margin-top: 125px; border: 1px solid gray; } -->

Emulace nepřítele v IT prostředích

David Řeháček , 14. srpen 2013 10:00 3 komentářů
Emulace nepřítele v IT prostředích

Úsloví „poznej svého nepřítele stejně, jako znáš sám sebe“, platí ve světě IT bezpečnosti dvojnásob. Podniky čelí stále novým protivníkům, kterých každým dnem přibývá. Chtějí útočit, narušovat provoz a nenápadně získávat důvěrné informace, k čemuž využívají úžasné spektrum škodlivých kódů. Poznání nepřítele se tedy mění ve velmi náročný, ale nutný úkol.

Z kybernetické kriminality se stal velký byznys, stejně jako z každého jiného oboru. Zločinci chtějí navyšovat své příjmy i teoretický tržní podíl. Svými útoky tedy cílí na stovky či tisíce společností a chtějí zvýšit pravděpodobnost úspěchu. Nejčastěji používanou útočnou technikou je neviditelný malware, který má velmi nízkou pravděpodobnost detekce bezpečnostními systémy a operuje mimo viditelné spektrum IT týmů.

Pro dokreslení představy o průmyslovém měřítku současné kybernetické kriminality poslouží počty nových vzorků malwaru, které byly vytvořeny a distribuovány každý den v roce 2012 - šlo o 70 až 100 tisíc škodlivých kódů denně. Oproti roku 2011 se jejich počet zdesetinásobil, ve srovnání s rokem 2006 došlo k více než stonásobnému nárůstu. Pro konvenční anti-malwarové přístupy je nemožné držet tempo s tímto masivním růstem. Studie Check Point 2013 Security Report zjistila, že 63 procent organizací bylo infikováno boty a více než polovina se každý den nakazila novým škodlivým kódem.

Mimo vizuální kontakt

Bojový kodex valné většiny nových infekcí má podobu běžně využívaných typů souborů, které každý využívá k práci. Jde například o e-maily, dokumenty Word nebo PDF soubory, tabulky Excel a podobně. Hackeři mají vypracovány postupy a disponují nástroji, kterými ukryjí vykonavatelné skripty v těchto souborech a zamaskují jejich škodlivou činnost. Znamená to, že změní registry v infikovaném počítači nebo stáhnou spustitelný program, který následně infikuje celou síť. S rostoucím objemem přenosů v podnikových sítích a s rostoucími počty distribuovaného a do neškodně vyhlížejících souborů ukrývaného malwaru se organizace stávají velmi zranitelné na tzv. útoky nultého dne (zero-day attacks). A i když obranné vrstvy v podobě řešení IPS a IDS mohou pomoci s blokací některých aktivit malwaru, přece jen nezabrání infekcím, které dorazily do sítě a šíří se v ní.

Už vzhledem k počtu a komplexnosti nových útoků můžeme jen stěží doufat, že víme vše o našich nepřátelích. Můžeme však pochopit jejich záměry a poznat metody, které k útokům pravděpodobně využijí. Získáme tak životně důležité informace, které mohou být využity pro identifikaci a eliminaci nových rizik.

Stejně jako bude hraniční kontrola využívat řadu technik k pozorování vstupujících lidí a k identifikaci těch, kteří představují hrozbu, i nové bezpečnostní techniky umožnily kontrolovat e-maily, soubory a data vstupující do sítě. Dokáží i izolovat škodlivé soubory na síťové hranici. K infekci tudíž nedojde a nebude ani nijak ovlivněn chod byznysu.

Pozorovat, emulovat, sdílet, chránit

Sun-c
Sun-c'
Výše popsaného efektu lze dosáhnout s pomocí techniky zvané emulace hrozeb. Podobně jako rentgenové skenery na hraničních kontrolách umožňuje i tato metoda nahlížet do nitra vyšetřovaných souborů, které dorazí ke vstupní bráně podnikové sítě. Jejich obsah je kontrolován ve virtualizovaném a odděleném prostředí, označovaném jako „sandbox“. V něm dochází k otevření nebo spuštění podezřelého souboru, následně je v reálném čase sledováno jeho chování, respektive chování neobvyklé. Může jít například o pokusy o abnormální změny v registrech, případně o síťová spojení. Je-li chování souboru shledáno podezřelým nebo škodlivým, dojde k jeho přesunu do karantény a k zablokování. V podstatě jde o prevenci jakýchkoli možných infekcí předtím, než vstoupí do sítě a způsobí škodu.

Po detekci a blokaci škodlivého souboru mohou organizace sdílet informace o nových hrozbách. Pomohou tak dalším v obraně před infekcemi. Díky tomu se šíří získaná znalost nových nepřátel, což je podobné spolupráci globálních zdravotních organizací v boji s šířícími se nákazami. Minimalizuje se tak časové okno mezi objevením nového útoku a přípravou k obraně proti němu.

Studie z roku 2012 zjistila, že u 85 procent narušení kybernetickými útoky trvalo týdny nebo ještě déle, než byly alespoň objeveny. Pokud mohou společnosti sdílet on-line informace o pokročilých hrozbách ve chvíli, kdy jsou identifikovány a předtím, než infikují další sítě, míra infekcí se může dramaticky snížit. Širší podnikové komunitě lze tímto způsobem pomoci k tomu, aby se o společném nepříteli dozvěděla alespoň něco ještě předtím, než dojde k útoku. Emulace se může stát jednou z nejsilnějších metod ochrany proti novým hrozbám.

David Řeháček

Autor je Field Marketing Managerem pro Východní Evropu a Řecko ve společnosti Check Point Software Technologies.


Komentáře

peter #1
peter 14. srpen 2013 19:03

ako dlho trva prechod zo sandboxu az kym sa infikovnae pdf posle realne do siete ?
ako je riesena ochrana proti "spiacemu" kodu ktory sa spusti az o niekolko dni/tyzdnov ?

rootless rooter #2
rootless rooter 15. srpen 2013 09:10

imho placete na nespravnom hrobe - vsimnite si,ze clanok napisal ' Field Marketing Manager'
inak clanok nuda,navyse plny buzzwords [kyberneticke utoky ftw!]

Petr Kadrmas, CheckPoint #3
Petr Kadrmas, CheckPoint 15. srpen 2013 10:17

Emulace v popisovaném řešení Threat Emulation od společnosti Check Point trvá přibližně 60-70 sekund. Po tu dobu se sledují a vyhodnocují aktivity při otevření/spuštění souboru v různých verzích OS a pomocí různých prohlížečů.
Pokud malware v dokumentu používá časové zpoždění a/ nebo nebo čeká na aktivity uživatele, musí spusit proces, který sleduje čas nebo činnost uživatele. Threat Emulation takový proces detekuje a na základě toho může určit, že má daný soubor škodlivý obsah.

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Mobilní ransomware stále častěji cílí na bohaté státy

Pavel Houser , 29. červen 2017 10:59

USA se posunuly na první pozici žebříčku cílů mobilního ransomwaru kvůli útokům rodin Svpeng a Fusob...

Více 0 komentářů

ČR mezi 10 nejpostiženějšími zeměmi ransomwarového útoku (aktualizace)

Pavel Houser , 29. červen 2017 08:40

K aktuálním útokům ransomwarem, který byl zaznamenán nejprve na Ukrajině a v Rusku, začaly vydávat s...

Více 1 komentářů

Útok hackerů se podařilo zastavit, analytici spekulují o motivu

ČTK , 29. červen 2017 08:00

Česka se útok podle NBÚ týkal spíše okrajově, státní úřady ani firmy důležité pro chod státu napaden...

Více 1 komentářů

Starší zprávičky

Amazon usnadní službami českým podnikům prodej v zahraničí

ČTK , 28. červen 2017 12:00

České firmy při prodeji v jiných zemích často bojují s bariérami, jako jsou vysoké dopravní náklady ...

Více 0 komentářů

Lenovo představuje nové portfolio datových center

Pavel Houser , 28. červen 2017 10:00

Portfolio produktů ThinkSystem spojuje pod jednotnou značkou servery, úložiště a síťové systémy. ...

Více 0 komentářů

Do systému eReceptů zapojena čtvrtina lékařů a většina lékáren

ČTK , 28. červen 2017 09:00

Od 1. ledna příštího roku bude vydávání elektronických receptů pro všechny lékaře povinné. ...

Více 0 komentářů

Nvidia bude spolupracovat s Volvem a VW na samořízených autech

ČTK , 28. červen 2017 08:00

Volvo hodlá uvést autonomní auta na trh do roku 2021, Audi o rok dříve....

Více 0 komentářů