Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Від латок в боротьбі з шкідливим ПЗ до цілісної стратегії

2018-03-27
Автор: Телесфера

шкідливе програмне забезпечення

Як це не парадоксально, але я до сих пір регулярно чую в якості поради по боротьбі з шкідливим ПЗ рекомендацію щодо використання сучасного антивіруса і його регулярного оновлення. Таке враження, що останні історії з WannaCry і Petya / Nyetya відбулися в якомусь своєму світі, відмінному від того, в якому живуть ті, хто досі вважає, що антивірус - це все, що потрібно для боротьби з шкідливим ПЗ. Навіть хороший антивірус. Навіть з евристичними механізмами. Навіть якщо вони включені і при цьому не гальмує ПК. Навіть якщо ці механізми ще й працюють, а не просто є маркетингової заманухою. Пора вже для себе сформулювати простий висновок - боротьба з сучасним шкідливим ПЗ вимагає цілісної стратегії і збалансованого застосування різних технологій, спрямованих на виявлення і запобігання використанню шкідливим кодом різних способів проникнення й зараження. І щоб не обмежуватися банальними фразами, давайте спробуємо сформулювати, що повинна включати цілісна стратегія боротьби з шкідливим ПЗ.

Індустрія розробки ШПЗ

Але перш, ніж я почну з окремих технологічних цеглинок будувати захисний мур, давайте згадаємо, що з себе представляє сучасне шкідливе ПЗ. Це дуже важливо, так як дозволити не вестися на маркетингові заяви виробників про 100% -е виявлення невідомих вірусів, а усвідомлювати, що можуть, а що ні сучасні шкідники і, відповідно, як їм протистояти.

Так, є старі віруси, які добре детектуються стандартними і широко поширеними на ринку антивірусами. Їх, напевно, близько 80% в загальній кількості поганих програм. Їх часто можна побачити в різних роликах на корпоративних каналах YouTube або саме їх хеши часто фігурують в різних презентаціях і матеріалах. Потім, ввівши такі хеши на VirusTotal, можна впевнитися, що продукт такий-то ловить цю заразу і значить він цілком вартий того, щоб за нього заплатити. Чи не варто?

А давайте спробуємо подивитися на це з точки зору творця ... творця шкідливого коду. Він, а точніше ціла група кваліфікованих програмістів і архітекторів, що стоять за всіма сучасними "неПетями", в якості вихідних даних мають наступну картину:

  • вони знають, що шкідливе ПЗ будуть шукати за допомогою різних засобів захисту інформації
  • вони знають, що для аналізу невідомого шкідливого коду може використовуватися пісочниця
  • вони знають, що 99% компаній-жертв використовують широко поширене покупне ПЗ для захисту.

Які висновки можна зробити з цих трьох очевидних тез, які знає будь-який безпечники, чомусь не застосовує їх для того, щоб встати на сторону Зла і не подумати "як хакер", який буде намагатися обійти всі традиційні системи захисту? Я відразу зробив би висновки такі:

  • Шкідливий код повинен бути унікальним і не має повторюватися
  • Шкідливий код повинен використовувати кілька векторів поширення
  • Шкідливий код повинен бути модульним
  • Шкідливий код повинен обходити методи його детектування і аналізу.

Саме тому індустрія створення шкідливого ПЗ є розвиненою, що має непогані бюджети, що копіює кращі практики розробки ПЗ (так-так, agile у розробників вірусів теж є). Але найголовніше, у розробників шкідників є висока зацікавленість, щоб їх творіння були мали високий коеффеціент зараження і низький коефіцієнт виявлення.

Типовим підходом для захисту від шкідливого ПЗ, яке часто по-старому все ще звуть вірусами, що і створює відчуття несерйозності проблеми, є застосування пари антивірус і міжмережевий екран. Однак, сучасний шкідливий код набагато складніше. Каналів зараження можна виділити кілька - e-mail, Web, Wi-Fi, флешки, оновлення ПЗ, лептопи підрядників, особисті мобільні пристрої керівництва та ін. При цьому створюваний шкідник може використовувати як вже відомі старі вразливості, так і ще невідомі діри (0 -Day). При цьому в основу шкідливого коду можуть бути покладені як фрагменти вже кимось використаних вірусів, так і з нуля написаний код, в тому числі і з застосуванням різних технік обходу засобів захисту на різних рівнях.

Чим поганий антивірус з ММЕ?

У вас може бути навіть два або три різних антивіруса (як це, наприклад, рекомендується або вимагається в нормативних документах Банку Росії), але це не сильно допомагає. Навіть якщо вони і використовують різні антивірусні движки (а можуть і ні :-), то все одно вони базуються на методі, що вже багато років тому дав збій - порівняння з сигнатурами атак, тобто виявленні чогось відомого. Хоча за статистикою багатьох ІБ-гравців сьогодні переважно зустрічаються невідомі раніше шкідливі програми, унікальні для більшості замовників. Це означає, що більшість антивірусних продуктів нездатні боротися з тим, що вони не бачать і не знають.

Нещодавно колега надіслав мені файл з проханням перевірити його в нашій пісочниці Cisco Threat Grid. У нього була підозра щодо цього файлу, а наявний у нього антивірус ніяк не реагував на файл. Через кілька хвилин після початку аналізу Cisco Threat Grid видав вердикт - троянець ZBot. Але ж це досить відомий і старий шкідник. Чому ж антивірус його не ловив? Ключове слово - "старий". Виявляється, для зменшення обсягу бази сигнатур, яка "заливалася" на кожен персональний комп'ютер, антивірусний вендор вирішив старі сигнатури відключити. І його можна зрозуміти. Число сигнатур постійно зростає і вимірюється вже сотнями мільйонів і навіть мільярдами - ніякого жорсткого диска не вистачить, щоб зберігати весь цей обсяг інформації. Доводиться робити вибір і він може приводити до плачевних наслідків.

Та ви й самі напевно пам'ятаєте історію з WannaCry, коли багато антивірусних вендори, що вихвалялися перемогою в тестах "100% -е виявлення невідомих вірусів", на наступні дні (і не всі в той же вечір п'ятниці) після початку епідемії стали розсилати рекомендації про те , що треба зробити, щоб побороти цю заразу. Пам'ятаєте? Дивна ситуація виходить. Інформація про використовувану WannaCry уразливость відома вже місяць, але шкідливий код її ще не використовував, і тому в антивірусних базах ніяких сигнатур просто немає. Тому більшість традиційних засобів боротьби зі шкідливим кодом працюють пост-фактум, борючись з чимось відомим. Коли мова йшла про масові епідемії, цей підхід працював, але в умовах переважно унікальних шкідників він став давати збій.

Добре, а ММЕ хіба не допомагає нам відсікати з'єднання з C&C-серверами? В теорії так. На практиці ж ми стикаємося з двома труднощами. По-перше, за статистикою Cisco близько 92% шкідливих програм використовують DNS-протокол, який мало хто зі звичайних міжмережевих екранів вміє фільтрувати (тут потрібні вже NGFW з інспекцією DNS, наприклад, Cisco Firepower NGFW). А по-друге, для того, щоб блокувати взаємодію з C&C-вузлами, необхідно знати адреси цих вузлів, а вони змінюються постійно і відповідно ММЕ також оперативно повинен оновлювати свої правила, що на практиці не відбувається.

А якщо додати захисні Web і E-mail шлюзи?

Що треба зробити, щоб підвищити захищеність компанії від шкідливих програм? Крім регулярної установки патчів, резервного копіювання та обмеження використання прав локальних адміністраторів користувачами, давайте згадаємо про можливі вектори зараження. За статистикою левова частка всіх заражень здійснюється через два основні канали - Web і e-mail. Значить і на захист цих каналів повинні встати відповідні рішення щодо захисту, які будуть фільтрувати трафік на предмет шкідливих вкладень. У Cisco це E-mail Security Appliance і Web Security Appliance.

Але перекриття двох основних каналів потрапляння шкідливого коду всередину організації не знімає проблеми антивірусів, які ловлять тільки відоме. Чи є технологія, що дозволяє аналізувати файли, не дивлячись на наявність або відсутність за ними цифрових відбитків (сигнатур)? Так, називається вона пісочниця (sandbox) і дозволяє вона проводити статичний і динамічний аналіз файлу на предмет виконання нею будь-яких несанкціонованих дій - доступ до реєстру, копіювання файлів, взаємодія з C&C-серверами, інкапсуляцію в дозволений трафік і т.п. Та ж пісочниця Cisco Threat Grid може аналізувати понад 700 різних параметрів і факторів поведінки файлів з метою визначення їх шкідливості. Саме з пісочницею зв'язуються засоби захисту, які мають вбудовані антивірусні движки, але не можуть виявляти невідомі віруси. Інтеграція з пісочницею дає таку можливість. У випадку з архітектурою безпеки Cisco з пісочницею Threat Grid пов'язані всі рішення з безпеки - Cisco E-mail Security Appliance, Web Security Appliance, Cisco Firepower NGFW / NGIPS, Cisco ASA with FirePOWER Services, Cisco AMP for Endpoints, Cisco Umbrella і ін.

Як захистити мобільних користувачів?

Припустимо периметр мережі ми захистили, але що робити з мобільними користувачами? Навколо них ми не можемо звести захисні стіни з ММЕ, IPS, тематичних шлюзів і пісочниць. MDM-рішення не сильно допомагають нам боротися з шкідливим кодом, так як у них інше призначення. Мобільний антивірус? У нього та ж проблема, що і раніше описана. Та й не для всіх мобільних платформ є засоби захисту від шкідників (наприклад, для iPhone). Як тоді боротися? Знову треба встати на сторону зловмисника і подивитися, як він створює свої творіння. Як правило, вони не працюють автономно, а використовують клієнт-серверну архітектуру, що припускає комунікації з сервером управління і найчастіше для цього використовується протокол DNS. Якщо ми зможемо його інспектувати, то ми вирішимо більшу частину проблем з шкідливим кодом на мобільних платформах. В цьому випадку ми просто замінюємо адреси DNS-серверів від Google або Яндекс на адреси спеціалізованого сервісу (наприклад, Cisco Umbrella) і крім DNS-сервісу отримуємо ще й повноцінний захист від взаємодії з C&C-серверами. Насправді Cisco Umbrella дозволяє нам також відсікати фішингові ресурси, DGA-домени, які використовуються для поширення шкідників, відстежувати сайти-клони, домени kill switch і т.п.

Давайте подивимося в бік NTA і EDR

Повернемося знову до історії з WannaCry. Генеральний директор однієї з великих промислових компаній в п'ятницю ввечері підхопив WannaCry на свій домашній комп'ютер. Не довго думаючи, в суботу вранці він привіз заражений лептоп на роботу, підключив його до корпоративної мережі, попутно викликавши своїх айтішників "розібратися". Поки ті їхали на роботу, WannaCry став поширюватися по внутрішній мережі, не дивлячись на досить непоганий захист периметра. Але ж є ще підкинуті з невідомим вірусом флешки, злом Wi-Fi, ноутбуки підрядників і т.п. Що робити в цій ситуації? Відповідь одна - моніторити внутрішню інфраструктуру за допомогою технологій NTA і EDR. Це абревіатури, які означають два класи засобів захисту, - аналіз мережевого трафіку (Network Traffic Analysis) і виявлення та реагування на кінцевих пристроях (Endpoint Detection and Response).

Аналіз мережевого трафіку (наприклад, за допомогою Cisco Stealthwatch) дозволяє нам ідентифікувати прояви роботи шкідливого коду навіть тоді, коли на кінцевих пристроях немає ніяких засобів захисту, навіть застарілих антивірусів. Більш того, за рахунок технології ETA можна виявляти ознаки шкідливої активності навіть у зашифрованому трафіку. У свою чергу антивіруси давно пора поміняти на рішення класу EDR (наприклад, Cisco AMP for Endpoint), які побудовані не за принципом запобігти всім 100% загроз, а бути готовими до того, що компрометація вузла може все-таки відбутися і треба вміти вчасно знаходити цей факт і зреагувати на нього.

Міжмережевий екран, що стоїть на периметрі, має свою аналогію і у внутрішній мережі - це система контролю мережевого доступу (наприклад, Cisco ISE), яка забезпечує сегментацію внутрішньої мережі і локалізацію поширення шкідливого коду в разі його попадання у внутрішню мережу тим чи іншим способом. В ідеалі рішення з аналізу мережевого трафіку виявляючи перші спроби поширення шкідливого коду може дати команду на систему контролю мережевого доступу для блокування зараженого комп'ютера шляхом відключення порту комутатора або внесення вузла в карантинну підмережу шляхом зміни ACL на маршрутизаторі.

Зрозуміло, всі описані вище технології повинні працювати не окремо і не в автономному режимі, а в тісній співпраці між собою, обмінюючись сигналами тривоги, політиками безпеки, командами, а також індикаторами компрометації. До речі, з приводу індикаторів (IoC). Їх теж треба регулярно отримувати з зовнішніх джерел (у Cisco роль такого джерела виконує підрозділ Cisco Talos) і оснащувати знанням про постійно мінливі загрози всі засоби захисту - периметрові, хмарні, персональні або внутрішні.

Повертаємося до замкнутого програмного середовища і ізоляції від зовнішнього світу

Описана вище стратегія є оптимальною для захисту від 98% шкідливого коду. Чи можемо ми збільшити це значення, наблизившись до заповітної сотні? Насправді можна, але тільки треба розуміти, що в цьому випадку ми змушені будемо суттєво погіршити експлуатаційні характеристики своєї мережі і знизити зручність роботи для користувачів. Досягається це за рахунок відмови від парадигми чорних списків і перехід до правила "дозволено тільки те, що відомо". Дозволені додатки, IP-адреси, користувачі і т.п. Як ми розуміємо, такий підхід має суттєві обмеження в реальному житті, але зате він дозволяє істотно обмежити роботу шкідливого коду. Додатковий рівень захисту досягається за рахунок технологій ізоляції, віртуалізації, віддалених браузерів, TPM, контролю цілісності ОС, віддаленої верифікації, електронного підпису e-mail.

У якості резюме

Я описав кілька стратегій захисту від шкідливого коду - від мінімалістичної до максимальної. Чи означає це, що ми можемо повністю запобігти зараженню нашої внутрішньої мережі та мобільних користувачів? На жаль. 100% -го захисту гарантувати не може ніхто і ніщо. Але завдання цієї статті було в іншому - показати, що до сих пір ще існуюча точка зору, що один тільки антивірус може врятувати від сучасних шкідливих програм, вже давно "протухла" і проблему вирішити може тільки комплексний підхід і відштовхуватися в ньому потрібно від use case, про які ми вже писали.

Джерело: https://habrahabr.ru/company/cisco/blog/351562/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

 

КОММЕНТАРІ ДО СТАТТІ

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).

SASE, SD-WAN і SSE розбираємось

SASE, SD-WAN і SSE розбираємось
Aruba Networks,Налаштування Aruba Instant,Блог Телесфера,Налаштування Aruba

Коли справа доходить до WAN (глобальної мережі), літера «S» відіграє ключову роль По-перше, загадка: що спільного між хмарними глобальними мережами (WAN) і зміями? Вони обидві шиплять: sssSASE, ssssSD-WAN і sssssSSE. Гаразд, я визнаю, що це було досить погано, але може виникнути велика плутанина, оскільки дуже багато абревіатур WAN починаються з літери «S».