O singură tehnologie de protecție înseamnă un singur punct de eșec


Cum ați proteja casa dvs.? Ați investi într-un gard puternic, un set de camere de securitate, o alarmă foarte puternică sau detectoare de mișcare pentru a monitoriza colțurile întunecate? Sau ați prefera să folosiți toate acestea pentru a îmbunătăți protecția? Păstrarea în siguranță a rețelei de afaceri necesită interogări similare. Utilizarea unui sistem de securitate bazat pe un singur tip de tehnologie este un început bun, dar ce va opri infractorii cibernetici să fure informațiile dumneavoastră valoroase dacă găsesc o modalitate de a evita acel tip de protecție?

O companie care dorește să construiască o apărare fiabilă și puternică în domeniul securității cibernetice ar trebui să opteze pentru o soluție care să ofere tehnologii complementare, multiple, cu rate de detecție ridicate și un număr redus de alerte fals pozitive. Cu alte cuvinte, o soluție care detectează hoții, dar care nu reacționează atunci când pisica unui vecin se plimba pe peluză.

Atât codul malware, cât și activitatea rău intenționată pot lua mai multe forme, dar ceea ce ambele au în comun este efortul lor de a rămâne sub radarul soluțiilor de securitate implementate. Autorii de malware se străduiesc foarte mult să atingă acest scop, iar metodele lor evoluează în pas cu progresul din domeniul securității informatice.

Cu toate acestea, unii furnizori post-adevăr susțin că pentru a contracara toate atacurile cibernetice, companiile au nevoie doar de un singur strat de protecție ce folosește cel mai recent algoritm de învățare automată. Nu există actualizări, fără cloud și niciun nivel suplimentar de protecție, considerat inutil. Firește, această soluție cu un singur strat reprezintă chiar produsul pe care îl oferă.

În ciuda celor mai recente progrese în ceea ce privește inteligența artificială (AI), realizate în primul rând de către jucători mari precum Google, Facebook și Microsoft, chiar și cei mai noi algoritmi de securitate cibernetică nu reprezintă un punct invincibil împotriva tuturor amenințărilor. De fapt, ele oferă doar un singur nivel suplimentar, ce poate îmbunătăți securitatea endpoint-urilor, dar poate fi și ușor eliminat de adversari, atunci când sistemele de securitate complementare sunt absente.

În timp ce depășirea unui singur strat de protecție poate conduce la o breșă, barierele multiple de protecție capabile să detecteze elementele malițioase, chiar și atunci când sunt permanent modificate, fac atacurile mai dificile și mai costisitoare, forțând adversarii să schimbe continuu comportamentul codului lor.

De ce mai mult este mai bine

Rețelele companiei sunt similare cu organismele complicate. Acestea constau în diferite noduri - organe - fiecare având atribuite un rol, o importanță și drepturi diferite. Identificarea activității rău intenționate într-un sistem atât de complex se poate dovedi complicată datorită dezordonii inerente din sistem și deci dificilă, mai ales dacă soluția de protecție încearcă să urmărească totul printr-un singur punct.

Este adevărat că un perimetru puternic poate îmbunătăți securitatea informatică a unei afaceri, eliberând astfel endpoint-urilor de la scanarea constantă a fiecărui element în vederea identificărilor de activități dăunătoare. Cu toate acestea, dacă este aceasta este singura barieră de protecție pentru atacatori, odată ce reușesc să treacă de ea, nu mai este nimic ce îi poate opri.

Amintiți-vă că evitarea soluțiilor de protecție reprezintă o activitate zilnică pentru atacatorii cibernetici și, așa cum s-a dovedit de nenumărate ori în trecut, orice funcționalitate sau sistem pot fi eludate cu un efort suficient. Având soluții cu mai multe straturi, chiar dacă este ocolită o singură tehnologie, o serie de alte tehnologii rămân să ia măsuri la un moment ulterior sau într-o situație specifică.

Deci, chiar dacă malware-ul este suficient de ascuns pentru a evita detectarea într-un e-mail, acest lucru nu înseamnă că nu va fi blocat și eliminat mai târziu, când încearcă să dăuneze memoria sistemului. Același lucru este valabil și pentru un cod malware ce pariază pe o întârziere a activităților sale frauduloase pentru a evita detectarea sau șederea într-un sistem timp de mai multe luni, în timp ce așteaptă un anumit tip de fișier pentru a declanșa următoarele procese rău intenționate.

Chiar și o mașină inteligentă poate fi păcălită

Mulți dintre vânzătorii post-adevăr susțin că soluțiile lor funcționează pe o bază diferită. Ei spun că soluțiile lor de învățare automată sunt capabile să învețe la nivel local și să descopere multe dintre tehnicile folosite de către atacatori. Dar adevărul este că cele mai multe metode cibernetice evoluează - și pot fi suficient de sofisticate pentru a păcăli chiar și cele mai noi așa-numite mașini inteligente.

Pentru a numi doar câteva exemple, putem vorbi despre steganografia. Atacatorii trebuie doar să ia un cod malitios și să-l introducă în fișiere inofensive, cum ar fi imaginile. Prin îngroparea acestuia într-un set de pixeli, mașina poate fi păcălită de fișierul (infectat), care este acum nu mai poate fi deosebit de omologul său curat.

În mod similar, fragmentarea poate duce, de asemenea, la un algoritm de detecție care returnează o evaluare incorectă. Atacatorii împart malware-ul în părți și îl ascund în mai multe fișiere separate. Fiecare dintre ele este curată; numai în momentul în care toate converg către un punct final, încep să demonstreze un comportament malițos.

Cu un singur nivel de monitorizare, această activitate poate trece neobservată, deoarece algoritmul "inteligent" ar necesita o optică mai complexă pentru a observa întreaga problemă. Folosind mai multe tehnologii, combinate cu un context global și cu actualizări, poate fi oferită o imagine de ansamblu necesară și pot fi blocate cu succes chiar și încercările noi și sofisticate.

De ce să nu blocați aceste tehnici?

Deși abordarea descrisă mai sus poate fi utilizată pentru scopuri rău intenționate, acestea sunt perfect legitime în alte contexte. Fiecare client business este diferit, iar endpoint-urile pot avea setări foarte diverse. Unele companii, de exemplu, utilizează software sau fișiere care arată foarte suspect, dar sunt în întregime legitime pentru scopurile lor.

Sigur, dacă sunteți un vânzător de soluții de securitate cibernetică cu o bază de utilizatori de zeci de mii sau poate sute de mii de endpoint-uri, îi puteți contacta pe aceia puțini care ar putea întâlni anumite probleme. Dar dacă numărul crește până la zeci sau sute de milioane?

Doar ani de experiență și de testare pot dovedi cât de bine trebuie să fie realizate soluțiile pentru a se potrivi unui astfel de grup semnificativ de clienți business. În mod similar, este nevoie de o investiție de ani pentru a concepe straturile protectoare care ajută în mod proactiv să depășească criminalii cibernetici și să protejeze astăzi masele de utilizatori de internet.

Analiștii din domeniul securității cibernetice au indicat, de asemenea, problemele asociate cu utilizarea unei singure tehnologii de protecție unice și au fost nevoiți să solicite multă prudență în momentul alegerii între așa-numiții producători "next-gen" și furnizorii cu experiență de soluții de securitate - menționând prima variantă ca fiind una complementară, dar nu o alternativă la cea din urmă.

ONDREJ KUBOVIČ

CORESPONDENT INDEPENDENT

În colaborare cuJakub Debski și  Peter Kosinar

oana May 4, 2017

Lasa un comentariu