Почему антивирус не желает ловить вирусы

6 июля 2017

Уже несколько лет разработчики и распространители программного обеспечения (в их числе McAfee) говорили о целевых ударах киберпреступноков, АРТ, криптоклокерских разработках. Мы в свою очередь также хотим предупредить своих пользователей и рассказать, какие заражения встречаются чаще всего, как именно работают вирусы и что вы можете сделать, чтобы обезопасить свои данные. Ведь не зря с каждым годом создаются все более совершенные системы и технологии защиты. Но, к сожалению, далеко не все придают значение предостережениям… И такое отношение чревато последствиями, что мы и видим.

Стоит напомнить, что обеспечение безопасности данных, или информационная безопасность – это процесс, который снижает уровень угрозы заражения. Каждый день мы находим новые, более сложные и опасные вирусы, но и наши разработки не стоят на месте, поэтому практически всегда есть возможность «поймать» зловреда. Нельзя забывать, что любая система информационной безопасности разделяется на три сегмента – технологические механизмы, процессы, человеческое участие и фактор. Разработчики ПО и вендоры предоставят все необходимые механизмы (ПО) и информацию для обучения ваших сотрудников, но организация процессов, установка нужного программного обеспечения уже только ваше решение. Если выбрать наиболее простой и дешевый продукт, то можно ли надеяться на то, что он послужит надежным щитом во время серьезных атак?

Хотелось бы рассказать о правилах информационной безопасности в тех компаниях, которые практически не понесли ущерба от направленных атак или не пострадали вовсе.

Заражения в большинстве своем не смогли распространиться на организации, которые следовали простейшим принципам информационной безопасности:

Простые сотрудники не имеют доступа к администраторской учетной записи и соответствующим правам! Реализовать это очень просто и бесплатно, однако нарушение данного правила встречается все еще очень часто.

Сетевое сегментирование (VLAN, ACL). Это значит, что если даже произойдет заражение, то лишь одного или нескольких связанных сегментов, но никак не всей организации.

Удаление лишних сетевых и DNS подключений. Вы сотрудничаете с партнерами из Китая? Пользуетесь TOR? Нет? Удаляем.

Закрывайте неэксплуатируемые порты. Что одна, что вторая атака смогли проникнуть в системы через одни и те же порты, и все из-за того, что не было принято своевременных мер по их отключению.

Обязательная загрузка актуальных обновлений для операционной системы.

Не стоит пренебрегать какими-либо технологиями защиты от вирусов. Хоть антивирусы, работающие по принципу обнаружения вредоносных сигнатур, не помогут при таких атаках, но даже они имеют множество специальных конфигураций и эффективных утилит против целевого заражения. Настроив правила защищенного доступа (Access Protection Rule), можно установить запрет на запуск файлов .exe из директории %Temp%.

Нельзя оставлять настройки антивируса по умолчанию. Обязательно проконсультируйтесь у специалиста, как лучше произвести настройку, прочтите руководства по использованию на официальном сайте разработчика!

Откажитесь от неактуальных операционных систем, например, Windows XP.

Любая организация должна соблюдать хотя бы эти элементарные правила. После этого уже можно задуматься об усовершенствовании системы безопасности и мониторинга.

Теперь рассмотрим способы предупреждения подобных атак в будущем:

Важнейшее программное обеспечение, которое должно быть установлено на любом сервере, банкомате и компьютере – это система мониторинга активности приложений. У McAfee – соответственно, McAfee Application Control, обновляемая «белая» база, где содержатся наименования только того программного обеспечения, чья безопасность проверена. Лишь оно будут работать на устройстве, все остальное – получит немедленную блокировку. Помимо этого McAfee Application Control защитит от критического заполнения буфера, а также от работы скриптов и заражений с применением PowerShell. Одно из доказательств эффективности - наши клиенты, которые использовали McAfee Application Control, не стали жертвами WannaCry и Petya, данные вирусы были оперативно блокированы.
Модуль McAfee Application Control есть в McAfee Server Security Suite Advanced, McAfee Complete Threat Protection и McAfee Complete Endpoint Protection - Business. McAfee Application Control также смог блокировать неоднократные попытки запуска PSEXESVC.EXE. Для серверных установок этот инструмент предоставит полноценную защиту, тратя на ее поддержку минимум возможностей.

Для компьютеров, где происходит частая переустановка старых и установка новых приложений, а пользователь обладает правами на загрузку и запуск любых программ, советуем воспользоваться комплектами антивирусной защиты McAfee Dynamic Application Containment (DAC) и Real Protect, где используются самые современные технологии. С DAC все программы без заверенной репутации будут активироваться в «изоляторе» и при появлении нежелательной активности сразу же блокироваться. Real Protect будет сравнивать не сигнатуры, а алгоритмы поведения приложений с теми шаблонами, которые используют вирусы, выделяя таким способом любое потенциально опасное ПО.
Один из наших пользователей, который проводил тестирование этой продукции на протяжении двух месяцев, сообщил, что любые криптоклокерские приложения, попавшие в систему, были оперативно деактивированы. Заражения WannaCry и Petya не произошло .

Высокую работоспособность этого решения может подтвердить один из последних докладов NSS Labs по тестированию Advanced Endpoint Protection от Февраля 2017г. Результаты McAfee ENS c DAC и RealProtect по обнаружению и блокировке вирусов составили 98.98%.

Компоненты DAC/RealProtect есть в комплексах McAfee Complete Endpoint Threat Protection, McAfee Endpoint Protection for Business, а также в McAfee Endpoint Threat Defense.

Не стоит забывать о старом, но все еще надёжном IPS. IPS не просто остановит вредоносные программы, но и заблокирует используемые уязвимости. Оба вируса воспользовались уязвимостью CVE-2017-0144. Используйте McAfee IPS как для обеспечения безопасности всей сети и DMZ, так и при межсегментных подключениях для предотвращения распространения вируса по организации. Определенно стоит установить IPS перед серверными группами и прочей ведущей аппаратурой. Эффективность установок от 100Мбит/c до 40Гбит/c на апплайнс.
Очередной шаг – это принятие мер по обнаружению опасностей. McAfee Advance Threat Defense (ATD). Для проверки файлов возможно использование не только динамического (активация в защищенном «изоляторе»), но и статистического анализа (работа с исходным кодом приложения). Именно статистический анализ предоставит полную информацию о вредоносности приложения, его воздействии на систему, подключениях к IP и доменным именам, совершаемых загрузках и так далее. Поддерживает совместимость как с рабочими станциями и серверным оборудованием, так и с IPS, McAfee Web Gateway . На данный момент это решение доступно для виртуальных машин по приемлемой стоимости. Именно ATD поможет найти целевые и скрытые атаки, с чем не справятся другие подобные решения.
McAfee Threat Intelligence Exchange (TIE) – сервер Threat Intelligence, собирающий данные о репутации приложений, которые запускаются на ваших устройствах. Репутация обновляется при помощи главного облака McAfee Global Threat Intelligent или McAfee ATD, а также может быть назначена администрацией сети. Присутствует функция подключения сторонних источников TI в стандарте STIX. Также TIE поддерживает как продукты McAfee, так и CheckPoint, Tenable.