Check Point svléká útoky zero-day-attacks donaha

Richard Jan Voigts , 04. říjen 2015 13:00 0 komentářů
Rubriky: Security, Rozhovory
Check Point svléká útoky zero-day-attacks donaha

Thierry Karsenti, evropský technologický viceprezident společnosti Check Point se na konferenci Check Point Security Day v Praze stručně zmínil o nových bezpečnostních technologiích. Co umějí z technologického hlediska jsme se zeptali Davida Řeháčka, který pracuje v lokálním zastoupení Check Pointu.

Mohl byste nové technologie Check Pointu pojmenovat a přiblížit, jak fungují?

David Řeháček | Check Point Software Technologies
David Řeháček | Check Point Software Technologies
Pro Threat Prevention – ochranu proti hrozbám, existuje více technologií a každá z nich řeší nějakým způsobem jak odstranit známé hrozby, pro které existují tzv. signatury. Náš pohled na tuto problematiku je ten, že ochrana proti známým hrozbám není už nejdůležitější – nikoliv však v tom smyslu, že by neměla v prostředí IT existovat, naopak. Měla by být naprosto základní součástí jeho ochrany, ať už jde o síť, server nebo koncovou stanici, bez diskuze. Pro analogii jen uvedu, že když jdu ven a je zima, vezmu si automaticky kabát a vůbec o tom nepřemýšlím.

Dnes však je zásadní ochrana proti neznámým hrozbám, říkáme jim zero-day-attacks, útoky nultého dne, pro které známé malwarové signatury neexistují a způsobují prvotní útoky a úniky dat. I my jsme přemýšleli, jak tomuto čelit a vytvořili jsme několik nových technologií – Threat Extraction, Threat Emulation a ochranu na úrovni procesoru – CPU Level Threat Protection.

Threat Extraction je zaměřena zejména na přílohy e-mailů, bavíme se o připojených souborech v běžných dokumentů ve formátech PDF a dokumenty Microsoft Office. Pokud se tak stane, naše technologie umí ve virtualizovaném prostředí velmi rychle zkontrolovat a zjistit, zda obsahuje aktivní kód, a to v řádu zlomků vteřin. Za aktivní kód považujeme různé skripty, spustitelné kódy v podobě maker, ale i odkazy v HTML. Pokud jej příloha obsahuje, považujeme tento kód za potenciální nebezpečí. Neznamená to, že to je špatně, protože běžná makra v Excelu nebo ve Wordu nemusejí být nebezpečná, potenciální průšvih podstrčený hackerem se v nich však skrývat může. Veškerý takovýto aktivní obsah z dokumentů odstraníme a cílovému příjemci pošleme dokument bez něj, čistý soubor, takže 100% zaručíme, že příloha, kterou dostane, neobsahuje škodlivý kód.

Nedostane tak žádný závadný kód, i když například text HTML odkazu v dokumentu zůstává, avšak bez možnosti prokliku, který by uživatele mohl přesměrovat na závadné stránky místo těch, které se jako odkaz zobrazují. Například ve Wordu vytvoříme naprosto čistý nový (textově identický) dokument a překopírujeme jej do přílohy – jen obsah, bez maker, aktivních HTML odkazů nebo skriptů. Uživatel navíc dostane v e-mailu upozornění, že došlo ke kontrole souboru, jehož součástí byl potenciálně rizikový obsah, od kterého byl vyčištěn. Pokud uživatel původní soubor požaduje, může si kliknout na odkaz uvedený v mailu a stáhnout si jej z úložiště. Například když ví, že jde o odesílatele, zdroj kterému věří. Dalšími variantami je vytištění původního souboru do formátů PDF nebo TIFF, které jsou také zcela čisté. Záleží na tom, jak nastaví systém administrátor v té které organizaci podle vlastních bezpečnostních pravidel. Jde o rychlou akci bez zpoždění, hlavně však je důležité, že příjemce data dostane, že neskončí v nějakém sandboxu, nebo někde jinde ve ztracenu.

Threat Emulation je druhou novou technologií Check Pointu. Příloha, která byla označena jako potenciálně nebezpečná, skončí ve virtuálním prostředí, kde provedeme emulaci jeho chování. Toto prostředí běží buď v našem cloudu, nebo – pokud jde o větší organizaci, která vyžaduje správu všech dat ve svém prostředí nebo to regulační předpisy dané organizace nařizují - může tuto emulaci dělat na stroji ve vlastním perimetru, jehož prostředí má zcela pod kontrolou. Tam běží několik instancí operačních systémů, typicky Windows XP nebo Windows 7. Toto si správce nastaví sám – pokud ve firmě například nepoužívají Windows XP, nemá smysl emulovat kód v došlé příloze a sledovat jeho chování v prostředí tohoto OS.

Při emulaci se soubor otevře a pokud začne něco dělat, monitorujeme to. Příkladem podezřelého chování je samovolný zápis do registrů OS, otevírání stránek na internetu, stahování a spouštění kódu. V těchto případech jde o typické chování, které se od textového dokumentu nebo od pdf neočekává. Nečekám přece, že dokument s výroční správou začne zapisovat do registrů nebo stahovat kódy. Pokud se začne takto chovat, označíme jej za nositele malwaru a už jej ani k cílovému uživateli nepustíme, ani nemá možnost si jej stáhnout. Dostane pouze přes Threat Extraction vyčištěný soubor, bez škodlivých kódů. Protistrana je chytrá a může se i tomu bránit – například nastavit spouštění kódu až po určité době po doručení, za týden, i měsíc po doručení – kdo by normálně emuloval přílohu po tak dlouhé době a zjišťoval, zda není nebezpečná? Normální způsob emulace probíhá v řádu jednotek minut a pokud se nic neděje, soubor se pouští dál.

Nebo zabudovaný malware umožňuje rozpoznat, že je uložen ve virtualizovaném prostředí a kódy nespustí. Checkpoint však reaguje i na tyto varianty chování malwaru, tyto techniky známe, umíme se jim bránit a zajistit, že škodlivý kód emulaci neobejde a do systému nepronikne.

CPU Level Threat Protection je třetí kostičkou do skládačky Check Pointu, kvůli které jsme koupili firmu Hyperwise. CPU Level Threat Protection řeší útoky přímo na úrovni procesoru. Jednou z technik, jak dostat do počítače malware totiž je, že se do něj dostane miniaturní kousek kódu, který si pak dokáže malware stáhnout, čímž opět obchází řadu bezpečnostních technik. Nejde totiž o útok zvenčí, nýbrž zevnitř.

Jednou z těchto technik je ROP – Return Oriented Programming, kdy tento malý kousek kódu umí přesměrovat instrukce na procesor. V kódu procesoru je vždy obrovské množství instrukcí a některé z nich se dají poskládat trochu jinak – tak, aby procesor udělal něco jiného, než původně měl. Původní, zkontrolovaný kód je přitom v pořádku a nic závadného neobsahuje. Procesor tak dostane nikoliv kód, který mu byl původně poslán, ale vykoná něco zcela jiného, v tomto případě škodlivý kód. Ten už si může někam sáhnout, stáhnout zbytek malwaru a způsobit škodu. Check Point má dnes technologii, která může tomuto předcházet a tuto techniku prostě zaříznout, a to na nejnižší procesorové úrovni. Tyto techniky jsou jinak velmi těžko odhalitelné a neexistuje na ně příliš mnoho způsobů, jak je objevit a předcházet jim.

Dá se říci, že vaše technologie CPU Level Threat Protection by uměla odhalit i rootkit?

Zprostředkovaně ano, přestože jde o jiný typ útoků. Umí nicméně odhalit činnosti, které mají za úkol rootkit do počítače dostat a tím zamezit jeho výskyt v systému.

Když vše shrnu, tak Threat Extraction, Threat Emulation a CPU Level Threat Protectionjsou tři základní kameny ochrany proto hrozbám společnosti Check Point. Nabízíme vše jako celek a říkáme tomu Sand Blast. Tak jako je sand box místo, kde se provádí emulace proti hrozbám, náš Sand Blast je komplexnější technologií. Checkpoint Sand Blast jde za hranice sand boxu – „pískoviště“ emulace a umí chránit nejen proti známým hrozbám, ale i proti těm neznámým, které umíme odhalit bez jejich prvotní znalosti.

Technologicky jsme se dostali o velký kus dopředu – jak samozřejmě před ostatními technologickými výrobci antimalwaru, tak před útočníky.

Vždy jde o boj dvou stran – někdo vymyslí nový typ útoku, druhý jak se mu bránit. Metody celého balíku Threat Extraction a Threat Emulation předcházejí spoustě dnes známým technikám hrozeb zero-day-attacks, které normální způsoby antimalwaru neumějí na základě detekce známých hrozeb překonat. V Check Pointu máme technologii, která tento typ útoků umí odhalit a je šance, že s útočníky budeme opět nějakou dobu držet krok.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů

Starší zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 2 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů