facebook LinkedIN LinkedIN - follow
IT SYSTEMS 11/2011 , IT Security

Pokročilí útočníci ve vaší síti?

Odhalte je pomocí detekce chování



Velkou většinu úspěšných průniků do počítačových systémů, které byly odhaleny v poslední době, spojuje několik základních charakteristik. Zpráva Shady Rat, která popisuje skupinu z řady systematických průniků do sítí desítek podniků a institucí po celém světě, jasně ukazuje, že pokročilí útočníci jsou schopni systematicky pronikat do cílových organizací, dlouhodobě tam působit bez odhalení a získávat značné množství strategických dat.


Techniky útočníků

Malware připravený na míru konkrétnímu zákazníkovy (a obvykle i otestovaný jako nedetekovatelný proti aktuálním verzím antivirů) je základní technikou, která v podstatě činí antivirové produkty a produkty založené na detekci škodlivého obsahu neúčinnými. Hodnota antivirových nástrojů a kontroly obsahu je dnes primárně ve snížení počtu hrozeb, které do sítě společnosti proniknou, ale sama o sobě neposkytuje potřebné záruky bezpečnosti. Útočníci jsou navíc ve většině případů schopni obejít ochranu perimetru pomocí infekce přenášené na záznamových médiích.
Jakmile se infekce zdaří a malware je ukryt na cílovém systému, začne shromažďovat informace a připravovat se k navázání spojení s řídicím uzlem mimo síť. Toto spojení může mít různou formu – od HTTP požadavků na „reklamní“ servery přes použití instant messaging programů nebo protokolů či peer-to-peer sítí až po sofistikované techniky, kdy se zprávy útočníka přidávají k přirozené komunikaci tak, aby nebudily pozornost. Rostoucí riziko představuje i šifrovaná komunikace po DNS protokolu, který je málokdy filtrován či omezován.
Dalším zajímavým faktorem je rostoucí promyšlenost a plánovanost útoků. Použití technik sociálního inženýrství je dnes standardem. Útočníci zpravidla zprvu identifikují cílovou osobu na základě znalosti cílové informace a organizační struktury. Poté útočí přímo na tuto osobu nebo na známé prostředníky či IT prostředky, které zajistí infekci cíle. Toto přesné cílení víceméně eliminuje potřebu náhodného prohledávání cílové sítě a dalších vyhledávacích technik, které zvyšují riziko odhalení útočníka.
Z výše uvedeného vyplývá, že odhalení útoků jako takových není jednoduché, což potvrzuje i zkušenost mnoha napadených podniků. Jak uvedl Gavin Reid z CSIRT týmu společnosti Cisco v nedávné analýze: „Pokud máte ve své síti zajímavé informace a nevidíte pokročilé útoky, neznamená to, že jste v bezpečí. Je mnohem pravděpodobnější, že se musíte zamyslet nad vaší schopností tyto útoky detekovat.“

Behaviorální detekce pokročilých útočníků

Jednou z mála technik, které jsou pro detekci pokročilých hrozeb účinné, je behaviorální monitorování sítě: network behaviour analysis (NBA). Produkty z této třídy systémů jsou zpravidla založeny na analýze statistik síťového provozu, které jsou dostupné ze síťových prvků ve formátech NetFlow, sFlow či IPFIX. Jejich výhodou je zejména jednoduchost nasazení vzhledem ke standardnímu formátu vstupů, rychlost zpracování i vysoká úroveň abstrakce, která uživatele chrání před běžně používanými metodami pro zamezení detekce útoků, jako je například polymorfismus: dynamická změna kódu malwaru.
Na druhou stranu, omezení na analýzu statistické informace ztěžuje přesnou klasifikaci incidentu (například určení konkrétního viru či malware) a může v obecném případě snižovat citlivost. Rovněž samotná detekce malware je netriviální. Přímé hledání konkrétních vzorků na principu antiviru je přirozeně vyloučeno. Jak tedy mohou NBA systémy fungovat?

Základním předpokladem pro úspěšnou obranu proti pokročilým útokům je zajištění maximální viditelnosti síťového provozu jako celku. NBA tento předpoklad pomáhá naplnit a je často používáno k ověření, že komunikace v síti probíhá dle očekávání a je v souladu s nastavením síťových prvků.

Přístupy k NBA

Nejjednodušším způsobem detekce útoků je využití jednoduchých pravidel, která jsou definována tak, aby popsala vybrané případy jak legitimního, tak i nebezpečného chování. Pravidla mohou být obecná, tzn. nezávislá na konkrétní síti, nebo specifická, popisující konkrétní činnosti či stroje v síti. Pravidla mohou být rozšířena až na úroveň profilů chování, kdy jsou jednotlivé stroje v síti manuálně či poloautomaticky zařazeny do tříd (stanice, DNS server, databázový server, ...). Takto specifikovaný systém pak hledá odchylky mezi chováním stroje a daným profilem, který je definován kombinací pravidel a modelu založeného na pozorování daného stroje.
Pravidla a profily chování historicky představovaly účinnou ochranu před velkou skupinou nelegitimního chování – útoky wormů, útoky založené na hádání hesla, masivní skenování nebo pokusy o šíření malwaru v rámci sítě. Na druhou stranu je velmi obtížné nadefinovat pravidla tak, aby postihla cílené a profesionálně vykonané akce pokročilých útočníků. Rovněž tak údržba pravidel zatěžuje IT oddělení při provádění změn v síti, instalaci nového softwaru a v některých případech pravidla i obtížně postihují přidávání nových stanic či dynamickou změnu IP adresy.
Globální informační fůze je doplněním pravidel o komponentu založenou na externích informacích. Využití blacklistů, tzn. celosvětových seznamů nebezpečných stanic, umožňuje identifikaci spojení na tyto stanice a případnou následnou detekci infekce uvnitř sítě. Bohužel, tento druh detekce je spíše doplňkový. Blacklisty poskytují přinejlepším částečnou informaci o infekcích a činí jim problémy pracovat v situacích s překlady a sdílením adres. Většina pokročilých útočníků navíc využívá k útokům na daného klienta jen jeden cizí stroj, aby se blacklistům zcela vyhnula.
Konceptuálně nejnovějším přístupem k NBA je využití technik detekce anomálií, kdy NBA systém využívá jednoho či několika modelů založených na statistických přístupech pro předpověď budoucího chování sítě na základě dat pozorovaných v minulosti. Odchýlí-li se reálné pozorování od předpovídaného, vzniká podezření na existenci útoku. Problémem detekce anomálií je nepředvídatelnost chování jednotlivců, která může v případě nevhodně navrženého systému zavalit obsluhu falešnými poplachy. Pro úspěšné nasazení je nutné výsledky detekce anomálií dále upravovat, kombinovat a čistit. Vzhledem k náročnosti vývoje jsou systémy založené na detekci anomálií relativně vzácné, ačkoliv dávají uživatelům nejlepší šanci pro odhalení pokročilého malwaru. Rovněž tak i jejich nasazení je většinou finančně výhodnější, protože není třeba ručně nastavovat pravidla či profily jednotlivých strojů.

Eskalace

Stejně jako se antiviry a IDS/IPS systémy staly obětí pokročilejších metod útoku, mohou se útočníci zaměřit i na obcházení NBA systémů. Lze očekávat, že stane-li se nasazení NBA častějším, začnou útočníci mapovat běžná pravidla a profily tak, aby se vyhnuli detekci. Začnou rovněž modifikovat chování malwaru tak, aby bylo méně rovnoměrné a obtížněji popsatelné. To v budoucnosti zvýší význam systémů založených na detekci anomálií statistickými metodami, které jsou z principu odolnější a mohou být zesíleny nasazením technik z oblasti teorie her a dynamického rozhodování.

Michal Drozd
Autor působí ve společnosti AEC a na Fakultě informatiky VUT v Brně.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.