Článek
Dlouhodobě je e-mailová zpráva nejčastější bránou pro napadení počítače malwarem, dle dat společnosti Verizon až v 94 % případů. Za třetinou průniků do firemních sítí phishing. Při podobných útocích využívají útočníci řadu postupů, aby zamezili detekci rizikových zpráv anti-malware programy. Zdaleka ne všechny útoky šířené e-mailem dokáže uživatel sám rozpoznat. Nejčastěji uživatelům přijdou e-mailem soubory spustitelné ve Windows (56 %) a infikované dokumenty sady Office (18 %).
Pískoviště, kde si hraje malware
V případě sofistikovaných kampaní se administrátoři musejí spolehnout na pomoc softwaru, především sandboxů (do češtiny lze přeložit jako pískoviště) odříznutých od firemní sítě. Jedná se o prostředí, kde je možné otestovat chování podezřelého kódu, aniž by byl ohrožen zbytek počítače nebo sítě.
„Nejčastěji se v našem sandboxu skenují přílohy e-mailů. Blokujeme především sofistikované programy, které stahují další malware, nebo škodlivý kód ukrytý v makrech. Malware, který by se takto měl do zařízení dostat, slouží obvykle ke krádeži přihlašovacích údajů, případně k vytvoření zadních vrátek do sítě,“ potvrzuje Václav Zubr, bezpečnostní expert společnosti ESET.
Strojové učení analyzuje rychle
Zmíněný sandbox zpravidla funguje v cloudovém prostředí, tedy ve virtuálním prostoru na serveru poskytovatele bezpečnostního řešení. V tomto chráněném prostředí je vzorek spuštěn, a následně se analyzuje jeho chování. Pokud je vzorek v pořádku, zpřístupní se koncovému uživateli. Pokud ne, problémový soubor je zablokován a systém informuje administrátora.
Moderní sandboxy jsou založené na strojovém učení, využívají neuronové sítě a další technologie. V sandboxu je díky tomu možné odhalit dosud neznámé hrozby velmi rychle a maximálně efektivně. Například ESET uvádí, že většinu vzorků vyhodnotí za méně než 5 minut.
Kdo potřebuje cloudový sandbox?
Útočníci se již poměrně běžně zaměřují také na menší podniky. O sandboxové analýze by měli uvažovat organizace zpracovávající velké množství osobních dat, zdravotnická zařízení či poskytovatelé důležitých služeb.
Vhodné může být zařazení této vrstvy zabezpečení také při vytváření standardů pro práci na dálku v podmínkách, kdy administrátoři sítě nemají detailní kontrolu nad zabezpečením domácí sítě zaměstnance.
„Chyby v zabezpečení při práci na dálku stále častěji útočníci zneužívají. Je potřeba na to reagovat, proto jsme cloudový sandbox zpřístupnili i nejmenším firmám od pěti zařízení. Je nutné, aby i ti nejmenší měli možnost se chránit před promyšlenými útoky,“ dodává Zubr.