Testy Efektywności Mechanizmów Antymalware dla Infrastruktury

Testy Efektywności Mechanizmów Antymalware to kompleksowa usługa oceny jakości rozwiązań antymalware w infrastrukturze IT, skupiająca się na identyfikacji, zablokowaniu ataków oraz ograniczeniu ich skutków.

Opis usługi:

Usługa obejmuje pięć kluczowych działań:

Działanie 1 – Ocena jakości rozwiązań poprzez realizację scenariuszy wykorzystujących pliki nieznane wcześniej testowanemu rozwiązaniu

Prace te mają na celu ocenę jakości rozwiązań w zakresie identyfikacji i zablokowania ataku, jak również ograniczenia ich skutków i identyfikacji mechanizmów odzyskiwania sprawności działania atakowanego systemu.
Zakładamy wykorzystanie infrastruktury informatycznej do przesłania, zapisania oraz uruchomienia plików przygotowanych na potrzeby testów, nieznanych testowanemu rozwiązaniu, mających charakterystykę złośliwego oprogramowania a jednocześnie niebędących złośliwym oprogramowaniem, dalej zwanymi „plikami testowymi”.

W ramach Działania 1, zrealizowane zostaną scenariusze ataków, m.in.:

• pobierania i uruchamiania plików z serwerów znajdujących się w Internecie,
• wykonywania dużej liczby operacji na plikach w krótkim czasie (w tym kryptograficznych).

Przed wysłaniem wykonane zostaną między innymi następujące czynności mające na celu ukrycie plików testowych i realizowanych działań:

• umieszczenie ich w innych plikach uznawanych za bezpieczne (np. dokumenty pakietu Office, pliki PDF, plik archiwum),
• użycie zmienionych i/lub niestandardowych rozszerzeń,
• zaszyfrowanie ich zawartości.

Wskazane scenariusze ataków oraz metody ukrycia plików testowych i realizowanych działań, są kluczowe dla pomyślnego zainfekowania infrastruktury informatycznej oprogramowaniem typu ransomware.

W celu przesłania plików testowych, zdefiniowane zostały poniższe przykłady scenariuszy ataków, które zostaną doprecyzowane i uzupełnione o wyniki przeglądu architektury mechanizmów antymalware:

• próby załączenia pliku jako załącznik poczty e-mail,
• próby wykorzystania komunikatorów sieciowych, używanych przez pracowników,
• próby wykorzystania systemu kontroli wersji oprogramowania, używanego przez programistów,
• próby zapisania pliku na zasobie sieciowym, który jest dostępny na atakowanym urządzeniu,
• próby wykorzystania narzędzi dostępnych dla pracowników (np. stworzonej strony SharePoint w intranecie, lub mobilnych wersji aplikacji umożliwiających przesyłanie plików),
• próby pobrania i zapisania plików z zewnętrznego serwera (np. WWW z wykorzystaniem protokołów HTTP i HTTPS, FTP, SFTP),
• próby wykorzystania zewnętrznego nośnika danych.

Dla wszystkich realizowanych scenariuszy testów, odnotowane zostaną ich dokładne daty i czas rozpoczęcia i zakończenia.

Działanie 2 – Ocena jakości rozwiązań poprzez realizację scenariuszy wykorzystujących pliki znane testowanemu rozwiązaniu

W ramach działania 2, zdefiniowane zostaną cechy pliku testowego (np. wartości skrótu SHA-256, adresy IP serwerów z którymi się komunikuje), które następnie zostaną zdefiniowane w badanym rozwiązaniu antymalware jako znane złośliwe oprogramowanie (Indicator of compromise, IoC). Zdefiniowany w ten sposób plik testowy, pozbawiony zostanie innych charakterystyk złośliwego oprogramowania, niezdefiniowanych w tym etapie prac jako IoC.
W następnym kroku, powtórzone zostaną czynności mające na celu ukrycie plików testowych, ich rozszerzeń i realizowanych działań, oraz próby ich przesłania i uruchomienia.
Działania te mają na celu ocenę jakości rozwiązań w zakresie identyfikacji
i zablokowania ataku, jak również ograniczenia ich skutków i identyfikacji mechanizmów odzyskiwania sprawności działania atakowanego systemu, przy użyciu plików znanych testowanemu rozwiązaniu, a jednocześnie niebędących złośliwym oprogramowaniem. Dla wszystkich realizowanych scenariuszy testów, odnotowane zostaną ich dokładne daty i czas rozpoczęcia i zakończenia.

Działanie 3 – ocena jakości rozwiązań poprzez symulację ataków sieciowych

Zostanie wykonana symulacja znanych ataków sieciowych, m.in. poprzez:

• identyfikację udostępnionych usług poprzez skanowanie portów TCP/UDP wraz z próbą uzyskania informacji o zainstalowanych wersjach oprogramowania wykorzystując techniki fingerprinting oraz banner grabbing,
• skanowanie udostępnionych usług w celu identyfikacji znanych podatności
  z wykorzystaniem automatycznych narzędzi i technik manualnych.
  Podczas naszych prac będziemy wykorzystywali wiodące komercyjne
  i niekomercyjne narzędzia do analizy bezpieczeństwa środowiska informatycznego.

Działania te mają na celu ocenę jakości rozwiązań w zakresie identyfikacji
i zablokowania ataku, jak również ograniczenia ich skutków i identyfikacji mechanizmów odzyskiwania sprawności działania atakowanego systemu, przy użyciu metodyk symulujących działania cyberprzestępców
i wykorzystywanych przy testach penetracyjnych, a jednocześnie niebędącego nieautoryzowanym atakiem na infrastrukturę informatyczną Banku. Dla wszystkich realizowanych scenariuszy testów, odnotowane zostaną ich dokładne daty i czas rozpoczęcia i zakończenia.

Działanie 4 – Ocena jakości rozwiązań poprzez analizę interfejsów monitorowania i alarmowania testowanego rozwiązania

W ramach działania 4, przeprowadzona zostanie analiza efektywności mechanizmów monitorowania i alarmowania o zidentyfikowanych zagrożeniach testowanego rozwiązania, poprzez skorelowanie daty i czasu zrealizowanych scenariuszy testowych z interfejsami wyświetlającymi listę zidentyfikowanych ataków badanego rozwiązania antymalware.
W następnym kroku, przeprowadzimy analizę zakresu zidentyfikowanych przez rozwiązanie antymalware ataków i podjętych działań alarmowych (np. wysłanie wiadomości e-mail do pracowników), oraz zidentyfikujemy potencjalne działania, które nie zostały wykryte jako atak.
Działania te mają na celu ocenę jakości rozwiązań w zakresie identyfikacji ataku
i skutecznego dostarczenia informacji o nim pracownikom.

Działanie 5 – Ocena jakości rozwiązań poprzez identyfikację programowych i/lub sprzętowych mechanizmów ochrony, archiwizacji
i odzyskiwania danych

W ramach działania 5, zidentyfikujemy programowe i/lub sprzętowe mechanizmy ochrony, archiwizacji i odzyskiwania danych, mających na celu odzyskanie sprawności działania zaatakowanego systemu informatycznego. Następnie, przeprowadzimy kontrolowany test:

• modyfikacji i/lub zniszczenia danych,
• odzyskiwania ww. danych.

Działania te mają na celu ocenę jakości rozwiązań w zakresie odzyskiwania sprawności działania systemu w przypadku przeprowadzenia przez atakujących skutecznego ataku, w wyniku którego zostaną zmodyfikowane i/lub zniszczone dane. Ponadto, przeprowadzimy analizę konfiguracji zidentyfikowanych rozwiązań, zgodnie z zakresem zaprezentowanym na dalszych stronach oferty.
Testy efektywności mechanizmów antymalware będą realizowane na przykładowej stacji roboczej oraz serwerze z skonfigurowanym rozwiązaniem antymalware
w pełnym zakresie ochrony (np. skrzynka poczty e-mail, lokalny system antywirusowy, ochrona firewall).
Prace będą realizowane z wykorzystaniem plików testowych oraz wiodących komercyjnych i niekomercyjnych narzędzi do analizy bezpieczeństwa środowiska informatycznego. Przygotowane scenariusze testów zostaną z Państwem potwierdzone przed rozpoczęciem prac w tym obszarze, jak również dołożymy wszelkich starań, aby ograniczyć ryzyko nieprzewidzianych skutków naszych testów.
Biorąc jednak pod uwagę, że testowane będzie rozwiązanie antymalware, rekomendujemy zapewnienie wykonania kopii zapasowej testowanego rozwiązania i przekazanych do testów urządzeń przed rozpoczęciem prac.

Korzyści dla klienta:

Klient uzyskuje kompleksową ocenę skuteczności swoich systemów antymalware, co przekłada się na zwiększenie bezpieczeństwa danych i infrastruktury.

Cechy i specyfikacja:

Usługa wykorzystuje innowacyjne metody testowania, w tym zaawansowane narzędzia do symulacji ataków i analizy bezpieczeństwa.

Dla kogo jest przeznaczona:

Usługa skierowana jest do managerów IT i specjalistów ds. cyberbezpieczeństwa, którzy chcą zwiększyć ochronę swoich systemów przed złośliwym oprogramowaniem.

Przykłady zastosowań:

Idealna do testowania skuteczności rozwiązań antymalware w różnorodnych środowiskach IT, zarówno w dużych korporacjach, jak i mniejszych przedsiębiorstwach.