piątek, 8 sierpnia 2014

Next Generation Firewall #1

Dlaczego tradycyjne metody bezpieczeństwa nie wystarczają w walce z APT
Siła i skala obecnych zagrożeń powoduje, że tradycyjne metody bezpieczeństwa jak firewalle oparte na portach, IPS czy inne rozwiązania bezpieczeństwa są w znacznej mierze nieefektywne w zabezpieczaniu sieci korporacyjnej. W przeszłości eksploity celowały w serwery, a malware było dostarczane do użytkownika głównie poprzez e-mail. Działania te, nie były ze sobą zintegrowane, a ich realizacja składała się z odrębnych kroków. Dzisiaj eksploity również skierowane są w użytkownika, z tym że dostarczają malware poprzez więcej aplikacji na przykład:
  • Aplikacje do transferu plików
  • Komunikatory
  • Webmail
  • Social Media
  • Microblogi
Oznacza to że atakujący mają o wiele większe możliwości wykonania skutecznego ataku, jak i również zwiększający się arsenał zautomatyzowanych narzędzi do użycia. Co gorsze aplikacje te działają w real-time, co powoduje że każde opóźnienie wywołane przez inspekcje malware będzie odczuwalne przez użytkownika końcowego.
Brak przejrzystości
Wiele aplikacji od początku zostało zaprojektowanych do obchodzenia tradycyjnych opartych na portach firewalli, dynamicznie dostosowując sposób komunikacji, w celu maksymalizacji ich dostępności i wykorzystywania. Z drugiej strony dzięki temu, malware może komunikować się po dowolnie wybranych portach i nie zostanie do dostrzeżone. Nie można kontrolować czegoś czego się nie widzi a APT używa wiele różnych sposobów żeby ukryć ich prawdziwą naturę lub istnienie w sieci wliczając w to:
  • Niestandardowe porty i tzw port hopping. Aplikacje wymijające są jednym z kluczowych czynników, które doprowadziły do upadku tradycyjnych opartych na portach firewalli. Co gorsze tradycyjne IPS i tym podobne urządzenia także w dużym stopniu polegają na porcie, w celu określenia jaką sygnaturę lub analizę należy zastosować do ruchu sieciowego. Zagrożenie to jest potęgowane przez fakt, że APT są często inicjowane z zainfekowanej wewnętrznej sieci na zewnątrz do atakującego, co daje atakującemu pełna elastyczność w użyciu dowolnego portu, protokołu, oraz szyfrowania jakiego chce.
  • Szyfrowanie SSL. W celu ukrywania zainfekowanego ruchu sieciowego, twórcy malware w dużym stopniu wykorzystują różne metody szyfrowania. Najczęściej używanym jest SSL, tylko dlatego, że jest to domyślny protokół dla wielu mediów społecznościach takich jak Gmail czy Facebook, a co za tym idzie są one bardzo podatne na ataki inżynierii społecznej i dostarczania malware do korporacji. W wyniku szyfrowania SSL, wiele zespołów IT od spraw bezpieczeństwa, nie ma możliwości wglądu w ruchu malware w sieci. Inne metody szyfrowania również stały się popularne w celu ukrywania ruchu malware. Aplikacje peer-to-peer dają możliwości infekowania jak i również command-and-control, które używają szyfrowania pozwalając szkodliwej zawartości kodu przejść przez tradycyjne sieci bez wykrycia.
  • Tunelowanie. Kolejne narzędzie do ukrywania złośliwego ruchu sieciowego to tunelowanie. Wiele aplikacji i protokołów wspiera możliwość do wykorzystywania tunelu w celu polaczenia do innych aplikacji i protokołów. Pozwala to napastnikowi na ukrycie komunikacji jako dozwolonego serwisu lub usługi a co za tym idzie ominąć tradycyjne metody bezpieczeństwa sieci.
  • Proxy. Zaawansowani hakerzy jaki również malware z górnej półki używają proxy do przechodzenia przez tradycyjne firewalle. TDL-4 (niezniszczalny botnet), instaluje serwer proxy na każdym zainfekowanym hoście. Dzięki temu bot nie tylko zabezpieczania swoja komunikacje, ale również tworzy anonimowa sieć, którą każdy może użyć w celu ukrycia śladów nielegalnej działalności.
  • Anonymizery i circumventory. Narzędzia takie jak UltrSurf, Tor, czy Hamachi są specjalnie tworzone, żeby omijać kontrole bezpieczeństwa sieci.
  • Kodowanie i obfuskacja (zaciemnianie). Malware prawie zawsze koduje transmisje w unikalny sposób. Kodowanie i obfuskacja są używane w celu unikania detekcji przez sygnatury, ale również do ukrywania prawdziwych zamiarów malware. Techniki te mogą być bardzo proste jak konwersja na szesnastkowy, lub bardziej wyrafinowane, takie jak rozwijanie własnych algorytmów.




Wiele nowych aplikacji biznesowych używa takich samych technik w celu uproszczenia operacyjności przy jednoczesnym minimalizowaniu zakłóceń dla klientów i partnerów, a co za tym idzie obniżenia bezpieczeństwo organizacji. Na przykład RPC (remote procedure calls) i SharePoint używają port hopping, ponieważ ważniejsze jest jak protokoły czy aplikacje funkcjonują kosztem bezpieczeństwa.

Omijanie sygnatur
Tradycyjne podejście do wykrywania i blokowania złośliwego oprogramowania opiera się na prostej idei pobierania próbek złośliwego oprogramowania i pisania sygnatur dla tej próbki. Nawet w najlepszym wydaniu, podejście to ma kilka wad wynikających po prostu z reaktywnego charakteru tej strategii. Ochrona nie może być dostarczona do czasu, gdy malware już jest "na wolności", a sieci nie widza zagrożenia spowodowanego przez złośliwy kod. W celu zapewnienia ochrony dla sieci przedsiębiorstwa, próbka nowego, nieznanego, podejrzanego ruchu sieciowego, musi zostać przechwycona i zidentyfikowana, zanim sygnatura zostanie stworzona przez dostawców zabezpieczeń. Oznacza to, ze niektórzy użytkownicy lub sieci będą wystawieni na możliwość przeprowadzenia skutecznego ataku, aż do momentu, gdy nowa sygnatura zostanie stworzona i pobrana. Reaktywny model tworzy możliwości dla atakujących pozostawiając sieci korporacyjne narażone, czasami tygodniami lub nawet miesiącami, do czasu aż nowe malware jest pobrane, analizowane i zidentyfikowane. Podczas tego czasu atakujący maja wolna rękę do infekowania sieci i użytkowników.
Zaawansowane malware podejmuje te słabości i poszerza je, poprzez rozwój techniki unikania detekcji, oraz sygnatur które zostały już stworzone. Ukierunkowane malware i polimorfizm są coraz bardziej powszechnymi technikami używanymi do wykorzystywania wewnętrznych słabości wykrywania opartych na sygnaturach.
Ukierunkowane malware.
Zanim malware stało się zagrożeniem sieciowym, głównym jego celem było często rozprzestrzenianie się w jak najszybszym zakresie. Branża security określała malware na podstawie tego jak wiele maszyn może zainfekować w określonym czasie a próbki malware były łatwo dostępne i stosunkowo łatwe do zbierania. Dopiero zaawansowane malware zmieniło ten model. Zaawansowane malware jest bardziej inteligentne i bardziej sieciowe, dzięki czemu umożliwia atakującemu zdalną kontrolę docelowego użytkownika lub użytkowników. Dla doświadczonych atakujących, oznacza to, że nie potrzeba już milionów zainfekowanych użytkowników. W zależności od celu ataku, nawet pojedynczy zainfekowany host może być wystarczający do wykonania bardzo wyrafinowanego ataku. W takich przypadkach atakujący zwrócili się w stronę bardzo ukierunkowanego malware. Takiego rodzaju szkodliwe oprogramowanie jest często specjalnie przeznaczone na konkretnego użytkownika lub sieci. Stuxnet jest przykładem ukierunkowanego malware. Jest on przeznaczony do pracy tylko w danej sieci z konkretnych urządzeń w sieci. Takie podejście realizuje dwie bardzo ważne rzeczy. Po pierwsze sprawia, ze jest bardzo mało prawdopodobne, że próbka malware zostanie schwytana, ponieważ istnieje tylko kilka próbek zamiast milionów. Po drugie ma na celu unikać zainfekowania sieci, które nie są celem i w ten sposób nie zwracać niepożądanej uwagi na siebie. Tego typu ukierunkowane podejście staje się znakiem rozpoznawczym niektórych najbardziej wyrafinowanych ataków sieciowych na świecie.
Polimorfizm.
Polimorfizm jest wykorzystywany przez malware cały czas. Takie podejście ma na celu ominiecie sygnatur przez regularne mutowanie w celu uniknięcia dopasowania przez sygnatury. Niektóre malware maja cale sekcje kodu, które służą tylko i wyłącznie do zmiany sygnatury malware.
Tradycyjne Sieciowe Kontrole są nieefektywne.
Tradycyjne rozwiązania bezpieczeństwa sieciowego nie były zaprojektowane aby sprostać wyzwaniom stawianym przez zaawansowane malware. Tradycyjne firewalle i rozwiązania IPS, klasyfikują ruch sieciowy oparty na porcie. Firewall zezwala albo blokuje ruch sieciowy a IPS określa, które sygnatury zastosować. W rezultacie zagrożenia, które są dynamiczne i wymijające, takie jak zaawansowane malware, może po prostu uzyskać dostęp do sieci poprzez nieoczekiwany port i uniknąć wykrycia.
Firewalle
Firewalle oparte na portach bardzo często są wykorzystywane jako pierwsza linia obrony zapewniająca filtrowanie ruchu sieciowego i segmentacje sieci. Wadą takich firewalli jest to, że używają protokołu i portu do identyfikacji i kontroli co wchodzi i wychodzi z sieci. Firewalle te są nieskuteczne w obliczu złośliwego oprogramowania i aplikacji wymijających, które potrafią z łatwością omijać oparte na portach zapory, używając technik typu port-hopping, aż znajda otwarte polaczenie do sieci. Takie firewalle maja niewielka zdolność do identyfikacji i kontroli złośliwego oprogramowania.
IPS
Urządzenia IPS stanowią krok w dobrym kierunku jako że mają większy wgląd w ruch sieciowy niż firewall. Jednak rozwiązania IPS zazwyczaj nie używają kompletnego zestawu sygnatur IPS wobec całego ruchu sieciowego, lecz próbują zastosować odpowiednie sygnatury do specyficznych rodzajów ruchu sieciowego w oparciu o port. Ograniczenia te powodują, że malware lub exploit które działają na nieoczekiwanym lub niestandardowym porcie mogą zostać pominięte.
Proxy
Rozwiązania proxy są kolejnymi środkami kontroli ruchu sieciowego. Niestety możliwości proxy są ograniczone ze względu na ilość aplikacji i protokołów, oraz tylko częściowy wgląd w ruch sieciowy. Proxy naśladuje aplikacje która próbuje kontrolować, co powoduje problemy z aktualizacjami do istniejących aplikacji i nowych aplikacji. W rezultacie pomimo, że proxy potrafi dogłębnie zrozumieć kilka protokołów, to jednak jest to za mało i nie ma wsparcia dla tuneli, oraz protokołów w ramach protokołu, które hakerzy wykorzystują aby ukryć swoja działalność. Ostatnim zagadnieniem które dręczy proxy jest przepustowość łącza spowodowana przez sposób, w jaki proxy kończy aplikacje i następnie przekazuje do miejsca przeznaczenia.
Wyzwaniem dla powyższych sieciowych kontroli jest to, że nie są w stanie dokładnie określić aplikacji i malware. Narzędzia te analizują tylko cześć ruchu i mają problemy z wydajnością. Polityka bezpieczeństwa musi być oparta na tożsamości użytkowników i używanej aplikacji, a nie tylko na adresie IP, porcie i protokole. Nie wiedząc dokładnie kto (użytkownik) i co (aplikacja i zawartość) ma dostęp do sieci, kontrolowanie sieci organizacji może okazać się nieefektywne, ponieważ malware może bardzo łatwo ominąć oparte na portach kontrole sieciowe.
Autor: o

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)