Το τοπίο του κυβερνοχώρου εξελίσσεται ραγδαία τα τελευταία χρόνια: η εξάπλωση των ransomware, οι επιθέσεις μεγάλης έκτασης μέσω Internet of Things (IoT) botnets, οι υποκλοπές προσωπικών δεδομένων, η εξάπλωση κακόβουλου λογισμικού σε smart devices, μέχρι και η χρήση hardware chips «κατασκόπων» σε πλακέτες servers made in China, δεν αποτελούν επιστημονική φαντασία. Βρισκόμαστε σε σημείο καμπής για τη μετάβαση σε μιά νέα γενιά επιθέσεων που απαιτούν την προσοχή και κυρίως την αντίδρασή μας.
Κωνσταντίνα Κούκου
Security Engineer Greece & Cyprus
Check Point Software Technologies
Αναγνωρίζοντας την παραπάνω εικόνα, το Παγκόσμιο Οικονομικό Φόρουμ έθεσε τις κυβερνοεπιθέσεις ως έναν από τους τρεις παγκόσμιους κινδύνους για το 2018. Από την Uber μέχρι την Equifax οι επιθέσεις δεν δείχνουν κανένα σημάδι επιβράδυνσης αλλά ολοένα γίνονται πιο πολύπλοκες με σκοπό να πλήξουν την παραγωγή και τη φήμη μεγάλων επιχειρήσεων και ενδεχομένως και ολόκληρων κρατών.
Η πορεία της εξέλιξης των επιθέσεων αντικατοπτρίζεται καλύτερα απ’ οποιαδήποτε άλλη δικτυακή συσκευή, στo τείχος ασφαλείας (firewall). Από μία συσκευή που απλά διαχώριζε τα δίκτυα σε ασφαλή και μη ασφαλή, με απλές λίστες, περάσαμε στη δεύτερη γενιά firewalls με ελέγχους σε επίπεδο πακέτου, και έπειτα στην έκδοση που δεν περιορίζεται απλά στο να ελέγχει πακέτα (packet-inspection), αλλά προχωρά στον έλεγχο των δεδομένων εις εύρεση κακόβουλου περιεχομένου, στην αναγνώριση και έλεγχο εφαρμογών καθώς και στην απόκρουση γνωστών επιθέσεων σε δίκτυα και λειτουργικά συστήματα. Η τελευταία έκδοση του firewall αποτελεί το γνωστό τοίχος ασφάλειας νέας γενιάς –Next Generation Firewall (NGFW) – και αποτελεί μέρος μιας σύγχρονης στρατηγικής για την ασφάλεια των δικτύων περίπου τα τελευταία πέντε χρόνια.
Οι προκλήσεις αυξήθηκαν
Παρόλα αυτά, ενώ τα firewalls νέας γενιάς (NGFW) αποτελούν μια αρκετά κρίσιμη συνιστώσα στη λύση ασφαλείας μιας επιχείρησης, δεν παρέχουν καμία πανάκεια για την προστασία όλου του Δικτύου. Και αυτό γιατί όπως είπαμε σήμερα, οι hackers επικεντρώνονται σε σύνθετες επιθέσεις και μάλιστα άγνωστες ώστε να μην ανιχνεύονται εύκολα από τα NGFWs.Έχουν τις ικανότητες και τα εργαλεία ταυτόχρονα στη διάθεσή τους.
Πλέον για παράδειγμα, το να χτίσουν οι hackers μια πλατφόρμα hacking τεχνητής νοημοσύνης είναι τόσο εύκολο και γρήγορο όσο το να σαρώσουν ένα σύστημα για «ανοιχτές πόρτες». Ενδεικτικά, σύμφωνα με μια πρόσφατη μελέτη διαπιστώθηκε ότι κατά την ανάπτυξη ενός προγράμματος ηλεκτρονικού “ψαρέματος” phising, δεν ήταν ο χάκερ που πέτυχε «το υψηλότερο ποσοστό κλικ», αλλά στην πραγματικότητα η hacking πλατφόρμα που πέτυχε πιο συχνά τη μετατροπή αυτών των κακόβουλων κλικ σε επιτυχείς επιθέσεις phishing.
Τα πράγματα γίνονται ακόμα χειρότερα για τους διαχειριστές ασφάλειας όταν στην εικόνα προστίθενται και χρήστες που μετακινούνται εκτός της περιμέτρου του NGFW, εργάζονται από μη ασφαλή δίκτυα και χρησιμοποιούν το smartphone τους για να ανταλλάσουν εταιρικά δεδομένα.
Βέβαια, δεν μπορούμε να παραλείψουμε από το τοπίο της ασφάλειας και τους ενδεχόμενους κινδύνους του Cloud που αυτόματα συνοδεύουν όλα τα οφέλη της απόφασης μιας εταιρίας να μεταβεί σε αυτό.
Η απάντηση της Check Point
Τι θα συμβεί δηλαδή όταν ένα τελείως άγνωστο αρχείο με κακόβουλη συμπεριφορά μπει στο Δίκτυο μέσα απ ένα από τα παραπάνω σημεία εισόδου που αναφέραμε; Η λειτουργία του NGFW προφανώς σε ένα τέτοιο σενάριο είναι ανεπαρκής, και απαιτείται να συμπληρώνεται από ένα εικονικό περιβάλλον ανάλυσης αρχείων (sandbox).
Το αρχείο πριν παραδοθεί στον χρήστη θα ανοιχθεί-εκτονωθεί σε ένα εικονικό υπολογιστικό περιβάλλον και θα παρατηρείται η συμπεριφορά μέχρι να εξαχθεί ένα συμπέρασμα. Η επιλογή του sandbox ωστόσο, απαιτεί προσοχή καθώς κάποιες από τις λύσεις μπορούν εύκολα να ξεγελαστούν. Το malware μπορεί να αναγνωρίσει ότι εκτελείται σε sandbox και να το κάνει εύκολα bypass ώστε το αρχείο να παραδοθεί τελικά στο χρήστη.
Η προτεινόμενη από την Check Point, Ιnfinity αρχιτεκτονική που απαντά στις προκλήσεις της ασφάλειας του σήμερα παρέχει πρόσβαση και ασφάλεια σε όλα τα τμήματα της υποδομής των δικτύων, των κέντρων δεδομένων, των συνόλων του cloud, των endpoints και των κινητών συσκευών. Αντί να ελέγχουμε μεμονωμένα στοιχεία, βλέπουμε το πλήρες περιβάλλον της ενδεχόμενης επίθεσης.
Πρόκειται για αρχείο που λάβαμε με ηλεκτρονικό ταχυδρομείο ή από το web; Ποιος είναι ο αποστολέας; Πότε καταχωρήθηκε ο τομέας του αποστολέα; Από ποιον; Και ούτω καθεξής. Εξάγουμε χιλιάδες παραμέτρους από το επιθεωρούμενο στοιχείο και το περιβάλλον του και χρησιμοποιώντας τεχνικές τεχνητής νοημοσύνης και συμπεριφοριακής ανάλυσης μπορούμε να φτάσουμε σε μια ενιαία ακριβή ετυμηγορία, αποτρέποντας από την πρώτη φορά ακόμα και άγνωστου τύπου απειλές (zero day).
Η λύση του sandbox της Check Point πέραν των παραδοσιακών δυνατοτήτων του sandbox , περιλαμβάνει προστασία επιπέδου CPU, εστιάζονται στο στάδιο της εκμετάλλευσης της επίθεσης (exploitation stage). Αυτό μας επιτρέπει σε αντίθεση με ό,τι υπάρχει σήμερα, να ανιχνεύoυμε και να αποκλείουμε τις άγνωστες απειλές έγκαιρα πριν την εκτέλεση του κώδικα.
Παράλληλα, η ολοκληρωμένη αυτή έγκαιρη πρόληψη απειλών σε όλα τα σημεία είναι ευέλικτη ώστε να παρέχει μια δυναμική και ενιαία πολιτική ασφάλειας, με ενιαίο τρόπο παρακολούθησης χωρίς τον επιπρόσθετο φόρτο διαχείρισης που προκύπτει συνήθως από τη διασπορά πολλαπλών λύσεων ασφαλείας σε ένα δίκτυο.