Více než antiviry: Nové metody ochrany před malwarem

15. 4. 2024

Sdílet

 Autor: ComSource
Nežádoucí malware se stává složitějším a nebezpečnějším, je proto potřeba se před ním více chránit. Stará řešení, která představují antiviry napojené na firewall, už přestávají stačit, protože jsou schopná zachytit pouze něco mezi 40 a 80 % malwaru. To ani zdaleka nestačí. Používání více antivirových programů současně sice může vést k větší bezpečnosti, avšak neúměrně zatěžuje zařízení a výsledek nemusí být vždy tak dobrý, jak bychom očekávali a chtěli. Jak tedy nejlépe vyřešit ochranu vašich zařízení?

Multiscanning

Jde o velmi dobrou a účinnou alternativu k využívání pouze jednoho antivirového programu. Multiscanning znamená, že je vaše zařízení kontrolováno více antivirovými řešeními současně. Systém kombinuje jejich veškeré detekční mechanismy, jako jsou umělá inteligence, signatura, heuristika či NGAV, a neponechává tak skoro žádný prostor chybám. Takový nástroj nabízí například řešení OPSWAT MetaDefender, které poskytuje systém endpointové ochrany, jež propojuje více než třicet antimalwarových enginů od předních společností, jako MCAfee, ESET, Symantec, Avira, Microsoft atd., a pomocí nich je schopný odhalit až 99,4 % malwaru. Zjednodušeně řečeno to tedy je, jako mít ve svém zařízení najednou nainstalováno třicet antivirů, které běží současně. Toto řešení navíc zatěžuje systém jen velmi málo a při zapnutí všech funkcionalit zkontroluje deset souborů za sekundu – tedy 36 000 za hodinu.

CDR – Sanitizace a rekonstrukce dat

Endpointová ochrana však nemusí být vždy vhodná či dostačující. Proto by mělo být cílem identifikovat případně nebezpečný obsah hned na vstupu, předtím, než se malware dostane ke koncovému uživateli, a ne až na samotném zařízení. Tento způsob bude stále aktuálnější, a to i kvůli využívání hybridních přístupů k práci, kdy se pracovník vzdáleně může připojit prakticky odkudkoliv a často z mnoha různých zařízení. Největším a hlavně nejčastějším problémem pro bezpečnost jsou phishingové e-maily. Podle Verizon Data Breach Investigations Report 2022 (DBIR) 35 % incidentů ransomware využilo k průniku e-mailovou komunikaci s využitím škodlivých příloh nebo odkazů. Navíc se malware stále zlepšuje v oblasti vyhýbání se detekce v sandboxu. Proto je vhodné nasadit systém technologie pokročilé prevence hrozeb CDR neboli systém sanitizace a rekonstrukce dat. Systém sanitizace dat se zaměřuje na ověřování platnosti struktury souborů na binární úrovni, odstraňuje škodlivý obsah a chrání před kompromitací dat pocházející z file-based malwaru.

A jak proces CDR funguje? 

  1. Nejprve se uskuteční ověření typu souboru a identifikace všech vložených aktivních souborů.
  2. Poté dojde k odstranění veškerého potenciálně škodlivého obsahu a rekonstrukce souboru pouze s legitimním obsahem.
  3. A následně k odeslání rekonstruovaného bezpečného souboru. Původní soubor se škodlivým obsahem je uložen do karantény pro možnost bezpečnostní analýzy.

Zkrátka CDR odkloní nebezpečné e-maily, rozebere je a následně udělá to, na co je nastaven – například odstraní všechna metadata, makra atd., čímž je zaručeno doručení bezpečných dat uživateli. Je to velmi účinný způsob, jak kontrolovat známé i neznámé hrozby, co se stahuje z internetu i co se do zařízení dostane skrze e-maily. Metoda CDR je vhodná také pro prevenci před cílenými útoky a hrozbami, které využívají malware evasion techniky. Podstatné pro tuto metodu je také nenechat zařízení připojit se napřímo k internetu jinde než v práci na bezpečném připojení. Platformu tohoto typu lze provozovat v cloudu nebo on-premise a poskytuje zpravidla možnost kontroly více než stovky typů soborů – ať už e-mailů a příloh nebo souborů na sdílených úložištích.

Ideální je kombinace

Pro co největší bezpečnost je dobré multiscanning i sanitizaci kombinovat. Například tak, že se vytvoří gateway, kam se příchozí e-maily odkloní a kde se uskuteční jejich kontrola nejen pomocí sanitizace, ale také prostřednictvím multiscanningu. Ale je možné využívat i pouze jednu z těchto ochran, každé společnosti může vyhovovat něco jiného. Škálovatelnou kombinaci těchto ochran poskytuje například řešení OPSWAT MetaDefender.

ICTS24

Sanitizaci dat v současné době v České republice využívají pouze desítky firem. Je to však nástroj, který jde hodně do hloubky a přináší zásadní zlepšení bezpečnosti. V podstatě tento systém může ve firmách nahradit práci antivirů. I proto lze předpokládat, že do budoucna bude docházet k jeho rozšiřování.

Autor: Michal Štusák, spolumajitel, ComSource

Autor článku