Emulace nepřítele v IT prostředích

David Řeháček , 14. srpen 2013 10:00 3 komentářů
Emulace nepřítele v IT prostředích

Úsloví „poznej svého nepřítele stejně, jako znáš sám sebe“, platí ve světě IT bezpečnosti dvojnásob. Podniky čelí stále novým protivníkům, kterých každým dnem přibývá. Chtějí útočit, narušovat provoz a nenápadně získávat důvěrné informace, k čemuž využívají úžasné spektrum škodlivých kódů. Poznání nepřítele se tedy mění ve velmi náročný, ale nutný úkol.

Z kybernetické kriminality se stal velký byznys, stejně jako z každého jiného oboru. Zločinci chtějí navyšovat své příjmy i teoretický tržní podíl. Svými útoky tedy cílí na stovky či tisíce společností a chtějí zvýšit pravděpodobnost úspěchu. Nejčastěji používanou útočnou technikou je neviditelný malware, který má velmi nízkou pravděpodobnost detekce bezpečnostními systémy a operuje mimo viditelné spektrum IT týmů.

Pro dokreslení představy o průmyslovém měřítku současné kybernetické kriminality poslouží počty nových vzorků malwaru, které byly vytvořeny a distribuovány každý den v roce 2012 - šlo o 70 až 100 tisíc škodlivých kódů denně. Oproti roku 2011 se jejich počet zdesetinásobil, ve srovnání s rokem 2006 došlo k více než stonásobnému nárůstu. Pro konvenční anti-malwarové přístupy je nemožné držet tempo s tímto masivním růstem. Studie Check Point 2013 Security Report zjistila, že 63 procent organizací bylo infikováno boty a více než polovina se každý den nakazila novým škodlivým kódem.

Mimo vizuální kontakt

Bojový kodex valné většiny nových infekcí má podobu běžně využívaných typů souborů, které každý využívá k práci. Jde například o e-maily, dokumenty Word nebo PDF soubory, tabulky Excel a podobně. Hackeři mají vypracovány postupy a disponují nástroji, kterými ukryjí vykonavatelné skripty v těchto souborech a zamaskují jejich škodlivou činnost. Znamená to, že změní registry v infikovaném počítači nebo stáhnou spustitelný program, který následně infikuje celou síť. S rostoucím objemem přenosů v podnikových sítích a s rostoucími počty distribuovaného a do neškodně vyhlížejících souborů ukrývaného malwaru se organizace stávají velmi zranitelné na tzv. útoky nultého dne (zero-day attacks). A i když obranné vrstvy v podobě řešení IPS a IDS mohou pomoci s blokací některých aktivit malwaru, přece jen nezabrání infekcím, které dorazily do sítě a šíří se v ní.

Už vzhledem k počtu a komplexnosti nových útoků můžeme jen stěží doufat, že víme vše o našich nepřátelích. Můžeme však pochopit jejich záměry a poznat metody, které k útokům pravděpodobně využijí. Získáme tak životně důležité informace, které mohou být využity pro identifikaci a eliminaci nových rizik.

Stejně jako bude hraniční kontrola využívat řadu technik k pozorování vstupujících lidí a k identifikaci těch, kteří představují hrozbu, i nové bezpečnostní techniky umožnily kontrolovat e-maily, soubory a data vstupující do sítě. Dokáží i izolovat škodlivé soubory na síťové hranici. K infekci tudíž nedojde a nebude ani nijak ovlivněn chod byznysu.

Pozorovat, emulovat, sdílet, chránit

Sun-c
Sun-c'
Výše popsaného efektu lze dosáhnout s pomocí techniky zvané emulace hrozeb. Podobně jako rentgenové skenery na hraničních kontrolách umožňuje i tato metoda nahlížet do nitra vyšetřovaných souborů, které dorazí ke vstupní bráně podnikové sítě. Jejich obsah je kontrolován ve virtualizovaném a odděleném prostředí, označovaném jako „sandbox“. V něm dochází k otevření nebo spuštění podezřelého souboru, následně je v reálném čase sledováno jeho chování, respektive chování neobvyklé. Může jít například o pokusy o abnormální změny v registrech, případně o síťová spojení. Je-li chování souboru shledáno podezřelým nebo škodlivým, dojde k jeho přesunu do karantény a k zablokování. V podstatě jde o prevenci jakýchkoli možných infekcí předtím, než vstoupí do sítě a způsobí škodu.

Po detekci a blokaci škodlivého souboru mohou organizace sdílet informace o nových hrozbách. Pomohou tak dalším v obraně před infekcemi. Díky tomu se šíří získaná znalost nových nepřátel, což je podobné spolupráci globálních zdravotních organizací v boji s šířícími se nákazami. Minimalizuje se tak časové okno mezi objevením nového útoku a přípravou k obraně proti němu.

Studie z roku 2012 zjistila, že u 85 procent narušení kybernetickými útoky trvalo týdny nebo ještě déle, než byly alespoň objeveny. Pokud mohou společnosti sdílet on-line informace o pokročilých hrozbách ve chvíli, kdy jsou identifikovány a předtím, než infikují další sítě, míra infekcí se může dramaticky snížit. Širší podnikové komunitě lze tímto způsobem pomoci k tomu, aby se o společném nepříteli dozvěděla alespoň něco ještě předtím, než dojde k útoku. Emulace se může stát jednou z nejsilnějších metod ochrany proti novým hrozbám.

David Řeháček

Autor je Field Marketing Managerem pro Východní Evropu a Řecko ve společnosti Check Point Software Technologies.


Komentáře

peter #1
peter 14. srpen 2013 19:03

ako dlho trva prechod zo sandboxu az kym sa infikovnae pdf posle realne do siete ?
ako je riesena ochrana proti "spiacemu" kodu ktory sa spusti az o niekolko dni/tyzdnov ?

rootless rooter #2
rootless rooter 15. srpen 2013 09:10

imho placete na nespravnom hrobe - vsimnite si,ze clanok napisal ' Field Marketing Manager'
inak clanok nuda,navyse plny buzzwords [kyberneticke utoky ftw!]

Petr Kadrmas, CheckPoint #3
Petr Kadrmas, CheckPoint 15. srpen 2013 10:17

Emulace v popisovaném řešení Threat Emulation od společnosti Check Point trvá přibližně 60-70 sekund. Po tu dobu se sledují a vyhodnocují aktivity při otevření/spuštění souboru v různých verzích OS a pomocí různých prohlížečů.
Pokud malware v dokumentu používá časové zpoždění a/ nebo nebo čeká na aktivity uživatele, musí spusit proces, který sleduje čas nebo činnost uživatele. Threat Emulation takový proces detekuje a na základě toho může určit, že má daný soubor škodlivý obsah.

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

Starší zprávičky

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů

Apple poskytne investici 390 milionů USD firmě Finisar

ČTK , 14. prosinec 2017 08:00

Výrobce optických komponentů Finisar získá investici 390 milionů dolarů od firmy Apple....

Více 0 komentářů

Facebook se chystá danit příjmy z reklamy v jednotlivých zemích

ČTK , 14. prosinec 2017 08:00

Změna se má uskutečnit do poloviny roku 2019 a týkat se bude zhruba 30 zemí, kde má firma kanceláře....

Více 0 komentářů