piątek, 22 sierpnia 2014

Next Generation Firewall #2


W jaki sposób Next-Generation firewalle skutecznie bronią przed APT.

W walce z zaawansowanym malware, firewalle Next-Generation zapewniają najważniejszą broń, czyli niezawodną widoczność i kontrole całego ruchu w sieci, niezależnie od portu czy wymijających taktyk, które mogą być zastosowane. Mówiąc wprost, jeżeli cały ruch sieciowy nie zostanie przeanalizowany, nie można powiedzieć, że jest się chronionym przed zagrożeniami. Wykorzystując możliwości widoczności i kontroli w  Next-Generation Firewall można zastosować metodologie do ograniczenia narażenia na malware, a także do wykrywania i naprawiania urządzeń sieciowych, które mogą być już zakażone.
Poprzez pełne zrozumienie zachowania całego ruchu sieciowego, można dokładnie kontrolować zachowania, które są akceptowane w środowisku korporacyjnym i wyeliminować to, co APT chce ukryć. Ataki typu APT wykorzystują pewnego rodzaju ukrytej komunikacji, która jest kluczowym elementem jaki trzeba zwalczyć podczas ataków cybernetycznych.
Firewalle Next-Generation klasyfikują ruch sieciowy oparty nie tylko na porcie i protokole, ale na ciągłym procesie analizy aplikacji, deszyfrowania, dekodowania i heurystyki. Funkcje te stopniowo dekapsułują warstwy ruchu sieciowego, aby określić jego prawdziwa tożsamość. Cechą charakterystyczną Next-Generation firewall jest to, że bez względu na port czy szyfrowanie, możliwe jest wskazanie i przeanalizowanie nawet nieznanego ruchu sieciowego, co jest bardzo przydatne w walce z APT.


Cyberprzestępcy używają coraz to nowszych technik i rozwiązań, które pozwalają im na wykorzystanie legitymowanego ruchu sieciowego jako komunikacji, wiec przejrzystość całego ruchu sieciowego jest jedna z najważniejszych cech w walce z APT. Dodatkowo Next-Generation firewalle zapewniają w pełni zintegrowane podejście do zapobiegania zagrożeniom w ujednoliconym kontekście, to znaczy koordynacji wielu aspektów bezpieczeństwa takich jak tożsamość aplikacji, wykrywanie malware i exploitów, IPS, filtrowanie adresów URL, kontrola typów plików i kontrola zawartości. Taka integracja zapewnia znacznie bardziej inteligentne i dokładne zrozumienie malware niż pojedyncze technologie, ponieważ integracja jest potrzebna do dogłębnego zrozumienia objawów nieznanego zagrożenia.





W jaki sposób Next-Generation Firewalle chronią przed infekcją.

Jednym z najważniejszych kroków, które przedsiębiorstwo może podjąć do kontrolowania zaawansowanego malware, jest zmniejszenie wektora ataków i wyeliminowanie możliwości, że boty ukryją się w sieci. Obecnie większość wektorów ataku wykorzystywanych przez malware jest praktycznie bez kontroli, a ich ruch w sieci jest zazwyczaj wystarczająco mały, aby bardzo łatwo wmieszał się w normalny ruch w sieci. Poprzez zapewnienie pełnej widoczności i dokładnej kontroli tego co jest dozwolone w ruchu sieci i dlaczego, zespoły bezpieczeństwa mogą osiągnąć oba cele.

Zmniejszenie powierzchni ataku.

Egzekwowanie pozytywnej kontroli jest niezbędne w walce z malware. Zastosowanie pozytywnej kontroli znacznie zmniejsza powierzchnię ataku, oraz ogólne ryzyko jego wystąpienia. Tak więc pierwszym ważnym krokiem dla przedsiębiorstw jest powrót do pozytywnego modelu sterowania.


Pozytywna kontrola oznacza, że pozwalamy na ruch sieciowy wszystkich aplikacji których chcemy, zamiast próbować blokować wszystko czego nie chcemy. Kontrola pozytywna od dawna jest cechą charakterystyczną zapór sieciowych, która odróżnia je od innych typów urządzeń bezpieczeństwa sieci. Na przykład, jeśli chcesz zezwolić na Telnet, wtedy otwierasz port TCP 23 na firewallu. Niestety tradycyjne zapory nie mogą prawidłowo zdefiniować jakie aplikacje i protokoły mogą używać portu 23. Aplikacje jak i malware używają teraz niestandardowych często otwartych portów (na przykład port TCP 80, 443 i 53) lub po prostu skaczą pomiędzy wszelkimi dostępnymi otwartymi portami, aby uniknąć tradycyjnych zapór.
Rozszerzanie pozytywnej kontroli na wszystkie aplikacje niezależnie od portu nie jest proste. Pracownicy mogą korzystać z niektórych aplikacji, które nie mają korzyści biznesowych. Dodatkowo niektóre aplikacje mogą być wykorzystywane zarówno do celów osobistych i biznesowych. Na przykład Facebook może być używany do tworzenia sieci społecznościowych, ale także w coraz większym stopniu staje się ważnym narzędziem dla marketingu, sprzedaży oraz rekrutacji. Dlatego też zespoły od spraw bezpieczeństwa powinny skonsultować z odpowiednimi grupami czy oddziałami w organizacji, jakie aplikacje są uprawnione do użytku w celu ustanowienia odpowiedniej polityki bezpieczeństwa. Zasady te powinny zezwalać tylko niektórym użytkownikom na dostęp do określonych aplikacji, lub ograniczyć korzystanie z określonych aplikacji do niektórych zatwierdzonych cech.






Aby zmniejszyć powierzchnię ataku, organizacje muszą:

  • Egzekwować pozytywną kontrolę całego ruchu sieciowego, aby uniknąć niepotrzebnego lub wysokiego ryzyka ruchu sieciowego, nawet gdy techniki szyfrowania lub  omijania portów są wykorzystywane do ukrywania ruchu.
  • Stworzenie polityki dla zatwierdzonych aplikacji i zastosowań, w zależności od potrzeb biznesowych i kultury poprzez określanie:
    • Jakie aplikacji i protokoły są używane w sieci?
    • Jakie aplikacje są wymagane do prowadzenia działalności i kto musi z nich korzystać?
    • Jakie aplikacje do podwójnego użytku lub w celach osobistych przedsiębiorstwo chce zezwolić.


Kontrola zaawansowanego malware – aplikacje umożliwiające infekcję.

Aplikacje są nieodzowną częścią cyklu ataku i są wykorzystywane jako kluczowe ogniwo  zarówno dla początkowej infekcji maszyny docelowej, jak i również do command-and-control. Związek pomiędzy malware i aplikacjami nie jest nowością. W przeszłości aplikacją umożliwiającą infekowanie malware był e-mail, mimo że jest nadal używany przez atakujących to traci swój dawny blask, ponieważ zabezpieczenia poczty e-mail stały się centralnym punktem dla wielu przedsiębiorstw. Obecnie atakujący wykorzystują aplikacje, które współpracują z użytkownikiem w real-time i zapewniają o wiele łatwiejszą możliwość infekcji malware poprzez socjotechnikę, która jest coraz częściej wykorzystywana do ataków. Jednym z najczęstszych źródeł infekcji malware są sieci społecznościowe oraz aplikacje użytku dziennego takie jak: Facebook, web email, komunikatory, peer-to-peer czy transfer plików. 

Aplikacje te są przeznaczone do łatwego udostępniania informacji w różny sposób, a ludzie często używają je z nadmiernym zaufaniem i z coraz to bardziej nonszalanckim podejściem, ponieważ aplikacje te mogą być wykorzystywane poza miejscem pracy. Niestety takie podejście powoduje, że atakujący maja dużo większe możliwości infekcji. Aplikacje społecznościowe są również idealnym środowiskiem dla inżynierii społecznej, umożliwiając atakującemu podszyć się pod przyjaciela lub kolegę, na przykład, aby zwabić niczego nie podejrzewającą ofiarę do kliknięcia w niebezpiecznego linka.






W całej swojej złożoności, infekcja malware nadal będzie się opierać na sprowokowaniu, niczego nie podejrzewającego użytkownika, do wykonania nierozważnych działań takich jak kliknięcie w linka. Teraz zamiast otwierać zainfekowanego załącznika w emailu, wystarczy kliknąć w linka do Facebooka, czy Twittera, który wydaje się pochodzić od znajomego. Niebezpieczne są skrypty Cross Site (XSS) oraz  sniffery takie jak FireSheep, które pozwalają napastnikowi przejąć konta sieci społecznościowych oraz kradzież tożsamości. Poprzez stosowanie SSL jako domyślnego protokołu do ochrony komunikacji użytkowników,  portale społecznościowe  nieświadomie spowodowały, że malware stało się bardziej trudne do wykrycia. 

Aktywna kontrola nieznanych plików.

Malware i exploity można bardzo łatwo modyfikować lub dostosować tak, że ich atak nie zostanie wykryty przez znane sygnatury. Elastyczność ta, jest jedną z kluczowych technologii, która umożliwia atakującemu na wykonanie ataku nie wzbudzając podejrzeń bezpieczeństwa. Stosowanie nowych zintegrowanych technologii, które mogą identyfikować nieznane zagrożenia na podstawie jak się zachowują, a nie jak wyglądają, pozwala skutecznie walczyć z zagrożeniami. Taki rodzaj aktywnej analizy może być wykonywany poprzez uruchamianie podejrzanych plików w tzn sandboxie, czyli w pełni zwirtualizowanym środowisku, w którym można uruchomić i obserwować co tak naprawdę robi podejrzany plik. Wykrywanie zagrożenia jest to tylko część walki, natomiast zapobieganie przed zagrożeniami spowoduje, że użytkownicy i sieć będzie bezpieczna, dlatego wyniki aktywnej analizy malware muszą być ściśle skorelowane z firewalami next-generation, tak aby wyniki analizy mogły być zastosowane do ochrony przed zagrożeniami.  Typowe zapobieganie przed zagrożeniami obejmuje:
  • Dynamiczne zabezpieczenia dla nowo zidentyfikowanego nieznanego malware.
  • Zabezpieczenia dla malware, które może wykorzystywać infrastrukturę C&C.
  • Zabezpieczenia dla zagrożeń, które wykorzystują tą samą strategię C&C.
  • Zabezpieczenia dla zagrożeń, które korzystają z domen i adresów URL.

Do powyższych zagrożeń można zastosować kontrole aplikacji:
  • Blokowanie niepożądanych aplikacji np. P2P.
  • Ograniczenia korzystania z aplikacji dla użytkowników i grup użytkowników, którzy mają uzasadnione i zatwierdzone biznesowe potrzeby.
  • Wyłączenie określonych funkcji w ryzykownych aplikacjach, takich jak transfer plików, udostępnianie pulpitu, tunelowanie.
  • Zapobiegania drive-by-download z zainfekowanych stron internetowych., które automatycznie pobierają szkodliwe pliki bez wiedzy użytkownika.
  • Selektywne deszyfrowanie ruchu SSL na podstawie kategorii aplikacji i adresów URL, na przykład deszyfrowanie serwisów społecznościowych i poczty webowej, a nie danych finansowych.
  • Kontrola ruchu sieciowego każdej ryzykownej aplikacji, który jest dozwolony przez Next-Generation firewalla poprzez zapewnienie zintegrowanego IDS, IPS, ochrony przed malware i filtrowaniem URL.

Uniemożliwianie obchodzenia zabezpieczeń.

Niektóre z aplikacji mają ważne zastosowanie biznesowe, podczas gdy inne są oznaką nieautoryzowanego i niebezpiecznego zachowania. W obu tych przypadkach zaleca się wymaganie ścisłej kontroli, aby zapobiec niezarządzanym wektorom zagrożeń w przedsiębiorstwie. Technologie zdalnego pulpitu są popularne wśród użytkowników końcowych, oraz zespołów wsparcia technicznego. Wiele aplikacji web-conferencing mają dodaną możliwość zdalnego kontrolowania komputera użytkownika. Technologie te wprowadzają dwa istotne ryzyka: 

  • Ruch sieciowy nie jest kontrolowany przez firewalla, gdy użytkownik łączy się ze zdalnym komputerem, z którego serfuje po Internecie i uruchamia różne aplikacje. Oprócz obejścia polityki bezpieczeństwa, zdalny pulpit otwiera niezarządzany wektor zagrożenia, pozwalając użytkownikowi podejmować różnego rodzaju zdalne rodzaje ryzykownego zachowania, by następnie poprzez tunel zwrócić je do komputera wewnątrz przedsiębiorstwa.
  • Technologie zdalnego pulpitu umożliwiają potencjalnie nieautoryzowanemu użytkownikowi, pełny dostęp do komputera wewnątrz firmowej sieci. Jest to jeden z pierwszych celów malware, ponieważ tworzy niebezpieczną możliwość do rozpoczęcia infekcji. Ponad 70% wszystkich ataków i 27% utraconych danych, można przypisać do zdalnego dostępu.
Aplikacje które mają ważne zastosowanie w przedsiębiorstwie, mogą również nieświadomie wystawiać organizacje na potencjalne zagrożenia, jeżeli są niewłaściwie używane, lub wykorzystywane przez nieuprawnionych użytkowników lub osoby bez odpowiedniego doświadczenia. Na przykład, wiele działów IT korzysta z SSH do zarządzania systemami i aplikacjami w firmowych centrach danych. Przez otwarcie tunelu w centrach danych, SSH może zapewnić bezpośredni dostęp do jej najbardziej krytycznych aktywów w sposób niezarządzany. Aplikacje te muszą być ściśle kontrolowane, dostęp do nich powinien być ograniczony do zatwierdzonych jednostek i ściśle monitorowany oraz rejestrowany.

W celu zapewnienia bezpiecznej i anonimowej komunikacji przez firewalle i inne urządzenia bezpieczeństwa, zostały stworzone serwery proxy, oraz aplikacje szyfrowanych tuneli. Technologie takie jak CGIProxy lub PHProxy zapewniają w stosunkowo łatwy sposób serfowanie po Internecie bez żadnych kontroli bezpieczeństwa w organizacji. Kolejne aplikacje, które zostały specjalnie zaprojektowane aby omijać infrastrukturę bezpieczeństwa to UltraSurf, Hamachi i Tor. Są one regularnie updatowane w celu pozostania niewykrytymi. Aplikacje te, mają bardzo małe, jeżeli w ogóle, ważne zastosowanie w przedsiębiorstwie, a ich obecność na ogół wskazuje na próbę uniknięcia bezpieczeństwa korporacyjnego. Narzędzia te nie tylko przekazują ruch bez kontroli, ale również wydają się być używane do zachowań wysokiego ryzyka takich jak udostępnianie plików lub dostęp do treści wyraźnie zablokowanych, które z kolei, noszą znacznie wyższe ryzyko infekcji malware. W celu zapobiegania używania obchodzenia należy:
  • Ograniczyć używanie zdalnego pulpitu, na przykład, do inżynierów wsparcia IT.
  • Bezpiecznie zaimplementować SSH, ale bez możliwości tunelowania.
  • Blokowanie nieodpowiednich proxy, szyfrowanych tuneli takich jak UltraSurf, Hamachi czy Tor.

Badanie nieznanego ruchu sieciowego.

W momencie gdy przedsiębiorstwo wprowadzi zastosowanie pozytywnej kontroli i ma możliwość wglądu i dokładne klasyfikowanie zatwierdzonego ruchu w jej sieci, to może zbadać każdy pozostały nieznany ruch w sieci. Malware i APT często pojawia się jako nieznany ruch sieciowy, ze względu na ich niepowtarzalne zachowanie i wykorzystywanie własnego szyfrowania. W przeciwieństwie do tradycyjnych firewalli, które zazwyczaj przepuszczają każdy ruch, który używa zatwierdzonego portu, zapory nowej generacji zapewniają możliwość znalezienia i analizy nieznanego ruchu w sieci. Nieznany ruch regularnie wysyłany z jednego komputera powinien być zbadany w celu ustalenia, czy jest on generowany przez uprawnione aplikacje, lub potencjalne malware. Zespoły bezpieczeństwa mogą również zbadać, czy ruch będzie:

  • Wychodził do znanych szkodliwych stron internetowych lub serwisów społecznościowych.
  • Przekazywany w regularnych odstępach czasu.
  • Czy ktoś próbował pobrać, lub przekazać pliki do nieznanego adresu URL.

Każde z tych zachowań może wskazywać na obecność bota w komputerze. Korzystając z Next-Generation firewall, możemy dokładnie określić ruch w sieci, a nieznany ruch powinien występować coraz rzadziej, co umożliwi na szybkie wykrycie i analizowanie potencjalnie szkodliwego ruchu sieciowego. Coraz więcej firewalli Next-Generation wychodzi poza analizę nieznanego ruchu sieciowego i może automatycznie analizować nieznane pliki w środowisku sandbox, w celu identyfikacji szkodliwych zagrożeń co pozwala to skupić się na nieznanych plikach i nieznanym ruchu. Wszystko co nieznane w sieci musi być zbadane, zidentyfikowane i zarządzane. Można szybko i systematycznie zarządzać nieznanym ruchem przez:

  • Stosowanie polityk na firewallu, aby blokować cały nieznany ruch, lub zezwolić i analizować.
  • Ustalenie jakie aplikacje są wykorzystywane przez przedsiębiorstwo w sieci i albo zmienić nazwę ruchu sieciowego aplikacji, lub stworzenie nowej niestandardowej sygnatury dla każdej aplikacji
  • Analizowanie nieznanych lub podejrzanych plików w sandboxie w celu wykrycia złośliwych zachowań.
  • Korzystanie z narzędzi do przechwytywania pakietów (pcap), aby nagrać nieznany ruch i przesłać go do dostawcy zabezpieczeń.
  • Wykorzystanie behawioralnych raportów botnet, oraz innych narzędzi do raportowania w celu ustalenia, czy ruch jest zagrożeniem.

Oraz badać nieznany ruch sieciowy poprzez:

  • Śledzenie źródła, przeznaczenia i wielkości nieznanego ruchu sieciowego.
  • Korelację pomiędzy URL, IPS, malware i transferem plików.
  • Zdefiniowanie niestandardowych identyfikatorów aplikacji.
  • Dostarczanie przechwyconych pakietów (pcap) do dostawcy zabezpieczeń do dalszej analizy i identyfikacji.

Wykrywanie zainfekowanych maszyn za pomocą Next-Generation Firewall.

Komputery w przedsiębiorstwach, które posiadają nawet najlepsze systemy bezpieczeństwa, będą infekowane złośliwym oprogramowaniem, poprzez nowy rodzaj malware, nowy rodzaj nieznanego szkodliwego wektora, czy poprzez zwyczajnego pendriva. Malware rozwija się coraz bardziej i jest w stanie zarazić nawet najlepiej zabezpieczone systemy. Infekcja zazwyczaj zaczyna się od końcówki, czyli komputera, a znalezienie wszystkich zainfekowanych komputerów w organizacji, może być nie lada trudnym zadaniem, biorąc pod uwagę fakt, że bot może już unikać tradycyjnych sygnatur złośliwego oprogramowania i może już mieć dostęp na poziomie root do zainfekowanego komputera.

Aby zidentyfikować zainfekowane maszyny, należy zacząć analizować nietypowe lub nieznane zachowania, które są obserwowane w sieci. Komunikacja jest piętą achillesową zaawansowanego malware, które musi się komunikować, aby mogło funkcjonować i zazwyczaj jest trudne do wykrycia i śledzenia. Te podstawowe wymagania tworzą wzorzec, który może być użyty do identyfikacji ruchu botów w sieci, lub zachowań, które wyróżniają się od normalnego ruchu sieciowego, nawet gdy bot jest całkowicie nowy i nieznany.

Wykrywanie ruchu sieciowego do command and control.

Jedną z głównych zalet firewalli nowej generacji jest ich zdolność do klasyfikowania potencjalnie zagrożonych strumieni ruchu na poziomie aplikacji. Obejmuje to możliwość skanowania w ramach ruchu sieciowego protokołów wewnątrz protokołów. Umiejętność rozpoznawania złożonego ruchu sieciowego ma zasadnicze znaczenie dla wykrywania ruchu command and control zaawansowanych ataków.

Automatyczne śledzenie i korelacja.

Firewalle nowej generacji są w stanie zautomatyzować śledzenie i korelację z inteligentnymi możliwościami takimi jak:

  • Nieznane TCP/UDP. Ruch APT jest często szyfrowany i nieznany. Śledzenie aktywności nieznanego TCP i UDP jest podstawą do znalezienia maszyn zainfekowanych botami.
  • Dynamiczny DNS (DDNS). Malware często używa DDNS żeby odbić ruch między wieloma zainfekowanymi hostami z ciągle zmieniającymi się adresami IP, co sprawia że bardzo trudno jest śledzić prawdziwe źródło i cel bota.
  • Znane strony złośliwego oprogramowania. Mechanizm filtrowania adresów URL w Next-Generation firewall, stale śledzi strony, które świadomie, bądź nieświadomie zawierają malware.
  • Ostatnio zarejestrowane domeny. Malware często korzysta z nowych domen w celu uniknięcia wykrycia i usunięcia.
  • Adresy IP zamiast nazwy domen. Boty często używają adresów IP, w przeciwieństwie do użytkownika.
  • IRC . Ruch IRC jest jedną z najbardziej znanych metod komunikacji dla botnetów i zapewnia dodatkowe dowody zakażenia.

Polityki dostępu użytkowników i grup do aplikacji

Bardzo często rozwiązania technologiczne są wdrażane bez uwzględniania wpływu na ogólną strategię bezpieczeństwa organizacji. Aby uniknąć tego błędu ważne jest, aby upewnić się, że polityki są aktualne i nowe rozwiązania, które mają zostać zaimplementowane wpiszą się w kompleksową strategię bezpieczeństwa organizacji. Celem polityki bezpieczeństwa przedsiębiorstwa jest zmniejszenie ryzyka zainfekowania poprzez zaawansowane zagrożenia w pierwszej kolejności. Niestety, tak jak zostało napisane powyżej, nawet najbardziej bezpieczne sieci z wdrożonymi najlepszymi politykami bezpieczeństwa są nieuchronnie podatne na złośliwe oprogramowanie i ataki, bez względu na to, jak dobrze są one zaprojektowane.

Polityka bezpieczeństwa musi pomóc kontrolować malware w organizacji i zmniejszyć ryzyka przy jednoczesnym spełnieniu wymagań biznesowych. Stworzenie skutecznej polityki bezpieczeństwa wymaga głębokiego zrozumienia ryzyka stwarzanego przez różne aplikacje i funkcje wykorzystywane w sieci, potrzeb biznesowych i wymagań użytkowników. IT musi odgrywać aktywną rolę w określaniu inteligentnych polityk, które wspomagają użytkowników i ograniczają ryzyka, ale ważne jest, aby IT nie było jedynym właścicielem tych polityk i było widoczne wsparcie zarządu. Adoptacja nowych aplikacji zazwyczaj zaczyna się od samych użytkowników, a nie z polityki, ale gdy te aplikacje zostają włączane do procesów biznesowych i przepływów pracy, to zapewnienie bezpieczeństwa takim aplikacjom może wydawać się niemożliwe, nawet z pomocą zarządu. Najlepiej gdy zarządzanie jest zbudowane na podstawie inteligentnych polityk, które są opracowane przez cztery główne strony w organizacji: IT, HR, kadra zarządzająca i użytkownicy.

Brak komentarzy:

Prześlij komentarz