Antivirusni softver ne može da drži korak sa novim zlonamernim softverom ili varijantama poznatog zlonamernog softvera, ali i dalje ima svoju ulogu u opštoj strategiji zaštite krajnjih tačaka. Tradicionalni antivirus zasnovan na potpisima je ozbiljno manjkav za zaustavljanje novijih pretnji, kao što su napadi nultog dana i softver za iznudu otkupa, ali i dalje, kažu stručnjaci, ima mesto u preduzeću kao deo višeslojne strategije zaštite krajnje tačke. Najbolji antivirusni proizvodi djeluju kao prvi sloj odbrane, zaustavljajući ogromnu većinu napada zlonamernog softvera i ostavljaju manje radno opterećenje širem softveru za zaštitu krajnje tačke. Antivirusni proizvodi kreiraju potpis za svaki komad zlonamernog softvera otkriven na slobodi, ali da bi se taj proces započeo potrebno je da neko da bude zaražen. „A kada antivirusna kompanija to uradi, mogu da prođu dani ili meseci da bi sve tačke bile ispravno ažurirane novim potpisom“, kaže Ed Metcalf, viši direktor marketinga proizvoda kompanije Cylance, Inc. „Do tada je sajber napad mogao lako da se proširi na celo preduzeće i proizvede štete ili ukrade podatke. “
Istraživanje otkriva promenu uloge antivirusnog softvera
Prema anketi prošlogodišnjih učesnika Black Hat-a, 73 odsto smatra da je tradicionalni antivirus irelevantan ili zastareo. „Poverenje u mogućnosti antivirusa za blokiranje ili zaštitu svakako je opalo“, kaže Mike Spanbauer, potpredsednik za strategiju i istraživanje u NSS Labs, Inc. Mnogo nedavnih istraživanja potvrđuje to shvatanje. U septembru, bezbednosna kompanija WatchGuard Technologies objavila je rezultate sveobuhvatnog testiranja tradicionalnog antivirusa. Oni su izračunali koliko je jedan od vodećih tradicionalnih antivirusnih proizvoda učinio pri otkrivanju pretnji napada nultog dana, posmatrajući klijente koji su imali tradicionalne antivirusne proizvode i one koji su imali proizvode za zaštitu krajnje tačke nove generacije. Tradicionalni antivirus je propustio 38 odsto zlonamernih napada koje je uhvatila platforma sledeće generacije koja koristi pristup zasnovan na ponašanju. To je porast od 30 procenata u odnosu na kraj 2016. godine, kada je kompanija počela da radi ovo istraživanje.
Tradicionalni antivirusni proizvod je bio iz AVG Technologies, dobro ispitanog proizvoda. Zapravo, u izveštaju koji je AV Comparatives objavio u septembru, AVG je uhvatio 100% ispitanih uzoraka, što ga svrstava u prvih deset proizvoda na tržištu. Međutim, AV Comparatives je testirao AVG na uzorcima poznatog zlonamernog softvera, a ne protiv novih napada. Zašto je tradicionalni antivirus na bazi potpisa sve gori prilikom otkrivanja pretnji? „Prepreke se razvijaju“, kaže Rob Lefferts, korporativni potpredsednik kompanije Microsoft 365. „Izbegavao bih da koristim izjavu “ antivirus je mrtav“, ali ako razmišljam o pouzdanom antivirusu kao rešenju – ti dani su prošli.“
Ne samo da su napadači počeli bolje da brzo generišu bezbroj verzija postojećeg zlonamernog softvera, izmenjenog upravo dovoljno da se izmeni postojeći potpis, ali se pojavljuju i novi napadi, poput napada bez fajla, koji tradicionalni antivirus neće uhvatiti, kaže on. Kompanije su svesne ovog problema. Prema najnovijem SANS anketiranju IT profesionalaca o zaštiti krajnjih tačaka, tradicionalni antivirusi hvataju svega 47 procenata provala krajnje tačke. Ostle su uhvatili SIEM-si, analiza mreže, napredni sistemi za zaštitu krajnjih tačaka i druge tehnologije. Međutim, svega 50 posto kompanija je nabavilo sredstva sledeće generacije, a 37 posto je tu funkcionalnost i uključilo. Osim toga, mada 49 posto ima alate za otkrivanje napada bez fajla, 38 odsto ih ne koristi.
Slične nalaze je Instituta Ponemon objavio ovog meseca u anketi stručnjaka za IT bezbednost. Sedamdeset posto izjavilo je da su veoma zabrinuti zbog novih i nepoznatih pretnji, ali samo 29 odsto njih je reklo da je njihov tradicionalni antivirusni sistem na osnovu potpisa pružio svu zaštitu koja im je potrebna.
Odbrana tradicionalnog antivirusa
Da li kompanije treba da odbace tradicionalni antivirus u korist novih tehnologija? Ne, prema Lefferts-u iz Microsofta, koji kaže da tradicionalni antivirus još uvek ima svoju ulogu. Analiza ponašanja, karantin i drugi napredni alati zahtevaju mnogo vremena i troše propusnost mreže i resurse računara. Tradicionalni antivirus je brz, jeftin i lagan. „Ako posmatrate broj različitih vrsta zlonamernog softvera, sve više ima polimorfnih ili prilagođenih napada“, kaže on. „Ali ako se uzme u obzir navala običnog zlonamernog softvera, on još uvek predstavlja preovlađujući broj napada koji se svakodnevno dešavaju“.
Iako tradicionalni antivirus ne može da zaustavi sve napade, on može uz mali trošak da blokira značajan broj. „Pa, uradimo to“, kaže Lefferts. „Ali svakako ne možemo sebi da priuštimo da ostanemo na tome, i mislim da niko danas ne kaže da treba da ostanemo na tome.“
Potencijalne pretnje koje prođu kroz prvu liniju odbrane mogu se zatim analizirati na osnovu karakteristika njihovog ponašanja ili poslati u karantin na sigurno detoniranje. Jedna kompanija koja ne može da bira da li da koristi tradicionalni antivirus je Emeriville, nacionalna korporacija za osiguranje hipoteka iz Kalifornije. „Naši klijenti su banke, a mnoge od njih zahtevaju da kao deo instalirane odbrane imamo tradicionalni antivirus koji se temelji na potpisima „, kaže Bob Vail, direktor informacione bezbednosti kompanije.
Sophos, proizvođač antivirusa ove kompanije, ima dobre rezultate detekcije i njegov proizvod je veoma lagan, kaže on. To je dobra prva runda odbrane, ali Vail kaže da zna da to nije dovoljno. „Po pravilu, antivirus se javlja post festum“, kaže on. „Neko mora da bude zaražen da bi se potpis razvio, a onda se nadamo se da će svi ostali biti zaštićeni pre nego što budu napadnuti.“ Kompanija takođe ima drugi nivo zaštite kako bi se zaštitila od zlonamernog softvera koji se probije, jedan sistem zasnovan na ponašanju od enSilo-a. Ova dva proizvoda dobro rade zajedno, kaže Vail. „Ako se otkrije poznati virus, Sophos će fajl staviti u karantin pre nego što dobije priliku da se izvrši“, kaže on. „Ali ono što prođe pored njega, goniće enSilo, pa je to klasična odbrana u dubinu.“
Tradicionalni antivirus je dobar dodatak novijim tehnologijama poput onih koje uključuju analitiku ponašanja, karantin i mašinsko obučavanje. Napredniji alati mogu da zahtevaju više procesorske snage, što može usporiti računar. Ako proizvod radi testove ponašanja ili druge testove potencijalnih pretnji pre nego što korisniku dozvoli pristup, to može da utiče na produktivnost. Ako proizvod dozvoljava pretnjama da prođu, a zatim ih zasebno testira, zlonamerni softver ima interval mogućnosti za pristup preduzeću.
Na kraju, kada se otkrije nova pretnja, potreban je dodatni rad za ublažavanje pretnje i generisanje potpisa radi zaštite od pretnje u budućnosti. „Prvi nivo odbrane će uvek biti neka vrsta odbrane zasnovane na potpisu“, kaže Raja Patel, potpredsednica za korporativni proizvod kompanije McAfee LLC. „Ako već znate da je nešto loše, zašto da se pravi dodatni sloj zaštite od njega?“
Ako ne koriste to početno procenjivanje na osnovu potpisa, kompanije će morati da potroše mnogo više vremena, napora i novca kako bi se suprotstavile svim pretnjama koje stižu, kaže on. „Možete da zamislite koliko bi tim bezbednosti imao posla.“ Ako se pretnja može uhvatiti i zaustaviti na samom ulazu, to je najjeftinija opcija. „Antivirus zasnovan na potpisu štedi ljudske napore i smanjuje broj lažno pozitivnih i vremenska odlaganja“, kaže on. „To je fantastičan prvi sloj i dugo će tako ostati.“
Tradicionalni antivirus i alatke za zaštitu krajnje tačke sledeće generacije su konvergentni
Kako industrija sazreva, preduzeća će moći da dobiju kompletan alat za zaštitu od zlonamernog softvera od jednog proizvođača, ako to već ne čine. Dobavljači tradicionalnih antivirusa dodaju mogućnosti nove generacije, dok prodavci sledeće generacije uključuju u svoje pakete i zaštitu zasnovanu na potpisima.
Startap bezbednosti krajnje tačke CrowdStrike je, na primer, pokrenuo svoju sveobuhvatnu platformu Falcon pre četiri godine, omogućavajući korisnicima kao što je trust mozgova Centra za strateške i međunarodne studije, u Vashingtonu, da imaju sve na jednom mestu. „Već smo imali instaliran CrowdStrike i oslanjali se na njega kao deo bezbednosti krajnje tačke“, kaže Ian Gottesman, tehnički direktor organizacije. „Proširenje tog rešenja antivirusnim sistemom bilo je korisno za CSIS. Preporučio bih svakoj drugoj organizaciji da učini isto.“
Preduzeća sve češće očekuju da se antivirusna zaštita uključi u rešenje krajnje tačke sledeće generacije. „Preduzeća ne vole da mešaju i usklađuju“, kaže Adam Kujava, šef za zlonamerni softver u kompaniji Malwarebytes Corp. „Oni više vole da imaju jednog dobavljača. Dakle, bezbednosna rešenja imaju više slojeva, sa uključivanjem više tehnologija da bi se maksimizirala količina zaštite. “
Ni proizvođači tradicionalnih antivirusa ne stoje po strani. Umesto toga, mnogi kupuju ili grade alat sledeće generacije koji može da pomogne u hvatanju napada koji se probiju kroz odbranu zasnovanu na potpisima. „Antivirus će nestati u narednih nekoliko godina ako se ne razvija“, kaže Luis Corrons, tehnički direktor kompanije PandaLabs u kompaniji Panda Security, proizvođaču tradicionalnih antivirusnih programa. „Mi u Pandi smo bili svesni toga.“
Kompanija je već nekoliko godina imala detekciju zlonamernog softvera na bazi ponašanja, ali čak ni to nije dovoljno. Veliki broj uspešnih kršenja bezbednosti uopšte ne sadrži nikakav zlonamerni softver, kaže on. „Recimo to kristalno jasno, tradicionalni antivirus je beskoristan protiv ovih napada jer tu nema zlonamernog softvera“, kaže on. Na primer, napadači mogu da koriste postojeći softver koji nije zlonameran. Kompanija je nedavno razvila nove alate za praćenje ponašanja svih aktivnih aplikacija u preduzeću. „To nam omogućava punu vidljivost onoga što se dešava u našoj mreži“, kaže on. McAfee je takođe dodao nove slojeve zaštite, kaže McAfee-ov Patel. „Odbrana zasnovana na potpisima će vas zaštititi pošto već znate za pretnje, ali neće zaštititi nultog pacijenta niti vremenski period od infekcije pa do izrade novog potpisa“, kaže on.
Prema istraživanju Ponemona, 64 posto kompanija je ove godine doživelo jedan ili više napada na krajnje tačke koji su ugrozili imovinu ili infrastrukturu, a 63 posto je reklo da je broj napada porastao u odnosu na prošlu godinu. U međuvremenu, prosečna cena uspešnog napada povećala se sa 5 miliona na 7,1 miliona dolara, uz prosečnu cenu od 440 dolara po kompromitovanoj krajnjoj tački. Za mala i srednja preduzeća prosečna cena je bila još veća, sa 763 dolara po krajnjoj tački.
„Ono što zabrinjava je koliko sporo mnoge organizacije reaguju na ove nove taktike i prilagođavaju svoje bezbednosne strategije“, kaže Satya Gupta, osnivač i tehnički direktor u Virsec Systems. „Još smo zaglavljeni u zamisli da se čuva obod i zaustavlja ono što je već ranije viđeno.“
Izvor: CSO