W systemach, sieciach, danych i aplikacjach, wewnątrz gigabajtów ruchu sieciowego, czai się szkodliwy kod, czekając na okazję do zrealizowania swoich podejrzanych zadań, aby następnie zniknąć niepostrzeżenie. Niestety, branża IT zaczyna przegrywać z cyberprzestępcami. Dlatego potrzebujemy nowych narzędzi do wykrywania szkodliwego kodu.

Złożoność i wykrywanie współczesnych ataków jest czymś, co wymaga analitycznego podejścia na najwyższym poziomie. Potrzebna jest technologia, która przekopie się przez ogromne ilości danych i pakietów, aby w ten sposób wykrywać zagrożenia. Podczas gdy wiele technologii bezpieczeństwa jest już na tyle dojrzałych, że weszło do powszechnego użytku, to analityka bezpieczeństwa wciąż wymaga używania wielu różnych narzędzi, które z reguły nie chcą ze sobą współpracować.

Branża bezpieczeństwa znalazła się jednak na rozdrożu. Rozwijane od lat systemy, jak choćby zapory sieciowe czy antywirusy, przestały być skutecznym zabezpieczeniem. Niektóre z ostatnich spektakularnych ataków były możliwe do przeprowadzenia dzięki wykorzystaniu specjalnych szkodników, które zostały zaprojektowane tak, aby skutecznie unikać technologii wykrywania zagrożeń. Hakerzy i ich narzędzia stają się coraz bardziej inteligentni i bardziej dynamiczni. Nowe zagrożenia APT (Advanced Persistent Threat) potrafią automatycznie wykrywać zabezpieczenia sieci i omijać je.

Z pomocą przychodzą nowe rozwiązania typu Security Analytics (SA). Są to nowe technologie, których zadaniem jest załatanie luki między tym, co potrafią obecne systemy bezpieczeństwa, a tym, co ludzie chcą wiedzieć. Narzędzia Security Analytics potrafią analizować duże ilości danych i wykrywać oznaki ataków.

Porażka SIEM oraz antywirusów

Do powstania rozwiązań Security Analytics przyczyniły się problemy z dwoma powszechnie stosowanymi technologiami: Security Information and Event Management (SIEM) oraz antywirusami. Obie technologie tracą na znaczeniu, ponieważ nie są skuteczne w zwalczaniu nowych zagrożeń. Antywirusy stały się tak oczywistym zabezpieczeniem, że nikt nie kwestionuje ich używania. To sprawiło, że producenci się rozleniwili, zamiast intensywnie pracować nad rozwojem swoich produktów.

Nowoczesne zagrożenia z alarmującą łatwością omijają systemy antywirusowe. Przeniesienie tych systemów do rozwiązań typu UTM oraz NGFW trochę poprawiło poziom bezpieczeństwa, ale nadal te produkty bazują na starej technologii antywirusowej. Środowisko informatyczne zaczęło zdawać sobie sprawę z konieczności zastąpienia antywirusów innym rozwiązaniami. Sprawa nabrała szerszego rozgłosu, kiedy w zeszłym roku wiceprezes Symantec Brian Dye ogłosił, że antywirus jest martwy.

Antywirusy są martwe, SIEM wydaje się mocno schorowany. Oryginalna koncepcja SIEM zakładała, że tej klasy rozwiązania będą zbierały duże ilości danych i poddawały je analizie. W praktyce SIEM okazał się bardzo niewydolny, a w praktyce produkty miały niewiele wspólnego z tym, co obiecywali producenci. Problem z SIEM polega na tym, że trzeba bardzo dużego wkładu pracy, aby ta technologie zaczęła efektywnie działać. Wynika to z faktu, że SIEM nie oferuje odpowiednich mechanizmów do analizy danych. Zaimplementowane reguły polegają na wyszukiwaniu następujących po sobie sekwencji zdarzeń i mają statyczny charakter. Dzisiejsze realia wymagają natomiast stosowania dynamicznych reguł dostosowujących się do bieżących warunków. Dlatego SIEM wymaga ciągłego doglądania, aby wszystkie reguły przystawały do aktualnej sytuacji. Dzisiejsze rozwiązania tej klasy oferują niewiele więcej poza przechowywaniem logów.

Rozwiązania Security Analytics można nazwać następną generacją SIEM, ale taka nazwa jest tylko częściowo trafna. Wiele platform SA integruje się z SIEM, ale nie oferują one tych samych funkcji. Większość producentów SIEM dąży do przekształcenia swoich produktów na rozwiązania do analityki bezpieczeństwa. IBM, McAfee, HP czy Splunk oferują przyzwoite rozwiązania SIEM, ale żadne z nich nie ma konkurencyjnych możliwości w stosunku do SA. Dotychczas tylko RSA skutecznie przetransformowało swoje produkty na Security Analytics poprzez połączenie własnego rozwiązania enVision z produktami przejętej firmy Netwitness.

Świat analityki

Z reguły dyskusja o Security Analytics zaczyna się od Big Data. Jednak jest to nieprecyzyjny termin często nadużywany w przekazach marketingowych, choć rzeczywiście rozwiązania analityki bezpieczeństwa przetwarzają duże ilości danych. Zadaniem produktów SA jest analizowanie danych i wyciąganie z nich użytecznych informacji.

Wszystkie produkty SA przetwarzają dane i zarządzają nimi w jakiś sposób. Mogą to być pliki logów, pliki z danymi, przechwycone pakiety sieciowe czy różne dane z systemów i sieci. Jednak zbieranie danych to tylko połowa możliwości. Potrzebne są również mechanizmy, które potrafią przetwarzać dane, aby wydobyć z nich informacje o zagrożeniach. Produkty Security Analytics to właśnie połączenie mechanizmów gromadzenia danych oraz „inteligencji” służącej rozpoznawaniu działania szkodliwego kodu lub włamywacza.

W produktach SA znajdują zastosowanie dwie technologie: analizatory danych oraz analizatory behawioralne. Uzupełniają je zbiory informacji o zagrożeniach. Aby zrozumieć rynek rozwiązań SA, trzeba wiedzieć, jak te trzy komponenty integrują się ze sobą. Podstawę stanowią informacje na temat zagrożeń (Threat Intelligence). Mogą to być specjalne opisy symptomów zagrożeń, które umożliwiają efektywniejsze działanie silnika analitycznego lub specjalistyczna metodologia, której silnik analityczny używa do dynamicznego wykrywania zagrożeń.

Najczęściej spotykanym rozwiązaniem jest wykorzystywanie informacji o symptomach zagrożeń. Są to katalogi kryteriów charakteryzujących podejrzane zdarzenia. Te kryteria mogą uwzględniać wiele różnych parametrów, jak adresy IP, kombinacje plików, zachowania systemów, czy dowolne zbiory zdefiniowanych charakterystyk. Takie zbiory kryteriów można wykorzystać także w systemach SIEM, IDS/IPS, antywirusach, UTM czy NGFW, aby zwiększyć możliwości tych narzędzi. Jakość informacji o zagrożeniach ma kluczowy wpływ na efektywność działania całego rozwiązania Security Analytics.

Analizatory danych to główna grupa produktów SA. Technologie te przesiewają dane w celu zebrania dowodów ataku. Z reguły przetwarzają pliki logów lub przechwycone pakiety sieciowe. Do tej grupy można zaliczyć takie produkty, jak RSA Security Analytics, Blue Coat Solara czy RazorThreat. Te technologie są szczególnie przydatne w przypadkach badania potencjalnych ataków. Umożliwiają osobom odpowiedzialnym za bezpieczeństwo szybkie zebranie informacji na temat ataku. Pod pewnymi względami analizatory danych to pewne forma automatyzacji zarządzania systemami SIEM.

Analizatory behawioralne zajmują się badaniem działania środowiska IT w celu wykrycia ataków. Jest to zróżnicowany i szybko rosnący segment rynku SA. Jako przykłady można wymienić znane produkty chroniące przed zaawansowanymi zagrożeniami APT, jak rozwiązania FireEye, niektóre komponenty rozwiązań klasy UTM/NGFW, np. Palo Alto Wildfire oraz innowacyjne produkty do ochrony punktów końcowych rozwijane przez Cylance, CounterTack i CrowdStrike. Często wykorzystują one połączenie analizy heurystycznej oraz uruchamiania kodu w zamkniętym środowisku (tzw. sandbox) w celu wykrywania aktywności typowych dla szkodliwego oprogramowania.

To nie sygnatury

Trzeba podkreślić, że wykorzystywane przez mechanizmy wykrywania zagrożeń opisy ich symptomów (Threat Intelligence) to nie sygnatury wirusów. Sygnatury działają na zasadzie dopasowania, natomiast wspomniane opisy są bardziej uniwersalne. Sygnatury służą do wykrywania zagrożeń lub zapobiegania im, natomiast Threat Intelligence może służyć również do oceny stanu zagrożenia czy umieszczania go w kontekście. Choć można przygotować sygnatury IDS z danych TI, to sygnatury IDS mają charakter opisowy (np. wskazują na określony kod), natomiast TI opiera się na danych historycznych (np. wiadomo, że dany adres IP był źródłem zagrożeń) lub predykcji (np ten e-mail może być stosowany do rozsyłania spamu).

Na początku pierwszej dekady XXI w., kiedy na rynek weszły rozwiązania do głębokiej analizy pakietów i protokołów, sygnatury stały się synonimem statycznego dopasowywania wzorców charakterystycznego dla programów antywirusowych. Wielu użytkownikom sygnatury kojarzą się z przestarzałymi, statycznymi technologiami. Trzeba jednak pamiętać, że sygnatury wciąż są stosowane w bardzo wielu systemach. Tym ogólnym terminem określa się reguły, które definiują, jak działa dany system bezpieczeństwa. Threat Intelligence poprawia jakość tego typu analizy. Przykładowo, jeśli wiadomo, że określona kombinacja hashy plików wskazuje na pewien typ dystrybucji szkodliwego oprogramowania, system może wyszukiwać tej kombinacji.

Jako takie, TI to po prostu informacje, które są zapisane w sygnaturach. Zapisywanie informacji TI w sygnaturach to proces, które umożliwia transformację tych informacji na decyzje czy działania, co jest podstawowym celem rozwiązań Security Analytics. Jednakże większość producentów SA wzbrania się przed używaniem słowa sygnatury z uwagi na jego negatywne konotacje w branży bezpieczeństwa informatycznego. To czasami może być jednak mylące.