Ochrání nás behaviorální analýza sítě před APT?
Ať už je APT jen další buzzword či nikoliv, tak s cílenými útoky se budeme setkávat stále častěji.
Tradiční antimalware a IDS/IPS systémy, či UTM/XTM zařízení založené na signaturách vás však v takovém případě neochrání. Vy potřebujete řešení, které bude analyzovat chování veškerého kódu, který se na daném zařízení spouští. Jedině tak lze odhalit útoky, zneužívající např. zranitelností nultého dne. Takové řešení by mělo být nasazeno nejen na zařízení uživatele (host-based), ale i na perimetru (network-based), protože nikdy nevíte, kdo, kdy, kde a jaké zařízení do sítě připojí.
Jde o to, že v okamžiku, kdy se takový malware uhnízdí v počítači oběti, a začne provádět svoji nekalou činnost, tak přijde okamžik, kdy výsledky své práce, rozuměj zcizená data, potřebuje nějak dostat ven, anebo si potřebuje stáhnout nové instrukce. A v takovém případě musí navázat komunikaci s nějakým serverem na internetu. A přesně tohle je okamžik, kdy se na síti objeví nestandardní komunikace, která by měla být tímto nástrojem odhalena. Tím se dostáváme k tomu, že pouze řešení založené na behaviorální analýze sítě (Network Behavior Analysis, zkr. NBA) budou schopna v reálném čase detekovat nestandardní komunikaci v síti organizace, kterou může mít na svědomí právě takový sofistikovaný malware.
Je zřejmé, že toto řešení bude muset být vybaveno určitou inteligencí a provádět hloubkovou inspekci paketů a analyzovat chování jednotlivých prvků sítě. Nástroj musí analyzovat, odkud, kam, kdy a jak je navázáno a ukončováno spojení, po jakém se komunikuje portu a protokolu, jaký objem dat se přenáší, jaký je obsah těchto dat, apod. K tomuto účelu se často využívá statistik síťového provozu, které jsou získány prostřednictvím protokolu NetFlow. Tímto způsobem lze odhalit i sofistikovaný malware, který zcizená data šifruje nebo navazuje šifrované spojení, a kde DLP systémy založené na vyhledávání určitých slov selhávají, neboť nemají k dispozici klíč, kterým je komunikace šifrována.
Na světě je jen několik málo společností, které NBA systémy využívají, především proto, že jsou drahé a implementace nějakou dobou trvá, často až několik měsíců. Nicméně např. řešení Cognitive Analyst od společnosti Cognitive Security, původně vyvinuté pro americkou armádu, může být nasazeno v podstatě ihned a poskytuje tak okamžité výsledky o tom, co se na síti děje. Toto řešení využívá speciálních algoritmů pro detekci anomálií a je schopno se samo učit a svoje detekční schopnosti nadále zlepšovat.
Snadno tak lze detekovat přítomnost zcela nového a jinými nástroji nedetekovatelného polymorfního malwaru, které se do sítě dostal např. zneužitím nějaké zero-day zranitelnosti v SW nebo prostřednictvím sociálního inženýrství. Tímto způsobem lze odhalit i zneužívání síťové infrastruktury zaměstnanci organizace ke stahování hudby a videa prostřednictvím P2P sítí, hraní on-line her, využívání IP telefonie, chatovacích nástrojů, rozesílání spamu apod..
Závěr: Sofistikovaných a cílených útoků přibývá, a již teď je zřejmé, že nasazení základních bezpečnostních opatření a pravidelná kontrola jejich účinnosti nestačí. Na tradiční řešení založená na signaturách se nelze v případě APT útoku spolehnout, a tak pouze řešení provádějící behaviorální analýzu, mohou do budoucna slavit úspěch.
ČERMÁK, Miroslav. Ochrání nás behaviorální analýza sítě před APT?. Online. Clever and Smart. 2012. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/ochrani-nas-behavioralni-analyza-site-pred-apt/. [cit. 2025-01-20].
Štítky: APT, buzzword, malware
K článku “Ochrání nás behaviorální analýza sítě před APT?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.