Sophos. Πληθοπορισμός της νοημοσύνης ενάντια σε απειλές με “φήμη λήψης”
Πρόσφατα η Sophos ανακοίνωσε ότι ο έλεγχος εφαρμογής (application control) είναι διαθέσιμος ως μέρος του Sophos Cloud σε δημοσία δοκιμαστική έκδοση (public beta). Η συγκεκριμένη δοκιμαστική έκδοση επιπλέον εισάγει ένα νέο επόμενης γενιάς χαρακτηριστικό προστασίας τελικού σημείου (endpoint protection) με την ονομασία “φήμη λήψης” (download reputation).
Αν και δεν ακούγεται και πολύ φανταχτερό, η φήμη λήψης είναι ένα σημαντικό βήμα προς τα εμπρός για την προστασία των χρηστών από προηγμένες απειλές, όπως για παράδειγμα το zero-day malware που έχει σχεδιαστεί για να ξεφεύγει από τις παραδοσιακές άμυνες antivirus.
Η φήμη λήψης (download reputation) ουσιαστικά πληθοπορίζει (αν μπορούμε να χρησιμοποιήσουμε αυτή την έκφραση για το ότι κάνει crowdsourcing) την νοημοσύνη απέναντι στις απειλές, αντλώντας και συνδυάζοντας δεδομένα από την εμπειρία της παγκόσμιας βάσης χρηστών της Sophos για να βοηθήσει στον καθορισμό της φήμης ενός αρχείου. Με άλλα λόγια, κάθε χρήστης με την φήμη λήψης ενεργοποιημένη βοηθάει και συνεισφέρει στην συλλογική ασφάλεια των πελατών της Sophos.
Ας δούμε πως λειτουργεί η λήψη φήμης
Όταν ένας χρήστης προσπαθήσει να κατεβάσει ένα εκτελέσιμο αρχείο από έναν υποστηριζόμενο πρόγραμμα περιήγησης στο Internet, το χαρακτηριστικό download reputation ρωτάει στην SophosLabs για πληροφορίες σχετικά με το αρχείο. Αν είναι γνωστό ότι το αρχείο είναι κακόβουλο, τότε, όπως είναι φυσικό, θα αποκλειστεί (θα μπλοκαριστεί). Αν το αρχείο δεν είναι γνωστό ότι είναι κακόβουλο, αλλά έχει χαμηλή φήμη –ή καμία φήμη- τότε ο χρήστης θα ερωτηθεί αν επιθυμεί να αποτραπεί ή να επιτραπεί η λήψη του αρχείου (ο διαχειριστής μπορεί προαιρετικά να επιλέξει να μην ζητηθεί η γνώμη του χρήστη και αντί αυτού να επιτρέπεται η λήψη ενώ παράλληλα καταγράφονται όλα τα αρχεία χαμηλής φήμης που κατεβαίνουν).
Οπότε πως καθορίζεται από την Sophos η φήμη ενός αρχείου; Η SophosLabs κοιτάζει έναν συνδυασμό της επικράτησης του αρχείου (του πόσο κοινότυπου είναι), της ηλικίας του (τα παλαιότερα αρχεία είναι λιγότερο πιθανό να αποτελούν άγνωστων στοιχείων απειλές) και της διεύθυνσης της ιστοσελίδας (URL) από όπου κατέβηκε το αρχείο.
Ένα επίπεδο πάνω από την πολυεπίπεδη αυτή αντικειμενική πληροφόρηση, βρίσκεται ένα σημαντικό υποκειμενικό μέτρο: από τους χρήστες που έχει ζητηθεί η γνώμη τους για το αρχείο, πόσοι το έχουν αποκλείσει και πόσοι έχουν επιτρέψει την λήψη του στους υπολογιστές τους; Αν οι περισσότεροι χρήστες έχουν επιτρέψει την λήψη του αρχείου, τότε αυτό ενδεχομένως να σημαίνει ότι πρόκειται για μία νόμιμη λήψη από αξιόπιστη πηγή. Αν πολλοί χρήστες έχουν αποτρέψει την λήψη του αρχείου, τότε αυτό ενδεχομένως να σημαίνει ότι οι χρήστες κατά κάποιο τρόπο πιέστηκαν ή ξεγελάστηκαν και εξαπατήθηκαν για να αποθηκεύσουν το αρχείο στους υπολογιστές τους.
Η πληθοποριστική προσέγγιση (crowdsourced) στην φήμη της λήψης προστατεύει τους πελάτες της Sophos από προηγμένες απειλές με δύο σημαντικούς τρόπους. Πρώτον, κλείνει το κενό μεταξύ των γνωστών ή των ύποπτων αρχείων malware, που μπορούν να αποκλειστούν πια με αυτοπεποίθηση, και των γνωστών ασφαλών αρχείων, που αισθανόμαστε σίγουροι ότι μπορούν να τρέξουν στον υπολογιστή. Δεύτερον, προσφέρει στην SophosLabs μία έγκαιρη προειδοποίηση για την εμφάνιση μίας νέας απειλής, που για την ώρα καταφέρνει να αποφύγει τις τεχνικές ανίχνευσης. Κάτι τέτοιο δίνει την δυνατότητα στην SophosLabs να αναλύσει περαιτέρω το αρχείο και να αναπτύξει γρήγορα και εγκαίρως νέες τεχνικές ή δυνατότητες ανίχνευσης εφόσον κριθεί απαραίτητο.
Δοκιμάστε την φήμη λήψης στο Sophos Cloud
Θα θέλατε να συμμετάσχετε στην δοκιμαστική έκδοση των download reputation και application control; Αν είστε ήδη πελάτης του Sophos Cloud, επλώς επιλέξτε το “Beta Programs” από το drop-down menu με την ονομασία “Account” στην κονσόλα διαχείρισης του Sophos Cloud.
Δεν είστε ακόμη πελάτης; Δοκιμάστε το Sophos Cloud δωρεάν, και στην συνέχεια λάβετε μέρος στην δοκιμαστική έκδοση, όπως περιγράψαμε παραπάνω. Αν χρησιμοποιείτε το Endpoint Protection on-premise, τότε το χαρακτηριστικό download reputation αναμένεται να κάνει την εμφάνιση του στην Sophos Enterprise Console αργότερα μέσα στην χρονιά.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.