Tartalomjegyzék:
- Malware észlelése
- A hátsó ajtó magyarázata
- A rosszindulatú programok kommunikációjának megakadályozása
- Hardver alapú malware törlése
Videó: 3. EPIZÓD: Az akváriumvíz és CO2 (November 2024)
Tudva, hogy létezik egy láthatatlan rosszindulatú program ez annyira félelmetes, hogy az a rosszindulatú szoftverek ellen nem fér hozzá. De mi van, ha megtudja, hogy még ha meg is találja ezeket a dolgokat, akkor nem lesz képes megszabadulni tőle? Sajnos, a hardver alapú rosszindulatú programok típusától függően, amiről beszélünk, valószínűleg ez a helyzet.
Malware észlelése
Szerencsére a szakértők megtalálták a láthatatlan rosszindulatú programok felfedésének módját, de mintha a rossz fiúk lépést tartanak, vannak új módjai annak telepítésére is. Ennek megtalálását mégis megkönnyíti. Például az Intel processzorainak egy új, „ZombieLoad” elnevezésű biztonsági rését támadhatják meg a szoftverekben rendelkezésre bocsátott kód felhasználásával. Ez a biztonsági rés lehetővé teheti a rosszindulatú programok beillesztését a számítógép BIOS-ba távolról.
Míg a kutatók még mindig tanulmányozzák a ZombieLoad alkalmazást, és megpróbálják meghatározni a probléma mértékét az Intel legutóbbi hasznosítási fordulójában, az a tény, hogy az ilyen hardverkiterjesztések kiterjedhetnek az egész vállalkozásra. "A firmware programozható kód, miközben egy chipen ül" - magyarázza Jose E. Gonzalez, a Trapezoid társalapítója és vezérigazgatója. "Van egy csomó kód a rendszerén, amelyet nem nézel ki."
A problémát súlyosbítja az a tény, hogy ez a firmware az egész hálózaton létezhet, például a webkameráktól és a biztonsági eszközöktől a kapcsolókig és útválasztókig, a kiszolgálóhelyen lévő számítógépekig. Mindegyik lényegében számítástechnikai eszköz, tehát ezek közül bármelyik képes tárolni a kizsákmányoló kódot tároló rosszindulatú programokat. Valójában éppen ezeket az eszközöket használják a szolgáltatásmegtagadási támadások (DoS támadások) elindítására a firmware-n alapuló robotokból.
A Trapezoid 5 képes azonosítani a firmware-alapú rosszindulatú programokat egy egyedi vízjelek-rendszeren keresztül, amely kriptográfiailag összekapcsolja az egyes eszközök firmware-jét bármilyen hardverrel, amelyen valaha fut. Ez magában foglalja a virtuális eszközöket, beleértve a virtuális gépeket (virtuális gépeket), amelyek telephelyen vagy a felhőben futó virtuális infrastruktúra-szolgáltatásként (IaaS) helyezkednek el. Ezek a vízjelek felfedhetik, hogy megváltozott-e valami az eszköz firmware-ben. Ha rosszindulatú szoftvert ad a firmware-hez, akkor ez megváltoztatja a vízjelet.
A Trapezoid tartalmaz egy firmware integritás-ellenőrző motort, amely segít felismerni a firmware problémáit, és lehetővé teszi a biztonsági személyzet számára, hogy megvizsgálja azokat. A trapezoid számos biztonsági házirend-kezelő és jelentéskészítő eszközzel is integrálódik, így megfelelő fertőző eszközöket enyhítő stratégiákat adhat hozzá.
A hátsó ajtó magyarázata
Az Alissa Knight hardverbiztonsági kérdésekre szakosodott. Az Aite Csoport vezető elemzője és a közelgő könyv, a Hacking Connected Cars: Taktika, technikák és eljárások könyvének szerzője. Lovag azt mondta, hogy a láthatatlan rosszindulatú szoftvereket kereső informatikai szakembereknek valószínűleg szükségük lesz egy olyan eszközre, mint a Trapezoid 5. Semmi kevésbé szakember nem fog tenni. "A hátsó ajtók egyik alapvető szempontja megnehezíti őket észlelést, mert arra várnak, hogy bizonyos kiváltók felébresztjék őket" - magyarázta.
Knight azt mondta, hogy ha létezik ilyen hátsó ajtó, függetlenül attól, hogy része egy rosszindulatú program támadásának, vagy valamilyen más okból áll fenn, akkor a legjobb, ha megteszi őket, hogy megakadályozzák működésüket, és megakadályozzák őket, hogy észleljék a triggereket. Hangsúlyozta a Hardver hátsó ajtóinak némítását, amely Adam Waksman és Simha Sethumadhavan, mindkettő kutatási jelentése Számítógépes építészet és Biztonsági Technológia Laboratórium, Számítástechnikai Tanszék a Columbia Egyetemen.
Waksman és Sethumadhavan kutatásai azt mutatják, hogy ezeknek a rosszindulatú programoknak a beindítását három módszerrel lehet megakadályozni: Először egy tápellátás visszaállítása (a memória rezidens malware és időalapú támadásokhoz); másodszor, az adatok elmosódása; és harmadszor, a sorozat törése. Az összetévesztés magában foglalja a bemenetekbe menő adatok titkosítását, így megakadályozható az eseményindítók felismerése, akárcsak a parancsfolyam véletlenszerűsítése.
Ezeknek a megközelítéseknek az a problémája, hogy informatikai környezetben a gyakorlatban kivitelezhetetlenek lehetnek, kivéve a legkritikusabb megvalósításokat. Knight rámutatott, hogy ezeknek a támadásoknak valószínűleg inkább állami támogatású támadók készülnek, mint pedig számítógépes bűnözők által. Érdemes azonban megjegyezni, hogy ezek az állami szponzorált támadók kis méretű vállalkozásokat követnek, hogy információt szerezzenek vagy egyéb hozzáférést kapjanak végső céljaikhoz, így az SMB informatikai szakemberei nem hagyhatják figyelmen kívül ezt a fenyegetést, mivel túl kifinomultak. alkalmazni őket.
A rosszindulatú programok kommunikációjának megakadályozása
Azonban egy működő stratégia megakadályozza a rosszindulatú programok kommunikációját, ami igaz a legtöbb malwarere és a hátsó ajtóra. Még ha ott is vannak, nem tudnak csinálni semmit, ha nem lehet bekapcsolni, vagy ha nem tudják elküldeni a rakományukat. Egy jó hálózati elemző készülék képes ezt megtenni. "Kommunikálni kell az otthoni bázissal" - magyarázta Arie Fred, a SecBI termékmenedzsmentének alelnöke, amely mesterséges intelligenciával (AI) alapú fenyegetés-felismerési és reagálási rendszert használ a rosszindulatú programok kommunikációjának megakadályozására.
"Napló alapú megközelítést használunk a meglévő eszközök adatainak felhasználásával a teljes körű láthatóság megteremtéséhez" - mondta Fred. Ez a megközelítés elkerüli a rosszindulatú programok titkosított kommunikációja által okozott problémákat, amelyeket egyes típusú rosszindulatú programok észlelési rendszerei nem tudnak felfogni.
"Autonóm nyomozást és automatikus enyhítést végezhetünk" - mondta. Ily módon nyomon követhetők és blokkolhatók egy eszközről egy váratlan célállomásra való gyanús kommunikációk, és ezeket az információkat meg lehet osztani a hálózat más részein.
Hardver alapú malware törlése
Tehát talán talált egy láthatatlan rosszindulatú szoftvert, és talán sikerült megakadályoznia, hogy az anyaságával folytatott beszélgetést folytathassa. Nagyon jó, de mi lenne megszabadulni tőle? Kiderült, hogy ez nem csak nehéz, de lehetetlen is.
Azokban az esetekben, amikor ez lehetséges, az azonnali gyógymód a firmware frissítése. Ez kiküszöböli a rosszindulatú programokat, kivéve, ha az az eszköz saját ellátási láncán keresztül jött be, ebben az esetben a rosszindulatú szoftvert csak újratöltené.
- A legjobb hálózati megfigyelő szoftver 2019-re A legjobb hálózati megfigyelő szoftver 2019-re
- A legjobb malware eltávolító és védő szoftver 2019-re A legjobb malware eltávolító és védő szoftver 2019-re
- Itt van a láthatatlan rosszindulatú program, és a biztonsági szoftver nem tudja elkapni A láthatatlan rosszindulatú program itt van, és a biztonsági szoftver nem tudja elkapni
Ha újravillan, akkor az is fontos, hogy figyelje a hálózatát az újbóli fertőzés jeleire. Ennek a rosszindulatú programnak valahol be kellett jutnia a hardverbe, és ha nem a gyártótól származik, akkor biztosan lehetséges, hogy ugyanaz a forrás újra elküldi, hogy újra helyreálljon.
Ez mélyebb ellenőrzés. Folytatja a hálózati forgalom figyelését a rosszindulatú programok kommunikációjának jeleire, valamint a különféle eszköz firmware telepítésein tartja a füleket a fertőzés jeleit illetően. És ha figyeli, talán megtudhatja, ahonnan jön, és kiküszöböli azt.
