Οι γνωστές αλλά κυρίως οι άγνωστες απειλές που χαρακτηρίζονται ως προηγμένες αποτελούν το μεγάλο πονοκέφαλο των οργανισμών. Η τεχνολογία Sandbox αποτελεί σήμερα μια δημοφιλή και αποτελεσματική λύση προστασίας για οργανισμούς κάθε δραστηριότητας και κλίμακας.

Η ψηφιακή επανάσταση έχει όπως καλά γνωρίζουμε και τη “σκοτεινή της πλευρά”. Πολλές εταιρείες ποικίλης δραστηριότητας και κλίμακας που προσφέρουν πολύπλοκες και εξατομικευμένες ψηφιακές υπηρεσίες στους πελάτες τους, καλούνται ταυτόχρονα να είναι  “φύλακες” των κρίσιμων δεδομένων τους. Είναι ακριβές να ισχυριστούμε, ότι ο τρόπος συλλογής αυτών των δεδομένων, η αποθήκευση τους και η διαχείριση τους σε βάθος μπορεί να αποτελέσει “το κλειδί της επιτυχίας” μίας επιχείρησης. Μία τέτοια βάση δεδομένων όμως με τόσες πολύτιμές πληροφορίες, αποτελεί σήμερα το βασικό στόχο ενός εξελιγμένου επιτιθέμενου, που αποσκοπεί σε προσωπικό οικονομικό όφελος και για αυτό επιβάλλεται η επαρκής προστασία της. Σε περίπτωση υφαρπαγής και διαρροής των δεδομένων αυτών, κλονίζεται από την μια πλευρά η λειτουργία παροχής υπηρεσιών της εταιρίας προς τους πελάτες της και από την άλλη πλευρά καταρρακώνεται η φήμη συνολικά της εταιρίας.

Η πρόκληση της ουσιαστικής και αποτελεσματικής προστασίας των δεδομένων, του δικτύου και εν γένει της εταιρικής ΙΤ υποδομής είναι εξαιρετικά σύνθετη όσο εξελίσσεται η γραμμή επίθεσης απέναντι της. Οι επιτιθέμενοι σήμερα διαθέτουν προηγμένα εργαλεία και εφαρμόζουν εξελιγμένες μεθόδους εισβολής τις όποιες χρησιμοποιούν συνδυαστικά, ώστε να υποσκελίσουν τις εταιρικές άμυνες και να εισέλθουν στο δίκτυο της επιχείρησης.

Κατά συνέπεια, η ομάδα ασφάλειας κάθε οργανισμού οφείλει τον θωρακίσει με αποτελεσματικές λύσεις προστασίας, τέτοιες που να επιτρέπουν την ανίχνευση των προηγμένων απειλών και τη διαχείρισή τους, όσο πιο γρήγορα γίνεται για να αποφεύγονται οποιουδήποτε είδους παραβιάσεις. Στα πλαίσια αυτά οι λύσεις τεχνολογίας Sandbox, κερδίζουν ολοένα και περισσότερο έδαφος και πλέον θεωρούνται πολύτιμο στήριγμα ασφάλειας για πολλούς οργανισμούς εφαρμόζοντας αποδοτικά στρατηγικές ανίχνευσης, αποτροπής και αντίδρασης σε πολλές ενδεχόμενες επιθέσεις.

Ως Sandbox ορίζεται ένα εικονικό περιβάλλον ή περιβάλλον εξομοίωσης στο οποίο καταφτάνουν όλα τα πιθανά ύποπτα αρχεία που εισέρχονται στο εταιρικό δίκτυο και εκτελούνται ώστε να αξιολογηθεί η συμπεριφορά και άρα η επικινδυνότητά τους. Τα σύγχρονα Sandboxes είναι ικανά να αντιγράψουν οποιοδήποτε λειτουργικό περιβάλλον, να εκτελέσουν πληθώρα διαφορετικών τύπων αρχείων και να καταγράφουν όλα τα σημεία κλειδιά που θα καθορίσουν την αποδοχή ή την απόρριψη του εκάστοτε αρχείου. Με αυτό τον τρόπο οι υπεύθυνοι ασφάλειας μπορούν ευκολότερα να περιορίζουν τον αντίκτυπο των επιθέσεων στο δίκτυό τους και να προλαμβάνουν τις μελλοντικές προσπάθειες εισβολής.

Η διεύρυνση των στόχων είναι μια πραγματικότητα

Αν κάποιος οργανισμός θεωρεί ότι ανήκει στο απυρόβλητο των επιθέσεων γιατί κατά μία περίεργη θεώρηση δεν έχουν αξία τα δεδομένα του, τότε σίγουρα σφάλλει. Πολλές είναι οι έρευνες που δημοσιεύονται κατά καιρούς το τελευταίο διάστημα και δείχνουν ότι κάθε εταιρία ανεξαρτήτου δραστηριότητας ή κλίμακας μπορεί να είναι στόχος και μάλιστα ευάλωτος μπροστά σε ηλεκτρονικές επιθέσεις. Σύμφωνα με έρευνα που διεξήχθη από την Forrester Consulting για λογαριασμό της Fortinet τον Ιούλιο του 2015 περισσότερες από το 90% των εταιριών που συμμετείχαν είχαν υποστεί παραβίαση δεδομένων στους προηγούμενους 12 μήνες και μάλιστα το 55% εξ’ αυτών είχαν πέσει θύματα παραπάνω από 6 φορές συνολικά.

Οι εξελιγμένες επιθέσεις είναι πλέον πολύ συχνές και καμία δεν είναι ίδια με την προηγούμενη, με αποτέλεσμα να απαιτείται τελείως διαφορετική αμυντική γραμμή κάθε φορά. Η πλειοψηφία των υπό έρευνα ομάδων ασφαλείας ανέφεραν όμως ότι οι λύσεις με τεχνολογία Sandbox, παρείχαν χρήσιμες αναφορές σχετικά με την ανίχνευση των προηγμένων απειλών και προσέφεραν σημαντική και έγκαιρη προστασία .

Ο κρίσιμος ρόλος του Sandbox

Η τεχνολογία Sandbox και οι λύσεις που βασίζονται σε αυτή μπορούν να παίξουν σημαντικό ρόλο στην προστασία ενάντια στις εξελιγμένες επιθέσεις και ενδεχόμενες παραβιάσεις των δικτύων, υποστηρίζοντας λειτουργίες ανίχνευσης και αποτροπής των απειλών. Ειδικότερα, οι σύγχρονες λύσεις sandbox παρέχουν πολύτιμες λειτουργίες στον τομέα της αντιμετώπισης άγνωστων επιθέσεων, οι οποίες δύσκολα ανιχνεύονται από τα παραδοσιακά μέσα προστασίας. Η αποτελεσματικότητα της προστασίας που προσφέρεται από το Sandbox, οφείλεται στο ότι δεν αναφερόμαστε σε μια μέθοδο αντιμετώπισης επίθεσης που έχει εκδηλωθεί μέσα στον οργανισμό αλλά σε μια τεχνική πρόληψης. Δηλαδή, το Sandbox είναι υπεύθυνο για την ανίχνευση κακόβουλου αρχείου το οποίο ναι μεν εισήρθε στο εταιρικό δίκτυο, αλλά ακόμα δεν εγκαταστάθηκε στους πόρους του. Όσο πιο αξιόπιστο είναι το Sandbox τόσο λιγότερα προβλήματα θα αντιμετωπίσει η ομάδα ασφάλειας του εκάστοτε οργανισμού.

Φυσικά όπως γνωρίσουμε δεν υπάρχει η απόλυτη λύση στην εταιρική προστασία, μιας και οι επιθέσεις εκδηλώνονται συνεχώς σε νέες μορφές. Έτσι και η τεχνολογία Sandbox βρίσκεται εκεί για να προσθέσει επιπλέον δυνατότητες προστασίας, αλλά απαιτείται να συνυπάρχει και με ποικίλες άλλες πλατφόρμες ασφάλειας, ώστε κάθε εταιρεία να θωρακίζεται το βέλτιστο δυνατό.

Ενδεικτικά, αναφέρεται ότι διαπιστώθηκε βάσει της προαναφερόμενης έρευνας, ότι στις Η.Π.Α παραπάνω από τις μισές εταιρείας που απασχολούν 1000 υπαλλήλους ή περισσότερους, έχουν ενσωματώσει λύσεις Sandboxing και το 11% προσανατολίζεται στην επέκταση αυτής της επιλογής σε πιο εξελιγμένες μορφές ή σε μεγαλύτερη ενδοεταιρική κλίμακα. Από την άλλη μεριά το 19% των υπολοίπων σκόπευε να εισάγει την τεχνολογία Sandbox στην επιχείρησή του μέσα στου επόμενους 12 μήνες.

Πρακτικές υιοθέτησης λύσης Sandbox

Σύμφωνα με την προηγούμενη ανάλυση η απόκτηση μιας λύσης Sandbox είναι πλέον πολύτιμη στη μάχη ενάντια στους επιτιθέμενους. Προτού όμως οποιαδήποτε λύση καταλήξει στους κόλπους ενός οργανισμού, πρέπει να αφιερωθεί χρόνος στη μελέτη των πραγματικών αναγκών που πρέπει να ικανοποιηθούν, των δυνατοτήτων που προσφέρει η εκάστοτε λύση, του τρόπου που αυτές οι δυνατότητες ενσωματώνονται στην υπάρχουσα εταιρική δομή, αλλά και του ποσοστού συνεργασίας όλων των συστημάτων ασφαλείας του οργανισμού για μία ολοκληρωμένη προσέγγιση ανίχνευσης, προστασία και άμυνας. Οι πρακτικές που οδηγούν στην καλύτερη επιλογή και ανάπτυξη μιας λύσης sandbox είναι:

  • Κατανοήστε τα χαρακτηριστικά. Oι δυνατότητες που προσφέρονται από την εκάστοτε λύση Sandbox πρέπει να καλύπτουν τις τωρινές αλλά και τις μελλοντικές ανάγκες ενός οργανισμού, σε θέματα λειτουργικού περιβάλλοντος και διεργασιών ασφάλειας. Πρωταρχικά, λοιπόν αυτές οι ανάγκες πρέπει να οριστούν με σαφήνεια και κατόπιν να αναζητηθεί η λύση εκείνη που τις ικανοποιεί και θα τις ικανοποιεί στο απώτερο μέλλον. Για να είστε σίγουροι ότι πράξατε τα δέοντα απαιτείται να έχετε καταλήξει σε:
  1. Μία στρατηγική ασφάλειας διατυπωμένη με σαφήνεια που θα ξεκαθαρίζει τους τρόπους συντονισμού και οργάνωσης στην αντιμετώπιση των απειλών.
  2. Να έχετε επενδύσει σε ανθρώπινο δυναμικό με ικανοποιητική κατάρτιση σε θέματα ασφάλειας.
  3. Να επικεντρωθείτε στα ουσιώδη και να μην αναζητάτε την τέλεια λύση.

Χωρίς να ικανοποιήσετε τα προαναφερόμενα η μάχη ενάντια στους επιτιθέμενους είναι πολύ δύσκολο να κερδηθεί.  Ζητούμενο είναι η άριστη συνεργασία του Sandbox με την εταιρική δομή χωρίς να δημιουργούνται δυσεπίλυτα προβλήματα και ζημιογόνες καθυστερήσεις στη λειτουργία της εταιρείας.

  • Ευελιξία στην ενσωμάτωση. Κατά την αξιολόγηση μια Sandbox λύσης δίνεται ιδιαίτερη βαρύτητα στον τρόπο που αυτή θα ενσωματωθεί με τα υπάρχοντα συστήματα ασφάλειας, αλλά και γενικότερα με την εταιρική δομή. Καθώς οι απειλές εξελίσσονται γοργά, αναζητάτε την λύση εκείνη που θα είναι ευέλικτη στο να τις ανιχνεύει ικανοποιητικά και παράλληλα ικανή να τις προωθεί προς διαχείριση στα υπόλοιπα συστήματα, χωρίς να διαταράσσει την παραγωγική διαδικασία. Το πώς συνεργάζεται το Sandbox με τα υπόλοιπα συστήματα ασφαλείας δεν πρέπει να αφήνεται χωρίς λεπτομερή διερεύνηση.
  • Κόστος. Όπως κάθε επιλογή τεχνολογικής φύσεως αναμένεται να ξεκινήσετε με μία επένδυση η οποία όμως μελλοντικά και με στόχο την αρτιότητα να απαιτεί επιπλέον πόρους και άρα κόστος. Μία προσεκτική μελέτη και αξιολόγηση των δυνατοτήτων και του κόστους ίσως να σας γλυτώσει από περιττά έξοδα.
  • Ευρύ πεδίο ελέγχου και αυτοματισμού. Οι ήδη εμπλεκόμενοι στην τεχνολογία Sandbox δήλωσαν ότι θα επιθυμούσαν η επιλεγμένη πλατφόρμα τους, να συνεργάζεται με τουλάχιστον 6 από τα υπάρχοντα εργαλεία ασφάλειας που προϋπάρχουν στον οργανισμό τους και το νούμερο αυτό είναι ένας καλός γνώμονας για τη λήψη αποφάσεων. Στόχος τους είναι η “έξυπνη” αντιμετώπιση των απειλών με πολλαπλά μέτωπα άμυνας και διαχείρισης. Έτσι, αναζητάτε η λύση Sandbox που θα προωθεί τα αποτελέσματα της αξιολόγησης της στα υπόλοιπα εργαλεία ασφάλειας ενισχύοντας έτσι το επίπεδο του αυτοματισμού των αντιδράσεων απέναντι στους εισβολείς. Φυσικά, πάντα είναι ιδανική μια επιλογή ολοκληρωμένης λύσης που θα εμπεριείχε και την Sandbox τεχνολογία μαζί με ποικιλία εργαλείων ασφάλειας και όλα αυτά θα συνεργάζονταν μεταξύ τους άριστα από κατασκευής, η ενσωμάτωση στην εταιρική δομή θα ήταν απλούστερη και τα αποτελέσματα από την αρχή ικανοποιητικά.
  • Μην ζητάτε λιγότερα. Προτού επιλεγεί μία Sandbox πλατφόρμα μελετήστε όλες τις αναφορές σχετικά με τον πάροχο και τις δοκιμές που έχει υποβάλλει το προϊόν του, τις επιλογές που προσφέρει, τις δοκιμές που έχουν τελέσει τρίτοι κατασκευαστές και κυρίως ζητήστε δοκιμαστικές εκδόσεις για να υλοποιήσετε και τις δικές σας δοκιμές. Διασφαλίστε την λεπτομερή ανάλυση όλων των υπό συζήτηση Sandboxes, για να επιλέξετε το καταλληλότερο για το δικό σας λειτουργικό περιβάλλον.

Χαρακτηριστικά των Sandbox λύσεων ως κριτήρια επιλογής

Οι λύσεις Sandbox που κυκλοφορούν ποικίλλουν και τα χαρακτηριστικά τους, που είναι ικανά για να επηρεάσουν την τελική επιλογής τους από τους οργανισμούς είναι και αυτά αρκετά, τα βασικότερα των οποίων παραθέτουμε παρακάτω:

  • Δυνατότητες ευρείας ανάλυσης. Στις πιο απλές λύσεις Sandbox παρέχεται περιορισμένο εύρος ανάλυσης σε τύπους αρχείων, περιλαμβάνοντας κυρίως εκτελούμενα αρχεία, ddl και ίσως pdf. Τα πιο εξελιγμένα προϊόντα διαθέτουν αναλύσεις και άλλων κοινών τύπων αρχείων όπως είναι αρχεία του Microsoft Office (όχι μόνο .doc), αρχεία java, html, flash ενώ τα πιο σύγχρονα Sandbox μπορούν να ανιχνεύσουν web exploits αναλύοντας web objects (π.χ. javascript).
  • Τεχνικές φιλτραρίσματος. Σε πολλές πλατφόρμες χρησιμοποιούνται φίλτρα ώστε να ελαχιστοποιείται ο αριθμός των αντικειμένων που οδηγούνται στο Sandbox για περαιτέρω ανάλυση. Στις τεχνικές αυτές περιλαμβάνονται, οι μηχανισμοί antivirus, αναζήτηση του αρχείου σε γνωστές βάσεις δεδομένων κακόβουλου λογισμικού στο cloud και γενικότερα χρήση οποιονδήποτε μεθόδων για να αναγνωριστεί το αρχείο εξ’ αρχής ως επιτρεπτό ή όχι. Τα ύποπτα αντικείμενα που δεν μπορούν να χαρακτηριστούν με ασφάλεια είναι αυτά που οδηγούνται στο Sandbox για αξιολόγηση. Το χαρακτηριστικό του φιλτραρίσματος είναι σημαντικό για να καθοριστεί ο ρυθμός με τον οποίο θα λαμβάνονται ψευδής συναγερμοί ή θα παρέχονται ψευδής εγκρίσεις σε κακόβουλα αρχεία. Ουσιαστικά, δηλαδή καθορίζει την εύστοχη ή μη λειτουργία της πλατφόρμας.
  • Κατανοητό λειτουργικό σύστημα. Είναι σημαντική η ανίχνευση κακόβουλου λογισμικού το οποίο έχει δημιουργηθεί για να δραστηριοποιηθεί σε ένα συγκεκριμένο λειτουργικό περιβάλλον, όπως είναι τα windows (συγκεκριμένης έκδοσης), το Microsoft office (όχι μόνο το word) κτλ. Αυτό σημαίνει ότι η πλατφόρμα Sandbox πρέπει να περιλαμβάνει όλες εκείνες τις εφαρμογές που πραγματικά βρίσκονται στον οργανισμό ώστε να αξιολογεί συμπεριφορές σύμφωνα με τις πραγματικές συνθήκες λειτουργίας του εταιρικού δικτυού.
  • Τεχνολογίες αποτροπής εισβολών. Δυστυχώς το κακόβουλο λογισμικό είναι εξελιγμένο σε τέτοιο βαθμό, που είναι πιθανό να αντιλαμβάνεται αν λειτουργεί σε περιβάλλον Sandbox και να μην ενεργοποιεί όλα του χαρακτηριστικά. Γι’ αυτό το λόγο χρησιμοποιούνται οι hypervisors που δυσκολεύουν το κακόβουλο λογισμικό να εντοπίσει το Sandbox. Φυσικά, οι επιτιθέμενοι δεν έμειναν με σταυρωμένα τα χέρια και αφιέρωσαν κομμάτι του κώδικά τους για να ανιχνεύουν την ύπαρξη hypervisors και άρα την ύπαρξη Sandbox. Ως απάντηση δημιουργήθηκαν οι customized hypervisors οι οποίοι ανιχνεύονται δυσκολότερα και εξυπηρετούν στην πιο ικανοποιητική αντιμετώπιση των εισβολών. Δυστυχώς, οι customized hypervisors ενδέχεται να περιορίσουν τις λειτουργίες του Sandbox, ώστε να χρησιμοποιεί ένα εικονικό περιβάλλον πανομοιότυπο με αυτό της επιχείρησης αλλά να απαιτείται μία πιο βασική έκδοση.
  • Ρυθμός ανάλυσης. Προτού επιλέγει μία λύση Sandbox πρέπει να υπάρχουν απτές μετρήσεις των στόχων που είναι ικανό να αναλύει σε χρονικό διάστημα μια ώρας. Επίσης, πρέπει οι μετρήσεις να λαμβάνονται σε συνθήκες που η “ουρά αναμονής” για ανάλυση είναι γεμάτη. Αυτές οι μετρήσεις αποτελούν ικανοποιητικό κριτήριο για το πόσο το Sandbox θα μπορεί να αναβαθμιστεί στο μέλλον και να δεχτεί επιπλέον φόρτο εργασίας.
  • Εικονικό περιβάλλον ή περιβάλλον εξομοίωσης. Προσφέρονται και οι δύο επιλογές. Σε λειτουργία εικονικού περιβάλλοντος τα αρχεία αναλύονται, ενώ εκτελούνται μέσα σε ένα εικονικό λειτουργικό σύστημα. Σε λειτουργία περιβάλλοντος εξομοίωσης χρησιμοποιείται ένα επίπεδο λογισμικού το οποίο μιμείται μία εφαρμογή, ένα λειτουργικό σύστημα ή μία πλατφόρμα υλικού. Οι λύσεις που συνδυάζουν και τις 2 λειτουργίες είναι σαφώς πιο άρτιες σε χαρακτηριστικά.
  • Πληροφορίες δραστηριοποίησης της εισβολής. Aν το Sandbox μπορεί να προσφέρει αναφορές στις οποίες θα αναλύεται αν το κακόβουλο λογισμικό, ήταν ένα εκ των πολλών που βρίσκονται ελευθέρα στο διαδίκτυο ή ήταν πιο στοχευμένο σε σχέση με τη συγκεκριμένη εταιρεία είναι σημαντικό. Οι πληροφορίες που μπορούν να αποκαλύψουν την πραγματική ταυτότητα του κακόβουλου λογισμικού είναι εξαιρετικά χρήσιμες για την σωστή αντιμετώπισή του από το προσωπικό ασφαλείας.

Οι επιλογές της αγοράς

Στην αγορά διατίθενται κυρίως τρεις βασικοί τύποι Sandbox λύσεων:

  1. Stand alone λύσεις, που λειτουργούν αυτόνομα και δεν εξαρτώνται από την υπόλοιπη εταιρική δομή.
  2. Ως ενσωματωμένη λειτουργία στα εταιρικά firewalls, στα IPS συστήματα και τις συσκευές UTM.
  3. Ως χαρακτηριστικό των εταιρικών web portals ασφάλειας ή των email portals ασφάλειας.

Ιδιαίτερη προσοχή απαιτείται κατά την επιλογή λύσης sandbox, μιας και η τεχνολογία είναι σήμερα αρκετά ελκυστική για τους οργανισμούς και έτσι αναπτύχθηκε ένας αρκετά μεγάλο αριθμός προσφερόμενων προτάσεων κάποιοι μάλιστα εκ των οποίων κυκλοφορούν ως OEM από παρόχους. Πολλοί εξ’ αυτών προσφέρουν μόνο τις βασικές δυνατότητες στη τεχνολογία Sandbox και καλό θα είναι να είμαστε προσεκτικοί.

Προτείνεται ως γνώμονας σε μία αγορά που ακόμα δεν έχει ωριμάσει σε μεγάλο βαθμό:

  • Να υιοθετηθεί η λύση Sandbox όταν αν απαιτείται ουσιαστική βελτίωση της εταιρικής ασφάλειας κυρίως στο επίπεδο της ανίχνευσης.
  • Να αξιολογηθεί η λύση Sandbox ως προς τα χαρακτηριστικά της και η επιλογή να γίνει μέσα από μία γκάμα ήδη αξιόπιστων παρόχων δικτυακής ασφάλειας.
  • Στην επιλογή stand alone Sandbox οφείλεται να εξετάζεται αρκετές λύσεις μιας και ενσωματώνονται ανεξάρτητα από τα υπόλοιπα προϊόντα ασφάλειας που διαθέτετε.
  • Μεγιστοποιήστε την κάλυψη που θα λάβετε σχετικά με το χρηματικό κεφάλαιο που θα επενδύσετε. Φροντίστε να καλύπτεστε σε μία ευρεία γκάμα αρχείων και web ή email μονοπατιών.

Διαφαίνεται ότι η τεχνολογία Sandbox είναι το νέο must have στον τομέα της ανίχνευσης και προστασίας ενάντια στους εταιρικούς εισβολής. Αν η επιχείρησή σας διαχειρίζεται εταιρικά δεδομένα αλλά και προσωπικά δεδομένα πελατών που μία διαρροή θα κλονίσει την εμπιστοσύνη των πελατών απέναντι σας, τότε θα πρέπει να στραφείτε προς αυτή την κατεύθυνση. Πάντοτε όμως με γνώμονα της διατήρησης της μέχρι τώρα καλής λειτουργίας του εταιρικού δικτύου και την βελτίωση χωρίς να δημιουργηθούν σημαντικές καθυστερήσεις και προβλήματα στην παραγωγική διαδικασία. Η επιλογή λύσης Sandbox είναι περίπλοκη και απαιτεί εκτενή μελέτη και αξιολόγηση των προσφερόμενων επιλογών.

 

Της Παναγιώτα Τσώνη