Nová ochrana před útoky využívajícími tzv. laterální pohyby napříč infrastrukturou pokrývá slepá míst na síťových přepínačích a v samostatných LAN segmentech.
Společnost Sophos, celosvětový lídr v oblasti ochrany sítí a koncových bodů, oznámila, že součástí jejího firewallu nové generace Sophos XG je nově i ochrana proti tzv. laterálním pohybům napříč infrastrukturou. Nová funkcionalita má za cíl bránit cíleným, ručně řízeným kybernetickým útokům a exploitům před dalším průnikem do podnikové informační architektury.
Zpráva SophosLabs Threat Report pro rok 2019 předpovídá nárůst cíleného ransomware. S ohledem na efektivitu ransomwarové kampaně SamSam, která dle odhadů vydělala útočníkům v přepočtu více než 148 milionů korun, není žádným překvapením, že se kybernetičtí zločinci o tuto metodu intenzivně zajímají. Útočníci se v těchto případech zaměřují na špatně zabezpečené vstupní body a používají metody s cílem prolomit hrubou silou ochranu heslem pro přístup ke vzdálené ploše. Jakmile se jim to podaří a jsou „uvnitř“, pracují krok za krokem na získání administrátorských přístupů, ovlivnění interního řízení, deaktivaci záložních zdrojů a postupném provádění mnoha dalších aktivit. V době, kdy si většina manažerů vůbec něčeho všimne, je zpravidla dílo zkázy dokonáno.
„Mnohé organizace jsou sice připraveny na boj s automatizovanými útočníky ve formě botů, ale v případě interaktivních útoků vedených člověkem je tomu jinak. Pokud se aktivní kybernetický zločinec dostane do systému oběti, začne vyvíjet různorodé dodatečné aktivity s jediným cílem – dostat se hlouběji do infrastruktury a zabránit svému odhalení. Tyto útoky označované jako laterální lze bez zavedení správných bezpečnostních opatření zastavit jen velmi obtížně,“ uvádí Dan Schiappa, senior viceprezident a produktový ředitel společnosti Sophos. „Většina takových útoků se navíc děje na koncových bodech, což je přesně důvod, proč je synchronizovaná ochrana opravdu důležitá. Útočníci se po průniku do počítače oběti pokoušejí získat výhodu pomocí technik odlišných od těch, které známe z malware, jako jsou například exploity, Mimikatz nebo eskalace oprávnění. Síť musí vědět, že se něco takového děje a jak má reagovat – včetně automatického vypnutí nebo izolace infikovaných strojů ještě předtím, než se něčemu nebo někomu podaří rozšířit v rámci infrastruktury.“
Kybernetické útoky zaměřené na krádeže a výdělek, jako jsou například BitPaymer, Dharma a Ryuk, používají pro neautomatizované doručení ransomware obdobné postupy. Tyto útoky se přitom velmi liší od těch, za nimiž stojí nástroje pro ransomware prodávané na temném webu jako služba RaaS (Ransomware-as-a-Service). Společnost Sophos předpokládá, že ručně řízené útoky budou v roce 2019 pokračovat.
„Zastavením laterálních pohybů – prováděných aktivními živými útočníky nebo exploity v podobě červů – prostřednictvím sdílení informací mezi firewally a koncovými body i automatickým izolováním infikovaných systémů je zásadní součástí ochrany před dnešními hrozbami,“ dodává Dan Schiappa. „Bohužel součástí mnoha podnikových prostředí mohou být slepá místa na úrovni přepínačů nebo síťových segmentů, a právě ta by mohla být vstupním bodem pro další aktivity útočníků. Nová vlastnost firewallu XG brání v dalším šíření hrozeb, dokonce i tam, kde firewall nemá nad síťovým provozem přímou kontrolu.“
*Synchronizovanou ochranou proti útokům napříč infrastrukturou *
Firewall Sophos XG automaticky spolupracuje s produkty značky Sophos pro ochranu koncových bodů, a to včetně řešení Intercept X Advanced s novou technologií pro detekci a reakci na útoky na koncové body (Endpoint Detection and Response, EDR). Cílem je nabídnout novou vrstvu kybernetické bezpečnosti, přičemž firewall k tomu využívá mechanismu Security Heartbeat, který je součástí technologie synchronizované ochrany značky Sophos. Zákazníci tak mají k dispozici inteligentní řešení, které může proaktivně předpovídat a eliminovat hrozby i detekovat a pomocí automatického izolování napadených strojů bránit dalšímu šíření infekce a v neposlední řadě případnou infekci odstranit. Technologie Security Heartbeat umožňuje automaticky izolovat vysoce rizikové koncové body od ostatních ve stejné doméně nebo podsíti.
Komentář IDC
„Důmyslní a agresivní kybernetičtí oponenti jsou při vývoji nových hrozeb ostražití a využívají nové zranitelnosti i ruční postupy. Stále častější metodou je narušení slabě chráněného místa v síti napadené organizace s následným laterálním pohybem napříč infrastrukturou a zvýšením oprávnění,“ uvádí Frank Dickson, viceprezident pro oblast výzkumu v oblasti bezpečnostních produktů ve společnosti IDC.
„Sdílením informací mezi produkty na ochranu sítí a koncových bodů pomocí technologie Security Heartbeat přinesla společnost Sophos inovativní a významnou funkci pro identifikaci a zmírnění dopadů laterálních útoků během několika vteřin včetně automatické prevence proti dalšímu šíření hrozby, kterou zajišťuje pomocí izolace napadeného koncového bodu. Ve spojení s možnostmi firewallu Sophos XG je řešení Intercept X schopno těsnější integrace a díky synergickému přístupu k ochraně podnikové informační architektury může usnadnit práci profesionálům v oblasti kybernetické bezpečnosti.“
Komentář Pine Cove Consulting
„Před několika lety, kdy všichni mluvili o potřebě využít nejlepší dostupné produkty k vytvoření vrstvené bezpečnosti, přišel Sophos se synchronizovanou ochranou a svým mechanismem Security Heartbeat způsobil na trhu s kybernetickou bezpečností opravdovou revoluci. V dnešním světě neustálých a vyvíjejících se útoků je důležitější než kdy dříve mít k dispozici produkty pro ochranu koncových bodů a sítí, které mezi sebou dokáží komunikovat a mohou vzájemně sdílet důležité informace,“ konstatuje Brandon Vancleeve, viceprezident firmy Pine Cove Consulting, která je partnerem společnosti Sophos.
„Nová ochrana před útoky využívajícími laterální pohyby je obrovským vylepšením toho, co nám dnes nabízí již tak mocná synchronizovaná ochrana značky Sophos. A nyní mohou firewally XG i prostředky pro ochranu koncových bodů izolovat stroje v rámci své vlastní podsítě. Jedná se o důležitý pokrok, který nejen zlepšuje ochranu našich zákazníků, ale zajistí nám také podrobný a okamžitý přehled o hrozbách mimo síťovou infrastrukturu. Většina našich zákazníků má své sítě rozděleny do více segmentů a nové možnosti řešení Sophos přinášejí přesně to, co považujeme za skutečně nejlepší pro jejich ochranu.“
Mezi další novinky ve firewallu Sophos XG patří
Zdokonalení bezpečnosti
Hlubší a širší pokrytí systému prevence průniků + větší granularita vzorů
Ochrana před zneužitím JavaScriptu pro těžení digitálních měn
Vylepšení technologie Sandstorm Sandboxing: Integrace s Intercept X umožňující odhalovat dosud nezveřejněné (zero-day) hrozby ještě předtím, než proniknou do síťové infrastruktury. Hluboké analýzy chování, sítí i paměti s využitím technologií strojového učení, CryptoGuard a detekce exploitů.
Vylepšení v oblasti sítí: Nový VPN klient Sophos Connect IPSec VPN s podporou pro synchronizovanou ochranu
Vlastnosti pro vzdělávací instituce: Podpora uživatelských politik a reportingu pro autentizaci klientů zařízení Chromebook. Podpora uživatelských a skupinových politik pro SafeSearch a omezení pro YouTube
Dostupnost
Firewall Sophos XG je celosvětově k dispozici u registrovaných partnerů společnosti Sophos. Pro vyzkoušení zdarma dostupné verze není nutný žádný hardware.
