Η απαίτηση για αναβάθμιση της προστασίας των endpoints στις επιχειρήσεις και τους οργανισμούς, οδηγεί στην επιτακτική ανάγκη υιοθέτησης εξελιγμένων εργαλείων, που περιλαμβάνουν μεταξύ άλλων μηχανική εκμάθηση (deep learning), εξελιγμένα sandboxes και analytics συμπεριφοράς των χρηστών.  

 

 

Του Δημήτρη Θωμαδάκη

Σήμερα, είναι απαραίτητο όσο ποτέ άλλοτε, οι Chief Information Security Officers (CISO) να ενημερώνονται για τις εξελίξεις στο τομέα της προστασίας των endpoints, προκειμένου να είναι σε θέση να λαμβάνουν σωστά αξιολογημένες και αποτελεσματικές αποφάσεις, σχετικά με τις επενδύσεις σε αυτή την αγορά και παράλληλα να προσφέρουν τις απαραίτητες συμβουλές στη διοίκηση, να σχεδιάζουν και να υλοποιούν μια στρατηγική ασφάλειας, που θα οδηγεί στη προστασία των δεδομένων, αλλά και γενικότερα στην εύρυθμη λειτουργία και ανάπτυξη της επιχείρησης.

Η προστασία των endpoints – πέρα από τις παραδοσιακές μεθόδους ασφάλειας – έχει στραφεί σε μεγάλο βαθμό προς τεχνολογίες όπως η ανάλυση συμπεριφοράς, το sandboxing και η μηχανική εκμάθηση, ή συνδυασμούς όλων αυτών, με σκοπό να ενισχυθεί η δυναμική προστασία έναντι των εξελιγμένων malware. Αυτές οι τεχνολογικές εξελίξεις, διαδραματίζουν σημαντικό ρόλο στην άμυνα της επιχείρησης κατά των αναπτυσσόμενων απειλών, συμπεριλαμβανομένου του ransomware και πολλών άλλων κινδύνων που έχουν παρουσιαστεί το τελευταίο διάστημα στον κυβερνοχώρο.

Behavior Analytics

Τα προϊόντα εξελιγμένης προστασίας των endpoints, εντοπίζουν και παρακολουθούν ενδείξεις ενδεχόμενης επίθεσης, δυνητικών κινδύνων παραβίασης του δικτύου και διαρροής των δεδομένων, με βάση απόπειρες μη εξουσιοδοτημένων αλλαγών στη συμπεριφορά χρηστών, συστημάτων και διαδικασιών. Η ανάλυση συμπεριφοράς των χρηστών, αλλά και των συσκευών, αναδεικνύει και αναλύει αυτές τις ενδείξεις και τις σχέσεις μεταξύ τους, ώστε να αναπτύσσει και να υλοποιεί διάφορες προσεγγίσεις για την προστασία των endpoints, προσαρμοσμένες στις εκάστοτε απαιτήσεις.

Η ανάλυση συμπεριφοράς (ΒΑ – Behaviour Analytics) ως διαδικασία, διαμορφώνει ένα αποτύπωμα αναφοράς της κανονικής συμπεριφοράς του χρήστη. Με αυτό ως σημείο αναφοράς, οι κατασκευαστές των εργαλείων αυτών, μπορούν να ανιχνεύουν τη μη συνηθισμένη χαρακτηριστική συμπεριφορά. Κάποιοι κατασκευαστές, που έχουν πολλαπλές προτάσεις σε διαφορετικούς τομείς ασφαλείας, δημιουργούν προφίλ των χρηστών με βάση τα δεδομένα που συλλέγουν από ολόκληρο το δίκτυο. Αυτά τα ισχυρά προφίλ που προκύπτουν, μπορούν να ενισχύσουν τις ικανότητες ανίχνευσης ώστε να αναβαθμίζουν την προστασία των endpoints.

Τα νέα συστήματα ανάλυσης συμπεριφοράς, έχουν τη δυνατότητα να εμβαθύνουν μέχρι και στις πολύ ειδικές δραστηριότητες των χρηστών στο πλέον λεπτό επίπεδο. Μια κορυφαίας τεχνολογίας λύση ανάλυσης συμπεριφοράς, είναι εφικτό να  εξετάζει τις διαδικασίες που εκτελούνται, τις αλλαγές που συντελούνται σε αυτές και στο μέγεθος των αρχείων ή στην τοποθεσία, όπως και τους χρήστες που αποκτούν πρόσβαση στον κεντρικό χώρο και τροποποιούν διάφορα πράγματα εκεί.

Τα συστήματα ανάλυσης συμπεριφοράς επισημαίνουν τις διαφορές μεταξύ ενός “έγκυρου” και “άκυρου” προσώπου, αναγνωρίζουν τις δράσεις των bots και των trojans και προστατεύουν το δίκτυο κατά των περιπτώσεων μόλυνσης του πρώτου υπολογιστή. Αντί να ανιχνεύουν την ίδια τη μόλυνση, τα συστήματα BA ανιχνεύουν την κακόβουλη συμπεριφορά πριν από το πρώτο περιστατικό μόλυνσης, ελπίζοντας ότι δεν θα υπάρξει καν μία πρώτη μολυσμένη συσκευή.

Οι κατασκευαστές χρησιμοποιούν διάφορα μοντέλα για να προσφέρουν ανάλυση συμπεριφοράς και εξελιγμένη προστασία των endpoints, ενώ κάποιοι από αυτούς φτιάχνουν νέα εργαλεία ασφάλειας των endpoints, ενοποιώντας τα προϊόντα τους και με αυτά των άλλων παρόχων.

Sandboxing – Διαφορές και αναβαθμίσεις

Η ασφάλεια των endpoints αξιοποιεί σήμερα σε μεγάλο βαθμό τις τεχνολογίες Sandbox, που αποτελούν εικονικά περιβάλλοντα ή περιβάλλοντα εξομοίωσης στα οποία καταφτάνουν όλα τα πιθανά ύποπτα αρχεία που εισέρχονται στο εταιρικό δίκτυο και εκτελούνται ώστε να αξιολογηθεί η συμπεριφορά και άρα η επικινδυνότητά τους.

Τα σύγχρονα Sandboxes είναι ικανά να αντιγράψουν οποιοδήποτε λειτουργικό περιβάλλον, να εκτελέσουν πληθώρα διαφορετικών τύπων αρχείων και να καταγράφουν όλα τα σημεία κλειδιά που θα καθορίσουν την αποδοχή ή την απόρριψη του εκάστοτε αρχείου. Με αυτό τον τρόπο, οι υπεύθυνοι ασφάλειας μπορούν ευκολότερα να περιορίζουν τον αντίκτυπο των επιθέσεων στο δίκτυό τους και να προλαμβάνουν τις μελλοντικές προσπάθειες εισβολής.

Τα sandboxes, έχουν τη δυνατότητα τρέχουν και να μελετούν απειλές χωρίς να επηρεάζουν τα συστήματα που βρίσκονται έξω από αυτά. Οι τεχνολογίες sandboxing διαφέρουν μεταξύ των κατασκευαστών, κάτι που εξαρτάται από αν θα παρέχονται ως τοπικές λύσεις ή ως υβριδικές λύσεις στο cloud και με βάση το λειτουργικό σύστημα που χρησιμοποιούν, τις εκδόσεις λογισμικού και κατά ποιων απειλών δοκιμάζεται η κάθε προστασία.

Κάποια sandboxes τρέχουν σε ξεχωριστές συσκευές και κάποια προγράμματα στα endpoints. Διαχωρίζοντας, το malware ακόμα πιο μακριά από το παραγωγικό περιβάλλον ή το εταιρικό δίκτυο, χρησιμοποιώντας ξεχωριστές συσκευές, η χρήση αυτών των εργαλείων προσθέτει ένα επιπλέον στρώμα προστασίας για την επιχείρηση, ενώ τα sandboxes που τρέχουν σε τοπικές συσκευές εμπεριέχουν μερικές φορές το ρίσκο να μολύνει η απειλή το εταιρικό δίκτυο.

Τα νεότερα sandboxes προσομοιάζουν πολλαπλά λειτουργικά συστήματα για να εξετάσουν το πως οι απειλές επηρεάζουν διάφορα συστήματα. Αυτό είναι καίριο για τις περισσότερες επιχειρήσεις, που πρέπει να υποστηρίζουν διαφόρων ειδών endpoints και λειτουργικά συστήματα. Οι προμηθευτές που συγκεντρώνουν τις υπηρεσίες sandboxing στο cloud, μπορούν να συλλέγουν αποτελεσματικά νέες πληροφορίες για τις απειλές και να τις διανέμουν γρήγορα σε όλους τους πελάτες τους.

Η cloud προσέγγιση προσφέρει εξελιγμένη προστασία για endpoints, ακόμα και αν μία επίθεση δεν έχει πλήξει ακόμα μια εταιρεία. Αυτό το μοντέλο είναι πιο γρήγορο στην ανταπόκριση έναντι των απειλών από το να περιμένουμε από κάποιον εξωτερικό φορέα συλλογής πληροφοριών ενημέρωση για νέες απειλές, ώστε να συλλέξει τα δεδομένα, να τα επεξεργαστεί και να τα στείλει.

Παρ’όλα αυτά, η εξωτερική πληροφόρηση για απειλές είναι πάντα απαραίτητη, καθώς ένας άλλος κατασκευαστής μπορεί να έχει δει και να δημοσιεύσει νωρίτερα μία απειλή. Τα νεότερα sandboxes ενσωματώνονται απευθείας με την ανάλυση συμπεριφοράς, την παρακολούθηση συμβάντων ασφαλείας και τις τεχνολογίες ειδοποίησης. Αυτή η ενσωμάτωση αυξάνει την αποτελεσματικότητα όλων των παραπάνω τεχνολογιών και δίνει στην ανάλυση συμπεριφοράς μία πρόσθετη άμεση πηγή πληροφόρησης. Αυτού του είδους τα sandboxes συχνά αποκαλούνται ως secure containers

Οι σύγχρονες απειλές μπορούν να “αντιληφθούν” αν βρίσκονται σε sandbox, προσπαθώντας να κάνουν ping τη διεύθυνση IP της Google. Ως απόκριση, τα sandboxes των νέων προϊόντων ασφαλείας για endpoints, επιτρέπουν σε αυτές τις απειλές να κάνουν ping τη συγκεκριμένη εξωτερική διεύθυνση. Τα sandboxes που επιτρέπουν αυτή τη λεπτομερή έγκριση της εξωτερικής κίνησης, στόχο έχουν να ξεγελούν τα malware ώστε να νομίζουν ότι δεν βρίσκονται σε sandbox.

Ένα εξελιγμένο sandboxing είναι η βέλτιστη επιλογή για μια αναβαθμισμένη προστασία των endpoints. Οι προσεγγίσεις sandboxing που αντιμετωπίζουν τους πολλούς φορείς επίθεσης αρχείων, μνήμης και ευπαθειών σε διαδικασίες, προσφέρουν μεγαλύτερη αποτελεσματικότητα από τις μονοδιάστατες μεθόδους, όπως η απομόνωση απειλών μόνο στους browsers.

Μηχανική εκμάθηση και εξελιγμένη προστασία για endpoints

Η μηχανική εκμάθηση χρησιμοποιεί μηχανικές διαδικασίες για να βελτιώνει επανειλημμένως τους αλγόριθμους ασφάλειας των endpoints, βασιζόμενη σε ήδη συγκεντρωμένα δεδομένα για τη δραστηριότητα των κακόβουλων αρχείων. Εν συντομία, το σύστημα μαθαίνει εμπειρικά. Η μηχανική εκμάθηση βοηθάει τους κατασκευαστές λύσεων ασφάλειας για endpoints, να αντιμετωπίζουν την ταχύτητα με την οποία οι επιτιθέμενοι δημιουργούν και διαθέτουν παραλλαγές απειλών, τεχνικών και κακόβουλων πακέτων λογισμικού.

Με αυτό ως ιδέα, οι υπολογιστές και τα προγράμματα “αστυνομεύουν” τους εαυτούς τους, βασιζόμενα σε προσαρμοζόμενες παραμέτρους, τόσο των όμοιων σχεδίων όσο και σύντομων συμπερασμάτων σχετικά με νέα σχέδια.

Η ασφάλεια των endpoints απέναντι στο ransomware

Το ransomware μπορεί να είναι πολυμορφικό ή μεταμορφικό φαινόμενο απειλής, που σημαίνει ότι μπορεί να αλλάζει τον κώδικα του καθώς εξαπλώνεται, ώστε να αποφεύγει την ανίχνευση. Ο πολυμορφικός κώδικας, συνήθως αλλάζει τμήμα του συστήματος, ενώ κάποιος ουσιαστικός μηχανισμός ή στοιχείο μπορεί να παραμένει σταθερό.

Οι κατασκευαστές λύσεων ασφάλειας για endpoints, δημιουργούν προϊόντα που προστατεύουν την επιχείρηση κατά του μεταλλασσόμενου ransomware, ενοποιώντας τεχνολογίες, όπως είναι η μηχανική εκμάθηση, η ανάλυση συμπεριφοράς, η παρακολούθηση του file system και των διαδικασιών. Παρ’ όλο που το ransomware επαναπρογραμματίζει τον εαυτό του, η συμπεριφορά του είναι εμφανής, επιτρέποντας σε αυτές τις νέες τεχνικές να τις ξεχωρίζουν από το ασφαλές λογισμικό.

Οικοδομώντας endpoint security intelligence

Για να ανιχνεύει και να αποκρίνεται στον αυξανόμενο αριθμό των νεώτερων μορφών malware, η ασφάλεια των endpoints πρέπει να συγκεντρώνει και να αναλύει μεγάλα σύνολα δεδομένων με πληροφορίες και συμπεριφοράς σε πραγματικό χρόνο, να εφαρμόζει μηχανική εκμάθηση ώστε να “σκέφτεται” διεξοδικά τις ικανότητες και τις προθέσεις ύποπτων αρχείων και διαδικασιών, όπως επίσης να δημιουργεί και να εκτελεί αντίμετρα. Κάθε λογισμικό ασφαλείας για endpoints θα πρέπει να έχει αξία και να λειτουργεί σε τεράστιους όγκους δεδομένων από ένα μεγάλο εύρος πηγών. Η ανάλυση σε αυτή την κλίμακα δεν είναι πάντα εύκολη, αλλά σε αυτό το σημείο είναι που αναδεικνύεται η αξία της μηχανικής εκμάθησης.