Донецкий техникум промышленной автоматики

Способи захисту від вразливостей нульового дня

  1. Вступ
  2. Механізми атаки з використанням вразливостей нульового дня
  3. Як працюють традиційні антивіруси
  4. Якщо традиційний антивірус не працює, то як захиститися?
  5. Виявлення загроз нульового дня на робочої станції

У цій статті ми розберемося, яким є механізм функціонування загроз нульового дня і чому організації повинні повністю змінити свій підхід до побудови інфраструктури безпеки, переставши покладатися лише на традиційні засоби інформаційного захисту.

  1. Вступ
  2. Механізми атаки з використанням вразливостей нульового дня
  3. Як працюють традиційні антивіруси
  4. Якщо традиційний антивірус не працює, то як захиститися?
  5. Виявлення загроз нульового дня на робочої станції
  6. висновки

Вступ

Останні події показали, що в сфері кіберзлочинності відбулися серйозні зміни. На перше місце за активністю вийшли програми-вимагачі. Дослідники відзначили це ще у вересні 2016 року - тоді шифрувальник Locky вперше увійшов до трійки найбільш небезпечних і популярних шкідливих програм в світі, згідно зі звітом Check Point ThreatIndex. А ще раніше, в лютому, Голлівудський медичний центр заплатив 17 тисяч доларів в біткоіни, щоб розблокувати всі свої системи. Через рік, навесні 2017, в трійці найактивніших шкідливих програм як і раніше були ransomware-зловредів, але лідерство перехопив Cryptowall. потім були WannaCry і Petya, які показали, що навіть компанії з високим рівнем захисту мережі не завжди можуть захиститися від атак. Особливо якщо в організації немає практики регулярного оновлення програм.

Тепер зловмисникам не потрібно з нуля розробляти інструменти для атак - їх можна купити або орендувати як сервіс. Наприклад, вимагач Cerber працює по моделі Ransomware-as-a-Service, дозволяючи передплатникам організовувати скільки завгодно ransomware-атак. Кожен день він запускає вісім здирницький кампаній по всьому світу, а щорічний прогнозований дохід цієї франшизи - 2,3 мільйона доларів США. Засоби злому, доставки, шифрування, управління, збору грошей - все це вже доступно для використання і регулярно оновлюється творцями.

Днями Check Point розкрила особистість злочинця, який стоїть за серією націлених кібератак, спрямованих на 4 000 компаній. Атаки почалися в квітні 2017 року і були націлені на найбільші міжнародні організації нафтогазової, виробничої, фінансової та будівельної галузей. Глобальний масштаб кампанії привів дослідників до висновку, що за нею стоїть експертна угруповання або спонсорується державою агентство. Однак з'ясувалося, що кампанія - справа рук самотнього двадцятип'ятирічного громадянина Нігерії, який цікавиться творчістю репера 50 cent. На його сторінці в Facebook коштує статус: «Розбагатій або помри в спробах» (Get rich or die trying) з однойменного реп-альбому.

Шахрай використовував троян NetWire, який дозволяє повністю контролювати заражене пристрій, і кейлоггінговую програму Hawkeye. Кампанія призвела до 14 успішним заражень і дозволила творцеві заробити тисячі доларів. Це ще раз підтверджує тезу про те, що навіть недосвідчений хакер-одинак ​​за невеликі гроші може організувати успішні атаки на найбільші світові компанії.

Механізми атаки з використанням вразливостей нульового дня

У міру того, як ця сфера кіберзлочинів розвивається, вартість організації атак падає, а ефективність продовжує зростати. Кожен раз створювати абсолютно нову шкідливу програму було б дуже дорого і складно. Найчастіше хакери модифікують вже існуючі зловредів. У даркнета є безліч інструментів для цього, а механіка дуже проста: потрібно завантажити шкідливий в програму і оновити його. Повторювати можна скільки завгодно раз. Отриманий шкідливий файл вже не можна буде виявити за допомогою стандартних антивірусів, адже сигнатур цього зловреда в базах ІБ-компаній ще немає.

Перш ніж вибрати і оновити шкідливий код для атаки, хакер повинен визначити свої цілі. Якщо мова йде про таргетированной атаці, то попередньо проводиться аналіз систем безпеки обраної організації. Виходячи з отриманих даних про те, які засоби захисту вона використовує, зловмисник створює загрозу нульового дня, здатну їх обійти.

У випадку з масовим розсиланням підхід більш загальний - хакер вже не буде орієнтуватися на дорогі засоби захисту. Швидше, він створить шкідливий, здатний обійти найпопулярніші антивіруси.

Як працюють традиційні антивіруси

Перші антивіруси з'явилися в 1987 році, принцип їх роботи - бінарні сигнатури (хеші), які можуть ідентифікувати шкідливі файли. Коли в мережі з'являється невідомий підозрілий файл, він рано чи пізно потрапляє на аналіз будь-якої ІБ-компанії. Його аналізують, і, якщо він виявляється зловредів, фахівці шукають унікальні компоненти файлу, за якими його можна ідентифікувати, і створюють на їх основі сигнатуру. Сигнатура є «відбиток пальця» цієї шкідливої ​​програми. Після цього сигнатура перевіряється на мільярдах легітимних файлів з метою уникнути помилкового спрацьовування. Потім вона поширюється по вузлах захисту, і з цього моменту шкідливий стає відомим, системи безпеки починають його розпізнавати і блокувати.

Але уявіть, що кожен день з'являється до 200 тисяч невідомих зловредів - своєчасне створення сигнатур для них стає неможливим, а сам підхід сигнатурної захисту - неефективним. Виявлення підозрілого файлу, його аналіз, тестування сигнатури - все це вимагає часу, якого немає, якщо атака вже почалася. В цьому і полягає небезпека загроз «нульового дня».

У 2014 році віце-президент з безпеки компанії Symantec заявив, що «Антивірус помер », Маючи на увазі, що антивірус перестав бути досить надійним, щоб покладатися тільки на нього. Сьогодні, по самим позитивних оцінок, антивірус здатний виявити тільки 45% всіх атак. Проте антивірус як і раніше є одним з найпопулярніших засобів захисту від кіберзагроз. І все-таки покладатися на нього не варто, необхідно використовувати сучасні засоби захисту.

Якщо традиційний антивірус не працює, то як захиститися?

Як ми вже сказали, завдання хакера - не тільки зробити атаку максимально ефективною, але і не переплатити за її організацію. Модифікація відомого зловреда здатна обходити антивіруси, однак пройти емуляцію загроз буде набагато складніше.

Отже, емуляція - один з найефективніших способів захисту від невідомих загроз. Вона являє собою відкриття (або запуск) підозрілого файлу в ізольованому середовищі і спостереження за його поведінкою. З точки зору архітектури емуляція можлива як на рівні периметра (шлюзу безпеки), так і на рівні робочої станції. Наприклад, технологія Check Point SandBlast показала 100% опірність до способів обходу емуляції в останньому тесті NSS Labs. Емуляція, або Threat Emulation - це одна з двох унікальних функцій, що лежать в основі Check Point SandBlast. Друга - це витяг загрози, Threat Extraction. Threat Extraction дозволяє миттєво надати користувачеві безпечну копію підозрілого документа, поки проводиться аналіз і емуляція. Оригінал буде автоматично доступний користувачеві в разі визнання його безпечним.

Малюнок 1. Якщо файл підтверджений як безпечний, його можна завантажити

Якщо файл підтверджений як безпечний, його можна завантажити

Виявлення загроз нульового дня на робочої станції

За межами периметра організації також потрібен захист від невідомих загроз, так як робоча станція - останній рубіж оборони корпоративних даних. Check Point Sandblast Agent - це рішення для захисту кінцевих пристроїв, яке дозволяє запобігти загрозам і атаки, пов'язані з підключенням до зовнішнього Wi-Fi, з шифрованих трафіком, підключенням до ПК зовнішніх носіїв і горизонтальним поширенням атаки в мережі.

Check Point SandBlast Agent постійно аналізує всі зміни системи в пошуках підозрілих активностей. Наприклад, він може відстежити, якщо один процес впроваджує код в інший або якщо будь-яка програма виявляється зламаною.

Як і Check Point SandBlast, рішення для кінцевих точок SandBlast Agent включає інструменти Threat Extraction і Threat Emulation, що дозволяють зупинити атаку нульового дня. Всі файли, що потрапляють на робочу станцію, будуть перевірені і при необхідності проемуліровани (на локальному або хмарному пристрої). При скачуванні з інтернету всі файли, що вимагають емуляції, миттєво конвертуються в безпечні копії, при цьому зберігається їх зовнішній вигляд, а оригінальний документ буде доступний для скачування після закінчення перевірки. За статистикою Check Point, тільки 10% користувачів скачують оригінал документа.

Малюнок 2. П'ять стадій роботи SandBlast Agent

  1. Prevention (запобігання атаки до її початку) - на цій стадії як раз активно працюють компоненти Threat Emulation і Threat Extraction, а також Anti-Phishing, який запобігає витоку конфіденційних даних.
  2. Спостереження і аналіз - SandBlast Agent постійно відстежує поведінку робочої станції, в тому числі операції з файлами, реєстром, процесами, і мережеві з'єднання. Ця інформація зберігається локально і аналізується. У процесі моніторингу навантаження на CPU або диск збільшується несуттєво - усього в межах 2-3%.
  3. Виявлення і зупинка атаки - движок поведінкового аналізу регулярно оновлює інформацію про актуальні загрози і здатний виявити саму потайливу підозрілу активність. Anti-Bot відстежує підозрілі мережеві з'єднання, що дозволяє зупинити багато видів загроз. Anti-Ransomware виявляє і зупиняє нелегальне шифрування. Anti-Exploit здатний виявити злом на початковому етапі, ще до того, як зловредів спробує приховати свою активність.

Малюнок 3. Anti - Ransomware в роботі

Anti - Ransomware в роботі

  1. Remediation (усунення наслідків атаки) - після виявлення загрози SandBlast Agent здатний скасувати внесені зміни: він повертає реєстр і файли в початковий стан і відновлює зашифровані файли. Модуль Anti-Ransomware визначає випадки підозрілої модифікації (в тому числі нелегальне шифрування). Для таких випадків робиться короткочасна резервна копія цих файлів (бекап), яка використовується для їх відновлення при необхідності.

Малюнок 4. Повідомлення про успішне відновлення файлів

Повідомлення про успішне відновлення файлів

  1. Forensic Analysis (Розслідування інциденту) - після того як атака зупинена і наслідки усунуті, SandBlast Agent проводить автоматичне розслідування інциденту. Воно допомагає зрозуміти, з чого почалася атака, які були використані уразливості в системі безпеки, який завдано збитків.

Малюнки 5-6. Інтерактивні аналітичні звіти в Forensic Analysis

Інтерактивні аналітичні звіти в Forensic Analysis

Серед переваг SandBlast Agent варто виділити безперервне запобігання загрозам 24/7, в тому числі в режимі офлайн, а також автоматичне виявлення і запобігання атаки, аналіз поведінки, захист від фішингу та корпоративних логін-паролів, а також можливість аналізу і розслідування інцидентів. Завдяки аналізу інциденту компанія може знайти проломи в безпеці і запобігти майбутнім атаки.

висновки

Ми розглянули, що собою представляють загрози нульового дня і як їх використовують в кібератаки, а також проаналізували механізм роботи традиційних сигнатурних антивірусів і проблему їх використання в організаціях. Незважаючи на постійне зростання кількості атак на організації з різних сфер, компанії не завжди застосовують необхідні інструменти захисту.

Ми також розглянули інший підхід до безпеки, який передбачає використання просунутих засобів безпеки. Емуляція і витяг загроз лежать в основі рішень Check Point SandBlast і SandBlast Agent. Це рішення для превентивного захисту від загроз будь-якого рівня, які передбачають не тільки зупинку конкретної атаки, але і аналіз та усунення її наслідків.

Кіберзлочинність - вже давно бізнес зі зрозумілими бізнес-моделями і способами монетизації. Наше завдання - зробити атаку настільки складною і дорогою для зловмисника, щоб він вибрав іншу мету або, в ідеалі, інше заняття.

Якщо традиційний антивірус не працює, то як захиститися?