© 1995-2021 Компания «Инфосистемы Джет»
Векторы угроз ИБ и походы к защите от атак «нулевого дня»
Информационная безопасность

О векторах угроз ИБ, подходах к защите и других вопросах ИБ мы беседуем с Сергеем Невструевым, руководителем направления защиты от угроз «нулевого дня» компании Check Point SoftwareTechnologies в Восточной Европе.

19.08.2017

Посетителей: 72

Просмотров: 63

Время просмотра: 2.1 мин.

О векторах угроз ИБ, подходах к защите и других вопросах ИБ мы беседуем с Сергеем Невструевым, руководителем направления защиты от угроз «нулевого дня» компании Check Point SoftwareTechnologies в Восточной Европе.

  

— Угрозы «нулевого дня» — тема как нельзя более актуальная. Каковы сей­час ключевые проблемы и решения в этой сфере?

— Сегодня в распоряже­нии злоумышленников достаточно средств, позволяющих изменять атаку на лету — это различные генерато­ры кода, обфускаторы, переупаковщики и т.д., и т.п. Чтобы ими воспользоваться, злоумышленнику уже не обязательно быть специалистом в сфере программирования. В криминальной кибериндустрии уже дав­но существует разделение труда, и к услугам начинающего взломщика все необходимые инструменты для атаки, разработанные вы­сококвалифицированными хакерами. Есть даже криминальные сервисы, такие как, на­пример, ransomware-as-a-service — готовые инфраструктуры для заражения, шифрования и сбора денег, куда остается только подгрузить нужные адреса. Новейшие exploit kits, которые эксплуатируют уязвимости последних версий ПО, можно получать по подписке. А главное, снижается стоимость организации атаки. Таким образом, вероятность того, что вам при­дется иметь дело с вредоносом, который еще не известен производителям средств защиты, становится все выше.

Наилучший сегодня способ защиты от неиз­вестных угроз — эмуляция, т.е. развертывание виртуальной среды («песочницы»), имитиру­ющей работу реальной машины. Когда в нее попадает некий неизвестный файл или до­кумент — потенциальный вредонос, мы можем наблюдать за его поведением без риска для ра­бочей среды и в результате понять, действительно ли файл является вредоносным. Между тем злоумышленники тоже не дремлют и находят способы обхода «песочниц». На сегод­ня таких способов уже довольно много, наибо­лее распространенных — три.

 

Первый способ — распознать виртуаль­ную машину по ряду прямых или косвенных признаков, например, исследуя ключи реестра или аппаратное окружение. Второй — определить наличие пользователя — челове­ка, в том числе отслеживая движения мыши, изменение скорости скроллинга в зависимости от контента и пр. Третий — за­держка по времени. Эмуляция в «песочнице» не может длиться вечно, поэтому вредонос начинает свою активность с отсрочкой. Хотя любая современная «песочница» ускоря­ет системный таймер («песочница» Check Point, например, на несколько порядков), вредонос может использовать свой внутрен­ний таймер и все равно обеспечивать задерж­ку по времени.

 

Что же делать? Наш ответ: обнаружить вре­доносный код на ранней стадии исполнения, еще до того как запущен любой алгоритм обхо­да песочницы. Для этого нами разработана тех­нология детектирования аномалий на уровне выполнения инструкций процессора — CPU-Level detection. Ее использование в «песочни­цах» SandBlast дает высочайший уровень детек­тирования атак, что подтверждается тестами средств защиты от угроз «нулевого дня» Breach Detection System (BDS) от NSS Labs. Естественно, CPU-Level detection — не единственная при­меняемая технология, есть целый ряд других, в том числе статический и поведенческий анализ, машинное обучение и др.

— Вы говорите о «песочнице» как о наилучшем способе защиты от неизвестных угроз. А что вы думаете о такой технологии, как Honeypot — приманке для злоумышленников?

— Honeypot — тоже полезное решение, оно позволяет изучить методы взломщиков. Но ре­альность такова, угрозы, как я уже говорил, меняются на лету. Например, вы надеетесь, что обнаружив первое письмо с ранее неизвестным вредоносным кодом, вы сможете заблокировать все последующие. Однако второго такого же вредоноса не будет, вы получите письмо с дру­гим, который немного, но отличается, по­скольку практически любая атака использует средства модификации.

 

И потом, Honeypot — средство детектирова­ния, причем отсроченного: он сперва собирает информацию, потом анализирует и после этого выдает результат. Он не посылает мгновен­ный сигнал тревоги. В случае, если атака идет на одно устройство или на одного человека, она вообще останется невидимой для Honeypot. Наша задача — блокировать каждый вредонос­ный файл, даже неизвестный, до того как он по­падет к пользователю.

— Это давний спор, что правильнее: блокировать потенциальную угрозу (использовать режим Prevention) или обнаруживать и отслеживать (режим Detection). Gartner, например, счита­ет, что к 2020 году приоритетом заказчиков средств защиты будет именно усиление возмож­ностей обнаружения и реагирования.

— Не стану спорить с Gartner, однако, согласи­тесь, блокировки без обнаружения не бывает. Что значит режим Prevention? Это значит, что файл удерживается на некоторое время, в те­чение которого выполняется детектирование. Пока в отношении файла не вынесен вердикт, что он «чистый», его нельзя отдавать пользова­телю — это философия Check Point.

 

Да, проблема в том, что эмуляция требует времени, а пользователь не хочет ждать. Но, во-первых, у нас реализована одна из самых быстрых и точных эмуляций в индустрии ИБ. Вердикт в отношении исследуемого файла вы­носится не больше чем за 4 минуты, а в сред­нем — за 2 минуты.

 

Но и этот срок некоторым кажется слиш­ком долгим. Поэтому, во-вторых, у Check Point есть технология, которая решает проблему ожидания и в то же время сводит на нет риски доставки вредоносного кода — Threat Extraction. Она состоит в том, что из документа мгновенно удаляется все потенциально опасное содер­жимое (макросы, определенные поля и т.п.), а также анализируются содержащиеся в нем ссылки. Пользователь получает безопасную копию документа, например, файл, конвер­тированный из формата Word в PDF. Если пользователю необходимо редактировать этот документ, он может воспользоваться ссылкой на оригинал, содержащейся в том же письме, но не раньше, чем безопасность оригинала будет подтверждена. А если тот же документ придет повторно, пользователь получит его уже сразу.

— То есть если «песочница» не сможет вынести однозначный вердикт о чистоте файла, пользо­ватель его вообще не получит?

— В принципе, это вопрос настроек. Предпо­ложим, пришло письмо с зашифрованным архивом с паролем. В SandBlast есть технология, позволяющая раскрыть и такие архивы, хотя это возможно не всегда. Если архив проанали­зировать не удалось, администратор может раз­решить отправить получателю этот файл. Но мы настоятельно рекомендуем в подобных случаях доставку блокировать. Потенциально — это ложное срабатывание. Если человеку нужен это файл, он идет к администратору безопас­ности, и тот уже разбирается с файлом вруч­ную. Однако лучше такое разбирательство, чем устранение последствий реализованной атаки.

 

К тому же «песочница» — только одна ступень в комплексе технологий превентивной защиты в семействе SandBlast. Алгоритм проверки мно­гостадийный. Поскольку эмуляция — процесс относительно дорогой, она применяется в том случае, когда другие способы не дали результа­та. Кроме того, «песочница» не всегда эффектив­на в случае бесфайловых атак, для их распозна­вания задействуются другие методы.

— Расскажите об особенностях защиты пользо­вательских устройств. Каковы здесь возможно­сти технологий эмуляции?

— Защиты на периметре корпоративной сети уже недостаточно, есть угрозы, от которых шлюзы безопасности не спасают. Прежде всего это случаи, когда вредонос уже проник в сеть и начинает распространяться гори­зонтально — от компьютера к компьютеру. Для предотвращения горизонтального рас­пространения вредоносного ПО можно ис­пользовать технологии микросегментации, но внутри сегмента проблема сохраняется. Поэтому мы предлагаем продукт для защи­ты рабочих станций — SandBlast Agent.

 

Другие потенциальные угрозы, от которых необходима защита на уровне рабочих станций, — это использование съемных носителей, частое обращение к опреде­ленным web-сайтам, а также выход в Интер­нет за пределами периметра корпоративной сети — здесь можно вспомнить такой харак­терный пример, как устройства Pineapple для перехвата Wi-Fi трафика.

 

SandBlast Agent устанавливается непо­средственно на рабочую станцию и действует по принципу «песочницы»: перед тем как пользователь сохранит неизвестный файл из Интернета, файл будет временно заблоки­рован и проверен. Чтобы не создавать дополнительную нагрузку на рабочую станцию, проверка осуществляется либо в облаке Check Point, либо на устройстве SandBlast, используе­мом в организации.

Кибератаки — это бизнес со своей экономикой: атака должна окупаться. Если этого не происходит, она утрачивает смысл.

На случай, если вредонос все-таки про­ник на рабочую станцию, в SandBlast Agent содержатся инструменты post-infection. На­пример, антибот позаботиться о том, чтобы зараженная машина не вела подозрительную сетевую активность. Поведенческий анализатор остановит подозрительную активность, так что если файлы на рабочей станции начнут несанкционированно шифроваться, SandBlast Agent остановит это процесс и вернет файлы к исходному состоянию.

 

Кроме того, SandBlast Agent отслеживает и сохраняет (в течение долгого времени, например, месяцев) информацию обо всех событиях на рабочей станции. В случае обнаружения угрозы будет автоматически создан подробный и удобный отчет о ее происхождении и раз­витии. Это существенно помогает при прове­дении анализа атаки и расследования, если та­ковое будет необходимо. Даже если вредонос уничтожил все следы, у нас все равно останется информация о том, откуда он появился и как действовал.

 

Это важное преимущество. Традиционный способ анализа инцидента (т.е. вручную) требует просмотра сотен мегабайт логов, и что­бы разобраться в них, эксперт должен обладать высочайшей квалификацией. А потратив уйму времени на построение отчета, вы все равно не будете до конца уверены, что не упустили какую-то ветку вредоносного процесса.

— Обещаете 100-процентную безопасность?

— 100-процентной безопасности никто и никог­да гарантировать не может. Наша задача — сде­лать атаку максимально дорогой и сложной для злоумышленника, настолько, чтобы ему было проще отказаться от попыток вас взломать. Кибератаки — это бизнес со своей экономикой: атака должна окупаться. Если этого не проис­ходит, она утрачивает смысл. Возьмем, пример, DDoS. Теоретически возможно организовать атаку такой силы, что она «положит» сеть феде­рального оператора. Но это потребует фантасти­чески гигантского ресурса.

 

Естественно, максимально обезопасить компанию может только комплекс технологий, которые должны быть правильно настроены и — обязательно! — хорошо интегрирова­ны между собой. В 2013 году был нашумевший инцидент с Target, одним из крупнейших американских ритейлеров, когда были похи­щены данные платежных карт почти 40 млн покупателей. Ирония в том, что буквально за полгода до инцидента компания установила у себя мощное и дорогостоящее Anti-APT реше­ние. Оно работало в режиме детектирования, и оно сработало — сгенерировало сигнал об ата­ке. Но сообщение просто потерялось в потоке других предупреждений. Мораль: во-первых, мало только обнаружить угрозу, ее нужно блокировать; во-вторых, должна быть единая система управления всеми инструментами ИБ.

— Каковы, по вашим оценкам, тенденции разви­тия угроз в перспективе ближайших нескольких лет?

— В криминальной кибериндустрии будет продолжаться разделение труда, и стоимость организации атак будет снижаться. Поскольку эксплойты обновляются весьма оперативно, будет возрастать количество атак zero-day.

 

Удешевятся DDoS-атаки — в качестве ботов будут использоваться многочисленные устрой­ства IoT. Будет усложняться архитектура сетей, поэтому защищать придется не только пери­метр сети. В том числе продолжат возрастать угрозы безопасности мобильных устройств.

 

Вредоносы будут использовать все более изощренные технологии сокрытия. Так, например, мы все чаще сталкиваемся со сте­ганографией — в отличие от криптографии, направленной на сокрытие содержание по­слания, она направлена на сокрытие послания как такового. В одном из случаев, который нам пришлось анализировать, вредонос загружал модуль для своей работы на компьютеры пользователей через картинки. Это были обыч­ные картинки с легального сайта, где младшие биты каждого пикселя были заменены на биты вредоноса. Картинка скачивалась на зара­женную машину, и из этих битов собирался новый модуль для атаки. Такие технологии — новый вызов для ИБ-компаний. Но, обратите внимание, данная активность возникала, когда компьютер уже был заражен — лишний аргу­мент в пользу режима Prevention.

 

Поскольку человек — слабое звено, атаки через пользователя становятся все более рас­пространенными. И злоумышленники тут будут все более изобретательными. Зачем вламываться через окно, если кто-то пу­стит тебя через дверь? Пример: на адрес ген­директора одной компании пришло письмо, содержащее резюме очень востребованного специалиста, и гендиректор тут же пере­правил его в отдел HR. Между тем письмо содержало вредоносный код. Компании по­везло, что в тот момент в там тестировалось наше решение (пусть и на SPAN-порте), и оно обнаружило атаку.

— Поделитесь планами развития линейки «песочниц».

— Естественно, мы постоянно развиваем реше­ние SandBlast за счет совершенствования де­тектирования угроз и методов обхода средств защиты. И продолжаем придерживаться фило­софии блокировки угроз везде, где это возмож­но. В части SandBlast Agent мы расширяем воз­можности автоматического восстановления данных и устранения других последствий атаки.

 

Из новых продуктов могу отметить SandBlast Cloud, предназначенный для за­щиты компаний, развернувших корпоратив­ную почту на основе облачного сервиса Office 365. Почта защищается опять же в режиме Prevention: пользователь не получит пись­ма, пока мы не убедимся в его безопасности. Есть также варианты решений SandBlast для провайдеров облачных услуг. Пропуская тра­фик клиентов через инфраструктуру Check Point, провайдер сможет гарантировать, что они будут получать только чистый трафик. В России уже ведется ряд таких проектов.

Уведомления об обновлении тем – в вашей почте

Мошенничество в программах лояльности

Почему мошенников привлекают программы лояльности? Как похищают бонусные баллы? Этапы создания защищенного онлайн-сервиса?

Современные проблемы информационной безопасности

Проблемы информационной безопасности, разумеется, существуют не только в компьютерном, виртуальном, но и в реальном, «физическом» мире (хотя, конечно, там они не носят столь масштабный, всепроникающий характер). Любопытно и, на наш взгляд, ...

Защита от кибератак: расшифровка SSL

Материал посвящен расшифровке SSL/TLS-трафика и его доставке на устройства анализа с примерами от вендоров

Философия защиты

В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

Контентная фильтрация

В последние годы специалисты в области информационной безопасности (ИБ) большое внимание уделяют контентной фильтрации. Происходит это потому, что современные угрозы ИБ невозможно устранить без применения данной технологии. Обоснование этого ...

Новый подход к защите информации — системы обнаружения компьютерных угроз

Системы обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Кибератаки на критическую инфраструктуру — миф или реальность?

Число кибератак на промышленные системы растет. Если недавно эта проблема носила умозрительный характер, сейчас она приобрела реальные очертания. Причем нарушение промышленной безопасности чревато последствиями, далеко выходящими за рамки финансового ущерба и потери деловой репутации.

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня