margin-top: 125px; border: 1px solid gray; } -->

Emulace nepřítele v IT prostředích

David Řeháček , 14. srpen 2013 10:00 3 komentářů
Emulace nepřítele v IT prostředích

Úsloví „poznej svého nepřítele stejně, jako znáš sám sebe“, platí ve světě IT bezpečnosti dvojnásob. Podniky čelí stále novým protivníkům, kterých každým dnem přibývá. Chtějí útočit, narušovat provoz a nenápadně získávat důvěrné informace, k čemuž využívají úžasné spektrum škodlivých kódů. Poznání nepřítele se tedy mění ve velmi náročný, ale nutný úkol.

Z kybernetické kriminality se stal velký byznys, stejně jako z každého jiného oboru. Zločinci chtějí navyšovat své příjmy i teoretický tržní podíl. Svými útoky tedy cílí na stovky či tisíce společností a chtějí zvýšit pravděpodobnost úspěchu. Nejčastěji používanou útočnou technikou je neviditelný malware, který má velmi nízkou pravděpodobnost detekce bezpečnostními systémy a operuje mimo viditelné spektrum IT týmů.

Pro dokreslení představy o průmyslovém měřítku současné kybernetické kriminality poslouží počty nových vzorků malwaru, které byly vytvořeny a distribuovány každý den v roce 2012 - šlo o 70 až 100 tisíc škodlivých kódů denně. Oproti roku 2011 se jejich počet zdesetinásobil, ve srovnání s rokem 2006 došlo k více než stonásobnému nárůstu. Pro konvenční anti-malwarové přístupy je nemožné držet tempo s tímto masivním růstem. Studie Check Point 2013 Security Report zjistila, že 63 procent organizací bylo infikováno boty a více než polovina se každý den nakazila novým škodlivým kódem.

Mimo vizuální kontakt

Bojový kodex valné většiny nových infekcí má podobu běžně využívaných typů souborů, které každý využívá k práci. Jde například o e-maily, dokumenty Word nebo PDF soubory, tabulky Excel a podobně. Hackeři mají vypracovány postupy a disponují nástroji, kterými ukryjí vykonavatelné skripty v těchto souborech a zamaskují jejich škodlivou činnost. Znamená to, že změní registry v infikovaném počítači nebo stáhnou spustitelný program, který následně infikuje celou síť. S rostoucím objemem přenosů v podnikových sítích a s rostoucími počty distribuovaného a do neškodně vyhlížejících souborů ukrývaného malwaru se organizace stávají velmi zranitelné na tzv. útoky nultého dne (zero-day attacks). A i když obranné vrstvy v podobě řešení IPS a IDS mohou pomoci s blokací některých aktivit malwaru, přece jen nezabrání infekcím, které dorazily do sítě a šíří se v ní.

Už vzhledem k počtu a komplexnosti nových útoků můžeme jen stěží doufat, že víme vše o našich nepřátelích. Můžeme však pochopit jejich záměry a poznat metody, které k útokům pravděpodobně využijí. Získáme tak životně důležité informace, které mohou být využity pro identifikaci a eliminaci nových rizik.

Stejně jako bude hraniční kontrola využívat řadu technik k pozorování vstupujících lidí a k identifikaci těch, kteří představují hrozbu, i nové bezpečnostní techniky umožnily kontrolovat e-maily, soubory a data vstupující do sítě. Dokáží i izolovat škodlivé soubory na síťové hranici. K infekci tudíž nedojde a nebude ani nijak ovlivněn chod byznysu.

Pozorovat, emulovat, sdílet, chránit

Sun-c
Sun-c'
Výše popsaného efektu lze dosáhnout s pomocí techniky zvané emulace hrozeb. Podobně jako rentgenové skenery na hraničních kontrolách umožňuje i tato metoda nahlížet do nitra vyšetřovaných souborů, které dorazí ke vstupní bráně podnikové sítě. Jejich obsah je kontrolován ve virtualizovaném a odděleném prostředí, označovaném jako „sandbox“. V něm dochází k otevření nebo spuštění podezřelého souboru, následně je v reálném čase sledováno jeho chování, respektive chování neobvyklé. Může jít například o pokusy o abnormální změny v registrech, případně o síťová spojení. Je-li chování souboru shledáno podezřelým nebo škodlivým, dojde k jeho přesunu do karantény a k zablokování. V podstatě jde o prevenci jakýchkoli možných infekcí předtím, než vstoupí do sítě a způsobí škodu.

Po detekci a blokaci škodlivého souboru mohou organizace sdílet informace o nových hrozbách. Pomohou tak dalším v obraně před infekcemi. Díky tomu se šíří získaná znalost nových nepřátel, což je podobné spolupráci globálních zdravotních organizací v boji s šířícími se nákazami. Minimalizuje se tak časové okno mezi objevením nového útoku a přípravou k obraně proti němu.

Studie z roku 2012 zjistila, že u 85 procent narušení kybernetickými útoky trvalo týdny nebo ještě déle, než byly alespoň objeveny. Pokud mohou společnosti sdílet on-line informace o pokročilých hrozbách ve chvíli, kdy jsou identifikovány a předtím, než infikují další sítě, míra infekcí se může dramaticky snížit. Širší podnikové komunitě lze tímto způsobem pomoci k tomu, aby se o společném nepříteli dozvěděla alespoň něco ještě předtím, než dojde k útoku. Emulace se může stát jednou z nejsilnějších metod ochrany proti novým hrozbám.

David Řeháček

Autor je Field Marketing Managerem pro Východní Evropu a Řecko ve společnosti Check Point Software Technologies.


Komentáře

peter #1
peter 14. srpen 2013 19:03

ako dlho trva prechod zo sandboxu az kym sa infikovnae pdf posle realne do siete ?
ako je riesena ochrana proti "spiacemu" kodu ktory sa spusti az o niekolko dni/tyzdnov ?

rootless rooter #2
rootless rooter 15. srpen 2013 09:10

imho placete na nespravnom hrobe - vsimnite si,ze clanok napisal ' Field Marketing Manager'
inak clanok nuda,navyse plny buzzwords [kyberneticke utoky ftw!]

Petr Kadrmas, CheckPoint #3
Petr Kadrmas, CheckPoint 15. srpen 2013 10:17

Emulace v popisovaném řešení Threat Emulation od společnosti Check Point trvá přibližně 60-70 sekund. Po tu dobu se sledují a vyhodnocují aktivity při otevření/spuštění souboru v různých verzích OS a pomocí různých prohlížečů.
Pokud malware v dokumentu používá časové zpoždění a/ nebo nebo čeká na aktivity uživatele, musí spusit proces, který sleduje čas nebo činnost uživatele. Threat Emulation takový proces detekuje a na základě toho může určit, že má daný soubor škodlivý obsah.

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
25. 03. INSPO 2017
RSS 

Zprávičky

Bosch a IBM začaly spolupracovat na IoT pro průmysl

Pavel Houser , 24. březen 2017 13:08

Výrobci aut mohou nyní plánovat a organizovat aktualizaci softwaru u milionů vozů....

Více 0 komentářů

Apple čeká na Novém Zélandu vyšetřování kvůli daním

ČTK , 24. březen 2017 13:00

Americkou společnost Apple čeká na Novém Zélandu vyšetřování, navzdory miliardovému obratu tam totiž...

Více 0 komentářů

Huawei a SUSE spolupracují na platformě pro kritické úlohy

Pavel Houser , 24. březen 2017 11:42

SUSE Linux Enterprise Server jako preferovaný standardní OS pro KunLu umožňuje výměnu procesorů a pa...

Více 0 komentářů

Starší zprávičky

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů

Jen necelá polovina firem pravidelně zkoumá data o zákaznících

ITBiz.cz , 23. březen 2017 14:30

Podle studie společnosti Oracle pouze 44 % firem pravidelně zkoumá data o svých zákaznících s cílem ...

Více 0 komentářů

Google umožní sdílení polohy přes aplikaci Google Maps

ČTK , 23. březen 2017 13:30

Uživatelé populární mapové aplikace Google Maps budou moci od příštího týdne sdílet s ostatními svou...

Více 0 komentářů