Обзор решений по защите от таргетированных атак

Варианты исполнения

1.

Вариант исполнения решения

Hardware Appliance

(в RoadMap – сенсоры с поддержкой VMware)

Virtual Appliance (компонент DDI c поддержкой VMware и KVM)

Hardware Appliance

Hardware Appliance

Облачный сервис (при наличии шлюза Check Point Next Generation Threat Prevention (NGTP)/Next Generation Threat Extraction (NGTX))*

Защита облачной почты (SandBlast Cloud)

*C Q4 2016 поддерживается интеграция только с NGTX

Software (разворачивается на аппаратной или виртуальной платформах (поддержкаVMware)

В зависимости от инфраструктуры одни заказчики используют аппаратные решения, другие – виртуальные платформы. Есть и те, кто работает с облачным сервисом (файлы передаются на анализ в облако).

Каждый из этих вариантов имеет свои плюсы и минусы. Например, для аппаратных устройств, функционирующих в режиме блокировки, необходимо предусмотреть их отказоустойчивость. Кроме этого, при превышении пороговых значений (по трафику, по количеству анализируемых писем и т.д.) необходим переход на более старшую по производительности модель, что потребует дополнительных инвестиций. Для виртуальных устройств нужна поддержка виртуализации на аппаратном уровне. При работе с облачным сервисом тоже не все так просто. Многие заказчики принципиально не готовы отправлять файлы куда-то на анализ. Но при этом стоимость решения в этом случае будет на порядок ниже.

2.

Основные варианты интеграции

web

Мониторинг:

TAP

SPAN

Блокировка:

Inline

Мониторинг

TAP

SPAN

Мониторинг

TAP

SPAN

Блокировка

Inline

MTA

Мониторинг

SPAN

ICAP (односторонний)

Блокировка будет доступна в 2017 г. через интеграцию с Kaspersky Secure Web Gateway (KSWG)

email

Мониторинг

BCC

SPAN

Блокировка

MTA

Мониторинг

BCC

SPAN

Блокировка

MTA

Мониторинг

BCC

SMTP будет в версии от сентября 2016 г.

SMTP from SPAN (планируется в начале 2017 г.)

Блокировка  будет доступна в сентябре 2016 года через интеграцию с Kaspersky Secure Mail Gateway (KSMG)

С точки зрения анализа web-трафика, можно использовать режимы мониторинга (получение данных со SPAN-порта) или блокировки (установка Inline). В первом случае анализу подвергается копия трафика. При необходимости осуществляются автоматическая отправка TCP Reset, а также интеграция со сторонним сетевым оборудованием безопасности, например через SIEM. Во втором случае происходит не только обнаружение угроз и аномалий, но их немедленная блокировка.

Для анализа почтового трафика также можно использовать несколько режимов: мониторинг (BCC/SPAN) или блокировка (MTA). В режиме мониторинга анализируются копии электронных писем, отправляемых шлюзом MTA/Anti-spam. В режиме блокировки происходит установка решения «в разрыв» после существующего MTA/Anti-spam перед внешними корпоративными почтовыми серверами. Письма задерживаются на проверку, после прохождения проверки они либо пропускаются, либо отправляются в карантин.

Обычно для пилотного внедрения мы советуем использовать режимы мониторинга web-трафика и почты, так как они не оказывают влияния на существующую инфраструктуру заказчика, и, как следствие, заказчику значительно проще согласовать данный проект.

3.

Архитектура решения

Основные компоненты

NX – анализ web-трафика

EX – анализ почты

CM – система мониторинга и управления

HX – защита рабочих станций

DDI – анализ web-трафика

DDEI – анализ почты

Control Manager – централизованное управление

Office Scan, EndPoint Sensor- защита рабочих станций

SandBlast – анализ web-трафика, почты, проверка SSL трафика)

SandBlast Agent –защита рабочих станций

Сетевые сенсоры для сбора данных из трафика, прокси и почтовых серверов

Сенсоры для рабочих станций (совместимые легкие агенты)

Central Node – центр анализа

Sandbox – «песочница»

Дополнительные компоненты

FX – защита файловых серверов

AX – анализ и проведение расследований

PX – захват трафика

DDAn – внешняя «песочница»

InterScan Web Security – Secure Web Gateway для сбора данных и блокировки несанкционированных соединений

Рекомендуется использовать Check Point Security Gateway (NGTP/NGTX)

Kaspersky Private Security Network (KPSN) – локальная база репутаций для изолированных сетей (приватная инсталляция решений)

Kaspersky EndPoint Security (KES) – в сентябре 2016 г. опционально будет выполнять роль сенсора рабочих станций

KSMG для сбора данных и блокировки вредоносной активности в почте

KSWG для сбора данных и блокировки несанкционированных соединений

KEDR-агент (доступен с 2017 г.) для активного реагирования на рабочих местах и глубокого расследования инцидентов

Deception – дополнительные сенсоры несанкционированной активности внутри сети (next gen honeypot)

Threat Lookup – онлайн-интерфейс доступа к Threat Intelligence в рамках выявляемых инцидентов KATA

С точки зрения компонентов, есть возможность выбрать одно устройство для работы с web- и почтовым трафиком или несколько устройств для защиты этих каналов. Кроме этого, есть набор дополнительных компонентов, с помощью которых можно решить ряд специфических задач.

Покрытие каналов распространения угроз

4.

HTTP

Да

Да

Да

Да

5.

HTTPS

Требуется интеграция:

Стороннее решение (например, A10, F5 и др.)

Требуется интеграция:

Стороннее решение (например, A10, F5 и др.)

ICAP (Trend Micro InterScan Web Security и др.)

Да

Требуется интеграция:

Стороннее решение (например, A10, F5 и др.)

ICAP

Также стоит обратить внимание на необходимость работы с SSL-трафиком – его объемы постоянно растут. Поэтому требуются расшифровка и анализ на скрытые угрозы. Для этого одни решения предлагают интеграцию со сторонними продуктами, другие сами могут просматривать SSL.

6.

Web-приложения (соцсети, прочие)

Да

Да

Да

Да

7.

Мессенджеры

Да

Да

Да

Нет

8.

USB

Требуется наличие компонентов:

HX (только alerts, в RoadMap – protection)

Требуется интеграция:

сторонние решения (например, DeviceLock и др.)

Требуется наличие компонентов:

TrendMicro OfficeScan

Endpoint Sensor

Требуется наличие компонентов:

SandBlast Agent

Требуется наличие компонентов:

Cенсоры рабочих мест

В RoadMap:

интеграция с KES (сентябрь 2016 г.)

отсылка файлов в «песочницу» с рабочих мест посредством EDR-агента (2017 г.)

9.

SMTP

Да

Да

Да

Да

10.

FTP

Да

Да

Да

(через NGTP/NGTX)

Да

11.

DNS

Да

Да

Да

(через NGTP/NGTX)

Да

12.

IMAP

Да

Да

Да

(через NGTP/NGTX)

Нет

(В RoadMap: при возможности отправки копии писем)

13.

POP3

Да

Да

Да

Да

14.

CIFS

Да

Да

Да

Нет

15.

Дополнительные протоколы

Нет

Да

(около 75)

Нет

Нет

Стандартные протоколы (HTTP, SMTP, FTP, DNS, POP3) поддерживаются всеми вендорами. С одной стороны, этого может быть достаточно. Большинство атак осуществляется именно через них. Однако, если заказчик считает актуальным отслеживание угроз, осуществляемых через специфические протоколы, то имеет смысл обратить внимание и на это.

Средства анализа

16.

Тип эмулируемого подозрительного контента в «песочнице»

Отдельные файлы

Скрипты

Макросы

Проверка архивов с паролем, указанным в теле письма

Проверка web-ссылок в теле письма

Проверка укороченных ссылок в теле письма

Проверка web-ссылок в теле письма

В RoadMap:

проверка укороченных ссылок в теле письма

проверка архивов с паролем, указанным в письме

Проверка незапароленных архивов в теле письма

В RoadMap на Q4 2016:

проверка web-ссылок в теле письма

проверка архивов с паролем, указанным в теле письма

проверка архивов с паролем, по библиотеке распространенных паролей

Копия трафика

Мобильные приложения

С одной стороны, большинство заказчиков считают, что достаточно анализировать отдельные файлы для выявление атак zero-day. Но с другой, некоторые используют комплексный подход в анализе трафика для выявления наличия угроз и аномалий.

17.

Настройка/кастомизация «песочниц»

Нет

(образы преднастроены производителем, поддержка мультиверсионности ПО)

Да

(возможно создание своих собственных образов)

По запросу

По запросу

Одни заказчики хотят воссоздать абсолютно идентичную среду, что используется на предприятии (с конкретной ОС, набором ПО и т.д.), чтобы максимально приблизить эмулируемую среду к реальной. Другие утверждают, что стандартные образы позволяют выявлять аномалии ничуть не хуже. Кроме того, поддерживать кастомизированный образ «песочницы» в актуальном состоянии зачастую затруднительно.

18.

Используемые технологии эмуляции

Собственная платформа MVX

VirtualBox

Собственная платформа

KVM

19.

Система сокрытия работы в виртуальной среде (AntiVM evasion protection)

Да

(собственная технология)

Да

(за счет гибкой настройки образов VM,

API Hooking используется для перехвата запросов вредоносных приложений и возврата ложных значений относительно среды работы

Да

(собственная технология)

CPU-Level detection. Она позволяет детектировать эксплойты до того, как они используют методы обнаружения и обхода «песочниц»

Да

(собственная технология)

Производители по-разному подходят к созданию своих «песочниц»: одни используют собственные платформы, другие – существующие. В первом случае «песочницы» не имеют стандартных признаков виртуализации, свойственных современным гипервизорам. Во втором эти решения приобретают некоторые признаки виртуальных машин. Данный факт может фиксировать ВПО для обхода «песочницы». Для противодействия этому предусмотрена защита.

20.

Поддерживаемые ОС

Windows XP

Windows 7

Mac OS X

(модельный ряд ограничен)

Windows 10 (RoadMap)

Android (облако)

IOS (облако)

Windows 8

Windows 8.1

Windows Server 2003

Windows Server 2008

Windows 10 (RoadMap)

Windows 8.1

Windows 10 (RoadMap)

Android VM (в конце 2016 г.)

Windows 8,8.1,10 – в 2017 г.

Для проверки действий ВПО можно выбрать «песочницы» на основе разных ОС. Все вендоры поддерживают Windows XP и 7, что удовлетворяет потребности большинства заказчиков. Есть возможность выбрать решения с поддержкой серверных платформ, мобильных ОС.

21.

Поддерживаемые языки в ОС

Английский

Русский

Английский

Русский

Английский

Английский

(в RoadMap – Русский)

Некоторое ВПО не запускается на системах, обладающих определенными признаками. Например, если мы говорим о разработке целевых атак под российские компании, одним из возможных критериев, влияющим на поведение вредоносного ПО, будет русскоязычная ОС.

22.

Лицензии на Windows/Office в составе решения

Да

Нет

Да

Нет

23.

Возможность масштабирования по производительности

Да

Да

(кластеризацию поддерживает только дополнительный компонент DDAn)

Да

Нет

(в RoadMap – кластеризация «песочниц» – сентябрь 2016 г.)

Часть вендоров в составе решения уже предлагают лицензии на Windows/Office, для других – необходимо подгружать собственные. Заказчик может выбрать приемлемый для него вариант.

Если заказчику необходима большая производительность для анализа ВПО, это обеспечивается кластеризацией «песочниц».

Кастомизация процесса анализа

24.

Самостоятельная настройка критериев для анализа файлов/трафика в «песочнице»

Да

(YARA-правила)

Да

(порядка 4000 правил и их регулярное обновление/пополнение)

Нет

(в Threat Emulation возможно задать только типы файлов, отправляемых в «песочницы», а также защищаемые сети и исключения)

Ограниченно

(большинство логики поставляется автоматически исследователями компании в виде обновлений, они не требуют трудозатрат на наполнение ими системы от пользователей решения)

Некоторым заказчикам достаточно стандартных правил, по умолчанию встроенных в тот или иной продукт. Другие предпочитают самостоятельно настраивать решение. Для этого используют, в том числе, YARA-правила, необходимые для опознания и классификации ВПО при поиске индикаторов компрометации (IoC).

25.

Принудительное определение файлов как вредоносных в ручном режиме

Да

(YARA-правила или false negative методом исключения)

Да

(YARA-правила или

интеграция с Appllication Control посредством использования «черных» списков файлов)

Нет

Да

(YARA-правила)

В RoadMap «черные»/«белые» списки (сентябрь 2016 г.)

Все производители используют в своих решениях различные скоринговые модели анализа контента, которые позволяют выявлять вредоносное содержимое. Иными словами, в процессе анализа за каждое подозрительное действие начисляются штрафные очки. Если суммарный штраф превышает пороговое значение, то файл классифицируется как вредоносный.  Однако не все из производителей дают возможность самостоятельной до настройки этих моделей.

26.

Принудительная передача файлов на анализ в ручном режиме

Да

(требуется наличие дополнительных компонентов)

FireEye AX с возможностью дополнительного анализа через Yara и AutoIT или FireEye FX, через сканирование заданных файловых ресурсов

Да

(встроенная опция web-интерфейса с прямой отправкой файлов для анализа через компонент DDAn: отдельные файлы, архивы zip/rar, ссылки на файлы)

Да

(файл можно отправить на анализ на web-ресурс или на проверку непосредственно в устройство, используя CLI)

Да

Создание почтового аккаунта для ручного анализа файлов в «песочнице»

В RoadMap ручная отсылка файла на анализ в облачную «песочницу» отсылка файла на анализ через web-интерфейс

«Песочницы» поддерживают возможность вручную отправлять файлы на проверку, но делают это по-разному.

Методы обнаружения

27.

Анализ сетевого трафика на предмет аномалий, выявления бот-сетей

Да

Да

Да

Да

28.

Наличие агентского ПО

Да

(дополнительный компонент HX)

Да

(дополнительные компоненты Office Scan, Endpoint sensor)

Да

(дополнительный компонент SandBlast Agent)

Ограниченно (обнаружение).

Легкие агенты собирают информацию о процессах и сетевой активности.

В случае использования KESB (for Business) решения автоматически обмениваются вердиктами через KSN (Kaspersky Security Network)

В 2017 г. выйдет новая версия агента для карантинизации, реагирования и расследования

29.

Возможность изоляции скомпрометированной рабочей станции

Да

(требуется наличие дополнительного компонента-HX)

Нет

(в RoadMap включение функционала в Endpoint Sensor)

Да

(требуется наличие дополнительного компонента SandBlast Agent)

Нет

(в RoadMap: на 2017 г. с выходом агента EDR)

Один из векторов распространения угроз – рабочие станции. Для более глубокого анализа активности ВПО на конечных узлах и их защиты вендоры предлагают установку специальных агентов. При этом часть решений имеют возможность изоляции скомпрометированной рабочей станции для предотвращения дальнейшего распространения угрозы по сети.

30.

Поддерживаемые типы файлов для анализа

Исполняемые типы файлов

Офисные документы

Архивы

Скрипты

Аудио/видео-форматы

Графические

Мобильные приложения

Мобильные приложения

В RoadMap другие типы файлов

В RoadMap другие типы файлов

Данные решения поддерживают большое количество типов файлов, отправляемых в «песочницу» для анализа. Есть возможность выбрать стандартные расширения, установленные по умолчанию, а также добавить дополнительные.

31.

Противодействие «режиму сна»

Да

(ускорение системного времени, имитация работы пользователя)

Ограничено

(выявление)

Да

(ускорение системного времени, имитация работы пользователя)

Да

Часть злоумышленников, пытаясь обойти «песочницу», использует вариант с задержкой атаки по времени и действию пользователя. Для противодействия этому так называемому «режиму сна» вендоры предлагают свои технологии.

32.

Блокирование трафика, содержащего ВПО

Да

(в режиме Inline)

Да (почта в режиме Inline)

Требуется интеграция (web)

DDI может отправлять команду TCP RST для сброса сессии сторонним шлюзам, включая Palo Alto Networks, Blue Coat, Check Point Software Technologies и др.

Да

(в режиме Inline или при наличии NGTP/NGTX)

Нет

(в RoadMap в 2017 г.)

При установке «песочницы» в режиме Inline можно предотвратить попадание ВПО в сеть в режиме реального времени.

33.

С какими правами запускаются файлы в песочнице?

Admin

Файлы в «песочнице» запускаются с правами администратора, для того чтобы избежать срабатывания механизмов защиты, например, UAC. В противном случае при эмуляции действия ВПО остались бы незафиксированными и, как следствие, незамеченными.