Sistemele de protectie la nivel de retea (firewall-ul) si la nivel de endpoint (antivirusul) reactioneaza la conexiunile stabilite de malware si la malware in sine dupa ce atacul a fost executat. Cisco Umbrella are vizibilitate asupra infrastructurii DNS din Internet si poate preveni conexiunile malitioase si atacurile inainte ca acestea sa poata afecta in mod negativ organizatia.
Pentru a-si atinge obiectivele, hackerii sunt nevoiti sa faca mai multe operatiuni in timpul atacului. Fiecare operatiune ofera unui furnizor de solutii de securitate o oportunitate de a detecta prezenta atacatorului si de a dezvolta protectia necesara. Pasii executati in cadrul unui atac sunt:
- Recon – atacatorul efectueza mai multe activitati de recunoastere pentru a invata detalii despre tinta vizata
- Staging – atacatorul construieste malware-ul (custom sau readily available) pe care il va folosi impotriva organizatiei si infrastructura necesara: servere de command and control, servere compromise, botnet-uri.
- Launch – atacul este lansat folosit diferiti vectori: email, web, inginerie sociala
- Exploit – atacul exploteaza vulnerabilitati de tipul zero day sau vulnerabilitati cunoscute
- Install – payload-ul malitios stabileste o conexiune cu un alt sistem din Internet pentru a instala malware aditional
- Callback – sistemul compromis „suna” alte sisteme aflate sub controlul atacatorului
- Persist – atacatorul foloseste o varietate de tehnici pentru a ramane nedetectat si pentru a-si pastra accesul la sistem (de obicei, instaland una sau mai multe backdoor-uri) pana cand isi indeplineste obiectivele.
Firewall-ul stie daca adresa IP dintr-o conexiune se regaseste intr-un feed de reputatie sau daca se afla pe un „blocked list”. Si totusi, furnizorul echipamentului trebuie sa astepte pana cand un atac este lansat pentru a putea colecta si analiza o copie a traficului. Dupa care, producatorul va capata informatii despre infrastructura folosita in timpul atacului.
Antivirusul stie daca hash-ul unui payload se potriveste cu o semnatura de malware. Totusi, furnizorul AV-ului trebuie sa astepte pana cand un sistem este compromis pentru a colecta si pentru a analiza o mostra de cod/fisier. Apoi, producatorul va avea informatii despre malware si va putea crea o semnatura specifica. Solutiile de antivirus nu sunt eficiente impotriva malware-ului de tip zero day, chiar nici cele care folosesc algoritmi heurisitici intrucat nici cel mai bun algoritm de AI nu poate identifica cu o rata de 100% malware-ul „zero day”.
Cisco Umbrella nu asteapta ca atacul sa fie lansat, ca malware-ul sa se instaleze sau ca sistemele infectate sa „sune” inapoi la atacatori pentru extra malware/instructiuni. Cisco Umbrella monitorizeaza continuu relatiile dintre numele de domeniu, adresele IP si numere de sistem autonom (ASN). Aceasta vizibilitate ii permite lui Cisco Umbrella sa descopere si sa prezica unde sunt puse in scena atacurile si de unde vor fi originate inainte ca acestea sa fie lansate.
Firewall-ul si antivirusul sunt inca sisteme critice in arhitectura de securitate si nu putem sa renuntam la ele. Unul dintre cele mai importante motive este ca malware-ul nu are termen de expirare. Orice malware creat vreodata este inca in circulatie online sau offline. Solutiile care identifica malware pe baza de semnaturi sunt foarte eficiente in a preveni amenintarile cunoscute care pot infecta sisteme indiferent de vectorul de atac folosit: email, web, stick-uri USB. Firewall-urile sunt eficiente in a proteja perimetrul retelei prin detectarea activitatilor de recunoastere premergatoare atacului cum ar fi scanarile de porturi sau de IP-uri, impiedica propagarea laterala si extinderea malware-ului prin segmentarea retelei si controleaza accesul la resurse cu reguli specifice de permit/deny.
Realitatea este ca nicio tehnologie de securitate nu poate oferi 100% protectie. Hackerii incearca sa fie mereu cu un pas inaintea masurilor de protectie. Organizatiile trebuie sa investeasca in solutii care sa le apere de cele mai noi amenintari ca si de orice amenintare din trecut.
Cisco Umbrella este o platforma de securitate cloud-based care ofera primul nivel de protectie impotriva pericolelor din Internet oriunde s-ar afla utilizatorii. Invatand din activitatea din Internet, Umbrella descopera in mod automat amenintarile curente, dar si pe cele emergente si le blocheaza inainte ca ele sa ajunga in reteaua organizatiei sau pe endpoint-urile folosite de utilizatori.
Mihai Dumitrascu, Sr Systems Engineer
