Analýzy big dat určují novou strategii v boji s malwarem

Po dlouhou dobu bylo rozhodujícím faktorem v boji proti malwaru shromažďování informací. Ale s neustálým nárůstem nových hrozeb se může analýza informací stát stejně důležitá, jako jejich sběr. Co pro boj s malwarem přinese budoucnost, je otázkou. Skenování podpisů souborů, v minulosti nejobvyklejší metoda boje s infekcí, se stává vzhledem k širokému spektru produkovaného malwaru neefektivním.

Kvůli nedostatku možností se na tento postup přesto stále spoléhá mnoho společností. Ale situace se mění, prodejci antivirových programů si začínají uvědomovat, že k získání náskoku před „těmi špatnými“ je potřeba více se zaměřit na to, co malware dělá, odkud se vzal a v ideálním případě předvídat, kde se objeví příště.

Mnoho prodejců se přestalo soustředit na jednorázové hrozby a začínají s dlouhodobým sledováním širších souvislostí. „Technologie, která to umožňuje, je relativně nová“, říká Dave Millier, generální ředitel společnosti Sentry Metrics.

Společnost Sourcefire nedávno přišla s firemním bezpečnostním produktem FireAMP, který rozšiřuje bezpečnost sítě hledáním „zmatených“ malwarových podpisů a vysílá globální vzory podezřelých aktivit. FireAMP také používá nástroj, který Sourcefire nazývá „učící stroj“, který slouží k vytvoření ukázky, jak mohou potenciální hrozby vypadat. FireAMP se také může zpětně podívat na to, co přesně se během narušení bezpečnosti stalo. Je to vlastnost důležitá nejen kvůli zabezpečení firmy, ale také z právních důvodů.

„Soustředili jsme se na změnu cloudové platformy do něčeho, co rád nazývám leteckým snímkem koncového bodu,“ říká Oliver Friedrichs, viceprezident technického odboru spolčenosti Sourcefire. „V podstatě nahráváme aktivity souborů napříč koncovými body, abychom mohli uložit změnám odolné záznamy o aktivitě souborů do cloudu.“

S FireAMP jsou na koncových bodech nainstalovány konektory a kdykoliv uživatel nainstaluje nebo spustí nějakou aplikaci, data o ní se odešlou do cloudu. „Pokud v budoucnu dojde k porušení bezpečnosti, můžeme poznat, jak se hrozba dostala do systému, kudy šla, od koho se začala šířit a kolik škod způsobila.“

Trend Micro, další prodejce antivirového softwaru, také investuje do nových schopností a svou infrastrukturu zakládá na síle své online komunity. Tom Moss, produktový ředitel kanadské pobočky Trend Micro to popisuje jako „boj s ohněm ohnivou strategií.“ Aplikace Trend Micro ověřuje zdroje infekce a dokáže říct kde byla doména zaregistrovaná, které jiné domény ta osoba kdy zaregistrovala nebo jak často je adresa spojená se změnou domény.

„Nástroje, které se používají ke sběru a analýze bezpečnostních dat, se v minulých letech výrazně zlepšily,“ říká Millier. „Máme mnohem lepší představu o tom, co se v síti doopravdy děje. Můžeme to vidět na síťové i systémové úrovni nebo na firewallech. Možnosti odhalit hrozbu včas jsou rozhodně mnohem lepší.“