Испытания показали, что Adaptive Protection блокирует потенциальные атаки Living Off the Land на 4 секунды быстрее
Когда мы думаем о том, какие объекты выбирают злоумышленники для своих вредоносных полезных нагрузок, мы чаще всего имеем в виду сомнительные или зараженные веб-сайты или опасные исполняемые файлы, созданные злоумышленниками. Было время, когда вредоносное ПО, созданное злоумышленниками, обычно наносило ущерб до того, как антивирусные решения успевали идентифицировать сигнатуры и изолировать угрозу. Но сегодня преступники используют легитимные бизнес-приложения в качестве прикрытия, позволяя им скрываться на виду, используя хороший код для совершения вредоносных действий.
Отчет Symantec Ransomware Threat Landscape 2024 свидетельствует о росте популярности методов «living off the land» (LOTL), когда злоумышленники запускают сложные атаки с помощью функций операционной системы или легитимных инструментов. С 2021 по 2023 год почти половина всех атак программ-вымогателей использовала инструменты LOTL, а шесть из 10 инструментов, наиболее часто используемых во всех вымогательских атаках, были легитимным программным обеспечением. Такие инструменты, как компоненты ОС Windows, PsExec, PowerShell, WMI, AnyDesk, Atera, Splashtop и ConnectWise, стали основными целями для эксплуатации.
Проблема заключается в том, что системные администраторы полагаются на эти же инструменты для обеспечения бесперебойной и безопасной работы. Поэтому администраторам особенно сложно отличить обычные, повседневные действия от необычного поведения, которое может свидетельствовать о потенциально вредоносной активности. Именно на это рассчитывают злоумышленники, и это одна из главных причин, по которой инженеры Symantec разработали Adaptive Protection.
Что такое Adaptive Protection?
Adaptive Protection, уникальная функция Symantec Endpoint Security (SES), изучает повседневные индивидуальные особенности организации или подразделения и блокирует комбинации, выходящие за рамки этого профиля. Она использует поведенческую аналитику для автоматического обучения и применения исключений, для охвата наблюдаемого использования и блокирования элементов, выходящих за рамки обычного использования, не влияя на установленные рабочие процессы и поведение. Adaptive Protection упрощает жизнь командам безопасности, сокращая поверхность атаки и выявляя аномальное поведение, которое может указывать на атаку LOTL.
Команды с этой функцией защиты конечных точек могут:
- Отслеживать и выявлять нормальное поведение в рамках всей организации или отдельных групп.
- Создать систему политик, которая разрешает нормальное поведение и блокирует поведение, выходящее за рамки нормы, включая вариации нормального поведения.
- Сократить площадь атак.
- Ускорить обнаружение потенциальных угроз.
Звучит неплохо, правда? Вот как это работает.
При развертывании в корпоративной среде Adaptive Protection начинает изучать обычные действия и поведение, которые затем отслеживаются и отмечаются (но не блокируются) каждый раз, когда они появляются. После периода ожидания в 90, 180 или 365 дней администратор может проверить, были ли эти действия когда-либо замечены, и определить, разрешить или заблокировать их. Администраторы могут блокировать эти никогда ранее не встречавшиеся действия, не беспокоясь о негативном влиянии на среду и ее пользователей. На самом деле Adaptive Protection может блокировать более 450 отдельных действий. Например, если Microsoft Word запускает PowerShell, но это выходит за рамки обычного поведения, его можно заблокировать. Набор разрешенных действий формирует политику для данной организации.
Команды безопасности получают реальные преимущества. Поскольку адаптивная защита позволяет выполнять легитимные действия и одновременно блокирует легитимные действия, выходящие за рамки обычного использования, она в конечном итоге сокращает площадь атаки и обезоруживает злоумышленников, пресекая попытки LOTL-атак. Фактически, она может остановить LOTL-атаки еще до того, как системы безопасности обнаружат их самостоятельно.
MRG Effitas тестирует Adaptive Protection
Легко говорить о том, как работает Adaptive Protection, но на самом деле вопрос заключается в том, работает ли Adaptive Protection в реальных сценариях? Ответ – однозначное «да», и у Symantec есть доказательства.
Недавно было решено провести тщательное тестирование возможностей Adaptive Protection в средах, основанных на реальных условиях работы клиентов. Цель – оценить, насколько хорошо решение способно блокировать атаки на ранних этапах цепочки поражения.
Тестирование в рамках Tempus
Для проведения настоящего тестирования в реальных условиях (ITW) была выбрана компания MRG Effitas, известная своим опытом поиска реальных образцов для эффективной оценки решений безопасности. MRG Effitas может похвастаться передовой средой тестирования Tempus, которая оценивает продукты EPP в сравнении с новейшими киберугрозами и предоставляет мгновенные оповещения по электронной почте, Slack или Discord, когда образцы вредоносного ПО пропущены продуктами EPP. Это делает Tempus не только эффективной тестовой средой, но и дает возможность командам быстро и эффективно совершенствовать продукты.
Было настроено шесть машин под управлением Symantec Endpoint Protection (SEP), одна из которых выступала в качестве контрольной, а на остальных использовались пять различных политик разрешения/запрета, реализованных реальными клиентами SES. Чтобы имитировать обычное поведение пользователя, открывалась вредоносная ссылка в Chrome, загружался и запускался образец. Каждый образец выполнялся в незащищенной системе и сравнивался с результатами на защищенных системах. Благодаря использованию защищенных виртуальных машин среда оставалась невидимой для вредоносного ПО, что позволило наблюдать полный жизненный цикл атаки.
Результаты были громкими и четкими
Тест показал, что Symantec Adaptive Protection работает – и работает хорошо.
Всего за несколько дней было обнаружено более полудюжины случаев, когда Adaptive Protection обеспечивала более раннюю защиту от угроз, основываясь исключительно на сокращении поверхности атаки. Примечательно, что Adaptive Protection обнаруживала вредоносные программы на 4 секунды быстрее, чем системы без этой функции. Благодаря способности MRG Effitas предоставлять реальные образцы в режиме реального времени в сочетании с политиками, используемыми реальными клиентами Symantec, тесты позволили получить представление о реальном применении и жизнеспособности Adaptive Protection. В конечном итоге эти тесты подчеркнули способность Adaptive Protection ограничивать возможности злоумышленников.
Symantec с вами
По мере того, как злоумышленники меняют правила игры, меняется и Symantec. Symantec постоянно развивается, чтобы предоставить организациям проверенные решения, способные противостоять динамичным вызовам. Чтобы подтвердить свои заявления, Symantec тестирует свои решения и технологии против реальных угроз. Этот этап тщательного тестирования доказал, что Adaptive Protection необходима для достижения критически важного преимущества, и что Symantec прокладывает путь к решениям, которые лучше работают для пользователей и лучше противостоят современным все более сложным и изменчивым атакам.
Источник: Adaptive Protection is Put to the Test
