Καθώς η βιομηχανία της πληροφορικής ωριμάζει, είμαστε αναγκασμένοι να συμβιβαστούμε με την πραγματικότητα ότι δεν είναι δυνατόν να μιλάμε ποτέ για την τέλεια πρόληψη σε θέματα ασφάλειας πληροφοριών. Η λογική υπαγορεύει τη διασύνδεση μεταξύ συστημάτων δικτυακής ασφάλειας και συστημάτων προστασίας τερματικών συσκευών από διαφορετικούς κατασκευαστές, ώστε να μπορέσουμε να αμυνθούμε σε βάθος συνδυάζοντας τα δύο υποσυστήματα. Αν και η παραπάνω ιδέα είναι απόλυτα σωστή, η συνταγή είναι προβληματική στην υλοποίησή της.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
Μέχρι σήμερα, ο αυτόματος συντονισμός μεταξύ της προστασίας σε φυσικό ή εικονικό δικτυακό επίπεδο και των τερματικών συσκευών στο ίδιο περιβάλλον, δεν ήταν δυνατός. Εξαιτίας αυτού, οι διαχειριστές και οι υπεύθυνοι ασφάλειας πληρώνουν κάθε μέρα το τίμημα να μη είναι σε θέση να βλέπουν τις πληροφορίες που θα μπορούσαν να τους είχαν βοηθήσει να ανιχνεύσουν ή να αποτρέψουν μία επίθεση. Αυτό συμβαίνει γιατί συνήθως καθυστερούν στην αντιμετώπιση και τον περιορισμό μίας απειλής που έχει ήδη εντοπιστεί, ενώ έχουν πολλαπλές ειδοποιήσεις και συναγερμούς που έχουν όμως μικρή σχέση ή είναι εντελώς άσχετα με την συγκεκριμένη απειλή. Επίσης, οι έρευνες για την ανάλυση των συμβάντων ασφαλείας είναι εξαιρετικά περίπλοκες και χρονοβόρες που στη συνέχεια δεν οδηγούν πουθενά στις περισσότερες περιπτώσεις.
Τι είναι αυτό που λείπει από τη συνταγή; Η συνδυαστική ασφάλεια ! Η ενεργοποίηση δηλαδή μίας ουσιαστικής και γεμάτης περιεχόμενο ανταλλαγής πληροφοριών μεταξύ των συστημάτων δικτυακής προστασίας και των τερματικών συσκευών. Τα οφέλη της συνδυαστικής ασφάλειας μπορούν να διαχωριστούν σε δύο τομείς, με καθέναν από αυτούς να ενισχύει τον άλλον. Πρώτον, βελτιώνει την προστασία με το να αυτοματοποιεί και να συντονίζει την ανάδραση σε σχέση με απειλές που έχουν ήδη εντοπιστεί. Δεύτερον, βελτιώνει την λειτουργική αποτελεσματικότητα ρίχνοντας φως στα πέντε ερωτήματα που περιβάλλουν μία απειλή απλοποιώντας την έρευνα: Τι συνέβη; γιατί συνέβη; που; πότε και από ποιόν;
Χωρίς τη συνδυαστική ασφάλεια, τα συστήματα ελέγχου πληροφοριών δεν ανταλλάσουν πληροφορίες μεταξύ τους, οπότε δεν συνεργάζονται για να αντιδρούν σε απειλές συνδυαστικά. Για παράδειγμα, αν ένα τείχος προστασίας δει μία εξερχόμενη σύνδεση ή μία αναζήτηση DNS προς κάποια διεύθυνση IP ή ένα domain που είναι καταχωρημένο ότι επιτελεί ρόλο command & control από κυβερνοεγκληματίες, το καλύτερο πράγμα που μπορεί να κάνει είναι να απαγορεύσει τη σύνδεση και να ειδοποιήσει τον διαχειριστή. Η ειδοποίηση μπορεί να περιέχει τη διεύθυνση IP ή ίσως ακόμη και τον συνδεδεμένο χρήστη που σχετίζεται, ωστόσο δεν θα περιέχει πληροφορίες σχετικές με την παραβατική διαδικασία. Παράλληλα, η τερματική συσκευή παραμένει μολυσμένη, ουσιαστικά θέτοντας σε κίνδυνο το δίκτυο της επιχείρησης μέχρι να πραγματοποιηθεί κάποια παρέμβαση χειροκίνητα από κάποιο διαχειριστή. Παρομοίως, τα τείχη προστασίας είναι τυπικώς τυφλά σε όσα συμβαίνουν στις τερματικές συσκευές. Ο μοναδικός τρόπος για να αναγνωριστεί και να απαγορευτεί κάποιο κακόβουλο πρόγραμμα υποδεικνύοντας την ανάγκη για μία διαδικασία ανίχνευσης και καθαρισμού σε μία τερματική συσκευή, είναι τα συστήματα ανάλυσης συμπεριφοράς σε πραγματικό χρόνο (runtime behavior analytics). Μέχρι να πραγματοποιηθεί ο καθαρισμός ωστόσο, το τείχος προστασίας αγνοεί την ύπαρξη απειλής, οπότε το μολυσμένο σύστημα μπορεί ελεύθερα να επικοινωνεί προς τα έξω στο Internet ή με άλλα κρίσιμα συστήματα στο δίκτυο με ευαίσθητες πληροφορίες, κάτι που αποτελεί μεγάλο ρίσκο για την επιχείρηση.
H προσέγγιση της Sophos
Η προσέγγιση της Sophos στην συνδυαστική ασφάλεια ή αλλιώς Sophos Synchronized Security περιλαμβάνει ένα ασφαλές κανάλι επικοινωνίας μεταξύ των τερματικών συσκευών και του τείχους προστασίας, κάτι που ονομάζεται Sophos Security Heartbeat. Χάρη στο Security Heartbeat, όταν το τείχος προστασίας εντοπίσει κακόβουλη κίνηση δεδομένων αμέσως ειδοποιεί σχετικά τη τερματική συσκευή. Ο endpoint agent στη συνέχεια ανταποκρίνεται δυναμικά, αναγνωρίζοντας και εξετάζοντας με επιθετικό τρόπο την ύποπτη διαδικασία. Σε πολλές περιπτώσεις, κάτι τέτοιο μπορεί να τερματίσει αυτόματα τη διαδικασία και να αφαιρέσει τα εναπομείναντα στοιχεία της μόλυνσης.
Οι τερματικές συσκευές από τη μεριά τους, αναφέρουν την τρέχουσα κατάσταση ασφάλειας τους στο τείχος προστασίας σε διαρκή βάση. Όταν η κατάσταση ασφαλείας υποβιβαστεί, όπως συμβαίνει στη περίπτωση ενός μίας αναζήτησης σε πραγματικό χρόνο που βρίσκεται υπό έρευνα, το τείχος προστασίας εφαρμόζει μία πολιτική που είναι κατάλληλη για να περιορίσει ή να απομονώσει την τερματική συσκευή. Αυτή η ενδοεπικοινωνία μεταξύ των υποσυστημάτων ενισχύσει την επιχειρησιακή αποτελεσματικότητα, ιδιαίτερα όταν πρόκειται για διερεύνηση περιστατικών ασφάλειας.
Μία από τις μεγαλύτερες προκλήσεις που αντιμετωπίζουν οι Διαχειριστές είναι να συνδέσουν τις τελείες μεταξύ απομονωμένων γεγονότων και των σχετικών ειδοποιήσεων σε ένα σύστημα ελέγχου. Όταν ένα τείχος προστασίας εντοπίσει κακόβουλη κίνηση δεδομένων από μία τερματική συσκευή, συνήθως αυτό συνδέεται με μια διεύθυνση IP. Όπως ένας ερευνητής, θα πρέπει στη συνέχεια η εν λόγω διεύθυνση IP να συσχετιστεί με ένα συγκεκριμένο χρήστη και ένα υπολογιστή. Αυτό θα μπορούσε για παράδειγμα, να περιλαμβάνει την διερεύνηση μίας βάσης δεδομένων για τη διαχείριση διευθύνσεων IP ή την διερεύνηση εγγραφών DHCP, dynamic DNS κ.ά. Και από εκεί και μετά ξεκινάει η πραγματική πρόκληση: H διεξαγωγή μίας ιδιαίτερα χρονοβόρας ανάλυσης της συμπεριφοράς της τερματικής συσκευής, σε μία προσπάθεια να συσχετιστεί η κίνηση δεδομένων που παρατηρήθηκε από το τείχος προστασίας με μία συγκεκριμένη διεργασία του συστήματος / πρόγραμμα (system process). Αν υπάρχει και λίγο τύχη, υπάρχει πιθανότητα να βρεθεί το συγκεκριμένο πρόγραμμα ακόμα ενεργό χρησιμοποιώντας μία απλή εντολή netstat ή lsof. Το πιθανότερο ωστόσο είναι το πρόγραμμα να έχει ήδη τερματιστεί και να έχει διακοπεί η δικτυακή του σύνδεση, κάτι που κάνει ιδιαίτερα δύσκολο τον εντοπισμό της απειλής.
Αυτό που κάνει εξαιρετικά καλά η Συνδυαστική Ασφάλεια, είναι η αυτοματοποίηση της διαδικασίας σύνδεσης όλων των επιμέρους σημείων μίας απειλής. Όταν το τείχος προστασίας στείλει στην τερματική συσκευή σε πραγματικό χρόνο την πληροφορία ότι έχει κάτι ανιχνεύσει, ο endpoint agent ανιχνεύει συνδέει άμεσα την κακόβουλη κίνηση με την ύποπτη διεργασία. Από εκεί και πέρα, συναφείς πληροφορίες μαζί με το όνομα του υπολογιστή και το username του χρήστη που τον χρησιμοποιεί, κοινοποιούνται τόσο στο τμήμα IT όσο και στο τείχος προστασίας. Κάτι που θα μπορούσε να απαιτήσει ώρες ή ημέρες ανάλυσης, τώρα είναι πλήρως αυτοματοποιημένο και μειώνει σε δευτερόλεπτα την όλη διαδικασία, επιτρέποντας σε όσους ανταποκρίθηκαν στο περιστατικό να επικεντρωθούν στην αντιμετώπιση της απειλής που είναι και το ζητούμενο αντί να επικεντρωθούν στο να την εντοπίσουν !!
Η Sophos μάλιστα με την εισαγωγή τεχνολογιών επόμενης γενιάς Root Cause Analysis μπορεί να αναλύσει την πραγματική αιτία σε βάθος πίσω από μία απειλή ώστε να μπορεί να βρεθεί τι, γιατί, που, πότε και από ποιον συνέβη.
Root Cause Analysis / RCA (Ανάλυση Αιτίας σε Βάθος)
Ένα από τα σημαντικότερα χαρακτηριστικά που είναι διαθέσιμο ως επιπλέον λειτουργικότητα για τους πελάτες που έχουν προμηθευτεί το Intercept X, το σύστημα προστασίας τερματικών συσκευών επόμενης γενιάς. Το Root Cause Analysis (RCA) βρίσκεται βρίσκεται στο Cloud μαζί με όλα τα άλλα υποσυστήματα της Sophos, εντός της ενοποιημένης κονσόλας διαχείρισης Sophos Central.
To RCA προσφέρει μία ενοποιημένη λίστα από όλα τα περιστατικά ασφαλείας που συνέβησαν τις τελευταίες 90 ημέρες. Η πληροφορίες που παρέχονται στη κονσόλα αυτή δεν απαιτεί απαραίτητα κάποια αντίδραση από τον διαχειριστή, ωστόσο δίνει τη δυνατότητα διερεύνησης της αλυσίδας των γεγονότων που περιβάλλουν ένα περιστατικό ασφάλειας ώστε να εντοπιστούν τα σημεία μέσω της βελτίωσης των οποίων μπορεί να ισχυροποιηθεί γενικότερα το επίπεδο ασφάλειας. Οι διαφορετικοί τύποι περιστατικών ασφαλείας περιλαμβάνουν τα malware, απειλές από την περιήγηση ιστοσελίδων (web security), κακόβουλη συμπεριφορά, κακόβουλη κίνηση δεδομένων, exploits, ransomware κλπ.
Ανιχνεύσεις malware
Όλες οι υποθέσεις RCA που έχουν λάβει χώρα στο παρελθόν για την ανίχνευση συγκεκριμένων malware, παραμένει στη διάθεση των διαχειριστών ώστε να μπορούν ανά πάσα στιγμή να παρασχεθούν περαιτέρω πληροφορίες σχετικά με ένα συγκεκριμένο περιστατικό ασφάλειας. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για την πλήρη κατανόηση του πώς έφτασε το malware σε κάποιο υπολογιστή και τι ήταν αυτό που ενεργοποίησε την ανίχνευση του περιστατικού ασφάλειας.
Ενώ το σύστημα προχωρά σε αυτόματη εκκαθάριση των malware κάτι που είναι εξ ορισμού ενεργοποιημένο, μία υπόθεση RCA μπορεί να κλείσει στη συνέχεια όταν οι διαχειριστές ολοκληρώσουν την εσωτερική τους έρευνα. Είναι πιθανό να μη μπορεί να χρησιμοποιηθεί η διαδικασία αυτόματης εκκαθάρισης π.χ όταν η ταυτότητα ανίχνευσης δεν διαθέτει κάποια ρουτίνα καθαρισμού, εάν τα δικαιώματα αρχείου δεν επιτρέπουν τον καθαρισμό, εάν η απειλή είναι τύπου archive ή κάποιας μορφής container κ.α. Σε αυτές τις περιπτώσεις η υπόθεση RCA καταγράφεται για να παράσχει περαιτέρω πληροφορίες για το αρχικό συμβάν (beacon) που σηματοδότησε την έναρξη για τη διαδικασία ανίχνευσης. Αυτό μπορεί να χρησιμοποιηθεί για την αντιμετώπιση των ειδοποιήσεων σχετικά με αποτυχημένες απόπειρες αυτόματου καθαρισμού.
Απειλές στον Ιστό
Η υπόθεση RCA για απειλές Ιστού καταγράφεται για να παράσχει επιπρόσθετες πληροφορίες για το περιστατικό ασφάλειας, δηλαδή για την εύρεση της ιστοσελίδας που περιέχει την απειλή και πως ενεργοποιήθηκε η ανίχνευση της. Αν και δεν παρέχεται δυνατότητα πρόσβασης στην ιστοσελίδα, ενδεχομένως να πρέπει να προστεθεί στη μαύρη λίστα ιστοσελίδων, εφόσον χρησιμοποιείται σύστημα ελέγχου περιήγησης ιστοσελίδων (Web Security) της Sophos ή άλλου κατασκευαστή. Δεδομένου ότι οι απειλές από την περιήγηση ιστοσελίδων αποκλείονται από προεπιλογή του συστήματος, μία υπόθεση RCA μπορεί να κλείσει στη συνέχεια όταν οι διαχειριστές ολοκληρώσουν την εσωτερική τους έρευνα.
Κακόβουλη συμπεριφορά
Στη συγκεκριμένη περίπτωση η υπόθεση RCA για κακόβουλη συμπεριφορά καταγράφεται για να παράσχει περισσότερες πληροφορίες πάνω σε κινδύνους από ransomware. Σε αυτές τις περιπτώσεις η υπόθεση RCA καταγράφεται για κατανόηση του πώς έφτασε το ransomware στον συγκεκριμένο υπολογιστή (Root Cause) καθώς και να ανακαλυφθεί συγκεκριμένα το αρχείο που ενεργοποίησε την ανίχνευση (Beacon). Φυσικά, οι παραπάνω πληροφορίες μπορούν να χρησιμοποιηθούν για να αποτραπεί η μόλυνση και σε άλλους υπολογιστές, όπως για παράδειγμα να απαγορευτεί το συγκεκριμένο αρχείο που ενεργοποίησε την ανίχνευση, σε επίπεδο τείχους προστασίας (firewall). Οι ανιχνεύσεις ransomware έχουν ενεργοποιημένη τη λειτουργία αυτόματου καθαρισμού από προεπιλογή. Για να εντοπιστεί βέβαια αν αυτό ήταν επιτυχημένο ή όχι, θα πρέπει να ανοιχτεί η κονσόλα του Sophos στον συγκεκριμένο υπολογιστή και μετά μέσω των συμβάντων να εντοπιστεί αν το συγκεκριμένο πρόβλημα επιλύθηκε όπου θα πρέπει η υπόθεση RCA να κλείσει οριστικά. Επίσης θα πρέπει να σημειωθεί ότι το συγκεκριμένο περιστατικό ασφάλειας που είχε μία ειδοποίηση υψηλού ρίσκου (high alert) έχει πλέον επιλυθεί (resolved).
Κακόβουλη κίνηση δεδομένων
Μία υπόθεση RCA για κακόβουλη κίνηση καταγράφεται για να παράσχει πρόσθετες σχετικές πληροφορίες ώστε να μπορούν να χρησιμοποιηθούν για τον εντοπισμό του τί ακριβώς ενεργοποίησε την κίνηση HTTP προς γνωστούς κακόβουλους προορισμούς URL.
Exploits
Στη συγκεκριμένη περίπτωση καταγράφεται η υπόθεση RCA σχετικά με το exploit. Παρόλο που τα exploits είναι απαγορευμένα, μπορούν να χρησιμοποιηθούν οι πληροφορίες μέσω του RCA για τον εντοπισμό του πώς έφτασε η συγκεκριμένη απειλή στον συγκεκριμένο υπολογιστή έτσι ώστε να αποτραπεί η πιθανότητα να επαναληφθεί κάτι τέτοιο.
Το Root Cause Analysis προσφέρει μία μέθοδο λεπτομερούς ανάλυσης περιστατικών ασφαλείας σε βάθος, σε επίπεδο forensics που πραγματικά ρίχνει φώς στα βασικά αίτια μίας επίθεσης και των σημείων δημιουργίας του προβλήματος. Το σύστημα έχει σχεδιαστεί για να παρέχει οδηγίες για την αποκατάσταση των περιστατικών ασφάλειας, ενισχύοντας το συνολικό επίπεδο ασφάλειας σε μία επιχείρηση. To υποσύστημα Root Cause Analysis μέσα στην κεντρική κονσόλα του Sophos Central αποτελεί το πρώτο βήμα για διαδικασίες Advanced Analytics που προσφέρει η Sophos ειδικά για επιχειρήσεις και οργανισμούς και είναι απολύτως απαραίτητα για την αντιμετώπιση σύνθετων απειλών που προκύπτουν καθημερινά.
Το Sophos Root Cause Analysis προσφέρει τα δομικά συστατικά ενός κέντρου επιχειρήσεων ασφάλειας (SOC), που αποτελείται από μία εξειδικευμένη ομάδα η αποστολή της οποίας είναι να παρακολουθεί διαρκώς και να βελτιώνει το επίπεδο ασφάλειας σε μία εταιρία ή σε ένα οργανισμό, ενώ μπορεί να βοηθήσει στην πρόληψη, τον εντοπισμό, την ανάλυση και την αντιμετώπιση περιστατικών ασφάλειας στον κυβερνοχώρο με τη βοήθεια της τεχνολογίας και σαφώς καθορισμένες διαδικασίες και μεθοδολογίες.