Μόλις πριν από λίγα χρόνια, η τεχνολογία sandboxing ωρίμασε πραγματικά. Η ικανότητα προσομοίωσης ενός περιβάλλοντος, ενεργοποίησης ενός αρχείου χωρίς κίνδυνο μόλυνσης και η ανάλυση της συμπεριφοράς του, έγινε ένα πραγματικά εύχρηστο εργαλείο έρευνας.
Από τότε, τα sandboxes έχουν γίνει σχετικά δημοφιλή (όχι στον ίδιο βαθμό με τα προγράμματα καταπολέμησης των ιών ή τα firewalls) και χρησιμοποιούνται σε μεγαλύτερες εταιρείες. Ακόμη κι αν είχατε αγοράσει ένα sandbox πριν από μερικά χρόνια, σίγουρα, έχετε πλέον αυξημένες ανάγκες για ανάλυση των κακόβουλων λογισμικών, πέρα ??από τις παραδοσιακές τεχνολογίες sandbox που απλά απομονώνουν τα ύποπτα αρχεία, τα αναλύουν σε μια τοπική εικονική μηχανή, και στη συνέχεια τα θέτουν σε καραντίνα.
Ήρθε ο καιρός να περάσουμε στο επόμενο βήμα και να μην χρησιμοποιήσουμε το sandbox ως ξεχωριστή δυνατότητα και μόνο. Μόνο έτσι θα μπορέσουμε και περάσουμε την ασφάλεια πέρα από τα όρια του Sandbox ώστε να τα αξιοποιήσουμε στο έπακρο. Χρειάζεστε ένα πιο ισχυρό εργαλείο ανάλυσης κακόβουλου λογισμικού που να συνεργάζεται απρόσκοπτα με την υποδομή σας και να μπορεί να ανιχνεύει συνεχώς ακόμα και τις πιο προηγμένες απειλές, που αναγνωρίζουν το περιβάλλον και μπορούν να αποφύγουν τον εντοπισμό τους.
Τρεις είναι οι τρόποι αγοράς και αξιοποίησης της τεχνολογίας sandbox από τις επιχειρήσεις:
1. Μια stand-alone λύση που έχει σχεδιαστεί για να τροφοδοτείται με αρχεία για ανάλυση, χωρίς να εξαρτάται από άλλα προϊόντα ασφαλείας. Αν και η λύση αυτή παρέχει μεγαλύτερη ευελιξία, αυξάνει σημαντικά το κόστος του εξοπλισμού και την πολυπλοκότητα στη διαχείριση και την ανάλυση, ειδικά για επιχειρήσεις με γραφεία σε διαφορετικές περιοχές.
2. Λύση Sandbox ενσωματωμένη στα Next Generation firewall, τα Next Generation IPS ή τα UTMs (Unified Threat Management). Αυτές οι λύσεις, αν και συνήθως οικονομικές και εύκολες στην εγκατάσταση, είναι λιγότερο αποτελεσματικές στην ανίχνευση ενός ευρέος φάσματος ύποπτων αρχείων, συμπεριλαμβανομένων των αρχείων web και email. Επίσης, θέτουν περιορισμούς στο bandwidth εξαιτίας των οποίων μειώνεται η απόδοση του δικτύου και ταυτόχρονα εγείρονται ζητήματα προστασίας του απορρήτου όταν η μόνη επιλογή είναι μια λύση βασισμένη στο cloud.
3. Λύση Sandbox ενσωματωμένη στα Content Security Gateways όπως Web Security Gateways και Email Security Gateways. Η προσέγγιση αυτή είναι εξίσου οικονομική αλλά εστιάζει μόνο σε κανάλια web και email, ενώ μειώνει τις επιδόσεις και εγείρει ζητήματα προστασίας του απορρήτου.
Υπάρχει όμως κι ένας τέταρτος τρόπος που αξιοποιεί ό,τι καλύτερο έχουν να προσφέρουν αυτές οι προσεγγίσεις και θα σας βοηθήσει να καταπολεμήσετε τους εισβολείς, που γίνονται καλύτεροι μέρα με τη μέρα, όταν μάλιστα έχουν πρόσβαση σε ενισχυμένη χρηματοδότηση: Το Cisco AMP Threat Grid. Μέσω του AMP Threat Grid, η Cisco προσφέρει προηγμένες λύσεις ανάλυσης και πληροφόρησης κακόβουλου λογισμικού, που εξασφαλίζουν καλύτερη απόδοση της επένδυσης, καλύτερη ενσωμάτωση και έλεγχο σε ό, τι συμβαίνει στο περιβάλλον σας. Το Center for Internet Security των ΗΠΑ, περιέγραψε πρόσφατα τον τρόπο που χρησιμοποιεί τη λύση της Cisco, για να αναλύει δείγματα κακόβουλου λογισμικού από περισσότερες από 19.000 πολιτειακές, τοπικές και περιφερειακές κυβερνήσεις.
Το AMP Threat Grid προσφέρεται ως μία τοπική, αυτόνομη λύση ανάλυσης κακόβουλου λογισμικού και ως λύση SaaS βασισμένη στο cloud που παρέχει ένα REST API για την αυτοματοποίηση των δειγμάτων από ένα ευρύ φάσμα τεχνολογιών στις οποίες έχετε ήδη επενδύσει, όπως μεταξύ άλλων:
- Firewalls και συσκευές Unified Threat Management (UTM) από τις πιο δημοφιλείς εταιρείες στις οποίες συγκαταλέγεται φυσικά η Cisco και τα ASA Firepower Next Generation Firewalls
- Proxy servers,
- Security Information and Event Management – SIEM λογισμικά
- Εργαλεία Governance Risk and Compliance -GRC) και πολλά άλλα
Το AMP Threat Grid έχει επίσης ενσωματωθεί στις λύσεις Email και ασφάλειας Web της Cisco, παρέχοντας μεγαλύτερο έλεγχο σε περισσότερα σημεία.
Καθεμία από αυτές τις λύσεις μειώνει το κόστος και την πολυπλοκότητα, ενώ προσφέρει τη δυνατότητα αυτόματης ανάλυσης ενός ευρέος φάσματος ύποπτων αρχείων, συμπεριλαμβανομένων των εκτελέσιμων αρχείων, βιβλιοθηκών (DLLs), Java, PDF, εγγράφων του MS Office, XML, Flash και των διευθύνσεων URL. Τα περισσότερα αιτήματα αναλύονται κατά μέσο όρο μέσα σε 7,5 λεπτά.
Το AMP Threat Grid όχι μόνο αναλύει ένα ευρύ φάσμα αντικειμένων αλλά προσφέρει και δυνατότητες μεγάλης ανάλυσης σε συνδυασμό με ισχυρό περιεχόμενο.
Με πάνω από 560 δείκτες συμπεριφοράς και μια βάση δεδομένων κακόβουλου λογισμικού από όλο τον κόσμο, το AMP Threat Grid παρέχει μεγαλύτερη ακρίβεια και πιο πλούσια σε περιεχόμενο ανάλυση κακόβουλου λογισμικού.
Κάθε δείγμα λαμβάνει ένα βαθμό απειλής με βάση τη σοβαρότητα και το επίπεδο εμπιστοσύνης. Ο βαθμός αυτός διευκολύνει τους αναλυτές ασφαλείας στο να δώσουν προτεραιότητα σε ενέργειες και να λάβουν καλύτερες αποφάσεις. Η απειλή αξιολογείται με βάση ένα εύρος 0-100, με το 100 να χαρακτηρίζει το λογισμικό ως κακόβουλο και τα υπόλοιπα νούμερα να κυμαίνονται από ύποπτο έως μη επιβλαβές λογισμικό, διότι η ερώτηση περί της ύπαρξης κακόβουλου λογισμικού ή όχι δεν μπορεί να απαντηθεί με ένα απλό ναι ή ένα όχι.
Ένα ακόμη σημαντικό στοιχείο είναι ότι το ακόμα και τα πιο εξελιγμένα environment-aware κακόβουλα λογισμικά δεν μπορούν να αντιληφθούν την παρουσία του AMP Threat Grid καθώς χρησιμοποιεί τεχνολογία outside-looking-in και επομένως δεν μπορούν να διαφύγουν. Πρόκειται για ένα θεμελιώδη τρόπο να σταθούμε στο ύψος των περιστάσεων όταν δεχόμαστε απειλές από καλοπληρωμένους εισβολείς που μαθαίνουν γρήγορα.
Όμως το Sandbox δεν είναι πανάκεια και για αυτό το Cisco AMP Threat Grid διαθέτει εξελιγμένη δυνατότητα συνεχούς ανάλυσης των δειγμάτων και αναδρομικής ασφάλειας. Προηγουμένως άγνωστα αρχεία που αργότερα επιδεικνύουν κακόβουλη συμπεριφορά τίθενται σε καραντίνα με την δυνατότητα της συνεχούς ανάλυσης και η αναδρομική ασφάλεια συμβάλει στον προσδιορισμό τους εύρους της παραβίασης και των βαθύτερων αιτίων της και σας βοηθά να αναλάβετε δράση.
Η Cisco αναλύει εκατομμύρια δείγματα από κακόβουλα λογισμικά και terabytes δεδομένων κάθε μέρα ώστε να διασφαλίζει την πιο εξελιγμένη ευφυΐα του AMP.
Νίκος Μουρτζίνος
Security Product Sales Specialist
της Cisco, για Ελλάδα, Κύπρo, Μάλτα