dodany: 17.04.2013 | tagi: ,

Autor:

Chmura i wirtualizacja jako ochrona przed atakami nowej generacji – wywiad z Tomaszem Pietrzykiem – inżynierem systemowym w firmie FireEye

1
Wywiad

Firma FireEye jest liderem w dziedzinie zatrzymywania zagrożeń nowej generacji, ataków typu zero-day i APT, które potrafią ominąć tradycyjne zabezpieczenia, a zagrażają ponad 95% sieci. Rozwiązanie firmy FireEye uzupełnia zapory ogniowe oparte na sygnaturach, IPS, antywirusy i bramki; zapewniając jedyne na świecie zabezpieczenie bez sygnatur chroniące przed atakami przez WWW i e-mail, a także zagrożeniami ukrytymi we współdzielonych zasobach plikowych. Jest to jedyne na rynku zintegrowane rozwiązanie dla firm, które zatrzymuje ataki, we wszystkich fazach ich cyklu, od eksploitów do eksfiltracji.

Tomasz Pietrzyk FireEye150

Pod koniec lutego tego roku firma FireEye, dostawca rozwiązań do ochrony przed zaawansowanymi cyberatakami, poinformowała o rozpoczęciu działalności w Polsce i w Europie Środkowo-Wschodniej. Rozmawialiśmy z Tomaszem Pietrzykiem, inżynierem systemowym w firmie FireEye, nie tylko na temat samej firmy, jej działalności oraz systemów i rozwiązań przez nią produkowanych, ale także na temat zagrożeń nowej generacji i sposobów na walkę z nimi.

Mogą Państwo pokrótce opisać co nowego – innego proponuje Państwa firma?

Firma FireEye jest pionierem w dziedzinie nowej generacji zabezpieczeń chroniących przedsiębiorstwa przed atakami. Cyberataki są obecnie znacznie bardziej zaawansowane i łatwo omijają tradycyjne zabezpieczenia oparte na sygnaturach, takie jak zapory firewall nowej generacji, systemy IPS zapobiegające włamaniom do komputerów, programy antywirusowe i bramki bezpieczeństwa (gatewaye), docierając do większości sieci korporacyjnych. Platforma FireEye uzupełnia tradycyjne systemy bezpieczeństwa nowym modelem zabezpieczeń w celu ochrony przed nową generacją cyberataków. Unikatowa na rynku platforma FireEye stanowi zabezpieczenie przed atakami bazujące na dynamicznym wykrywaniu i blokowaniu cyberataków w czasie rzeczywistym. Platforma FireEye nie jest oparta na sygnaturach i bazuje na wirtualnej maszynie oraz chmurze, co pomaga organizacjom chronić swoje zasoby przed zaawansowanymi zagrożeniami, takimi jak ataki internetowe, ataki przeprowadzane za pomocą poczty elektronicznej i stron web, ataki mobilne, itp. Platforma FireEye została wdrożona w ponad 40 krajach i u ponad 1000 klientów i partnerów, w tym w ponad 25% firm z listy Fortune 100.

Co to są ataki nowej generacji i w jaki sposób należy z nimi walczyć?

Atakami nowej generacji określane są przede wszystkim ataki dedykowane, nakierowane na uzyskanie określonych korzyści (np. kradzież danych, osłabienie wizerunku, unieruchomienie usługi, infiltracja wewnętrznej struktury organizacyjnej celu ataku, itp.), wykonywane przeciwko konkretnym celom. Ataki te wykorzystują często tzw. podatności „zero day” aplikacji i systemów operacyjnych, które nie były publicznie znane w momencie ich użycia. Przeprowadzane są z wykorzystaniem różnych technologii i obejmują wiele etapów – od rozpoznania celu ataku, techniki socjotechniczne, różne kanały komunikacji (najczęściej web, e-mail) dla przesłania do ofiary tzw. exploita, a następnie załadowanie właściwego kodu złośliwego, który stara się jak najbardziej zamaskować swoją obecność na komputerze ofiary, po komunikację zwrotną z „centrum sterowania” (command and control server) i wreszcie realizację celu ataku, czyli np. wyciągnięcie z organizacji interesujących danych. Atak taki może „rezydować” na komputerach ofiar przez bardzo długi czas zanim zostanie wykryty lub nawet zanim podejmie działania.
Ze względu na stosowane rozwiązania do ukrywania obecności malware, wykorzystanie podatności „zero day” oraz bardzo częste modyfikowanie kodu ataku (np. poprzez użycie technik polimorfizmu, szyfracji, ukrywanie kodu w często używanych innych rodzajach plików – pdf, ms office, pliki video, itp.), wykorzystywanie różnych kanałów komunikacji z Command and Control Servers ataki te są praktycznie niewykrywalne przez rozwiązania zabezpieczające bazujące na sygnaturach, heurystyce, czy korzystające z serwisów reputacyjnych, czyli te, które wykorzystują do działania wcześniej znane i opisane cechy ataku.

Najbardziej nagłośnionymi atakami nowej generacji są tzw. ataki APT (advanced persistent threats) i TPT (targeted persistent threats), które były skierowane przeciwko największym firmom i organizacjom na świecie, a także instytucjom rządowym – dla przykładu ataki znane pod nazwami Operacja Aurora, Stuxnet, Night Dragon. Ataki nowej generacji są także wiązane z koncepcjami tzw. cyberwojen między państwami, haktywizmem i cyberterroryzmem.
Ochrona przed tego typu zagrożeniami wymaga uzupełnienia dotychczasowych rozwiązań zabezpieczających nowymi metodami rozpoznawania zagrożeń. Muszą to być rozwiązania z założenia nie opierające się tylko na wcześniej zdefiniowanych sygnaturach, opisanych podatnościach i określonej reputacji źródła ataku. System zabezpieczający musi mieć możliwość przeanalizowania rzeczywistego zachowania kodu w środowisku, które jak najdokładniej odpowiada realnemu wyposażeniu i zachowaniu komputerów użytkowników. Musi być także świadomy i mieć możliwość analizy poszczególnych etapów ataku – od infekcji, przez załadowanie właściwego kodu złośliwego, jego komunikację z serwerami Command and Control, do kontroli zachowania kodu i efektów jego działania. Niezwykle ważne jest także to, że analiza musi być wykonywana na bieżąco, w czasie rzeczywistym z wydajnością, która odpowiada współczesnym przepustowościom łączy Internetowych stosowanych przez organizacje różnej skali.

Właśnie tego typu rozwiązania tworzy i dostarcza firma FireEye. Produkty FireEye od początku były projektowane i tworzone z założeniem wykrywania i szczegółowej analizy ataków „zero day”, spersonalizowanych, nieznanych wcześniej. Rozwiązanie FireEye umożliwia zarówno statyczną, jak i dynamiczną analizę kodu w czasie rzeczywistym, a także kontrolę nad poszczególnymi fazami ataku, w tym wykrywanie i analizę komunikacji zwrotnej (tzw. callback) malware do serwerów sterowania (Command and Control Servers) i serwerów odbierających „efekty” działania kodu w środowisku ofiary ataku. Skuteczność stosowanych przez FireEye rozwiązań w zwalczaniu ataków nowej generacji została już wielokrotnie udowodniona i nadal jest potwierdzana przez Klientów z różnych branż korzystających z tej technologii.

Jak tworzyć ogólne zabezpieczenia dla wszystkich, skoro dzisiejszym czarnym trendem są np. ataki spersonalizowane?

Rzeczywiście trudno byłoby zdefiniować jakąś jedną, uniwersalną koncepcję systemu zabezpieczeń odpowiednią dla dowolnej organizacji. W każdym wypadku najbardziej skutecznym systemem zabezpieczeń jest ten, który uwzględnia specyfikę działania, zasoby, cechy systemu informatycznego, a nawet otoczenie konkurencyjne i cele biznesowe danej firmy i instytucji. Niemniej istnieją pewne ogólnie przyjęte zasady i rekomendacje dotyczące zasad tworzenia rozwiązań zabezpieczających, które mogą być stosowane przez rożne organizacje. Wśród tych zasad można wyróżnić konieczność ciągłej aktualizacji zabezpieczeń, aplikacji i systemów operacyjnych, wykorzystanie warstw ochronnych bazujących na różnych technologiach ochronnych, uświadamianie użytkownikom z jakimi zagrożeniami i technikami socjotechnicznymi mogą się spotkać, podnoszenie kompetencji administratorów i osób zajmujących się utrzymaniem systemów i reagowaniem na incydenty bezpieczeństwa.

Inną wspólną płaszczyzną, jaką można wskazać nawet dla spersonalizowanych ataków są stosowane przez nie etapy i metody przeprowadzenia infekcji. Im bardziej jesteśmy w stanie wyróżnić i kontrolować te etapy, tym łatwiej przeciwdziałać skutecznemu przeprowadzeniu ataku. Uniwersalizm rozwiązań zabezpieczających może wynikać także z zastosowania systemów wykrywania zagrożeń, które ze swojej natury nie bazują na wcześniej znanych i opisanych atakach. Przykładem takiego systemu są produkty firmy FireEye, które wykorzystują zaawansowaną, dynamiczną analizę zachowania kodu w środowisku odpowiadającym zachowaniem i wyposażeniem stacji „zwykłego użytkownika”. Szczegółowa kontrola działania kodu w takim środowisku pozwala na wykrycie ataków, które nie były znane wcześniej. Rozpoznanie spersonalizowanego ataku w przypadku rozwiązań FireEye, to także efekt analizy wszystkich etapów ataku – od pobrania i załadowania tzw. exploita, przez pobranie i uruchomienie właściwego kodu ataku (tzw. dropper) po analizę komunikacji malware z serwerem Command and Control (tzw. callback).

Jak wg Państwa należy zapobiegać atakom typu APT?

Ochrona przed tak zaawansowanymi, wieloetapowymi atakami jakimi są ataki APT (Advanced Persistent Threats) wymaga uzupełnienia dobrze znanych i powszechnie stosowanych technologii ochrony, nowymi rozwiązaniami zabezpieczającymi.

W szczególności kluczowym komponentem uzupełniającym tradycyjne rozwiązania bezpieczeństwa są produkty, które umożliwiają wykrywanie ataków bez wcześniej zdefiniowanych sygnatur i opisanych podatności i analizujących poszczególne etapy ataku – od infekcji, przez załadowanie właściwego kodu złośliwego, jego komunikację z serwerami Command and Control, do kontroli zachowania kodu i efektów jego działania. Takim właśnie rozwiązaniem są produkty FireEye, które od początku były projektowane i tworzone z założeniem wykrywania ataków, jakie nie były wcześniej zidentyfikowane, dla których nie ma jeszcze sygnatur, które wykorzystują nieznane podatności i stosują skomplikowane techniki ukrywania swojej działalności. Jest to możliwe dzięki wykorzystaniu zaawansowanych metod analizy zachowania kodu w środowisku odpowiadającym zachowaniu i wyposażeniu „normalnego komputera” oraz identyfikacji i kontroli poszczególnych etapów ataku.

Bardzo ważnym elementem ochrony przed atakami APT jest także podnoszenie poziomu wiedzy i świadomości zagrożeń nie tylko wśród osób zajmujących się na co dzień administracją systemów, ale także, a może przede wszystkim, wśród wszystkich użytkowników korzystających z zasobów organizacji. Jak wynika z analiz praktycznie wszystkich znanych ataków APT bardzo ważnym etapem ich przeprowadzania jest rekonesans organizacji i dotarcie do celu ataku z wykorzystaniem technik socjotechnicznych oraz pozyskiwanie cennych z punktu widzenia atakującego danych o organizacji, które są niejednokrotnie niefrasobliwie ujawniane przez pracowników nieświadomych, że te informacje mogą posłużyć do wykonania skutecznego ataku na ich firmę.

Co to znaczy, że zapewniają Państwo zabezpieczenie bez sygnatur?

„Zabezpieczenie bez sygnatur” to krótka charakterystyka najważniejszej części rozwiązania FireEye. Oznacza, że wykrywanie ataków nie bazuje na wcześniej znanych i opisanych cechach ataku, w szczególności kodu złośliwego uruchamianego na stacji użytkownika. Dzięki temu podejściu produkty FireEye są stosowane jako zabezpieczenie przed nowymi lub zmodyfikowanymi i spersonalizowanymi atakami.

Idea działania rozwiązania FireEye opiera się na analizie zachowania ataku w środowisku, które maksymalnie oddaje zachowanie i wyposażenie standardowej stacji użytkownika. Ważną cechą tego rozwiązania jest fakt wykonywania tej analizy na miejscu, u Klienta, a dokładniej na dedykowanej platformie (appliance) dostarczanej przez FireEye. W przeciwieństwie do innych rozwiązań wykorzystujących analizę zachowania kodu, FireEye nie wysyła próbek kodu do „chmury”, gdzie faktycznie wykonywana jest jego analiza. Cały proces jest wykonywany lokalnie. Ma to duże znaczenie dla wielu Klientów, którzy pragną zachować maksymalny poziom poufności na temat swojego środowiska i ataków na nie.

Ważną cechą rozwiązania FireEye jest także to, że analiza jest wykonywana w czasie rzeczywistym w specjalnie zaprojektowanym, niekomercyjnym środowisku wirtualnym, które stanowi dodatkowe zabezpieczenie przed kodem próbującym oszukać system analizy, po wykryciu, że jest on uruchamiany w jakimś znanym rodzaju maszyn wirtualnych.

Sama analiza dynamiczna kodu realizowana na urządzeniach FireEye to ważna, ale nie jedyna metoda wykrywania ataków. Istotną cechą jest także analizowanie wszystkich etapów ataku – urządzenia wykrywają i analizują wykonanie exploita, pobranie i uruchomienie właściwego kodu ataku (dropper), jego zachowanie po uruchomieniu, a wreszcie komunikację malware z serwerami Command and Control. Wykrycie ataku i opis jego zachowania na jednym z urządzeń jest przekazywany do innych appliance’ów chroniących organizację umożliwiając im blokowanie ataku już bez ponownej analizy wszystkich jego faz.

Dostarczają Państwo rozwiązań zabezpieczeń dla m. in.: branży finansowej, telekomunikacyjnej, przemysłu czy sektora publicznego – czym one się różnią?

Jak wynika z raportów firm zajmujących się analizą zagrożeń, m.in. FireEye, Mandiant, Delloit, Gartner, praktycznie każdy rodzaj organizacji jest narażony na ataki, w tym coraz bardziej na ataki spersonalizowane i zaawansowane, korzystające z wielu różnych technologii i przebiegające w wielu etapach. Znaczenie dla atakującego ma raczej potencjalna korzyść z wykonania skutecznego ataku niż rodzaj organizacji. Warto przypomnieć ataki na firmy, które były tylko jedną z faz o wiele bardziej rozbudowanej kampanii hakerskiej mającej na celu dotarcie do innej organizacji (np. włamanie do centrum certyfikacji i wykradzenie podpisów cyfrowych użytych następnie do przełamania zabezpieczeń rzeczywistego celu ataku). Coraz częściej właściwym celem ataków są małe i średnie przedsiębiorstwa, ponieważ posiadają użyteczne dane technologiczne, przemysłowe, własność intelektualną, dane osobowe itp.
Rozwiązania FireEye są stosowane przez Klientów z praktycznie wszystkich branż. Platforma FireEye została wdrożona w ponad 40 krajach i u ponad 1000 klientów i partnerów, w tym w ponad 25% firm z listy Fortune 100. Przy czym nie ma generalnych różnic w rozwiązaniach FireEye oferowanych do poszczególnych firm z różnych segmentów rynku. Takie ujednolicenie oferty jest możliwe, ponieważ produkty FireEye są nastawione na analizę zagrożenia w sposób jak najbardziej generyczny, bez zakładania, że atak, przed którym chcemy chronić Klienta, został już wcześniej poznany i opisany. Te same sposoby analizy sprawdzają się zarówno w instytucjach rządowych, finansowych, z branży telekomunikacyjnej, przemyśle i innych.
Różnice oferty dla konkretnych Klientów sprowadzają się raczej do doboru właściwego modelu, ilości i sposobu wdrożenia produktów w sieci pod kątem specyficznych wymagań dotyczących wydajności, topologii sieci, integracji z istniejącymi systemami zabezpieczeń i monitorowania.

Co to jest FireEye Malware Protection Cloud?

Malware Protection Cloud to usługa „w chmurze” udostępniana przez firmę FireEye swoim Klientom. Usługa ta jest aktualnie znana pod nazwą FireEye Dynamic Threat Intelligence (w skr. DTI). FireEye Dynamic Threat Intelligence integruje centralnie informacje pochodzące z działu FireEye zajmującego się analizą ataków i malware (FireEye Malware Intelligence Lab), z urządzeń FireEye wdrożonych w sieciach Klientów, a także dane wymieniane z partnerami technologicznymi FireEye i dostawcami usług (service providers) z różnych krajów. DTI umożliwia współdzielenie informacji o wykrytych nowych atakach, ich charakterystykach i sposobach działania. Chmura DTI jest dostępna on-line poprzez Internet dla urządzeń FireEye wdrożonych lokalnie w sieci Klienta. Komunikacja z DTI odbywa się poprzez zabezpieczony kanał SSL. Zależnie od preferowanej i zakupionej przez Klienta opcji dostępu do DTI, urządzenia, które chronią jego sieć, mogą przekazywać i odbierać lub tylko odbierać z DTI informacje o zidentyfikowanych atakach.

Kiedy urządzenie wykrywa atak lokalnie, generuje jego charakterystykę i, zależnie od posiadanej opcji dostępu do chmury, wysyła ją do serwisu DTI umożliwiając tym samym ostrzeżenie innych Klientów korzystających z rozwiązań FireEye o nowo wykrytym zagrożeniu. Dane opisujące atak są anonimizowane przed wysłaniem – nie zawierają prywatnych danych organizacji, w jakiej został wykryty atak.

Dzięki takiej współdzielonej informacji możliwe jest bardziej wydajne reagowanie na wcześniej zdiagnozowane ataki – to samo zagrożenie wykryte przez urządzenie w sieci Klienta, a opisane już wcześniej w DTI, jest raportowane i blokowane bez konieczności wykonywania jego ponownej analizy.

W bazach DTI gromadzone są dane obejmujące:

  • profile wykrytych ataków: identyfikatory kodu złośliwego, adresy URL, adresy IP lub inne dane określające źródło z jakiego pochodził atak, wyniki analizy zainfekowanych załączników do e-maili i obiektów ze stron web;
  • specyfikacje połączeń zwrotnych (tzw. callback) nawiązanych przez malware do serwerów Command and Control (używane protokoły i porty komunikacyjne, komendy używane dla zestawienia połączenia i wymiany informacji między malware a serwerem C&C);
  • informacje o lokalizacji serwerów Command and Control oraz miejsc do jakich malware nawiązuje połączenia np. w celu wysłania pozyskanych danych (adresy IP, adresy DNS, URL, adresy e-mail itp.);
  • dane na temat zidentyfikowanych zagrożeń pochodzące z różnych zewnętrznych źródeł, z którymi współpracuje FireEye.

W odróżnieniu od stosowanych przez innych producentów serwisów reputacyjnych i systemów gromadzących centralnie dane o zagrożeniach, które zawierają zwykle informacje używane następnie do oceny, czy podejrzane zachowanie w sieci lub próbka kodu stanowią rzeczywiście zagrożenie, czy nie, dane zawarte w DTI są jednoznacznym potwierdzeniem zidentyfikowanego ataku. Wykorzystanie usługi DTI nie prowadzi więc do występowania tzw. false positive czyli błędnego, a w konsekwencji wręcz groźnego dla chronionej organizacji, rozpoznania połączenia lub próbki kodu jako atak, podczas gdy nimi w rzeczywistości nie są.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Jedna odpowiedź do “Chmura i wirtualizacja jako ochrona przed atakami nowej generacji – wywiad z Tomaszem Pietrzykiem – inżynierem systemowym w firmie FireEye”

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *