Sandbox technikák I – APT védelem elméletben
Az új generációs védelmi technikát, az ún. APT-k elleni védelmet a legfőbb biztonsági gyártók már szolgáltatják, különböző funkcionalitásokkal és kisebb-nagyobb működésbeli differenciákkal. Ebben a cikkben most az elvárható funkciókat és a gyártók közötti főbb különbséget taglaljuk.
Az APT védelem megvalósítása, a tudásbeli különbségek nagyban befolyásolja az egyes megoldások gyakorlati hatékonyságát. A malware gyártók nem tétlenkednek, újabb és újabb technikákat, módszereket alkalmaznak, hogy elérjék a kívánt céljaikat: egy-egy sikeres támadással igen nagy haszonra tehetnek szert, amik nekik és/vagy megbízóiknak még inkább fontos szempont.
Az általános felmérések és trendek azt mutatják, hogy az ilyen, általában célzott támadások minden vállalati szektort érintenek, ezért általános tévhit az, hogy csak a nagyvállalatok lehetnek célpontjai az ilyen támadásoknak. A kémkedések, jogosulatlan információszerzés minden piaci szegmensben hasznos lehet a támadóknak, ezért mind a kis-és középvállalkozások, mind a nagyvállalatok veszélyeztetve vannak.
Ezek kivitelezésére használt technikai megoldások nagy változatosságot mutatnak, ezért az ellenük nyújtott védelmi megoldásnak is számos kritériumnak illik megfelelni. Az alábbiakban számba vesszük a lehetséges és elvárható technikai paramétereket, tulajdonságokat:
- A titkosított csatornák használata nagy előrelépés a sikeres kivitelezésben, mert a legtöbb gyártó és használatban lévő védelmi rendszer nem képes, vagy nincs megfelelően konfigurálva ezek ellenőrzésére. Ennek oka lehet technikai: a titkosított kapcsolatok vizsgálata meglehetősen erőforrás igényes művelet és a technikai megoldása is felvethet (akár jogi szempontból is) kérdéseket. Egy hatékony APT védelmi rendszernek képesnek kell lennie a titkosított kapcsolatok vizsgálatára.
- A fertőzéseket tartalmazó fájlokat a támadók általában – a felmérések alapján, trendekhez igazodva – kártékony weboldalakon és spam üzenetekben terjesztik leginkább. A spam üzenetek csatolmányaként vagy azokban lévő hivatkozás webes –automatikus, ún. drive-by – letöltésekkor jutnak a célpontra. Ezért fontos szempont, hogy egy megbízható APT védelemnek többféle protokollt, adatfolyamot is képesnek kell lenni ellenőrizni. A legfőbb ilyen protokollok a HTTP és annak titkosított változata a HTTPS, valamint az SMTP és FTP (utóbbi kevésbé jellemző).
- A leggyakoribb fertőző fájlformátumok, amiket a Sandbox technikával ellenőrizni érdemes és lehetséges legalább ilyen fontos. A statisztikák szerint a Zero-day támadások legtöbbje PDF és Office dokumentum formában közvetítődik, majd ezeket követi a futtatható állományok (.exe) és ezek archív fájlokba (zip, rar, 7z, tar, stb…) csomagolt változatai. Egy APT védelmi rendszer annál hatékonyabb, minél több fájlformátumot képes vizsgálni. A fájlformátum felismerése természetesen a vizsgálati metódus része kell legyen, a csupán kiterjesztések „nevét” ellenőrző (szövegillesztő) megoldások nem hatékonyak és könnyen ki lehet játszani.
- További nem mellékes paraméter a vizsgálható fájl mérete. Persze minden rendszernek vannak limitációi, ám a túl kicsi méretkorláton az azt meghaladó fájlok vizsgálat nélkül átjuthatnak, ami hatékonyatlanná teheti a rendszert. Ez ugyanúgy igaz a tradícionális védelmi megoldásokra is, mint az pl. a Gateway Anti-Virus.
- Ha már képesek vagyunk ellenőrizni egy fájlt és megfelelő hatékonysággal megállapítani, hogy az kártékony, lehetőleg ne engedjük eljutni a célba. Az észrevétel és a veszély jelentése csak fél siker, amivel tudomást szerzünk a fertőző fájl bejutásáról, de nem gátoljuk meg azt. Egy dedikált, megfelelő reakcióidővel rendelkező IT Security team hiányában szimpla detektálással kevésbé vagyunk kisegítve. Lehetőség szerint az APT védelmi rendszernek képesnek kell lennie preventálni is, nem csak detektálni.
- APT védelmi megoldások többféle módban állhatnak rendelkezésre, a gyártók eltérő módon kínálják megoldásaikat: általában a dedikált hardveres eszköz, vagy eszközök beüzemelése a legcélszerűbb, ám egyben a legköltségesebb is. A dedikált megoldás mellé létezhet felhő alapú vizsgálati módszer, ami megspórolja az új eszköz beüzemelésének és fenntartásának szükségességét, azonos hatékonyság megtartása mellett. A kiválasztott gyártó és megoldás tekintetében mindenképpen mérlegeljük (az anyagiakat leszámítva) hogy a lokális vagy Cloud alapú APT védelem a megfelelőbb számunkra.
Következő cikkünkben megtudhatja, hogy egy nemrég kiadott elemzés alapján milyen hatékonysággal szerepeltek az egyes gyártók. Amennyiben kérdése merülne fel a témával vagy az egyes gyártókkal kapcsolatban, keresse fel cégünket.
-VJ