Check Point SandBlast
Компания Check Point продолжает развивать широкий спектр своих решений безопасности, покрывая таким образом весь ландшафт современных угроз и методов проведения сетевых атак. На данный момент одним из самых изощрённых методов проникновения являются так называемые APT (Advanced Persistent Threat) атаки. Кроме того серьёзным вызовом для систем безопасности и персонала продолжают оставаться угрозы нулевого дня (0-day atacks), когда эксплуатируются до этого неизвестные уязвимости, не имеющие известных признаков и сигнатур. Для единой защиты от пласта описываемых угроз и методов атак на данный момент наиболее эффективными являются так называемые "песочницы" - устройства или облачные решения, изолирующие исполняемый код до подтверждения его безопасности. Check Point предлагает своё решение на этом рынке - Check Point SandBlast Threat Emulation, которое крайне органично вписывается в общую канву Check Point по управляемости, визуализации и отслеживанию инцидентов. Подробнее об этом решении и его необходимости для отражения современных сетевых угроз - ниже в статье.
В условиях растущего кибертерроризма вопрос обеспечения информационной безопасности (ИБ) давно является одним из ключевых в работе организаций. С хакерскими атаками с трудом справляются даже службы ИБ государственных структур. Подобные ситуации в IT-секторе еще раз доказывают необходимость создания актуальной системы защиты на уровне программного оснащения и аппаратного оборудования. Для обеспечения высокого уровня защиты от технически грамотно проработанных и подготовленных сетевых атак Компания Check Point разработала свой вариант "песочницы" - Check Point SandBlast Threat Emulation. Оценивая «поведение» запускаемого кода в своей изолированной виртуальной среде, «песочница» от Сheck Point гарантирует защиту от неизвестных эксплоитов. В виртуальной среде "песочницы" создаётся необходимое количество конфигураций целевых операционных систем или систем управления базами данных. При активации в такой замкнутой среде файла, содержащего вредоносный код, либо начинается выполнение ранее написанного вредоносного ПО, уже являющего известным для распознавания, либо, если код не диагностируется «песочницей» в качестве известного вредоносного ПО, но в тоже время модель его «поведения» в изолированной среде является аномальной (изменение непредназначенных для этого ветвей рееста, создание файлов в "защищённых" областях ОС, открытие портов или соединений наружу и т.д.), - файл признается заражённым и доступ конечной системы к нему после этого может быть предоставлен лишь по специальному запросу.
На данный момент для обеспечения ИБ более широко используются ставшие уже традиционными системы защиты на подобии антивирусов и систем IPS/IDS. Несмотря на успешную и эффективную интеграцию подобных технологий во многих компаниях, случаи кражи информации продолжают осуществляется. Связано это с тем, что крупные хакерские группировки, зная об использовании подобных решений, обратили свое внимание на создание несколько иного подхода для получения несанкционированного доступа к системам. Чаще всего подобные атаки осуществляются путем создания ранее неизвестного кода, т.к. с его помощью удается незаметно обойти стандартные системы защиты данных, а также изощрённых миксов из социальной инженерии, эксплуатации неизвестных проблем в ПО и т. д. Подобные угрозы и методы более известны как «Атака нулевого дня» и APT (Advanced Persistent Threat) - постоянно совершенствуемые угрозы, механизмы и методы проведения атак.
Атаки нулевого дня осуществляются на ранее не замеченные уязвимости использующегося программного обеспечения, для исправления которых на тот момент отсутствуют патчи и обновления. Период существования незакрытых уязвимостей может длится от нескольких часов до нескольких лет, в зависимости от того насколько быстро будет обнаружена и обнародована "дыра" в безопасности в ПО и насколько быстро будут сначала выпущены обновления производителем, а затем они будут установлены на целевые системы Заказчиком. Тщательно подготовленные атаки нулевого дня способны обеспечить киберпреступникам доступ к ценной информации на протяжении длительного времени. Например, для компании Sony подобное нападение в конце 2014 года обернулось утечкой всех бизнес-планов, конфиденциальных корпоративных данных и личных адресов электронной почты из системы Sony executives. Создание атак нулевого дня является для хакеров эффективным инструментом проникновения. Трафик вышеупомянутых нападений не имеет сигнатуры, именно поэтому злоумышленник легко проходит через антивирусные программы и системы IPS/IDS. Посредством модификации, обфускации, шифрования существующих эксплоитов, хакеры превращают известное вредоноснее ПО в неизвестное, прикладывая к этому гораздо меньше усилий и используя при этом более низкий уровень знаний, подготовки и навыков.
APT угрозы являются наиболее опасными в настоящее время. Они состоят из нескольких незначительных вредоносных проявлений, направленных на целевую конечную станцию или серверную систему/базу данных. Нападение может осуществляться в течении продолжительного времени: от нескольких дней до нескольких лет. Благодаря всему этому подобные угрозы обнаружить чрезвычайно сложно. Обычно, к тому времени как традиционные системы безопасности обнаруживают факт APT-нападения, внутренние ресурсы уже оказываются доступными для несанкционированного использования. Чаще всего подобным хакерским атакам подвержены финансовые и государственные структуры, как наиболее защищенный сегмент бизнеса.
Решением для обеспечения высокого уровня защиты от атак нулевого дня и APT является технология "песочниц". Традиционная «песочница» включает в себя несколько виртуальных сред, полностью подобных защищаемым операционным системам. Входящие файлы запускаются в "песочнице", подобно тому, как это будете делать пользователь в своей операционной системе. Далее система наблюдает за последующими действиями запущенного кода, - если манипуляции происходят в рамках обычного поведения, код признается безопасным. Но несмотря на разработку подобных систем, кибертеррористы уже придумали пути обхода подобных решений. Так некоторые из вредоносных эксплоитов написаны таким образом, что они способны распознавать свое местонахождение и начинают выполнение основных задач по обеспечению доступа к конфедациальным данным только при попадании в реальную операционную систему. Другими наиболее часто используемыми методами являются установка индикаторов движения мыши или таймеров по развёртыванию вредоносного ПО. Интересен метод заражения офисного текстового файла, когда вредоносное ПО активируется только при отрисовке какой-то страницы в середине документа. Подобные схемы атак еще раз доказывают, что решения по обеспечению ИБ должны развиваться быстрее для того, чтобы стараться оставаться впереди злоумышленников.
Check Point SandBlast Threat Emulation является гораздо более продвинутой версией традиционной "песочницы". Для примеров выше решение от Check Point позволяет полностью эмулировать конечную операционную систему, не показывая признаков своей виртуальной среды; во время мониторинга действий и поведения запущенного файла несколько раз смещать системное время для эмуляции долгосрочной работы и т.д. В отличии от своих конкурентов, "песочница" от Check Point способна не только установить факт APT-атаки и атаки нулевого дня, но и эффективно и, главное, быстро блокировать доступ вредоносного ПО к целевой ОС. Одним из самых ключевых отличий и сильнейшим конкурентным преимуществом «песочницы» от Check Point является возможность обнаружения эксплоитов на уровне команд центрального процессора во время фазы их эксплуатации, когда вредоносное ПО пытается получить привилегии выполнения команд от уровня операционной системы с правами системного привилегированного пользователя. Check Point SandBlast Threat Emulation использует уникальный метод, позволяющий детально рассматривать выполняемые команды на уровне центрального процессора хоста своей системы. В результате этого выявляется подавляющее большинство методов обхода "песочниц" и детектируются самые изощрённые методы попыток проникновения. После обнаружения и блокировки неизвестных угроз они преобразуются в известные посредством создания сигнатуры. В дальнейшем, подобные атаки будут заблокированы на уровне IPS/IDS систем от Check Point или антивирусным ПО, - в этом случае необходимость повторно проверять подобный код в изолированной среде отпадает, что существенно увеличивает скорость работы всей инфраструктуры безопасности Check Point. В дополнение, аплайнсыCheck Point SandBlast Threat Emulation обмениваются информацией о только что обнаруженных вредоносных средствах, используя подключение к специализированной облачной базе. Данная функция ускоряет работу по обновлению базы данных, что позволит вновь подключенным организациям наиболее быстро обезопасить свою систему от только что обнаруженных угроз. Таким образом, Check Point отвечает на угрозы нулевого дня защитой нулевой секунды.
Скорость и точность работы позволяют Check Point SandBlast Threat Emulation являться лучшей технологией в области обнаружения и предотвращения неизвестного вредоносных ПО. Как мы писали ранее, NSS Lab признал Check Point SandBlast Threat Emulation одним из самых эффективных в своей сфере. По результатам тестирования, решение от Check Point показало 100% результат практически по всем тестам, данный продукт обнаружил все неизвестные эксплоиты, направленные через HTTP(S) и SMTP/TLS протоколы. Причём надо отдельно отметить, что указанное тестирование проводилось с выключенным механизмом инспекции на уровне центрального процессора. Кроме того, "песочница" от Check Point крайне выгодно отличается от своих конкурентов количеством поддерживаемых типов данных, подлежащих инспекции. Так, помимо стандартных офисных документов и документов Adobe, Check Point SandBlast Threat Emulation позволяет запускать и анализировать в своей виртуальной среде 35 типов данных, включая исполняемые файлы, архивы, Flash, Java Applets и PIF.
Threat Emulation совмещает в себе возможности обеспечения ИБ на уровне ОС и ЦП, тем самым Вы получаете мощный инструмент по борьбе с кибертерроризмом. С данным решением от Check Point Вы сможете восполнить пробел в системе ИБ, образовавшийся после серьёзного распространения атак нулевого дня и APT, как механизмов практически гарантированного доступа до закрытой конфиденциальной информации, расположенной на защищаемых внутренних ресурсах.