Analityka bezpieczeństwa czyli nowa era zabezpieczeń

Analizatory danych

Analizatory danych mają automatyzować proces analizy i pomagać szybciej wyciągać wnioski, z uwzględnieniem kontekstu, w jakim występują dane. Co więcej, kiedy trzeba zareagować na przypadek ataku czy infekcji, umożliwiają potwierdzenie wniosków i sprawdzenie, co dotychczas zrobił atakujący.

Analizatory danych to hurtowanie danych, które z wykorzystaniem informacji o zagrożeniach potrafią te dane umieścić w kontekście, a użytkownikom dają możliwość ich przeglądania w bardziej efektywny sposób, niż rozwiązania SIEM. Jeśli administrator podejrzewa atak, może zalogować się do konsoli i przejrzeć strumień danych. Niektóre produkty mają bardzo oryginalne narzędzia do śledzenie strumieni danych i analizowania pakietów.

Przydatność tych produktów jest całkowicie zależna od osób, które z nich korzystają i ich umiejętności do analizowania informacji, które te produkty generują. Analizatory danych, podobnie jak pokrewne rozwiązania SIEM, cierpią na ten sam problem: wymagają bardzo wykwalifikowanych użytkowników, w przeciwnym razie są mało przydatne.

W dużych firmach, które są gotowe podjąć wyzwanie, te rozwiązania mogą znacznie podnieść poziom bezpieczeństwa. Przechwytywanie wszystkich pakietów podczas trwania ataku bardzo przydaje się do oceny jego skutków i w reagowaniu na takie zdarzenia. Jednakże te technologie mają ograniczenia w ilości danych, jaką mogą przechowywać - w praktyce z kilku tygodni. Ilość potrzebnej przestrzeni dyskowej znacznie wzrasta, jeśli w sieci następuje wiele zdarzeń lub łącza mają dużą przepustowość.

Również ceny tych produktów są bardzo wysokie – trzeba liczyć się z wydatkiem kilkuset tysięcy złotych. Ponadto odpowiednie urządzenia trzeba umieścić wszędzie tam, gdzie mają być zbierane dane. To może znacznie podnieść koszty, jeśli sieć jest rozproszona geograficznie.

Trzeba też pamiętać, że mimo swojej przydatności, analizatory danych to stosunkowo nowe rozwiązania, które muszą jeszcze dojrzeć. Muszą się rozwijać w bardziej kompleksowe platformy, które połączą w jednym rozwiązaniu informacje o zagrożeniach, mechanizmy analityczne oraz reakcyjne. Na razie niestety wszystkie z dostępnych na rynku produktów SA potrafią niewiele zrobić w momencie wykrycia ataku. To może się zmienić, kiedy nastąpi integracja z mechanizmami analityki behawioralnej.

Platformy analityki behawioralnej

Jest to druga grupa produktów analityki bezpieczeństwa. Obejmuje ona zróżnicowaną ofertą rozwiązań sieciowych i instalowanych w urządzeniach końcowych, które mają jedną, podstawową wspólną funkcję: rozpoznają zachowania charakterystyczne dla złośliwych aplikacji. Analizatory behawioralne (Behavioral Analizer) są bardziej zaawansowane niż antywirusy czy systemy IDS. Rozwiązania sieciowe wykorzystują mechanizmy uruchamiania kodu w zamkniętym, wirtualnym środowisku (sandbox). Wyciągają kod aplikacji z ruchu sieciowego i uruchamiają go w tzw. piaskownicy, aby zweryfikować, jak się on zachowuje. W segmencie rozwiązań sieciowych najbardziej znane są produkty firm FireEye oraz Damballa, ale wiele platform UTM/NGFW, jak Fortinet, SourceFire (Cisco) czy Palo Alto Networks, oferuje podobne możliwości. Również produkty Norman Shark przejęte przez Blue Coat mają takie funkcjonalności.

Druga kategoria to produkty instalowane w serwerach lub stacjach roboczych. Mają podobne funkcje, co rozwiązania sieciowe, analizując zachowania systemu operacyjnego pod kątem podejrzanych zdarzeń. Przykładem tej technologii jest Cylance, w którym zastosowano zastrzeżony silnik matematyczny, który ostrzega o pojawieniu się szkodliwego oprogramowania na podstawie analizy plików. Kolejny w tej kategorii CounterTack wykorzystuje inny, bardzo obiecujący koncept. Działając na poziomie jądra systemu operacyjnego, może monitorować w czasie rzeczywistym funkcje systemowe, pozostając całkowicie niewidocznym dla szkodliwego oprogramowania. W ten sposób chroni przede wszystkim przed rootkitami.

Produkty sieciowe mają duży potencjał i są bardzo kosztowne, ale niestety także wadliwe. Jest wiele dowodów na to, że przestępcy specjalnie projektują szkodliwy kod tak, aby potrafił uniknąć wykrycia przez tego rodzaju zabezpieczenia. Co więcej, żaden z dostępnych na rynku produktów z tej grupy nie ma funkcji zapobiegania atakom w czasie rzeczywistym. Dlatego duże znaczenie ma integracja tych produktów z platformami UTM/NGFW, ponieważ potrafią one nie tylko wykrywać, ale także blokować szkodliwe oprogramowanie.

Natomiast grupa rozwiązań instalowanych w urządzeniach końcowych jest bardzo świeża na rynku. Jest tylko kilka tego typu produktów, które monitorują pracę serwera czy stacji roboczej i potrafią, przynajmniej w teorii, zareagować w czasie rzeczywistym w przypadku wykrycia zagrożenia. Mogą być bardzo skuteczne w wykrywaniu zagrożeń APT zanim dojdzie do infekcji urządzenia końcowego.

Z tym produktami, jak z wszystkimi działającymi w urządzeniach końcowych, wiąże się niestety spory nakład prac z wiązanych z zarządzaniem. Rozwiązania te instalują oprogramowanie agenta, który musi działać w urządzeniu końcowym. Takiego agenta trzeba zainstalować, aktualizować czy konfigurować. To sporo pracy dla działu IT, szczególnie w dużej firmie. Ilość pracy związanej z zarządzaniem sprawiła, że nie przyjęły się systemy HIPS (Host-based IPS). To samo może stać się z tą nową kategorią produktów.

Wartość kampanii

Jedną z nowych koncepcji na rynku SA jest pojęcie kampanii. Jest to zbiór informacji o zdarzeniach lub atakach, które łączą wspólne kryteria. Najczęściej kampanie służą do wykrywania typowych ataków lub atakujących. Nazwa wzięła się od jednostek wojskowy, które wykorzystują tę ideę do lepszego katalogowania i kategoryzowania danych dotyczących incydentów bezpieczeństwa.

Kampanie mogą być bardzo wartościową koncepcją i powinny pojawić się we wszystkich produktach SA. Ta idea może bowiem rozwiązać największy problem analityków bezpieczeństwa: jak komunikować kwestie bezpieczeństwa kierownictwu wyższego szczebla

Big Data jest bowiem trudne do zrozumienia, śledzenia i budowania wokół takiego rozwiązania wskaźników. To prowadzi do niezadowolenia menedżerów, którzy muszą wiedzieć, czy dana inwestycja w zakresie technologii bezpieczeństwa przyniosła organizacji jakieś korzyści. Brak możliwości komunikowania koncepcji bezpieczeństwa kadrze zarządzającej to jedna z głównych bolączek produktów SIEM. Jeśli złożone dane można jakoś podzielić lub skategoryzować, stają się one łatwiejsze do zrozumienia i manipulowania.

Koncepcja kampanii zakłada wykorzystanie mechanizmu, który może zarządzać komunikacją dotyczącą informacji o bezpieczeństwie. Kiedy w kampanii pojawiają się informacje o atakach, włamaniach czy innych zdarzeniach mających wspólne kryteria, cała koncepcja staje się łatwiejsza do zrozumienia. Jest to również miejsce, na bazie którego można stworzyć różne metryki.

Załóżmy, że platforma SA wykryła serię ataków pochodzących z zagranicy, które miały wzorzec charakterystyczny dla szkodnika wykorzystującego lukę w Javie. Kolejna runda ataków następuje kilka dni później i jest skierowana przeciwko serwerom Windows z tego samego zakresu adresów IP. Kilka dni później atak się powtarza, ale tym razem ma miejsce próba wykorzystania podatności w oprogramowaniu Cisco. W międzyczasie można zbierać informacje o tych wydarzenia w jednej kampanii, a następnie śledzić zdarzenia, które są zgodne z kryteriami określonymi w tej kampanii. Aby opisać to, co się działo, można przedstawić dane zebrane na temat ataków i pokazać, jak mizerne były ich skutki. Tego rodzaju prezentacje są czytelne dla menedżerów i umożliwiają zdobycie ich przychylności. Wybierając produkt SA, warto przyjrzeć się, jak zaimplementowano w nim koncepcję kampanii. Poszczególni producenci używają różnych terminów do opisania tej koncepcji, ale ogólnie jest ona bardzo pomocna.

Zbiorowa inteligencja

Kolejną bardzo ważna właściwością rozwiązań Security Analytics jest możliwość modyfikowania przez użytkowników informacji o zagrożeniach. Informacje wprowadzane przez użytkowników mogą pochodzić z danych zebranych z wcześniejszych ataków lub pochodzić ze społeczności użytkowników wymieniających się takimi danymi. Społeczność osób zajmujących bezpieczeństwem informacji od lat próbuje zachęcić firmy do współpracy i wymiany informacji o zagrożeniach. Chociaż są istotne bariery od strony prywatności i ochrony własności intelektualnej, które sprawiają, że firmy nie podejmują takiej współpracy, jest to jednak koncepcja mająca świetny potencjał w zakresie zapobiegania nowym atakom. Im więcej informacji użytkownicy wymieniają między sobą, tym mniej wartościowe dla atakujących są nowe szkodniki, które zostaną wykryte, ponieważ informacja o nich szybko się rozprzestrzeni.

Przyszłość analityki bezpieczeństwa

Choć wciąż jest to niedojrzały rynek, nie ma wątpliwości, że rozwiązania SA będą kolejnym ważnym, znaczącym krokiem w rozwoju zabezpieczeń. Wyraźnym trendem jest dążenie w kierunku integracji analizatorów danych i behawioralnych. Obecnie tylko Blue Coat Solara jest tego rodzaju zintegrowanym produktem.

Warto obserwować działania producentów antywirusów, ponieważ powinni oni podjąć wysiłki, aby ich produkty były konkurencyjne w stosunku do nowych rozwiązań analityki bezpieczeństwa. Takie firmy, jak Cylance czy CounterTack, są łakomym kąskiem dla potentatów z branży antywirusowej.


TOP 200