Reaktív és proaktív malware-védelem

Share this:

Mi a célja a malware-támadásnak?

Ha egy rosszindulatú aktor úgy dönt, hogy megtámad egy weboldalt, akkor azokon keresztül sebezhető számítógépek sokaságát keresheti. Ez lehet több száz vagy több ezer számítógép. A célja, hogy találjon egy hibát és automatizált szoftverekkel kártékony kódot telepítsen, botnet hálózatot létrehozva. Innentől a támadott számítógépek a hackert szolgálják. Ezeket felhasználhatja kriptobányászatra, vagy éppen zsarolóvírus, kémszoftver telepítésére, melyekből ugyancsak haszna lehet. A lehetőségek száma szinte végtelen.

Reaktív és proaktív védekezés

  • Folyamatban lévő támadás érzékelése és blokkolása → reaktív védelem:
    • Behatolásérzékelés
    • Végfelhasználói monitorozás (Pl.: SIEM):
      • Változás a helyi biztonsági mentést kezelő szolgáltatásokban
      • Fileok dátumának változása tömegesen
    • Tartalomszűrés, forgalomvizsgálat (IDPS):
      • Kapcsolat blokkolása ismert Command&Control IP csoportokkal
      • Szokatlan tevékenység szűrése SMB-n vagy kódolt hálózati forgalmon
      • Emailek csatolmányainak fehérlistázása, az indítható tartalommal szembeni védekezés érdekében (illetve ezek on-the-fly vizsgálata szignatúra alapján)
      • Javascript és Web Feature Service szkriptek, illetve makrótartalmú dokumentumok valós idejű szkennelése és blokkolása, ha lehetséges (ez fölvethet usability problémákat weboldalaknál, ezért óvatos tesztelés javallott), emellett a tömörített állományok szkennelése/eldobása
    • Ismert Malware-ek detektálása és blokkolása
    • Emberi erő szükséges, aki figyeli az esetleges anomáliákat a rendszerben
    • Támadók gyakran szereznek felhasználói identitást a rendszerben, hogy feltünés nélkül tudjanak tevékenykedni. Ezért fontos figyelni a felhasználók tevékenységét (UBA), illetve a baseline-tól eltérő magatartású felhasználókat karanténba helyezni és ellenőrizni (fontos a sorrendiség, érdemes előbb lőni és aztán kérdezni, majd finomhangolni)
  • Jövőbeli támadások elkerülése → proaktív védelem:
    • Megpróbáljuk elérni, hogy a mi hálózatunkon, weboldalunkon kevesebb sebezhetőség legyen mint a többiekén, így a hacker a kisebb ellenállás felé fog húzni és azt támadja akit könnyebb megfertőzni.
    • Csak friss és hibajavított szoftvereket telepítsünk, alkalmazzunk etikus hackereket akik tanácsot adnak a sebezhetőségek kezelésével kapcsolatban, illetve megtalálják azokat.
    • Használd a legkisebb jogosultság elvét. Nagyon kevés szervezetnél van arra szükség, hogy mindenki rendszergazda legyen. Érdemes kerülni a hálózati írási jogosultságokat, illetve a szervezet jogosultságmenedzsmentjét szerepkör alapúra kialakítani.
    • Légy naprakész, olvass utána a legújabb malwere-eknek, jó ha tudod, hogy hogy működnek, milyen fileneveket használ, milyen processzeket nyit meg. Ezeket hozzá lehet adni a FSRM(Windows filekiszolgáló) tiltólistájához.

Mint látszik ezek egymást kiegészítő megoldások, így a jó védelem érdekében mindkettőre szükség van. Automatizát támadás ellen a proaktivitás a nyerő, míg a nulladik napi támadásokkal szemben a reaktív védelem hatékony.

Ha megtörténik a baj

  • Érdemes a fertőzött rendszert először karanténba helyezni, majd újratelepíteni, ehhez:
  • Ellenörzött, jól működő biztonsági mentés nagyon fontos. A munka és a befektetés ami vele jár megtérül, ha adatvesztést kerülünk el vele.
    • A rendszert visszaállítás után is ellenőrizni kell, hátha régebbről bent maradt egy fertőzés.
  • Emellett érdemes lementeni a fertőzött gép merevlemezének és memóriájának tartalmát, hogy digital forensics szakemberek segítségével meg lehessen határozni, honnan érkezett a fertőzés, illetve mennyire terjedhetett el. Egy ilyen vizsgálat emellett képes kideríteni a fertőzés indulásának pontos idejét és rámutathat egy esetleges belső visszaélésre is, ahol az alkalmazott így próbálja eltüntetni a nyomait.

Felhasználói kártevőprevenció

A jó biztonságú rendszert is meggyengítheti a felhasználók felkészületlensége, így érdemes figyelni a következő pontokra:

  • Ne fizess kártevő tulajdonosának, ez csak bátorítja és ösztönzi a támadót. Még ha fizetsz is neki, semmi nem garantálja, hogy visszakapod az adataidat.
  • A fertőzött fájlokat állítsd vissza biztonsági mentésből. Ez a leggyorsabb módja annak, hogy visszaszerezd az adataidat.
  • Ne adj ki személyes információt ismeretleneknek e-mailben, telefonon vagy üzenetben. Az adathalászok megpróbálják átverni a munkavállalókat támadás, vagy információszerzés céljából. (Például hívhatnak munkatársnak kiadva magukat, hogy emailekre, jelszavakra lenne szükségük. Ilyenkor érdemes kérni egy telefonszámot, ahol vissza lehet hívni őket. Nem fognak adni.)
  • Használj megbízható városirtó szoftvert és tűzfalat. Az erős tűzfal és a vírusírtó naprakészen tartása kulcsfontosságú. Megbízható forrásból szerezd be ezeket, mert sok hamisítvány létezik. Amennyiben a szervezet mérete indokolja (több, mint öt fő), egy újgenerációs tűzfal beszerzése erősen javasolt, mely a hálózat és az internet között helyezkedik el és megannyi védelmi szolgáltatással rendelkezik (IDPS, On-The-Fly víruskeresés, beállíthatóság, nem hemzseg a hibáktól, mint a szolgáltatói routerek, lásd UPC Ubee és rossz véletlenszerű jelszavak, vagy Compal Connect Boksz és Intel Puma Chipset DoS)
  • A bejövő e-maileket vizsgálni célszerű, és tiltani azokat a csatolmánytípusokat amik veszélyt jelenthetnek. Az Office fájlok tartalmazhatnak makrókat ami képes kártékony kódot futtatni, ezért érdemes úgy beállítani az Office-t, hogy csak bizonyos fájlok esetében engedélyezze a futtathatóságot.
  • Ellenőrizd, hogy a szoftvereid friss verzióval üzemeljenek. Az idő előrehaladtával minden alkalmazás sérülékennyé válik, ezért a gyártók folyamatosan frissítenek. Ha egy szoftver a gyártói életciklusa végére ért, akkor a lehető leghamarabb le kell cserélni (lásd Windows XP). Egy ilyen csere még a licenszek árával és esetlegesen újraírt szoftverekkel is olcsóbb, mint egy esetleges ransomware, mely megsemmisíti a cég többéves munkáját.
  • Ha el kell utaznod tájékoztasd előre az IT részleget, hogy valószínűleg nyilvános wifit kell majd használnod. Győződj meg róla hogy biztonságos VPN-t használsz amikor nyilvános Wifire csatlakozol. De inkább ne használj azt, a mobilnet olcsóbb, mint az adatvesztés, emellett meg ma már minden telefon képes megosztani az internetkapcsolatát, wifin keresztül (igen, az Iphone is, asszem)
  • És így a végére, mert ebből sosem elég: kell egy normális backup-terv, illetve kétféle backup, egy online, mely minimum napi rendszerességű és azonnal elérhető, illetve egy offline, mely legalább hetente történik és csak akkor van csatlakoztatva, amikor éppen zajlik. Ez KKV környezetben is kivitelezhető, egy terabájtos külső meghajtó lényegesen olcsóbb, mint amikor kiderül, hogy csak online biztonsági menéts van és az meg sajnos szintén fertőzött.

Other Posts