Cum prevenim atacurile fără fișiere atașate?
Hackerii sunt, probabil, persoanele care se adaptează cel mai repede schimbărilor. Recompensele sunt imediate și extrem de profitabile. Nu cred că greșesc dacă afirm că sunt și fini observatori ai tendințelor din piață și foarte bine informați, la curent cu toate noutățile în materie de tehnologie. Principalul lor obiectiv este să exploateze vulnerabilitățile programelor software, iar, mai nou, și-au îndreptat atenția și către produsele hardware. Securitatea sistemelor IT din companii devine astfel și mai importantă, dar și mai complex de gestionat. La acest lucru se adaugă și faptul că atacurile cibernetice au devenit din ce în ce mai sofisticate, pe măsură ce metodele tradiționale de atac scad în eficiență.
Un exemplu concret în acest sens este metoda care utilizează fișiere cu conținut malware pentru a infecta sistemele informatice din companii. Tehnologiile de securitate au evoluat semnificativ în ultimii ani, fiind mult mai eficiente în detectarea și blocarea fișierelor rău intenționate, prin urmare hackerii s-au orientat către o nouă metodă: atacurile fără fișiere atașate. Practic, exploatează vulnerabilități ale sistemelor, echipamentelor și aplicațiilor pe care le folosiți zilnic pentru a fura date despre companie și alte informații confidențiale.
Cum funcționează, însă, acest tip de atac?
Utilizatorul accesează un link dintr-un mail despre care crede că provine dintr-o sursă de încredere, fiind direcționat către o pagină web care pare autentică. Site-ul accesat funcționează cu Flash, care deschide PowerShell, un instrument care există în fiecare sistem de operare Windows și care distribuie comenzi prin interfața cu utilizatorii. PowerShell se conectează la serverul de comandă și control al atacatorului, de unde descarcă și rulează un document malware care caută datele, le găsește și le trimite atacatorului.
Puteți contracara atacurile fără fișiere? Sigur că da, în primul rând asigurați-vă că instalați patch-uri de securitate și faceți actualizări ale programele software și sistemelor de operare. Cu toate acestea, nu vă puteți baza 100% pe faptul că utilizatorii vor efectua constant actualizări de sistem sau că nu vor mai accesa link-uri rău intenționate.
Soluția noastră în acest caz este Cisco AMP for Endpoints care prezintă funcționalități noi de prevenire a exploatării vulnerabilităților și care protejează terminalele din companie împotriva atacurilor fără fișiere, precum:
- Atacuri web, ca de exemplu exploit-uri Java, care utilizează cod de tip shellcode pentru a rula mesajul
- Fișiere rău intenționate Adobe și Office
- Site-uri rău intenționate care conțin atacuri Flash, Silverlight și Javascript
- Vulnerabilități exploatate prin intermediul atacurilor malware fără fișiere și non-persistente
- Atacuri de tip zero-day asupra vulnerabilităților software la care nu au fost instalate încă patch-uri
- Ransomware, troieni sau atacuri bazate pe macros care utilizează tehnici in-memory
Funcționalitatea Exploit Prevention de la Cisco identifică aplicațiile comune care rulează la nivelul terminalelor și care ar putea fi exploatate de atacatori. Apoi, creează o aplicație duplicat, iar dacă atacatorul încearcă să exploateze o vulnerabilitate în acea aplicație, aplicația duplicat va bloca această activitate. Programul malware nu poate localiza aplicația reală și va ataca aplicația duplicat, iar Cisco AMP se va activa și va bloca atacul, aplicația reală fiind în siguranță în toată această perioadă.
Iată care sunt cele mai frecvente procese pe care Cisco AMP for Endpoints le protejează:
- Microsoft Excel Application
- Microsoft Word Application
- Microsoft PowerPoint Application
- Microsoft Outlook Application
- Internet Explorer Browser
- Mozilla Firefox Browser
- Google Chrome Browser
- Microsoft Skype Application
- TeamViewer Application
- VLC Media player Application
- Microsoft Windows Script Host
- Microsoft Powershell Application
- Adobe Acrobat Reader Application
- Microsoft Register Server
- Microsoft Task Scheduler Engine
Pentru mai multe detalii despre funcționalitatea Exploit Prevention din Cisco AMP for Endpoints, vă invit să accesați acest link.
Tags:1 comentarii
De ce nu ma pot abona si am trimis-o si prietenilor mei o zi bună si succes in continuare mersi.