x

Давайте мы вам перезвоним!

Оставьте свой номер и мы перезвоним в течении нескольких минут

ФИО

Номер телефона

В какое время вам перезвонить ?

Безопасность
👁537
23.01.2018

VM RAM Control

Что необходимо знать для организации эффективной кибербезопсаности?

VDI (инфраструктура виртуальных рабочих столов) на сегодняшний день часто является нормальной практикой во многих организациях. Автономные физические конечные точки заменяются виртуальными машинами, которые для пользователя неотличимы от физических ПК.

Что необходимо знать для организации эффективной кибербезопсаности?

VDI (инфраструктура виртуальных рабочих столов) на сегодняшний день часто является нормальной практикой во многих организациях. Физические конечные точки заменяются виртуальными машинами, которые для пользователя неотличимы от физических ПК. Основные преимущества этого подхода — это снижение затрат и упрощение системного администрирования.

Также проще создать чистую рабочую станцию ​​с нуля с помощью VDI и обеспечить сотрудникам доступ к машине с любого мобильного устройства.

Причины, по которым VDI стали популярными, понятны, но сотрудникам сложно привыкнуть к чему-то новому. Привыкнув к старым методам работы, они должны иметь возможность работать с VDI точно так же, как работали с локально установленными операционными системами. VDI должна быть понятной для пользователя, независимо от используемого интернет-браузера, а также USB для копирования данных или запуска приложений.

ИТ-отделы обеспечивают эту прозрачность виртуальными USB-портами, знакомыми браузерами и т. д. Кстати, также имеется возможность пострадать от знакомых угроз вредоносного ПО.

 

Kaspersky Enterprise Cybersecurity


Почему инфраструктура VDI нуждается в защите?

VDI широко распространены, но виртуализация не избавляет от необходимости в организации безопасности.

Многие уязвимости аналогичны как для физических машин, так и для виртуальных, встречались случаи заражения виртуальной инфраструктуры, а также случаи попадания вредоносного кода с помощью гипервизоров из «песочницы» непосредственно в хост. Поэтому многоуровневая защита виртуального рабочего пространства - это необходимость.


Различные подходы к защите и важность мониторинга ОЗУ


Поскольку, виртуальные среды обладают немного иными свойствами, в отличие от физической инфраструктуры, то и подходы к обеспечению безопасности у них также отличаются. 

Во-первых, виртуальные хосты обычно имеют меньшее электроснабжение, чем их физические коллеги, поэтому ресурсоемкие продукты, предназначенные для физических конечных точек, могут привести замедлению времени отклика. Существуют также такие проблемы, как «Бури активности», где каждая виртуальная машина пытается выполнить одно и то же действие, например, одновременно обновляет свою базу безопасности.

 

ЗАГРУЗКА ВИРТУАЛИЗАЦИИ


Разработчики решений VDI всегда ищут новые способы минимизации нагрузки на виртуальные хосты. Функции безопасности по возможности централизованы, и дублирование исключается. В идеале на самом защищенном хосте ничего не устанавливается, чтобы исключить негативное влияние на производительность системы. Отдельный автономный хост отвечает за защиту всей виртуальной инфраструктуры, на защищенном хосте нет программного агента. Данный подход имеет ограничения, особенно в плане доступа к памяти (ОЗУ) на защищенном узле.

Даже если имеется доступ к ОЗУ (как это может быть в некоторых условиях), информация, доступная для продукта безопасности, ограничена содержимым памяти, а не обработкой. Для полной защиты VDI требуется глубокий динамический анализ, в том числе процессов ОЗУ.

«Золотая середина» между установкой тяжелого агента на каждый хост и развертыванием безагентной (более уязвимой) защиты - это легкий агент с достаточной функциональностью для защиты виртуального хоста.

Доступ к памяти необходим для защиты от вредоносного ПО, которое существует только в памяти. Одно из известных образцов такого ПО – это  Mimikatz ПО для запуска атак. Введенная инфекция работает исключительно в памяти, выискивая хэши паролей пользователей.


Почему недостаточно иметь ТОЛЬКО доступ к памяти хоста?

 

В течение нескольких лет в индустрии информационной безопасности пользуется известностью сканирование памяти физических и виртуальных машин, «Лаборатория Касперского» разработала драйвер (также реализованный в приложениях «light agent» для защиты виртуального хоста), который сканирует ядро ​​операционной системы, другие драйверы, процессы пользовательского пространства и т. д., используя ряд различных правил.

Сканирование памяти, имеет высокую ценность, но его полезность не следует переоценивать, без записи событий на уровне файловых систем, системного реестра и вызовов OS API, сканирование памяти мало что обнаружит или может создать ряд ложных срабатываний.

 


Технические подробности

 

Раньше основным аргументов в пользу сканирования памяти была возможность исследования упакованного вредоносного файла только в памяти, в единственном месте, где он существовал в распакованной форме. Но сейчас все известные программы пакера уже «взломаны» современными антивирусными ядрами, что также позволяет анализировать упакованные вредоносные программы на диске.

Хуже всего то, что с программами защиты, которые реализуют виртуальную машину, полиморфизм и другие технологии. Однако простое сканирование памяти не приносит много пользы в случае защищенных файлов.

Без поведенческого анализа трудно судить о присвоении кода. А также

не всегда ясно, когда начинать сканирование, т. е. определять, где заканчивать дешифрование. Это предполагает, что он имеет конец и не является «расшифровкой на лету»

Microsoft Windows многие операции протекают асинхронно, при записи данных в файл, он сначала буферизуется в памяти, после чего ОС записывает весь буфер на диск. То есть точный момент записи на диск неясен, как и контекст обработки, в котором он будет происходить.

Другая проблема - все современные операционные системы теперь используют «файлы подкачки» для повышения производительности. Время от времени содержимое виртуальной памяти выгружается в файл подкачки, в случае инцидента с безопасностью, виртуальная память может быть загружена в файл подкачки непосредственно перед сканированием физической памяти и это проблема для решений без агента, поскольку они имеют доступ только к физической памяти. Таким образом, использование файла подкачки в виртуальной памяти вызывает нарушения в сканировании памяти

Наконец, когда интерпретатор языка программирования отвечает за вредоносное ПО для скриптового языка, в памяти может одновременно существовать только часть вредоносного ПО: вредоносный код не существует полностью в памяти, но все равно может выполняться.

С точки зрения особенностей защиты виртуальной среды, оперативной памяти,

механизмы также могут перекрываться функциями гипервизора. Гипервизоры могут принимать управление только в течение очень ограниченного времени, что, в свою очередь, ограничивает реакции на обнаружение вредоносных программ в памяти.


 

Связанные товары:  Kaspersky Industrial CyberSecurity / Kaspersky Private Security Network