Munca de acasă deschide sezonul amenințărilor malware
Adopția rapidă, în această perioadă, a modelului de lucru la distanță în rândul companiilor românești generează provocări de securitate reale. Riscurile la care se expun organizațiile nu sunt însă pe deplin conștientizate și de angajații care lucrează de acasă. Motivele sunt justificate: nu sunt, încă, obișnuiți cu noile condiții de desfășurare a activității și nu au o experiență relevantă în domeniul auto-protecției. Dacă doriți să aflați cum puteți lucra în siguranță de acasă, puteți începe de aici, adoptând cinci măsuri eficiente de vigilență cibernetică.
Însă chiar și un angajat educat poate deveni victima amenințărilor informatice, hackerii crescând nu doar frecvența, ci și nivelul de complexitate al acestora. La acest lucru contribuie și faptul că utilizatorii finali nu mai sunt protejați prin intermediul sistemelor clasice de securitate perimetrală, ceea ce reduce vizibilitatea departamentelor IT ale companiilor asupra amenințărilor care au reușit să treacă de măsurile de protecție existente.
Să luăm un exemplu concret – cel al unui angajat care lucrează de acasă, folosind rețeaua Wi-Fi din propria locuință. Pe care o utilizează, însă, și pentru a accesa un serviciu de video la cerere (Video on Demand – VoD, de tipul Netflix), vizionând filme pe un echipament Home Theater PC (HTPC) și care, de ceva timp, a început să prezinte simptome ciudate: afișează simultan informații din mai multe cadre, imaginea „îngheață“ etc. Fenomenul e persistent și, în urma verificărilor efectuate, rezultă că nu are legătură nici cu calitatea conexiunii la internet, nici cu cea a serviciilor VoD. Prin urmare, concluzia nu poate fi decât una – echipamentul HTPC e de vină.
Deducția poate fi însă eronată, cauza fiind, de fapt, o amenințare care a reușit să treacă de soluțiile de protecție. Cum ar fi, de exemplu, o aplicație malware de tip cryptominer care consumă, în mod invizibil, din resursele disponibile în rețea.
Exemplul de mai sus poate fi considerat unul „fericit“ – și asta deoarece majoritarea „minerilor“ se rezumă doar la a folosi resurse, fără a afecta și integritatea și confidențialitatea datelor.
Situația devine mai complicată dacă amenințarea de securitate este o aplicație de tip keylogger, care înregistrează și transmite nu doar tot ce tastează utilizatorul, ci și zonele atinse pe ecranele tactile, simbolurile apăsate pe tastaturile virtuale, câmpurile accesate din anumite aplicații sau pagini web etc. Totul se întâmplă fără ca utilizatorul infectat să aibă habar, mai ales că, într-un astfel de caz, vârfurile de sarcină sunt de scurtă durată și greu de sesizat.
Lista amenințărilor discrete, care funcționează în „Stealth mode“, nu se rezumă doar la cryptojacking și keyloggers, ci include și troieni, rootkit-uri, atacuri fileless etc.
Pentru a le depista, recomandăm organizațiilor să adopte o strategie de tipul căutare activă de vulnerabilități (threat hunting). Atenție însă! – căutarea activă de vulnerabilități nu are rolul exclusiv de a depista amenințările, ci și de a identifica ce politici și reguli de securitate sunt necesare pentru a bloca efectiv malware-ul.
Să ne întoarcem, însă, la exemplul concret, cel al „minerului“ ascuns în sistemul angajatului care lucrează de acasă. Intrusul poate fi depistat rapid, chiar de utilizatorul final, dacă acesta folosește în rețeaua de acasă soluția Cisco Umbrella. Pentru a-l descoperi, utilizatorul trebuie doar să realizeze setările DNS către serverele Umbrella și să verifice a doua zi log-urile – soluția noastră detectează activitățile din rețea care încearcă să se conecteze la site-uri cunoscute de criptografie. Puteți afla mai multe informații despre soluția Cisco Umbrella vizionând acest video.
Acesta e punctul de plecare în depistarea amenințării, continuând cu monitorizarea proceselor și identificarea fișierelor-problemă de pe terminalul infectat. Soluția de remediere într-un astfel de caz constă în ștergerea și reinstalarea sistemului. E o metodă sigură, dar care ia timp și necesită efort, mai ales dacă este vorba nu de un sistem HTPC, ci de un echipament folosit în scopuri profesionale. Într-un astfel de caz, trebuie să faceți backup-ul datelor, să formatați discul, apoi să reinstalați sistemul și aplicațiile, să refaceți configurațiile, să restaurați datele, să verificați și să testați dacă totul funcționează normal și să remediați posibilele erori apărute. E o succesiune de operațiuni care vă poate da bătăi de cap, mai ales că suportul tehnic e acum la… distanță.
Pentru a preveni astfel de situații dificile, dar și pentru a ține sub control riscurile de securitate, o a doua soluție pe care v-o recomandăm este Advanced Malware Protection (AMP) for Endpoints. Soluția noastră previne riscurile (semnalând automat vulnerabilitățile existente), depistează atacurile în timp real (prin analiza comportamentului aplicațiilor, a traficului, a indicatorilor de compromitere etc.) și elimină amenințările (închide efectiv aplicațiile sau procesele compromise și semnalează problemele depistate pentru a facilita intervenția administratorilor IT). Vă invit să aflați cum blochează efectiv AMP for Endpoints un atac de tip Fileless, citind acest articol.
Dacă doriți să duceți protecția la un nivel superior, vă recomandăm să adoptați o abordare integrată – Cisco Threat Response – despre care puteți afla mai multe detalii aici. De asemenea, ne puteți contacta oricând la solutiicisco@cisco.com.
Tags:
