«Наша задача — сделать атаку максимально дорогой и сложной для злоумышленника»

Наилучший сегодня способ защиты от неиз­вестных угроз — эмуляция, т.е. развертывание виртуальной среды («песочницы»), имитиру­ющей работу реальной машины. Когда в нее попадает некий неизвестный файл или до­кумент — потенциальный вредонос, мы можем наблюдать за его поведением без риска для ра­бочей среды и в результате понять, действительно ли файл является вредоносным. Между тем злоумышленники тоже не дремлют и находят способы обхода «песочниц». На сегод­ня таких способов уже довольно много, наибо­лее распространенных — три.

Первый способ — распознать виртуаль­ную машину по ряду прямых или косвенных признаков, например, исследуя ключи реестра или аппаратное окружение. Второй — определить наличие пользователя — челове­ка, в том числе отслеживая движения мыши, изменение скорости скроллинга в зависимости от контента и пр. Третий — за­держка по времени. Эмуляция в «песочнице» не может длиться вечно, поэтому вредонос начинает свою активность с отсрочкой. Хотя любая современная «песочница» ускоря­ет системный таймер («песочница» Check Point, например, на несколько порядков), вредонос может использовать свой внутрен­ний таймер и все равно обеспечивать задерж­ку по времени.

Что же делать? Наш ответ: обнаружить вре­доносный код на ранней стадии исполнения, еще до того как запущен любой алгоритм обхо­да песочницы. Для этого нами разработана тех­нология детектирования аномалий на уровне выполнения инструкций процессора — CPU-Level detection. Ее использование в «песочни­цах» SandBlast дает высочайший уровень детек­тирования атак, что подтверждается тестами средств защиты от угроз «нулевого дня» Breach Detection System (BDS) от NSS Labs. Естественно, CPU-Level detection — не единственная при­меняемая технология, есть целый ряд других, в том числе статический и поведенческий анализ, машинное обучение и др.

— Honeypot — тоже полезное решение, оно позволяет изучить методы взломщиков. Но ре­альность такова, угрозы, как я уже говорил, меняются на лету. Например, вы надеетесь, что обнаружив первое письмо с ранее неизвестным вредоносным кодом, вы сможете заблокировать все последующие. Однако второго такого же вредоноса не будет, вы получите письмо с дру­гим, который немного, но отличается, по­скольку практически любая атака использует средства модификации.

И потом, Honeypot — средство детектирова­ния, причем отсроченного: он сперва собирает информацию, потом анализирует и после этого выдает результат. Он не посылает мгновен­ный сигнал тревоги. В случае, если атака идет на одно устройство или на одного человека, она вообще останется невидимой для Honeypot. Наша задача — блокировать каждый вредонос­ный файл, даже неизвестный, до того как он по­падет к пользователю.

— Не стану спорить с Gartner, однако, согласи­тесь, блокировки без обнаружения не бывает. Что значит режим Prevention? Это значит, что файл удерживается на некоторое время, в те­чение которого выполняется детектирование. Пока в отношении файла не вынесен вердикт, что он «чистый», его нельзя отдавать пользова­телю — это философия Check Point.

Да, проблема в том, что эмуляция требует времени, а пользователь не хочет ждать. Но, во-первых, у нас реализована одна из самых быстрых и точных эмуляций в индустрии ИБ. Вердикт в отношении исследуемого файла вы­носится не больше чем за 4 минуты, а в сред­нем — за 2 минуты.

Но и этот срок некоторым кажется слиш­ком долгим. Поэтому, во-вторых, у Check Point есть технология, которая решает проблему ожидания и в то же время сводит на нет риски доставки вредоносного кода — Threat Extraction. Она состоит в том, что из документа мгновенно удаляется все потенциально опасное содер­жимое (макросы, определенные поля и т.п.), а также анализируются содержащиеся в нем ссылки. Пользователь получает безопасную копию документа, например, файл, конвер­тированный из формата Word в PDF. Если пользователю необходимо редактировать этот документ, он может воспользоваться ссылкой на оригинал, содержащейся в том же письме, но не раньше, чем безопасность оригинала будет подтверждена. А если тот же документ придет повторно, пользователь получит его уже сразу.

— В принципе, это вопрос настроек. Предпо­ложим, пришло письмо с зашифрованным архивом с паролем. В SandBlast есть технология, позволяющая раскрыть и такие архивы, хотя это возможно не всегда. Если архив проанали­зировать не удалось, администратор может раз­решить отправить получателю этот файл. Но мы настоятельно рекомендуем в подобных случаях доставку блокировать. Потенциально — это ложное срабатывание. Если человеку нужен это файл, он идет к администратору безопас­ности, и тот уже разбирается с файлом вруч­ную. Однако лучше такое разбирательство, чем устранение последствий реализованной атаки.

К тому же «песочница» — только одна ступень в комплексе технологий превентивной защиты в семействе SandBlast. Алгоритм проверки мно­гостадийный. Поскольку эмуляция — процесс относительно дорогой, она применяется в том случае, когда другие способы не дали результа­та. Кроме того, «песочница» не всегда эффектив­на в случае бесфайловых атак, для их распозна­вания задействуются другие методы.

— Защиты на периметре корпоративной сети уже недостаточно, есть угрозы, от которых шлюзы безопасности не спасают. Прежде всего это случаи, когда вредонос уже проник в сеть и начинает распространяться гори­зонтально — от компьютера к компьютеру. Для предотвращения горизонтального рас­пространения вредоносного ПО можно ис­пользовать технологии микросегментации, но внутри сегмента проблема сохраняется. Поэтому мы предлагаем продукт для защи­ты рабочих станций — SandBlast Agent.

Другие потенциальные угрозы, от которых необходима защита на уровне рабочих станций, — это использование съемных носителей, частое обращение к опреде­ленным web-сайтам, а также выход в Интер­нет за пределами периметра корпоративной сети — здесь можно вспомнить такой харак­терный пример, как устройства Pineapple для перехвата Wi-Fi трафика.

SandBlast Agent устанавливается непо­средственно на рабочую станцию и действует по принципу «песочницы»: перед тем как пользователь сохранит неизвестный файл из Интернета, файл будет временно заблоки­рован и проверен. Чтобы не создавать дополнительную нагрузку на рабочую станцию, проверка осуществляется либо в облаке Check Point, либо на устройстве SandBlast, используе­мом в организации.

На случай, если вредонос все-таки про­ник на рабочую станцию, в SandBlast Agent содержатся инструменты post-infection. На­пример, антибот позаботиться о том, чтобы зараженная машина не вела подозрительную сетевую активность. Поведенческий анализатор остановит подозрительную активность, так что если файлы на рабочей станции начнут несанкционированно шифроваться, SandBlast Agent остановит это процесс и вернет файлы к исходному состоянию.

Кроме того, SandBlast Agent отслеживает и сохраняет (в течение долгого времени, например, месяцев) информацию обо всех событиях на рабочей станции. В случае обнаружения угрозы будет автоматически создан подробный и удобный отчет о ее происхождении и раз­витии. Это существенно помогает при прове­дении анализа атаки и расследования, если та­ковое будет необходимо. Даже если вредонос уничтожил все следы, у нас все равно останется информация о том, откуда он появился и как действовал.

Это важное преимущество. Традиционный способ анализа инцидента (т.е. вручную) требует просмотра сотен мегабайт логов, и что­бы разобраться в них, эксперт должен обладать высочайшей квалификацией. А потратив уйму времени на построение отчета, вы все равно не будете до конца уверены, что не упустили какую-то ветку вредоносного процесса.

— 100-процентной безопасности никто и никог­да гарантировать не может. Наша задача — сде­лать атаку максимально дорогой и сложной для злоумышленника, настолько, чтобы ему было проще отказаться от попыток вас взломать. Кибератаки — это бизнес со своей экономикой: атака должна окупаться. Если этого не проис­ходит, она утрачивает смысл. Возьмем, пример, DDoS. Теоретически возможно организовать атаку такой силы, что она «положит» сеть феде­рального оператора. Но это потребует фантасти­чески гигантского ресурса.

Естественно, максимально обезопасить компанию может только комплекс технологий, которые должны быть правильно настроены и — обязательно! — хорошо интегрирова­ны между собой. В 2013 году был нашумевший инцидент с Target, одним из крупнейших американских ритейлеров, когда были похи­щены данные платежных карт почти 40 млн покупателей. Ирония в том, что буквально за полгода до инцидента компания установила у себя мощное и дорогостоящее Anti-APT реше­ние. Оно работало в режиме детектирования, и оно сработало — сгенерировало сигнал об ата­ке. Но сообщение просто потерялось в потоке других предупреждений. Мораль: во-первых, мало только обнаружить угрозу, ее нужно блокировать; во-вторых, должна быть единая система управления всеми инструментами ИБ.

— В криминальной кибериндустрии будет продолжаться разделение труда, и стоимость организации атак будет снижаться. Поскольку эксплойты обновляются весьма оперативно, будет возрастать количество атак zero-day.

Удешевятся DDoS-атаки — в качестве ботов будут использоваться многочисленные устрой­ства IoT. Будет усложняться архитектура сетей, поэтому защищать придется не только пери­метр сети. В том числе продолжат возрастать угрозы безопасности мобильных устройств.

Вредоносы будут использовать все более изощренные технологии сокрытия. Так, например, мы все чаще сталкиваемся со сте­ганографией — в отличие от криптографии, направленной на сокрытие содержание по­слания, она направлена на сокрытие послания как такового. В одном из случаев, который нам пришлось анализировать, вредонос загружал модуль для своей работы на компьютеры пользователей через картинки. Это были обыч­ные картинки с легального сайта, где младшие биты каждого пикселя были заменены на биты вредоноса. Картинка скачивалась на зара­женную машину, и из этих битов собирался новый модуль для атаки. Такие технологии — новый вызов для ИБ-компаний. Но, обратите внимание, данная активность возникала, когда компьютер уже был заражен — лишний аргу­мент в пользу режима Prevention.

Поскольку человек — слабое звено, атаки через пользователя становятся все более рас­пространенными. И злоумышленники тут будут все более изобретательными. Зачем вламываться через окно, если кто-то пу­стит тебя через дверь? Пример: на адрес ген­директора одной компании пришло письмо, содержащее резюме очень востребованного специалиста, и гендиректор тут же пере­правил его в отдел HR. Между тем письмо содержало вредоносный код. Компании по­везло, что в тот момент в там тестировалось наше решение (пусть и на SPAN-порте), и оно обнаружило атаку.

— Естественно, мы постоянно развиваем реше­ние SandBlast за счет совершенствования де­тектирования угроз и методов обхода средств защиты. И продолжаем придерживаться фило­софии блокировки угроз везде, где это возмож­но. В части SandBlast Agent мы расширяем воз­можности автоматического восстановления данных и устранения других последствий атаки.

Из новых продуктов могу отметить SandBlast Cloud, предназначенный для за­щиты компаний, развернувших корпоратив­ную почту на основе облачного сервиса Office 365. Почта защищается опять же в режиме Prevention: пользователь не получит пись­ма, пока мы не убедимся в его безопасности. Есть также варианты решений SandBlast для провайдеров облачных услуг. Пропуская тра­фик клиентов через инфраструктуру Check Point, провайдер сможет гарантировать, что они будут получать только чистый трафик. В России уже ведется ряд таких проектов.