Информационная безопасность заметно изменилась за последние несколько лет. Первая вредоносная программа относится к 1970-м годам и привела к созданию первого антивируса Reaper, предназначенного для обнаружения компьютеров, зараженных вредоносной программой Creeper, для ее удаления. С тех пор кибер-безопасность приобретает все большее значение и в настоящее время является важным фактором для любой организации.
Этот эволюционный процесс привел нас от программного обеспечения на основе черных списков вирусов, предназначенного для противодействия известным угрозам, через создание периметров безопасности и эвристических стратегий, которые использовали поведенческий анализ, до поворотного момента в виде Stuxnet в 2010 году, что стало первым известным примером оружия, предназначенного для кибер-войны. Развитие угроз привело к тому, что вредоносные программы стали намного более сложными, использующими методы скрытности и становящиеся практически незаметными, проложив путь для первых атак нулевого дня.
Теперь злоумышленники стали так быстро обнаруживать уязвимости нулевого дня в программном обеспечении, что, согласно отчету об Интернет-безопасности от компании WatchGuard Technologies, в первом квартале 2020 года 67% вредоносных программ были зашифрованы, то есть они были доставлены по протоколам HTTPS. И, кроме того, 72% зашифрованных вредоносных программ были классифицированы как угроза нулевого дня, а это значит, что на тот момент не было никаких антивирусных сигнатур, способных замедлить их распространение, а сами угрозы стали все более незаметными для организаций. Эти данные согласуются с прогнозами компании Gartner, которая сообщила, что в течение 2020 года 70% вредоносных атак будут использовать шифрование.
Атаки нулевого дня – кибер-пандемия
Эти статистические данные, несомненно, были усугублены пандемией коронавируса COVID-19 и последующим увеличением числа сотрудников, работающих удаленно. По мере того как эта тенденция усиливалась, увеличивалась и поверхность атаки, что вынуждало компании усиливать меры информационной безопасности, чтобы не стать жертвами преступников.
Если бы мы искали кибер-эквивалент пандемии коронавируса COVID-19, это могла бы быть атака, которая распространяется автоматически с использованием одного или нескольких эксплойтов нулевого дня. Поскольку атаки нулевого дня редко обнаруживаются сразу, потребуется время, чтобы идентифицировать вирус и предотвратить его распространение. Следовательно, если вирус распространится в социальной сети, насчитывающей, скажем, 2 миллиарда пользователей, ему потребуется не более пяти дней, чтобы заразить более миллиарда устройств. Но самое тревожное, что до сих пор нет патчей или антивирусов, которые могли бы противостоять этому типу атак.
Чтобы минимизировать и смягчить угрозу от зашифрованных вредоносных программ нулевого дня, существует ряд стратегий, которые ИТ-команды и аналитики должны учитывать при планировании защиты информационной безопасности организации:
- Организации должны иметь передовые поведенческие решения для обнаружения и реагирования, поскольку традиционные антивирусные решения обычно не могут справиться с такими атаками. Также важно включить проверку протокола HTTPS в качестве обязательного требования для любой стратегии
- Эти стратегии должны включать многоуровневую службу безопасности, которая охватывает все конечные устройства. Кроме того, службы и решения должны базироваться или выполняться в облаке, чтобы процессы сортировки, анализа и реагирования были немедленными и эффективными
- Чтобы остановить этот тип вредоносных программ, инструменты защиты должны использовать методы искусственного интеллекта, машинного обучения и анализа угроз для выявления подозрительных моделей поведения. В результате они должны иметь возможность генерации оповещений, которые имеют приоритет в соответствии с серьезностью угрозы и содержат всю информацию, необходимую для быстрого и эффективного реагирования
Решение Adaptive Defense 360 обеспечивает непрерывный мониторинг, протоколирование и контроль всех процессов на конечных устройствах, блокируя ненадежное программное обеспечение, обнаруживая сложные угрозы в режиме реального времени, реагируя в считанные секунды и облегчая мгновенное восстановление. Все это позволяет предотвращать использование злоумышленниками неизвестных дыр в системе безопасности и останавливать эксплойты уязвимостей атаками нулевого дня.