ИТ-портал компании «Инфосистемы Джет»

«Наша задача — сделать атаку максимально дорогой и сложной для злоумышленника»

«Наша задача — сделать атаку максимально дорогой и сложной для злоумышленника»

О векторах угроз ИБ, подходах к защите и других вопросах ИБ мы беседуем с Сергеем Невструевым, руководителем направления защиты от угроз «нулевого дня» компании Check Point SoftwareTechnologies в Восточной Европе.

— Угрозы «нулевого дня» — тема как нельзя более актуальная. Каковы сей­час ключевые проблемы и решения в этой сфере?

— Сегодня в распоряже­нии злоумышленников достаточно средств, позволяющих изменять атаку на лету — это различные генерато­ры кода, обфускаторы, переупаковщики и т.д., и т.п. Чтобы ими воспользоваться, злоумышленнику уже не обязательно быть специалистом в сфере программирования. В криминальной кибериндустрии уже дав­но существует разделение труда, и к услугам начинающего взломщика все необходимые инструменты для атаки, разработанные вы­сококвалифицированными хакерами. Есть даже криминальные сервисы, такие как, на­пример, ransomware-as-a-service — готовые инфраструктуры для заражения, шифрования и сбора денег, куда остается только подгрузить нужные адреса. Новейшие exploit kits, которые эксплуатируют уязвимости последних версий ПО, можно получать по подписке. А главное, снижается стоимость организации атаки. Таким образом, вероятность того, что вам при­дется иметь дело с вредоносом, который еще не известен производителям средств защиты, становится все выше.

Наилучший сегодня способ защиты от неиз­вестных угроз — эмуляция, т.е. развертывание виртуальной среды («песочницы»), имитиру­ющей работу реальной машины. Когда в нее попадает некий неизвестный файл или до­кумент — потенциальный вредонос, мы можем наблюдать за его поведением без риска для ра­бочей среды и в результате понять, действительно ли файл является вредоносным.

Между тем злоумышленники тоже не дремлют и находят способы обхода «песочниц». На сегод­ня таких способов уже довольно много, наибо­лее распространенных — три.

У нас реализована одна из самых быстрых и точных эмуляций в индустрии ИБ. Вердикт в отношении исследуемого файла выносится не больше чем за 4 минуты, а в среднем — за 2 минуты

Первый способ — распознать виртуаль­ную машину по ряду прямых или косвенных признаков, например, исследуя ключи реестра или аппаратное окружение. Второй — определить наличие пользователя — челове­ка, в том числе отслеживая движения мыши, изменение скорости скроллинга в зависимости от контента и пр. Третий — за­держка по времени. Эмуляция в «песочнице» не может длиться вечно, поэтому вредонос начинает свою активность с отсрочкой. Хотя любая современная «песочница» ускоря­ет системный таймер («песочница» Check Point, например, на несколько порядков), вредонос может использовать свой внутрен­ний таймер и все равно обеспечивать задерж­ку по времени.

Что же делать? Наш ответ: обнаружить вре­доносный код на ранней стадии исполнения, еще до того как запущен любой алгоритм обхо­да песочницы. Для этого нами разработана тех­нология детектирования аномалий на уровне выполнения инструкций процессора — CPU-Level detection. Ее использование в «песочни­цах» SandBlast дает высочайший уровень детек­тирования атак, что подтверждается тестами средств защиты от угроз «нулевого дня» Breach Detection System (BDS) от NSS Labs. Естественно, CPU-Level detection — не единственная при­меняемая технология, есть целый ряд других, в том числе статический и поведенческий анализ, машинное обучение и др.

— Вы говорите о «песочнице» как о наилучшем способе защиты от неизвестных угроз. А что вы думаете о такой технологии, как Honeypot — приманке для злоумышленников?

— Honeypot — тоже полезное решение, оно позволяет изучить методы взломщиков. Но ре­альность такова, угрозы, как я уже говорил, меняются на лету. Например, вы надеетесь, что обнаружив первое письмо с ранее неизвестным вредоносным кодом, вы сможете заблокировать все последующие. Однако второго такого же вредоноса не будет, вы получите письмо с дру­гим, который немного, но отличается, по­скольку практически любая атака использует средства модификации.

И потом, Honeypot — средство детектирова­ния, причем отсроченного: он сперва собирает информацию, потом анализирует и после этого выдает результат. Он не посылает мгновен­ный сигнал тревоги. В случае, если атака идет на одно устройство или на одного человека, она вообще останется невидимой для Honeypot. Наша задача — блокировать каждый вредонос­ный файл, даже неизвестный, до того как он по­падет к пользователю.

— Это давний спор, что правильнее: блокировать потенциальную угрозу (использовать режим Prevention) или обнаруживать и отслеживать (режим Detection). Gartner, например, счита­ет, что к 2020 году приоритетом заказчиков средств защиты будет именно усиление возмож­ностей обнаружения и реагирования.

— Не стану спорить с Gartner, однако, согласи­тесь, блокировки без обнаружения не бывает. Что значит режим Prevention? Это значит, что файл удерживается на некоторое время, в те­чение которого выполняется детектирование. Пока в отношении файла не вынесен вердикт, что он «чистый», его нельзя отдавать пользова­телю — это философия Check Point.

Да, проблема в том, что эмуляция требует времени, а пользователь не хочет ждать. Но, во-первых, у нас реализована одна из самых быстрых и точных эмуляций в индустрии ИБ. Вердикт в отношении исследуемого файла вы­носится не больше чем за 4 минуты, а в сред­нем — за 2 минуты.

Но и этот срок некоторым кажется слиш­ком долгим. Поэтому, во-вторых, у Check Point есть технология, которая решает проблему ожидания и в то же время сводит на нет риски доставки вредоносного кода — Threat Extraction. Она состоит в том, что из документа мгновенно удаляется все потенциально опасное содер­жимое (макросы, определенные поля и т.п.), а также анализируются содержащиеся в нем ссылки. Пользователь получает безопасную копию документа, например, файл, конвер­тированный из формата Word в PDF. Если пользователю необходимо редактировать этот документ, он может воспользоваться ссылкой на оригинал, содержащейся в том же письме, но не раньше, чем безопасность оригинала будет подтверждена. А если тот же документ придет повторно, пользователь получит его уже сразу.

— То есть если «песочница» не сможет вынести однозначный вердикт о чистоте файла, пользо­ватель его вообще не получит?

— В принципе, это вопрос настроек. Предпо­ложим, пришло письмо с зашифрованным архивом с паролем. В SandBlast есть технология, позволяющая раскрыть и такие архивы, хотя это возможно не всегда. Если архив проанали­зировать не удалось, администратор может раз­решить отправить получателю этот файл. Но мы настоятельно рекомендуем в подобных случаях доставку блокировать. Потенциально — это ложное срабатывание. Если человеку нужен это файл, он идет к администратору безопас­ности, и тот уже разбирается с файлом вруч­ную. Однако лучше такое разбирательство, чем устранение последствий реализованной атаки.

К тому же «песочница» — только одна ступень в комплексе технологий превентивной защиты в семействе SandBlast. Алгоритм проверки мно­гостадийный. Поскольку эмуляция — процесс относительно дорогой, она применяется в том случае, когда другие способы не дали результа­та. Кроме того, «песочница» не всегда эффектив­на в случае бесфайловых атак, для их распозна­вания задействуются другие методы.

— Расскажите об особенностях защиты пользо­вательских устройств. Каковы здесь возможно­сти технологий эмуляции?

— Защиты на периметре корпоративной сети уже недостаточно, есть угрозы, от которых шлюзы безопасности не спасают. Прежде всего это случаи, когда вредонос уже проник в сеть и начинает распространяться гори­зонтально — от компьютера к компьютеру. Для предотвращения горизонтального рас­пространения вредоносного ПО можно ис­пользовать технологии микросегментации, но внутри сегмента проблема сохраняется. Поэтому мы предлагаем продукт для защи­ты рабочих станций — SandBlast Agent.

Другие потенциальные угрозы, от которых необходима защита на уровне рабочих станций, — это использование съемных носителей, частое обращение к опреде­ленным web-сайтам, а также выход в Интер­нет за пределами периметра корпоративной сети — здесь можно вспомнить такой харак­терный пример, как устройства Pineapple для перехвата Wi-Fi трафика.

SandBlast Agent устанавливается непо­средственно на рабочую станцию и действует по принципу «песочницы»: перед тем как пользователь сохранит неизвестный файл из Интернета, файл будет временно заблоки­рован и проверен. Чтобы не создавать дополнительную нагрузку на рабочую станцию, проверка осуществляется либо в облаке Check Point, либо на устройстве SandBlast, используе­мом в организации.

Кибератаки — это бизнес со своей экономикой: атака должна окупаться. Если этого не происходит, она утрачивает смысл

На случай, если вредонос все-таки про­ник на рабочую станцию, в SandBlast Agent содержатся инструменты post-infection. На­пример, антибот позаботиться о том, чтобы зараженная машина не вела подозрительную сетевую активность. Поведенческий анализатор остановит подозрительную активность, так что если файлы на рабочей станции начнут несанкционированно шифроваться, SandBlast Agent остановит это процесс и вернет файлы к исходному состоянию.

Кроме того, SandBlast Agent отслеживает и сохраняет (в течение долгого времени, например, месяцев) информацию обо всех событиях на рабочей станции. В случае обнаружения угрозы будет автоматически создан подробный и удобный отчет о ее происхождении и раз­витии. Это существенно помогает при прове­дении анализа атаки и расследования, если та­ковое будет необходимо. Даже если вредонос уничтожил все следы, у нас все равно останется информация о том, откуда он появился и как действовал.

Это важное преимущество. Традиционный способ анализа инцидента (т.е. вручную) требует просмотра сотен мегабайт логов, и что­бы разобраться в них, эксперт должен обладать высочайшей квалификацией. А потратив уйму времени на построение отчета, вы все равно не будете до конца уверены, что не упустили какую-то ветку вредоносного процесса.

— Обещаете 100-процентную безопасность?

— 100-процентной безопасности никто и никог­да гарантировать не может. Наша задача — сде­лать атаку максимально дорогой и сложной для злоумышленника, настолько, чтобы ему было проще отказаться от попыток вас взломать. Кибератаки — это бизнес со своей экономикой: атака должна окупаться. Если этого не проис­ходит, она утрачивает смысл. Возьмем, пример, DDoS. Теоретически возможно организовать атаку такой силы, что она «положит» сеть феде­рального оператора. Но это потребует фантасти­чески гигантского ресурса.

Естественно, максимально обезопасить компанию может только комплекс технологий, которые должны быть правильно настроены и — обязательно! — хорошо интегрирова­ны между собой. В 2013 году был нашумевший инцидент с Target, одним из крупнейших американских ритейлеров, когда были похи­щены данные платежных карт почти 40 млн покупателей. Ирония в том, что буквально за полгода до инцидента компания установила у себя мощное и дорогостоящее Anti-APT реше­ние. Оно работало в режиме детектирования, и оно сработало — сгенерировало сигнал об ата­ке. Но сообщение просто потерялось в потоке других предупреждений. Мораль: во-первых, мало только обнаружить угрозу, ее нужно блокировать; во-вторых, должна быть единая система управления всеми инструментами ИБ.

— Каковы, по вашим оценкам, тенденции разви­тия угроз в перспективе ближайших нескольких лет?

— В криминальной кибериндустрии будет продолжаться разделение труда, и стоимость организации атак будет снижаться. Поскольку эксплойты обновляются весьма оперативно, будет возрастать количество атак zero-day.

Удешевятся DDoS-атаки — в качестве ботов будут использоваться многочисленные устрой­ства IoT. Будет усложняться архитектура сетей, поэтому защищать придется не только пери­метр сети. В том числе продолжат возрастать угрозы безопасности мобильных устройств.

Вредоносы будут использовать все более изощренные технологии сокрытия. Так, например, мы все чаще сталкиваемся со сте­ганографией — в отличие от криптографии, направленной на сокрытие содержание по­слания, она направлена на сокрытие послания как такового. В одном из случаев, который нам пришлось анализировать, вредонос загружал модуль для своей работы на компьютеры пользователей через картинки. Это были обыч­ные картинки с легального сайта, где младшие биты каждого пикселя были заменены на биты вредоноса. Картинка скачивалась на зара­женную машину, и из этих битов собирался новый модуль для атаки. Такие технологии — новый вызов для ИБ-компаний. Но, обратите внимание, данная активность возникала, когда компьютер уже был заражен — лишний аргу­мент в пользу режима Prevention.

Поскольку человек — слабое звено, атаки через пользователя становятся все более рас­пространенными. И злоумышленники тут будут все более изобретательными. Зачем вламываться через окно, если кто-то пу­стит тебя через дверь? Пример: на адрес ген­директора одной компании пришло письмо, содержащее резюме очень востребованного специалиста, и гендиректор тут же пере­правил его в отдел HR. Между тем письмо содержало вредоносный код. Компании по­везло, что в тот момент в там тестировалось наше решение (пусть и на SPAN-порте), и оно обнаружило атаку.

— Поделитесь планами развития линейки «песочниц».

— Естественно, мы постоянно развиваем реше­ние SandBlast за счет совершенствования де­тектирования угроз и методов обхода средств защиты. И продолжаем придерживаться фило­софии блокировки угроз везде, где это возмож­но. В части SandBlast Agent мы расширяем воз­можности автоматического восстановления данных и устранения других последствий атаки.

Из новых продуктов могу отметить SandBlast Cloud, предназначенный для за­щиты компаний, развернувших корпоратив­ную почту на основе облачного сервиса Office 365. Почта защищается опять же в режиме Prevention: пользователь не получит пись­ма, пока мы не убедимся в его безопасности. Есть также варианты решений SandBlast для провайдеров облачных услуг. Пропуская тра­фик клиентов через инфраструктуру Check Point, провайдер сможет гарантировать, что они будут получать только чистый трафик. В России уже ведется ряд таких проектов.


Оставьте комментарий

Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: