«Что произойдет, если наша сеть будет взломана?» - вопрос, который специалисты по безопасности задавали в течение некоторого времени. Но по ряду причин - от усилий по трансформации сети до более сложных методов атаки - этот вопрос теперь стал: «Как мы узнаем, была ли наша сеть взломана?»
Одна из причин этого заключается в том, что, поскольку киберпреступники все больше инвестируют в новые стратегии, предназначенные для уклонения от обнаружения, практически нет доказательств того, что что-то не так, пока злоумышленники не достигли своих целей.
Повышение стратегий антианалитической атаки
Большинство из нас знакомы с некоторыми из более сложных стратегий атак на безопасность, которые используются для обеспечения успеха атак. Они варьируются от продвинутых стратегий, таких как использование машинного обучения в сочетании с метаморфическими или полиморфными эксплойтами, которые могут извлекать уроки из сетевых защит и адаптироваться к ним, до вредоносных программ, использующих инструменты, уже установленные в сети. К счастью, у многих из нас есть контрмеры, которые позволяют нам выявлять и эффективно реагировать на такие усилия.
В результате киберпреступники внедряют новые методы, чтобы скрыть свои усилия и избежать обнаружения и анализа, чтобы они могли выполнить свои планы. Некоторые примеры методов антианализа включают подпрограммы, которые позволяют вредоносной программе обнаруживать, когда она работает в среде «песочницы» или даже в системном эмуляторе, функции для отключения средств безопасности в зараженной системе и использование нежелательных данных для усложнения разборки. MITER в настоящее время перечисляет более 60 методов анализа и уклонения - некоторые новые и некоторые старые - которые злоумышленники используют для того, чтобы проскользнуть мимо защиты и остаться незамеченными, чтобы они могли беспрепятственно достигать своих целей.
Это похоже на тенденцию с ногами. В прошлом квартале в нескольких отчетах было выявлено новое вредоносное ПО со встроенными в них сложными методами уклонения от защиты, которые указывают на быстрое развитие этой новейшей стратегии атак. Один из них, загрузчик, используемый для целевых финансовых организаций, включает не только обнаружение «песочницы», но и умный инструмент, предназначенный для определения того, запускается ли он в эмуляторе. Он также включает в себя проверки движения мыши и отладчики, чтобы убедиться, что она работает только в реальной производственной среде. Это не уникально. По крайней мере, два других загрузчика также были отмечены во втором квартале 2019 года как имеющие аналогично усовершенствованные механизмы уклонения, включая возможности проверки местоположения и таймеры ожидания для отложенного выполнения.
Еще одной растущей тенденцией является использование методов « жизни на суше », когда стандартные сетевые инструменты используются для совершения злоумышленных действий. Например, PowerShell может быть непосредственно выполнен из памяти, его легко запутать, и он уже является доверенным, что позволяет ему обходить защиту из белого списка. Для PowerShell существует множество бесплатных и доступных вредоносных инструментов, таких как PowerSploit, PowerShell Empire и Nishang. Поскольку такие инструменты, как PowerShell, уже авторизованы, а многие, возможно, непреднамеренно, имеют определенные привилегии администратора, вредоносное поведение часто классифицируется как санкционированное.
Эти и аналогичные методы антианализа и других методов уклонения представляют серьезную проблему для предприятий и подчеркивают необходимость в многоуровневой защите, которая выходит за рамки традиционных сигнатур и обнаружения угроз на основе поведения.
Поиск вредоносного ПО, которое не хочет быть найденным
Конечно, использование сигнатурных и поведенческих инструментов безопасности для обнаружения угроз остается критически важным компонентом любого арсенала безопасности. Они также должны быть дополнены такими вещами, как расширенная поведенческая аналитика, для выявления и сопоставления подозрительных действий, которые сами по себе могут не подняться до уровня срабатывания тревоги.
Но эти стратегии становятся все менее эффективными при работе с вредоносными программами, специально разработанными для уклонения от обнаружения. Еще хуже то, что эти проблемы усугубляются быстрым расширением поверхности атаки сети из-за усилий по цифровому преобразованию, которые не только расширяют зону охвата сети, но и все чаще ставят ее перед задачей «самого слабого звена в цепи». Это включает в себя проблемы, возникающие в связи с новыми облачными, глобальными, мобильными и IoT-стратегиями, которые вводят свои уникальные риски безопасности, и слишком часто с разными уровнями безопасности.
Тем не менее, существуют мощные инструменты, которые помогут вам решить проблему обнаружения нарушений безопасности, которые не нужно обнаруживать. Они включают:
1. Основанная на намерениях сегментация сети
Плоские сети, построенные по «доверенной» модели, позволяют киберпреступникам, попавшим в сеть, стать частью доверенной среды, работать в скрытом режиме и затем быстро распространять угрозы по сети. И очень трудно обнаружить и сдерживать такие действия, поскольку они все глубже проникают в сеть, что приводит к каскадным рискам, потере ценных данных и, как следствие, экономическому ущербу и ущербу для бренда.
Сегментирование сети гарантирует, что в случае нарушения ее влияние будет ограничено заранее определенным набором ресурсов. Однако усилия по статической сегментации, такие как использование различных комбинаций микро-, макро- и методик сегментации приложений для защиты данных и цифровых активов, не всегда легко адаптируются к быстрому изменению, которое претерпевают сети. И так как создается больше исключений для учета рабочих процессов, приложений и транзакций, проходящих между сегментами сети, эффективность сегментов сети постоянно снижается.
С помощью сегментации на основе намерений организации могут интеллектуально сегментировать сетевые и инфраструктурные активы независимо от их местоположения, будь то локально или в нескольких облаках. Затем устанавливается динамический и детальный контроль доступа путем постоянного мониторинга уровней доверия и соответствующей автоматической адаптации политик безопасности. Высокопроизводительную, расширенную защиту можно затем более эффективно использовать для изоляции важных ИТ-активов и применения детального мониторинга для быстрого обнаружения и предотвращения угроз с использованием аналитики и автоматизации.
2. Технология обмана
Технология обмана работает путем создания ложных сетевых ресурсов в инфраструктуре, которые имитируют законные активы. Эти ложные цели могут быть развернуты в виртуальных или физических средах и включают в себя сгенерированный трафик, предназначенный для того, чтобы обманным путем заставить злоумышленников думать, что они нашли способ украсть учетные данные или повысить привилегии.
Причина, по которой они настолько эффективны в обнаружении уклончивого вредоносного ПО, заключается в том, что трафик с законных устройств либо никогда не направляется к этим приманкам, либо, если это так, ведет себя особым и предсказуемым образом. Это означает, что после срабатывания ловушки невидимые устройства обнаруживаются, и меры противодействия могут быть немедленно предприняты. Уведомления передаются на централизованный сервер обмана, который записывает обновления от уязвимой ложной цели, записываются соответствующие векторы атак, используемые вредоносным программным обеспечением, и сегментация на основе намерений может автоматически вмешиваться, чтобы изолировать взломанное устройство - даже если вредоносное ПО на этом устройстве само никогда не обнаруживается.
3. Комплексная безопасность
Добавление искусственного интеллекта в решения для песочницы предотвращает превосходные контрмеры для продвинутых стратегий уклонения, таких как возможность обнаружения вредоносных программ, которые отказываются запускаться в песочнице или эмуляторе. Однако после обнаружения вредоносного программного обеспечения для анализа инструменты безопасности должны работать сообща, чтобы обмениваться сведениями об угрозах, чтобы они могли отслеживать другие случаи такого же поведения.
Например, защита, применяемая на контрольных точках между сегментами сети, должна иметь возможность блокировать проверку и обмениваться обновлениями в режиме реального времени. Другие инструменты должны соотносить усилия по отслеживанию вредоносного ПО до его исходной точки, а также прокладывать устройства вдоль путей данных, которые также могут быть скомпрометированы. Для этого требуются инструменты, которые были глубоко интегрированы в единую целостную структуру безопасности, охватывающую всю распределенную сеть, включая базовую физическую сеть, публичные и частные мультиоблаки, местоположения WAN, а также мобильные устройства и устройства IoT.
Ваша сеть может перехитрить скрытые атаки
Секрет обнаружения уклончивого вредоносного ПО заключается в том, чтобы ограничить его охват, заставить его раскрыться, а затем поделиться этой информацией по всей сети, чтобы поднять планку обнаружения и реагирования. Основанная на намерениях сегментация, технология обмана и интегрированная структура безопасности являются важными инструментами в борьбе с вредоносными программами, разработанными, чтобы избежать обнаружения и анализа.