Phần mềm độc hại vô hình có ở đây và phần mềm bảo mật của bạn không thể bắt được nó

"Phần mềm độc hại vô hình", một loại phần mềm độc hại mới, sẽ xuất hiện và nếu nó tấn công các máy chủ của bạn, bạn có thể không làm được gì nhiều về nó. Trong thực tế, bạn thậm chí có thể không thể nói rằng nó ở đó. Trong một số trường hợp, phần mềm độc hại vô hình chỉ tồn tại trong bộ nhớ, nghĩa là không có tệp nào trên đĩa của bạn để tìm phần mềm bảo vệ điểm cuối của bạn. Trong các trường hợp khác, phần mềm độc hại vô hình có thể sống trong Hệ thống đầu vào / đầu ra cơ bản (BIOS) nơi nó có thể sử dụng một trong một vài chiến thuật để tấn công bạn. Trong một số trường hợp, nó thậm chí có thể xuất hiện dưới dạng bản cập nhật chương trình cơ sở nơi nó thay thế chương trình cơ sở hiện tại của bạn bằng phiên bản bị nhiễm và gần như không thể tìm thấy hoặc gỡ bỏ.

"Với sự tiến bộ trong phần mềm chống phần mềm độc hại và Phát hiện và phản hồi điểm cuối (EDR) giúp dễ dàng bắt phần mềm độc hại 0 ngày, các tác giả phần mềm độc hại đang di chuyển thấp hơn trên ngăn xếp", Alissa Knight, nhà phân tích cao cấp của Thực hành an ninh mạng của Aite Group cho biết. . Cô ấy chuyên về các mối đe dọa dựa trên phần cứng. Knight cho biết loại phần mềm độc hại mới này đang được phát triển có thể trốn tránh sự phát hiện của phần mềm cũ.

Phần mềm EDR, tiên tiến hơn các gói AV cũ, hiệu quả hơn trong việc bắt các cuộc tấn công và phần mềm này sử dụng nhiều phương pháp khác nhau để xác định khi nào kẻ tấn công đang làm việc. "Sự phát triển của EDR làm cho mũ đen phản ứng, và tạo bộ công cụ gốc kernel và bộ phần mềm gốc, nó ở phần cứng nơi nó có thể ghi vào bản ghi khởi động chính, " Knight nói.

Điều đó cũng dẫn đến việc tạo ra các bộ root ảo, sẽ khởi động trước hệ điều hành (HĐH), tạo ra một máy ảo (VM) cho phần mềm độc hại để phần mềm chạy trên HĐH không thể phát hiện được. "Điều đó khiến nó gần như không thể bắt được", cô nói.

Phần mềm độc hại Blue Pill và hơn thế nữa

May mắn thay, việc cài đặt một bộ root ảo vào máy chủ vẫn còn khó khăn đến mức những kẻ tấn công đang thử nó thường hoạt động như những kẻ tấn công được nhà nước bảo trợ. Ngoài ra, ít nhất một số hoạt động có thể được phát hiện và một số có thể bị dừng lại. Knight nói rằng "phần mềm độc hại không tên", chỉ hoạt động trong bộ nhớ, có thể bị đánh bại bằng cách tắt nguồn máy tính mà nó đang chạy.

Nhưng Knight cũng nói rằng phần mềm độc hại đó có thể đi kèm với cái gọi là "phần mềm độc hại Blue Pill", đây là một dạng bộ công cụ gốc ảo tự tải vào máy ảo và sau đó tải HĐH vào máy ảo. Điều này cho phép nó giả mạo tắt máy và khởi động lại trong khi để phần mềm độc hại tiếp tục chạy. Đây là lý do tại sao bạn không thể sử dụng lựa chọn tắt máy trong Microsoft Windows 10; chỉ rút phích cắm sẽ hoạt động.

May mắn thay, các loại tấn công phần cứng khác đôi khi có thể được phát hiện trong khi chúng đang diễn ra. Knight nói rằng một công ty, SentinelOne, đã tạo ra một gói EDR hiệu quả hơn hầu hết và đôi khi có thể phát hiện khi phần mềm độc hại tấn công BIOS hoặc phần sụn trên máy.

Chris Bates là Giám đốc Kiến trúc Sản phẩm Toàn cầu tại SentinelOne. Ông cho biết các đại lý của sản phẩm hoạt động tự chủ và có thể kết hợp thông tin với các điểm cuối khác khi cần. "Mỗi đại lý SentinelOne đang xây dựng bối cảnh, " Bates nói. Ông cho biết bối cảnh và các sự kiện xảy ra trong khi bối cảnh đang được xây dựng tạo ra những câu chuyện có thể được sử dụng để phát hiện các hoạt động của phần mềm độc hại.

Bates nói rằng mỗi điểm cuối có thể tự khắc phục bằng cách loại bỏ phần mềm độc hại hoặc đặt nó vào khu vực cách ly. Nhưng Bates cũng nói rằng gói EDR của anh ta không thể bắt được mọi thứ, đặc biệt là khi nó xảy ra bên ngoài HĐH. Một ổ USB để viết lại BIOS trước khi máy tính khởi động là một ví dụ.

Chuẩn bị tiếp theo

Đây là nơi mà mức độ chuẩn bị tiếp theo đến, Knight giải thích. Cô đã chỉ ra một dự án chung giữa Intel và Lockheed Martin, người đã tạo ra một giải pháp bảo mật cứng chạy trên bộ xử lý Intel Xeon có thể mở rộng thế hệ 2 tiêu chuẩn được gọi là "Giải pháp chọn Intel cho bảo mật cứng với Lockheed Martin." Giải pháp mới này được thiết kế để ngăn ngừa nhiễm phần mềm độc hại bằng cách cách ly các tài nguyên quan trọng và bảo vệ các tài nguyên đó.

Trong khi đó, Intel cũng đã công bố một loạt các biện pháp phòng ngừa phần cứng khác gọi là "Phần cứng bảo vệ", khóa BIOS. "Đây là một công nghệ, nếu có một số loại mã độc, thì BIOS có thể đáp ứng", Stephanie Hallford, Phó Chủ tịch và Tổng Giám đốc Nền tảng Khách hàng Doanh nghiệp tại Intel giải thích. "Một số phiên bản sẽ có khả năng giao tiếp giữa HĐH và BIOS. HĐH cũng có thể đáp ứng và bảo vệ chống lại cuộc tấn công."

Thật không may, bạn không thể làm gì nhiều để bảo vệ các máy hiện có. "Bạn cần thay thế các máy chủ quan trọng", Knight nói và cho biết thêm rằng bạn cũng sẽ cần xác định dữ liệu quan trọng của mình là gì và nó đang chạy ở đâu.

"Intel và AMD sẽ cần phải lên bóng và dân chủ hóa điều này", Knight nói. "Khi các nhà văn phần mềm độc hại trở nên tốt hơn, các nhà cung cấp phần cứng sẽ cần phải bắt kịp và làm cho nó có giá cả phải chăng."

Vấn đề chỉ là xấu đi

Thật không may, Knight nói rằng vấn đề sẽ chỉ trở nên tồi tệ hơn. "Bộ dụng cụ tội phạm và bộ phần mềm độc hại sẽ trở nên dễ dàng hơn", cô nói.

Knight nói thêm rằng cách duy nhất để hầu hết các công ty tránh được vấn đề là chuyển dữ liệu và quy trình quan trọng của họ sang đám mây, nếu chỉ vì các nhà cung cấp dịch vụ đám mây có thể bảo vệ tốt hơn trước loại tấn công phần cứng này. "Đã đến lúc chuyển rủi ro", cô nói.

Và Knight cảnh báo rằng, với tốc độ mọi thứ đang chuyển động, có rất ít thời gian để bảo vệ dữ liệu quan trọng của bạn. "Điều này sẽ bị biến thành một con sâu", cô dự đoán. "Nó sẽ trở thành một loại sâu tự lan truyền." Đó là tương lai của chiến tranh mạng, Knight nói. Nó sẽ không ở lại trong tầm ngắm của các diễn viên được nhà nước bảo trợ mãi mãi.

Các bước thực hiện

Vì vậy, với tương lai ảm đạm này, bạn có thể làm gì bây giờ? Dưới đây là một số bước ban đầu bạn nên thực hiện ngay:

Nếu bạn chưa có phần mềm EDR hiệu quả, chẳng hạn như SentinelOne, thì hãy tải ngay.

Xác định dữ liệu quan trọng của bạn và làm việc để bảo vệ dữ liệu bằng mã hóa trong khi bạn nâng cấp máy chủ mà dữ liệu được bật cho các máy được bảo vệ chống lại các lỗ hổng phần cứng và các khai thác lợi dụng chúng.

Trong trường hợp dữ liệu quan trọng của bạn phải ở trong nhà, hãy thay thế các máy chủ chứa dữ liệu đó thành các nền tảng sử dụng công nghệ phần cứng, chẳng hạn như Shield Shield cho máy khách và Giải pháp chọn Intel cho bảo mật cứng bằng Lockheed Martin cho máy chủ.

Bất cứ nơi nào có thể, hãy chuyển dữ liệu quan trọng của bạn đến các nhà cung cấp đám mây với bộ xử lý được bảo vệ.

• • Bảo vệ chống vi-rút tốt nhất cho năm 2019 Bảo vệ chống vi-rút tốt nhất cho năm 2019
  • Phần mềm bảo mật và bảo vệ điểm cuối được lưu trữ tốt nhất cho năm 2019 Phần mềm bảo mật và bảo vệ điểm cuối được lưu trữ tốt nhất cho năm 2019
  • Phần mềm bảo vệ và loại bỏ phần mềm độc hại tốt nhất cho năm 2019 Phần mềm bảo vệ và loại bỏ phần mềm độc hại tốt nhất cho năm 2019

  Tiếp tục đào tạo nhân viên của bạn về vệ sinh an ninh tốt để họ không phải là những người cắm ổ ngón tay bị nhiễm vào một trong các máy chủ của bạn.

Đảm bảo an ninh vật lý của bạn đủ mạnh để bảo vệ các máy chủ và phần còn lại của các điểm cuối trong mạng của bạn. Nếu tất cả những điều này cho bạn thấy rằng an ninh là một cuộc chạy đua vũ trang, thì bạn đã đúng.