Každý, kdo si udržuje nějaké povědomí o dění ve světě ví, že nové kyber hrozby vznikají téměř na denní bázi. Došlo to dokonce do stavu, kdy kyber zločinecké skupiny fungují jako společnosti. Nejvíc je to znás u ransomware skupin, které mají dokonce i “zákaznickou” podporu. Jak se zabezpečit v dnešním neustále se měnícím světě, kde se stále častěji objevují nové hrozby?
Detekce malwaru je tradičně založena na rozpoznávání známých vzorů - jakmile je soubor různými způsoby identifikován jako škodlivý, uloží se jeho jedinečný otisk (hash) a rozešle se do všech chráněných zařízení. V momentě, kdy máme k dispozici hash malwaru, vytvoříme otisk každého nového souboru v chráněném zařízení, a pokud je pak tento hash nalezen v databázi známých škodlivých souborů, je zablokován. Problém tohoto přístupu spočívá v tom, že nějakou dobu trvá, než se nově objevený malware dostane do databáze. Naštěstí existují i jiné způsoby rozpoznání škodlivých souborů, například pomocí sledování jeho aktivity. Pokud se vymyká parametrům popisujícím neškodné chování, je označen k dalšímu zkoumání. Tento druh ochrany však využívá větší výpočetní výkon, takže ne každé zařízení lze takto chránit, a i kdyby to bylo možné, nemůžete si být jisti, že každé přenosné zařízení, jako jsou telefony, tablety nebo notebooky, je dostatečně chráněno. Poslední věc, kterou chcete, je, aby vaši uživatelé připojovali svá již infikovaná zařízení do vaší jinak dobře zabezpečené sítě.
Pak jsou tu také IoT zařízení (Internet of Things) nebo IIoT (Industrial Internet of Things), na která ve většině případů nemůžete nic nainstalovat. Jak tato zařízení ochránit a zajistit, aby každé zařízení ve vaší síti bylo zabezpečené? Samozřejmě je lze částečně pokrýt firewallem, ale neodstraní to všechny možné problémy a je to jen nezbytný základ zabezpečení vaší sítě. S pomocí systému prevence narušení (IPS) můžete zastavit více útoků, ale jak už název napovídá, zaměřuje se primárně na zastavení příchozího škodlivého provozu. IPS kontroluje i odchozí provoz, zda nekomunikuje se škodlivými webovými stránkami a dalšími, ale detekuje pouze ty známé. Co když je malware sofistikovanější a nekomunikuje pouze s jednou doménou, ale zdánlivě s neomezeným počtem náhodných domén, které se v čase mění? Blokování jedné domény se tak stává zbytečným, protože ji brzy nahradí jiná s pomocí algoritmu generování domén - DGA. Jak zastavit něco, co je navrženo tak, aby se vyhnulo stávajícím bezpečnostním prostředkům?
Řešení Whalebone se zaměřuje na detekci škodlivých vzorů v provozu DNS, který doprovází jakoukoli síťovou komunikaci, která není přesně směrována na požadovanou IP adresu místo domény. Známé škodlivé webové stránky jsou automaticky blokovány, ale tím to nekončí. Řešení Whalebone dokáží rozpoznat domény generované pomocí DGA díky našemu jedinečnému strojovému učení. Dokážeme proto blokovat i domény, které se nikdy předtím neobjevily. Analýzou provozu DNS chráníme celou síť, nejen zařízení, na kterých mohou být nainstalovány bezpečnostní programy. To znamená, že jsme schopni chránit zařízení, jako jsou kamery, akvarijní teploměry (opravdu byl minimálně jeden zneužit jako vektor útoku, více zde) nebo jakákoli jiná podobná IoT/ IIoT zařízení.
Jak si tedy udržet náskok před zákeřnými hackery a zabezpečit svou firmu? Musíte použít řešení, které ochrání celou vaši síť před hrozbami nultého dne (hrozbami, které dříve nikdo nedetekoval a jsou neviditelné pro běžné rozpoznávání vzorů), nejen pracovní stanice a servery. Společnost Whalebone nabízí řešení určená k ochraně před neznámými hrozbami.
