Identyfikacja nieprawidłowego zachowania urządzeń podłączonych do sieci to kluczowe zadanie dla każdego przedsiębiorstwa, które chce się zabezpieczyć przed zaawansowanymi zagrożeniami o długotrwałym działaniu (ang. Advanced Persistent Threats - APT). W obliczu dynamicznie zmieniającego się spektrum ataków przy użyciu złośliwego oprogramowania ukierunkowanego na konkretne cele, FORTINET opracował listę pięciu kategorii, w których oceniana jest możliwość potencjalnej infekcji urządzenia.

1. Nieudane próby nawiązania połączenia

• Typowe zachowania złośliwego oprogramowania często obejmują próby nawiązania połączenia z hostami, które nie istnieją w Internecie. Mimo że niektóre nieudane próby połączeń mogą wynikać z błędu użytkownika lub transmisji na łączach, seria nieudanych połączeń może oznaczać infekcję złośliwym oprogramowaniem.

2. Wybór aplikacji

• Host instalujący aplikację do wymiany plików między użytkownikami (P2P) okazuje się bardziej niebezpieczny od hosta instalującego grę. Niektóre przedsiębiorstwa mylnie stawiają oba te ryzykowne działania na równi. Właściwa ewaluacja zagrożeń pozwala na sklasyfikowanie ryzyka w odpowiedni sposób.

3. Położenie geograficzne

• Za ryzykowne należy uznać połączenia z hostami zlokalizowanymi w określonych krajach, szczególnie jeśli obserwowany jest przy tym wzmożony ruch w sieci. Przy ocenie takiego zachowania należy uwzględnić tzw. „białą listę”, na której znajdują się zaufane serwisy internetowe z poszczególnych krajów.

4. Informacje o sesji

• Jeśli urządzenie rozpoczyna nasłuch na porcie, umożliwiający odebranie połączenia zewnętrznego, ale nie inicjuje połączenia, przyczyną takiego zachowania może być infekcja typu APT (Advanced Persistent Threat).

5. Kategoria lokalizacji docelowej

• Wizyty w określonego typu serwisach internetowych, takich jak serwisy dla hazardzistów, pornograficzne lub inne zawierające złośliwy kod, również narażają na potencjalną infekcję APT.

„Identyfikacja ryzykownego zachowania użytkowników i aplikacji stanowi kolejny krok na drodze do ochrony przed zaawansowanymi zagrożeniami o długotrwałym działaniu. Ochrona oparta na sygnaturach już nie wystarcza. Bardzo istotna jest budowa kompletnego, ewoluującego i aktualnego obrazu zachowania klientów sieciowych” — wyjaśnia Mariusz Rzepka, Territory Manager na Polskę, Ukrainę i Białoruś. „Reputacja klientów i ich klasyfikacja stanowi kluczowy element procesu strukturyzacji i identyfikacji ogromnych ilości informacji o zabezpieczeniach dostępnych w każdym przedsiębiorstwie. Poza tym pozwala wykorzystać te informacje do utworzenia dynamicznych zabezpieczeń ukierunkowanych na konkretne zagrożenia”.

źródło: fortinet/agdrtv24.pl