As soluções de nível do sistema operacional não são mais suficientes
As recentes vulnerabilidades Meltdown e Spectre visam vulnerabilidades da CPU em vez do Sistema Operacional, ou os aplicativos que são executados nele. (Descubra aqui como essas vulnerabilidades funcionam).
Como elas não envolvem o Sistema Operacional, as soluções que monitoram nesse nível, como as sandboxes tradicionais, serão incapazes de detectar esses tipos de ataques.
É necessária uma estrutura de nível mais baixo para identificar apropriadamente e atenuar adequadamente esses ataques.
Usando um framework de nível de CPU para mitigar as vulnerabilidades Spectre, Meltdown e outros
Um framework de nível de CPU foi introduzida na família das tecnologias de prevenção de ameaças avançadas SandBlast três anos atrás. E ele permite visibilidade no nível mais baixo de execução do sistema, a CPU. Isso permite que ele monitore e identifique o fluxo de execução e forneça um método anti-evasão para detectar desvios de uma execução normal. Desta forma, pode detectar até mesmo os exploits de software mais sofisticados.
Em poucas horas depois que as vulnerabilidades tornam-se públicas, a equipe de pesquisa da Check Point demonstrou que o mesmo framework pode ser utilizado para identificar ataques que tentam explorar as vulnerabilidades Spectre e Meltdown. Examinar certos parâmetros chave, de baixo nível em tempo de execução, mostra distinção clara entre a execução normal do código e o código que tenta abusar da execução especulativa.
Para obter detalhes completos sobre os resultados da pesquisa, visite nossa publicação técnica do blog.
Uma Nova Onda de Ataques
Começando com Rowhammer, que explorou componentes de memória, acreditamos que este seja o início de uma nova onda de ataques que exploram vulnerabilidades do hardware.
Esta nova onda exigirá que os fornecedores de segurança ofereçam visibilidade e controle de nível mais profundo. Somente o monitoramento e a proteção no nível da CPU poderão detectar as tentativas de exploração desse tipos de vulnerabilidades, como Rowhammer, Spectre e Meltdown.
É provável que existam mais formas em que a CPU e a execução especulativa possam ser exploradas e acreditamos que haverá mais ataques que utilizam esse mesmo conceito. Além disso, corrigi-lo no seu núcleo só será possível a um nível de hardware e, portanto, levará anos até que a maior parte do mercado esteja completamente protegido.
Para evitar ataques, as empresas devem implementar uma estratégia de prevenção multicamadas que combina proteção pró-ativa e detecção de explorações de nível de CPU de última geração capazes de expor as ameaças mais altamente camufladas. Os usuários devem reparar suas máquinas com as últimas atualizações do sistema operacional no nível do sistema operacional, bem como em todos os reparos fornecidos pelos fabricantes do hardware.
A solução de proteção Checkpoint SandBlast Zero Day, baseada em NGFW ou EndPoint, inclui a Emulação de Ameaças evitando a infecção de novos malwares, ou seja, malwares desconhecidos (Zero Day), ataques direcionados e técnicas anti-evasão.
Saiba mais como funcionam as vulnerabilidades Spectre e Meltdown