Skuteczna ochrona przed atakiem ransomware musi być wielopoziomowa. Dlatego CryptoGuard działa zarówno na stacjach roboczych, jak i na serwerach – chroni dane przed zaszyfrowaniem na obu rodzajach urządzeń. Tym samym stanowi dobre uzupełnienie już stosowanych w firmie systemów ochronnych.

W zasadzie wiadomości pocztowe, które zawierają złośliwy kod lub linki do niego, powinny być blokowane, jeszcze zanim trafią na serwer pocztowy. Szczególnie ważne jest unikanie załączników z dokumentami zawierającymi programy makro. Stąd w Intercept X stosowane są zarówno mechanizmy antyspamowe, które identyfikują podejrzane maile, jak też antywirusowe, analizujące przesłany do odbiorcy kod. Funkcja Time-of-Click uniemożliwia użytkownikowi kliknięcie znajdującego się w wiadomości linku prowadzącego do zainfekowanej strony internetowej lub zawierającej złośliwy kod do pobrania.

Zagrożenia płynące bezpośrednio z sieci web neutralizowane są w firewallu i bramie web. Funkcja filtrowania adresów URL chroni użytkowników przed wejściem na strony zawierające kod ransomware, jak również będące centrum zarządzania i kontroli komputerów zombie (z już zainstalowanym złośliwym oprogramowaniem), czekających na instrukcje od przestępców. Całkowicie uniemożliwione jest też pobieranie oprogramowania zawierającego ransomware na komputer użytkownika.

Sebastian Zamora

Channel Account Executive, Sophos

Eksperci IT wiedzą, że obecnie stosowanie tylko jednej metody zabezpieczania danych w firmie nie przynosi pożądanego efektu. Dlatego powstało rozwiązanie Sophos Intercept X. Zastosowano w nim nowatorskie połączenie różnych technik ochronnych. Stworzono je w wyniku uważnej obserwacji szybko zmieniającej się charakterystyki zagrożeń, której towarzyszy znaczący wzrost wartości firmowych danych. W analizie wzorców zachowań złośliwego oprogramowania, sposobów przeprowadzania ataku oraz przypuszczalnych motywów przestępców pomaga nam analiza Big Data, prowadzona w centrach danych Sophos.

 

Mechanizmy ochrony zarówno poczty, jak i stron sieci web mają dostęp do chmurowej usługi sandbox, w której testowane jest zachowanie kodu uznanego wstępnie przez rozwiązanie Sophos za podejrzany. Dzięki temu w praktyce każdy użytkownik dysponuje własnym laboratorium, chroniącym go przed złośliwym oprogramowaniem. W rozwiązaniu Intercept X zastosowano także mechanizm białej listy dla aplikacji, które uprawnione są do dokonywania zmian w danych znajdujących się na firmowych serwerach. Wszystkie inne próby są blokowane i zgłaszane administratorowi.

 

Bijące serce sieci

W celu wymiany informacji dotyczących bezpieczeństwa, przesyłanych między różnymi urządzeniami w sieci, producent stworzył platformę Sophos Security Heartbeat. Rolę centralnego firewalla pełni w niej system operacyjny Sophos Firewall OS, który może funkcjonować w kilku instancjach, m.in. w urządzeniu Sophos XG Firewall, jako programowy firewall lub w wirtualnej maszynie. Rolę strażnika na stacjach końcowych pełni Central Endpoint Advanced. Dzięki Sophos Security Heartbeat wszystkie podłączone do sieci urządzenia sieciowe oraz końcowe komunikują się i wymieniają informacje o podejrzanym zachowaniu oprogramowania lub użytkowników próbujących dostać się do firmowych zasobów przez Internet. Centralny firewall jest w stanie odciąć podejrzane urządzenie końcowe od pozostałych i wymusić podjęcie działań, dzięki którym poziom ochrony tego sprzętu zostanie zweryfikowany. Po upewnieniu się, że nie stanowi on zagrożenia, blokada zostaje zdjęta.

Intercept X jest częścią tego mechanizmu, dzięki czemu administratorzy mogą zarządzać bezpieczeństwem całego środowiska IT z jednej centralnej konsoli. Zastosowanie wspomnianego rozwiązania na stacjach roboczych praktycznie nie wpływa na wydajność ich pracy. W ten sposób przestrzega się zasady, że efektywność ma być wykorzystywana do codziennych zadań biznesowych, a nie do pracy algorytmów ochronnych.

Dodatkowych informacji na temat Intercept X i innych rozwiązań Sophos udziela Sebastian Zamora (sebastian.zamora@sophos.com), pełniący w Polsce funkcję Channel Account Executive. Oficjalnymi dystrybutorami Sophos w Polsce są AB i Konsorcjum FEN.