V dnešní době cílených hackerských útoků na data společností, zero-day útoků či permanentních nových malwarových hrozeb typu ransomware, klasická antivirová řešení již nejsou dostačující pro spolehlivou ochranu dat.
Standardní metody zabezpečení koncových stanic je třeba doplnit o dodatečnou bezpečnostní vrstvu ochrany koncových stanic založenou na analýze chování počítače schopnou detekovat doposud neznámé hrozby.
Exploit Guardian chrání aplikace se zranitelnými bezpečnostními dírami kritických a velmi zranitelných aplikací jako jsou webové prohlížeče, systémové soubory, PDF editory, apod. Monitoruje chování procesů v paměti a na základě rozhodujícího algoritmu spojenému se systémovými aktivitami vyhodnocuje, reportuje a blokuje hrozby.
Exploit Guardian je monitorovací a ochranný nástroj k zabezpečení operačního systému a rizikových aplikací oproti typickým vektorům útoků. Tato ochrana je doplňujícím bezpečnostním prvkem k existujícím antivirovým produktům a je schopna zabránit útokům, proti kterým jsou tato řešení neúčinná, tedy zneužití neznámých zranitelností aplikací nebo OS, neaktualizovaný OS a dosud neznámé typy útoků.
Řešení Exploit Guardian monitoruje chování spouštěných programů na počítači s cílem detekovat neobvyklé chování, které může indikovat útok malware nebo hackera. V podstatě se jedná o vytvoření obsluhy základních systémových operací, např. otevírání souborů, spouštění procesů, zápis do registrů a přístup do sítě. Podle nastaveného režimu je toto podezření na útok buď reportováno nebo je podezřelý proces zablokován před tím, než stačí vykonat svoji aktivitu.
Zaznamenání událostí se provádí takovým způsobem, aby bylo možné jednoduše dohledat směr útoku a s ním související informace, které byly během provedení útoku zaznamenány a slouží pro jeho analýzu administrátorem systému.
Oproti typickým antivirovým řešením, Exploit Guardian vyhodnocuje potenciálně nebezpečné aktivity malware v reálném čase na základě behaviorálních pravidel. Zabezpečuje tedy systém i v kritické době, kdy na zneužívanou zranitelnost neexistuje patch, a malware není popsán virovou signaturou pro zachycení antiviry.
Exploit Guardian chrání koncové stanice a jejich aktiva proti působení ransomware. Tento druh malware patří do skupiny škodlivého kódu, který šifruje uživatelská aktiva. V dnešní době je ransomware velmi rozšířený a zároveň nebezpečný, protože kombinuje moderní distribuční techniky spolu s pokročilými metodami šifrování dat.
Exploit Guardian průběžně monitoruje aktivitu procesů v operačním systému a přehledně informuje uživatele o potenciálně nežádoucích operacích. Umožňuje uživateli definovat aplikacím povolené operace a omezit tak i legitimním programům práva k přístupu k systémovým prostředkům a uživatelským aktivům.
Pro správu incidentů detekovaných aplikací Exploit Guardian ve firemních prostředích je využíván Management server, který přijímá informace o incidentech a návazných informacích ze stanic, koreluje informace podle nadefinovaných vektorů útoků a poskytuje předzpracované informace bezpečnostním správcům s cílem zpřehlednit stav bezpečnosti na síti a ušetřit čas při analýze bezpečnostních událostí. Příkladem může být automatické vyhledání stanic se stejným bezpečnostním incidentem v síti. Poskytuje přehledně informaci o rozšíření malware v síti a bezpečnostním kontextu pro rychlou reakci. Návazné uložené informace pak pomohou administrátorovi zjistit detaily o incidentech a jejich příčinách bez nutnosti fyzické přítomnosti u problematických koncových zařízení v síti.
Systém Exploit Guardian provádí obsluhu systémových volání v operačním systému, tj. monitoruje otevírání souborů, spouštění procesů, zápis do registrů a přístup do sítě.
Vyhodnocení útoků probíhá podle předem definovaných pravidel, která jsou tvořena korelací ustanovení danými pro zdrojový a cílový objekt, restrikcemi na přístup k objektu (create, open, read, write, delete a rename) a prioritou, která určuje pořadí aplikování pravidel.
V případě, jestli zachycená událost bude porušovat existující pravidla, systém Exploit Guardian vyhodnotí možné riziko na základě priority porušeného pravidla a v závislosti na nastaveném režimu operaci povolí, zablokuje nebo se dotáže uživatele.
Koncové stanice průběžně provádí synchronizaci se serverovou stranou Exploit Guardian a poskytují jí všechny detekované události, které na nich byly zaznamenány. Na základě přijatých dat bude server schopen provést jejich analýzu a korelaci.
V dalším kroku systém Exploit Guardian koreluje související události, přijaté z koncových stanic, s cílem vytvoření řetězce událostí, na základě kterého je možné získat hlubší znalost o detekovaném incidentu, provést jeho analýzu a odpovídající protiopatření.
Administrátor systému bude schopen provádět analýzu vzniklých útoků pomocí webové aplikace, která přehledně a srozumitelně zobrazuje zaznamenané útoky a pomáhá stanovit jejich dopady.
Řešení Exploit Guardian navíc nabízí nástroj, který umožňuje správci systému provádět analýzu a protiopatření zaměřené na předcházení vzniku negativních dopadů hrozeb cílených na koncové stanice. Výhoda nástroje pro provedení analýzy v porovnání s existujícími řešeními spočívá v tom, že v sobě spojuje použití moderních způsobů zobrazení a technologií, které umožní provádět zkoumání vzniklých incidentů efektivněji.
Webová aplikace nabízí inteligentní rozhraní, které se jednoduše ovládá, je dynamické a skládá se ze třech hlavních komponent, kde každá se stará o konkrétní funkci. První komponenta zastupuje časovou osu, na které jsou vzniklé incidenty tříděny podle jejích závažnosti a času. Druhá komponenta představuje graf reprezentující vývoj útoku na koncové stanice. Třetí komponenta tvoří informační panel poskytující informace o zvoleném incidentu a zprostředkovává přístup k službám jako jsou VirusTotal a IP Geolocation.
Produkt Exploit Guardian byl vyvinut za podpory Ministerstva průmyslu a obchodu ČR, v dotačním programu Operační Program Podnikání a Inovace pro konkurenceschopnost – Pokročilá ochrana před neznámými malwarovými a hackerskými útoky pomocí analýzy chování počítačů, reg. číslo CZ.01.4.04/0.0./0.0./16_066/0007813.
Sec Guardian, s.r.o.
Veveří 2845/102,
616 00 Brno, ČR,
IČ: 01673246
DIČ: CZ01673246
Společnost je vedená u Krajského soudu Brno pod číslem C96344.
Web:
www.sec-guardian.cz
Email:
info@sec-guardian.cz
Tel.: +420 733 468021
Bankovní účet: UniCredit Bank Czech Republic and Slovakia,
a.s., č.ú. 2113755783/2700