťače zobudia, “ vysvetlila.
Knight povedal, že ak takéto backdoor existuje, či už je to súčasť útoku škodlivého softvéru alebo existuje z nejakého iného dôvodu, potom je najlepšie zabrániť tomu, aby ste ho ovládali tak, že im zabráni odhaliť ich spúšťače. Poukázala na výskumnú správu spoločnosti Silencing Hardware Backdoors , ktorú zverejnili Adam Waksman a Simha Sethumadhavan, obaja Laboratórium počítačovej architektúry a bezpečnostnej technológie, Katedra počítačov na Columbia University.
Výskumy Waksmana a Sethumadhavana ukazujú, že týmto spúšťačom škodlivého softvéru možno zabrániť v práci tromi technikami: Po prvé, obnovenie napájania (pre malware rezidentný v pamäti a útoky založené na čase); po druhé, zmätenie údajov; a po tretie, prerušenie sekvencie. Zmätenie zahŕňa šifrovanie údajov vstupujúcich do vstupov, ktoré môžu zabrániť rozpoznávaniu spúšťačov, ako aj náhodný výber príkazového toku.
Problém s týmito prístupmi spočíva v tom, že môžu byť nepraktické v prostredí IT pre všetky, okrem najdôležitejších implementácií. Knight poukázal na to, že niektoré z týchto útokov budú pravdepodobne viesť útočníci sponzorovaní štátom ako počítačoví zločinci. Je však potrebné poznamenať, že títo štátom podporovaní útočníci idú po malých až stredne veľkých podnikoch (SMB) v snahe získať informácie alebo iný prístup k svojim konečným cieľom, takže profesionáli SMB IT nemôžu jednoducho ignorovať túto hrozbu ako príliš sofistikovanú uplatniť sa na ne.
Prevencia škodlivého softvéru v komunikácii
Jednou stratégiou, ktorá funguje, je však zabrániť tomu, aby malvér komunikoval, čo je pravda pre väčšinu škodlivého softvéru a zadných vrát. Aj keď sú tam, nemôžu robiť nič, ak nemôžu byť zapnuté alebo ak nemôžu posielať svoje užitočné zaťaženie. Môže to urobiť dobrý prístroj na analýzu siete. „musí komunikovať s domácou základňou, “ vysvetlil Arie Fred, viceprezident pre produktový manažment v spoločnosti SecBI, ktorý používa systém detekcie a reagovania hrozieb na báze umelej inteligencie (AI) na zabránenie malvéru v komunikácii.
„Používame prístup založený na protokole pomocou údajov z existujúcich zariadení, aby sme dosiahli úplnú viditeľnosť, “ uviedol Fred. Tento prístup sa vyhýba problémom spôsobeným šifrovanou komunikáciou zo škodlivého softvéru, ktorý niektoré typy systémov na zisťovanie škodlivého softvéru nedokážu zachytiť.
„Môžeme robiť autonómne vyšetrovania a automatické zmierňovanie, “ uviedol. Týmto spôsobom je možné sledovať a blokovať podozrivú komunikáciu zo zariadenia do nečakaného cieľa a tieto informácie je možné zdieľať kdekoľvek v sieti.
Odstránenie malvéru založeného na hardvéri
Možno ste našli nejaký neviditeľný malware a možno sa vám podarilo zablokovať konverzáciu so svojou materskou loďou. Všetko v poriadku, ale čo sa toho zbaviť? Ukázalo sa, že to nie je ťažké, môže to byť nemožné.
Z tých prípadov, v ktorých je to možné, je okamžitým riešením vyliečenie firmvéru. To môže malware vylúčiť, pokiaľ neprešlo vlastným dodávateľským reťazcom zariadenia. V takom prípade by ste malvér znova len načítať.
- Najlepšie softvér pre monitorovanie siete pre rok 2019 Najlepšie softvér pre monitorovanie siete pre rok 2019
- Najlepšie softvér na odstránenie a ochranu malwaru za rok 2019 Najlepšie softvér na odstránenie a ochranu malwaru za rok 2019
- Neviditeľný malvér je tu a váš bezpečnostný softvér ho nemôže chytiť Neviditeľný malvér je tu a váš bezpečnostný softvér ho nemôže chytiť
Ak prehodíte, je tiež dôležité sledovať, či sa v sieti nenachádzajú známky reinfekcie. Tento malware sa musel niekde dostať do vášho hardvéru a ak nepochádzal od výrobcu, potom je určite možné, že ho ten istý zdroj pošle znova, aby sa obnovil.
To sa však scvrkáva viac sledovania. To by pokračovalo v monitorovaní sieťovej prevádzky na výskyt príznakov malvérovej komunikácie, ako aj na uchovávaní kariet v rôznych inštaláciách firmvéru zariadenia kvôli príznakom infekcie. A ak monitorujete, možno zistíte, odkiaľ pochádza a tiež to eliminujete.
