Spisu treści:
- Zapory nowej generacji (NGFW)
- Oprogramowanie antywirusowe
- Bramy internetowe
- Od głównych do mniejszych
Cyberbezpieczeństwa i cała natura bezpieczeństwa IT poruszają się w zawrotnym tempie. W miarę jak ataki stają się bardziej wyrafinowane i ukierunkowane, niektóre z wcześniej skutecznych mechanizmów obronnych nie są już takimi, jakimi były - lub stały się całkowicie nieskuteczne przeciwko atakom. Oto trzy przestarzałe metody ochrony i dlaczego nie są już wystarczające. (W celu zapoznania się z tłem zapoznaj się z The New Face of 21st Century Cyberwarfare.)
Zapory nowej generacji (NGFW)
Historycznie zapory nowej generacji (NGFW) stosują podejście zorientowane na aplikacje do klasyfikowania ruchu sieciowego w celu powstrzymania złośliwego oprogramowania i innych ataków. Jednak NGFW okazały się nieskuteczne przeciwko zaawansowanym atakom. Dzieje się tak, ponieważ sercem technologii NGFW jest podstawowa konfiguracja podpisów IPS, oprogramowania antywirusowego, czarnych list adresów URL i analizy reputacji. Każdy z nich ma charakter reaktywny i udowodnił, że nie jest w stanie powstrzymać zaawansowanych zagrożeń.
Twórcy technologii NGFW wzbogacają swoje produkty o dodatki, takie jak oparte na chmurze pliki binarne i analizy DLL, a także cogodzinne aktualizacje zestawu sygnatur zapory. Problem polega na tym, że te opcje nadal pozostawiają dużo czasu na szkodliwe oprogramowanie powodujące szkody.
Oprogramowanie antywirusowe
W obliczu ataków typu zero-day i Advanced Trwałe Zagrożenie (APT), które wykorzystują nieznane luki, antywirus jest prawie bezradny w zapobieganiu współczesnym cyberzagrożeniom. Niektóre badania sugerują, że 90 procent plików binarnych w złośliwym oprogramowaniu zmienia się w ciągu godziny, co pozwala mu wymknąć się z przeszłości oprogramowanie antywirusowe, które polega na wykrywaniu na podstawie sygnatur i aktualizacjach opóźnionych o godziny, dni lub tygodnie, w zależności od częstotliwości aktualizacji.
To opóźnienie stanowi doskonałą okazję do rozprzestrzeniania się złośliwego oprogramowania z początkowych systemów, które infekuje. To okno jest również wystarczająco długie, aby złośliwe oprogramowanie instalowało inne infekcje, które mogą obejmować programy do łamania haseł i keyloggery głęboko osadzone w zainfekowanym systemie hosta.
W tym momencie usuwanie staje się coraz trudniejsze. Dlaczego specjaliści od bezpieczeństwa IT traktują oprogramowanie antywirusowe jako zaufaną część ogólnego bezpieczeństwa? Obecnie antywirus jest często używany jako system uzupełniający lub „pierwsza linia obrony” w połączeniu z większymi, bardziej zaawansowanymi systemami. Antywirus przechwytuje „nisko wiszące owoce”, które obejmują starsze sygnatury wirusów, podczas gdy bardziej niezawodne systemy ochrony przed złośliwym oprogramowaniem przechwytują zaawansowane złośliwe oprogramowanie, które zostaje pominięte.
Bramy internetowe
Przemysł cyberbezpieczeństwa dał nam dziedzictwo polegające na dopasowywaniu wzorców, które kiedyś miało na celu zwiększenie blokowania opartego na portach i usunięcie ograniczeń produktów zabezpieczających opartych na sygnaturach i listach. Bramy internetowe wykorzystują te same technologie.
Technologia bramy internetowej wykorzystuje bazy danych i listy znanych „złych” adresów URL, ale nie uwzględnia dzisiejszych rzeczywistych, ewoluujących zagrożeń. Egzekwowanie zasad i zabezpieczenia niskiego poziomu są jedyną wartością, jaką bramy sieciowe wnoszą do tabeli zabezpieczeń, ponieważ ewolucja cyberataków spowodowała, że bramy stały się nieskuteczne. Dynamiczny charakter dostarczania złośliwego oprogramowania i komunikacji sprawia, że listy „złych” witryn i adresów URL stają się przestarzałe.
Jak na ironię, kiedy bramy internetowe zyskały światową popularność, stały się nieco przestarzałe pod względem bezpieczeństwa. Technologia bram sieciowych nadal ma pewne zastosowanie w egzekwowaniu reguł korporacyjnych, które ograniczają lub ograniczają przeglądanie Internetu, ale jeśli chodzi o ochronę przed wyrafinowanymi atakami, bramy internetowe odgrywają w najlepszym wypadku marginalną rolę.
Od głównych do mniejszych
Chociaż nie można zaprzeczyć, że te trzy technologie odgrywają obecnie pewną rolę w ochronie sieci przed zagrożeniami cybernetycznymi, rozwinięte ataki nowej generacji, które widzimy dzisiaj, sprawiły, że stały się one mniejszą częścią bardziej zaawansowanej obrony.
Jedną z technologii skutecznych w ochronie przed zaawansowanym złośliwym oprogramowaniem są stanowe zapory ogniowe, które są w pewnym sensie skrzyżowaniem filtra pakietów z inteligencją na poziomie aplikacji uzyskaną dzięki proxy. To tylko jedna z wielu technologii, które zastąpiły lub nabrały luzu niektórych starszych technologii - przynajmniej na razie. Oczywiście zagrożenia cybernetyczne wciąż ewoluują, co oznacza, że próby ochrony muszą ewoluować wraz z nimi.