margin-top: 125px; border: 1px solid gray; } -->

Emulace nepřítele v IT prostředích

David Řeháček , 14. srpen 2013 10:00 3 komentářů
Emulace nepřítele v IT prostředích

Úsloví „poznej svého nepřítele stejně, jako znáš sám sebe“, platí ve světě IT bezpečnosti dvojnásob. Podniky čelí stále novým protivníkům, kterých každým dnem přibývá. Chtějí útočit, narušovat provoz a nenápadně získávat důvěrné informace, k čemuž využívají úžasné spektrum škodlivých kódů. Poznání nepřítele se tedy mění ve velmi náročný, ale nutný úkol.

Z kybernetické kriminality se stal velký byznys, stejně jako z každého jiného oboru. Zločinci chtějí navyšovat své příjmy i teoretický tržní podíl. Svými útoky tedy cílí na stovky či tisíce společností a chtějí zvýšit pravděpodobnost úspěchu. Nejčastěji používanou útočnou technikou je neviditelný malware, který má velmi nízkou pravděpodobnost detekce bezpečnostními systémy a operuje mimo viditelné spektrum IT týmů.

Pro dokreslení představy o průmyslovém měřítku současné kybernetické kriminality poslouží počty nových vzorků malwaru, které byly vytvořeny a distribuovány každý den v roce 2012 - šlo o 70 až 100 tisíc škodlivých kódů denně. Oproti roku 2011 se jejich počet zdesetinásobil, ve srovnání s rokem 2006 došlo k více než stonásobnému nárůstu. Pro konvenční anti-malwarové přístupy je nemožné držet tempo s tímto masivním růstem. Studie Check Point 2013 Security Report zjistila, že 63 procent organizací bylo infikováno boty a více než polovina se každý den nakazila novým škodlivým kódem.

Mimo vizuální kontakt

Bojový kodex valné většiny nových infekcí má podobu běžně využívaných typů souborů, které každý využívá k práci. Jde například o e-maily, dokumenty Word nebo PDF soubory, tabulky Excel a podobně. Hackeři mají vypracovány postupy a disponují nástroji, kterými ukryjí vykonavatelné skripty v těchto souborech a zamaskují jejich škodlivou činnost. Znamená to, že změní registry v infikovaném počítači nebo stáhnou spustitelný program, který následně infikuje celou síť. S rostoucím objemem přenosů v podnikových sítích a s rostoucími počty distribuovaného a do neškodně vyhlížejících souborů ukrývaného malwaru se organizace stávají velmi zranitelné na tzv. útoky nultého dne (zero-day attacks). A i když obranné vrstvy v podobě řešení IPS a IDS mohou pomoci s blokací některých aktivit malwaru, přece jen nezabrání infekcím, které dorazily do sítě a šíří se v ní.

Už vzhledem k počtu a komplexnosti nových útoků můžeme jen stěží doufat, že víme vše o našich nepřátelích. Můžeme však pochopit jejich záměry a poznat metody, které k útokům pravděpodobně využijí. Získáme tak životně důležité informace, které mohou být využity pro identifikaci a eliminaci nových rizik.

Stejně jako bude hraniční kontrola využívat řadu technik k pozorování vstupujících lidí a k identifikaci těch, kteří představují hrozbu, i nové bezpečnostní techniky umožnily kontrolovat e-maily, soubory a data vstupující do sítě. Dokáží i izolovat škodlivé soubory na síťové hranici. K infekci tudíž nedojde a nebude ani nijak ovlivněn chod byznysu.

Pozorovat, emulovat, sdílet, chránit

Sun-c
Sun-c'
Výše popsaného efektu lze dosáhnout s pomocí techniky zvané emulace hrozeb. Podobně jako rentgenové skenery na hraničních kontrolách umožňuje i tato metoda nahlížet do nitra vyšetřovaných souborů, které dorazí ke vstupní bráně podnikové sítě. Jejich obsah je kontrolován ve virtualizovaném a odděleném prostředí, označovaném jako „sandbox“. V něm dochází k otevření nebo spuštění podezřelého souboru, následně je v reálném čase sledováno jeho chování, respektive chování neobvyklé. Může jít například o pokusy o abnormální změny v registrech, případně o síťová spojení. Je-li chování souboru shledáno podezřelým nebo škodlivým, dojde k jeho přesunu do karantény a k zablokování. V podstatě jde o prevenci jakýchkoli možných infekcí předtím, než vstoupí do sítě a způsobí škodu.

Po detekci a blokaci škodlivého souboru mohou organizace sdílet informace o nových hrozbách. Pomohou tak dalším v obraně před infekcemi. Díky tomu se šíří získaná znalost nových nepřátel, což je podobné spolupráci globálních zdravotních organizací v boji s šířícími se nákazami. Minimalizuje se tak časové okno mezi objevením nového útoku a přípravou k obraně proti němu.

Studie z roku 2012 zjistila, že u 85 procent narušení kybernetickými útoky trvalo týdny nebo ještě déle, než byly alespoň objeveny. Pokud mohou společnosti sdílet on-line informace o pokročilých hrozbách ve chvíli, kdy jsou identifikovány a předtím, než infikují další sítě, míra infekcí se může dramaticky snížit. Širší podnikové komunitě lze tímto způsobem pomoci k tomu, aby se o společném nepříteli dozvěděla alespoň něco ještě předtím, než dojde k útoku. Emulace se může stát jednou z nejsilnějších metod ochrany proti novým hrozbám.

David Řeháček

Autor je Field Marketing Managerem pro Východní Evropu a Řecko ve společnosti Check Point Software Technologies.


Komentáře

peter #1
peter 14. srpen 2013 19:03

ako dlho trva prechod zo sandboxu az kym sa infikovnae pdf posle realne do siete ?
ako je riesena ochrana proti "spiacemu" kodu ktory sa spusti az o niekolko dni/tyzdnov ?

rootless rooter #2
rootless rooter 15. srpen 2013 09:10

imho placete na nespravnom hrobe - vsimnite si,ze clanok napisal ' Field Marketing Manager'
inak clanok nuda,navyse plny buzzwords [kyberneticke utoky ftw!]

Petr Kadrmas, CheckPoint #3
Petr Kadrmas, CheckPoint 15. srpen 2013 10:17

Emulace v popisovaném řešení Threat Emulation od společnosti Check Point trvá přibližně 60-70 sekund. Po tu dobu se sledují a vyhodnocují aktivity při otevření/spuštění souboru v různých verzích OS a pomocí různých prohlížečů.
Pokud malware v dokumentu používá časové zpoždění a/ nebo nebo čeká na aktivity uživatele, musí spusit proces, který sleduje čas nebo činnost uživatele. Threat Emulation takový proces detekuje a na základě toho může určit, že má daný soubor škodlivý obsah.

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

O digitální transformaci usiluje více než polovina českých podniků

Pavel Houser , 27. duben 2017 18:39

Spojení IoT a AI: Zařízení internetu věcí generují velké objemy dat, které mají bez rychlého zpracov...

Více 0 komentářů

Twitter snížil čtvrtletní ztrátu na 61,6 milionu dolarů

ČTK , 27. duben 2017 15:30

Čtvrtletní ztráta americké internetové společnosti Twitter se meziročně snížila na 61,6 milionu dola...

Více 0 komentářů

Vláda indického Kašmíru zakázala na měsíc sociální sítě

ČTK , 27. duben 2017 13:00

Vláda indického státu Džammú a Kašmír nařídila nejméně na měsíc blokádu sociálních sítí na kašmírské...

Více 0 komentářů

Starší zprávičky

FlashStation pro analýzu velkých objemů dat

Pavel Houser , 27. duben 2017 11:54

Synology představuje zařízení FlashStation FS2017 Podle dodavatele jde o server NAS typu all-flash ...

Více 0 komentářů

Čtvrtletní zisk Samsungu stoupl téměř o polovinu, LG rostla ještě víc

ČTK , 27. duben 2017 10:00

Ve druhém čtvrtletí by měl výsledky dále podpořit nový Galaxy 8....

Více 0 komentářů

Kamery pro systémy SCADA

Pavel Houser , 27. duben 2017 09:00

Axis uvádí na trh kamery chráněné proti výbuchu pro rychlé zvládání nehod a efektivní běh kriticky n...

Více 0 komentářů

Praha pořídí navigaci pro návštěvníky Škodova paláce

ČTK , 26. duben 2017 15:30

Praha pořídí navigaci pro návštěvníky Škodova paláce. Na internetových stránkách karty MHD lítačka z...

Více 0 komentářů