Jak zwalczać pandemie oprogramowania

Jednak mniej niż połowa przedsiębiorstw posiada odpowiednią ochronę do walki z zaawansowanymi zagrożeniami, takimi jak botnety. W 2011 roku TDL Botnet prawdopodobnie zainfekował ponad 4,5 miliona komputerów i atakował około 100 000 unikalnych adresów dziennie.

Jak rozwinąć chorobę

Jedną z najistotniejszych przyczyn tak szybkiego rozprzestrzeniania się botów oraz innych form zaawansowanych wirusów jest to, że cyberprzestępcy atakują kilka firm jednocześnie, aby zwiększyć prawdopodobieństwo sukcesu. Zupełnie jak ich odpowiedniki w świecie medycyny, wirusy komputerowe rozwijają się i stają się coraz bardziej złożone. Botnety są z natury polimorficzne, potrafią udawać zwykłe aplikacje i symulować wzorce ruchu w sieci. Wszystko to sprawia, że bardzo trudno je zwalczyć korzystając z tradycyjnych rozwiązań antywirusowych opartych o sygnatury.

Co więcej, boty są zaprojektowane tak, aby działały po cichu. Większość firm nie ma więc pojęcia o tym, że ich sieci zostały zainfekowane, a pracownicy działów bezpieczeństwa często nie mają odpowiednich narzędzi aby widzieć wszelkie działania podejmowane przez botnety. Z tego właśnie wynika szybkie rozprzestrzenianie się nowych zagrożeń, liczne infekcje na skalę globalną czy pojawiające się ciągle straty.

Samotna walka

Istnieje jeszcze jeden bardzo istotny czynnik składający się na problem rozprzestrzeniania wirusów. Nawet jeżeli tysiące firm zostanie zaatakowane przez botnety, to i tak na ogół każda z nich zwalcza zagrożenie osobno i rozpoczyna działania już po infekcji. W wielu przypadkach ochrona przeciw złośliwemu oprogramowaniu działająca w danej organizacji mogła nie posiadać odpowiedniej aktualizacji pozwalającej na wykrycie infekcji lub warstwowej ochrony do powstrzymania jej skutków. Można to porównać do walki z chorobą polegająca na koncentrowaniu się tylko na tych, którzy już zostali zainfekowani. Czy nie lepszym podejściem byłoby zaszczepić się przeciwko infekcji, tak aby wirus nie mógł rozprzestrzeniać się dalej?

Tak naprawdę to dzięki międzynarodowej współpracy środowiska medycznego udało się zażegnać epidemię H1N1. WHO współpracowało lokalnie z poszczególnymi ministerstwami zdrowia w różnych państwach a następnie przekazywało informację dalej, koordynując obieg wiadomości. Czemu więc przedsiębiorstwa nie mogłyby działać w ten sam sposób i dzielić między sobą danych o zagrożeniach, które właśnie się pojawiają?

Zamykanie okien

W efekcie doprowadziłoby to do tego, że firmy stałyby się częścią globalnej sieci czujników zagrożeń – zamykałyby okno czasowe między wykryciem nowego ataku a zdolnością do obrony przeciwko niemu.

• Według ostatnich badań w ponad 85% przypadków potrzeba było tygodni, a nawet więcej, aby wykryć fakt włamania przez cyberprzestępców. Gdyby firmy mogły dzielić się informacjami na temat zainfekowania botami lub złośliwym oprogramowaniem zaraz po tym, jak zostały wykryte w ich sieciach, najważniejsze cechy charakteryzujące atak (takie jak adresy IP, URL czy DNS atakującego) mogłyby być udostępniane w chmurze, co w ciągu kilku minut skutkowałoby aktualizacją bazy informacji na temat nowego zagrożenia. 
• Na przykład mogłoby to pozwolić natychmiastowo udostępnić dane na temat ataku wykrytego w Japonii. Przedsiębiorstwa na całym świecie otrzymałyby niezbędną wiedzę, a ich systemy bezpieczeństwa zostałyby uaktualnione tak, aby były w stanie zablokować atak. Mogłoby to wiązać się z zamknięciem portu na firewallu, aktualizacją systemu Intrusion Prevention lub wgraniem łatki do oprogramowania lub systemu operacyjnego – w każdym razie dzięki takiej wiedzy, firmy mogłyby zabezpieczyć się poprzez profilaktykę.

• Nie tylko indywidualne firmy mogą czerpać korzyści z takiego podejścia –dotyczy to również ogólnej strefy biznesowej i społeczności internetowej. Przy zmniejszeniu liczby zainfekowanych danym agentem sieci i maszyn, rozpowszechnianie się infekcji zwalnia – w związku z tym zmniejsza się szansa, że atak osiągnie masę krytyczną i stanie się epidemią. Jak mówi przysłowie – lepiej jest zapobiegać niż leczyć.

Podsumowując, w ramach walki z zagrożeniami płynącymi ze złośliwego oprogramowania, przedsiębiorstwa powinny współpracować i dzielić się danymi na temat wirusów w celu spowolnienia rozprzestrzeniania się infekcji, zmniejszenia skutków ataków i poprawienia ogólnego stanu bezpieczeństwa. W przypadku bezpieczeństwa Internetu, wszyscy jesteśmy narażeni – powinniśmy więc współpracować, żebyśmy wszyscy sobie z tym poradzili.