Next Generation Firewall #2

W jaki sposób Next-Generation firewalle skutecznie bronią przed APT.

W walce z zaawansowanym malware, firewalle Next-Generation zapewniają najważniejszą broń, czyli niezawodną widoczność i kontrole całego ruchu w sieci, niezależnie od portu czy wymijających taktyk, które mogą być zastosowane. Mówiąc wprost, jeżeli cały ruch sieciowy nie zostanie przeanalizowany, nie można powiedzieć, że jest się chronionym przed zagrożeniami. Wykorzystując możliwości widoczności i kontroli w  Next-Generation Firewall można zastosować metodologie do ograniczenia narażenia na malware, a także do wykrywania i naprawiania urządzeń sieciowych, które mogą być już zakażone.

Poprzez pełne zrozumienie zachowania całego ruchu sieciowego, można dokładnie kontrolować zachowania, które są akceptowane w środowisku korporacyjnym i wyeliminować to, co APT chce ukryć. Ataki typu APT wykorzystują pewnego rodzaju ukrytej komunikacji, która jest kluczowym elementem jaki trzeba zwalczyć podczas ataków cybernetycznych.

Firewalle Next-Generation klasyfikują ruch sieciowy oparty nie tylko na porcie i protokole, ale na ciągłym procesie analizy aplikacji, deszyfrowania, dekodowania i heurystyki. Funkcje te stopniowo dekapsułują warstwy ruchu sieciowego, aby określić jego prawdziwa tożsamość. Cechą charakterystyczną Next-Generation firewall jest to, że bez względu na port czy szyfrowanie, możliwe jest wskazanie i przeanalizowanie nawet nieznanego ruchu sieciowego, co jest bardzo przydatne w walce z APT.

Cyberprzestępcy używają coraz to nowszych technik i rozwiązań, które pozwalają im na wykorzystanie legitymowanego ruchu sieciowego jako komunikacji, wiec przejrzystość całego ruchu sieciowego jest jedna z najważniejszych cech w walce z APT. Dodatkowo Next-Generation firewalle zapewniają w pełni zintegrowane podejście do zapobiegania zagrożeniom w ujednoliconym kontekście, to znaczy koordynacji wielu aspektów bezpieczeństwa takich jak tożsamość aplikacji, wykrywanie malware i exploitów, IPS, filtrowanie adresów URL, kontrola typów plików i kontrola zawartości. Taka integracja zapewnia znacznie bardziej inteligentne i dokładne zrozumienie malware niż pojedyncze technologie, ponieważ integracja jest potrzebna do dogłębnego zrozumienia objawów nieznanego zagrożenia.

Next Generation Firewall #1

Dlaczego tradycyjne metody bezpieczeństwa nie wystarczają w walce z APT

Siła i skala obecnych zagrożeń powoduje, że tradycyjne metody bezpieczeństwa jak firewalle oparte na portach, IPS czy inne rozwiązania bezpieczeństwa są w znacznej mierze nieefektywne w zabezpieczaniu sieci korporacyjnej. W przeszłości eksploity celowały w serwery, a malware było dostarczane do użytkownika głównie poprzez e-mail. Działania te, nie były ze sobą zintegrowane, a ich realizacja składała się z odrębnych kroków. Dzisiaj eksploity również skierowane są w użytkownika, z tym że dostarczają malware poprzez więcej aplikacji na przykład:

• Aplikacje do transferu plików
• Komunikatory
• Webmail
• Social Media
• Microblogi

Oznacza to że atakujący mają o wiele większe możliwości wykonania skutecznego ataku, jak i również zwiększający się arsenał zautomatyzowanych narzędzi do użycia. Co gorsze aplikacje te działają w real-time, co powoduje że każde opóźnienie wywołane przez inspekcje malware będzie odczuwalne przez użytkownika końcowego.

Brak przejrzystości

Wiele aplikacji od początku zostało zaprojektowanych do obchodzenia tradycyjnych opartych na portach firewalli, dynamicznie dostosowując sposób komunikacji, w celu maksymalizacji ich dostępności i wykorzystywania. Z drugiej strony dzięki temu, malware może komunikować się po dowolnie wybranych portach i nie zostanie do dostrzeżone. Nie można kontrolować czegoś czego się nie widzi a APT używa wiele różnych sposobów żeby ukryć ich prawdziwą naturę lub istnienie w sieci wliczając w to:

• Niestandardowe porty i tzw port hopping. Aplikacje wymijające są jednym z kluczowych czynników, które doprowadziły do upadku tradycyjnych opartych na portach firewalli. Co gorsze tradycyjne IPS i tym podobne urządzenia także w dużym stopniu polegają na porcie, w celu określenia jaką sygnaturę lub analizę należy zastosować do ruchu sieciowego. Zagrożenie to jest potęgowane przez fakt, że APT są często inicjowane z zainfekowanej wewnętrznej sieci na zewnątrz do atakującego, co daje atakującemu pełna elastyczność w użyciu dowolnego portu, protokołu, oraz szyfrowania jakiego chce.
• Szyfrowanie SSL. W celu ukrywania zainfekowanego ruchu sieciowego, twórcy malware w dużym stopniu wykorzystują różne metody szyfrowania. Najczęściej używanym jest SSL, tylko dlatego, że jest to domyślny protokół dla wielu mediów społecznościach takich jak Gmail czy Facebook, a co za tym idzie są one bardzo podatne na ataki inżynierii społecznej i dostarczania malware do korporacji. W wyniku szyfrowania SSL, wiele zespołów IT od spraw bezpieczeństwa, nie ma możliwości wglądu w ruchu malware w sieci. Inne metody szyfrowania również stały się popularne w celu ukrywania ruchu malware. Aplikacje peer-to-peer dają możliwości infekowania jak i również command-and-control, które używają szyfrowania pozwalając szkodliwej zawartości kodu przejść przez tradycyjne sieci bez wykrycia.
• Tunelowanie. Kolejne narzędzie do ukrywania złośliwego ruchu sieciowego to tunelowanie. Wiele aplikacji i protokołów wspiera możliwość do wykorzystywania tunelu w celu polaczenia do innych aplikacji i protokołów. Pozwala to napastnikowi na ukrycie komunikacji jako dozwolonego serwisu lub usługi a co za tym idzie ominąć tradycyjne metody bezpieczeństwa sieci.
• Proxy. Zaawansowani hakerzy jaki również malware z górnej półki używają proxy do przechodzenia przez tradycyjne firewalle. TDL-4 (niezniszczalny botnet), instaluje serwer proxy na każdym zainfekowanym hoście. Dzięki temu bot nie tylko zabezpieczania swoja komunikacje, ale również tworzy anonimowa sieć, którą każdy może użyć w celu ukrycia śladów nielegalnej działalności.
• Anonymizery i circumventory. Narzędzia takie jak UltrSurf, Tor, czy Hamachi są specjalnie tworzone, żeby omijać kontrole bezpieczeństwa sieci.
• Kodowanie i obfuskacja (zaciemnianie). Malware prawie zawsze koduje transmisje w unikalny sposób. Kodowanie i obfuskacja są używane w celu unikania detekcji przez sygnatury, ale również do ukrywania prawdziwych zamiarów malware. Techniki te mogą być bardzo proste jak konwersja na szesnastkowy, lub bardziej wyrafinowane, takie jak rozwijanie własnych algorytmów.

Wiele nowych aplikacji biznesowych używa takich samych technik w celu uproszczenia operacyjności przy jednoczesnym minimalizowaniu zakłóceń dla klientów i partnerów, a co za tym idzie obniżenia bezpieczeństwo organizacji. Na przykład RPC (remote procedure calls) i SharePoint używają port hopping, ponieważ ważniejsze jest jak protokoły czy aplikacje funkcjonują kosztem bezpieczeństwa.