Ловушки для вредоносного ПО
Как свести к минимуму угрозы нулевого дня
Каждая вторая атака на организации в 2020 году проводилась с использованием вирусов-шифровальщиков. И по прогнозам экспертов компании Positive Technologies, популярность двойной схемы вымогательства, в которой шифрование данных сочетается с угрозами их продажи, будет только расти. Как остановить вредоносное ПО (ВПО) на подходе к корпоративной IТ-инфраструктуре, рассказали эксперты по информбезопасности (ИБ).
НОВЫЕ УГРОЗЫ – В «ПЕСОЧНИЦУ»
К концу 2020 года 80% кибератак носило целевой характер, 88% были направлены на юридических лиц, сообщается в отчете Positive Technologies «Актуальные киберугрозы: IV квартал 2020 года». Среди пострадавших компаний преобладают госучреждения, предприятия промышленности, медорганизации, а также логистические компании и ритейлеры.
Отражать такие атаки становится все труднее, поскольку киберпреступники постоянно совершенствуют сценарии ВПО: разрабатывают новые техники, скрывающие присутствие зловредов, чаще используют нетрадиционные системы программирования и процессорных платформ для усложнения анализа и обнаружения. Руководитель отдела обнаружения ВПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков на заседании пресс-клуба «Вредоносное ПО. Топ угроз и технологии защиты» спрогнозировал развитие подобных сценариев в будущем.
В результате появляются новые угрозы, с которыми известные антивирусы, межсетевые экраны, антиспам-системы перестают справляться, поскольку ориентированы на борьбу со знакомыми зловредами. И тут на помощь приходят решения класса sandbox, когда потенциальные ВПО сначала попадают в «песочницы» (изолированную IT-среду) для анализа.
«Этот более продвинутый инструмент защищает от сложных и ранее неизвестных угроз», – пояснил RSpectr менеджер по развитию сервисов Solar MSS компании «Ростелеком-Солар» Альберт Маннанов. По его словам, обычно сендбоксы интегрируются в сеть организации для дополнительной проверки файлов в почтовом и веб-трафике, где выявляют угрозы нулевого дня.
По словам эксперта, подозрительные файлы отправляются в «песочницу», где запускаются в безопасной, изолированной среде. Далее происходит эмуляция, то есть имитация запуска на реальном компьютере. Затем «песочница» принимает решение, пропустить данный файл или заблокировать.
Там же можно анализировать все файлы, приходящие извне, а кроме того, расследовать уже произошедшие инциденты – быстро и в то же время глубоко изучить поведение зловреда конкретного образца. Эксперт компании «Доктор Веб» Илья Куркин считает решения класса sandbox важным средством комплексной защиты корпоративной сети.
За последние пару лет «песочницы» превратились в обязательный компонент защиты от шифровальщиков, банковских троянов и шпионского ПО
Если несколько лет назад закупку сендбоксов нужно было обосновать, то сейчас специалисты по информбезопасности организаций понимают актуальность этих инструментов в своем арсенале, констатирует руководитель отдела поддержки продаж компании Сross Technologies Саид Атциев.
СЛАГАЕМЫЕ ЭФФЕКТИВНОСТИ
Создатели ВПО прилагают максимум усилий для того, чтобы обойти и статические, и динамические средства анализа вирусов. С этой целью они все чаще используют разные техники, позволяющие намеренно изменить код программы, чтобы затруднить анализ и понимание его работы, сообщил RSpectr инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU Георгий Шутяев.
Сегодня более чем у половины вредоносного ПО есть механизмы определения «песочницы»
В первую очередь зловред смотрит окружение ОС и пытается найти там упоминания о сендбоксе. Затем проверяет, используется ли «песочница» в решении повседневных задач: знакомится с историей браузера, выясняет, как часто запускается система.
Илья Куркин, «Доктор Веб»:
– Если виртуальная среда обнаружена, условный троян прекращает свою работу, а это значит, что анализируемый файл считается чистым. Дальнейший запуск этого вредоносного файла в реальной системе очевидно приведет к заражению.
Обмануть вредоносное ПО можно, только максимально приблизив «песочницу» к основной цифровой среде организации, отмечает Д.Остапенко.
Дмитрий Остапенко, Trend Micro Russia&CIS:
– Для этого нужно иметь возможность кастомизировать содержимое виртуальных машин внутри «песочницы». Например, изменять настройки ОС: редактировать перечень установленных языков, драйверов периферийных устройств; устанавливать дополнительный либо нестандартный софт; влиять на содержимое «рабочего стола».
Для того чтобы заставить зловредов проявить себя, компания Positive Technologies использует в своем новом решении приманки, имитирующие в «песочнице» настоящие файлы, процессы или данные. В этой роли выступают поддельные учетные записи пользователей, файлы конфигурации или другая конфиденциальная информация, потенциально интересная атакующему.
Решение этого класса есть и в портфеле компании «Доктор Веб». При его использовании выявляется зловред и выдается полный отчет:
- как именно он действует в системе;
- какие вносит в нее изменения;
- с какими ресурсами соединяется;
- как выглядит карта его сетевой активности и другое.
«Если обнаружена потенциально опасная активность, “песочница” должна видеть всю цепочку до и после запуска вредоносного ПО. Это позволит понять, какие конкретно действия в системе произошли вследствие его запуска, и откатить эти изменения при необходимости», – поясняет RSpectr ведущий системный инженер Varonis Systems Александр Ветколь.
Александр Вектоль, Varonis Systems:
– В организации, использующей множество разных ОС, решение класса sandbox должно поддерживать все эти платформы. Также важно научить сотрудников своевременно обновлять версии операционной системы, до того как они смогут воспользоваться корпоративной средой.
А.Маннанов в числе важных критериев эффективности «песочницы» назвал скорость обработки файлов, разнообразие поддерживаемых форматов, возможность работы с архивами, определение вредоносов по ссылкам и гибкость настройки под задачи и особенности конкретной организации.
Эффективность sandbox зависит также от возможности интеграции его компонентов с другими IT-решениями ИБ и инфраструктурными сервисами компании-заказчика.
По опыту компании «Информзащита», для своевременного реагирования на потенциальную угрозу и остановки распространения вредоносной активности важна функциональность предоставления компонентами «песочницы» подробных отчетов о ней.
ВЕКТОР РАЗВИТИЯ
Для точного и качественного детектирования в изолированной среде вредоносного ПО применяются технологии машинного обучения. «С помощью них можно анализировать контент по тысячам индикаторов. Например: отправитель, путь файла, иконка, домен и много другое. И сегодня это тренд», – сообщил RSpectr А.Маннанов.
Еще одно направление эволюции в sandbox – cloud-решения. Как отмечает П.Меркурьев, облачные «песочницы» сегодня все чаще используются для защиты публичных и частных облаков организации, защиты публичных файловых хранилищ.
Вектором развития облачных «песочниц» С.Атциев назвал рост качества детектирования за счет анализа косвенных признаков атаки, а также их индивидуализации с учетом свойственных бизнесу угроз.
Для полной защиты определенного пользователя в компании Positive Technologies готовятся с максимальной точностью воссоздавать в «песочнице» рабочую среду атакуемого компьютера, отмечает директор по продуктам компании Денис Кораблев в ходе пресс-завтрака.
Наиболее очевидным сценарием развития сендбоксов станет расширение перечня поддерживаемых ОС в качестве сред анализа объектов. А также развитие функционала, который позволит встраивать «песочницы» в существующие экосистемы заказчиков. При этом минимально меняя конфигурации устоявшихся IТ-инфраструктур, считает Д.Остапенко.
КАК ВЫБРАТЬ ПОСТАВЩИКА
Эксперты советуют потенциальным заказчикам исходить из особенностей IТ-инфраструктуры их компании.
Евгений Суханов, Oberon:
– В первую очередь необходимо четко понимать архитектуру защищаемого объекта, количество хостов, каналов связи с внешними сетями за пределами периметра. От этого зависит строение «песочницы» и ее расположение.
И.Куркин рекомендует компаниям проанализировать представленные на рынке решения, сравнить их возможности. Например, с помощью известного теста – Pafish, который оценивает детектируемость виртуальной среды, выявляя разные нестыковки с реальными системами. Также можно протестировать работу сендбоксов на реальных образцах, которые использовались в известных атаках. Ну и, конечно же, следует проанализировать свои потребности и роль «песочницы» в общем построении системы защиты корпоративной сети.
Решение класса sandbox должно органично и эффективно дополнять существующую систему безопасности организации, убежден С.Атциев. Вот почему к выбору решения должны применяться такие критерии, как:
- возможность гибкой интеграции со смежными системами защиты информации;
- автоматизация реагирования на атаки с целью исключить ручную обработку инцидентов и сократить время реакции;
- наличие у поставщика собственных уникальных технологий для регулярного обновления компонентов, квалифицированной поддержки и устранения ошибок безопасности.
«Для начала компания должна решить, какой именно трафик ей нужно защищать – почтовый, веб или оба, – говорит А. Маннанов. – Затем нужно понять, насколько выбранные вендорские решения совместимы со средствами защиты, которые уже используются в организации. Следующий шаг – сопоставление эффективности и ценовых параметров предложений разных производителей на основе стоимости обработки “песочницей” одного файла». Хорошо, если поставщик услуги имеет собственную базу киберугроз и может обогащать этими данными сендбокс.
Выбирая облачное решение, важно понимать, что cloud-серверы за рубежом не подходят для госорганизаций. Госзаказчикам стоит использовать решения отечественных поставщиков.
ON-PREMISE ИЛИ ИЗ ОБЛАКА
С технологической точки зрения стороннее и собственное IT-решение (on-premise) не отличаются друг от друга. Однако свое обойдется дороже. «Мы видим, что на горизонте семи лет купленный сервис оказывается для компаний в среднем на 30% дешевле собственного решения», – говорит А.Маннанов. Кроме того, облачная модель не требует единовременных капитальных затрат – расходы разбиты на ежемесячные платежи.
Для маленького бизнеса (до 500 хостов) в сети Е.Суханов рекомендует cloud-решение, поскольку внедрять аппаратно-программный комплекс будет невыгодно. В пользу сервисной модели «песочниц» высказался и С.Атциев, отметивший, что в этом случае защита от вредоносного ПО осуществляется за пределами периметра сети организации.
Облачная «песочница» от крупного поставщика предпочтительна еще и потому, что разработчик ВПО может исследовать сендбоксы внутри IT-инфраструктуры компании. А вот какое окружение будет в облаке – он не знает.
Георгий Шутяев, REG.RU, отметил, что
крупные сервис-провайдеры отслеживают популярные у разработчиков ВПО способы определения «песочницы» и закрываются от них
Среди экспертов нашлись и приверженцы модели on-premise. По словам И.Куркина, она исключает риск утечки внутренних данных при анализе. «Для максимальной эффективности предпочтительней использовать собственное решение», – считает Д.Остапенко. Для облачной модели пока ни один из производителей «песочниц» не реализовал в качестве среды тестирования использование кастомизированных образов виртуальных машин, которые точно отражают IT-инфраструктуру конкретного заказчика в cloud-среде, отметил эксперт.
Вместе с тем он признал, что облачные «песочницы» выгодно задействовать заказчикам с территориально распределенной инфраструктурой. В противном случае их затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачным и локальным сендбоксом.
Изображение: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ:
Тревожная кнопка для IТ-инфраструктуры
Как системы безопасности цифрового периметра помогают защитить данные