Riktad hacking tvingar fram en ny verklighet för antivirusföretag

När New York Times avslöjade den här månaden att hackare nyligen hade brutit mot dess nätverk, det som gjorde säkerhetsexperternas huvuden vända var inte att attackerna hade inträffat. Det var ett topp antivirusföretags ovanligt uppriktiga erkännande om gränserna för sin egen teknik.

Symantec sattes på defensiven eftersom dess programvara bara en gång upptäckte och satte i karantän någon av de 45 delar av anpassad skadlig programvara som hackarna hade använt för att rikta in sig på New York Times och illrar ut vissa reportrars e-postmeddelanden, ett rån själva tidningen rapporterad i en nyhetsartikel. Enligt a Tider taleskvinna, tidningen hade det senaste antivirusprogrammet på alla datorer i sitt nätverk; men för att skydda sig mot så kallade avancerade ihållande hot räcker det inte med enbart antivirusprogram, läs Symantecs uttalande .





Att dess kärnprodukt i princip var värdelös mot attacken – som påstås sponsras av den kinesiska regeringen – kom inte som någon överraskning för de som kände till. Men det raka erkännandet pekar på ett snabbt föränderligt datasäkerhetslandskap och ett växande hot mot Symantecs verksamhet på 6,7 miljarder dollar per år. En färsk studie av Imperva , en datasäkerhetsstart i Kalifornien, fann att antivirusprodukter från toppleverantörer upptäckte mindre än 5 procent av mer än 80 nya testade virus.

När attacker blir mer riktade och anpassade (se Antivirus-eran är över) positionerar startups sig själva som alternativ till konventionella antivirusleverantörer. Vissa förespråkar att säkerhetsansvariga, särskilt de som har en budget, använder gratis eller lågbudget antivirusprogram för att fånga enkla, vanliga virus och investerar i specialiserade tjänster för att bättre skydda nyckeltillgångar.

Ashar Aziz, informationschef för en startup som säljer teknik för att avvärja en ny sort av cyberattacker, hävdar att det felaktiga antagandet att antivirusprogram är effektivt mot dagens cyberhot har skapat ett brett och gapande hål i varje säkerhetsarkitektur som finns. Jag har ännu inte gått in i en organisation och upptäckt att de är helt rena. Det har aldrig hänt, säger Aziz.

Istället för att använda en svartlista för att blockera kända hot – den konventionella metoden som används av antivirusprogram – FireEye fungerar genom att anta att allt är misstänkt och testa program i en säker sandlåda innan de låter dem köras på en maskin. I november lämnade VD:n för den stora säkerhetsleverantören McAfee för att gå med i FireEye, som hävdar att nästan 30 procent av Förmögenhet 500 företag är dess kunder och har samlat in mer än 100 miljoner dollar i riskkapitalfonder.



FireEye är långt ifrån den enda startupen som vinner dragkraft eftersom skadlig programvara blir mer riktad och de senaste metoderna från de mest sofistikerade hackarna blir snabbare demokratiserade och sprids.

Och även om den etablerade industrin är tydligt medveten om bristerna i dess långvariga defensiva tillvägagångssätt, kan det ha varit långsamt att anta nya metoder. Impervas chef för säkerhetsstrategi, Rob Rachwald, tror att branschen har lagt ner mindre ansträngningar på att hålla sig i framkant av skyddet och mer på att utveckla snygga instrumentpaneler för att imponera på kunderna. Aziz, som nu arbetar sida vid sida med McAfees tidigare VD, säger att de stora försäljarna nu tävlar för att komma ikapp där FireEye började 2004.

Ur Liam O’Murchus perspektiv, Symantecs chef för säkerhetsåtgärder, är dessa åsikter om att hans företags produkter inte hänger med redan föråldrade.

Den Kalifornien-baserade verksamheten säljer nu avancerade detektionsmetoder och inkluderar några i sina standard antivirusprogram. Dessa inkluderar program som poängsätter länkar som skickas via e-post eller snabbmeddelanden och applikationer baserade på deras källas rykte, söker efter misstänkta beteendemönster och försöker förutsäga själva filens beteende. Under utveckling, säger O'Murchu, är teknologier som är utformade specifikt för att skydda mot så kallade nolldagsattacker, så kallade för att mjukvarutillverkare ännu inte är medvetna om dem och därför inte har haft tid att reagera. Det här är den typ av attacker som välfinansierade kriminella organisationer eller regeringar mest sannolikt kommer att använda (se Welcome to the Malware-Industrial Complex ).

Sättet företag närmar sig säkerhet kommer sannolikt att förändras, liksom tjänsterna de köper, säger Nicolas Christin , en säkerhetsforskare vid Carnegie Mellon University, även om han också noterar att vissa alternativa tillvägagångssätt kan vara mindre effektiva än vad många säkerhetssäljare låter dem verka. Till exempel, säger han, kräver även en beteendedetekteringsmotor fortfarande en viss definition av hur dåligt beteende ser ut, och det kanske inte alltid är uppenbart.



Enligt en enkät av 670 företag som genomfördes av Ponemon Institute var avancerade ihållande hot och haktivism den största huvudvärken för IT-avdelningarna förra året, och många skyllde högre IT-driftskostnader på skadlig programvara.

Erfarenheterna från Mandiant, säkerhetsföretaget som arbetade med New York Times för att svara på och utrota attacken på dess nätverk, uthärda detta. Det brukade vara så att bara en stor bank på Wall Street behövde oroa sig för riktad skadlig programvara, säger servicedirektör Marshall Heilman. Nu är inte bara små regionala banker och gemenskapsbanker måltavla, utan även betalningsbehandlare. Om du är ett framgångsrikt företag så gör du förmodligen något intressant som kan locka hackare, säger han. En detaljerad redogörelse av hur Mandiant spårade en attack mot South Carolina Department of Revenue i november förra året visar hur lätt dessa attacker kan inträffa och hur länge de kan förbli oupptäckta.

De Tider , å sin sida, har inte gett upp sitt antivirusföretag än. Tills vidare fortsätter vi att använda Symantec, säger talesperson Eileen Murphy.



Dölj