Unikalnym atutem rozwiązania Check Point SandBlast jest innowacyjne podejście do wykrywania próbek złośliwego kodu omijających klasyczne środowisko typu sandbox. Dzięki śledzeniu pracy procesora i adresacji pamięci (CPU-Level Threat Detection) możliwe staje się wykrycie złośliwego kodu jeszcze przed zarażeniem systemu. Moduł SandBlast uzyskał rewelacyjne wyniki w teście „Breach Detection Systems” przeprowadzonym przez niezależną organizację NSS Labs, która przyznała mu rekomendację za bardzo wysoką skuteczność wykrywania zagrożeń przy najniższym całkowitym koszcie utrzymania rozwiązania (TCO).

Rozwiązanie SandBlast Agent ma moduł antybotowy, blokujący komunikację z serwerami command & control zarządzanymi przez cyberprzestępców, oraz moduł do reagowania na incydenty przełamania zabezpieczeń, pozwalający przeprowadzić pełną analizę śledczą danego przypadku. Dynamicznie budowane grafy odwzorowują sposób infekcji i pokazują zainfekowane pliki oraz dane, które zostały wykradzione z firmy. Rozwiązanie to zostało również wyposażone w narzędzie do usuwania skutków ataku oraz przywracania stanu systemu sprzed ataku.

W przypadku użytkowników korzy-stających z korporacyjnych (wewnętrznych) sieci rozwiązanie chroniące przed złośliwym oprogramowaniem działa zazwyczaj na styku firma – Internet. Zabezpieczenie to jednak przestaje być skuteczne, gdy pracownik korzysta z Internetu poza przedsiębiorstwem. Rozwiązanie Check Point SandBlast Agent zainstalowane na urządzeniach końcowych zapewnia ich ochronę także w takiej sytuacji.

Bartosz Kamiński

Business Development Manager, Check Point

Producenci oprogramowania zwalczającego złośliwy kod zalewają nas informacjami o astronomicznym przyroście liczby możliwych do wykrycia próbek oraz nowych form ataku. Wskazują też swoje rozwiązanie jako środek zaradczy, który uchroni przed cyberatakami bazującymi na złośliwym kodzie. Jednak często brakuje w nim funkcji skutecznego blokowania ataków typu 0-day. Wówczas konieczna staje się integracja z innym produktem lub dokupienie osobnego komponentu, przez co brakuje jednej wspólnej konsoli do zarządzania. Dlatego, przy coraz bardziej skomplikowanych zagrożeniach oraz olbrzymiej liczbie ataków, powinno się unikać takich hybrydowych rozwiązań i inwestować w spójne systemy.

 

Do skutecznego zabezpieczania przed złośliwym oprogramowaniem konieczne jest wdrożenie rozwiązań ochronnych działających na wielu poziomach. Jako przykład może posłużyć scenariusz, w którym użytkownik pobiera plik z Internetu. Pierwszą linią obrony jest weryfikacja, czy domena adresu URL może być w jakiś sposób podejrzana. Jeśli nie, ściągany plik weryfikowany jest statycznymi mechanizmami typowymi dla silników antywirusowych. W przypadku, gdy hash pliku nie istnieje w bazie, uruchamia się  trzecia linia obrony, czyli dynamiczna analiza kodu, a pobierany plik emulowany jest w wirtualnym środowisku, w kilku systemach operacyjnych jednocześnie. Kiedy mamy do czynienia z ekstremalnie trudnym przypadkiem, gdy złośliwy kod przedostanie się do komputera ofiary i rozpocznie pracę, konieczne staje się uruchomienie kolejnej warstwy obrony, w postaci systemu wykrywającego i blokującego ruch do C&C.

Tylko tego typu podejście zapewnia efektywną ochronę przed atakami cyberprzestępców. Konsolidacja różnych metod działania musi jednocześnie wiązać się z możliwością zarządzania bezpieczeństwem z poziomu zunifikowanej konsoli. A gdy w przyszłości pojawi się nowa forma zagrożeń, wymagająca specjalnego środka zapobiegawczego, rozwiązanie musi zapewniać włączenie dodatkowej ochrony bez znacznych zmian w infrastrukturze.

Strategia bazująca na wymienionych założeniach zapewnia najwyższy poziom bezpieczeństwa firmy przy optymalnym koszcie utrzymania systemu. Rozwiązania ochronne oferowane przez Check Point spełniają wszystkie wyszczególnione kryteria, a ich produkcyjne zastosowanie chroni firmy przed najbardziej zaawansowanymi atakami z wykorzystaniem złośliwego oprogramowania.

Dodatkowe informacje:

Filip Demianiuk, Channel Manager,

Check Point Software Technologies,

filipd@checkpoint.com

 

Artykuł powstał we współpracy z firmami Check Point Software Technologies i RRC Poland.