Er din infrastruktur ramt af polymorphic malware trussel?

Polymorphic malware er en form for malware, som konstant ændrer sine identificerbare funktioner for at undgå detektering via signaturbaserede antivirus produkter. Mange af de almindelige former for malware kan være polymorphic herunder vira, worms, bots, ransomware, trojanere eller keyloggers.

Polymorphic teknikker indebærer ofte ændringer i identificerbare egenskaber som filnavne, typer eller krypteringsnøgler for at gøre malware uigenkendelig til mange typer af detektionsmetoder. Derudover bruges det til at undgå signatur detektering på baggrund af sikkerhedsløsninger såsom antivirusprogrammer.

Mens visse karakteristika ved polymorphic malware ændres, forbliver dets funktionelle formål det samme. For eksempel vil en polymorphic virus fortsætte med at sprede og inficere enheder, selvom dens signatur ændres for at undgå detektion. Ved at ændre karakteristika for at generere en ny signatur genkender signaturbaserede detektionsløsninger ikke filen som skadelig.

Selvom den nye malware signatur er identificeret og tilføjet til antivirus produktets database, kan polymorphic malware fortsætte med at ændre signaturer og udføre angreb uden at blive detekteret.

Et APT (Advanced Persistent Threat) er et angreb, hvor en uautoriseret bruger får adgang til et system eller netværk og forbliver der i længere tid uden at blive registreret. APT er særlig farlige for virksomheder, da hackere har løbende adgang til følsomme virksomhedsdata. APT forårsager generelt ikke skader på firmaets netværk eller lokale maskiner. I stedet er målet for APT oftest datatyveri.

APT er forskellig fra mange traditionelle trusler, såsom vira og malware angreb, der udviser den samme adfærd konsekvent og repeteres for at angribe forskellige systemer. APT har ikke en bred tilgang, i stedet er angrebene omhyggelig planlagt og designet med det formål at angribe et bestemt firma eller en organisation. Derfor er APT yderst tilpassede, sofistikerede og designet specielt til at omgå de eksisterende sikkerhedsforanstaltninger inden for en organisation.

Det estimeres i dag at cirka 70% af alle cyberangreb begynder via endpoints, og det er der flere grunde til. Når endpoints er uden for firma netværk, er det oftest kun antivirus sikkerhed, som er aktiveret. Typisk er signatur beskyttelse ikke tilstrækkeligt, når vi taler om avancerede trusler og zero-day sårbarheder.
Brugerfejl i forbindelse med phishing emails og malware vedhæftninger har altid været et stort problem, og det bliver det ved med at være.
Virksomhederne har oftest begrænset indsigt i malware angreb og kompromitteringer på endpoints. Dette gælder blandt andet, når det skal undersøges, hvor malwaren kommer fra, hvor malwaren er set, og ikke mindst hvad den foretager sig, når den er landet på endpointet.

Cisco AMP for Endpoints er Ciscos svar på next generation endpoint beskyttelse. Produktet består af flere forskellige avancerede algoritmer og mekanismer herunder dynamic sandboxing, Сross-Layer Analytics, Probabilistic Threat Propagation, Cognitive Intelligence, AI, Machine Learning samt den klassiske signatur baserede antivirus engine. Alle disse algoritmer og metoder kombineret med trajectory og retrospektiv sikkerhed giver os eminent beskyttelse mod blandt andet APT & Polymorphic malware.

I Wingmen har vi gode erfaringer med at designe, implementere og drifte Cisco AMP For Endpoints. Kontakt os for spørgsmål.

/Ali Sahin