Στο προηγούμενο τεύχος μιλήσαμε για την αντιμετώπιση των προηγμένων απειλών με το Deep Discovery της Trend Micro. Σε αυτό το άρθρο θα προσπαθήσω να αναλύσω πως μπορούμε να προστατευτούμε καλύτερα από τις στοχευμένες επιθέσεις με την χρήση του Deep Discovery Analyzer – δηλαδή του συστήματος custom sandbox της Trend Micro.
Οι στοχευμένες επιθέσεις και οι προηγμένες απειλές είναι κομμένες και ραμμένες πάνω στα μέτρα της υποδομής του υποψήφιου θύματος. Αποφεύγοντας τους μηχανισμούς προστασίας που υπάρχουν στο δίκτυο, ο κώδικας μένει καλά κρυμμένος μέχρι να ολοκληρώσει την αποστολή του, που δεν είναι άλλη από την υποκλοπή των εταιρικών δεδομένων.
Οι τεχνικές που χρησιμοποιούνται δεν είναι συνήθως ορατές στις συνηθισμένες λύσεις προστασίας που είναι ήδη εγκατεστημένες. Ο μόνος τρόπος που μπορεί να ανιχνευτεί υπεύθυνα, είναι απομονώνοντάς τα σε ένα «εικονικό» χώρο για ανάλυση. Αυτή είναι και η έννοια του sandboxing αφού έτσι μπορούν να «τρέξουν» σε ένα περιορισμένο περιβάλλον χωρίς να επηρεαστεί το υπόλοιπο δίκτυο.
Η εισαγωγή του concept του sandboxing analysis σε ένα δίκτυο αυξάνει την ασφάλεια και την αξία άλλων συναφή προϊόντων που είναι ήδη εγκατεστημένα δημιουργώντας ένα ενοποιημένο μηχανισμό προστασίας έναντι των στοχευμένων απειλών.
Το Trend Micro™ Deep Discovery Analyzer™ είναι ένας sandbox analysis server που μεγαλώνει κλιμακωτά, ανάλογα με τις ανάγκες ενός οργανισμού προσφέροντας τις υπηρεσίες sandboxing άμεσα και στο ίδιο του το δίκτυο. Το Analyzer μας επιτρέπει να καθορίσουμε πολλαπλά, ταυτόχρονα και ειδικά προσαρμοσμένα sandbox, δημιουργώντας εικονικά περιβάλλοντα που ταιριάζουν με συγκεκριμένα desktop software configuration. Υποστηρίζει άμεσα όλα τα προϊόντα της Trend Micro που έχουν σχέση με email και web security καθώς επίσης και άλλα προϊόντα της σουίτας Deep Discovery. Διαθέτει ανοιχτό Web Services API, επιτρέποντας σε προϊόντα ή εξουσιοδοτημένα άτομα να υποβάλουν δείγματα και να λάβουν λεπτομερή ανάλυση.
Τα κύρια χαρακτηριστικά του προϊόντος είναι:
- Κλιμακωτά αναπτυσσομένη υπηρεσία Sandboxing για την καλύτερη συνεργασία με όλες τις πηγές απειλών email, δίκτυο, endpoint, ή οποιαδήποτε άλλη πηγή.
- Προσαρμοζόμενο Sandboxing προσομοιώνει και αναλύει σε περιβάλλοντα που ταιριάζουν απόλυτα με τις ρυθμίσεις του λογισμικού στο desktop του χρήστη επιταχύνοντας τον βέλτιστο βαθμό εντοπισμού και χαμηλά ποσοστά false-positive.
- Ευρύ φάσμα ανάλυσης αρχείων – εξετάζει αρχεία Windows Executable, Microsoft Office, PDF, web και συμπιεσμένα αρχεία με πολλαπλές μηχανές ανίχνευσης και sandboxing
- Ειδικός μηχανισμός ανίχνευσης απειλών και sandboxing σε κοινά αρχεία office.
- Ανάλυση URL σκανάρει και εκτελεί sandbox analysis σε URLs που έχουν υποβληθεί από τον χρήστη (όχι αυτόματα)
- Λεπτομερέστατα Report με ολοκληρωμένη ανάλυση κάθε περιστατικού και κίνησης, επικοινωνιών command-and-control (C&C) μέσω κεντρικής κονσόλας.
- Επικοινωνεί άμεσα με άλλα προϊόντα email και web της Trend Micro
- Η χρήση Web Services API και χειροκίνητης υποβολής δείγματος επιτρέπει την χρήση τόσο από εξουσιοδοτημένους χρήστες όσο και από άλλα προϊόντα.
- Κοινοποιεί νέες πληροφορίες IOC (Indicator of Compromise) αυτόματα με άλλες λύσεις της Trend Micro και άλλων κατασκευαστών.
Γιατί είναι αναγκαία η χρήση του Custom Sandboxing
Η δουλειά των κυβερνοεγκληματιών είναι να αναπτύσσουν κώδικα με στόχο την διείσδυση τους σε συγκεκριμένα περιβάλλοντα για υποκλοπή με σκοπό το οικονομικό όφελος. Στοχεύουν στην μόλυνση των λειτουργικών συστημάτων σε desktop και laptop, εφαρμογές και browsers με κώδικα που στοχεύει τις ρυθμίσεις. Αυτά και είναι λιγότερο πιθανόν να ενεργοποιηθεί σε ένα γενικό sandbox.
Μόνο ένα εξατομικευμένο sandbox που ταιριάζει απόλυτα με τις ρυθμίσεις του υποψήφιου θύματος μπορεί να αποτρέψει μια στοχευμένη απειλή. Το ειδικά προσαρμοσμένο sandbox προσομοιώνει το πραγματικό περιβάλλον για να γίνουν δυνατά τα εξής:
- Να αναγνωρίσει την απειλή που στοχεύει τον συγκεκριμένο οργανισμό και αναπαράγει εικονικά τις ρυθμίσεις του περιλαμβανομένου άδεια Windows, γλώσσα, εφαρμογές, και μείγμα ρυθμίσεων desktop
- Να αποτρέψει τεχνικές αποφυγής sandbox που βασίζονται σε γενικές άδειες Windows, περιορισμένες εφαρμογές και εκδόσεις τους, στην αγγλική γλώσσα.
- Να αγνοεί κακόβουλο κώδικα που δεν επηρεάζει τον συγκεκριμένο οργανισμό αφού στοχεύει σε εκδόσεις συστημάτων που δεν χρησιμοποιούνται.
Πώς δουλεύει το Custom Sandboxing του Deep Discovery
Προεπεξεργστής – Αυτό το πρώτο επίπεδο ανίχνευσης αποτρέπει τεχνικές αποφυγής με την επεξεργασία των δειγμάτων (αποσυμπίεση, άνοιγμα, συμπίεση) και μετά προσδιορίζει τον πραγματικό τύπο του αρχείου άσχετα με την κατάληξή του.
Μηχανές ανίχνευσης – Πολλαπλές μηχανές ανίχνευσης αναλύουν και επικαιροποιούν αρχεία χρησιμοποιώντας τεχνικές όπως signature και heuristics scanning, τα reputation checks του Trend Micro™ Smart Protection Network™, και white- and blacklists που προσδιορίζει ο χρήστης.
Custom Sandboxes – Το Analyzer αποστέλλει άγνωστα και ύποπτα δείγματα αρχείων στο sandbox που ταιριάζει καλύτερα. Εκεί μπορεί να τρέξει με ασφάλεια σε απομονωμένο περιβάλλον και να αναλυθεί για προσδιοριστεί η επικινδυνότητα του. Ο βαθμός επικινδυνότητας και μια λεπτομερή ανάλυση αποστέλλετε στον στο άτομο που έστειλε στο δείγμα. Τα αποτελέσματα μπορούν να διοχετευτούν στο Analyzer management console για περαιτέρω επεξεργασία.
Διαχείριση, Ανάλυση και Αναφορές – Η κονσόλα του Analyzer επιτρέπει την εις βάθος ανάλυση και την ανάπτυξη λεπτομερών αναφορών με γενικά ή συγκεκριμένα αποτελέσματα. Στην κονσόλα διαχείρισης μπορούμε να δημιουργήσουμε εικονίδια του εξατομικευμένου sandbox, black- and whitelists, και πολιτικές sandboxing βασιζόμενα στον τύπο αρχείου, π.χ. να περνούν όλα τα PDFs στο sandbox αυτόματα.
Μπορείτε να επικοινωνήσετε μαζί μας για δοκιμαστικό (Demo ή Proof of Concept) στο 2109340288 ή 6984475858.
Αλεξία Χριστοφή
Managing Director
CYSOFT