Súčasná pandémia ochorenia Covid-19 pomohla poukázať na obavy, ktoré spolu zdieľajú malé firmy i veľké korporácie zároveň: zaistenie bezpečnej práce na diaľku. Samozrejme, mnoho podnikateľov a start-upov vhuplo do vzdialenej práce len tak na divoko. Korektne spravované systémy, ktoré sú strategicky plánované a odolné voči riziku, si však vyžadujú viac. Teraz, keď sa v dôsledku pandémie zmenili IT bezpečnostné hrozby, zmenil sa aj pohľad niektorých firiem na technológie IT zabezpečenia.
Súčasné výzvy v oblasti vzdialenej práce jednoducho diktujú ešte širšiu potrebu ochrany pred novými, doteraz neznámymi kybernetickými hrozbami a pred ransomvérom. Ide už o veľmi rozšírený a známy druh škodlivého kódu, ktorý po zašifrovaní systému alebo zariadenia požaduje za odblokovanie informácií v ňom uložených výkupné alebo výpalné.
Príkladom zmien vo svete bezpečnostných hrozieb môžu byť nedávne prípady útokov na firmy a spoločnosti, kedy sú po napadnutí systémov ich dáta nielen zašifrované, ale po odmietnutí zaplatenia výkupného aj ponúknuté v aukciách komukoľvek, kto za ne zaplatí viac. Ide napríklad o aktivity skupinySodinokibi. Tá na svojej stránke v aukcii ponúka údaje od obetí, ktoré nechcú alebo nemôžu za svoje dáta zaplatiť výpalné. Jednou z takýchto obetí bola právna kancelária Grubman Shire Meiselas & Sacks, ktorá zastupuje mnohé osobnosti z oblasti športu alebo show biznisu.
Známym prípadom je aj útok na spoločnosť Garmin, popredného výrobcu GPS a fitness hodiniek a zariadení. Pre tento útok sa používatelia nevedeli dostať k svojim údajom v Garmin Connect. Ide o softvér, ktorý ukladá a analyzuje údaje o používateľových fyzických aktivitách – cvičeniach, behoch a tak ďalej.
Analýza v priebehu niekoľkých minút
Firmy si takéto úniky dát jednoducho nemôžu dovoliť. Daňou za ne nie je len strata dôvery zákazníkov, ale aj prípadné pokuty vyplývajúce z nariadenia GDPR. Pre podnikateľov, firmy a organizácie vlastniace a spracovávajúce citlivé alebo osobné dáta, je preto výhodné používať bezpečnostné riešenie konajúce extrémne rýchlo proti najnovšiemu ransomvéru, ako napríklad ESET Dynamic Threat Defense (EDTD).Toto riešenie vytvára ďalšiu vrstvu ochrany, ktorá bola navrhnutá s cieľom chrániť pred úplne novými hrozbami. Podozrivé vzorky, ktoré ešte neboli potvrdené ako škodlivé a potenciálne by mohli prenášať malvér, sú automaticky odosielané do ESET cloudového sandboxu na analýzu.
Cloudový sandbox je izolované prostredie, ktoré používa vysoko výkonné cloudové inštancie na spustenie machine learningového jadra analyzujúceho správanie zaslaných súborov. Vďaka pokročilým detekčným technológiám dokáže cloudový sandbox identifikovať podozrivé správanie a vyhľadať najnovšie typy ransomvéru a iné komplexné 0-day bezpečnostné hrozby.
V prípade úspešnej infekcie ransomvérom (v najhoršom prípade bez existujúcich alebo funkčných záloh) môže firma stratiť prístup k faktúram, údajom o zákazníkoch a dokonca aj k celým systémom. Kybernetickí zločinci sa čoraz viac usilujú o zabezpečenie dlhodobejšej prítomnosti v infikovanom systéme napríklad prostredníctvom Remote Desktop Protocolu (RDP), kým sa nedostanú až k špeciálnym zálohám. Infekcia teda môže úplne zastaviť prácu firmy alebo spôsobiť zastavenie výroby. V závislosti od zamerania takejto firmy môžu trpieť aj jej klienti, čo môže v konečnom dôsledku viesť k tomu, že prejdú k priamej konkurencii napadnutej firmy.
RDP: Zabezpečenie ochrany vzdialeného pripojenia (whitepaper)
Rozšírenie ochrany pred ransomvérom pomocou EDTD
Jednou z vrstiev všetkých ESET bezpečnostných riešení chrániacich firemné počítače je Ransomware Shield. Je to špeciálny behaviorálny modul, ktorý hodnotí správanie podozrivého kódu a zisťuje tak, či sa jedná o ransomvér. EDTD chráni firmy pred ransomvérom tým, že zasahuje oveľa väčšiu plochu potenciálnych miest, cez ktoré by sa mohol ransomvér do firemného systému dostať. Či už ide o ransomvér šírený e-mailom, doteraz neznámu takzvanú 0-day hrozbu alebo o exploit, EDTD predstavuje dodatočnú ochranu pre firmu alebo organizáciu akejkoľvek veľkosti a to najnovšie už od piatich zariadení. Na aktiváciu EDTD stačí zakúpenie príslušnej EDTD licencie, prípadne licencie na produktový balík obsahujúci EDTD, napríklad ESET PROTECT Advanced.
EDTD obsahuje taktiež špeciálnu funkciu Správa o aktivite súboru (Behavioral report). Firma môže vďaka nej poslať na analýzu do spoločnosti ESET aj súbor, ktorý sama považuje za podozrivý. Je dostupná iba pre používateľov, ktorí majú licenciu na viac ako 100 zariadení. Výhody Správy o aktivite súboru môže však využívať aj firma s menej než 100 chránenými zariadeniami. A to vďaka Zásadám férového používania. Takíto zákazníci dostanú Správu o aktivite súboru v tom prípade, že rovnaký súbor poslal na analýzu iný zákazník, ktorý svojou licenciou chráni viac ako 100 zariadení. Môže ísť napríklad o všeobecný e-mail s podozrivou prílohou.
Aj menšie firmy tak môžu využívať technológiu tohto rýchleho cloudového sandboxu. EDTD zaslané súbory analyzuje a v prípade nájdenia škodlivého kódu alebo správania informuje a zablokovaní takéhoto súboru alebo e-mailu jeho adresáta a firemného IT administrátora.
Viac o ESET Dynamic Threat Defense si môžete prečítať na tejto stránke.