Uus kolmeastmeline pahavaratõrje lahendus Ciscolt

Cisco Systems Eesti juht Lauri Makke selgitab uue kolmeastmelise pahavara tõrje lahenduse Advanced Malware Protection tööpõhimõtteid.

Pahavara loojad on tõrjepakkujatest alati mitu sammu ees ja tänased internetis hiilivad ohud on sedavõrd tegusad, et nendega võitlemine nõuab kombineeritud lahendusi. Iga päevaga tuleb võrku suur hulk seadmeid juurde, süsteemid on väga keerulised ja taustal käib pahavara loojate vilgas arendustegevus. Teiselt poolt on palju ka turvaprobleemidega tegelejaid. Cisco on lisanud oma tänastele turvalahendustele kolmeastmelise turvamudeli Advanced Malware Protection, mille käigus riske hinnatakse ründe eel, selle ajal ja pärast rünnet. Analüüsime ainsana katkematult kogu infrastruktuuri: pilve, arvuti- ja mobiilivõrku ühendatud, lõppkasutaja seadmeid ning virtuaalkeskkondi.

Cisco omandas hiljuti firma Sourcefire, kelle välja arendatud täiustatud pahavaratõrje pakub kasutajaile täiustatud ohtude tuvastust ja blokeerimist, pidevat analüüsi ja tagasiulatuvat parandust. Seda saavad koheselt kasutusele võtta maailmas rohkem kui 60 miljonit Cisco lahenduste kasutajat. Lahendus on mõeldud suurematele organisatsioonidele, kellele ründed võivad põhjustada korvamatut ärikriitilist kahju või ohtu riigi seisukohalt.

Cisco on pahavaratõrjesse lisanud ka niinimetatud “tunnetusliku ohuanalüüsi” Cisco Cognitive Threat Analytics. Ohuanalüüs on intuitiivne iseõppiv süsteem, mis kasutab käitumuslikku modelleerimist ja anomaaliatuvastust ründetegevuse kindlaksmääramiseks ning vähendab võrgus toimivate ohtude avastamise aega.

Lisaks tavapärastele pahavara avastamise meetoditele kasutab Cisco faili maine uuringut, faili “liivakasti” ehk Sandboxi paigutamist ja tagasiulatuvat failianalüüsi ohtude kindlaksmääramiseks ja peatamiseks ründejadas.

Kolmeastmelise Advanced Malware Protectioni tööpõhimõte on järgmine:

Esmalt analüüsitakse võrgu läbimisel faili mainet, see pakub süsteemile nõutavaid teadmisi pahavaraga nakatatud ründefailide automaatseks blokeerimiseks ning administraatori eeskirjajärgseks tegutsemiseks olemasolevas veebi- ja meiliturbe kasutajaliideses.

Seejärel võidakse fail paigutada “liivakasti” ehk Sandboxi – pilves asuvasse turvalisse keskkonda võrku läbivate tundmatute failide tegeliku käitumise analüüsimiseks. See võimaldab täiustatud pahavaratõrjel koguda rohkem andmeid faili kohta ning ühendada need üksikasjalikuma inim- ja masinanalüüsiga faili ohutaseme kindlaksmääramiseks.

Kõige viimase etapi, täiustatud pahavaratõrje kasutuselevõtuga lisandunud faili minevikuvaatlus, vaatleb tõrje läbinud ründefaile, mida seejärel ikkagi peetakse ohtlikuks. Faili minevikuvaatlus on selle püsianalüüs pilvepõhisest teabevõrgust pärit reaalaja andmete toel, et olla kursis muutuvate ohutasemetega.

Kui seni on ettevõtted pidanud haldama mitut turvalahendust, siis uue lahenduse haldamine käib ühe kasutajaliidese kaudu ning võtab oluliselt vähem aega kasutades iseõppivat automaatikat. Varem pidid võrguadministraatorid uued turvareeglid ise manuaalselt süsteemis kirjeldama, siis uues süsteemis toimub kõik automaatselt ning tänu pidevale jälgimisele ka koheselt.

Arvutikasutajale, kes igapäevaselt oma tööd teeb, jääb tema tööandja või talle teenust pakkuva arvutivõrgu poolt kasutusele võetud täiustatud pahavaratõrje toimimine märkamatuks kuid väljendub selles, et talle ei saadeta enam ohtlikke linke, spämmi ega viirusega nakatatud faile.