Загрози, від яких антивірусне програмне забезпечення не може захистити
Хоча антивірусне програмне забезпечення має вирішальне значення для стратегії безпеки бізнесу, воно має обмеження. Антивірусне програмне забезпечення не може захистити від — або може лише частково стримувати — низку загроз, зокрема наведені нижче.
1. Антивірусне програмне забезпечення не може захистити від внутрішніх загроз.Антивірусне програмне забезпечення не може захистити бізнес від інсайдерських загроз, включаючи кібератаки співробітників, шахрайство співробітників і сторонні проникнення в системи через скомпрометовані облікові записи співробітників.
«Антивірус — хороший і необхідний захист, але це лише частина рішення безпеки», — сказав консультант із безпеки Девід Свіфт. «Факти показують, що рішучий зловмисник проникне, і що переважна більшість втрат буде понесена зовнішніми зловмисниками, які використовують законні — але скомпрометовані — облікові дані».
Замість того, щоб покладатися лише на антивірусне програмне забезпечення та стежити за зловмисним програмним забезпеченням, компанії також повинні стежити за поведінкою співробітників і обліковими записами, порадив Свіфт.
«Настала ера внутрішніх загроз або загроз від зламаних облікових записів», — зазначив Свіфт. «Компанії повинні виходити за межі інструментів безпеки на основі підписів і спостерігати за діяльністю користувачів на предмет поганої поведінки. Це може бути довірений інсайдер [або] зібраний обліковий запис, який використовує зловмисник, наприклад, для крадіжки особистих даних і викрадених кредитних карток».
Ключовий висновок: найкращі рішення для моніторингу співробітників містять програмне забезпечення для виявлення внутрішніх загроз і здатні захистити від втрати даних, а також проводити судові розслідування щодо співробітників.
2. Антивірусне програмне забезпечення не може захистити від скомпрометованих пристроїв.Антивірусне програмне забезпечення не може захистити мережеві системи від скомпрометованих пристроїв. В епоху впровадження власного пристрою (BYOD) незахищені комп’ютери, планшети та смартфони можуть проникати та інфікувати захищені системи.
«Антивірусне програмне забезпечення, антишпигунське програмне забезпечення та брандмауери — це рішення, про які користувачі спочатку думають, щоб мінімізувати [ризик] кібератак з кінцевих точок у їхній мережі, — сказав Кармін Клементеллі, колишній менеджер із продуктів мережевої безпеки компанії PFU Systems, що займається бізнес-технологіями. «Однак є кілька міркувань, над якими варто подумати. Перш за все, що, якщо до мережі мають доступ незахищені пристрої?»
Наприклад, припустимо, що співробітник приносить свій особистий пристрій — без встановленого антивірусного захисту — на роботу та підключає його до корпоративної мережі Wi-Fi. Якщо їхній пристрій було зламано, тепер вони зробили всю мережу вразливою до проникнення.
З цієї причини компанії повинні прагнути мінімізувати ризики та захистити свої системи.
«Мобільність і BYOD у сучасну епоху вимагають нового підходу, який зобов’язує бізнес застосовувати технології мережевої візуалізації», — сказав Клементеллі. «Це дозволить їм знати, хто і що знаходиться в мережі, і контролювати свій доступ до мережі».
Порада. Щоб посилити фізичний захист мобільного пристрою, подумайте про придбання захищеного бізнес-ноутбука з біометричним захистом, комп’ютерним шифруванням , пристроєм для зчитування смарт-карт та іншими функціями безпеки.
3. Антивірусне програмне забезпечення не може захистити від прогресивних постійних загроз.Навіть якщо в системах є антивірусне програмне забезпечення, вони не захищені від атак із розширеною постійною загрозою (APT). Під час APT-атак дуже просунуті зловмисники — як правило, ті, хто має значну фінансову підтримку або ті, хто може працювати на уряд — проникають у мережі організації. APT зазвичай підтримує тривалу присутність у проникнутій мережі, щоб викрасти інтелектуальну власність або конфіденційні дані клієнта чи користувача.
Атаки APT зосереджені на скритності; зловмисники зазвичай запускають операції, використовуючи цільові фішингові кампанії, щоб викрасти облікові дані для входу. Після того як зловмисники отримають доступ до мережі, вони намагатимуться розширити свій охоплення, залишаючись непоміченими. У таких випадках зловмисники намагатимуться використати законні інструменти на скомпрометованих машинах, щоб зберегти якомога більшу скритність.
Якщо APT використовує законні інструменти та облікові дані, антивірусне програмне забезпечення не виявить нічого поганого. Згодом APT може розгорнути зловмисне програмне забезпечення, відоме як троян віддаленого доступу (RAT).
«За допомогою RAT зловмисник поза мережею дистанційно керує зараженим комп’ютером у мережі для збору внутрішніх даних», — попередив Клементеллі. RAT може заздалегідь проникнути в мережу через повідомлення електронної пошти, але не відразу починає атаку.
«Згодом, коли починається атака, вміст повідомлень не містить шкідливих програм, а трафік, пов’язаний із віддаленими операціями, майже завжди зашифрований», — пояснив Клементеллі. «Цю діяльність важко виявити за допомогою звичайного антивірусного програмного забезпечення або неавторизованих систем виявлення вторгнень».
Ти знав?Чи знаєте ви?: ознаки того, що комп’ютер заражено вірусом, включають випадкові звуки, неочікувані спливаючі вікна, незрозумілі зміни файлів і повільні операції.
4. Антивірусне програмне забезпечення не може захистити від невідомих шкідливих програм.Окрім невиявлених зловмисних програм, невідомі зловмисні програми також можуть обходити антивірусні рішення. Величезна кількість зловмисного програмного забезпечення, яке створюється та поширюється щодня, робить практично неможливим захист антивірусних рішень від усіх них.
«Нас буквально бомбардує 200 000 нових зловмисних програм щодня, і це вдалий день», — сказав П’єрлуїджі Стелла, головний технічний директор компанії Network Box USA, що надає послуги керованої безпеки. «Під час спалаху ми бачимо, що ця кількість зростає, іноді наближаючись до 1 мільйона».
Це масштабне бомбардування відбувається тому, що хакерам легше, ніж будь-коли, здійснювати атаки. Вони можуть створювати віруси автоматично — із тисячами варіацій — і використовувати ефективні та швидкі мережі розповсюдження. Для порівняння, антивірусній компанії може знадобитися кілька годин, щоб виявити та виправити зловмисне програмне забезпечення.
Щоб подолати цей розрив, антивірусні компанії знаходять нові способи захисту систем, включаючи хмарні бази даних сигнатур зловмисного програмного забезпечення — алгоритм, який спеціально ідентифікує окремі віруси — і методи, які виявляють зловмисне програмне забезпечення без сигнатур.
Для компаній це означає пошук антивірусного програмного забезпечення або постачальників з ініціативами «нульового дня», які мають на меті виявити зловмисне програмне забезпечення, яке ніхто раніше не бачив, без будь-яких доступних на даний момент засобів захисту.
«Зловмисне програмне забезпечення нульового дня — ось те, куди рухається галузь», — сказала Стелла. «Ізольове програмне середовище, аналіз поведінки, розпізнавання шаблонів тощо — це вирази, що описують деякі методи, які компанії використовують, щоб помітити наступний «нульовий день» до того, як він заподіє шкоду. Багато таких методів страждають від хибних спрацьовувань, але хибний спрацьовування є набагато більш прийнятним, ніж хибно-негативний де невідоме зловмисне програмне забезпечення потім потрапляє у вашу мережу та спричиняє хаос».