Bojíte se ransomwaru? Možná už nemusíte...

13. 3. 2017

Sdílet

 Autor: Pavel Louda
Svou klíčovou technologii Intercept X pro boj s ransomwarem a pokročilými hrozbami představila v Praze v rámci své evropské roadshow firma Sophos. Prezentaci podpořila nejen praktickými ukázkami toho, jak celé řešení funguje, ale i místem prezentace, kterým byl futuristický kamion, jenž budil zájem širokého okolí.

Vraťme se však k bezpečnostním technologiím. Ransomware je v současnosti hrozbou, které se bojí firmy i domácnosti -- stačí jen chvíle a soubory jsou zašifrované. Zaplatit, nebo rezignovat? Přitom stačí málo a k takové situaci by dojít nemuselo, tvrdí Peter Skondro, senior sales engineer ve společnosti Sophos, který výhody řešení Intercept X přítomným vysvětlil.

Intercept X podle něj představuje doplňující ochranu před malwarem, přičemž mimořádně účinný je zvláště v případě ransomwaru, kde tradiční antimalwary obvykle selhávají.

Díky pokročilé detekci exploitových technik totiž dokáže účelně zabránit i mnoha atakům nultého dne a ve spojení s dalšími technologiemi Sophosu tak představuje účinnou hráz pro téměř jakýkoliv typ ataku na firemní pracovní stanice.

Protože Intercept X funguje jako nadstavba klasické ochrany koncových stanic, lze jej kombinovat nejen s dalšími řešeními Sophosu, ale v podstatě s jakýmikoliv systémy ochrany endpointů třetích výrobců a díky minimální zátěži dobře funguje i na starších, méně výkonných počítačích (Intercept X v současnosti podporuje počítače s Windows 7 a novějšími, plánuje se i podpora pro Mac OS).

Peter Skondro, senior sales engineer ve společnosti Sophos, vysvětluje výhody řešení Intercept X.

Peter Skondro, senior sales engineer ve společnosti Sophos, vysvětluje výhody řešení Intercept X.

 

Intercept X podle Skondra zahrnuje čtyři klíčové vrstvy ochrany:

  • Anti-ransomware, který detekuje a eliminuje nevyžádané zašifrování dat a zároveň dokáže obnovit už zakódované soubory,
  • Anti-Exploit, který dokáže zabránit průniku malwaru nultého dne a má minimální dopad na výkonnost celého systému
  • Extended Cleanup (Hloubkové odstranění malwaru), který prostřednictvím forenzní analýzy odstraňuje různé typy hrozeb, aniž by znal nějaké jejich signatury
  • Root cause Analysis (Analýza prvotních příčin), který podrobně analyzuje atak malwaru 

 

Jak účinné je zadržování malwaru?

Malware pro koncové body lze podle Skondra eliminovat hned několika různými metodami. Nejčastěji jde o omezení oblastí, kudy může malware do koncové stanice  pronikat – ať už jde o různé typy filtrování,  nastavení reputace stahovaných souborů apod. Tak lze zamezit průniku až 80 % všeho škodlivého kódu.

Druhou klíčovou metodou je analytika před aktivací malwaru, jako je třeba heuristika – tak lze eliminovat až 10 % malwaru. A pak tu jsou samozřejmě signatury známých řetězců, které zachytí okolo 5 % škodlivého kódu. 

Výše popsané metody se ale týkají  tradičního malwaru. Ten moderní se ale výše zmíněným způsobům detekce dokáže velmi úspěšně vyhnout. I na něj ale lze podle Skondra vyzrát – díky analýze chování či detekce technik exploitů jde eliminovat zbývající 3 %, respektive 2 % nákazy. Přitom právě dvě posledně jmenované metody se v současném světě malwaru jeví jako klíčové.

 

1. Eliminace ransomwaru

Základem ochrany před ransomwarem je technologie CryptoGuard. Ta  totiž dokáže velice efektivně detekovat podezřelé šifrování dat a zastavit jej ještě před tím, než napáchá v koncových stanicích nějaké škody.

CryptoGuard totiž při otevírání libovolného souboru nějakým procesem automaticky vytváří záložní kopii původního souboru a při jeho uzavření a zápisu se tato kopie porovná s nově zapsaným, vysvětluje Skondro. Pokud ale CryptoGuard zjistí nějaké zásadní změny nebo dokonce záměna souborového typu, považuje se soubor za zašifrovaný.

V případě, že se v krátkém časovém úseku taková detekce objeví u více souborů, CryptoGuard považuje počítač za napadený zatím neznámým ransomwarem. Proces, který takové operace na soubory vykonává, se umístí do karantény a zruší se mu právo zapisovat do souborového systému.

Po celou dobu se přitom na obrazovce uživatele ukazuje ekvivalent semaforu ukazující, v jakém stavu se nalézá koncová stanice uživatele (zelená -- vše Ok, žlutá -- něco se děje, červená – pozor, nastaly problémy se zabezpečením). V tuto chvíli se tedy na koncové stanici rozsvítí červené světlo.

Díky předchozím krokům CryptoGuard dokáže znovuobnovit fungování koncové stanice i ransomwarem zašifrované soubory -- ty lze totiž získat z předem vytvořených kopií otevíraných souborů.

Zároveň se pošle příslušný alarm do centrální správy, začnou se sbírat informace potřebné pro  podrobné analyzování nastalé situace a spustí se hloubkové odstraňování malwaru pomocí funkce Sophos Clean, viz níže.

Na konci celého procesu nápravy tak jsou nezašifrované soubory s původním obsahem a obnovený systém bez nákazy – semafor se opět rozsvítí zelenou barvou.

Podobně to funguje i v případě, kdy ransomware je na vzdáleném klientovi, který přistupuje k souborovému serveru – při otevírání souborů se opět vytváří záložní kopie, která se porovnává s nově zapsaným souborem.

Pokud se zjistí nějaké nesrovnalosti, viz výše, CryptoGuard označí vzdáleného klienta za napadeného ransomwarem a zruší mu přístup k souborovému systému. Z kopií se obnoví původní data a centrální správě se zašle odpovídající upozornění.

 

2. Detekce malwaru prostřednictvím technik exploitů

V současnosti existuje celá řada technik exploitů, kterými lze kompromitovat uživatelovu koncovou stanici, tvrdí Skondro. Intercept X podle něj dokáže takové procesy monitorovat a zároveň detekovat pokusy o zneužití exploitů využívajících techniky, jako je například buffer overflow nebo code injection.

Tímto způsobem zamezí zneužití různých zranitelností v nezabezpečených aplikacích nebo v programech, kde se ještě nenainstalovaly odpovídající záplaty.

Celé řešení přitom není postavené na signaturách, takže dokáže eliminovat i neznámá rizika. Svou architekturou také nemá žádný dopad na výkon celého systému.

 

3. Analýza prvotních příčin

Součástí Intercept X je i sofistikovaný systém analýzy prvotních příčin incidentů. Samotné odpojení zasažené pracovní stanice totiž podle Skondra neřekne nic o tom, co přesně se vlastně stalo, jaké systémy či soubory byly incidentem zasažené a jak lze do budoucna tomuto problému zamezit.

Právě na tyto otázky odpovídá zmíněný systém analýzy prvotních příčin. Podrobným zkoumáním totiž identifikuje ovlivněné procesy, klíče registrů, soubory i komunikační kanály, prostřednictvím detailní grafiky ukáže jednotlivé událostí i jejich souvislosti a zjistí prvotní zdroj infekce. Zároveň zjistí, které soubory a systémy byly událostí zasažené a které systémy by se měly nechat vyčistit.  

Systém analýzy prvotních příčin zároveň může poradit, jak se obdobné nákaze příště vyhnout, dodává Skondro.Například které vstupní kanály pro malware je dobré uzavřít či jak efektivně zabránit šíření malwaru uvnitř podnikové sítě.

 

4. Hloubkové odstranění malwaru

Pro pokročilou likvidaci kybernetické nákazy využívá Intercept X nástroj Sophos Clean, což je skener a čistič malwaru, který funguje na vyžádání a pracuje bez potřeby nejakých signatur. Pomocí forenzních metod dokáže zjišťovat známý i neznámý malware, tvrdí Skondro.

Ke své činnosti využívá detekci chování a zároveň cloudové zpravodajství hrozeb. Dokáže také nalézt a vyjmout persistentní škodlivý kód  a případné napadené systémové soubory systému Windows dokáže nahradit originálními verzemi.

 

Propojení s dalšími řešení Sophosu

Intercept X představuje pouze sofistikovanou nadstavbu ke klasické ochraně koncových bodu, takže pro plnou ochranu je nutné propojit jej s dalšími obrannými technologiemi.

Například ve spojení s Sophos Central Endpoint Advanced můžete získat kromě výše popsaných funkcionalit řešení Intercept X také klasickou antimalwarovou ochranu, detekci škodlivého provozu, HIPS, kontrolu webu, aplikací  a dat, filtrování webů v koncových stanicích centrální správu a řadu dalších funkcí, díky nimž uživatelé získají komplexní ochranu koncových bodů, vysvětluje Skondro.

Dalším stupněm je integrace Intercept X s Sophos XG, firewally nové generace (NGFW) a šifrovacím řešením SafeGuard Encryption. Využívá se přitom ekosystém sdílené inteligence Security Heartbeat, kdy se synchronizuje zabezpečení prostřednictvím více řešení v reálném čase, což zlepšuje účinnost ochrany.

Intercept X jako doplněk

Jak Intercept X doplňuje existující řešení ochrany endpointů

(Zdroj: Sophos)

 

Příkladem toho, jak efektivně může taková kombinovaná obrana pracovat, je například situace, kdy  Endpoint Advanced nebo Intercept X zaznamená infekci na koncové stanici, prostřednictvím systému Security Heartbeat dostane tuto zprávu agent SafeGuard Encryption, který okamžitě vymaže z paměti zařízení šifrovací klíče, které by šlo zneužít. Vzápětí Security Heartbeat informuje o kompromitaci stanice příslušný firewall, který ji odpojí od sítě, resp. ji dá do karantény, než se malware odstraní, vysvětluje Skondro.

ICTS24

Sophos takto propojenou obranu označuje jako Synchronized Security. Nahrazuje donedávna používaný koncept, kdy bezpečnostní řešení navzájem koordinovaly svou činnost jen výjimečně a kvůli tomu byly málo účinné proti novým typům hrozeb.

Synchronized Security totiž podle Skondra dokáže nákazu nejen detekovat, ale i zjistí, které systémy byly skutečně zasažené, učinit patřičné kroky pro nápravu a navíc správcům přinést podrobnou analýzu toho, co se ve skutečnosti stalo a jak tomu příště předejít. A to je něco, co bylo donedávna jen snem bezpečnostních manažerů.