Pět způsobů, jak útočníci obcházejí tradiční Antivirové systémy

Klíčovou motivací vývoje platformy ochrany koncových bodů byla skutečnost, že útočníci se snadno vyhýbali zabezpečení sítě pomocí tradičních řešení jako je například Antivir.

‍

Útočníci v zásadě pokročili za možnosti tradičního zabezpečení koncových bodů, jsou schopni zůstat v sítích po dlouhou dobu neodhaleni a sbírat informace k silnému útoku.

‍

Pět způsobů, jak útočníci obcházejí tradiční Antivirové systémy

‍

1. Bezsouborový ransomware

Bez fyzického souboru není možné klasickým antivirovým řešením detekovat a blokovat bezsouborové techniky šíření ransomwaru.

‍

Útoky, kterých se klasický Antivir obává, jsou bezsouborové (fileless), také známé jako útoky s nulovými stopami (zero-footprint) či nemalwarové útoky (non-malware attacks). Tyto typy útoků neinstalují soubory ani nový software do počítače uživatele. Fileless útoky totiž využívají zranitelnosti aktuálně nainstalovaných softwarů. Takže je pravděpodobné, že je klasické Antivirové nástroje vůbec nezaznamenají.

‍

Podle zprávy o kybernetické bezpečnosti společnosti SecureWorld  vzrostly útoky bez souborů v první polovině roku 2022 o 23 % ve srovnání s druhou polovinou roku 2021.

‍

Pouze s EPP, EDR případně XDR systémy můžete sledovat podezřelé chování v síti a najít podezřelé vzorce, které vás upozorní na metody bezsouborového útoku.

‍

2. Snadná dostupnost nových technik útoků

Kyberzločinci ukradnou nebo vyvinou nové pokročilé techniky pro napadení systémů a nabízejí  je k prodeji nebo jednoduše jako open source na internetu, především na dark webu.

Využití těchto skriptů a technik umožňuje, aby aktivita útočníků „vypadala normálně“ a zůstala skryta v síti.

‍

3. Zastaralé koncové body  

Oblast hrozeb se rychle vyvíjí. A to znamená, že dodavatelé software vyvíjejí záplaty a aktualizace co nejrychleji, aby se pokusili držet krok s novými hrozbami.

‍

Tempo aktualizací často předčí schopnosti bezpečnostních týmů, zejména pokud chybí patch management a automatizace.

‍

Navíc agenti koncových bodů často selhávají, takže jednotlivé koncové body zůstávají nezabezpečené.

‍

Zpráva Global Endpoint Security Trends z roku 2019 ukázala, že  35 % narušení koncových bodů je způsobeno existujícími zranitelnostmi.

‍

Vzhledem k tomu, že platformy ochrany koncových bodů jsou obvykle založené na cloudu, mohou být neustále aktuální, aby byly koncové body chráněny před nejnovějšími hrozbami.

‍

4. Více zdrojů dat

Tradiční řešení zabezpečení koncových bodů běží v relativní izolaci od zbytku bezpečnostních systémů. Jeden neví co děla ten druhý. To znamená, že je vyžadováno, aby více systémů sledovalo aktivitu na jednom koncovém bodě a sledovalo jakoukoli podezřelou aktivitu v celé síti během vyšetřování incidentu.

‍

Platformy EPP poskytují jediný zdroj  a kombinují data ze všech bezpečnostních řešení napříč platformou a poskytují snadný přístup k datům a vyšetřování incidentů.

‍

5. Filtrovaná data koncových bodů

Mnoho řešení zabezpečení koncových bodů filtruje data koncových bodů, která jsou podle známých vzorců chování a IOC považována za nesouvisející s hrozbou.

‍

Nyní, když útočníci mají pokročilejší techniky, spoléhají na filtrování dat koncových bodů, aby odfiltrovali svou aktivitu.

‍

To znamená, že správce bezpečnosti nevidí souvislosti. Když  nepřetržitě zaznamenáváte data o aktivitě koncového bodu s EPP, můžete vidět tyto nové techniky a předvídat nové hrozby.

‍

Analytici a bezpečnostní experti se shodují, že EPP jsou nejlepší cestou k zabezpečení sítí před pokročilými hrozbami.

‍

Bezpečnostní experti, kteří přešli na platformu EPP se shodují na těchto výhodách:

‍

Značná úspora času

Možnost identifikovat a podniknout konkrétní kroky v případě jakýchkoli problémů, které se objeví, bez potřeby

‍

Jediná centralizovaná kozole

Dostupné funkce EPP a vyhledávání hrozeb umožňují bezpečnostním týmům postupovat rychle a přesvědčivě a zároveň využívat výhod jedné centralizované cloudové konzole.

‍

Udržet krok s hrozbami

EPP je přesně to, co podniky potřebují k udržení kontinuity tváří v tvář dnešním největším kybernetickým hrozbám. S EPP lze rychle prozkoumat, reagovat a odstranit zastaralá AV řešení.

‍