Malware tak terlihat ada di sini dan perangkat lunak keamanan Anda tidak dapat menangkapnya

"Malware tak terlihat, " generasi baru malware, sedang dalam perjalanan dan, jika menyerang server Anda, mungkin tidak banyak yang dapat Anda lakukan tentang hal itu. Bahkan, Anda mungkin tidak dapat mengatakan bahwa itu ada di sana. Dalam beberapa kasus, malware tak terlihat hanya hidup di memori, artinya tidak ada file di disk Anda yang dapat ditemukan oleh perangkat lunak perlindungan titik akhir Anda. Dalam kasus lain, malware yang tidak terlihat dapat hidup di Sistem Input / Output Dasar (BIOS) di mana ia dapat menggunakan salah satu dari beberapa taktik untuk menyerang Anda. Dalam beberapa kasus, bahkan mungkin muncul sebagai pembaruan firmware di mana ia mengganti firmware yang ada dengan versi yang terinfeksi dan hampir tidak mungkin untuk menemukan atau menghapus.

"Dengan kemajuan dalam perangkat lunak anti-malware dan Endpoint Detection and Response (EDR) membuatnya lebih mudah untuk menangkap malware zero-day, para penulis malware bergerak lebih rendah di tumpukan, " kata Alissa Knight, seorang analis senior dengan praktik cybersecurity Aite Group.. Dia berspesialisasi dalam ancaman berbasis perangkat keras. Knight mengatakan jenis malware baru ini sedang dikembangkan yang dapat menghindari deteksi oleh perangkat lunak lama.

Perangkat lunak EDR, yang lebih maju daripada paket AV lawas, jauh lebih efektif dalam menangkap serangan, dan perangkat lunak ini menggunakan berbagai metode untuk menentukan kapan penyerang sedang bekerja. "Pengembangan EDR membuat topi hitam merespons, dan membuat kit root kernel dan kit root firmware, itu dalam perangkat keras di mana ia dapat menulis ke catatan boot master, " kata Knight.

Ini juga mengarah pada pembuatan kit root virtual, yang akan boot sebelum sistem operasi (OS), menciptakan mesin virtual (VM) untuk malware sehingga tidak dapat dideteksi oleh perangkat lunak yang berjalan pada OS. "Itu membuatnya hampir mustahil untuk ditangkap, " katanya.

Malware Pil Biru dan Banyak Lagi

Untungnya, memasang root kit virtual ke server masih sulit - sejauh penyerang yang mencobanya umumnya bekerja sebagai penyerang yang disponsori negara. Selain itu, setidaknya beberapa kegiatan dapat dideteksi dan beberapa kegiatan dapat dihentikan. Knight mengatakan bahwa "malware fileless, " yang hanya beroperasi di memori, dapat dikalahkan dengan mematikan komputer secara paksa.

Tetapi Knight juga mengatakan bahwa malware semacam itu mungkin disertai dengan apa yang disebut "malware Blue Pill, " yang merupakan bentuk virtual root kit yang memuat dirinya ke dalam VM dan kemudian memuat OS ke dalam VM. Ini memungkinkannya memalsukan shutdown dan memulai ulang sambil membiarkan malware terus berjalan. Inilah sebabnya mengapa Anda tidak bisa hanya menggunakan pilihan penonaktifan di Microsoft Windows 10; hanya menarik steker akan berfungsi.

Untungnya, jenis serangan perangkat keras lainnya kadang-kadang dapat dideteksi saat sedang berlangsung. Knight mengatakan bahwa satu perusahaan, SentinelOne, telah menciptakan paket EDR yang lebih efektif daripada kebanyakan, dan kadang-kadang dapat mendeteksi ketika malware menyerang BIOS atau firmware pada mesin.

Chris Bates adalah Direktur Global Arsitektur Produk di SentinelOne. Dia mengatakan agen produk beroperasi secara mandiri dan dapat menggabungkan informasi dengan titik akhir lainnya bila diperlukan. "Setiap agen SentinelOne membangun konteks, " kata Bates. Dia mengatakan konteks dan peristiwa yang terjadi saat konteks sedang dibangun membuat cerita yang dapat digunakan untuk mendeteksi operasi malware.

Bates mengatakan bahwa setiap titik akhir dapat melakukan perbaikan sendiri dengan menghilangkan malware atau memasukkannya ke dalam karantina. Tetapi Bates juga mengatakan bahwa paket EDR-nya tidak dapat menangkap semuanya, terutama ketika itu terjadi di luar OS. USB thumb drive yang menulis ulang BIOS sebelum komputer melakukan booting adalah salah satu contohnya.

Tingkat Persiapan Selanjutnya

Di sinilah tahap persiapan berikutnya, Knight menjelaskan. Dia menunjuk ke proyek bersama antara Intel dan Lockheed Martin yang menciptakan solusi keamanan yang keras yang berjalan pada prosesor Intel Xeon Scalable Generasi ke-2 yang disebut "Solusi Pilih Intel untuk Keamanan Hardened dengan Lockheed Martin." Solusi baru ini dirancang untuk mencegah infeksi malware dengan mengisolasi sumber daya penting dan melindungi sumber daya tersebut.

Sementara itu, Intel juga telah mengumumkan serangkaian tindakan pencegahan perangkat keras yang disebut "Perisai Perangkat Keras, " yang mengunci BIOS. "Ini adalah teknologi di mana, jika ada semacam suntikan kode berbahaya, maka BIOS dapat merespons, " jelas Stephanie Hallford, Wakil Presiden dan Manajer Umum Platform Klien Bisnis di Intel. "Beberapa versi akan memiliki kemampuan untuk berkomunikasi antara OS dan BIOS. OS juga dapat merespons dan melindungi terhadap serangan."

Sayangnya, tidak banyak yang dapat Anda lakukan untuk melindungi mesin yang ada. "Anda perlu mengganti server kritis, " kata Knight, menambahkan bahwa Anda juga perlu menentukan apa data penting Anda dan di mana itu berjalan.

"Intel dan AMD akan perlu memahami dan mendemokratisasikan ini, " kata Knight. "Ketika penulis malware menjadi lebih baik, vendor perangkat keras harus mengejar ketinggalan dan membuatnya terjangkau."

Masalahnya Hanya Memburuk

Sayangnya, Knight mengatakan bahwa masalahnya hanya akan menjadi lebih buruk. "Perangkat kejahatan dan perangkat malware akan semakin mudah, " katanya.

Knight menambahkan bahwa satu-satunya cara bagi sebagian besar perusahaan untuk menghindari masalah adalah memindahkan data dan proses penting mereka ke cloud, jika saja karena penyedia layanan cloud dapat melindungi dengan lebih baik terhadap serangan perangkat keras semacam ini. "Sudah waktunya untuk mentransfer risiko, " katanya.

Dan Knight memperingatkan bahwa, pada saat segala sesuatunya bergerak, ada sedikit waktu untuk melindungi data penting Anda. "Ini akan berubah menjadi cacing, " dia memperkirakan. "Itu akan menjadi semacam cacing yang bisa berkembang biak sendiri." Ini adalah masa depan dari perang cyber, kata Knight. Itu tidak akan tetap menjadi urusan aktor yang disponsori negara selamanya.

Langkah yang harus diambil

Jadi, dengan masa depan yang suram ini, apa yang bisa Anda lakukan sekarang? Berikut adalah beberapa langkah awal yang harus Anda ambil segera:

Jika Anda belum memiliki perangkat lunak EDR yang efektif, seperti SentinelOne, dapatkan sekarang.

Identifikasi data penting Anda, dan berusahalah untuk melindunginya dengan enkripsi saat Anda meningkatkan server yang datanya ada di mesin yang dilindungi dari kerentanan perangkat keras dan eksploitasi yang memanfaatkannya.

Di mana data penting Anda harus tetap di rumah, ganti server yang berisi data itu ke platform yang menggunakan teknologi perangkat keras, seperti Perisai Perangkat Keras untuk klien dan Solusi Pilih Intel untuk Keamanan Hardened dengan Lockheed Martin untuk server.

Jika memungkinkan, pindahkan data penting Anda ke penyedia cloud dengan prosesor yang dilindungi.

• • Perlindungan Antivirus Terbaik untuk 2019 Perlindungan Antivirus Terbaik untuk 2019
  • Perangkat Lunak Keamanan dan Keamanan Endpoint Hosted Terbaik untuk 2019 Perangkat Lunak Perlindungan dan Keamanan Endpoint Hosted Terbaik untuk 2019
  • Perangkat Lunak Penghapusan dan Perlindungan Malware Terbaik untuk 2019 Perangkat Lunak Penghapusan dan Perlindungan Malware Terbaik untuk 2019

  Terus latih staf Anda dalam kebersihan keamanan yang baik sehingga mereka bukan yang memasang thumb drive yang terinfeksi ke salah satu server Anda.

Pastikan keamanan fisik Anda cukup kuat untuk melindungi server dan titik akhir lainnya di jaringan Anda. Jika semua ini membuat Anda merasa bahwa keamanan adalah perlombaan senjata, maka Anda akan benar.