Advanced Endpoint Security

WSTĘP
Współczesne zagrożenia stacji roboczych użytkowników oparte są na dwóch
wektorach. Pierwszym z nich jest malware – czyli pliki wykonywalne realizujące
złośliwy kod. Drugim natomiast są exploit’y, czyli pliki i dokumenty wykorzystujące
podatność aplikacji (m.in. Microsoft Office, Adobe Reader), które je uruchamia.
Cyberprzestępcy korzystają z obu wektorów indywidualnie lub w pewnej kombinacji
przy realizacji złożonych ataków.
Exploit:




Wykorzystuje podatność (lukę) w aplikacji.
Posiada przygotowane instrukcje wykonywane przez legitymowaną aplikację.
Oszukuje aplikacje celem wykonania własnego kodu.
Ma przeważnie mały rozmiar pliku (mniej niż 1MB).
Malware:




To złośliwy kod w postaci pliku wykonywalnego.
Nie wykorzystuje żadnej ze znanych podatności aplikacji.
Jego głównym zadaniem jest przejęcie kontroli nad zainfekowanym komputerem.
Ma przeważnie duży rozmiar pliku (do kilku MB).
Obecnie skuteczna ochrona stacji roboczych powinna zapewniać bezpieczeństwo
przeciwko obu wspomnianym wektorom, chronić przed zarówno znanymi jak i
nieznanymi zagrożeniami niezależnie od fizycznej lokalizacji stacji użytkownika.
CYKL ŻYCIA ATAKU
Obserwując i analizując raporty z przeprowadzanych w ostatnich czasach atakach
można zauważyć ich elementy wspólne. Każdy z nich posiadał swój „cykl życia”, czyli
chronologiczne akcje i incydenty, które miały miejsce od rozpoczęcia kampanii
cyberprzestępczej przez przełamanie zabezpieczeń i skompromitowanie stacji
roboczej.
Każdy skuteczny atak rozpoczyna się od fazy „Rekonesansu”, podczas którego
hakerzy zbierają istotne informacje o organizacji, która ma paść ich celem.
Wykorzystywane są do tego liczne narzędzia i portale.
W pierwszej kolejności sporej dawki danych o firmie i jej strukturze mogą dostarczyć
media społecznościowe. Świetnie do tych celów spisuje się LinkedIn, który nie tylko
daje pogląd na strukturę organizacyjną firmy, jej pracowników oraz ich adresy mailowe,
ale wiele więcej niż można się spodziewać. To właśnie LinkedIn najczęściej jest
podstawowym źródłem informacji na temat tego jakie rozwiązania systemowe i
produkty bezpieczeństwa są w ramach infrastruktury stosowane. Skąd to się bierze?
Źródła są dwa:


Ogłoszenia o prace na stanowiska techniczne, informatyczne, w których „wspomniane”, jako wymaganie,
są znajomość rozwiązań pewnych producentów oraz przykładowo znajomości pakietu Windows Server.
Konta inżynierów bezpieczeństwa, na których upublicznione są odbyte przez nich szkolenia oraz
certyfikaty branżowe pewnych rozwiązań.
Oprócz tego stosowane są również zaawansowane narzędzia, takie jak skanery
sieciowe i skanery podatności, które potrafią dostarczyć bardziej szczegółowych
danych odnośnie konfiguracji poszczególnych rozwiązań. Następnie tak zebrane
informacje wykorzystywane są po to, by możliwie najlepiej doszlifować scenariusz
ataku, tak by ominąć lub złamać wdrożone systemy bezpieczeństwa.
Po zrealizowaniu pierwszego kroku dalej atak przebiega według powyższego „cyklu
życia”:
1. Zebranie informacji (rekonesans) – znalezienie ofiary ataku.
2. Wprowadzenie exploit’a – w tym punkcie cyberprzestępcy przygotowują
odpowiednią kampanie mailingową specjalnie dostosowaną do zainteresowań
lub profilu działalności ofiary. Exploit wprowadzony jest najczęściej za pomocą
załącznika zawierającego dokument (np. Microsoft Word) niewielkich
rozmiarów lub poprzez link do skompromitowanego serwera www. Po
uruchomieniu takiego dokumentu wykorzystywana jest podatność aplikacji i w
efekcie wykonywany jest fragment złośliwym instrukcji, które najczęściej mają
na celu pobranie pliku z malware’m.
3. Wykonanie malware’u – w następnym kroku wykonywany jest złośliwy kod,
który może na przykład zaszyfrować dyski twarde, rozprzestrzenić się po całej
domenie broadcast’owej lub nawiązać połączenie zwrotne do atakujących.
4. Kanał kontroli – w tym punkcie nawiązywane jest połączenie zwrotne z
zainfekowanego komputera do serwera Command&Control. Połączenie
najczęściej dochodzi do skutku, gdyż jest realizowane za pomocą przeważnie
otwartych na firewall’u portach (TCP 80 i 443). W efekcie cyberprzestępcy
zestawiają szyfrowany kanał kontroli, dzięki któremu przejmują w pełni kontrolę
nad zainfekowaną maszyną.
5. Kradzież danych.
PALO ALTO TRAPS
Rozwiązanie Traps od firmy Palo Alto Networks jest to zaawansowany system
zabezpieczeń dla komputerów roboczych oraz serwerów. Realizuje ono ochronę w
innowacyjny sposób oraz potrafi zabezpieczyć organizacje przed wektorami ataku w
postaci Exploit i Malware jednocześnie nie obciążając mocno stacji użytkowników.
ANTY-EXPLOIT
Exploit dostarczony jest w postaci na pozór normalnie wyglądającego pliku
odtwarzanego przez oprogramowanie zaufanych dostawców (jak np. Microsoft,
Adobre, Oracle). Po uruchomieniu takiego pliku wbudowany w niego złośliwy kod
wykorzystuje (znaną lub
nieznaną)
podatność
danej aplikacji. Powodów
występowania
takowej
podatności może być
wiele, może to być
nieodpowiednie
alokowanie
pamięci
systemu operacyjnego lub
zwyczajny błąd programistyczny. Skompromitowana w ten sposób aplikacja jest
zmuszona do wykonywania kodu z instrukcjami zakodowanymi w strukturze pliku z
exploit’em i w tym momencie rozpoczyna się złośliwa aktywność.
Tak specjalnie przygotowany plik jest niemalże niemożliwy do wykrycia przez
klasyczne oprogramowanie antywirusowe, które bazuje na analizie sygnaturowej.
Dzieje się tak, gdyż ten konkretny dokument nie został nigdzie wcześniej
zaobserwowany w związku z tym nie została jeszcze przygotowana odpowiednia
sygnatura opisująca go. Taki rodzaj ataku nosi nazwę „Ataku dnia zerowego” (ZeroDay Attack).
Celem wykorzystania podatności aplikacji stosuje się jedną (lub kombinację kilku)
technik exploit, które mają na celu odpowiednie manipulowanie pracą aplikacji tak, by
ta rozpoczęła wykonywanie złośliwego kodu. Tych technik jest skończona liczba około 20, co jest nieporównywalnie mniejszą wartością niż liczba możliwości
kombinacji i ewolucji malware’u.
Traps dzięki swojemu unikatowemu i nowatorskiemu podejściu potrafi skutecznie
zablokować i ochronić przed exploit’ami. Rozwiązanie nie porównuje uruchamianego
pliku z zestawem wielu milionów znanych próbek, a skupia się na zidentyfikowaniu
wykonania technik exploit. Dzięki skutecznemu zablokowaniu technik Traps
skutecznie chroni organizacje przed nieznanymi atakami.
Ochrona realizowana jest w oparciu o zdefiniowaną politykę bezpieczeństwa. W skład
polityki wchodzą:




Procesy monitorowanych i chronionych aplikacji (np. Microsoft Word, Microsoft PowerPoint, Microsoft
Excel, Adobe Reader, Adobe Flash Player, 7Zip, itp.).
Monitorowane techniki exploit (np. Heap Spray, CPL Protection, DLL Hijacking, Library Preallocation, itp.).
Użytkownicy, komputery i serwery, dla których dana reguła ma być egzekwowana.
Zdefiniowana akcja – blokada, notyfikacja, powiadomienie użytkownika.
Przed uruchomieniem danego chronionego procesu Agent Traps wstrzykuje do niech
swoje własne sterowniki w postaci DLL. Są one odpowiedzialne za śledzenie operacji
wykonywanych przez proces. W sytuacji wykrycia techniki exploit podejmowana jest
akcja zgodna z polityką, a sam proces może zostać zatrzymany.
Takie podejście zapewnia, że złośliwy kod nie zostanie wykonany. Traps zablokowało
technikę exploit, której celem było wykorzystanie podatności aplikacji.
ANTI-MALWARE
Oprócz zaawansowanego silnika ochrony przed zagrożeniami typu Exploit
rozwiązanie Traps posiada zestaw funkcjonalności zabezpieczających stację przed
złośliwym oprogramowaniem.
W skład polityki Anti-Malware wchodzi zestaw reguł, których celem jest
minimalizowanie ryzyka zainfekowania stacji przez nałożenie zestawu restrykcji,
możliwość analizy za pomocą WildFire oraz statyczna analiza plików wykonywalnych.
Szczegółowy opis każdej z warstw zabezpieczeń znajduje się poniżej:

Statyczna analiza przez uczenie maszynowe – zapewnia identyfikację nieznanego pliku ze złośliwym
oprogramowaniem nim ten zostanie faktycznie uruchomiony. Moduł ten wykrywa i blokuje malware
poprzez analizę kilkuset atrybutów pliku wykonywalnego. Silnik bazuje na inteligencji uczenia
maszynowego, zaimplementowanego pierwotnie w Palo Alto Networks WildFire, dzięki czemu jest stale
trenowany podwyższając w ten sposób poziom bezpieczeństwa. Istotne jest, że nie bazuje on na analizie
sygnaturowej, skanowaniu oraz analizie behawioralnej.



WildFire – umożliwia wysyłanie plików wykonywalnych do analizy przez rozwiązanie klasy SandBox.
Dzięki integracji Traps z WildFire otrzymywana jest dodatkowa warstwa zabezpieczeń – nieznane pliki są
wysyłane do chmury celem inspekcji i uruchomienia ich w odizolowanym środowisku. Chmura monitoruje
wszystkie aktywności wykonane przez obserwowany plik i na ich podstawie silnik decyzyjny zwraca
werdykt z informacją, czy dany plik jest złośliwy, czy też nie. Integracja zapewnia również dostęp do
globalnej bazy skrótów plików z malware’m.
Zaufani dostawcy – nowy moduł w polityce Anty-Malware odpowiadający za zezwolenie na uruchomienie
jedynie tych plików EXE podpisanych przez zaufanych dostawców (np. Microsoft, Oracle, Palo Alto
Networks, IBM).
Restrykcje – moduł odpowiedzialny za obniżenie ryzyka infekcji przez złośliwe oprogramowanie. Reguły
restrykcji mogą uniemożliwić uruchomienie plików EXE ze wskazanych katalogów (lub urządzeń
zewnętrznych, jak np. USB) lub też między innymi zablokować generowanie procesów potomnych
wskazanym aplikacjom.
W połączeniu z modułem ochrony przed zagrożeniami typu Exploit rozwiązanie Traps
stanowi kompletny system zabezpieczający stacje robocze użytkowników.
Całość polityki Anti-Malware zapewnia wielowarstwową ochronę przed złośliwym
oprogramowaniem stosując wiele modeli ochrony. Traps gwarantuje dzięki temu
bezpieczeństwo stacji niezależnie, czy znajduje się ona wewnątrz sieci organizacyjnej,
czy poza nią.
ARCHITEKTURA SYSTEMU
Rozwiązanie Traps firmy Palo Alto składa się z kilku komponentów. Należą do nich:



Endpoint Security Manager (ESM) Console –
centralna konsola zarządzająca środowiskiem
bezpieczeństwem Traps dostępna przez
przeglądarkę. Uruchamiana jest jako rola IIS
na systemie operacyjnym Microsoft Windows
Server 2008 R2 (lub wyższym). Umożliwia
zarządzanie incydentami bezpieczeństwa,
monitorowanie zdrowia stacji roboczych oraz
konfigurację polityki bezpieczeństwa.
Endpoint Security Manager (ESM) Server –
komponent odpowiedzialny za połączenie z
agentami Traps zainstalowanymi na
zabezpieczonych komputerach i serwerach.
Odpowiada również za komunikację z chmurą
WildFire.
Baza danych – miejsce, gdzie składowane są wszystkie informacji dotyczące Palo Alto Traps, w tym:
polityka bezpieczeństwa i historia incydentów na stacjach roboczych. Uruchamiana jest jako baza na
platformie Microsoft SQL (począwszy od SQL Server Express).
Całość rozwiązania może pracować w architekturze rozproszonej, w której każdy z
komponentów zainstalowany jest na osobnym serwerze. Komunikacja między
elementami Traps może być szyfrowana protokołem SSL przez co zapewnione jest
bezpieczeństwo, poufność i integralność przesyłanych danych. Takie podejście bardzo
dobrze sprawdza się w środowiskach dużych i rozproszonych oraz zapewnia wysoką
skalowalność rozwiązania.
Istnieje również możliwości instalacji Traps w architekturze scentralizowanej (All-inOne), w której wszystkie wymienionych ról realizuje jeden serwer. Jest to
rekomendowana konfiguracja dla małych i średnich przedsiębiorstw o
scentralizowanej strukturze sieciowej.
Oprócz serwerów ESM na architekturę Traps składają się również agenci instalowani
na komputerach użytkowników i serwerach. Samo oprogramowanie agenckie jest
lekkie przez co system nie jest dodatkowo obciążony. Agent odpowiedzialny jest za
egzekwowanie skonfigurowanych polityk bezpieczeństwa oraz komunikowanie się z
ESM Server. Połączenie na linii Traps Agent i ESM Server również może być
szyfrowane protokołem SSL.
WSPIERANE SYSTEMY
W obecnej wersji Palo Alto Traps posiada pełne wsparcie dla zestawionych poniżej
systemów operacyjnych:













Windows XP (32-bit, SP3 lub nowszy)
Windows 7 (32-bit, 64-bit, RTM i SP1, wszystkie wersje z wyjątkiem Home)
Windows 8 (32-bit, 64-bit)
Windows 8.1 (32-bit, 64-bit)
Windows Embedded 8.1 Pro
Windows 10 Pro (32-bit, 64-bit)
Windows 10 Enterprise LTSB
Windows Server 2003 (32-bit, SP2 lub nowszy)
Windows Server 2003 R2 (32-bit, SP2 lub nowszy)
Windows Server 2008 (32-bit, 64-bit)
Windows Server 2012 (wszystkie wersje)
Windows Server 2012 R2 (wszystkie wersje)
Windows Vista (32-bit, 64-bit, i SP2)
Istotne jest podkreślenie, że sam agent rozwiązania Traps obciąża stację roboczą w
bardzo niskim stopniu. Dzieje się tak, gdyż samo oprogramowanie nie wykonuje
proaktywnego skanowania silnie wykorzystującego zasoby systemu. Średnie
obciążenie maszyny to zaledwie:


Około 30MB RAM
0,2% CPU
Opracowano na podstawie oficjalnych materiałów producenta.