Rozwiązanie SandBlast Agent ma moduł antybotowy, blokujący komunikację z serwerami command & control zarządzanymi przez cyberprzestępców, oraz moduł do reagowania na incydenty przełamania zabezpieczeń, pozwalający przeprowadzić pełną analizę śledczą danego przypadku. Dynamicznie budowane grafy odwzorowują sposób infekcji i pokazują zainfekowane pliki oraz dane, które zostały wykradzione z firmy. Rozwiązanie to zostało również wyposażone w narzędzie do usuwania skutków ataku oraz przywracania stanu systemu sprzed ataku.

W przypadku użytkowników korzy-stających z korporacyjnych (wewnętrznych) sieci rozwiązanie chroniące przed złośliwym oprogramowaniem działa zazwyczaj na styku firma – Internet. Zabezpieczenie to jednak przestaje być skuteczne, gdy pracownik korzysta z Internetu poza przedsiębiorstwem. Rozwiązanie Check Point SandBlast Agent zainstalowane na urządzeniach końcowych zapewnia ich ochronę także w takiej sytuacji.

Bartosz Kamiński

Business Development Manager, Check Point

Producenci oprogramowania zwalczającego złośliwy kod zalewają nas informacjami o astronomicznym przyroście liczby możliwych do wykrycia próbek oraz nowych form ataku. Wskazują też swoje rozwiązanie jako środek zaradczy, który uchroni przed cyberatakami bazującymi na złośliwym kodzie. Jednak często brakuje w nim funkcji skutecznego blokowania ataków typu 0-day. Wówczas konieczna staje się integracja z innym produktem lub dokupienie osobnego komponentu, przez co brakuje jednej wspólnej konsoli do zarządzania. Dlatego, przy coraz bardziej skomplikowanych zagrożeniach oraz olbrzymiej liczbie ataków, powinno się unikać takich hybrydowych rozwiązań i inwestować w spójne systemy.

Do skutecznego zabezpieczania przed złośliwym oprogramowaniem konieczne jest wdrożenie rozwiązań ochronnych działających na wielu poziomach. Jako przykład może posłużyć scenariusz, w którym użytkownik pobiera plik z Internetu. Pierwszą linią obrony jest weryfikacja, czy domena adresu URL może być w jakiś sposób podejrzana. Jeśli nie, ściągany plik weryfikowany jest statycznymi mechanizmami typowymi dla silników antywirusowych. W przypadku, gdy hash pliku nie istnieje w bazie, uruchamia się  trzecia linia obrony, czyli dynamiczna analiza kodu, a pobierany plik emulowany jest w wirtualnym środowisku, w kilku systemach operacyjnych jednocześnie. Kiedy mamy do czynienia z ekstremalnie trudnym przypadkiem, gdy złośliwy kod przedostanie się do komputera ofiary i rozpocznie pracę, konieczne staje się uruchomienie kolejnej warstwy obrony, w postaci systemu wykrywającego i blokującego ruch do C&C.

Tylko tego typu podejście zapewnia efektywną ochronę przed atakami cyberprzestępców. Konsolidacja różnych metod działania musi jednocześnie wiązać się z możliwością zarządzania bezpieczeństwem z poziomu zunifikowanej konsoli. A gdy w przyszłości pojawi się nowa forma zagrożeń, wymagająca specjalnego środka zapobiegawczego, rozwiązanie musi zapewniać włączenie dodatkowej ochrony bez znacznych zmian w infrastrukturze.

Strategia bazująca na wymienionych założeniach zapewnia najwyższy poziom bezpieczeństwa firmy przy optymalnym koszcie utrzymania systemu. Rozwiązania ochronne oferowane przez Check Point spełniają wszystkie wyszczególnione kryteria, a ich produkcyjne zastosowanie chroni firmy przed najbardziej zaawansowanymi atakami z wykorzystaniem złośliwego oprogramowania.

Dodatkowe informacje:

Filip Demianiuk, Channel Manager,

Check Point Software Technologies,

filipd@checkpoint.com

 

Artykuł powstał we współpracy z firmami Check Point Software Technologies i RRC Poland.

Artykuł Check Point SandBlast: wielopoziomowa ochrona danych pochodzi z serwisu CRN.