Подписаться
Читать в телеграм
«Наша задача — сделать атаку максимально дорогой и сложной для злоумышленника»
Дата публикации:
19.08.2017
Посетителей:
428
Просмотров:
363
Время просмотра:
2.3
О векторах угроз ИБ, подходах к защите и других вопросах ИБ мы беседуем с Сергеем Невструевым, руководителем направления защиты от угроз «нулевого дня» компании Check Point SoftwareTechnologies в Восточной Европе.
— Угрозы «нулевого дня» — тема как нельзя более актуальная. Каковы сейчас ключевые проблемы и решения в этой сфере?
— Сегодня в распоряжении злоумышленников достаточно средств, позволяющих изменять атаку на лету — это различные генераторы кода, обфускаторы, переупаковщики и т.д., и т.п. Чтобы ими воспользоваться, злоумышленнику уже не обязательно быть специалистом в сфере программирования. В криминальной кибериндустрии уже давно существует разделение труда, и к услугам начинающего взломщика все необходимые инструменты для атаки, разработанные высококвалифицированными хакерами. Есть даже криминальные сервисы, такие как, например, ransomware-as-a-service — готовые инфраструктуры для заражения, шифрования и сбора денег, куда остается только подгрузить нужные адреса. Новейшие exploit kits, которые эксплуатируют уязвимости последних версий ПО, можно получать по подписке. А главное, снижается стоимость организации атаки. Таким образом, вероятность того, что вам придется иметь дело с вредоносом, который еще не известен производителям средств защиты, становится все выше.
Наилучший сегодня способ защиты от неизвестных угроз — эмуляция, т.е. развертывание виртуальной среды («песочницы»), имитирующей работу реальной машины. Когда в нее попадает некий неизвестный файл или документ — потенциальный вредонос, мы можем наблюдать за его поведением без риска для рабочей среды и в результате понять, действительно ли файл является вредоносным. Между тем злоумышленники тоже не дремлют и находят способы обхода «песочниц». На сегодня таких способов уже довольно много, наиболее распространенных — три.
Первый способ — распознать виртуальную машину по ряду прямых или косвенных признаков, например, исследуя ключи реестра или аппаратное окружение. Второй — определить наличие пользователя — человека, в том числе отслеживая движения мыши, изменение скорости скроллинга в зависимости от контента и пр. Третий — задержка по времени. Эмуляция в «песочнице» не может длиться вечно, поэтому вредонос начинает свою активность с отсрочкой. Хотя любая современная «песочница» ускоряет системный таймер («песочница» Check Point, например, на несколько порядков), вредонос может использовать свой внутренний таймер и все равно обеспечивать задержку по времени.
Что же делать? Наш ответ: обнаружить вредоносный код на ранней стадии исполнения, еще до того как запущен любой алгоритм обхода песочницы. Для этого нами разработана технология детектирования аномалий на уровне выполнения инструкций процессора — CPU-Level detection. Ее использование в «песочницах» SandBlast дает высочайший уровень детектирования атак, что подтверждается тестами средств защиты от угроз «нулевого дня» Breach Detection System (BDS) от NSS Labs. Естественно, CPU-Level detection — не единственная применяемая технология, есть целый ряд других, в том числе статический и поведенческий анализ, машинное обучение и др.
— Вы говорите о «песочнице» как о наилучшем способе защиты от неизвестных угроз. А что вы думаете о такой технологии, как Honeypot — приманке для злоумышленников?
— Honeypot — тоже полезное решение, оно позволяет изучить методы взломщиков. Но реальность такова, угрозы, как я уже говорил, меняются на лету. Например, вы надеетесь, что обнаружив первое письмо с ранее неизвестным вредоносным кодом, вы сможете заблокировать все последующие. Однако второго такого же вредоноса не будет, вы получите письмо с другим, который немного, но отличается, поскольку практически любая атака использует средства модификации.
И потом, Honeypot — средство детектирования, причем отсроченного: он сперва собирает информацию, потом анализирует и после этого выдает результат. Он не посылает мгновенный сигнал тревоги. В случае, если атака идет на одно устройство или на одного человека, она вообще останется невидимой для Honeypot. Наша задача — блокировать каждый вредоносный файл, даже неизвестный, до того как он попадет к пользователю.
— Это давний спор, что правильнее: блокировать потенциальную угрозу (использовать режим Prevention) или обнаруживать и отслеживать (режим Detection). Gartner, например, считает, что к 2020 году приоритетом заказчиков средств защиты будет именно усиление возможностей обнаружения и реагирования.
— Не стану спорить с Gartner, однако, согласитесь, блокировки без обнаружения не бывает. Что значит режим Prevention? Это значит, что файл удерживается на некоторое время, в течение которого выполняется детектирование. Пока в отношении файла не вынесен вердикт, что он «чистый», его нельзя отдавать пользователю — это философия Check Point.
Да, проблема в том, что эмуляция требует времени, а пользователь не хочет ждать. Но, во-первых, у нас реализована одна из самых быстрых и точных эмуляций в индустрии ИБ. Вердикт в отношении исследуемого файла выносится не больше чем за 4 минуты, а в среднем — за 2 минуты.
Но и этот срок некоторым кажется слишком долгим. Поэтому, во-вторых, у Check Point есть технология, которая решает проблему ожидания и в то же время сводит на нет риски доставки вредоносного кода — Threat Extraction. Она состоит в том, что из документа мгновенно удаляется все потенциально опасное содержимое (макросы, определенные поля и т.п.), а также анализируются содержащиеся в нем ссылки. Пользователь получает безопасную копию документа, например, файл, конвертированный из формата Word в PDF. Если пользователю необходимо редактировать этот документ, он может воспользоваться ссылкой на оригинал, содержащейся в том же письме, но не раньше, чем безопасность оригинала будет подтверждена. А если тот же документ придет повторно, пользователь получит его уже сразу.
— То есть если «песочница» не сможет вынести однозначный вердикт о чистоте файла, пользователь его вообще не получит?
— В принципе, это вопрос настроек. Предположим, пришло письмо с зашифрованным архивом с паролем. В SandBlast есть технология, позволяющая раскрыть и такие архивы, хотя это возможно не всегда. Если архив проанализировать не удалось, администратор может разрешить отправить получателю этот файл. Но мы настоятельно рекомендуем в подобных случаях доставку блокировать. Потенциально — это ложное срабатывание. Если человеку нужен это файл, он идет к администратору безопасности, и тот уже разбирается с файлом вручную. Однако лучше такое разбирательство, чем устранение последствий реализованной атаки.
К тому же «песочница» — только одна ступень в комплексе технологий превентивной защиты в семействе SandBlast. Алгоритм проверки многостадийный. Поскольку эмуляция — процесс относительно дорогой, она применяется в том случае, когда другие способы не дали результата. Кроме того, «песочница» не всегда эффективна в случае бесфайловых атак, для их распознавания задействуются другие методы.
— Расскажите об особенностях защиты пользовательских устройств. Каковы здесь возможности технологий эмуляции?
— Защиты на периметре корпоративной сети уже недостаточно, есть угрозы, от которых шлюзы безопасности не спасают. Прежде всего это случаи, когда вредонос уже проник в сеть и начинает распространяться горизонтально — от компьютера к компьютеру. Для предотвращения горизонтального распространения вредоносного ПО можно использовать технологии микросегментации, но внутри сегмента проблема сохраняется. Поэтому мы предлагаем продукт для защиты рабочих станций — SandBlast Agent.
Другие потенциальные угрозы, от которых необходима защита на уровне рабочих станций, — это использование съемных носителей, частое обращение к определенным web-сайтам, а также выход в Интернет за пределами периметра корпоративной сети — здесь можно вспомнить такой характерный пример, как устройства Pineapple для перехвата Wi-Fi трафика.
SandBlast Agent устанавливается непосредственно на рабочую станцию и действует по принципу «песочницы»: перед тем как пользователь сохранит неизвестный файл из Интернета, файл будет временно заблокирован и проверен. Чтобы не создавать дополнительную нагрузку на рабочую станцию, проверка осуществляется либо в облаке Check Point, либо на устройстве SandBlast, используемом в организации.
Кибератаки — это бизнес со своей экономикой: атака должна окупаться. Если этого не происходит, она утрачивает смысл.
На случай, если вредонос все-таки проник на рабочую станцию, в SandBlast Agent содержатся инструменты post-infection. Например, антибот позаботиться о том, чтобы зараженная машина не вела подозрительную сетевую активность. Поведенческий анализатор остановит подозрительную активность, так что если файлы на рабочей станции начнут несанкционированно шифроваться, SandBlast Agent остановит это процесс и вернет файлы к исходному состоянию.
Кроме того, SandBlast Agent отслеживает и сохраняет (в течение долгого времени, например, месяцев) информацию обо всех событиях на рабочей станции. В случае обнаружения угрозы будет автоматически создан подробный и удобный отчет о ее происхождении и развитии. Это существенно помогает при проведении анализа атаки и расследования, если таковое будет необходимо. Даже если вредонос уничтожил все следы, у нас все равно останется информация о том, откуда он появился и как действовал.
Это важное преимущество. Традиционный способ анализа инцидента (т.е. вручную) требует просмотра сотен мегабайт логов, и чтобы разобраться в них, эксперт должен обладать высочайшей квалификацией. А потратив уйму времени на построение отчета, вы все равно не будете до конца уверены, что не упустили какую-то ветку вредоносного процесса.
— Обещаете 100-процентную безопасность?
— 100-процентной безопасности никто и никогда гарантировать не может. Наша задача — сделать атаку максимально дорогой и сложной для злоумышленника, настолько, чтобы ему было проще отказаться от попыток вас взломать. Кибератаки — это бизнес со своей экономикой: атака должна окупаться. Если этого не происходит, она утрачивает смысл. Возьмем, пример, DDoS. Теоретически возможно организовать атаку такой силы, что она «положит» сеть федерального оператора. Но это потребует фантастически гигантского ресурса.
Естественно, максимально обезопасить компанию может только комплекс технологий, которые должны быть правильно настроены и — обязательно! — хорошо интегрированы между собой. В 2013 году был нашумевший инцидент с Target, одним из крупнейших американских ритейлеров, когда были похищены данные платежных карт почти 40 млн покупателей. Ирония в том, что буквально за полгода до инцидента компания установила у себя мощное и дорогостоящее Anti-APT решение. Оно работало в режиме детектирования, и оно сработало — сгенерировало сигнал об атаке. Но сообщение просто потерялось в потоке других предупреждений. Мораль: во-первых, мало только обнаружить угрозу, ее нужно блокировать; во-вторых, должна быть единая система управления всеми инструментами ИБ.
— Каковы, по вашим оценкам, тенденции развития угроз в перспективе ближайших нескольких лет?
— В криминальной кибериндустрии будет продолжаться разделение труда, и стоимость организации атак будет снижаться. Поскольку эксплойты обновляются весьма оперативно, будет возрастать количество атак zero-day.
Удешевятся DDoS-атаки — в качестве ботов будут использоваться многочисленные устройства IoT. Будет усложняться архитектура сетей, поэтому защищать придется не только периметр сети. В том числе продолжат возрастать угрозы безопасности мобильных устройств.
Вредоносы будут использовать все более изощренные технологии сокрытия. Так, например, мы все чаще сталкиваемся со стеганографией — в отличие от криптографии, направленной на сокрытие содержание послания, она направлена на сокрытие послания как такового. В одном из случаев, который нам пришлось анализировать, вредонос загружал модуль для своей работы на компьютеры пользователей через картинки. Это были обычные картинки с легального сайта, где младшие биты каждого пикселя были заменены на биты вредоноса. Картинка скачивалась на зараженную машину, и из этих битов собирался новый модуль для атаки. Такие технологии — новый вызов для ИБ-компаний. Но, обратите внимание, данная активность возникала, когда компьютер уже был заражен — лишний аргумент в пользу режима Prevention.
Поскольку человек — слабое звено, атаки через пользователя становятся все более распространенными. И злоумышленники тут будут все более изобретательными. Зачем вламываться через окно, если кто-то пустит тебя через дверь? Пример: на адрес гендиректора одной компании пришло письмо, содержащее резюме очень востребованного специалиста, и гендиректор тут же переправил его в отдел HR. Между тем письмо содержало вредоносный код. Компании повезло, что в тот момент в там тестировалось наше решение (пусть и на SPAN-порте), и оно обнаружило атаку.
— Поделитесь планами развития линейки «песочниц».
— Естественно, мы постоянно развиваем решение SandBlast за счет совершенствования детектирования угроз и методов обхода средств защиты. И продолжаем придерживаться философии блокировки угроз везде, где это возможно. В части SandBlast Agent мы расширяем возможности автоматического восстановления данных и устранения других последствий атаки.
Из новых продуктов могу отметить SandBlast Cloud, предназначенный для защиты компаний, развернувших корпоративную почту на основе облачного сервиса Office 365. Почта защищается опять же в режиме Prevention: пользователь не получит письма, пока мы не убедимся в его безопасности. Есть также варианты решений SandBlast для провайдеров облачных услуг. Пропуская трафик клиентов через инфраструктуру Check Point, провайдер сможет гарантировать, что они будут получать только чистый трафик. В России уже ведется ряд таких проектов.
