Doświadczenia firm zajmujących się tworzeniem zabezpieczeń pokazują, że walka z zagrożeniami to wyścig między rozwijaną technologią obrony a zorganizowanym środowiskiem włamywaczy. Najnowsza technologia zabezpieczeń umożliwia zmniejszenie ryzyka udanego ataku.

W środowisku włamywaczy zbierane są informacje na temat podatności szeroko znanych oraz tych jeszcze poufnych, występuje wymiana informacji na temat używanych eksploitów i sposobów ataku. Najważniejsze narzędzia są już powszechnie dostępne i praktycznie każdy może z tego doświadczenia skorzystać.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Firewall as a Service - nowy trend w cyberbezpieczeństwie
• IPS, OLED, mini-LED czy QLED - jaka matryca do pracy?

Krzysztof Wójtowicz, country manager firmy Check Point w Polsce, wyjaśnia: „Obecnie każdy z nas może znaleźć metodę wytworzenia eksploita na bazie znanego rozwiązania. Wśród włamywaczy są bardzo utalentowane osoby, mają jasno określone cele i stawiają sobie zadania związane z atakowaniem różnej infrastruktury. Tworzenie zagrożeń jest proste. Jeśli nie wiemy, jak to zrobić, możemy taki eksploit tanio kupić”.

Opracowanie skutecznych zabezpieczeń oznacza, że dostawcy narzędzi bezpieczeństwa zostali zmuszeni do przyspieszenia działań i wyprzedzania akcji całego ekosystemu. Narzędzia włamywaczy są powszechnie dostępne, a próg wejścia znajduje się bardzo nisko – atakować może każdy i celem może być firma niemal każdej wielkości.

Krzysztof Wójtowicz mówi: „Obecne narzędzia dobrze radzą sobie z zagrożeniami, które znamy. O wiele ważniejsze są zagrożenia, których jeszcze nie znamy – musimy je zwalczać na odpowiednio wczesnym etapie. Dziś każdy może być zagrożony, od małych start-upów do wielkich korporacji. Często duże firmy bywają atakowane, gdy mały poddostawca nie zabezpieczy dostatecznie swojej infrastruktury – tędy może przejść atak”.

Firewall, IPS, piaskownica

Analiza klasycznych zagrożeń obejmowała wykorzystanie zapory sieciowej, narzędzi IPS, które wykrywają sygnatury znanych zagrożeń, a następnie emulacja podejrzanych plików. Przychodzące z zewnątrz dokumenty przesyła się do kontrolowanego środowiska, w którym narzędzia przeprowadzają analizę.

Krzysztof Wójtowicz wyjaśnia: „Narzędzia sprawdzają rejestr Windows, zmiany w systemie, kontrolują połączenia z zewnątrz, zmiany wprowadzane w systemie plików przez pobrany kod, a także uruchamiane procesy. Analiza ta jest dość czasochłonna, gdyż wymaga otwarcia pliku i weryfikacji w różnych środowiskach. Podejście to działa dobrze na serwerach poczty elektronicznej, ale nie można go zastosować przy analizie plików pobieranych z internetu”.

Kiedy sandbox nie działa

Podstawową wadą piaskownicy jest opóźnienie wynikające z samej technologii analizy. O ile nawet kilkunastominutowe opóźnienie nie

ma znaczenia przy analizie plików przesyłanych pocztą elektroniczną, o tyle podobne opóźnienie jest nieakceptowalne przy pracy zapory sieciowej kontrolującej ruch na styku sieci lokalnej z internetem. Zatem wdrożenie takich zabezpieczeń prowadzi się w trybie nieblokującym, w którym pobierany plik zostaje przekazany do analizy, ale mimo to użytkownik może ten plik pobrać. Jest też problem różnorodności środowisk firmowych, w których mogą wystąpić różne systemy Windows i pakiety Office – niektóre rozwiązania klasy sandbox nie mogą zweryfikować działania w tej konkretnej wersji instalacji.

Skuteczność piaskownicy obniża się także dlatego, że nowoczesne złośliwe oprogramowanie potrafi wykryć uruchomienie w wirtualizowanym środowisku i zatrzymać swoje działanie, by uniknąć analizy. Skuteczność obniża również coraz częściej stosowane działanie polegające na opóźnieniu uruchomienia eksploita, np. do 24 godz. od otwarcia. Cyberprzestępcy powszechnie szyfrują połączenia, dlatego detekcja będzie jeszcze trudniejsza.

Wyczyszczenie dokumentu

Prowadzone przez kilka lat badania udowadniają, że większość infekcji rozpoczyna się od pliku przesłanego pocztą elektroniczną lub pobieranego z serwera zawierającego złośliwy kod. Zazwyczaj kod ten jest umieszczany wewnątrz dokumentu Office lub PDF, a zatem ryzyko infekcji tą drogą można znacznie zredukować, wprowadzając czyszczenie dokumentów z niepożądanej zawartości. Jeśli użytkownik będzie potrzebował oryginalnej wersji dokumentu, będzie mógł po nią sięgnąć później, np. po analizie w środowisku sandbox.

Krzysztof Wójtowicz mówi: „Z naszych badań wynika, że 90% zarażonych dokumentów zawiera hyperlinki oraz makra. Technologia, którą nazywamy threat extraction, zakłada wyczyszczenie dokumentu z niepożądanej zawartości przy zachowaniu wyglądu i tekstu. Proces ten jest bardzo szybki, wyczyszczony dokument można dostarczyć w ciągu sekund”.

Wykrywanie ataków na poziomie procesora

Informacje na temat działania ekosystemu włamywaczy udowadniają, że wszystkie włamania charakteryzują się pewnymi cechami. Obecna jest względnie niewielka liczba eksploitów, które wprowadzają większą liczbę uruchamianego kodu, a końcowym efektem jest wprowadzenie bardzo różnorodnego złośliwego oprogramowania.

Krzysztof Wójtowicz mówi: „Technologie sandbox działają na poziomie malware'u, a zatem muszą znać działanie milionów zagrożeń, by z nimi walczyć. Dokładna analiza udowadnia, że 99% wszystkich ataków odbyło się z wykorzystaniem return-oriented programming, a jest to technika na poziomie procesora. Producenci wprowadzili ograniczenia odnośnie do tego, co procesor wykonuje. Eksploit poprzez wstrzykiwanie instrukcji zamierza zmienić informację lub dostarczyć ją do innych portów. Nowoczesne procesory mogą debugować i monitorować takie mechanizmy, co umożliwia wykrycie ataku na bardzo wczesnym etapie”.