Jak Bitdefender chrání proti Ransomware?

Bitdefender se řadí s více než 500 milióny zákazníky ve více než 170 zemích k nejvíce používaným antivirovým softwarům. Zároveň se pravidelně umisťuje na předních příčkách nezávislých antivirových testů díky využití umělé inteligence a snaze odlehčit co nejvíce klientům pomocí dalších zajímavých funkcí. Veškeré moduly, funkce i addony lze spravovat jednotně z jejich konzole (na výběr je cloudová a on-premise instalace) a zároveň jsou všechny funkce používané na koncových stanicích součástí jediného modifikovatelného balíčku – vše je tedy připraveno tak, aby byly co nejméně využívány prostředky stanic. Níže si popíšeme dva zajímavé moduly a jejich funkci pro lepší pochopení jedinečnosti řešení Bitdefenderu. 

Ochrana proti Ransomware - Ransomware mitigation

Jak již název modulu napovídá, jedná se dodatečnou ochranu proti ransomware útokům. Bitdefender spravuje  rozsáhlou, pravidelně updatovanou databázi hrozeb, která je neustále doplňována o nové nálezy z celého světa, díky detekcím svých zákazníků. Jakmile dojde k detekci kdekoli na světě a dojde k updatu, jsou veškeré ostatní stanice chráněny proti takovému nálezu.

Jak to ale vypadá v případě napadení novým, originálním útokem? Antimalware je samozřejmě doplněn více vrstvami ochrany, které jsou schopné detekovat a odstranit ransomware, ale vždy existuje možnost prolomení. V takovém případě se aktivuje modul ransomware mitigation, jehož princip je velmi jednoduchý:

1. Neznámá aplikace/proces vyžaduje přístup k datům zařízení, jedná se o software, který nebyl automaticky detekován jako hrozba, ale zůstává jakožto neznámý „podezřelý“. 2. Bitdefender si vytváří zálohu souborů, ke kterým tento proces vyžaduje přístup, a 3. ukládá si je na skrytou část disku. 4. Antimalware následně sleduje chování tohoto procesu a vyhodnocuje, zda se jedná o ransomware, nebo jiný útok. V případě odhalení útoku, dojde k zastavení procesu a jeho vyčištění. 5. Nakonec jsou obnoveny soubory ze zálohy do původních lokací – poškozené a zašifrované kopie jsou zachovány.

Lze vidět, že proces samotného modulu ransomware mitigation je velmi jednoduchý, jedná se pouze o vytvoření dočasné zálohy a její případné obnovení. Modul vyžaduje maximálně 10 GB volného místa na svazku, kde je nainstalován zbytek ochrany od Bitdefenderu. Vyhodnocení chování dále provádějí jiné moduly ochrany.

EDR jako kamerový systém

EDR (Endpoint Detection and Response) existuje jako termín od roku 2013, poprvé definován Antonenm Chuvakinem z Gartneru jako „Nástroje, jejichž primární zaměření je na detekci a vyšetřování podezřelých aktivit (a jejich stop) a jiných problémů koncových bodů“.

EDR nemá klasickou funkčnost jako antimalwarový software. Není to nástroj nahrazující antimalware, ale spíše způsob, jak získat jiný pohled na celkovou situaci a pomoci s detekcí hrozeb, které běžný antimalware nedokáže odhalit, jako jsou Advanced Persistent Threats a podezřelé aktivity. EDR následně komunikuje s antimalwarem a konzolí pro administrátory, aby bylo možné tyto podezřelé aktivity efektivně řešit.

Bitdefender EDR je součástí balíčku Business Security Enterprise a lze jej kompletně spravovat ze stejné správcovské konzole, v níž probíhá správa všech ostatních funkcí (antimalware, patch management, sandbox a další). Cílem bylo vytvoření jednoduché správy, podporující reakci nejen administrátorů, ale i umělé inteligence používané během automatického řešení detekcí.

V tomto EDR je rovněž využívána umělá inteligence, která automaticky označuje hrozby pomocí hodnoty Úrovně závažnosti (Severity Score). Tato hodnota vyjadřuje úroveň nebezpečí dané detekce hodnocením od 0 do 100, přičemž hodnota 100 označuje maximálně kritické nálezy, které by měly být řešeny s nejvyšší prioritou. Nebezpečné nálezy jsou automaticky blokovány antimalwarem. V případě false positive nálezu lze díky EDR snadno přidat nález do výjimek jako legitimní proces. Dále lze pomocí EDR zjistit chování útočníků nebo jejich nástrojů a zajistit, aby nemohly být opakovány. Informace o útoku lze rovněž předat dále kompetentním orgánům.

Díky automatizaci budou i veškeré incidenty podobné těm, které zpracovali administrátoři, vyřešeny podobným způsobem u jiných stanic a nálezů.

Shrnutí

Bitdefender nabízí komplexní zabezpečení jednoduché na správu, díky kombinaci velkého počtu vrstev zabezpečení s umělou inteligencí. Z výsledné automatizace vyplývá minimální práce pro administrátory, kteří se mohou soustředit na nejzávažnější detekce a jiné správcovské úkony. V příštím článku se podíváme na téma ochrany virtualizace pomocí řešení od Bitdefenderu a proč chránit lokální servery. 

Autor článku: Ondřej Strachota