Ochrona przed zaawansowanymi atakami ukierunkowanymi stała się normą, a problem nie dotyka już wyłącznie dużych firm - sponsorowani przez państwa cyberprzestępcy biorą na cel również mniejsze przedsiębiorstwa. Dlaczego to robią? Mniejsze firmy często są powiązane biznesowo z większymi organizacjami, do których chcą dotrzeć atakujący, a ponieważ mniejsi partnerzy zwykle nie posiadają tak szczelnej ochrony jak ich więksi kooperanci, stają się atrakcyjnym celem dla hakerów. Jak zatem zarówno mały i wielki biznes może bronić się przed złożonymi atakami ukierunkowanymi?
- Odpowiedzią jest kombinacja zaawansowanej technologii ochrony oraz rozległa sieć wywiadowcza, która monitoruje sieci klientów Symantec oraz działania atakujących przez 24 godziny na dobę. Naszym celem jest blokowanie ataków bez względu na to, na jaki cel są skierowane oraz w jaki sposób przestępcy próbują dostać się do systemu – przez bramkę email, w punkcie końcowym, czy też w centrum przetwarzania danych. Codziennie podnosimy sobie poprzeczkę w tym aspekcie. Cieszę się, że mogę przedstawić dwie potężne innowacje, które właśnie dodaliśmy do naszego arsenału służącego do zwalczania ataków ukierunkowanych - technologia Disarm w Symantec Messaging Gateway oraz funkcja Network Threat Protection w oprogramowaniu Symantec Endpoint Protection dla komputerów Mac.
Opracowana przez Symantec Research Lab, nowa technologia Disarm w rozwiązaniu Messaging Gateway, wykorzystuje jedyną w swoim rodzaju metodę do ochrony firm przed atakami ukierunkowanymi. Większość tego typu ataków jest obecnie przeprowadzanych za pomocą złośliwych, ale pozornie nieszkodliwych, dokumentów załączanych w emailach. Każdy taki dokument, np. pliki PDF, DOC czy XLS, może zawierać w sobie zaszyty atak, który skrycie uaktywnia się w momencie przeglądania przez ofiarę dokumentu, automatycznie infekując komputer.
- Tradycyjne technologie zabezpieczające próbują skanować dokumenty pod kątem ich podejrzanej charakterystyki. Problem polega jednak na tym, że wiele z takich ataków przygotowywanych jest pod konkretny cel, nie wyglądają więc niepokojąco i pozostają niewykryte. Disarm to zupełnie nowe podejście. Zamiast skanować dokumenty, technologia ta tworzy bezpieczne kopie, dostarczając odbiorcy duplikat zamiast potencjalnie niebezpiecznego oryginału. W rezultacie adresat ani przez moment nie jest narażony na atak za pomocą załącznika. Co więcej, technologia ta jest niezwykle efektywna. Zgodnie z badaniami Symantec, Disarm zablokowałby 98% ataków klasy zero-day opartych na załącznikach do emaili, które pojawiły się jak dotąd w 2013 r. Ataki te były kompletnie nieznane i prawdopodobnie uniknęłyby wykrycia przez tradycyjne skanery, heurystykę, emulatory a nawet rozwiązania Virtual Execution (VX).
W przypadku punktów końcowych, Symantec dodał swoją zaawansowaną technologię Network Threat Protection do produktu Symantec Endpoint Protection w wersji 12.1.4 dla komputerów Mac. Wielu użytkowników tych komputerów uważa, że są one odporne na ataki i dlatego nie traktują ich ochrony poważnie. W rzeczywistości, tacy użytkownicy są dla hakerów jak potencjalna żyła złota. Technologia Network Threat Protection przechwytuje ruch sieciowy w poszukiwaniu ataków ukierunkowanych i blokuje je, zanim mogą zaszkodzić komputerowi. Wykorzystuje przy tym opatentowaną, działającą na poziomie aplikacji i protokołów sieciowych technologię Intrusion Prevention System, nie tylko do identyfikowania i blokowania znanych ataków, ale także tych dotąd nieodkrytych, wykorzystujących luki dnia zerowego.
Ochrona przed atakami ukierunkowanymi dzięki zaawansowanej ekspertyzie i sieci Global Intelligence
Rozwiązania zabezpieczające Symantec poza wspomnianymi już technologiami wspierane są również przez sieć Symantec Global Intelligence Network (GIN) oraz ponad 550 badaczy na całym świecie. Platforma GIN zbiera anonimowe dane od setek milionów klientów i czujników 24 godziny na dobę. Informacje te (2,5 biliona wierszy danych telemetrycznych dotyczących bezpieczeństwa) wykorzystywane są przez Symantec do automatycznego wykrywania nowych ataków i monitorowania sieci wykorzystywanych przez atakujących, a także do opracowywania proaktywnych i przewidujących technologii zabezpieczających, takich jak system reputacji Insight dla naszych rozwiązań do ochrony punktów końcowych, bramek oraz centrów przetwarzania danych. W skrócie - doświadczenie i wiedza zdobyte przez Symantec w połączeniu z platformą GIN pozwala zapewnić naszym klientom bezprecedensową ochronę przed atakami ukierunkowanymi.
Innowacyjne podejście do ochrony bramek email
Symantec oferuje również wiele różnych opcji ochrony bramek email, każde z zaawansowaną ochroną przed atakami ukierunkowanymi. Poza rozwiązaniem Symantec Messaging Gateway dostępna jest również proaktywna ochrona przed atakami ukierunkowanymi zawartymi w emailach dzięki rozwiązaniu Email Security.cloud. Usługa ta automatycznie filtruje wszystkie przychodzące i wychodzące wiadomości email bez konieczności instalowania jakiegokolwiek sprzętu lub oprogramowania w firmowej sieci. Email Security.cloud wykorzystuje przy tym wiele technologii, w tym SKEPTIC oraz Real-Time Link Following.
- SKEPTIC wykorzystuje tysiące niezwykle czułych sensorów do szczegółowego badania każdego maila oraz załącznika trafiającego do lub wychodzącego z firmowej sieci, zapobiegając dosłownie tysiącom potwierdzonych prób przeprowadzenia ataków ukierunkowanych każdego roku. SKEPTIC używany jest w połączeniu z technologią śledzenia linków zawartą w rozwiązaniu Email Security.cloud. Ten innowacyjny system automatycznie łączy się z zawartymi w mailach podejrzanymi linkami, by sprawdzić, dokąd one prowadzą. Jeśli podczas takiej kontroli okaże się, że URL kieruje do strony służącej przeprowadzaniu ataków ukierunkowanych, zawierający go email zostaje automatycznie zablokowany. Technologia ta działa w czasie rzeczywistym, zanim wiadomość zostanie dostarczona do adresata, dzięki czemu zapewnia mu bezpieczeństwo, zamiast informować administratora o zdarzeniu po fakcie.
- Autorzy tego rodzaju ataków wykorzystają oczywiście każdy możliwy wektor ich przeprowadzenia. Często kontaktują się z pracownikami za pomocą mediów społecznościowych, (do których użytkownicy logują się za pomocą przeglądarki) w celu zapewnienia sobie dostępu do ich maszyn oraz firmowej sieci. Symantec Web Gateway (SWG) to innowacyjny produkt, który monitoruje przychodzący i wychodzący ruch sieciowy. Został on zaprojektowany do wykrywania i blokowania ataków ukierunkowanych. SWG wykorzystuje teraz opatentowaną przez Symantec technologię Insight do automatycznego wykrywania plików o „złej reputacji” zanim dotrą do użytkowników końcowych. Insight w sposób anonimowy analizuje postępowanie z plikami setek milionów użytkowników produktów Symantec, przyporządkowując na tej podstawie klasyfikację bezpieczeństwa każdemu plikowi z oprogramowaniem. Proces ten polega na sprawdzeniu, jakie oprogramowanie cieszy się powszechnym zaufaniem użytkowników na całym świecie, a jakie jest unikane lub nie było nigdy dotąd instalowane. Hakerzy przy atakach ukierunkowanych używają zmienionego i zaprojektowanego od podstaw szkodliwego oprogramowania by uniknąć wykrycia pliku przez silniki antywirusowe, rozwiązania oparte na heurystyce oraz emulatory i systemy Virtual Execution (VX). Technologie takie jak Insight to jak na razie jedyne znane sposoby wykrywania i blokowania tego typu ataków.
Unikalne rozwiązania do ochrony punktów końcowych
By chronić komputery PC oraz laptopy przed atakami ukierunkowanymi, oprogramowanie Symantec Endpoint Protection wyposażono w technologie takie jak Network Threat Protection, Insight i SONAR. Network Threat Protection analizuje przychodzące z sieci dane zanim zostaną przetworzone przez komputer użytkownika, dzięki czemu program może zablokować pochodzący z sieci atak ukierunkowany zanim zetknie się z nim użytkownik lub podatne oprogramowanie zainstalowane na maszynie w firmowej sieci. Technologia Symantec Insight automatycznie blokuje przychodzące pliki o niskiej reputacji (jest to domyślnie zdefiniowana polityka w tym produkcie), a SONAR samoczynnie analizuje zachowanie pracującego oprogramowania na chronionych punktach końcowych w czasie rzeczywistym w celu zidentyfikowania oprogramowania zachowującego się jak atak ukierunkowany. W ubiegłym roku te trzy prewencyjne, niepolegające na sygnaturach technologie, zatrzymały ponad 50% wszystkich zagrożeń zablokowanych przez rozwiązania Symantec.
Rozwiązania zabezpieczające wirtualne i fizyczne centra przetwarzania danych
Symantec oferuje również ochronę kluczowych zasobów i informacji znajdujących się w centrach przetwarzania danych. Symantec Critical System Protection (CSP) to rozwiązanie służące do uszczelniania serwerów w celu zabezpieczenia infrastruktury fizycznej i wirtualnej. CSP może zostać skonfigurowany w ten sposób, że dopuszczać będzie na serwerze jedynie znane, potwierdzone wcześniej zachowania, a blokować całą pozostałą aktywność (anomalie). Jeśli bezpieczeństwo na serwerze zostanie naruszone przez atak ukierunkowany, będzie on musiał (z definicji) podjąć nietypowe zachowanie w celu pozyskania poufnych danych z maszyny lub z innego miejsca w centrum przetwarzania danych. CSP automatycznie wykryje i zablokuje te odstępstwa od normy, blokując tym samym atak. Jedynie zaakceptowane wcześniej oprogramowanie może działać na serwerze, przy czym może pracować jedynie w zatwierdzony wcześniej sposób, uzyskiwać dostęp do zdefiniowanych wcześniej danych itd.
autor: Stephen Trilling/Symantec