Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Від латок в боротьбі з шкідливим ПЗ до цілісної стратегії

2018-03-27
Автор: Телесфера

шкідливе програмне забезпечення

Як це не парадоксально, але я до сих пір регулярно чую в якості поради по боротьбі з шкідливим ПЗ рекомендацію щодо використання сучасного антивіруса і його регулярного оновлення. Таке враження, що останні історії з WannaCry і Petya / Nyetya відбулися в якомусь своєму світі, відмінному від того, в якому живуть ті, хто досі вважає, що антивірус - це все, що потрібно для боротьби з шкідливим ПЗ. Навіть хороший антивірус. Навіть з евристичними механізмами. Навіть якщо вони включені і при цьому не гальмує ПК. Навіть якщо ці механізми ще й працюють, а не просто є маркетингової заманухою. Пора вже для себе сформулювати простий висновок - боротьба з сучасним шкідливим ПЗ вимагає цілісної стратегії і збалансованого застосування різних технологій, спрямованих на виявлення і запобігання використанню шкідливим кодом різних способів проникнення й зараження. І щоб не обмежуватися банальними фразами, давайте спробуємо сформулювати, що повинна включати цілісна стратегія боротьби з шкідливим ПЗ.

Індустрія розробки ШПЗ

Але перш, ніж я почну з окремих технологічних цеглинок будувати захисний мур, давайте згадаємо, що з себе представляє сучасне шкідливе ПЗ. Це дуже важливо, так як дозволити не вестися на маркетингові заяви виробників про 100% -е виявлення невідомих вірусів, а усвідомлювати, що можуть, а що ні сучасні шкідники і, відповідно, як їм протистояти.

Так, є старі віруси, які добре детектуються стандартними і широко поширеними на ринку антивірусами. Їх, напевно, близько 80% в загальній кількості поганих програм. Їх часто можна побачити в різних роликах на корпоративних каналах YouTube або саме їх хеши часто фігурують в різних презентаціях і матеріалах. Потім, ввівши такі хеши на VirusTotal, можна впевнитися, що продукт такий-то ловить цю заразу і значить він цілком вартий того, щоб за нього заплатити. Чи не варто?

А давайте спробуємо подивитися на це з точки зору творця ... творця шкідливого коду. Він, а точніше ціла група кваліфікованих програмістів і архітекторів, що стоять за всіма сучасними "неПетями", в якості вихідних даних мають наступну картину:

  • вони знають, що шкідливе ПЗ будуть шукати за допомогою різних засобів захисту інформації
  • вони знають, що для аналізу невідомого шкідливого коду може використовуватися пісочниця
  • вони знають, що 99% компаній-жертв використовують широко поширене покупне ПЗ для захисту.

Які висновки можна зробити з цих трьох очевидних тез, які знає будь-який безпечники, чомусь не застосовує їх для того, щоб встати на сторону Зла і не подумати "як хакер", який буде намагатися обійти всі традиційні системи захисту? Я відразу зробив би висновки такі:

  • Шкідливий код повинен бути унікальним і не має повторюватися
  • Шкідливий код повинен використовувати кілька векторів поширення
  • Шкідливий код повинен бути модульним
  • Шкідливий код повинен обходити методи його детектування і аналізу.

Саме тому індустрія створення шкідливого ПЗ є розвиненою, що має непогані бюджети, що копіює кращі практики розробки ПЗ (так-так, agile у розробників вірусів теж є). Але найголовніше, у розробників шкідників є висока зацікавленість, щоб їх творіння були мали високий коеффеціент зараження і низький коефіцієнт виявлення.

Типовим підходом для захисту від шкідливого ПЗ, яке часто по-старому все ще звуть вірусами, що і створює відчуття несерйозності проблеми, є застосування пари антивірус і міжмережевий екран. Однак, сучасний шкідливий код набагато складніше. Каналів зараження можна виділити кілька - e-mail, Web, Wi-Fi, флешки, оновлення ПЗ, лептопи підрядників, особисті мобільні пристрої керівництва та ін. При цьому створюваний шкідник може використовувати як вже відомі старі вразливості, так і ще невідомі діри (0 -Day). При цьому в основу шкідливого коду можуть бути покладені як фрагменти вже кимось використаних вірусів, так і з нуля написаний код, в тому числі і з застосуванням різних технік обходу засобів захисту на різних рівнях.

Чим поганий антивірус з ММЕ?

У вас може бути навіть два або три різних антивіруса (як це, наприклад, рекомендується або вимагається в нормативних документах Банку Росії), але це не сильно допомагає. Навіть якщо вони і використовують різні антивірусні движки (а можуть і ні :-), то все одно вони базуються на методі, що вже багато років тому дав збій - порівняння з сигнатурами атак, тобто виявленні чогось відомого. Хоча за статистикою багатьох ІБ-гравців сьогодні переважно зустрічаються невідомі раніше шкідливі програми, унікальні для більшості замовників. Це означає, що більшість антивірусних продуктів нездатні боротися з тим, що вони не бачать і не знають.

Нещодавно колега надіслав мені файл з проханням перевірити його в нашій пісочниці Cisco Threat Grid. У нього була підозра щодо цього файлу, а наявний у нього антивірус ніяк не реагував на файл. Через кілька хвилин після початку аналізу Cisco Threat Grid видав вердикт - троянець ZBot. Але ж це досить відомий і старий шкідник. Чому ж антивірус його не ловив? Ключове слово - "старий". Виявляється, для зменшення обсягу бази сигнатур, яка "заливалася" на кожен персональний комп'ютер, антивірусний вендор вирішив старі сигнатури відключити. І його можна зрозуміти. Число сигнатур постійно зростає і вимірюється вже сотнями мільйонів і навіть мільярдами - ніякого жорсткого диска не вистачить, щоб зберігати весь цей обсяг інформації. Доводиться робити вибір і він може приводити до плачевних наслідків.

Та ви й самі напевно пам'ятаєте історію з WannaCry, коли багато антивірусних вендори, що вихвалялися перемогою в тестах "100% -е виявлення невідомих вірусів", на наступні дні (і не всі в той же вечір п'ятниці) після початку епідемії стали розсилати рекомендації про те , що треба зробити, щоб побороти цю заразу. Пам'ятаєте? Дивна ситуація виходить. Інформація про використовувану WannaCry уразливость відома вже місяць, але шкідливий код її ще не використовував, і тому в антивірусних базах ніяких сигнатур просто немає. Тому більшість традиційних засобів боротьби зі шкідливим кодом працюють пост-фактум, борючись з чимось відомим. Коли мова йшла про масові епідемії, цей підхід працював, але в умовах переважно унікальних шкідників він став давати збій.

Добре, а ММЕ хіба не допомагає нам відсікати з'єднання з C&C-серверами? В теорії так. На практиці ж ми стикаємося з двома труднощами. По-перше, за статистикою Cisco близько 92% шкідливих програм використовують DNS-протокол, який мало хто зі звичайних міжмережевих екранів вміє фільтрувати (тут потрібні вже NGFW з інспекцією DNS, наприклад, Cisco Firepower NGFW). А по-друге, для того, щоб блокувати взаємодію з C&C-вузлами, необхідно знати адреси цих вузлів, а вони змінюються постійно і відповідно ММЕ також оперативно повинен оновлювати свої правила, що на практиці не відбувається.

А якщо додати захисні Web і E-mail шлюзи?

Що треба зробити, щоб підвищити захищеність компанії від шкідливих програм? Крім регулярної установки патчів, резервного копіювання та обмеження використання прав локальних адміністраторів користувачами, давайте згадаємо про можливі вектори зараження. За статистикою левова частка всіх заражень здійснюється через два основні канали - Web і e-mail. Значить і на захист цих каналів повинні встати відповідні рішення щодо захисту, які будуть фільтрувати трафік на предмет шкідливих вкладень. У Cisco це E-mail Security Appliance і Web Security Appliance.

Але перекриття двох основних каналів потрапляння шкідливого коду всередину організації не знімає проблеми антивірусів, які ловлять тільки відоме. Чи є технологія, що дозволяє аналізувати файли, не дивлячись на наявність або відсутність за ними цифрових відбитків (сигнатур)? Так, називається вона пісочниця (sandbox) і дозволяє вона проводити статичний і динамічний аналіз файлу на предмет виконання нею будь-яких несанкціонованих дій - доступ до реєстру, копіювання файлів, взаємодія з C&C-серверами, інкапсуляцію в дозволений трафік і т.п. Та ж пісочниця Cisco Threat Grid може аналізувати понад 700 різних параметрів і факторів поведінки файлів з метою визначення їх шкідливості. Саме з пісочницею зв'язуються засоби захисту, які мають вбудовані антивірусні движки, але не можуть виявляти невідомі віруси. Інтеграція з пісочницею дає таку можливість. У випадку з архітектурою безпеки Cisco з пісочницею Threat Grid пов'язані всі рішення з безпеки - Cisco E-mail Security Appliance, Web Security Appliance, Cisco Firepower NGFW / NGIPS, Cisco ASA with FirePOWER Services, Cisco AMP for Endpoints, Cisco Umbrella і ін.

Як захистити мобільних користувачів?

Припустимо периметр мережі ми захистили, але що робити з мобільними користувачами? Навколо них ми не можемо звести захисні стіни з ММЕ, IPS, тематичних шлюзів і пісочниць. MDM-рішення не сильно допомагають нам боротися з шкідливим кодом, так як у них інше призначення. Мобільний антивірус? У нього та ж проблема, що і раніше описана. Та й не для всіх мобільних платформ є засоби захисту від шкідників (наприклад, для iPhone). Як тоді боротися? Знову треба встати на сторону зловмисника і подивитися, як він створює свої творіння. Як правило, вони не працюють автономно, а використовують клієнт-серверну архітектуру, що припускає комунікації з сервером управління і найчастіше для цього використовується протокол DNS. Якщо ми зможемо його інспектувати, то ми вирішимо більшу частину проблем з шкідливим кодом на мобільних платформах. В цьому випадку ми просто замінюємо адреси DNS-серверів від Google або Яндекс на адреси спеціалізованого сервісу (наприклад, Cisco Umbrella) і крім DNS-сервісу отримуємо ще й повноцінний захист від взаємодії з C&C-серверами. Насправді Cisco Umbrella дозволяє нам також відсікати фішингові ресурси, DGA-домени, які використовуються для поширення шкідників, відстежувати сайти-клони, домени kill switch і т.п.

Давайте подивимося в бік NTA і EDR

Повернемося знову до історії з WannaCry. Генеральний директор однієї з великих промислових компаній в п'ятницю ввечері підхопив WannaCry на свій домашній комп'ютер. Не довго думаючи, в суботу вранці він привіз заражений лептоп на роботу, підключив його до корпоративної мережі, попутно викликавши своїх айтішників "розібратися". Поки ті їхали на роботу, WannaCry став поширюватися по внутрішній мережі, не дивлячись на досить непоганий захист периметра. Але ж є ще підкинуті з невідомим вірусом флешки, злом Wi-Fi, ноутбуки підрядників і т.п. Що робити в цій ситуації? Відповідь одна - моніторити внутрішню інфраструктуру за допомогою технологій NTA і EDR. Це абревіатури, які означають два класи засобів захисту, - аналіз мережевого трафіку (Network Traffic Analysis) і виявлення та реагування на кінцевих пристроях (Endpoint Detection and Response).

Аналіз мережевого трафіку (наприклад, за допомогою Cisco Stealthwatch) дозволяє нам ідентифікувати прояви роботи шкідливого коду навіть тоді, коли на кінцевих пристроях немає ніяких засобів захисту, навіть застарілих антивірусів. Більш того, за рахунок технології ETA можна виявляти ознаки шкідливої активності навіть у зашифрованому трафіку. У свою чергу антивіруси давно пора поміняти на рішення класу EDR (наприклад, Cisco AMP for Endpoint), які побудовані не за принципом запобігти всім 100% загроз, а бути готовими до того, що компрометація вузла може все-таки відбутися і треба вміти вчасно знаходити цей факт і зреагувати на нього.

Міжмережевий екран, що стоїть на периметрі, має свою аналогію і у внутрішній мережі - це система контролю мережевого доступу (наприклад, Cisco ISE), яка забезпечує сегментацію внутрішньої мережі і локалізацію поширення шкідливого коду в разі його попадання у внутрішню мережу тим чи іншим способом. В ідеалі рішення з аналізу мережевого трафіку виявляючи перші спроби поширення шкідливого коду може дати команду на систему контролю мережевого доступу для блокування зараженого комп'ютера шляхом відключення порту комутатора або внесення вузла в карантинну підмережу шляхом зміни ACL на маршрутизаторі.

Зрозуміло, всі описані вище технології повинні працювати не окремо і не в автономному режимі, а в тісній співпраці між собою, обмінюючись сигналами тривоги, політиками безпеки, командами, а також індикаторами компрометації. До речі, з приводу індикаторів (IoC). Їх теж треба регулярно отримувати з зовнішніх джерел (у Cisco роль такого джерела виконує підрозділ Cisco Talos) і оснащувати знанням про постійно мінливі загрози всі засоби захисту - периметрові, хмарні, персональні або внутрішні.

Повертаємося до замкнутого програмного середовища і ізоляції від зовнішнього світу

Описана вище стратегія є оптимальною для захисту від 98% шкідливого коду. Чи можемо ми збільшити це значення, наблизившись до заповітної сотні? Насправді можна, але тільки треба розуміти, що в цьому випадку ми змушені будемо суттєво погіршити експлуатаційні характеристики своєї мережі і знизити зручність роботи для користувачів. Досягається це за рахунок відмови від парадигми чорних списків і перехід до правила "дозволено тільки те, що відомо". Дозволені додатки, IP-адреси, користувачі і т.п. Як ми розуміємо, такий підхід має суттєві обмеження в реальному житті, але зате він дозволяє істотно обмежити роботу шкідливого коду. Додатковий рівень захисту досягається за рахунок технологій ізоляції, віртуалізації, віддалених браузерів, TPM, контролю цілісності ОС, віддаленої верифікації, електронного підпису e-mail.

У якості резюме

Я описав кілька стратегій захисту від шкідливого коду - від мінімалістичної до максимальної. Чи означає це, що ми можемо повністю запобігти зараженню нашої внутрішньої мережі та мобільних користувачів? На жаль. 100% -го захисту гарантувати не може ніхто і ніщо. Але завдання цієї статті було в іншому - показати, що до сих пір ще існуюча точка зору, що один тільки антивірус може врятувати від сучасних шкідливих програм, вже давно "протухла" і проблему вирішити може тільки комплексний підхід і відштовхуватися в ньому потрібно від use case, про які ми вже писали.

Джерело: https://habrahabr.ru/company/cisco/blog/351562/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

 

КОММЕНТАРІ ДО СТАТТІ

Cisco представила нові рішення в області мереж на основі намірів

Cisco представила нові рішення в області мереж на основі намірів
Cisco,Cisco Wi-Fi,Cisco Network,cisco,cisco безпека,Налаштування Cisco,новини,Послуги Телесфера Інтеграція

В ході конференції Cisco Live, яка вперше пройшла в онлайн форматі, компанія Cisco представила нові рішення в області мереж на основі намірів (IBN, Intent Based Networks). Ці продукти призначені для оптимізації мережевих і бізнес-операцій, вони спрямовані на автоматизацію різних процесів і надання аналітики, яка допоможе ІТ-службам підвищити гнучкість і краще координувати свою діяльність з бізнес-цілями компаній.

Aruba Edge Services Platform (ESP)

Aruba Edge Services Platform (ESP)
Aruba Networks,IoT,Налаштування Aruba,Налаштування,Налаштування Aruba Instant,новини

10 червня 2020 року стало відомо, що компанія Hewlett Packard Enterprise представила хмарну платформу на основі технологій штучного інтелекту - Aruba ESP (Edge Services Platform), яка прогнозує і вирішує проблеми на кордоні мережі до того, як вони виникнуть. Aruba ESP являє собою автоматизовану платформу, яка побудована на базі AIOps (штучний інтелект для управління ІТ) і реалізує модель «нульової довіри» (Zero Trust) для забезпечення мережевої безпеки.

Лінійка Aruba Instant On поповнилася новими комутаторами для малого бізнесу

Лінійка Aruba Instant On поповнилася новими комутаторами для малого бізнесу
Aruba Networks,Налаштування Aruba,Налаштування Aruba Instant,новини

Aruba, компанія Hewlett Packard Enterprise, оголосила про розширення лінійки продуктів Aruba Instant On за рахунок включення в нього комутаторів нової серії, які дозволяють малим підприємствам розгорнути єдину високошвидкісну мережу, просту в налаштуванні, управлінні і обслуговуванні. Нові комутатори Aruba Instant On 1930 легко інтегруються з існуючими точками доступу Aruba Instant On і можуть централізовано управлятися за допомогою мобільного додатку Instant On, незалежно від того, чи будуть вони розгорнуті для забезпечення безперервності ведення бізнесу або проекту по модернізації мережі.