Помочь разобраться в том, как реализована защита конечных точек в различных продуктах, мы попросили наших партнеров – производителей решений Anti-APT.
Алексей Белоглазов, системный инженер по России, СНГ и Восточной Европе FireEye, подробно рассказывает о решении FireEye HX:
Решение FireEye HX входит в состав платформы FireEye для защиты от АРТ и предназначено для обнаружения угроз на конечных устройствах. Архитектура HX состоит из двух компонентов. Аппаратное устройство-контроллер собирает данные со всех агентов и обеспечивает управление ими. Агентское программное обеспечение (ПО) обеспечивает защиту рабочих станций, а также сбор информации, необходимой для поиска индикаторов компроментации (IoC) и расследования инцидентов.
Установка и архитектура
Агент FireEye НХ – это ПО, которое предоставляется в формате MSI с конфигурационным файлом. Его можно устанавливать как вручную, так и с помощью корпоративных средств централизованного управления ПО на конечных станциях. Запускаемые агентом процессы в среднем потребляют не более 2–4% CPU и 50 Мб RAM. Верхний предел можно ограничить через сервер управления НХ. Для работы решения требуется аппаратный сервер серии НХ 4000. Их может быть несколько, для повышения отказоустойчивости.
Каждый агент записывает всю активность на конечном устройстве, включая создание записей в реестре, операции с файлами, сетевую активность и запуск процессов, в том числе загрузку DLL. Записи шифруются и хранятся в кэше агента в течение нескольких дней (глубина истории зависит от активности станции). В случае возникновения алерта данные из кэша могут быть выгружены администратором информационной безопасности (ИБ) для расследования инцидента на этом устройстве.
Аппаратный контроллер НХ обрабатывает все получаемые индикаторы компроментации (из облака FireEye DTI, от других устройств FireEye, из внешних источников), обновляет агентское ПО и предоставляет web-консоль управления для работы с алертами и проведения расследования.
Операционные системы
В настоящее время поддерживаются настольные версии Windows XP SP3 – Windows 10 (32/64 бит), серверные версии Windows Server 2003 R2/SP2 – Windows Server 2012 R2 (64 бит). До конца 2016 г. планируется обеспечить поддержку Mac OS X и наиболее популярных дистрибутивов Linux.
Совместимость с антивирусами
Для обеспечения совместимости с имеющимися антивирусами в руководстве администратора указаны процессы и каталоги, для которых необходимо настроить исключения через консоль управления корпоративным антивирусом, HIPS и др. При выполнении описанных рекомендаций конфликтов между решением и антивирусами не возникает.
Обучение агента
Агент автоматически получает все необходимые правила анализа и индикаторы компрометации (IoC) с обновлениями от других компонентов платформы FireEye, которые обнаруживают новые угрозы в трафике компании. Также можно настроить получение сторонних IoC через REST API.
Поиск маркеров компрометации
Поиск по новым IoC, сгенерированным «песочницей», осуществляется автоматически с подтверждением компрометации и отображением алерта и сведений о станции в центральной консоли управления (СМ). Кроме того, существует возможность добавления собственных IoC и выполнения проактивного корпоративного поиска по 70+ параметрам (Enterprise Search), что позволяет искать артефакты и признаки заражения, о которых можно узнать из сторонних источников и баз Threat Intelligence.
Карантин скомпрометированной станции
После подтверждения компрометации станции и экспресс-анализа произошедших на ней изменений и событий администратор ИБ может в два клика «мыши» изолировать станцию. При этом она сохраняет сетевой доступ к серверу управления НХ и другим разрешенным администраторам ресурсам, но все остальные подключения блокируются. Это позволяет остановить атаку и безопасно расследовать инцидент.
Совместимость с другими компонентами
Совместимость с другими компонентами решения построена по принципу двусторонней интеграции. Сервер НХ получает новые IoC автоматически от системы управления платформы FireEye (CM), которые формируются при обнаружении новых угроз в web-трафике, в корпоративной почте, на файловых хранилищах и др. IoC применяются агентами на всех станциях к записанной истории изменений и активности в ОС и обеспечивают автоматическое подтверждение компрометации станции. Эти сведения передаются в СМ и отображаются в web-интерфейсе на панели событий (dashboard) и в оригинальном алерте по обнаруженной угрозе. Таким образом, через несколько минут после компрометации станции администратор ИБ получает не только отчет о потенциальном заражении, но и подтверждение от агента и начинает расследование инцидента средствами НХ. Кроме того, в зависимости от типа лицензии обеспечивается различный уровень обмена данными об угрозах и IoC с облаком FireEye Dynamic Threat Intelligence (DTI). В случае однонаправленной лицензии все устройства и агенты получают новые правила анализа и IoC из облака. В случае двунаправленной лицензии устройства и агенты отправляют обнаруженные угрозы и результаты применения IoC в облако для их валидации и автоматического повышения уровня защиты всех клиентов FireEye.
Анализ файлов с флеш-носителей
В настоящий момент в продукте не предусмотрена отправка на анализ файлов, загружаемых с флеш-носителей. Но агент НХ способен самостоятельно (без «песочницы») обнаруживать новые (zero-day) эксплойты и вредоносные макросы в офисном ПО, web-браузерах и др. (Exploit Detection = ExD). В августе 2016 г. эти эксплойты можно будет блокировать (Exploit Prevention = ExP). Также до конца года планируется обеспечить интеграцию с «песочницей» для отправки исполняемых файлов на анализ. Однако мы рекомендуем блокировать исполняемые файлы на съемных носителях соответствующей политикой решений класса Host-AV/Device Lock/DLP.
Блокировка активностей вредоносов
Решение FireEye не предусматривает блокировки активности, свойственной уже задектированными «песочницей» вредоносам. Основные задачи агента: логирование истории изменений, обнаружение угрозы, оповещение, карантин, расследование, проактивный поиск. В случае АРТ крайне важно отследить все активности вредоносного ПО и злоумышленника для получения полной картины. Блокировка отдельных процессов позволит злоумышленнику изменить тактику и, возможно, в следующий раз остаться незамеченным.
Инструментарий для проведения расследования
Агент постоянно логирует все изменения на конечной станции (процессы, файловая система, реестр Windows, сетевые подключения, и др.) и хранит на станции локальный кэш размером до 500 Мб, что обеспечивает в среднем до 7 дней истории событий. Все логи постоянно проверяются по IoC, эта же база используется для оперативного корпоративного поиска. Сразу после обнаружения нового эксплойта (ExD) или совпадения IoC агент формирует дамп соответствующих логов событий (Triage), который включает сведения об активности процессов, связанных со взломом, до и после обнаруженной угрозы. Специалист ИБ анализирует содержимое Triage в визуальном редакторе и принимает решение о карантине станции. Для детального расследования агент позволяет удаленно выгружать со станции файлы, дампы логов по любым процессам и событиям, историю команд shell, дампы оперативной памяти, жесткого диска и др.
Устранение последствий заражения
На скомпрометированной рабочей станции не предусмотрено устранение последствий заражения. По нашему мнению, лечение не эффективно в случае rootkit и bootkit. Кроме того, лечение уничтожает ценные артефакты, которые мог оставить злоумышленник и которые очень важны при расследовании инцидента. По окончании расследования устранение последствий выполняется средствами ИТ и ИБ: блокировка скомпрометированных учетных записей, восстановление станции из резервной копии (в случае bootkit с предварительным форматированием жесткого диска), внутреннее сегментирование ЛВС, ужесточение политик доступа на уровне приложений и пользователей и др.