Любая атака, которая использует преимущества «окна возможностей» в результате недавно обнаруженных уязвимостей, — называется атакой нулевого дня. Другими словами, речь идет об оперативно выполняемой атаке, которая осуществляется кибер-преступниками раньше, чем эксперты безопасности смогут устранить данную уязвимость… или даже прежде, чем они узнают о данной атаке.
Любая атака такого типа – это мечта любого хакера, т.к. она гарантирует мгновенную славу (иногда эти уязвимости распространяются в «теневом Интернете»), при этом такие атаки известны своей деструктивностью (особенно, когда она используется хакером для собственной выгоды). Также такие атаки являются полезным инструментом для правительств ряда стран, которые пытаются нарушить работу иностранных систем или предприятий.
Путь поиска «нулевых дней»
Защита от подобных атак настолько важна, что крупные технологические компании используют собственные команды хакеров, которые стараются обнаружить и исследовать уязвимости «нулевого дня» раньше, чем кибер-преступники воспользуются ими.
Назначение таких команд – разработка соответствующих патчей, а также информирование поставщика уязвимого программного обеспечения. Например, Google имеет свою собственную команду хакеров под названием Project Zero, возглавляемую Крисом Эвансом, в составе которой присутствуют и другие хорошо известные хакеры, такие как Джордж Хотц (обладатель крупнейшего за всю истории приза за обнаружение уязвимости), Тэвис Орманди, Бен Хокс и Брит Ян Биир. Другие компании, такие как Endgame Systems, Revuln, VUPEN Security, Netragard или Exodus Intelligence также ведут активную работу по обнаружению подобных угроз.
Важно иметь ввиду еще один аспект, связанный с уязвимостями нулевого дня. Если хакеры, обнаружившие уязвимость, решили не распространять о ней информацию и выбрали более дискретный способ ее использования, то пользователи могут неделями, месяцами или даже годами подвергаться риску со стороны этих неизвестных уязвимостей (это и есть так называемые постоянные угрозы повышенной сложности – APT или Advanced Persistent Threats).
Как защититься от атак нулевого дня
Как уже упоминалось выше, очень сложно определить, откуда может исходить опасность таких атак нулевого дня. Невозможно просто сделать вакцину от них. Мы можем знать о существовании таких атак, но мы не знаем, чем они вызваны. Поэтому традиционные инструменты безопасности (например, антивирус) не способны бороться с потенциальными вредоносными программами, которые до сих пор не идентифицированы.
Впрочем, существуют определенные действия и меры, которые могли бы нам помочь снизить разрушительное воздействие атак нулевого дня.
• Никогда не устанавливайте лишние программы: каждая программа, установленная в Вашей системе, — это окно для проникновения потенциальных атак нулевого дня. Рекомендуется периодически просматривать список установленных программ и удалять те, которые Вы больше не используете.
• Не забывайте про обновления: имеющееся у Вас программное обеспечение всегда должно быть обновлено до последней версии.
• Используйте надежный файервол: если невозможно обнаружить вредоносную программу, которая проникает с использованием неизвестной уязвимости, то, может быть, Вы сможете обнаружить подозрительное соединение и блокировать его, пока это еще не поздно.
Однако, если пойти дальше, то очень важно, чтобы наши системы имели дополнительный защитный барьер, который не зависит от сигнатурной технологии обнаружения вредоносного программного обеспечения. Принимая во внимание данный факт, Panda Security разработала Adaptive Defense 360, который основан на различных подходах: мониторинг каждого приложения и анализ их поведения в режиме реального времени с помощью техник машинного обучения и платформ Больших данных.
Все это позволяет Adaptive Defense 360 предложить два типа блокировки:
• Основной режим блокировки, который допускает запуск как программного обеспечения, помеченного как goodware (невредоносное ПО), так и приложений, которые еще не были каталогизированы автоматизированными системами и экспертами Panda Security.
• Расширенный режим блокировки, который допускает только запуск тех приложений, которые отмечены как goodware.
Комментарии (16)
SAPetr
14.10.2015 15:24+1Игорь, добрый день.
Ниже предварительная информация по сравнению.
В общем, отличий много.
Опять же, досконально мы еще не тестировали данную систему (разработчики нам пока тоже информацию не предоставили), но если сравнивать с общедоступной информацией о функционале продукта, то получается следующее:
1. AD360 — это полноценный антивирус в широком смысле этого слова (антивирус, файервол, контроль устройств, карантин и пр.) + HIPS. Этого нет в EMET
2. AD360 в плане защиты от целенаправленных атак, уязвимостей нулевого дня, шифровальщиков и прочих угроз (включая APT) работает практически полностью в автоматическом режиме. EMET надо настраивать со знанием дела (не каждый это сможет)
3. AD360 — это продукт для корпоративных пользователей с централизованной облачной консолью управления (группы пользователей, профили пользователей, политики безопасности, мощная система отчетности, особенно при использовании LogTrust), а EMET все же видимо персональное решение, локально устанавливаемое с очень ограниченным функционалом
4. AD360 работает по принципу динамических белых и черных списков приложений. Т.е. почти все приложения классифицированы в базе знаний Panda, и соответственно в зависимости от режима работы AD360 позволяет запускать либо только те приложения, что классифицированы как Goodware, либо еще и неклассифицированные приложения. Каждое приложение в базе знаний постоянно отслеживается и при необходимости переклассифицируется. Каждое новое приложение классифицируется в течение нескольких часов. Система построена на платформе Больших знаний с использованием техник машинного обучения. Облачная инфраструктура, которая работает в реальном времени. EMET, видимо, локальное решение, которое работает по другому принципу: оно отслеживает уже известные уязвимости и проверяет, чтобы их не использовали другие приложения (даже если патч еще не выпущен).
5. AD360 позволяет отслеживать взаимосвязи всех процессов на машине, и показывать это пользователю. Грубо говоря, можно посмотреть, какая угроза какой файл пытается запустить, какой ключ хочет прописать в реестр, что пытается скопировать, загрузить, открыть и т.д. Т.е. мощная система корреляции между всем, что происходит на машине. В EMET этого нет, насколько можно было понять.
Это основные отличия, которые бросаются в глаза сразу.
Понятно, что если покопаться, там еще много чего можно найти.
Т.е. AD360 включает функционал EMET и еще много чего другого, чтобы обеспечить комплексную защиту и экспертный анализ
numberfive
14.10.2015 15:56малому и среднему бизнесу это не должно быть сильно интересно, а крупный бизнес сам знает, что ему делать или не делать.
SAPetr
14.10.2015 16:03numberfive, здравствуйте.
Adaptive Defense 360 — это не утилита, а комплексное решение (вкл. антивирус), которое рекомендуется предприятиям от 50 машин.
По общепринятой классификации: до 100сотрудников на предприятии- малое предприятие, от 100 сотрудников — средний бизнес (количество машин при этом может не совпадать с количеством сотрудников).
lexore
14.10.2015 18:20Если хакеры, обнаружившие уязвимость, решили не распространять о ней информацию и выбрали более дискретный способ ее использования
Что значит «более дискретный» в данном контексте?SAPetr
15.10.2015 08:04Имеется ввиду ограниченный, отдельный способ применения уязвимости. Или еще вариант: используемый в «закрытом» режиме
numberfive
15.10.2015 09:19вы там на ходу чтоли эти определения выдумываете?
SAPetr
15.10.2015 09:45Уважаемый numberfive, посмотрите, пожалуйста, оригинал статьи (для лучшего понимания сути вопроса).
numberfive
15.10.2015 09:49+1к сожалению, оригинал статьи не позволяет лучше понять нелепые определения, которые появляются от вас в комментариях. а именно «ограниченный, отдельный способ применения уязвимости. Или еще вариант: используемый в «закрытом» режиме»
SAPetr
15.10.2015 09:53Вы можете указать правильные определения, соответствующие сути материала (habrahabr позволяет это делать любым пользователям).
А мы с радостью готовы рассмотреть Ваши конструктивные предложения по улучшению перевода. Спасибо.numberfive
15.10.2015 09:59еще я могу быть официальным представителем Panda security в России
SAPetr
15.10.2015 10:04Если Вы будете работать в компании Panda Security, то сможете. Но это уже не относится к теме материала. Если хотите поговорить об этом, пишите в личном сообщении. Спасибо.
lexore
17.10.2015 16:45UPD: ссылку на перевод нашел, в новом дизайне она как-то не бросается в глаза.
Есть английское слово «discreet» — сдержанный, осторожный, благоразумный, тактичный, осмотрительный,прокладки.
А есть «discrete» — дискретный.
Мне кажется, копирайтер оригинальной статьи просто ошибся с омонимом.
shanker
Можете объяснить чем Ваш продукт отличается от Emet?
Я так понимаю, первое отличие в том, что Ваш софт — платный.