Hrozby útočníků jsou čím dál sofistikovanější. Některý malware je vytvářen tak, aby se cíleně vyhnul standardním detekčním technikám na koncových zařízeních.
Díky tomu se mohou útočníci pohybovat v síti napadené firmy skrytě po značnou dobu. Obranu před takovým typem rizika představují cloudové sandboxy. V reakci na zvyšující se počet útoků nabízí ESET malým firmám od pěti koncových stanic svůj sandbox ESET Dynamic Threat Defense.
Do ESET cloudu jsou k analýze zasílány všechny podezřelé soubory, u kterých nebylo potvrzeno, že jsou škodlivé a hrozí, že by mohly být zdrojem malware. Potenciálně škodlivý soubor spustíme v našem izolovaném vituálním prostředí, kde věrně simulujeme operační systém, mnoho různých aplikací, a dokonce i typickou činnost uživatele.
EDTD v kostce
Pro jaké firmy je sandbox vhodný?
Sandbox je vhodný zejména pro organizace zpracovávající velké množství osobních dat, zdravotnická zařízení, poskytovatele důležitých služeb nebo jakékoli společnosti, které si nemohou dovolit odstávku způsobenou bezpečnostním incidentem.
Sandbox nabízíme jako prémiovou ochrannou vrstvu. Vždy ale jde o doplňující řešení k anti-malware produktům a systému zálohování.
Cloudový sandbox jsme zpřístupnili i pro malé firmy, i ty musejí být chráněné před zero-day hrozbami.
Jak funguje cloudový sandbox?
Sandbox velmi urychluje detekci u „pacienta nula“. Pokud má uživatel ESET Dynamic Threat Defense aktivovaný, výsledek analýzy putuje bez prodlení i na zařízení, které do sandboxu jako první vzorek zaslalo. U postižených zařízení dochází k rychlému zablokování hrozby.
Nejtypičtější vektor? E-mailové přílohy. Blokujeme především sofistikované downloadery a škodlivý kód ukrytý v makrech. Úmysly útočníků se liší. Malware, který se takto měl do zařízení dostat, slouží obvykle ke krádeži přihlašovacích údajů, případně k vytvoření zadních vrátek do sítě.
Špičkové technologie zanalyzují vzorek do 5 minut
ESET Dynamic Threat Defense kombinuje statickou analýzu kódu s dynamickou hloubkovou kontrolou chování vzorku za využití strojového učení a analýzy v RAM paměti.
V praktickém provozu je klíčová rychlost. Ověřování vzorku v ESET Dynamic Threat Defense na našich výkonných serverech probíhá velmi rychle a přednostně před soubory získanými standardní cestou. Díky tomu dokážeme vyhodnotit více než 90 % vzorků za méně než pět minut.
Řešení bez nutnosti instalace
Cloudový sandbox ESET Dynamic Threat Defense není třeba instalovat, stačí jej pouze zapnout ve stávajících produktech pro ochranu koncových stanic nebo serverů. Podezřelé soubory se pak odesílají automaticky k přednostní analýze a v případě nalezení škodlivého kódu dochází okamžitě k blokaci.
Správa probíhá vzdáleně v cloudové konzoli. Zároveň je možné jednoduše nastavit veškeré parametry sandboxu, včetně různých výjimek zajišťujících například, že určité typy souborů nebudou nikdy z firmy odeslány. Lze také nastavit smazání vzorků bezprostředně po analýze
ESET Dynamic Threat Defense dokáže analyzovat širokou škálu typů souborů včetně dokumentů, skriptů či instalačních balíčků. Administrátor má nad vzorky kontrolu ve správcovské konzoli. Lze také vydefinovat, jaké typy souborů nebo z jakých umístění se vzorky analyzovat nemají.
Malware vyhodnotí na čtyřbodové stupnici
Za vyhodnocením v sandboxu nestojí reverzní inženýr, ale automat, proto vzorky dostávají určité skóre na stupnici škodlivosti. Dvoustupňová škála čistý vzorek/malware by mohla vést k falešně pozitivním nebo falešně negativním výsledkům. Náš cloudový sandbox proto vyhodnocuje vzorek na přesnější čtyřstupňové škále: čistý, podezřelý, velmi podezřelý nebo škodlivý.
Administrátor může předem specifikovat, od jaké hodnoty bude docházet k blokaci včetně rozdílného nastavení u jednotlivých zařízení nebo skupin zařízení. Spolu s výsledkem obdrží správce také report, který popisuje problematické chování konkrétního vzorku.