Check Point svléká útoky zero-day-attacks donaha

Richard Jan Voigts , 04. říjen 2015 13:00 0 komentářů
Rubriky: Security, Rozhovory
Check Point svléká útoky zero-day-attacks donaha

Thierry Karsenti, evropský technologický viceprezident společnosti Check Point se na konferenci Check Point Security Day v Praze stručně zmínil o nových bezpečnostních technologiích. Co umějí z technologického hlediska jsme se zeptali Davida Řeháčka, který pracuje v lokálním zastoupení Check Pointu.

Mohl byste nové technologie Check Pointu pojmenovat a přiblížit, jak fungují?

David Řeháček | Check Point Software Technologies
David Řeháček | Check Point Software Technologies
Pro Threat Prevention – ochranu proti hrozbám, existuje více technologií a každá z nich řeší nějakým způsobem jak odstranit známé hrozby, pro které existují tzv. signatury. Náš pohled na tuto problematiku je ten, že ochrana proti známým hrozbám není už nejdůležitější – nikoliv však v tom smyslu, že by neměla v prostředí IT existovat, naopak. Měla by být naprosto základní součástí jeho ochrany, ať už jde o síť, server nebo koncovou stanici, bez diskuze. Pro analogii jen uvedu, že když jdu ven a je zima, vezmu si automaticky kabát a vůbec o tom nepřemýšlím.

Dnes však je zásadní ochrana proti neznámým hrozbám, říkáme jim zero-day-attacks, útoky nultého dne, pro které známé malwarové signatury neexistují a způsobují prvotní útoky a úniky dat. I my jsme přemýšleli, jak tomuto čelit a vytvořili jsme několik nových technologií – Threat Extraction, Threat Emulation a ochranu na úrovni procesoru – CPU Level Threat Protection.

Threat Extraction je zaměřena zejména na přílohy e-mailů, bavíme se o připojených souborech v běžných dokumentů ve formátech PDF a dokumenty Microsoft Office. Pokud se tak stane, naše technologie umí ve virtualizovaném prostředí velmi rychle zkontrolovat a zjistit, zda obsahuje aktivní kód, a to v řádu zlomků vteřin. Za aktivní kód považujeme různé skripty, spustitelné kódy v podobě maker, ale i odkazy v HTML. Pokud jej příloha obsahuje, považujeme tento kód za potenciální nebezpečí. Neznamená to, že to je špatně, protože běžná makra v Excelu nebo ve Wordu nemusejí být nebezpečná, potenciální průšvih podstrčený hackerem se v nich však skrývat může. Veškerý takovýto aktivní obsah z dokumentů odstraníme a cílovému příjemci pošleme dokument bez něj, čistý soubor, takže 100% zaručíme, že příloha, kterou dostane, neobsahuje škodlivý kód.

Nedostane tak žádný závadný kód, i když například text HTML odkazu v dokumentu zůstává, avšak bez možnosti prokliku, který by uživatele mohl přesměrovat na závadné stránky místo těch, které se jako odkaz zobrazují. Například ve Wordu vytvoříme naprosto čistý nový (textově identický) dokument a překopírujeme jej do přílohy – jen obsah, bez maker, aktivních HTML odkazů nebo skriptů. Uživatel navíc dostane v e-mailu upozornění, že došlo ke kontrole souboru, jehož součástí byl potenciálně rizikový obsah, od kterého byl vyčištěn. Pokud uživatel původní soubor požaduje, může si kliknout na odkaz uvedený v mailu a stáhnout si jej z úložiště. Například když ví, že jde o odesílatele, zdroj kterému věří. Dalšími variantami je vytištění původního souboru do formátů PDF nebo TIFF, které jsou také zcela čisté. Záleží na tom, jak nastaví systém administrátor v té které organizaci podle vlastních bezpečnostních pravidel. Jde o rychlou akci bez zpoždění, hlavně však je důležité, že příjemce data dostane, že neskončí v nějakém sandboxu, nebo někde jinde ve ztracenu.

Threat Emulation je druhou novou technologií Check Pointu. Příloha, která byla označena jako potenciálně nebezpečná, skončí ve virtuálním prostředí, kde provedeme emulaci jeho chování. Toto prostředí běží buď v našem cloudu, nebo – pokud jde o větší organizaci, která vyžaduje správu všech dat ve svém prostředí nebo to regulační předpisy dané organizace nařizují - může tuto emulaci dělat na stroji ve vlastním perimetru, jehož prostředí má zcela pod kontrolou. Tam běží několik instancí operačních systémů, typicky Windows XP nebo Windows 7. Toto si správce nastaví sám – pokud ve firmě například nepoužívají Windows XP, nemá smysl emulovat kód v došlé příloze a sledovat jeho chování v prostředí tohoto OS.

Při emulaci se soubor otevře a pokud začne něco dělat, monitorujeme to. Příkladem podezřelého chování je samovolný zápis do registrů OS, otevírání stránek na internetu, stahování a spouštění kódu. V těchto případech jde o typické chování, které se od textového dokumentu nebo od pdf neočekává. Nečekám přece, že dokument s výroční správou začne zapisovat do registrů nebo stahovat kódy. Pokud se začne takto chovat, označíme jej za nositele malwaru a už jej ani k cílovému uživateli nepustíme, ani nemá možnost si jej stáhnout. Dostane pouze přes Threat Extraction vyčištěný soubor, bez škodlivých kódů. Protistrana je chytrá a může se i tomu bránit – například nastavit spouštění kódu až po určité době po doručení, za týden, i měsíc po doručení – kdo by normálně emuloval přílohu po tak dlouhé době a zjišťoval, zda není nebezpečná? Normální způsob emulace probíhá v řádu jednotek minut a pokud se nic neděje, soubor se pouští dál.

Nebo zabudovaný malware umožňuje rozpoznat, že je uložen ve virtualizovaném prostředí a kódy nespustí. Checkpoint však reaguje i na tyto varianty chování malwaru, tyto techniky známe, umíme se jim bránit a zajistit, že škodlivý kód emulaci neobejde a do systému nepronikne.

CPU Level Threat Protection je třetí kostičkou do skládačky Check Pointu, kvůli které jsme koupili firmu Hyperwise. CPU Level Threat Protection řeší útoky přímo na úrovni procesoru. Jednou z technik, jak dostat do počítače malware totiž je, že se do něj dostane miniaturní kousek kódu, který si pak dokáže malware stáhnout, čímž opět obchází řadu bezpečnostních technik. Nejde totiž o útok zvenčí, nýbrž zevnitř.

Jednou z těchto technik je ROP – Return Oriented Programming, kdy tento malý kousek kódu umí přesměrovat instrukce na procesor. V kódu procesoru je vždy obrovské množství instrukcí a některé z nich se dají poskládat trochu jinak – tak, aby procesor udělal něco jiného, než původně měl. Původní, zkontrolovaný kód je přitom v pořádku a nic závadného neobsahuje. Procesor tak dostane nikoliv kód, který mu byl původně poslán, ale vykoná něco zcela jiného, v tomto případě škodlivý kód. Ten už si může někam sáhnout, stáhnout zbytek malwaru a způsobit škodu. Check Point má dnes technologii, která může tomuto předcházet a tuto techniku prostě zaříznout, a to na nejnižší procesorové úrovni. Tyto techniky jsou jinak velmi těžko odhalitelné a neexistuje na ně příliš mnoho způsobů, jak je objevit a předcházet jim.

Dá se říci, že vaše technologie CPU Level Threat Protection by uměla odhalit i rootkit?

Zprostředkovaně ano, přestože jde o jiný typ útoků. Umí nicméně odhalit činnosti, které mají za úkol rootkit do počítače dostat a tím zamezit jeho výskyt v systému.

Když vše shrnu, tak Threat Extraction, Threat Emulation a CPU Level Threat Protectionjsou tři základní kameny ochrany proto hrozbám společnosti Check Point. Nabízíme vše jako celek a říkáme tomu Sand Blast. Tak jako je sand box místo, kde se provádí emulace proti hrozbám, náš Sand Blast je komplexnější technologií. Checkpoint Sand Blast jde za hranice sand boxu – „pískoviště“ emulace a umí chránit nejen proti známým hrozbám, ale i proti těm neznámým, které umíme odhalit bez jejich prvotní znalosti.

Technologicky jsme se dostali o velký kus dopředu – jak samozřejmě před ostatními technologickými výrobci antimalwaru, tak před útočníky.

Vždy jde o boj dvou stran – někdo vymyslí nový typ útoku, druhý jak se mu bránit. Metody celého balíku Threat Extraction a Threat Emulation předcházejí spoustě dnes známým technikám hrozeb zero-day-attacks, které normální způsoby antimalwaru neumějí na základě detekce známých hrozeb překonat. V Check Pointu máme technologii, která tento typ útoků umí odhalit a je šance, že s útočníky budeme opět nějakou dobu držet krok.


Komentáře

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Amazon usnadní službami českým podnikům prodej v zahraničí

ČTK , 28. červen 2017 12:00

České firmy při prodeji v jiných zemích často bojují s bariérami, jako jsou vysoké dopravní náklady ...

Více 0 komentářů

Lenovo představuje nové portfolio datových center

Pavel Houser , 28. červen 2017 10:00

Portfolio produktů ThinkSystem spojuje pod jednotnou značkou servery, úložiště a síťové systémy. ...

Více 0 komentářů

Do systému eReceptů zapojena čtvrtina lékařů a většina lékáren

ČTK , 28. červen 2017 09:00

Od 1. ledna příštího roku bude vydávání elektronických receptů pro všechny lékaře povinné. ...

Více 0 komentářů

Starší zprávičky

Nvidia bude spolupracovat s Volvem a VW na samořízených autech

ČTK , 28. červen 2017 08:00

Volvo hodlá uvést autonomní auta na trh do roku 2021, Audi o rok dříve....

Více 0 komentářů

ČR mezi 10 nejpostiženějšími zeměmi ransomwarového útoku

Pavel Houser , 28. červen 2017 07:00

K aktuálním útokům ransomwarem, který byl zaznamenán nejprve na Ukrajině a v Rusku, začaly vydávat s...

Více 0 komentářů

Hackeři napadli ukrajinské banky a podniky, i ruskou Rosněfť

ČTK , 27. červen 2017 18:27

Ukrajinu dnes zasáhla největší vlna hackerských útoků v historii země, informovalo ukrajinské minist...

Více 0 komentářů

Google dostal od Evropské komise rekordní pokutu 2,4 miliardy eur

ČTK , 27. červen 2017 13:06

Google se musí začít ke konkurenčním srovnávačům cen chovat stejně jako k vlastní službě. ...

Více 1 komentářů