Vizibilitatea la nivel de endpoint este cruciala in combaterea atacurilor de astazi
5 min read
Privind prin ochii unui responsabil de securitatea IT, sunt multe detalii care trebuiesc luate in considerare simultan. Dezvoltarea si folosirea de malware e prezenta si din pacate devine ceea ce vorbitorii de limba engleza numesc “the new normal”. Cu alte cuvinte nu e o furtuna de vara, deranjanta, dar care va trece.
Intr-o parte atacatorii detin resurse din ce in ce mai diverse si au motivatii fundamentate financiar pentru a insista pe termen indefinit, in compromiterea unei intreprinderi tinta.
In cealalta parte, modul in care astazi utilizatorii isi desfasoara activitatea ii face sa fie foarte mobili, sa utilizeze mai multe echipamente de comunicatie simultan, sa ceara de la un terminal si de la infrastructura ceea ce acum cativa ani era de neimaginat. Sub denumirea de terminal, se afla de fapt ori un laptop, ori un smartphone, ori o tableta, ori un PC traditional, ori un Thin desktop, ori un all-in-one, consola de jocuri, un player pentru televizor sau ceas inteligent. Toate aceste terminale necesita astazi conectivitate pentru a furniza serviciile pentru care au fost gandite, asta inseamna ca participa activ la traficul retelei si deasemeni au suficienta capacitate de procesare si resurse, inteligenta si flexibilitate, sa ruleze programe uzuale ce nu sunt construite pe o structura proprietara inchisa.
Asta duce la doua tendinte in modul de urmarire si detectie a amenintarilor, privind din punct de vedere tehnic, vizibilitatea la nivel de retea si vizibilitatea la nivel de terminal.
Vizibilitatea la nivel de retea ajuta in detectia incipienta a unei intruziuni folosind reteaua, sau in detectia raspandirii unei anomalii, sau detectia tintei actuale a unui atac in derulare.
Vizibilitatea la nivel de terminal ajuta in detectia modului de compromitere a terminalului, ce a mers rau si ce a fost insuficient in apararea terminalelor, ce bresa s-a folosit, cum s-a folosit reteaua pentru compromitere sau contaminare.
Daca privim individual care este valoarea vizibilitatii la nivel de retea si la nivel de terminal, fiecare dintre acestea ne ofera un set de informatii care ajuta punctual in analiza unui atac. Corelarea insa tine in mod exclusiv de abilitatile si expertiza analistului IT, de a pune cap la cap informatiile punctuale si de a le intelege.
Vazute impreuna, vizibilitatea combinata la nivel de retea si terminal, ne ofera detalii in plus pentru analiza. Ne ofera contextul in care acel atac se desfasoara, ne poate corela automat protocoale de retea cu procese din sistemul de operare, ca fiind legate de un singur vector de atac folosit. Asta ajuta ori in luarea unei decizii imediate de a opri o contagiune, ori in luarea unei decizii pe termen lung ce poate implica cooperarea cu alte departamente, poate implica modificarea politicii de access sau politicii de securitate;
Pentru ca in momentul de fata sistemele de securitate privesc protectia si vizibilitatea in mare parte in mod individual in ce priveste reteaua si terminalele, atacatorii au drept tinta terminalele mobile, eventual care sunt proprietatea utilizatorilor. Cauza fiind ca pe terminalul utilizatorilor, o companie nu poate instala in mod impus aplicatii ce impacteaza utilizarea acelui terminal ca sa obtina vizibilitate, fara ca proprietarul terminalului sa fie deacord. Din acest motiv a aparut curentul BYoD ( bring your own device ) care incurajeaza utilizatorii sa-si foloseasca terminalele personale in cadrul companiei, dar cu consimtamantul acordat si cu instalarea de aplicatii ce scad riscul de compromitere al acelui terminal cand e folosit si in interesul companiei. Noi spunem ca noul curent are doua traduceri ale acronimului BYoD, adica cel oficial “bring your own device” atat timp cat acest lucru implica si absorbirea terminalelor in politica de securitate a companiei, sau “bring your own disaster” pentru cele care acceseaza reteaua fara nici o metoda de vizibilitate si control. Spunem asta pentru ca atacurile ce sunt initiate de pe terminale neprotejate a crescut in ultimii doi ani peste 2000%. Este o crestere uluitoare daca o corelam cu numarul de terminale mobile care au fost vandute pana astazi.
Atacatorii inteleg cum se pot exploata brese din tehnologie dar si in comportamentul nostru. Suntem mai susceptibili sa instalam o aplicatie rau intentionata cand suntem acasa, pentru ca intimitatea si confortul casei ne ofera siguranta, ne reduce starea de alerta si de susceptibilitate. Daca aplicatia malitioasa este ascunsa eventual si intr-un mesaj pe care il asteptam, de la cineva cunoscut si de incredere, atunci sansele de succes ale atacatorilor cresc. Nu mai este vorba doar de tehnologie, ci chiar de psihologie, de a exploata slabiciunile unei persoane prin hobby, prin interes personal, folosind tehnologia si bresele acesteia. Plecand de la aceste realitati, vizibilitatea la nivelul terminalului, corelata cu vizibilitatea la nivel de retea, indiferent de protocol, ne poate da un indicator de compromitere chiar si cand ceva rau s-a intamplat inca. Chiar si cand exploatarea unei slabiciuni umane sau de tehnologie a reusit, ar trebui sa existe istoricul compromiterii, istoricul greselii facute din slabiciunea umana sau a bresei tehnologice exploatate. Contextul corelat sa ne ajute sa tragem o concluzie cine are nevoie de ajutor, cum protejam ceilalti colegi, cum oprim epidemia si cum detectam tinta si scopul real.
Noi propunem astazi “AMP peste tot”. AMP este prescurtarea de la Advanced Malware Protection si se prezinta ca un serviciu de monitorizare si analiza continuu, furnizat de echipa noastra de specialisti. AMP se poate instala pe terminale PC-uri Windows, PC-uri MAC, tablete sau smartphones ce folosesc OS android, medii virtuale si in foarte scurt timp pe OS Linux; AMP ofera o vizibilitate si monitorizare continua a ce se intampla pe terminal, oferind istoricul bunei functionari, iar in caz de atac, oferind relationarea fisierelor sau proceselor rau intentionate cu terminalul atacat. In spatele infrastructurii ce pune la dispozitie serviciul de AMP se ascund multe rack-uri de echipamente ce lucreaza la unison, colectand date, analizand si evidentiind amenintari. Printre solutiile folosite pentru a pune un verdict in analiza unei amenintari, folosim comparatia instantanee 1:1 a amprentelor SHA, comparatia amprentelor fuzzy prin care atacatorii schimba amprenta aplicatiei la fiecare executie pentru a evada detectia comparatiei 1:1, detectia euristica si prin arbori decizionali ce au ca fundament BigData analitics, iar nu in ultima instanta executia in mod controlat a fisierelor suspecte in sandbox ThreatGrid. Sistemul detine o autonomie aparte in luarea deciziilor care sunt evidente, insa in situatia destul de des intalnita in care astazi sistemul nu poate da autonom un verdict foarte clar despre o amenintare, echipa de analisti va alimenta un motor de machine learning bazat pe Hadoop, care prin corelarea evenimentelor la nivel global, impreuna cu valorile date de analiza dedicata a fisierului, sa ofere mai multe informatii despre acel fisier in particular iar analistii sa dea un verdict. Verdictul in cazul AMP poate fi “fisier benign”, “fisier cu comportament necunoscut” sau “fisier compromis”; In situatia in care astazi se poate sa introducem in organizatie un “fisier cu comportament necunoscut” iar maine acesta sa fie declarat “compromis” datorita detectiei intentiei oriunde in lume, istoricul acelui fisier in organizatie, pozitia lui pe disc, tranzitul sau in retea, este deja cunoscut si adresabil, acesta este beneficiul major oferit de vizibilitate.
Ca sa putem pune in practica vizibilitatea la nivel de terminal si la nivel de retea, procesul de AMP se poate adauga si ca un proces de inspectie pe echipamentele Firewall ASA, echipamentele de inspectie a traficului web WSA, echipamentele de inspectie a traficului de e-mail ESA si printr-o masina virtuala, inspectia traficului generat de masinile virtuale din datacenter. Corelarea si analiza evenimentelor atat de la procesul AMP ce ruleaza pe terminale cat si pe echipamentele de retea, se realizeaza la nivelul unui sistem de management unificat al carui nume este FireSight. In sistemul de management putem incepe investigatia din mai multe ipoteze, putem duce analiza in adancime folosind contextul asociat ipotezei initiale, sau putem observa ipoteze similare ce tin de acelasi context al unui atac.
Pentru a afla mai multe detalii despre AMP pentru terminale va rugam sa descarcati descrierea de aici : http://www.cisco.com/go/amp
Adaptare dupa John Dominguez “ Endpoint visibility is key to Combatting Attacks” – 22 Oct 2014;