Antivirusinės programos „skydas“ jau per silpnas: verslą nuo atakų gali apsaugoti tik savaime apsimokantys sprendimai
Antivirusinė programa kažkada buvo pagrindinis kibernetinių atakų skydas, o šiandien ji – geriausiu atveju prilygsta priedangai desertine lėkšte, sako saugumo ekspertai. Programišių taktikoms evoliucionuojant, virusai vis dažniau nueina į antrą planą, o tai verslą verčia savo IT infrastruktūros apsaugai ieškoti naujos kartos priemonių. „Telia“ teigimu, šiomis dienomis efektyviausiai įmones nuo pavojingų kibernetinių grėsmių gina tik centralizuotai valdomi ir kompleksiniai sprendimai.
Remiantis 2022 m. „Verizon“ atlikta įsilaužimų statistika, beveik pusė visų duomenų vagysčių buvo įvykdyta panaudojant elektroninį paštą ir vartotojų kompiuterius. Šis faktas parodo, kur pirmiausiai turėtų būti nukreiptos ar sustiprintos jūsų gynybos pajėgos.
„Viena, be jokių kitų saugumo priemonių naudojama, antivirusinė yra lyg šarvuotos durys namui su iki galo atidarytais langais. Kibernetiniai chuliganai šiandien turi kur kas geresnių metodų už virusus – jie gali elementariai apgauti darbuotojus melagingais el. laiškais ar išnaudoti operacinių sistemų spragas. Dėl šios priežasties verslui labai svarbūs visą įmonės kompiuterių tinklą, dažnai ir kitas sistemas, stebintys bei saugantys automatizuoti modernūs įrankiai“, – teigia „Telia“ kibernetinio saugumo produktų vadovė Agnė Pastalienė.
Svarbi, bet ne visagalė apsauga
Nors antivirusinės programos neretam vartotojui vis dar asocijuojasi su visapusiška apsauga nuo kibernetinių grėsmių, taip jau nebėra daugybę metų. Vienokią ar kitokią antivirusinę šiandien galima rasti kone kiekviename kompiuteryje, nes jas gamintojai dažnai įdiegia nemokamai. Akivaizdu, kad šiai programinei įrangai veikiant dažname įrenginyje, sukčiai ilgainiui pradėjo ieškoti jos neginamų landų.
„Tradicinė antivirusinė veikia vieno įrenginio izoliuotoje aplinkoje ir geba aptikti kenkėjišką kodą tik tada, kai jis patenka į tą įrenginį. Ji neturi galimybių „pastebėti“ įmonės kompiuterių tinkle vykstančių įtartinų procesų, kurių laiku nesustabdžius, programišiai vienu metu gali įsilaužti į visus organizacijos kompiuterius ar pasiekti kitas kritiškai organizacijai svarbias sistemas. Taip bendrovei gali būti padaroma kur kas didesnė žala, o antivirusinė net „nesupras“, kas vyksta“, – aiškina A. Pastalienė.
Pašnekovė akcentuoja, kad šiuo metu visuose saugumo standartuose ir gerųjų praktikų rekomendacijose vienas esminių reikalavimų galinių įrenginių apsaugai yra centralizuotas visų įmonės įrenginių saugumo politikų valdymas, žurnalinių įrašų kaupimas bei matomumas, ko nemokamai su operacine sistema suteikiamos antivirusinės negali suteikti.
Pasikeitusi atakų taktika reikalauja naujų priemonių
Dideliu šių dienų kibernetinio saugumo iššūkiu tampa tai, kad piktavaliai įsilaužimui pradėjo naudoti nebe virusus, o socialinę inžineriją ir įvairių skaitmeninių paslaugų spragas. Sukūrę įtikinamą duomenų vagystę (angl. „phishing“) tipo el. laišką apie būtinybę pasikeisti slaptažodį, sukčiai gali perimti darbuotojo prisijungimo duomenis ir, naudodami įprastus IT sistemų administratorių įrankius „Windows“ ar „Linux“ operacinėse sistemose, gauti privilegijuotas vartotojo teises. Tai įsilaužėlius įgalina susilpninti arba išjungti įprastus saugumo mechanizmus, užvaldant visą įmonės IT infrastruktūrą.
Dėl to darbo vietų saugumui užtikrinti ekspertai rekomenduoja naudoti pažangesnius EDR (angl. Endpoint detection and response) sprendimus, kurie renka ir susieja duomenis iš visų kompanijos kompiuterių, o dar geriau – XDR sprendimus (angl. extended detection and response), kurie papildomai prižiūri dar ir el. pašto bei kitų jautrių sistemų darbą.
„Norint suprasti skirtumą tarp antivirusinės ir XDR, juos galima palyginti su namų signalizacija ir policija. Antivirusinė, lyg signalizacija, apsaugo tik nuo įsibrovimo į namo vidų, o XDR, kaip patruliuojanti policija, gali užkirsti kelią tiek patekimui į kiemą, tiek bandymui pro duris įeiti nepastebėtam su pavogtu raktu ar signalizacijos išjungimo kodu. Tai jokiu būdu nereiškia, kad antivirusinė šiomis dienomis nėra reikalinga, tiesiog verslui šiandien reikia kur kas pažangesnių sprendimų“, – skirtumą detalizuoja „Telia“ kibernetinio saugumo produktų vadovė.
Savaime apsimokantys įrankiai taps privalomi
Pagrindinis XDR privalumas – galimybė vienoje vietoje matyti visus su ataka susijusius duomenis. Saugos analitikai, turėdami geresnį matomumą, kas dedasi jų prižiūrimose sistemose, gali kur kas greičiau išanalizuoti puolimą ir greičiau į jį sureaguoti, užkirsdami kelią potencialiai žalai arba ją smarkiai sumažindami.
Kitu dideliu XDR pranašumu galima įvardinti pažangių dirbtinio intelekto (DI) ir mašininio mokymosi technologijų naudojimą. Sujungdami duomenis iš galinių įrenginių, tinklų, debesijos išteklių, el. pašto sistemų ir kitų susijusių šaltinių, XDR sprendimai sukuria unikalią atakos istoriją su informacija apie grėsmės šaltinį, užpuoliko ketinimus ar išpuolio poveikį, kas ypač naudinga, norint greitai atskleisti grėsmes.
Savaiminis apsimokymas padeda kenkėjišką veiklą ar neįprastą vartotojo elgseną atpažinti automatiškai ir nedelsiant ją užkardyti, smarkiai palengvindamas kibernetinės saugos specialistų darbą ir padidindamas įmonės atsparumą kibernetinėms grėsmėms.
„Telia“ ekspertės teigimu, sudėtingėjant kibernetinėms atakoms, XDR pamažu tampa tokia pačia kertine įmonės skaitmeninio turto apsaugos dalimi, kokia šiuo metu yra įprasta antivirusinė programa. Tą patvirtina ir jau šių metų rudenį įsigaliosianti Tinklų ir informacinių sistemų saugumo direktyva (TIS2), kuri verslus įpareigos įsidiegti modernius DI ir savaiminiu apsimokymu paremtus saugumo sprendimus, kuriems ir priskiriami XDR įrankiai.