Zapraszamy do kontaktu: tel. +48 579 647 639 lub kontakt@fortecait.pl

Wcześniejszy post, do którego przeczytania zachęcam,poruszał temat nadchodzącej rewolucji w AV, Teraz wypada napisać kilka słów o rozwiązaniu które przywołałem.
Dell Advanced Thread Protection dostępny również w pakiecie m.in z szyfrowaniem – Dell Endpiont Security Suite Enterprise.

DellEMC nie ukrywa, że to tak naprawdę technologia Cylance z zarządzaniem i suportem Dell. I to dobra wiadomość, bowiem Cylance jest uznawany za najbardziej innowacyjne rozwiązanie ATP dostępne na rynku.
Problemem jest samo porównanie rozwiązań tej klasy z tradycyjnymi AV. Niby robią to samo – chronią komputer przed wirusami.
To zupełnie jak średniowieczny mnich przepisujący przy świecy litera po literze manuskrypt i współczesny skaner z OCR wykorzystujący AI – robią to samo….
Mnich nawet nie musi umieć czytać, ani znać języka dzieła, które przepisuje – stąd masa błędów narastająca w kolejnych wersjach. 
Porównanie okazuje się naprawdę trafne – wszak tradycyjny AV porównuje jedynie literki – sygnatury. Nie musi znać ani rozumieć procesów, które za nimi się kryją.

Jeśli spojrzeć na to z dystansu, to sama koncepcja tradycyjnego AV jest kuriozalna – bezpieczne jest to, czegoś nie znam (nie mam na to sygnatury, jest ok).
Producenci tradycyjnych AV próbują łatać tą koncepcję, dokładają heurystykę, analizę behawioralną. Nazwy fajne i chwytliwe, w praktyce wychodzi średnio. Właśnie dlatego wszyscy oni w poczcie czoła pracują nad zaprzęgnięciem AI i opracowaniem modułów ATP – nie robiliby tego gdyby nie było dla nich oczywiste, że stara ścieżka właśnie skończyła się na urwiskiem.

Kilka faktów:
W 2017 statystycznie każdego dnia pojawiało się 350.000 nowych unikalnych próbek malware&pua (według AVTest). 350 tysięcy próbek kodu do analizy i przygotowania sygnatur. Tylko część tej analizy może być prowadzona w sposób automatyczny, tymi co bardziej skomplikowanymi muszą zająć się ludzie.

Dopóki sygnatura nie zostanie napisana, tylko kwestią szczęścia jest, czy dostaniesz wirusem czy nie – taka nowa rosyjska ruletka.
Gdy już sygnatura powstanie musisz ją ściągnąć i rozesłać po swojej sieci pilnując aby zaktualizować wszystkie urządzenia.

Codziennie pula sygnatur, które trzeba porównać ze skanowanym plikiem rośnie o 350.000 – wydajnościowo niemałe wyzwanie. Część twórców tradycyjnego AV zaczyna więc oszukiwać – kasują z baz sygnatury wirusów nie widzianych w sieci od ponad roku. To stąd zaskakujące informacje o skutecznym powrocie zapomnianego wirusa sprzed lat. Inni nie skanują plików np. większych niż 1Mb „ponieważ statystki pokazują, że 99% malware’u mają mniejszy rozmiar”. 
Myślę, że od razu widzicie Państwo wielką jak stodoła lukę w tym rozumowaniu, z której może skorzystać każdy kto chce przeprowadzić atak celowany właśnie na nas.

Przy takim tempie tworzenia sygnatur łatwo o ludzki błąd – fałszywą sygnaturę. Mało kto pamięta wpadkę McAfee’ego sprzed kilku lat – przypadkowo zrobiono sygnaturę rozpoznającą windowsowy svhost.exe jako wirusa. Efekt? 800 000 komputerów wpadało w pętle restartów. Rozwiązanie sugerowane prze McAfee – reinstalację systemu.Brzmi śmiesznie, ale w USA „dostały” między innymi szpital – nikomu nie było wesoło.

Przypadkowy false-positive to jedno, ale ta wpadka pokazała też co innego. AV może być skutecznym narzędziem paraliżującym całe sieci IT.
W takim świetle nieco inaczej jawi się wywalenie Kasperskiego z amerykańskiej administracji, czy Chiński zakaz stosowania rozwiązań rosyjskich i amerykańskich.
Oprogramowanie, które może z systemem zrobić wszystko i które nieustannie komunikuje się ze swoim Command&Control, a w dodatku ta wymiana informacji pozostaje poza naszą kontrolą – to raczej słaby pomysł na niepewne czasy.

Często w rozmowach z ludźmi odpowiedzialnymi za ochronę sieci słyszę – nasz AV jest w porządku nie mamy poważnych incydentów.
Fala ransomware’u niebezpiecznie przekierował naszą percepcję i uśpiła naszą czujność – wszak jeśli mieliśmy infekcję Ransomware – wiedzieliśmy o tym od razu.
Często zapominamy, że zadaniem miażdżącej większości szkodliwego kodu jest niepostrzeżenie rozprzestrzenić się w zinfiltrowanym środowisku i dyskretnie wykonywać polecenia od C&C. Według badań i analizy przeprowadzonych przez Cylance, średni czas od wniknięcia wirusa do sieci do momentu jego wykrycia wynosi 205 dni! Nie minut, nie godzin – 205 dni – prawie 7 miesięcy. 
Dlatego zawsze gdy słyszę „Nie mamy incydentów” muszę zadać niewygodne pytanie – Nie macie, czy tylko o nich nie wiecie? Odpowiedzialny admin zawsze w takie sytuacji mówi „sprawdzam”, bo też jednym z głównych zadań osób odpowiedzialnych za bezpieczeństwo IT jest świadome zarządzanie ryzykiem.
Statystyka PoC prowadzonych przez Forteca nie pozostawia złudzeń, w zdecydowanej większości przypadków odpowiedź na stwierdzenie admina „Wydaje mi się, że nie mamy wirusów” brzmi – Masz rację, wydaje Ci się.

Nie mam najmniejszych wątpliwości, że w horyzoncie 3-5 lat sektor AV czeka rewolucja – tradycyjne rozwiązania przejdą ekspresową ewolucję albo znikną z rynku. Nowi gracze wywrócą do góry nogami rankingi skuteczności i popularności. 
NGAV wykorzystujące Al, analizę BigData i zaawansowaną analizę matematyczną po prostu robią to czego od nich oczekujemy, do minimum ograniczając naszą pracę i wykorzystywane zasoby. Póki co za skuteczną ochronę i oszczędność czasu i zasobów musimy zapłacić nieco więcej niż za tradycyjne AV, ale sytuacja zmienia się w tym obszarze bardzo szybko.
ATP przeszły już z fazy innowacji w fazę dojrzałego produktu. Zgodnie z cyklem życia każdego rozwiązania ceny na tym etapie zaczynają gwałtownie spadać, wraz z pojawianiem się coraz liczby takich rozwiązań i poszerzaniem się grona użytkowników.
Może już teraz warto mieć zabezpieczenie, a nie tylko wrażenie, że jest ok.