Dlaczego zapory i antywirusy nie są wystarczające
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  antywirusedrwirushakerhackingepdreppesetfirebox

Dlaczego zapory i antywirusy nie są wystarczające

Jak cyberprzestępcy tworzą ataki? Dlaczego często wydaje nam się, że nasza sieć jest doskonale zabezpieczona, a tak naprawdę pojawiają się w niej luki? Czym jest firewall? Przekonaj się.

Zrozum anatomię ataków i bądź zawsze o krok do przodu – firewall

Zapora sieciowa (tzw. firewall) oraz antywirusowa reagują na złośliwe połączenia i kody zaraz po rozpoczęciu ataku. OpenDNS obserwuje infrastrukturę sieciową/internetową przed uruchomieniem ataku i może zapobiec złośliwym połączeniom. Znajomość wszystkich etapów ataku jest kluczem do zrozumienia, jak OpenDNS może wzmocnić istniejące mechanizmy obronne. 

Każdy etap ataku stanowi dla dostawców zabezpieczeń okazję do obserwacji  obecności i obrony przed intruzami. Poniżej znajdują się cztery szczegółowo przedstawione ataki, wpisane w siedem etapów.

Oto szczegółowo przedstawiony przebieg ataku:

  1. Zwiad (Reacon): wykonywanie wielu czynności rozpoznawczych, by zyskać jak najwięcej wiedzy na temat ofiary.
  2. Przygotowywanie scenerii (Stage): Wielokrotnie wykorzystywany (masowy) lub niestandardowy kod zostaje użyty do budowy ładunków. Wielorakie sieci i systemy są wystawiane jako gospodarze (dystrybutorzy) początkowych ładunków, „rozsyłacze” malware’ów czy stają się częścią sieci botnetowej.
  3. Uruchomienie (Launch): Różne strony internetowe i techniki e-mailowe zostają wykorzystane do rozpoczęcia ataku.
  4. Wykorzystanie (Exploit): Zarówno ataki zero-day, jak i znajomość słabych punktów użytkownika jest wykorzystywane do uśpienia jego czujności – oszukania go.
  5. Instalacja (Install): Zazwyczaj “początkowy ładunek” łączy się z innym hostem, aby zainstalować konkretny malware.
  6. Komunikacja (Callback): Praktycznie za każdym razem zaatakowany system komunikuje się z serwerem botnetu.
  7. Trwanie (Persist): Ostatecznie – wiele technik stosuje powtarzalność etapów od 4 do 7.

Nie trzeba znać wszystkich narzędzi i technik hakerskich. Ważna jest znajomość często powtarzanych kroków, które zbliżają hakera do założonego celu.

„Zaawansowane, kierowane ataki z łatwością omijają tradycyjne zapory sieciowe i oparte na sygnaturach mechanizmy prewencyjne. Wszystkie organizacje powinny przyjąć, że są one w stanie ciągłego zagrożenia, stałego podglądu – z ciągłym fatum kompromitacji“ – Neil MacDonald | Peter Firstbrook 
Projektowanie architektur adaptacyjnych zabezpieczeń dla ochrony przed zaawansowanymi atakami
GARTNER

Słowa mądrości:

Kompromitacja zdarza się w kilka sekund. Wyłom zaczyna się kilka minut później i trwa niewykryty przez wiele miesięcy. Działanie w stanie ciągłej kompromitacji może stać się nową rzeczywistością, ale trwającego naruszenia bezpieczeństwa nie możemy zaakceptować.

Twoje wyzwanie: Istniejące zabezpieczenia nie mogą zablokować wszystkich ataków.

Zapora sieciowa i antywirus zatrzymują wiele ataków podczas kilku etapów w łańcuchu “Kill Chain”, ale wzrost liczby i objętości nowych narzędzi i technik ataku pozwala niektórym pozostać ukrytymi od kilku minut do kilku miesięcy.
zapora/ av przegląd ataków

Jeśli nie wiemy, które części są narażone na ataki, włam staje się unikalny i odizolowany od miejsc, które są skompromitowane, a więc które przepuściły atak.

  • Zapora sieciowa wie, czy IP połączenia sieciowego należy do czarnej listy lub reputacji. Następnie proponujemy wstrzymać się ze zbieraniem i analizą kopii ruchu, do momentu aż atak się zacznie. Wtedy uzyskujemy wiedzę, jak infrastruktura wygląda podczas próby ataku.
  • Rozwiązania antywirusowe wiedzą, czy “hash” pasuje do bazy sygnatur lub heurystyki. Jednak należy poczekać, aż system zostanie wykorzystany do zebrania i przeanalizowania próbki kodu. Wtedy operator/użytkownik zyska wiedzę na temat ładunku, który został użyty do ataku.

“Rzeczywistość jest taka, że żadna technologia zabezpieczająca nie jest wystarczająca. Hakerzy zawsze starają się obejść zabezpieczenia. Dlatego trzeba stale inwestować w ochronę przed najnowszymi zagrożeniami, jak i również przed tymi, z którymi mięliśmy już styczność.” — Lawrence Pingree (Analityk Gartnera), New York Times, “Tech Security Upstarts Enter Fray”

Nasze rozwiązanie

Zatrzymuj od 50 do 98% więcej ataków niż firewall i program antywirusowy, kierując ruch DNS na OpenDNS. 

OpenDNS nie czeka, aż po odpaleniu ataku zainstaluje się malware lub zainfekowane systemy nawiążą połączenia i nauczą jak się bronić przed atakami. Analizując przekrój aktywności internetowej na świecie, stale obserwujemy nowe relacje tworzące się między nazwami domen, adresami IP i autonomicznymi numerami systemu (ASN). Obserwacja ta pozwala nam odkryć, a często przewidzieć, gdzie ataki się pojawią i dzięki temu – zapobiec im.
openDNS przegląd ataków

Obserwowanie infrastruktury internetowej/sieciowej, pozwala nam zapobiec przechodzeniu atakującemu do kolejnych kroków, takich jak uruchomienie, instalacja czy nawiązanie połączenia.

  • Widzimy, że prefiksy IP (4.2.55.0/24, 23.88.2.0/28, 32.13.31.0/26) trzech ataków są, dotyczą infrastruktury internetowej (AS32442).
  • Przekierowania sieci lub łącza e-mail używają domen (facebookpic.com, asdfaa.com), które mają rekordy DNS mapowania – z powrotem do wyżej wspomnianych prefiksów IP.
  • Wiele połączeń zwrotnych używa domen (123.btt.com, 321.btt.com, 222.btt.com), które mają rekordy DNS mapowania z powrotem do wyżej wspomnianych prefiksów IP
  • Ale inne używają połączeń zwrotnych w ruchu (sdfil.ru, y53s.cn, er2ds.us, gmmal.ru, …), który generuje się przez wspólny algorytm. To jest odkryta przez obserwację współpraca w krótkich odstępach czasowych, dopasowywania autorytatywnych nazw serverów lub WHOIS information.used

Twoje wyzwanie:

Dlaczego, mimo wszystko, stosować zapory sieciowe i oprogramowania antywirusowe? 

Może pojawić się pytanie: “Czy w takim razie możemy się pozbyć naszej zapory sieciowej i oprogramowania antywirusowego?“. Choć te zabezpieczenia nie zatrzymają każdego ataku, to nadal są przydatne w obronie przed atakami wieloetapowymi. Najlepszym powodem, dla którego nie należy ich usuwać, jest to, że zagrożenia nigdy nie wygasają, każdy kawałek złośliwego oprogramowania, jakie kiedykolwiek stworzono, wciąż krąży online lub offline po sieci. Rozwiązania z sygnaturami są nadal skuteczne, zapobiegają najbardziej znanym zagrożeniom, jakie docierają do nas za pośrednictwem: e-maila, stron internetowych lub pamięci przenośnej. Natomiast zapory sieciowe są skuteczne w obronie zarówno wewnątrz jak i na obwodzie sieci, mogą one wykryć działania “zwiadowcze”, takie jak skanowanie portów lub IP, blokowanie bocznego ruchu segmentującego sieć i egzekwowania list kontroli dostępu. 

“Jednym z największych upadków AV jest fakt, że są z natury reaktywne (uwarunkowane); dokładność działania mocno zależy od tego, czy producent już widział zagrożenie w przeszłości. Heurystyka lub analiza behawioralna może czasami zidentyfikować nowe złośliwe oprogramowanie, jednak trzeba pamiętać, że nawet najlepsze silniki nie są jeszcze w stanie złapać wszystkich zagrożeń typu zero-day”. – Chris Sherman, Prepare For The Post-AV Era

O OpenDNS

OpenDNS zapewnia chmurowo dostarczane bezpieczeństwo sieci – usługę, która blokuje zaawansowane ataki, takie jak złośliwe oprogramowanie, botnety i phishing niezależnie od portu, protokołu czy aplikacji. Nasza predykcyjna (prognozująca) inteligencja wykorzystuje uczenie się. Wszystko po to by zautomatyzować ochronę przed nowymi zagrożeniami, zanim dana organizacja zostanie zaatakowana. OpenDNS chroni wszystkie urządzenia globalnie – bez potrzeby zakupu sprzętu czy instalowania oprogramowania.

Twoje rozwiązanie:

Zrównoważenie inwestycji na posiadane zabezpieczenia oraz inwestowanie w nowe zabezpieczenia. 

Oto pomysły, które wykorzystują klienci dla  zwolnienia budżetu, by inwestować w nowe zabezpieczenia:

  • Strony oparte na licencji Microsoft uprawniają klientów do zabezpieczeń opartych na sygnaturach bez dodatkowych kosztów. Microsoft nie może być numerem jeden w rankingu produktów, ale oferuje dobrą ochronę przed znanymi zagrożeniami. OpenDNS chroni przed znanymi i nowymi zagrożeniami.
  • NSS Labs informuje, że dekodowanie SSL pogarsza wydajność sieci o 80%. OpenDNS blokuje złośliwe połączenia HTTPS skierowane na dowolny port lub protokół. Unikając deszyfrowania, przedłuża żywotność urządzenia.

Przetłumaczył i skomponował: Maciej Szlagor 
źródło: www.opendns.com
Oceń blog:
Czas czytania: 10 min
Data: 19.09.2016

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej
WatchGuard FireboxV

WatchGuard FireboxV

WatchGuard FireboxV to wirtualny firewall NGFW zapewniający ochronę sieci, kontrolę ruchu, VPN oraz zaawansowane zabezpieczenia IT.

Wycena indywidualna
Zobacz więcej
WatchGuard Firebox T115-W Nowość

WatchGuard Firebox T115-W

WatchGuard Firebox T115-W to wydajny firewall z Wi-Fi, VPN i zaawansowaną ochroną sieci. Zapewnia bezpieczeństwo danych, kontrolę dostępu oraz niezawodną ochronę dla małych firm i biur.

Wycena indywidualna
Zobacz więcej
ESET Mobile Threat Defense

ESET Mobile Threat Defense

Ochrona Android i iOS + MDM w ESET PROTECT. Anti‑phishing, kontrola aplikacji, zdalne zarządzanie i integracja z ABM, Intune, Workspace ONE

Wycena indywidualna
Zobacz więcej