Η σωστή ασφάλεια και η καλή λειτουργία του δικτύου μπορούν, και πρέπει να παρέχονται ταυτόχρονα. Μια από τις σημαντικότερες τεχνολογίες οι οποίες συνάδουν προς αυτό το σκοπό είναι το sandboxing.
Σήμερα, η σύγχρονη επιχείρηση έχει επιτακτική ανάγκη να ενσωματώσει σύγχρονες αρχιτεκτονικές ασφαλείας. Οι επιθέσεις οι οποίες καταφέρνουν να διεισδύσουν διαπερνώντας την πρώτη γραμμή άμυνας, είτε προέρχονται από το εσωτερικό δίκτυο είτε όχι, πρέπει να ανιχνεύονται εγκαίρως, ώστε να ελαχιστοποιούνται οι επιπτώσεις τους στα δεδομένα και τις διαδικασίες του οργανισμού. Ωστόσο, το δίκτυο πρέπει να συνεχίσει να παρέχει κρίσιμες υπηρεσίες στο χρόνο στον οποίο τις αναμένουν οι χρήστες. Μια από τις σημαντικότερες τεχνολογίες που προσφέρουν συνδυασμό ασφάλειας υποστηρίζοντας παράλληλα την καλή λειτουργία του δικτύου είναι το sandboxing.
Σύγχρονες απειλές και το Sandboxing
Η τεχνική του sandboxing έχει πλέον ωριμάσει και τα τελευταία χρόνια αποτελεί μέρος των περισσότερων λύσεων ασφαλείας. Όμως το sandboxing έχει ξεκινήσει να είναι μέτρο ασφαλείας του λειτουργικού συστήματος πολύ πριν γίνει standard στην ασφάλεια δικτύων και το πιο πιθανό είναι κάθε υποδομή να χρησιμοποιεί ήδη μία μορφή sandboxing, όπως OS Sansboxing (jailroot) και Web Sandboxing (HTML5 iframes). Πέρα από την προστασία κατά των απειλών, προσφέρει και ένα εργαλείο forensics και visibility για τις απειλές που κυκλοφορούν στο δίκτυο ενός οργανισμού.
Το εύλογο ερώτημα είναι το πώς κατέληξε η ασφάλεια πληροφοριών και δικτύων να χρειάζεται τέτοιου είδους τεχνολογίες;
Οι επιτεθειμένοι έχουν εξελιχθεί και μαζί τους, οι απειλές ασφαλείας. Κυριότερος λόγος είναι η εμπορευματοποίηση του cybercrime και τα μεγάλα κέρδη που εμφανίζει αυτό. Το κλασσικό virus έχει παραγκωνισθεί στο παρασκήνιο από το Advanced Persistent Threat (APT). Η σύγχρονη αυτή μορφή απειλής δεν κινείται με συμβατικούς τρόπους, αποφεύγει τον εντοπισμό από εργαλεία ασφαλείας και μπορεί να αλλάζει μορφή ανάλογα με το περιβάλλον που συναντά. Επίσης, ενεργοποιείται ετεροχρονισμένα ξεγελώντας τα point solutions, όπως το firewall, τα οποία θα επιτρέψουν την πρόσβαση στο αθώο APT χωρίς να μπορούν να προβλέψουν το αποτέλεσμα, όταν αυτό ενεργοποιηθεί ώρες ή ημέρες αργότερα. Συνεπώς, οι λύσεις που χρησιμοποιούνται κατά κόρον, εφαρμόζουν static signatures και είναι point-in-time με αποτέλεσμα να μην μπορούν να εντοπίσουν τα APTs.
Το sandboxing έρχεται να δώσει τη λύση, προσομοιώνοντας πολλά διαφορετικά απομονωμένα περιβάλλοντα, με σκοπό να πυροδοτήσει την ενεργοποίηση του APT, να καταγράψει τις κινήσεις του και να εφαρμόσει αντίμετρα χωρίς να θέσει σε κίνδυνο την υπόλοιπη υποδομή.
Κατηγορίες Sandboxing
Η τεχνολογία αυτή έρχεται σε 3 μορφές:
- Standalone: Ένα σύστημα αποκλειστικά για χρήση sandboxing, τοποθετημένο στο εσωτερικό του οργανισμού, δέχεται και ελέγχει υποψήφιες απειλές.
- Integrated: Μια συσκευή ασφαλείας η οποία παρέχει διαφορετικού τύπου προστασία, όπως Firewall, UTM, IPS, Web Proxy, Email Relay κ.α., εφαρμόζει επιπλέον και Sandboxing με μηχανισμούς που συμπεριλαμβάνονται στην ίδια τη συσκευή.
- Cloud: Μια συσκευή ασφαλείας η οποία παρέχει διαφορετικού τύπου προστασία, όπως Firewall, UTM, IPS, Web Proxy, Email Relay κ.α., αποστέλλει τα προς έλεγχο δεδομένα σε μία Cloud υπηρεσία Sandboxing, η οποία ελέγχει τα δεδομένα και επιστρέφει την ετυμηγορία ώστε να ληφθούν τα κατάλληλα μέτρα.
Χαρακτηριστικά Sandboxing
Ένα σύστημα Sandboxing πρέπει να διαθέτει τις εξής δυνατότητες:
- Ανάλυση πληθώρας στοιχείων, όπως pdf, DLL βιβλιοθήκες, περιοχές μνήμης κ.α.
- Προκαταρκτική ανάλυση, για την αποφυγή περιττών καθυστερήσεων σε αντικείμενα που μπορεί να αναλύσει ένα απλό anti-virus.
- Υποστήριξη πολλών εφαρμογών και λειτουργικών συστημάτων σε βάθος, με έμφαση σε παραλλαγές όπως Ελληνικά Windows ή χρήση πλήρης σουίτας μίας εφαρμογής και όχι μόνο ενός μέρους της.
- Τεχνικές απόκρυψης, ώστε το malware να μην εντοπίζει την ύπαρξη του Sandbox.
- Προσομοίωση Hardware, ώστε να εντοπίζονται απειλές με στόχο την ευπάθεια συσκευών και όχι μόνο λογισμικού.
- Συνεργασία με forensic εργαλεία, γιατί όπως προαναφέρθηκε, το Sandboxing πρέπει να ανήκει σε ένα σύνολο υπηρεσιών ασφάλειάς forensics και visibility.
Είναι το Sandboxing αρκετό;
Δυστυχώς το Sandboxing δεν μπορεί να ανταπεξέλθει πλήρως στο διαρκώς εξελισσόμενο πεδίο μάχης της ασφάλειας πληροφοριών και συστημάτων και δεν είναι πανάκεια. Εξ ορισμού αποτελεί και αυτό μία point λύση η οποία δεν δίνει visibility σε όλα τα κομμάτια του δικτύου και δεν παρέχει αυτοματοποιημένες διαδικασίες και αναφορές. Επίσης:
- Οι επιτεθειμένοι αναπτύσσουν προχωρημένες τεχνικές εντοπισμού του sandbox αλλά και επιθέσεις που στοχοποιούν το ίδιο το sandbox.
- Το αποτέλεσμα είναι απλά θετικό ή αρνητικό και δεν παρέχει καμία συσχετιζόμενη πληροφορία σχετικά με τη συμπεριφορά του αντικειμένου προς έλεγχο ή ένδειξη για το αν θα πρέπει να συνεχιστεί η παρακολούθηση του.
- Το Sandbox δεν αναλύει αντικείμενα που ήδη έχει αναλύσει με αποτέλεσμα να μην εντοπίζει απειλές που δεν εκδηλώνονται τη δεδομένη στιγμή του ελέγχου.
Specialized Threat Analysis and Protection
Το μέλλον βρίσκεται στο Specialized Threat Analysis and Protection (STAP), μέρος του οποίου είναι το Sandboxing.
Η αντιμετώπιση των πλέον εξελιγμένων απειλών απαιτεί επιπλέον ευφυΐα στα συστήματα ασφαλείας. Χρειάζεται μία ολιστική αντιμετώπιση η οποία θα περιλαμβάνει κλασσικές λύσεις όπως το Firewall, νέες λύσεις όπως το Sandboxing, αλλά επιπλέον επικοινωνία μεταξύ τους και συνολική εφαρμογή στο δίκτυο, τις εφαρμογές και τα endpoints. Τα επίπεδα της προσέγγισης αυτής είναι:
- Endpoint: Η ασφάλεια πρέπει να επεκταθεί στον σταθμό εργασίας, είτε αυτό είναι PC είτε smartphone. Σε αυτό το επίπεδο πρέπει να προσφερθεί δυναμική ανάλυση συμπεριφοράς των αρχείων και γενικότερα των αντικειμένων αλλά και της επικοινωνίας μεταξύ τους, πέρα από το απλό Anti-virus, το οποίο σταδιακά θα περάσει στο παρασκήνιο. Αυτό δεν θα περιορίζεται στο λειτουργικό σύστημα και στην ίδια τη συσκευή, αλλά θα επεκτείνεται σε όλο το δικτυακό αποτύπωμα του endpoint.
- Edge: Στο άκρο του οργανισμού οι τυπικές λύσεις του Firewall, Proxy και Relay έχουν ήδη εξελιχθεί σε Next-Generation Firewall με IPS, Web Security Gateway και Email Security Gateway. Επίσης, ήδη ενσωματώνουν λύσεις Sandbox και Anti-virus αλλά δεν είναι αρκετό. Είναι επιτακτική η ανάγκη της χρήσης συγκεντρωτικού Security Intelligence είτε στο Cloud, είτε τοπικά.
- Internal: Στο εσωτερικό του δικτύου, είτε αυτό είναι Campus είτε Data Center δεν περιέχει λύσεις ασφαλείας ικανές να ανταποκριθούν στη νέα κατάσταση απειλών. Συνήθως, θεωρείται προστατευμένο κομμάτι του δικτύου λόγω περιμετρικής ασφάλειας. Απαιτείται η ολοκλήρωση λύσεων flow correlation, behavioral traffic analysis, DNS security και Botnet protection, καθώς οι απειλές malware περνάνε στο εσωτερικό δίκτυο με συνεχώς νέους τρόπους και πρέπει να υπάρχει μέθοδος αντιμετώπισης στο εσωτερικό δίκτυο, καθώς και περιορισμού τις εξάπλωσης και διαρροής δεδομένων.
Σημαντικά στοιχεία της τεχνολογίας, ανεξαρτήτου επιπέδου, είναι:
- Η επικοινωνία μεταξύ των επιπέδων πρέπει να είναι διαρκής και συνεχόμενη και να παρέχονται μέθοδοι αυτόματου συγχρονισμού των επιμέρους τεχνολογιών
- Το κάθε security event δεν πρέπει να μένει ως ένα τοπικό event, αλλά να διαχέεται σαν Security Intelligence σε όλη την υποδομή, ώστε μία επιτυχημένη επίθεση σε ένα κομμάτι του δικτύου να μην επηρεάζει το υπόλοιπο.
- Το ασφαλές δίκτυο θα διαθέτει μηχανισμούς remediation μέσω αυτόματων actions ή και καθορισμό custom κανόνων, καθώς και workflows για την διασφάλιση του compliance. Οι μηχανισμοί θα εκμεταλλεύονται την επικοινωνία μεταξύ των επιπέδων και των συσκευών ασφαλείας, πετυχαίνοντας ένα συγχρονισμένο ασφαλές δίκτυο με αυτόματη απόκριση στις απειλές.
Space Hellas
Η Space Hellas διαθέτει κορυφαία τεχνογνωσία στην τεχνολογία ασφάλειας πληροφοριών με εξειδικευμένο προσωπικό που σχεδιάζει και υλοποιεί εξελιγμένες λύσεις, οι οποίες προσαρμόζονται στις ανάγκες του πελάτη. Παρέχει προηγμένα professional services και συνεργάζεται με τους κορυφαίους κατασκευαστές και παρόχους προϊόντων ασφαλείας.
Συνδυάζοντας τεχνολογικά προϊόντα και managed services, η Space Hellas, δίνει τη δική της λύση Specialized Threat Analysis and Protection (STAP) εισάγοντας Security Intelligence και Analytics, με την προστιθέμενη αξία του Compliance.
Space Hellas SA | Office: +302106504276| Mobile: +306940463647 | Web: www.space.gr
Παναγιώτης Γεωργίου
InfoSec Consultant, Networking Solutions
BSc, MSc, CCDP, CCNP R&S, CCNP Sec, CCP-N
Space Hellas