Nová ochrana před útoky využívajícími tzv. laterální pohyby napříč infrastrukturou pokrývá slepá míst na síťových přepínačích a v samostatných LAN segmentech
Společnost Sophos, celosvětový lídr v oblasti ochrany sítí a koncových bodů, oznámila, že součástí jejího firewallu nové generace Sophos XG je nově i ochrana proti tzv. laterálním pohybům napříč infrastrukturou. Nová funkcionalita má za cíl bránit cíleným, ručně řízeným kybernetickým útokům a exploitům před dalším průnikem do podnikové informační architektury.
Zpráva SophosLabs Threat Report pro rok 2019 předpovídá nárůst cíleného ransomware. S ohledem na efektivitu ransomwarové kampaně SamSam, která dle odhadů vydělala útočníkům v přepočtu více než 148 milionů korun, není žádným překvapením, že se kybernetičtí zločinci o tuto metodu intenzivně zajímají. Útočníci se v těchto případech zaměřují na špatně zabezpečené vstupní body a používají metody s cílem prolomit hrubou silou ochranu heslem pro přístup ke vzdálené ploše. Jakmile se jim to podaří a jsou „uvnitř“, pracují krok za krokem na získání administrátorských přístupů, ovlivnění interního řízení, deaktivaci záložních zdrojů a postupném provádění mnoha dalších aktivit. V době, kdy si většina manažerů vůbec něčeho všimne, je zpravidla dílo zkázy dokonáno.
„Mnohé organizace jsou sice připraveny na boj s automatizovanými útočníky ve formě botů, ale v případě interaktivních útoků vedených člověkem je tomu jinak. Pokud se aktivní kybernetický zločinec dostane do systému oběti, začne vyvíjet různorodé dodatečné aktivity s jediným cílem – dostat se hlouběji do infrastruktury a zabránit svému odhalení. Tyto útoky označované jako laterální lze bez zavedení správných bezpečnostních opatření zastavit jen velmi obtížně,“ uvádí Dan Schiappa, senior viceprezident a produktový ředitel společnosti Sophos. „Většina takových útoků se navíc děje na koncových bodech, což je přesně důvod, proč je synchronizovaná ochrana opravdu důležitá. Útočníci se po průniku do počítače oběti pokoušejí získat výhodu pomocí technik odlišných od těch, které známe z malware, jako jsou například exploity, Mimikatz nebo eskalace oprávnění. Síť musí vědět, že se něco takového děje a jak má reagovat – včetně automatického vypnutí nebo izolace infikovaných strojů ještě předtím, než se něčemu nebo někomu podaří rozšířit v rámci infrastruktury.“
Kybernetické útoky zaměřené na krádeže a výdělek, jako jsou například BitPaymer, Dharma a Ryuk, používají pro neautomatizované doručení ransomware obdobné postupy. Tyto útoky se přitom velmi liší od těch, za nimiž stojí nástroje pro ransomware prodávané na temném webu jako služba RaaS (Ransomware-as-a-Service). Společnost Sophos předpokládá, že ručně řízené útoky budou v roce 2019 pokračovat.
„Zastavením laterálních pohybů – prováděných aktivními živými útočníky nebo exploity v podobě červů – prostřednictvím sdílení informací mezi firewally a koncovými body i automatickým izolováním infikovaných systémů je zásadní součástí ochrany před dnešními hrozbami,“ dodává Dan Schiappa. „Bohužel součástí mnoha podnikových prostředí mohou být slepá místa na úrovni přepínačů nebo síťových segmentů, a právě ta by mohla být vstupním bodem pro další aktivity útočníků. Nová vlastnost firewallu XG brání v dalším šíření hrozeb, dokonce i tam, kde firewall nemá nad síťovým provozem přímou kontrolu.“
Synchronizovanou ochranou proti útokům napříč infrastrukturou
Firewall Sophos XG automaticky spolupracuje s produkty značky Sophos pro ochranu koncových bodů, a to včetně řešení Intercept X Advanced s novou technologií pro detekci a reakci na útoky na koncové body (Endpoint Detection and Response, EDR). Cílem je nabídnout novou vrstvu kybernetické bezpečnosti, přičemž firewall k tomu využívá mechanismu Security Heartbeat, který je součástí technologie synchronizované ochrany značky Sophos. Zákazníci tak mají k dispozici inteligentní řešení, které může proaktivně předpovídat a eliminovat hrozby i detekovat a pomocí automatického izolování napadených strojů bránit dalšímu šíření infekce a v neposlední řadě případnou infekci odstranit. Technologie Security Heartbeat umožňuje automaticky izolovat vysoce rizikové koncové body od ostatních ve stejné doméně nebo podsíti.