Většina současných útoků je buď přímo cílená na koncové stanice, nebo je alespoň využívá jako vstupní bod k dalším systémům v interní síti. Časem přitom hrozby prošly výraznou proměnou.
Ještě relativně nedávno bylo primárním cílem útočníka dokázat si svou dominanci a ukázat, že je lepší než obránci. V této době byly populární útoky typu defacement, kdy útočník změnil webovou stránku napadené organizace.
Postupně útoky začaly směřovat k obohacení útočníka. Tento vývoj úzce souvisí s rozvojem kryptoměn, díky kterému nastala situace, v níž je velmi jednoduché a anonymní převést data na skutečné peníze.
Není tajemstvím, že kromě útoků individuálních skupin buduje velké množství zemí v rámci své armády týmy hackerů, kteří mají v případě vojenského konfliktu za úkol poškodit protistranu.
Kromě případů, kdy útočí určitá organizovaná skupina, je na vzestupu také oblast označovaná jako threat-as-a-service. Tato „služba“ nabízí pronájem nástrojů určených k útokům včetně zero-day exploitů, takže si kdokoliv i bez jakékoliv znalosti technického pozadí může objednat útok na konkrétní cíl.
I přestože téměř všechny koncové stanice i servery jsou v dnešní době opatřené antivirovou ochranou, útoků na ně přibývá a tyto útoky jsou čím dál tím úspěšnější. Hlavním důvodem tohoto stavu je fakt, že klasické antivirové programy jsou založené na skenování souborů za použitím signatur, což je metoda, která se využívá už od 80. let 20. století.
Signatura je regulární výraz, který umožňuje prohlásit určitou část kódu programu za škodlivou. Aby k tomu však došlo, musí vzorek kontrolovaného kódu přesně odpovídat danému regulárnímu výrazu. Pokud je v něm sebemenší odchylka, daná signatura kód prohlásí za neškodný a dále se jím nezabývá.
Z toho vyplývá, že antivir může zastavit škodlivý kód, který je již nějakou dobu známý, ale jakýkoliv nový malware ponechá bez povšimnutí. Standardní antiviroví výrobci postupem času přidávají do svých produktů sofistikovanější detekční mechanismy, než je obyčejná signaturová analýza, ale s tímto řešením jsou několik let pozadu.
Druhým důvodem úspěšnosti útoků je to, že klasické antiviry se zaměřují téměř výhradně na blokování malwaru, a nikoliv exploitů. Exploit tak po svém spuštění a využití zranitelnosti v legálně nainstalovaném programu získá plný přístup k postiženému počítači a sérií zdánlivě standardních operací jej zpřístupní útočníkovi.
Plnohodnotnou náhradou antiviru jsou produkty označované jako Advanced Endpoint Protection (AEP). I mezi těmito produkty je však nutné vybrat ten, který dané organizaci bude nejlépe vyhovovat a přinese nejvyšší stupeň ochrany za přiměřenou cenu.
Základní parametry AEP
1. Zaměření na prevenci
Ochrana koncových stanic se v posledních letech vyvíjela, nicméně směr, kterým tento vývoj probíhal, se nezdá být zcela šťastným. K běžným antivirům se přidává řešení EDR (Endpoint Detection and Response), nicméně již samotný název o mnohém vypovídá.
EDR totiž umožní získat důležité detailní informace o tom, jakým způsobem se útok na postiženou stanici uskutečnil, a na základě toho na něj lze reagovat. Dnešní útoky ale už nedávají příliš času na reakci. Velká většina útoků na koncové stanice probíhá v řádu minut a v tu chvíli musí ochrana koncové stanice reagovat okamžitě.
Jediným řešením je tak zastavení útoku v okamžiku, kdy k němu dochází. Získání dat pro forenzní analýzu by mělo následovat, nicméně prevence je to, o co by mělo jít především.
2. Ochrana před známým i neznámým malwarem
Systém pro ochranu koncových stanic musí být schopen ochránit jak před škodlivým softwarem, který je již nějakou dobu známý, tak před tím, který vznikl před několika minutami. Vzhledem k tomu, jak jednoduché je vytvořit nový škodlivý kód, který není zachytitelný žádnou existující signaturou, nabývá ochrana před neznámými hrozbami na významu.
K tomu, aby bylo možné analyzovat neznámý škodlivý kód, je třeba několika metod, které musí být výrazně pokročilejší než tradiční přístup vyhledávající hrozby na základě signatur.
Takovou metodou je například statická analýza využívající strojové učení na základě obrovského množství známých škodlivých vzorků. Další je pak využití heuristických pravidel, která definují nestandardní chování – typicky spuštění příkazové řádky nebo PowerShell skriptu z dokumentu MS Office.
Poslední a nejnáročnější metodou je dynamická analýza, kdy dojde ke spuštění programu v testovacím prostředí, které je schopné detailně analyzovat chování programu a na základě definovaných ukazatelů zařadit daný program mezi škodlivé, nebo naopak mezi neškodné vzorky.
Dynamická analýza zpravidla probíhá ve virtuálním prostředí. Pokročilé typy škodlivého kódu zpravidla ověřují, jestli neběží ve virtuálním prostředí, a pokud ano, neprovedou svou škodlivou část. Je tedy zcela nezbytné dělat dynamickou analýzu ve speciálních virtualizačních prostředích, která nejsou tvůrcům malwaru běžně dostupná, nebo přímo na fyzických strojích.
3. Ochrana před známými i neznámými exploity
Ještě důležitější než ochrana před malwarem se jeví ochrana proti exploitům, kterou výrobci klasických antivirových řešení obvykle značně podceňují. Vzhledem k množství zveřejňovaných zranitelností a ke zranitelnostem, jež jsou zatím neznámé či neveřejné, se hrozby typu exploit objevují čím dál tím častěji, zejména v rámci cílených a pokročilých útoků.
U těchto hrozeb bohužel ochrana pomocí signatur selhává téměř vždy. Jedinou fungující ochranou proti exploitům je sledování spuštěného procesu a jeho práce s pamětí. Jakmile sledovaný proces vykoná akci, která může vést k napadení operačního systému, je okamžitě zastaven.
Ochranou proti exploitům tohoto typu už se pyšní i některé z klasických antivirů, nicméně je nezbytné zhodnotit, kolik typů škodlivých akcí dokáže daný produkt rozpoznat.
4. Neustálá ochrana
Některé systémy ochrany spolehlivě pracují pouze ve chvíli, kdy jsou připojené k interním serverům nebo k internetu. Takový způsob ochrany je však nedostatečný – počítač se musí chránit za všech okolností, tedy i v případě, že je kompletně síťově nedostupný a uživatel na něm použije nakažený USB disk.
5. Podpora izolovaných stanic
Množství stanic v produkčním, zejména pak v průmyslovém prostředí obsahuje již nepodporované operační systémy (typicky Windows XP) nebo jejich operační systémy nejsou updatované, aby nedošlo k ovlivnění provozu.
Tyto počítače jsou zpravidla kritické pro řízení výroby a je nezbytně nutné je chránit. Pokročilá ochrana koncových stanic by proto měla na taková koncová zařízení pamatovat a umožnit jejich bezpečné provozování.
6. Podpora široké škály operačních systémů
Koncovou stanicí nemusejí být z pohledu ochrany pouze osobní počítač či mobilní zařízení. Neméně důležité je pamatovat na ochranu serverové infrastruktury, terminálových a VDI služeb, a to včetně non-Windows operačních systémů.
Podporované by měly být jistě všechny v produkci používané desktopové i serverové verze systému Microsoft Windows (minimálně od Windows XP a Windows Server 2003), dále MacOS, serverové a komerční verze Linux, a také běžně používané virtualizační platformy pro VDI (od firem Microsoft, VMware či Citrix). Zajímavým doplňkem může být i ochrana mobilních zařízení.
7. Vliv na výkon koncové stanice
Klasické antivirové programy zpravidla skenují disky koncového systému za pomoci obrovských signaturových databází. To může mít výrazný vliv na výkon stanice zejména v případě, kdy jde o málo výkonné počítače určené pro jednu specifickou činnost.
Důležité tak je, aby nástroj pro ochranu stanic nevyužíval nadměrné výkonové prostředky. Primární je zkontrolovat spouštěné procesy, které představují reálnou hrozbu. Samotné skenování se pak může uskutečnit jednou za čas, aby byly splněny požadavky vycházející z právních norem.
8. Soulad s auditními a právními požadavky
Požadavky bezpečnostního auditu zpravidla obsahují povinnost instalace antivirového systému na koncové stanici. Ne všechny nové systémy pro ochranu koncových stanic jsou ale certifikované jako plnohodnotná náhrada antiviru.
Je tak třeba jednak ověřit, jestli daný systém požadavky splňuje, a jednak posoudit, zda systém přináší i něco navíc, například díky němu společnost vyhoví dalším normám typu GDPR, PCI DSS apod.
Co ohrožuje firemní počítače?
Koncové stanice jsou v dnešní době ohrožené zejména dvěma základními typy škodlivého kódu – malwarem a exploity.
Malware je spustitelný soubor, který ve svém kódu obsahuje instrukce k provedení škodlivé aktivity na koncovém systému.
Pod pojmem spustitelný soubor se většině lidí vybaví soubor s příponou .exe, nicméně existují další spustitelné soubory – v prostředí MS Windows to mohou být například soubory .scr (screensaver), .cpl (control panel), makro v dokumentech MS Office a mnohé další. Všechny z nich mohou obsahovat škodlivý kód, který po spuštění udělá nežádoucí operaci.
Záludnější variantou škodlivého kódu je exploit. Pro své spuštění a vykonání škodlivé akce využívá legálně nainstalovaný program, který se na koncové stanici již nachází a obsahuje tzv. zranitelnost.
Exploit bývá typicky součástí běžného dokumentu, jenž obsahuje data zneužívající příslušnou zranitelnost. To exploitu umožní vykonat akci, která by běžně nebyla povolená, např. stažení PowerShell skriptu a jeho spuštění pod systémovým účtem operačního systému.
Současné nejčastěji se vyskytující typy útoků
Ransomware – je program, který zašifruje data na všech discích připojených k postiženému počítači. Pro obnovení zakódovaných údajů je potřeba zaplatit výkupné.
DoxWare – jde o pokročilejší formu ransomwaru, kdy opět dojde k zašifrování dat, ale zároveň útočník vybrané citlivé údaje z počítače stáhne.
Pod výhrůžkou zveřejnění těchto citlivých dat pak zločinec získá lepší vyjednávací pozici pro získání výkupného. V souvislosti s GDPR se tento útok stává noční můrou správců dat.
Crypto-curency miner – je program, který je rozdistribuován mezi velké množství nic netušících uživatelů internetu. Po svém spuštění využívá bez vědomí uživatele výkon jeho počítače k těžbě kryptoměn.
Spyware – jde o program, který získává informace o zasaženém uživateli. Může odchytávat klávesnici, nahrávat zvuk mikrofonu či video z kamery v notebooku, pořizovat snímky obrazovky či získávat soubory z postiženého počítače. Všechna tato data jsou následně zpřístupněna útočníkovi.
Pokročilé cílené útoky (APT) – jsou dlouhodobě připravované útoky s jasným cílem, které se snaží po sobě nezanechat stopy. Typickým cílem bývá poškození konkurence, případně státu. Proti těmto útokům zpravidla neexistuje jednorázová ochrana a pro jejich odhalení i zastavení je třeba disponovat řadou bezpečnostních nástrojů, které vzájemně spolupracují.
Autor pracuje jako security architect ve společnosti H-Square ICT Solutions.
Tento příspěvek vyšel v Securityworldu 2/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU