Thierry Karsenti, evropský technologický viceprezident společnosti Check Point se na konferenci Check Point Security Day v Praze stručně zmínil o nových bezpečnostních technologiích. Co umějí z technologického hlediska jsme se zeptali Davida Řeháčka, který pracuje v lokálním zastoupení Check Pointu.
Mohl byste nové technologie Check Pointu pojmenovat a přiblížit, jak fungují?
Pro Threat Prevention – ochranu proti hrozbám, existuje více technologií a každá z nich řeší nějakým způsobem jak odstranit známé hrozby, pro které existují tzv. signatury. Náš pohled na tuto problematiku je ten, že ochrana proti známým hrozbám není už nejdůležitější – nikoliv však v tom smyslu, že by neměla v prostředí IT existovat, naopak. Měla by být naprosto základní součástí jeho ochrany, ať už jde o síť, server nebo koncovou stanici, bez diskuze. Pro analogii jen uvedu, že když jdu ven a je zima, vezmu si automaticky kabát a vůbec o tom nepřemýšlím.
Dnes však je zásadní ochrana proti neznámým hrozbám, říkáme jim zero-day-attacks, útoky nultého dne, pro které známé malwarové signatury neexistují a způsobují prvotní útoky a úniky dat. I my jsme přemýšleli, jak tomuto čelit a vytvořili jsme několik nových technologií – Threat Extraction, Threat Emulation a ochranu na úrovni procesoru – CPU Level Threat Protection.
Threat Extraction je zaměřena zejména na přílohy e-mailů, bavíme se o připojených souborech v běžných dokumentů ve formátech PDF a dokumenty Microsoft Office. Pokud se tak stane, naše technologie umí ve virtualizovaném prostředí velmi rychle zkontrolovat a zjistit, zda obsahuje aktivní kód, a to v řádu zlomků vteřin. Za aktivní kód považujeme různé skripty, spustitelné kódy v podobě maker, ale i odkazy v HTML. Pokud jej příloha obsahuje, považujeme tento kód za potenciální nebezpečí. Neznamená to, že to je špatně, protože běžná makra v Excelu nebo ve Wordu nemusejí být nebezpečná, potenciální průšvih podstrčený hackerem se v nich však skrývat může. Veškerý takovýto aktivní obsah z dokumentů odstraníme a cílovému příjemci pošleme dokument bez něj, čistý soubor, takže 100% zaručíme, že příloha, kterou dostane, neobsahuje škodlivý kód.
Nedostane tak žádný závadný kód, i když například text HTML odkazu v dokumentu zůstává, avšak bez možnosti prokliku, který by uživatele mohl přesměrovat na závadné stránky místo těch, které se jako odkaz zobrazují. Například ve Wordu vytvoříme naprosto čistý nový (textově identický) dokument a překopírujeme jej do přílohy – jen obsah, bez maker, aktivních HTML odkazů nebo skriptů. Uživatel navíc dostane v e-mailu upozornění, že došlo ke kontrole souboru, jehož součástí byl potenciálně rizikový obsah, od kterého byl vyčištěn. Pokud uživatel původní soubor požaduje, může si kliknout na odkaz uvedený v mailu a stáhnout si jej z úložiště. Například když ví, že jde o odesílatele, zdroj kterému věří. Dalšími variantami je vytištění původního souboru do formátů PDF nebo TIFF, které jsou také zcela čisté. Záleží na tom, jak nastaví systém administrátor v té které organizaci podle vlastních bezpečnostních pravidel. Jde o rychlou akci bez zpoždění, hlavně však je důležité, že příjemce data dostane, že neskončí v nějakém sandboxu, nebo někde jinde ve ztracenu.
Threat Emulation je druhou novou technologií Check Pointu. Příloha, která byla označena jako potenciálně nebezpečná, skončí ve virtuálním prostředí, kde provedeme emulaci jeho chování. Toto prostředí běží buď v našem cloudu, nebo – pokud jde o větší organizaci, která vyžaduje správu všech dat ve svém prostředí nebo to regulační předpisy dané organizace nařizují – může tuto emulaci dělat na stroji ve vlastním perimetru, jehož prostředí má zcela pod kontrolou. Tam běží několik instancí operačních systémů, typicky Windows XP nebo Windows 7. Toto si správce nastaví sám – pokud ve firmě například nepoužívají Windows XP, nemá smysl emulovat kód v došlé příloze a sledovat jeho chování v prostředí tohoto OS.
Při emulaci se soubor otevře a pokud začne něco dělat, monitorujeme to. Příkladem podezřelého chování je samovolný zápis do registrů OS, otevírání stránek na internetu, stahování a spouštění kódu. V těchto případech jde o typické chování, které se od textového dokumentu nebo od pdf neočekává. Nečekám přece, že dokument s výroční správou začne zapisovat do registrů nebo stahovat kódy. Pokud se začne takto chovat, označíme jej za nositele malwaru a už jej ani k cílovému uživateli nepustíme, ani nemá možnost si jej stáhnout. Dostane pouze přes Threat Extraction vyčištěný soubor, bez škodlivých kódů. Protistrana je chytrá a může se i tomu bránit – například nastavit spouštění kódu až po určité době po doručení, za týden, i měsíc po doručení – kdo by normálně emuloval přílohu po tak dlouhé době a zjišťoval, zda není nebezpečná? Normální způsob emulace probíhá v řádu jednotek minut a pokud se nic neděje, soubor se pouští dál.
Nebo zabudovaný malware umožňuje rozpoznat, že je uložen ve virtualizovaném prostředí a kódy nespustí. Checkpoint však reaguje i na tyto varianty chování malwaru, tyto techniky známe, umíme se jim bránit a zajistit, že škodlivý kód emulaci neobejde a do systému nepronikne.
CPU Level Threat Protection je třetí kostičkou do skládačky Check Pointu, kvůli které jsme koupili firmu Hyperwise. CPU Level Threat Protection řeší útoky přímo na úrovni procesoru. Jednou z technik, jak dostat do počítače malware totiž je, že se do něj dostane miniaturní kousek kódu, který si pak dokáže malware stáhnout, čímž opět obchází řadu bezpečnostních technik. Nejde totiž o útok zvenčí, nýbrž zevnitř.
Jednou z těchto technik je ROP – Return Oriented Programming, kdy tento malý kousek kódu umí přesměrovat instrukce na procesor. V kódu procesoru je vždy obrovské množství instrukcí a některé z nich se dají poskládat trochu jinak – tak, aby procesor udělal něco jiného, než původně měl. Původní, zkontrolovaný kód je přitom v pořádku a nic závadného neobsahuje. Procesor tak dostane nikoliv kód, který mu byl původně poslán, ale vykoná něco zcela jiného, v tomto případě škodlivý kód. Ten už si může někam sáhnout, stáhnout zbytek malwaru a způsobit škodu. Check Point má dnes technologii, která může tomuto předcházet a tuto techniku prostě zaříznout, a to na nejnižší procesorové úrovni. Tyto techniky jsou jinak velmi těžko odhalitelné a neexistuje na ně příliš mnoho způsobů, jak je objevit a předcházet jim.
Dá se říci, že vaše technologie CPU Level Threat Protection by uměla odhalit i rootkit?
Zprostředkovaně ano, přestože jde o jiný typ útoků. Umí nicméně odhalit činnosti, které mají za úkol rootkit do počítače dostat a tím zamezit jeho výskyt v systému.
Když vše shrnu, tak
Threat Extraction, Threat Emulation a CPU Level Threat Protectionjsou tři základní kameny ochrany proto hrozbám společnosti Check Point. Nabízíme vše jako celek a říkáme tomu Sand Blast. Tak jako je sand box místo, kde se provádí emulace proti hrozbám, náš Sand Blast je komplexnější technologií. Checkpoint Sand Blast jde za hranice sand boxu – „pískoviště“ emulace a umí chránit nejen proti známým hrozbám, ale i proti těm neznámým, které umíme odhalit bez jejich prvotní znalosti.
Technologicky jsme se dostali o velký kus dopředu – jak samozřejmě před ostatními technologickými výrobci antimalwaru, tak před útočníky.
Vždy jde o boj dvou stran – někdo vymyslí nový typ útoku, druhý jak se mu bránit. Metody celého balíku Threat Extraction a Threat Emulation předcházejí spoustě dnes známým technikám hrozeb zero-day-attacks, které normální způsoby antimalwaru neumějí na základě detekce známých hrozeb překonat. V Check Pointu máme technologii, která tento typ útoků umí odhalit a je šance, že s útočníky budeme opět nějakou dobu držet krok.
- Check Point SandBlast: Nové řešení prevence hrozeb a ochrany proti škodlivému kódu
- Napadení malwarem je problém byznysu
- Check Point ve spolupráci s VMware nabízí pokročilou ochranu pro softwarově definovaná datová centra
- Check Point představuje nové zařízení na ochranu průmyslových řídicích systémů proti kyberhrozbám
- Check Point představil celosvětovou mapu kyberhrozeb a ukazuje útoky v reálném čase