Cyberataki stają się coraz bardziej wyrafinowane. Wiele z nich – nakierowanych na konkretne cele – rozpoczyna się od wykorzystania programowych luk w pobranych przez Internet plikach lub załącznikach do wiadomości e-mail. Tego typu zagrożenia inicjowane są przez wykonanie na komputerze ofiary niezidentyfikowanego jeszcze, złośliwego kodu albo zupełnie nowych, zmodyfikowanych wersji znanego wcześniej malware. Ponieważ nie napisano jeszcze identyfikujących je sygnatur, walka z nimi za pomocą tradycyjnych rozwiązań ochronnych jest nieskuteczna.

Gdy punkty końcowe zaatakowanej sieci zostaną zainfekowane, niewykrywalny złośliwy kod umożliwi napastnikowi zdalne przejęcie kontroli nad kolejnymi firmowymi komputerami. Atakujący może wykradać dane, użyć przejęte komputery do rozpowszechniania spamu, dystrybucji malware, przeprowadzania ataków typu DDoS (Distributed Denial of Service) itp. A wszystko robi oczywiście bez wiedzy użytkowników komputerów. Tworzone w ten sposób botnety odgrywają kluczową rolę w ukierunkowanych, zaawansowanych atakach, określanych jako APT (Advanced Persistent Threats).

 

Malware w piaskownicy

Threat Emulation firmy Check Point chroni przed zagrożeniami związanymi z niezidentyfikowanym jeszcze złośliwym kodem, atakami ukierunkowanymi i typu zero-day. To innowacyjne rozwiązanie szybko otwiera pliki w odseparowanym wirtualnym środowisku testowym (sandbox) i – analizując ich zachowanie – gwarantuje stwierdzenie, czy są niebezpieczne, czy też nie. W ten sposób malware zostaje zidentyfikowany zanim przedostanie się do sieci. To lepiej niż w tradycyjnych zabezpieczeniach, skupiających się na wykrywaniu niebezpieczeństwa na podstawie listy sygnatur, które powiadamiają o zagrożeniu, gdy już rozprzestrzeni się w sieci. Threat Emulation blokuje działanie nieznanego wcześniej złośliwego kodu, dzięki czemu nie dochodzi do infekcji. Zatem zarówno czas, jak i koszty związane z odwracaniem skutków działania złośliwego oprogramowanie są zredukowane do zera.

Rozwiązanie Threat Emulation zapobiega zagrożeniom dzięki dogłębnej analizie pobranych plików i załączników w wiadomościach e-mail, takich jak pliki wykonywalne, dokumenty PDF lub z pakietu Microsoft Office. Potencjalnie niebezpieczne pliki są otwierane wewnątrz wirtualnego środowiska testowego i na bieżąco monitorowane pod kątem nietypowych aktywności w systemie, m.in. sprawdzane są zmiany dokonywane w rejestrze, nawiązywanie połączeń sieciowych, uruchamianie procesów systemowych. Informacje te wyświetlane są w czasie rzeczywistym.