Malware tidak kelihatan di sini dan perisian keselamatan anda tidak dapat menangkapnya

"Perisian malware yang tidak kelihatan, " jenis malware baru, sedang berjalan dan, jika ia menyerang pelayan anda, mungkin tidak banyak yang boleh anda lakukan mengenainya. Malah, anda mungkin tidak dapat memberitahu bahawa ia ada di sana. Dalam sesetengah kes, malware tidak kelihatan hanya tinggal dalam memori, bermakna tiada fail pada cakera anda untuk perisian perlindungan titik akhir anda untuk mencari. Dalam kes-kes lain, malware tidak kelihatan mungkin tinggal di Sistem Input / Output Asas anda (BIOS) di mana ia boleh menggunakan salah satu daripada beberapa taktik untuk menyerang anda. Dalam sesetengah kes, ia mungkin kelihatan sebagai kemas kini firmware di mana ia menggantikan firmware sedia ada anda dengan versi yang dijangkiti dan hampir mustahil untuk mencari atau mengalih keluar.

"Dengan kemajuan dalam perisian anti-malware dan Pengesanan Endpoint dan Respon (EDR) menjadikannya lebih mudah untuk menangkap perisian sifar hari ke hari, penulis malware semakin rendah pada timbunan, " kata Alissa Knight, seorang penganalisis kanan dengan praktik keselamatan siber Aite Group. Dia mengkhususkan diri dalam ancaman berasaskan perkakasan. Knight berkata jenis malware yang baru ini sedang dibangunkan yang boleh mengelakkan pengesanan oleh perisian warisan.

Perisian EDR, yang lebih canggih daripada pakej AV warisan, jauh lebih berkesan untuk menangkap serangan, dan perisian ini menggunakan pelbagai kaedah untuk menentukan kapan penyerang sedang bekerja. "Pembangunan EDR menjadikan respon topi hitam, dan membuat kit akar kernel dan kit root firmware, ia dalam perkakasan di mana ia boleh menulis ke rekod boot induk, " kata Knight.

Ia juga membawa kepada penciptaan kit akar maya, yang akan boot sebelum sistem operasi (OS), mewujudkan mesin maya (VM) untuk malware supaya tidak dapat dikesan oleh perisian yang berjalan pada OS. "Itu menjadikannya mustahil untuk ditangkap, " katanya.

Blue Pill Malware dan Lebih Banyak

Nasib baik, memasang kit akar maya ke pelayan masih sukar-sejauh mana penyerang yang mencuba ini biasanya bekerja sebagai penyerang yang ditaja oleh kerajaan. Di samping itu, sekurang-kurangnya beberapa aktiviti dapat dikesan dan beberapa boleh dihentikan. Knight mengatakan bahawa "malware tanpa sengaja, " yang beroperasi hanya dalam ingatan, boleh dikalahkan dengan memaksa secara paksa komputer di mana ia berjalan.

Tetapi Knight juga mengatakan bahawa malware seperti itu boleh disertakan dengan apa yang disebut "Malware Blue Pill, " yang merupakan bentuk kit root virtual yang memuat dirinya menjadi VM dan kemudian memuat OS menjadi VM. Ini membolehkannya menghentikan penutupan dan mula semula sambil membiarkan malware terus berjalan. Inilah sebabnya mengapa anda tidak boleh menggunakan pilihan shutdown di Microsoft Windows 10; hanya menarik plag akan berfungsi.

Mujurlah, jenis serangan perkakasan lain kadang-kadang dapat dikesan ketika sedang berjalan. Knight berkata bahawa satu syarikat, SentinelOne, telah membuat pakej EDR yang lebih berkesan daripada kebanyakan, dan kadang-kadang dapat mengesan apabila perisian hasad menyerang BIOS atau firmware pada mesin.

Chris Bates adalah Pengarah Produk Seni Bina Global di SentinelOne. Beliau berkata ejen produk beroperasi secara autonomi dan boleh menggabungkan maklumat dengan titik akhir yang lain apabila diperlukan. "Setiap ejen SentinelOne sedang membina konteks, " kata Bates. Beliau berkata konteks dan peristiwa yang berlaku semasa konteks sedang dibina mewujudkan cerita yang boleh digunakan untuk mengesan operasi malware.

Bates berkata bahawa setiap titik akhir boleh mengambil remediasi sendiri dengan menghapuskan malware atau meletakkannya ke karantina. Tetapi Bates juga mengatakan bahawa pakej EDRnya tidak dapat menangkap segala-galanya, terutamanya apabila ia berlaku di luar OS. Pemacu ibu jari USB yang menulis semula BIOS sebelum bot komputer adalah satu contoh.

Peringkat Seterusnya Seterusnya

Di sinilah tahap penyediaan seterusnya, Knight menjelaskan. Beliau menunjuk satu projek bersama antara Intel dan Lockheed Martin yang mencipta penyelesaian keselamatan keras yang dijalankan pada pemproses Intel Xeon Scalable Generasi 2 generasi standard yang dikenali sebagai "Intel Select Solution for Security Teruk dengan Lockheed Martin." Penyelesaian baru ini direka untuk mencegah jangkitan malware dengan mengasingkan sumber kritikal dan melindungi sumber-sumber tersebut.

Sementara itu, Intel juga telah mengumumkan satu lagi langkah pencegahan perkakasan yang dipanggil "Hardware Shield, " yang mengunci BIOS. "Ini adalah teknologi di mana, jika ada sejenis suntikan kod jahat, maka BIOS boleh bertindak balas, " jelas Stephanie Hallford, Naib Presiden dan Pengurus Besar Platform Pelanggan Perniagaan di Intel. "Beberapa versi akan mempunyai keupayaan untuk berkomunikasi antara OS dan BIOS. OS juga boleh bertindak balas dan melindungi daripada serangan itu."

Malangnya, tidak banyak yang boleh anda lakukan untuk melindungi mesin yang ada. "Anda perlu menggantikan pelayan kritikal, " kata Knight sambil menambah bahawa anda juga perlu menentukan data kritikal anda dan di mana ia berjalan.

"Intel dan AMD akan memerlukan bola dan demokrasi ini, " kata Knight. "Sebagai penulis penulis perisian malware menjadi lebih baik, vendor perkakasan perlu mengejar dan menjadikannya mampu."

Masalahnya Hanya Memperpanjang

Malangnya, Knight mengatakan bahawa masalah itu akan menjadi lebih teruk. "Alat jenayah dan kit malware akan menjadi lebih mudah, " katanya.

Knight menambah bahawa satu-satunya cara bagi kebanyakan syarikat untuk mengelakkan masalah adalah untuk memindahkan data dan proses kritikal mereka ke awan, jika hanya kerana penyedia perkhidmatan awan dapat melindungi lebih baik daripada jenis serangan perkakasan ini. "Sudah tiba masanya untuk memindahkan risiko, " katanya.

Dan Knight memberi amaran bahawa, pada kelajuan yang bergerak, ada sedikit masa untuk melindungi data penting anda. "Ini akan berubah menjadi cacing, " dia meramalkan. "Ia akan menjadi sejenis cacing penyebaran diri." Ini masa depan cyberwarfare, kata Knight. Ia tidak akan menjadi latar belakang pelakon yang ditaja oleh kerajaan selama-lamanya.

Langkah-langkah untuk Ambil

Jadi, dengan masa depan ini suram, apa yang boleh anda lakukan sekarang? Berikut adalah beberapa langkah awal yang perlu anda ambil segera:

Sekiranya anda tidak mempunyai perisian EDR yang berkesan, seperti SentinelOne, maka dapatkan sekarang.

Kenal pasti data kritikal anda, dan bekerjalah untuk melindunginya dengan penyulitan semasa anda meningkatkan pelayan yang data ke mesin yang dilindungi daripada kelemahan perkakasan dan eksploit yang memanfaatkannya.

Di mana data kritikal anda mesti kekal di dalam rumah, gantikan pelayan yang mengandungi data tersebut kepada platform yang menggunakan teknologi perkakasan, seperti Perisai Perkakasan untuk pelanggan dan Intel Select Solution for Security Teruk dengan Lockheed Martin untuk pelayan.

Di mana sahaja mungkin, pindahkan data kritikal anda kepada penyedia awan dengan pemproses yang dilindungi.

• • Perlindungan Antivirus Terbaik untuk 2019 Perlindungan Antivirus Terbaik untuk 2019
  • Perlindungan Endpoint Terbaik dan Perisian Keselamatan Hosted untuk 2019 Perlindungan Endpoint Terbaik Perlindungan dan Perisian Keselamatan untuk 2019
  • Perisian Pembuangan dan Perlindungan Malware Terbaik untuk 2019 Perisian Pembuangan dan Perlindungan Malware Terbaik untuk 2019

  Terus latihan kakitangan anda dalam kebersihan keselamatan yang baik supaya mereka bukan orang yang memasukkan pemacu ibu jari yang dijangkiti ke salah satu pelayan anda.

Pastikan keselamatan fizikal anda cukup kuat untuk melindungi pelayan dan selebihnya titik akhir dalam rangkaian anda. Jika semua ini membuat anda kelihatan bahawa keselamatan adalah perlumbaan senjata, maka anda akan betul.