PREVENTING UNKNOWN, ZERO-DAY ATTACKS

Оршил

Zero Day threat буюу Тэг өдрийн үл мэдэгдэх халдлагад хариу үзүүлж чадсан байгууллага цахим аюулгүй байдлын тулаанд ялж чадна.

Үл мэдэгдэх шинэ төрлийн кибер халдлага нь бизнесийн байгууллагт өндөр эрсдлийг бий болгодог. Энэ төрлийн халдлагаас урдчилан сэргийлэх нь хамгийн хэцүү. Иймээс байгууллагууд урьдчилан сэргийлэх үйл ажиллагаагаа цааш үргэлжүүлэх магадлал нь буурдаг. Зарим байгууллагын SOC-ийн баг хяналт болоод хайлтын үндсэн дээр халдлага өөрсдийнх нь системд нэвтэрсний дараа л илрүүлж чаддаг. Гэвч энэ нь үр дүнтэй арга биш.

Харин аливаа байгууллагын кибер аюулгүй байдлын гол зорилго нь халдлага дотоод сүлжээнд нэвтрэхээс өмнө зогсоох явдал юм. Кибер халдлага нь сүлжээнд хэдхэн секунтийн дотор тархдаг бөгөөд нэгэнт нэвтэрсэн бол бүрэн илрүүлж сэргээн засварлахад оройтсон байдаг. Энэ үед систем бүхэлдээ халдлага хийгчдийн мэдэлд очно гэсэн үг. Үүний дараа байгууллага нь сервер, системээ сэргээн засварлах үйл ажиллагаанд маш их хөрөнгө мөнгө, цаг хугацаа зарцуулах шаардлагатай болно. Хэрэв ийм нөхцөл байдал танай байгууллагт үүссэн бол  халдагч этгээд ажлынхаа ихэнхийг хийсэн гэж ойлгож болно. Халдагч болоод хохирогчийн хооронд үүсдэг нөхцөл байдал сүүлийн жилүүдэд эрс өөрчлөгдсөн. Зөвхөн халдлагын тоо нэмэгдээд зогсохгүй байгууллагууд хуучирсан үр дүнгүй аюулгүй байдлын шийдэлдээ найдан суугааг халдлагч этгээдүүд овжиноор ашиглаж байна. Ихэнх байгууллагууд 1990-ээд онд хамаарагдах цахим халдлагын 2-р үед зориулагдсан технологийг одоо болтол ашигласаар байна. Тухайлбал бид 20 - 30 жилийн өмнөх технологиор орчин цагийн хакеруудаас бизнесээ хамгаалах гээд сууж байгаа хэрэг. Тэгтэл бид өнөөдөр халдлагын 5-р үед хамаарагдах цаг үед амьдарч байна.

Энэхүү GEN V халдлагыг бүх түвшний байгууллагын сүлжээ, клауд, гар утас, компьютер зэрэг бүхий л векторлуу халдах боломжтой болсоноос гадна зарим тохиолдолд засгийн газрууд улс хоорондын дайсагналаас үүдэлтэй гээр энэ төрлийн халдлагуудыг санхүүжүүлэх болсон байна. Эдгээр том халдлагууд нь маш их хэмжээний өгөгдөлд нэвтэрч чухал мэдээллийг хулгайлан бизнесийн байгууллагын үйл ажиллагаанд доголдол үүсгэн, цаашлаад татан буугдах хүртэл томоохон хохиролыг үзүүлсээр байна. Цахим аюулгүй байдлын тулаанд байгууллага ялах болон ялагдах нь "тэг өдөр"-ийн халдлагад хэрхэн хариу үйлдэл үзүүлэхтэй шууд хамааралтай. Байгууллагууд тулаанд ашиглагдаж буй үр дүнтэй аргуудаас өөрсдийн үйл ажиллагаанд шингээж халдагч этгээдүүдээс нэг алхамын урд гарах хэрэгтэй бөгөөд зөвхөн илрүүлэн, сэргээн засах нь хангалтгүй. Бүх шатны халдлагаас сэргийлэхийн тулд хүчирхэг чадамж бүхий халдлагаас сэргийлэх технологи, аюулгүй байдлын цогц бүтцийг бий болгох ёстой. 

Цахим халдлага нэмэгдэх тусам түүнээс хамгаалалахад хэцүү болдог

Байгууллагын СЕО, CISO нарын шүдний өвчин нь цахим халдлага болон өгөгдлийн хулгай болж байгааг бид дурын мэдээнээс харах боломжтой. 2018 оны байдлаар том хэмжээний халдлагын тоо 145 болж өссөн нь сүүлийн 5-н жилд 67%-иар өссөнийг харуулж байна.

Энэхүү тогтвортой өсөлтийн шалтгаан ихэнхдээ үүлэн тооцоолол, гар утасны төхөөрөмж болон интернет (IoT) төхөөрөмжүүдийн сүлжээний эмзэг байдлийн улмаас болсон бөгөөд энэ нь хакеруудад халдлага хийх боломжийг олгодог байна.

    Диаграм 1. Сүүлийн 10-н жилд мэдэгдсэн эмзэг байдлын тоог сүүлийн 4-н жилийн хугацаанд хэрхэн хурдтай өссөнийг харуулж байна.

Маш олон тооны байгууллагууд өөрсдийн системийн болон програм хангамжийн сайжруулалтыг хийдэггүй нь халдлага хийгчдэд асар их боломжийг олгодог. Тавдугаар үеийн халдлагын үед халдлага хийгчид хурдтайгаар үйл ажиллагаагаа идэвхжүүлж байгууллага болон бүс нутагт байрлах томоохон улсуудыг хамрахын тулд ахисан түвшний халдлагын арга барил ашиглаж байна.

Хурдацтай өсөж буй эрсдлийг үл хамааран дэлхийн зарим байгууллагууд халдлагад тохирсон чанартай технологийг ашиглахгүй байна. Байгууллагуудын хувьд халдлагуудыг илрүүлэн, засан сэргээх нь хамгийн зөв шийдэл биш гэдэг нь нэгэнт тодорхой болсон. Байгууллагууд дараагийн үеийн үл мэдэгдэх шинэ халдлагуудтай тэмцэхийн тулд шинэ арга техникийг үйл ажиллагаандаа нэвтрүүлэх шаардлагатай.

Халдлагаас урьдчилан сэргийлэх нь бэрхшээлүүдтэй тулгарч байна

Мэдэгдэж буй халдлагаас урьдчилан сэргийлэх систем (IPS) болон вирусын эсрэг програмын тусламжтайгаар урьдчилан сэргийлэх боломжтой боловч 5-р үеийн шинэ халдлага нь цоо шинэ сорилтуудыг бий болгож байна.

Тэг өдрийн халдлагыг SOC-ийн баг зөвхөн халдлага болсны дараа л мэддэг. SOC халдлагыг мэдэж, анхааруулан халдлагад тохирсон сэргээн засах үйл ажиллагааг явуулах боломжтой боловч энэ аюултайгаас гадна үнэтэйд тооцогддог. Халдлага нэгэнт нэвтэрсэн л бол бусад компьютер болон төхөөрөмж рүү хормын дотор тархдаг. Халдлагыг илрүүлэх болон сэргээх үйл ажиллагаа нь бүтэн сарын хугацааг ч шаардаж болно. Үүнээс үүдэн гарах үйл ажиллагааны зогсолтоос болоод ажилчид засвар дуусхыг хүлээхээс өөр аргагүй болдог.

Халдлагаас болоод алдагдсан чухал мэдээлэл нь байгууллагад хэдэн саяаар хэмжигдэх хохирлыг учруулах боломжтойгоос гадна тухайн зах зээлд өрсөлдөх чадварыг бууруулж, дахин сэргээхийн тулд урт хугацаа шаардаг. Байгууллагууд өмнө нь болж байсан халдлагуудын талаар ямар ч мэдээлэлгүйгээр халдлагын тавдугаар үед бэлдэцгээж байгаа нь харамсалтай.

Тавдугаар үеийн халдлагатай тэмцэх нь төвөгтэй болохыг батлах дөрвөн шалтгааныг танд сонирхуулая:

- Сул тал

5-р үед хамаарагдах халдлагуудыг таслан зогсоохын тулд бидэнд өмнө нь болж байсан халдлагын талаарх мэдээлэл хэрэгтэйгээс гадна цоо шинэ төрлийн халдлагад бэлэн байх шаардлагатай. Гэвч байгууллагууд дээрх шаардлагыг үл тоон харанхуйгаар төлөвлөж байна. Тэг өдрийн халдлага үйлдэгчид нь сүлжээнд гарсан сул тал болон цоорхойг шинчлэлт хийгдэхээс нь өмнө шаламгай ашиглаж амждаг гэдгийг санаарай.

- Хуурамч мэдээлэл

Технологио шинчлээгүйгээс үүдэлтэй байгууллагын сүлжээ, цахим шууданд хэтэрхий их худал хуурмаг мэдээлэл, санамжууд тархдаг ба энэ нь ажилтангуудын бүтээлч байдал, идэвхэд муугаар нөлөөлдөг. Мөн нэг л халдлагыг илрүүлэхгүй өнгөрөөхөд SOC -ийн найдвартай байдал үгүй болдог гашуун туршлага бидэнд байна.

- Хүн болон технологийн нөөц их шаарддаг нөхөн сэргээлтийн стратеги

SOC -ийн мэргэжилтнүүд илрүүлэх болон нөхөн сэргээхэд хугацаа болоод хөрөнгө их зарцуулхын зэрэгцээ өдөр бүр хэдэн мянган анхааруулга, зөрчлүүдэд хариу өгөх шаардлагатай болдог.

- Төвөгтэй байдал

Байгууллагууд нэгдсэн цогц шийдэлгүйгээс болж хурдацтай өсөн нэмэгдэж буй халдлагын нарийн төвөгтэй байдалтай тэмцэж чаддаггүй. Үл мэдэгдэх болон тэг өдрийн халдлагаас хамгаалахын тулд өмнө нь үйлдэгдэж байсан халдлагын талаарх мэдээлэл, халдлагын эсрэг хүчирхэг хамгаалалт шаардлагатайгаас гадна аюулгүй байдлын нэгдсэн цогц архитегтур хэрэгтэй гэж мэргэжилтэнгүүд зөвлөж байна.

Үйлдэгдсэн халдлагын талаарх бусдад хуваалцсан мэдээллийн хүч

Байгууллагууд тэг өдрийн халдлагаас сэргийлэхийн тулд минут, секунтээр сүлжээндээ хяналт тавьснаар халдлагын шинэ чиглэл, шинэ арга барилыг илрүүлэх боломжтой. Үйлдэгдсэн халдлагын мэдээлэл нь байгууллагуудад өргөн хэрэглэгддэг, үүлэн тооцоолол, гар утас, сүлжээний, эцсийн хэрэглэгчийн болон IoT -д хамаарсан мэдээлэл байх нь зохимжтой. Платформ дээрх сул талууд руу халдах чиглэл нь үргэлж өөрчлөгдөж байдаг.

Checkpoint Threat cloud өмнө нь үйлдэгдэж байсан халдлагын талаар дэлхий дээрх хамгийн их нөөц бүхий хиймэл оюун ухааны халдлагуудын мэдээлэл дээр тулгуурлан ажилладаг.

Дэлхий дээрх хамгийн том кибер дайралтын мэдээллийн сан болох Checkpoint Threatcloud нь халдлагаас зайлс хийж шинэ халдлагуудыг ил болгохын тулд хиймэл оюун ухаан (AI)-г ашигладаг бөгөөд 86 тербум гүйлгээг хянаж дөрвөн сая файлын магадлагаа гаргаж, багадаа 4 тербум хүсэлтийг хүлээн авдаг. (Google компани өдөрт дөрвөөс зургаан тербум хүсэлтийг хүлээн авдаг.) Энгийн өдрүүдэд ThreatCloud бусад мэдээллийн аюулгүй байдлын чиглэлээр ажилладаг компаниудын нэгээс хоёр долоо хоногт илрүүлэхүйц 7000 гаруй үл мэдэгдэх халдлагуудыг илрүүлдэг. Threatcloud-д байрлах мэдээллийн сан нь Checkpoint ашигладаг 100.000 гаруй хэрэглэгчдийн мэдээллээс бүрдсэн байдаг. Checkpoint-ийн судлаачдийн хийсэн нээлтээр Threatcloud үргэлж нэмэлт мэдээллээр баяжиж байдаг учир хиймэл оюун ухаан дараагийн халдлагыг илрүүлж шийдвэр гаргахад нь тус болдог.

Халдлагаас урдчилан сэргийлэх "engine"-ийг ажиллуулах давуу талууд

Threatcloud нь Checkpoint-ын аюулгүй байдалд ашигладаг халдлагаас сэргийлэх үндсэн 60 гаруй төрлийн шийдлээс ч илүү их чадварыг өөртөө агуулж ашигладаг.

CPU level inspection: Хакерууд ихэвчлэн төв процессорт байрлах аюулгүй байдлын хамгаалалт болон кодоор нэвтрэх зэрэг мэдээллийг авахын тулд буцах чиглэлтэй программчлал (ROP)-ыг ашигладаг. Харин бидний технологи нь ROP кодыг мэдээллээ татан авалт хийхээс нь өмнө ажиллаж эхэлдэг.

Threat emulation and threat extraction: Check Point’s Sandblast-ийн цогц хамгаалалтын систем халдлагыг гарал үүслийнх түвшинд судлаж, серверт нэвтрэхээс өмнө нь илрүүлж зогсоодог.

Malware DNA: Цахим гэмт хэрэгтэнгүүд ихэвчлэн урьд өмнө нь халдлага хийхдээ ашиглаж байсан malware-уудыг сайжруулан өөрчилж дараагийн халдлагатаа зориулан шинэ төрлийн malware-ыг бие болгодог. Checkpoint malware DNA нь халдлагын үед malware-ийн үйл явцыг судлахаас гадна хиймэл оюун ухааны тусламжтай бичигдсэн эх кодыг таньж, харьцуулалт хийн илрүүлдэг. Энэ боломжууд нь Threatcloud-ийг баяжуулж ижил төрлийн халдлагыг зогсооход хялбар болгож өгдөг.

Anti-bot and Anti-exploit: Checkpoint anti-bot нь өөр дээрээ bot-ыг идэвхжүүлсэн төхөөрөмжийг илрүүлж,  халдлагад өртсөн хостуудыг анхааралдаа авч bot-ын үүсгэсэн cүлжээний урсгалыг зогсоодог. Өөрөө суралцах технологи нь халдлага илрүүлэлтийг нэмэгдүүлж, худал мэдээллийг бууруулдаг. Anti-exploit нь эцсийн хэрэглэгчийн төхөөрөмж дээр ажиллаж байгаа хортой файлыг илрүүлэх,  malicious кодийг ажиллаж эхлэхээс сэргийлдэг.

Campaign Hunting:  Campgaign hunting engine нь домайнд ирж буй сэжигтэй үйлдэл, үл мэдэгдэх коммандуудыг илрүүлж өөрийн "sandbox" виртуал орчинд туршиж нягтлан сэжигтэй тохиолдолд халдлагыг зогсоодог.

ID Guard: нь сэжигтэй нэвтрэлт болон халдлага хийгч этгээд "SaaS" аппликейшны тусламжтайгаар  алдагдсан хэрэглэгчийн бүртгэлийг олж авсан эрхээр нэвтрэх аюулаас сэргийлж чадахаас гадна хэрэглэгчийн нууц мэдээлэл байсан ч ямар нэгэн тус болж чадахгүй.

Жилээс жилд амжилттай зогсоосон халдлагын тоо болон халдлагыг алдаагүй илрүүлсэн түвшингөөрөө Checkpoint SandBlast нь дэлхийд тэргүүлж байна.

Олон чиглэлээр ирж буй халдлагын эсрэг нэгдсэн цогц хамгаалалтын систем

Халдлагын талаар хуваалцсан мэдээлэл болоод түүнээс сэргийлэх хүчин чадал, аюулгүй байдлын архитектур систем зэргийн нэгдэл нь олон чиглэлээр хийгдэж байгаа халдлагыг зогсоох гол хүч болж өгдөг. Нэгдсэн шийдэлгүйгээс болж байгууллагууд халдлага орж ирэх боломжтой бүхий л чиглэлүүд дээр урт жагсаалт гаргах шаардлагатай болно. Энэ нь төвөгтэй, зардал ихтэй, үр дүнгүй байх магадлал өндөр. Доорх хүснэгтэнд хортой файлын орж ирэх боломж бүхий 9-н чиглэлд шаардлагатай аюулгүй байдлын хэрэгслийг харуулав.

Цахим халдлага хийгчдийн чиглэл нэмэгдэхийн хэрээр шаардлагатай хэрэглэгдэхүүний өсөлтийг доор харуулав.

Checkpoint infinity нэгдсэн цогц хамгаалалтын архитектур нь бүхий л хэсэг, чиглэлийг хамруулж чаддагаараа эрсдэлтэй байдлыг бууруулж гайхалтай хамгаалалтыг цогцлоож чаддаг. Мөн ямар ч орчинд, хамаарагдах сүлжээ, үүлэн тооцоолол, эцсийн хэрэглэгчийн төхөөрөмж, гар утасыг хамааруулан үл мэдэгдэх тэг өдрийн халдлагаас сэргийлж чаддаг.

Infinity нь байгууллагын шаардлага өөрчлөлтөнд дасан зохицох чадвартай. Мөн энгийн харагдах байдал нь төвөгтэй байдлыг бууруулж бизнест чиглэсэн менежмент нь хязгаарлагдмал ажилчид, хэрэглэгдэхүүнүүдийг төсөвт тааруулан ашиглах боломжийг олгодог. Infinity -д хамаарагдах хэрэглэхдэхүүнүүд бүгд нэгэн ижил программ хангамж дээр тулгуурлан ажиллаж, удидан засаж сайжруулахад нэг менежментийн систем ашигладаг мөн нэг их мэдээллийн үүсвэрээс халдлагын эсрэг мэдээллээ цуглуулдаг. Энэ нь мэдээллийн технологийн дэд бүтцэд бодлого, хяналт, урьдчилан сэргийлэх үйл явц тогтмол шинэчлэгдэж, байнга хэрэгжиж байна гэсэн үг юм.

Infinity нь байгууллагуудад бизнесийн шаардлага өөрчлөгдөхөд дасан зохицох чадвартай, найдвартай мэдээлэл технологийн үйл явцыг бүрдүүлэхэд тусалдаг.

Аюулгүй байдлын дэвшилтэт урьдчилан сэргийлэлт болон бизнест чиглэсэн бодлогын удирдлага, үүлэн тооцоололд суурилсан аюул заналхийллийн мэдээллээр дамжуулан Infinity нь цахим гэмт хэргийн эсрэг тулалдаанд ялах тогтвортой, үр дүнтэй стратеги гаргах үндэс суурь болдог.

NSS лабораторийн шалгалтанд Check Point-ийн аюулгүй байдлын үр дүнтэй байдалд 98.4% гэсэн үнэлгээ өггсөн нь бусад вендерүүдээс хамгийн өндөр нь байв. Check Point-ийн энэ шалгуур үзүүлэлт нь хүчин чадал, сүлжээ, үүлэн тооцоолол, гар утас болон төгсгөлийн цэгүүдийн аюулгүй байдлын шийдлүүдийг нэгтгэсэн аюулгүй байдал, Infinity буюу архитектурын нэгдсэн арга барилыг улам бүр анхаарч байгааг харуулж байна. Тиймээс Кибер аюулгүй байдлын тулаанд ялах нь аливаа байгууллага Тэг өдрийн халдлагаас урдчилан сэргийлсэн шилдэг технологи болон халдлагын эсрэг цогц шийдлийг суурилуулсан байх шаардлагатай юм. Харин энэ шаардлагад Checkpoint танд бүрэн дүүрэн тусалж чадна..

Checkpoint -ийн үндсэн веб хуудасруу шилжиж мэдээлэл авах  бол энд дарна уу.