Aktuální hrozby v IT

Většinu aktuálních bezpečnostních hrozeb v podnikové infrastruktuře částečně, nebo zcela eliminují běžné detekční mechanismy, jako jsou antivirus, firewall nebo IDPS, a správně nastavené bezpečnostní politiky. Ostatní hrozby, které je obtížné, nebo zcela nemožné běžnými technologiemi detekovat, můžeme rozdělit do následujících tří typů:

Zero-day útoky

Útoky na informační systémy mohou k průniku využívat programové chyby, nedostatky v konfiguraci, nepostačující bezpečnostní politiky apod., které se obecně nazývají zranitelnosti. Zero-day útoky jsou útoky, které spočívají ve využití zranitelností, jež nebyly dosud objeveny, nebo na ně nebyla vydána záplata. Problémy v detekci těchto útoků vychází z faktu, že běžné detekční techniky využívají předem definované signatury, které popisují útok na známé zranitelnosti. Tyto signatury se ale nedají vytvářet v případě, že zranitelnost a ani útok neznáme.

Remote access trojan (RAT)

Většina organizací se brání vůči průnikům do sítě nebo k systémům v DMZ zvenčí, ale zapomínají na útoky, které jsou vedeny zevnitř organizace. Většinou k těmto útokům dochází trojanizací stanice některého zaměstnance (např. návštěvou napadených webových stránek nebo otevřením přílohy podvrženého e-mailu), jenž si do počítače nevědomky nainstaluje malware, který následně komunikuje se serverem (tzv. C&C), a poskytuje tak přístup k citlivým informacím útočníkovi. Jejich detekce je obtížná, jelikož je kód připraven tak, aby vůči němu byly aktuální detekční techniky resistentní. Kombinací zero-day útoků a RAT využívají APT (advance persistant threat) útoky.

Dos / DDoS

Třetím typem útoků jsou útoky, které způsobují odepření napadené služby. Útoky mohou být vedeny na několika úrovních. Může jít o zahlcení spojení či systémových prostředků, dále pak využití systémových nebo aplikačních chyb apod. V důsledku jde útočníkovi vždy o znepřístupnění dané služby jejím uživatelům.

Způsoby obrany

Technické zabezpečení je nutné rozložit do více úrovní. Standardní je rozdělení na síťové řešení a řešení na koncových stanicích (příp. serverech). Během posledních let je patrné, že lokální způsoby detekce nejsou proti moderním útokům zcela efektivní a nově vytvořené útoky jsou schopny reflektovat až po jisté době, kdy jsou vytvořeny vhodné detekční profily. Přestože existují novinky v podobě možnosti virtualizace spouštěných procesů nebo detekce buffer overflow, lze tyto techniky považovat za nedostatečné, jelikož útočník má velký prostor otestovat efektivitu kódu na konkrétní verzi bezpečnostního řešení (antivirus, firewall, HIPS, antispyware atd.). Zaměříme se tedy na síťové technologie, které útočník nemůže tak snadno „obfuskovat“. Jedná se o tzv. síťové IDS nové generace, které nejsou založené na otiscích bite kódu a regulárních výrazech, ale zpracovávají projevy chování, kterými se útoky na síti projevují.

IDS

Primární funkcí IDS je shromažďovat informace o probíhající síťové komunikaci nebo logovaných událostech a následně na základě svých schopností rozhodnout, zda se jedná o legální aktivitu, nebo probíhající útok.

IDS je pasivním zařízením, které pouze monitoruje a detekuje. Jistou variantou IDS je intrusion prevention system (dále IPS). IPS je aktivní zařízení, které na rozdíl od IDS má za cíl nejen útok detekovat, ale také spustit definované protiakce s cílem omezit nebo zastavit detekovaný útok. Jedou z negativních vlastností IDS/IPS je častá přítomnost falešných detekcí, nebo naopak nedetekovaných napadení (tzv. false positives). Hlavním dopadem je opět možnost útočníků upravit metodu vedení útoku tak, aby byl nedetekovatelný. Jako příklady snahy o oklamání detekčních mechanizmů lze uvést:

• obelhání IDS rozprostřením útoku do výrazně delšího časového intervalu,
• úprava formátu útoku,
• distribuce zdrojů útoku do botnet sítě,
• účelová modifikace síťových paketů – úprava kontrolovaných parametrů,
• změna kódování – úprava dat pro IDS nečitelného formátu,
• zapouzdření komunikace,
• zapříčinění DoS IDS, případně kompromitace IDS,
• kombinace těchto metod.

Tyto metody oklamání IDS jsou v mnoha případech zacíleny na konkrétní typ a verzi IDS/IPS.

ADS/NBA

Network behavioral detection (NBA) a anomaly detection systémy (ADS) pracují na podobném principu jako IDS systémy. Pro detekci útoků ale nepoužívají detekční pravidla, nýbrž vnitřní model sítě, který obsahuje popis chování. Na základě rozdílu a anomálií v síti, které se liší od naučeného modelu (jenž se průběžně mění), dokáže NBA detekovat malware na základě jen malých toků či odchylek. Nevýhodou tohoto přístupu je vyšší míra falešných nálezů, z čehož plyne nutnost další manuální analýzy nálezů. Hlavní přínos je v detekci malwaru, který ukrývá svou činnost v běžně používaných protokolech, jako je například HTTP či DNS.

AIPS

Obě varianty, IDS i NBA, opomíjejí možnost exploitace dostupných služeb novými kódy, které v praxi představují vysoké riziko u vyspělých organizací. Tento nedostatek řeší systém AIPS – automatizované zpracování útoků – který využívá tzv. behaviorální signatury k detekci neznámých útoků na základě anomálií a podobnosti s již detekovanými útoky. Systém pracuje obdobně a doplňkově k technologii IDS/IPS detekující napadení v síťovém provozu, která obvykle analyzuje vzorky (signatury) škodlivého kódu. Zásadní rozdíly spočívají ve využití vzorků chování (tzv. behavioral signature) a jejich analýze prostřednictvím umělé inteligence. Pro automatizaci procesu identifikace nežádoucího chování využívá virtualizační prostředky a interaktivní honeypoty (nebo shadow honeypoty) umožňující přesné sledování výpočetních zdrojů (CPU, RAM a síťové rozhraní).

Výhodou analýzy chování oproti obsahu komunikace je schopnost detekce podobných, měnících se (např. polymorfních) typů útoků a malwaru. Přestože může mít tento škodlivý kód jinou binární podobu, jeho projevy v síťové komunikaci zůstávají podobné (v kritických aspektech až shodné). Detekční metody IDS, včetně ADS, jsou založeny na mechanismu porovnání pouze na základě rovnosti či nerovnosti, případně váhového ekvilibria. V případě IDS/IPS se jedná o striktní porovnání binárních dat (kódu). V případě ADS je detekce založena na překročení definovaných statistických hranic a odchylek, například nadlimitním využívání statisticky minoritních služeb. Při využití umělé inteligence u AIPS se příznaky chování transformují do prostorů, ve kterých je možné podobnosti porovnat, výsledkem je míra podobnosti. Na základě těchto podobností se známými projevy škodlivého kódu je možné „naučit“ algoritmy umělé inteligence rozpoznat, že se jedná o neznámý typ útoku, a určit jeho pravděpodobnost.

Systém AIPS je navržen pro detekci a eliminaci sofistikovaných hrozeb, jakými jsou:

• cílené útoky, které jsou připraveny na míru konkrétní oběti, a proto obecně nedetekovatelné běžnými technologiemi,
• útoky zero-day typu buffer overflow, které jsou zaměřeny na neznámé nebo špatně ošetřené zranitelnosti v technologii (aplikaci), pro něž útočníci připravují nové exploity,
• rezistence vůči signaturám, která je cílenou vlastností malwaru diskvalifikujícího aktuální detekční metody,
• APT (advance persistant threat) představující pokročilé, dlouhodobě přetrvávající útoky zneužívající různé nedostatky v systémech organizace,
• DoS a DDoS útoky, které zahlcují síťové prostředky,
• další hrozby běžně detekované systémy IDS/IPS.

Co vlastně chráníme?

V článku jsme představili tři technologie, které se snaží vést obranu vůči pokročilým formám útoků. Závěrem je nutné poznamenat, že žádná detekce není stoprocentní. Náročnost realizace útoku by nikdy neměla překročit jeho přínos, z toho plynou nároky na zabezpečení a s ním vynaložené investice v poměru k ceně chráněných informací. To je základní pravidlo, na které bychom měli brát zřetel při tvorbě architektury bezpečnosti organizace.

Maroš Barabas, Michal Drozd

Autoři pracují na pozicích IT bezpečnostních konzultantů ve společnosti AEC, členu Cleverlance Group. Působí také jako výzkumní pracovníci na Fakultě informačních technologií VUT v Brně a jsou členy skupiny Security@FIT. Příspěvek byl prezentován na konferenci Security 2013.