Ewolucja szkodliwego oprogramowania a ochrona behawioralna

Mimo rozwoju rozwiązań zabezpieczających, mimo stosowania coraz bardziej wyrafinowanych systemów analitycznych, mimo szkoleń użytkowników i administratorów wciąż wiele czasu mija od włamania czy infekcji do jej wykrycia. Statystyki mówią o okresie co najmniej 80-dniowym — oznacza to, że przez blisko 3 miesiące hakerzy potrafią przebywać w sieci niezauważeni. A skoro pozostają niewykryci, to również w tym czasie nie są podejmowane aktywności przeciwdziałające ich poczynaniom.

Dlaczego tak się dzieje, mimo że praktycznie w każdym przedsiębiorstwie i instytucji gromadzone są i  przechowywane (czasem przez wiele lat) dzienniki zdarzeń? Powodów takiego stanu rzeczy jest kilka:

  • złośliwe oprogramowanie (ang. malware) stosuje techniki pozwalające na uniknięcie wykrycia,
  • wykorzystywane są nowe wektory ataku pozwalające na ominięcie standardowych zabezpieczeń,
  • narzędzia analityczne bardziej wspierają gromadzenie i analizę dowodów niż wykrywanie i blokowanie zagrożeń na bieżąco.

Ewolucja szkodliwego oprogramowania

Najgroźniejszym rodzajem złośliwego oprogramowania są tak zwane zagrożenia dnia zerowego (ang. 0-day), czyli takie, które wykorzystują nieznane dotychczas podatności systemów czy oprogramowania. Skoro podatność nie jest powszechnie znana, atak przeprowadzony z jej wykorzystaniem będzie trudny do wykrycia. Producenci sygnatur i szczepionek nie mają próbek złośliwego oprogramowania, które mogliby zanalizować i opracować skuteczne sygnatury.

Drugim wyraźnie obserwowanym trendem jest przypadek, w którym szkodliwy program wykorzystuje znane, opisane podatności, jednak ulega on zmianom. Oznacza to, że każdorazowo występuje pod inną postacią, choć jego działanie jest takie samo. Tego typu szkodliwy program — czy to polimorficzny (występujący pod wieloma postaciami), czy metamorficzny (za każdym razem wyglądający inaczej) — w oczywisty sposób nie może zostać wykryty czy zablokowany przy użyciu metod sygnaturowych.

Aby przeciwdziałać tego typu infekcjom, należy stosować techniki, które bazują nie na sygnaturach, ale na analizie zachowania obiektów. Najskuteczniejszym mechanizmem analizy behawioralnej jest tak zwana detonacja w piaskownicy, czyli uruchomienie oprogramowania czy innego analizowanego pliku w środowisku kontrolowanym i ocena skutków jego działania. Dzięki temu nowe, dotychczas nieznane ataki zostaną wykryte i będzie można je skutecznie zablokować w środowisku wirtualnym, zanim dotrą do sieci wewnętrznej.

Analiza w piaskownicy wymaga sporej wiedzy osób obsługujących takie systemy, dlatego najwygodniejszym sposobem jest skorzystanie z gotowych rozwiązań działających w modelu chmurowym. APT Blocker — usługa piaskownicy dostępna w urządzeniach UTM Firebox firmy WatchGuard Technologies Inc. — pozwala na szybką analizę najczęściej spotykanych typów plików, które mogą być nośnikiem ataku. APT Blocker jest o tyle interesującym rozwiązaniem, że z jednej strony pozwala na szybkie podjęcie decyzji o dopuszczeniu lub zablokowaniu pliku w oparciu o ocenę ryzyka dla każdego obiektu, a z drugiej strony udostępnia szczegółowe zestawienie stwierdzonych działań niebezpiecznych, co może być przydatne w analizie śledczej.

Poza ochroną warstwy sieciowej należy zapewnić bezpieczeństwo urządzeniom roboczym i użytkownikom, gdyż nie każde zagrożenie dociera poprzez sieć: korzystamy z urządzeń przenośnych, zabieramy notebooki w podróż, gdzie podłączamy się do dostępnych, niechronionych sieci. Tak więc konieczne jest zapewnienie równorzędnego poziomu ochrony urządzeniom końcowym, a by odpowiadała ona współczesnym wymaganiom, nie może bazować wyłącznie na sygnaturach.

WatchGuard z pakietem Total Security Suite proponuje ciekawe rozwiązanie ochrony stacji roboczych i serwerów — Threat Detection & Response. Agent TDR posiada wbudowane 3 funkcje ochronne:

  • Analiza heurystyczna — niesygnaturowy mechanizm określenia poziomu ryzyka związanego z każdym plikiem wykonywalnym. Podczas analizy wykorzystywanych jest blisko 200 reguł dzięki czemu można z wysoką skutecznością wychwycić pliki podejrzane, przenieść je do kwarantanny i dokonać pogłębionej analizy przed podjęciem ostatecznej decyzji.
  • Analiza behawioralna — bada zachowanie uruchomionych programów. W przypadku wykrycia działań szkodliwych lub podejrzanych, jak na przykład wstrzykiwanie kodu czy podszywanie się pod inne programy, proces może zostać automatycznie zamknięty, a wpisy w rejestr systemu usunięte.
  • Antyransomware — dodatkowy mechanizm chroniący przed niezwykle groźnym i powszechnym zagrożeniem (szczególnie ostatnio), jakim jest ransomware. Analizując zachowanie programów, szczególnie pod kątem operacji na plikach i katalogach, agent jest w stanie wykryć działanie wskazujące na atak i zablokować je, zanim istotne dane zostaną zaszyfrowane.

Aby skutecznie odpowiedzieć na współczesne zagrożenia, należy korzystać z zabezpieczeń behawioralnych, adaptacyjnych — pozwalających na skuteczne wykrycie zagrożenia i adekwatną odpowiedź.

Eliminacja „ślepych” stref

Dokonując ataków, hakerzy usiłują za wszelką cenę uniknąć wykrycia, dlatego stosują różnorodne techniki maskowania, które z lepszym lub gorszym skutkiem pozwalają na ominięcie istniejących zabezpieczeń. Przykładem takiego działania może być przesłanie ofierze niegroźnego pliku, który zostanie uzbrojony dopiero po dotarciu do punktu ataku.

Jednak obecnie najpowszechniejszym sposobem ukrywania ataku jest skorzystanie z mechanizmów wbudowanych w większość przeglądarek internetowych, czyli transmisji szyfrowanej https. Https jest protokołem warstwy 7 wykorzystującym silne mechanizmy szyfrowania i jako taki nie może być skutecznie poddany zaawansowanej analizie przez urządzenia działające w warstwie 3 czy 4.

Aby móc skutecznie dokonać inspekcji ruchu szyfrowanego, konieczne jest uruchomienie w zaporze sieciowej funkcji https-proxy, wygenerowanie i zainstalowanie certyfikatów pozwalających na odszyfrowanie zawartości, poddanie jej analizie zgodnie z przyjętymi zasadami oraz powtórne zaszyfrowanie przed wysłaniem do odbiorcy.

Obecne statystyki ruchu internetowego wskazują, że już znacznie ponad połowa ruchu jest szyfrowana. Zatem nie można sobie pozwolić na pominiecie głębokiej inspekcji ruchu https. Inaczej pozostawiamy hakerom szeroko otwarte drzwi. Oczywiście wdrożenie tej inspekcji wiąże się z nakładami, gdyż proces deszyfrowania/szyfrowania znacząco obciążą urządzenia, jednak jest to działanie konieczne.

Analiza i korelacja

Około 1 procent ataków jest wykrywanych poprzez analizę zapisów dziennika. To znikoma ilość, biorąc pod uwagę, że większość przedsiębiorstw i instytucji gromadzi logi i przechowuje je niejednokrotnie latami. Powodem takiego stanu rzeczy jest fakt, że większość narzędzi analitycznych to narzędzia informatyki śledczej, a nie element systemu bezpieczeństwa.

Aby skutecznie wykorzystać logi w celu podniesienia poziomu zabezpieczeń, konieczne są narzędzia, które:

  • dokonują analizy w czasie rzeczywistym, aby móc podjąć działanie zapobiegawcze na bieżąco, a nie po fakcie,
  • wizualizują informacje w sposób wygodny dla operatora, pozwalający na szybkie operacje zaawansowanej analizy w celu analizy pod różnym kątem, tak aby móc szybko wyciągnąć praktyczne wnioski,
  • przedstawiają informacje skorelowane, wstępnie odfiltrowane i połączone w pojęcia ułatwiające zrozumienie natury obserwowanych zdarzeń, pozwalają na szybką weryfikację poprawności wyciągniętych wniosków,
  • wykorzystują do analizy kontekstowej dane pochodzące ze źródeł Threat Intelligence.

Powyższe wymagania zazwyczaj spełniają zaawansowane systemy obsługi Security Operations Center (SOC), jednak dla przeciętnego przedsiębiorstwa są nieosiągalne z przyczyn ekonomicznych i organizacyjnych. Dla podmiotów średniej wielkości rozwiązaniem mogą być zintegrowane pakiety oferujące takie funkcje.

W pakiecie WatchGuard Total Security Suite zawarte są komponenty WatchGuard Dimension oraz WatchGuard ThreatSync.

WatchGuard Dimension to system kolekcji, analizy i wizualizacji logów, pozwalający w wygodny i szybki sposób dokonać analizy ruchu sieciowego, zdarzeń bezpieczeństwa, działania polis i reguł, zachowań użytkowników itp. Wygodny interfejs i ergonomiczny system wizualizacji pozwalają na szybkie identyfikowanie naruszeń obowiązujących reguł oraz podejmowanie skutecznych działań naprawczych.

WatchGuard ThreatSync zapewnia możliwość korelacji zdarzeń obserwowanych zarówno w ruchu sieciowym, jak i na stacjach końcowych objętych ochroną przed złośliwym oprogramowaniem. W celu zapewnienia wygody użytkowania i szybkości relacji zdarzenia prezentowane są w postaci Incydentów, składających się z Indykatorów. Wprowadzenie takich 2 abstrakcji znakomicie ułatwia zrozumienie charakteru analizowanych przypadków. Dodatkowo dzięki wzbogaceniu informacji o incydentach o wiedzę pochodzącą z rozmaitych źródeł Threat Intelligence oraz możliwości wykorzystania analizy w piaskownicy możliwe jest skuteczne przeciwdziałanie zagrożeniom nawet przez operatorów nie będących specjalistami z zakresu bezpieczeństwa informatycznego.

Źródło: Bakotech