Több pénz, új eszközök: változó ipar
Az IT biztonsági szakértő vállalat, a FireEye is felismerte, hogy a legújabb támadások ellen újfajta védelmi rétegekre van szükség. Az Informatikai Biztonság Napján az előadások jelentős hányada fókuszált az ismeretlen elleni védekezésre, ennek lehetőségeire. Sikerült interjút készítenünk az eseményen előadást is tartó Yogi Chandiramanival, akivel a fertőzések gócpontjairól, irányairól és a szoftverek sebezhetőségeiről is beszélgettünk.
IT café: Szeptemberi előadásában hangsúlyozta, hogy az IT biztonsági piac új kihívásokkal néz szembe. Azon olvasóink kedvéért, akik nem tudtak részt venni az eseményen, elmesélné röviden, milyen változások mentek végbe az utóbbi időben?
Yogi Chandiramani: A legtöbb IT biztonsági megoldás alapvetően arra épül, hogy a különféle támadási formáknak és kódoknak van egy felismerhető mintázata és lenyomata, azaz szignatúrája. Ez a módszer a hagyma modelljére emlékeztethet, hiszen minden újabb rétegnek rendelkeznie olyan szignatúra adatbázissal, amely alapján az adott réteg képes felismerni az adott támadást vagy rosszindulatú kódot. A valóság manapság azonban az, hogy a támadók viszonylag egyszerűen át tudnak jutni ezeken a védelmeken, hiszen elegendő olyan támadást vagy rosszindulatú kódot használni, amelynek szignatúráját még nem ismerik fel a védelmi rendszerek. A támadók pedig egyre többen vannak, egyre jobban szervezettek, illetve okosabbak.
A jól szervezett támadók képesek arra, hogy a gyenge pontokat megtalálva, rétegről rétegre fejtsék le a szignatúrák felismerésére épülő védelmet. Az ilyen fejlett támadások általános célja, hogy adatokat lopjanak a cégektől. Sokszor előfordul az is, hogy a támadók anélkül jutnak be egy rendszerbe, hogy komolyabb erőfeszítéseket kellene tenniük: a leggyengébb láncszemet, azaz az embert elérve belülről már jóval könnyebb dolguk van. Az adathalász e-mailek, vagy a megtévesztésen alapuló, belső kommunikációs elemnek tűnő, de valójában kívülről érkező levelekre a mai napig rákattint a felhasználók jelentős része, ezzel nyitva utat a támadóknak. Az ilyen támadási formák jelentősen megkönnyítik és felgyorsítják a védelmi rétegek lehántását.
El kell keserítenem mindenkit, bármennyit is költünk a védelemre, a veszély fennáll, de egy új védelmi vonal bevezetésével csillapítható a kockázat. Egy friss kutatási eredményünk legfontosabb eredményét említeném még meg, kifejezetten erre a régióra fókuszáltunk, tehát sem Amerika, sem Afrika, sem a Közel-Kelet nincs benne: januártól júniusig a fertőzések száma megduplázódott. Az a helyzet, hogy az ügyfeleink egyre többet költenek, de a fertőzések száma is növekszik, utóbbi jóval nagyobb mértékben. Éppen ezért mondom azt, hogy az szignatúra védelem ma már nem elegendő. Nem kidobandó, nem megszüntetendő: de az elmúlt időszak eseményei alapján kijelenthető, hogy olyan rés támadt a hagyományos védelmi rendszerekben, amely ellen csak újfajta védelemmel lehet hatékonyan felvenni a harcot.
A kockázatokat is csökkenteni kell [+]
A FireEye három pilléres megoldással szolgál: a technológia (saját malware-vizsgáló hipervízort és mikrotaszk virtualizációs architektúrát fejlesztettünk), ami a korábban nem ismert támadásokat is kiszűri azáltal, hogy figyeli és visszajátssza a forgalmat, elemzi a kódok viselkedését és a bekövetkező változásokat. Mondok egy példát: e-mailen érkezik egy sajtóközlemény, amiben melléklet van. A vírusirtó nem veszi észre, hogy baj van, mert a támadó elég motivált ahhoz, hogy kifejezetten számodra (vagy egy csoport számára) írja meg a káros kódot (azaz a kód szignatúrája ismeretlen lesz az antivírus megoldásod számára), te pedig megnyitod, hiszen érdekesnek tartod. Amikor a malware-védelmi hipervízorban futó virtuális gép érzékeli, hogy a PDF ajtót nyitna a világhálóra és kommunikálni próbál a külvilággal, azaz olyan működést mutat, amely káros eredményhez vezethet, egyszerűen leállítja a folyamatot, illetve jelzi, hogy itt valami szokatlan történik.
IT café: Van arról statisztika, hogy a támadások mekkora része számít egyedinek?
Yogi Chandiramani: A támadók is tudják, hogy az IT biztonsági ipar egy gyorsan reagáló iparág. Megdöbbentő adatot fogok mondani. Az intelligens felismerő rendszereink (ez egyébként a harmadik pillér) által feltárt vírusok és egyéb kártevők nyolcvan százaléka korábban még nem látott kódot rejt, tehát mondhatjuk, hogy elég jelentős ez a fajta támadás. Globális adatokról beszélek.
Ha már szóba került, folytassuk is a harmadik pillérrel. Az analitikai megoldásaink nagyon hatékonyak, hiszen a legtöbb ilyen típusú támadás nem csak egy-egy célpont ellen irányul, hanem jellemzően szektorok, vagy adott típusú vállalatok ellen. Ilyenkor az első felbukkanást követően már a többi ügyfelet is tudjuk védeni az újfajta támadástól. Fontos, hogy ilyenkor már nem számít, ha változtatnak a kódon, a mintázatok (működés és viselkedés) alapján az intelligens védelem képes szűrni.
A technológia (az első pillér) a legtöbb fertőzést gyorsan felismeri és semlegesíti. Az a helyzet, hogy nemzetközi felmérésünk alapján, miután egy malware bekerül a rendszerbe, 205 nap kell, mire azt valaki észreveszi. Ez az átlagos átfutási idő, míg a támadók boldogan és észrevétlenül használhatják ki az általuk bejuttatott kódot. Hét hónap túl sok idő. A három pillérünk használatával ez a 205 nap csökkenthető 10 percre. Nagyon nem mindegy, ha engem kérdez.
A cikk még nem ért véget, kérlek, lapozz!