Уже несколько дней Российский рынок ИБ обсуждает шпионский вирус Regin, который, по мнению журналистов Financial Times создан западными спецслужбами и направлен против России и Саудовской Аравии.
Технические эксперты компании «Антивирусный Центр» считают вирус, поражающий в основном компании в сфере телекоммуникаций и интернет-провайдеров, очень изощренным и опасным. По их мнению, для подобных новых неизвестных только что выпущенных угроз на данный момент не существует 100%-ной защиты, но увеличить степень безопасности организации помогает комплекс дополнительных мер по обеспечению активной и пассивной защиты. Таких как системы мониторинга (работающих по принципу искусственного интеллекта), позволяющими выявлять угрозы на основе подозрительных изменений в поведении сети.
Павел Минарик, технический директор компании «INVEA-TECH» полагает, что, такие события, как появление вируса Regin подтверждают важность дополнительных мер безопасности. «Традиционные инструменты, такие как антивирус или брандмауэр уже не могут справиться с продвинутыми угрозами, а значит необходимо дополнить эти средства следующим уровнем защиты. В частности, нужно сосредоточить внимание на сетевом трафике (работе сетей передачи данных), где появление такой угрозы обязательно себя проявит каким-либо образом», - комментирует Павел Минарик.
«Остается вопрос, возможно ли такой вредоносный трафик обнаружить. Например, метод с использованием вложения полезной нагрузки ICMP-трафика (функциональная часть вируса «payload» - вирус может также содержать полезную нагрузку, которая остается бездействующей, пока инициирующее событие не активирует его), используемый вредоносной программой Regin, очень легко обнаружить с помощью поведенческого анализа сети и предупредить о возможном инциденте» - добавляет он.
В этом году компания «Антивирусный Центр» представила новые на российском рынке решения для мониторинга и анализа поведения сетей всех размеров, независимо от поставщика сетевого оборудования и топологии сети – комплекс продуктов FlowMon от компании «INVEA-TECH», и ему сразу нашлось следующее более конкретное применение. Решение широко востребовано, в том числе телекоммуникационными компаниями и сервис-провайдерами. Фиксируясь на подозрительных изменениях в поведении устройств в сети, также как и на поведении пользователей сети, FlowMon позволяет автоматически определять атаки и угрозы информационной безопасности в сетях организаций, для которых еще не существует известных сигнатур.
