Ловушки для вредоносного ПО

Как свести к минимуму угрозы нулевого дня

Каждая вторая атака на организации в 2020 году проводилась с использованием вирусов-шифровальщиков. И по прогнозам экспертов компании Positive Technologies, популярность двойной схемы вымогательства, в которой шифрование данных сочетается с угрозами их продажи, будет только расти. Как остановить вредоносное ПО (ВПО) на подходе к корпоративной IТ-инфраструктуре, рассказали эксперты по информбезопасности (ИБ).


НОВЫЕ УГРОЗЫ – В «ПЕСОЧНИЦУ»

К концу 2020 года 80% кибератак носило целевой характер, 88% были направлены на юридических лиц, сообщается в отчете Positive Technologies «Актуальные киберугрозы: IV квартал 2020 года». Среди пострадавших компаний преобладают госучреждения, предприятия промышленности, медорганизации, а также логистические компании и ритейлеры.

Отражать такие атаки становится все труднее, поскольку киберпреступники постоянно совершенствуют сценарии ВПО: разрабатывают новые техники, скрывающие присутствие зловредов, чаще используют нетрадиционные системы программирования и процессорных платформ для усложнения анализа и обнаружения. Руководитель отдела обнаружения ВПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков на заседании пресс-клуба «Вредоносное ПО. Топ угроз и технологии защиты» спрогнозировал развитие подобных сценариев в будущем.

В результате появляются новые угрозы, с которыми известные антивирусы, межсетевые экраны, антиспам-системы перестают справляться, поскольку ориентированы на борьбу со знакомыми зловредами. И тут на помощь приходят решения класса sandbox, когда потенциальные ВПО сначала попадают в «песочницы» (изолированную IT-среду) для анализа.

«Этот более продвинутый инструмент защищает от сложных и ранее неизвестных угроз», – пояснил RSpectr менеджер по развитию сервисов Solar MSS компании «Ростелеком-Солар» Альберт Маннанов. По его словам, обычно сендбоксы интегрируются в сеть организации для дополнительной проверки файлов в почтовом и веб-трафике, где выявляют угрозы нулевого дня.

По словам эксперта, подозрительные файлы отправляются в «песочницу», где запускаются в безопасной, изолированной среде. Далее происходит эмуляция, то есть имитация запуска на реальном компьютере. Затем «песочница» принимает решение, пропустить данный файл или заблокировать.

Там же можно анализировать все файлы, приходящие извне, а кроме того, расследовать уже произошедшие инциденты – быстро и в то же время глубоко изучить поведение зловреда конкретного образца. Эксперт компании «Доктор Веб» Илья Куркин считает решения класса sandbox важным средством комплексной защиты корпоративной сети.

За последние пару лет «песочницы» превратились в обязательный компонент защиты от шифровальщиков, банковских троянов и шпионского ПО

Если несколько лет назад закупку сендбоксов нужно было обосновать, то сейчас специалисты по информбезопасности организаций понимают актуальность этих инструментов в своем арсенале, констатирует руководитель отдела поддержки продаж компании Сross Technologies Саид Атциев.


СЛАГАЕМЫЕ ЭФФЕКТИВНОСТИ

Создатели ВПО прилагают максимум усилий для того, чтобы обойти и статические, и динамические средства анализа вирусов. С этой целью они все чаще используют разные техники, позволяющие намеренно изменить код программы, чтобы затруднить анализ и понимание его работы, сообщил RSpectr инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU Георгий Шутяев.

Сегодня более чем у половины вредоносного ПО есть механизмы определения «песочницы»

В первую очередь зловред смотрит окружение ОС и пытается найти там упоминания о сендбоксе. Затем проверяет, используется ли «песочница» в решении повседневных задач: знакомится с историей браузера, выясняет, как часто запускается система.

Илья Куркин, «Доктор Веб»:

– Если виртуальная среда обнаружена, условный троян прекращает свою работу, а это значит, что анализируемый файл считается чистым. Дальнейший запуск этого вредоносного файла в реальной системе очевидно приведет к заражению.

Обмануть вредоносное ПО можно, только максимально приблизив «песочницу» к основной цифровой среде организации, отмечает Д.Остапенко.

Дмитрий Остапенко, Trend Micro Russia&CIS:

– Для этого нужно иметь возможность кастомизировать содержимое виртуальных машин внутри «песочницы». Например, изменять настройки ОС: редактировать перечень установленных языков, драйверов периферийных устройств; устанавливать дополнительный либо нестандартный софт; влиять на содержимое «рабочего стола».

Для того чтобы заставить зловредов проявить себя, компания Positive Technologies использует в своем новом решении приманки, имитирующие в «песочнице» настоящие файлы, процессы или данные. В этой роли выступают поддельные учетные записи пользователей, файлы конфигурации или другая конфиденциальная информация, потенциально интересная атакующему.

Решение этого класса есть и в портфеле компании «Доктор Веб». При его использовании выявляется зловред и выдается полный отчет:

  •  как именно он действует в системе;
  •  какие вносит в нее изменения;
  •  с какими ресурсами соединяется;
  •  как выглядит карта его сетевой активности и другое.

«Если обнаружена потенциально опасная активность, “песочница” должна видеть всю цепочку до и после запуска вредоносного ПО. Это позволит понять, какие конкретно действия в системе произошли вследствие его запуска, и откатить эти изменения при необходимости», – поясняет RSpectr ведущий системный инженер Varonis Systems Александр Ветколь.

Александр Вектоль, Varonis Systems:

– В организации, использующей множество разных ОС, решение класса sandbox должно поддерживать все эти платформы. Также важно научить сотрудников своевременно обновлять версии операционной системы, до того как они смогут воспользоваться корпоративной средой.

А.Маннанов в числе важных критериев эффективности «песочницы» назвал скорость обработки файлов, разнообразие поддерживаемых форматов, возможность работы с архивами, определение вредоносов по ссылкам и гибкость настройки под задачи и особенности конкретной организации.

Эффективность sandbox зависит также от возможности интеграции его компонентов с другими IT-решениями ИБ и инфраструктурными сервисами компании-заказчика. 

По опыту компании «Информзащита», для своевременного реагирования на потенциальную угрозу и остановки распространения вредоносной активности важна функциональность предоставления компонентами «песочницы» подробных отчетов о ней.


ВЕКТОР РАЗВИТИЯ

Для точного и качественного детектирования в изолированной среде вредоносного ПО применяются технологии машинного обучения. «С помощью них можно анализировать контент по тысячам индикаторов. Например: отправитель, путь файла, иконка, домен и много другое. И сегодня это тренд», – сообщил RSpectr А.Маннанов.

Еще одно направление эволюции в sandbox – cloud-решения. Как отмечает П.Меркурьев, облачные «песочницы» сегодня все чаще используются для защиты публичных и частных облаков организации, защиты публичных файловых хранилищ.

Вектором развития облачных «песочниц» С.Атциев назвал рост качества детектирования за счет анализа косвенных признаков атаки, а также их индивидуализации с учетом свойственных бизнесу угроз.

Для полной защиты определенного пользователя в компании Positive Technologies готовятся с максимальной точностью воссоздавать в «песочнице» рабочую среду атакуемого компьютера, отмечает директор по продуктам компании Денис Кораблев в ходе пресс-завтрака.

Наиболее очевидным сценарием развития сендбоксов станет расширение перечня поддерживаемых ОС в качестве сред анализа объектов. А также развитие функционала, который позволит встраивать «песочницы» в существующие экосистемы заказчиков. При этом минимально меняя конфигурации устоявшихся IТ-инфраструктур, считает Д.Остапенко.


КАК ВЫБРАТЬ ПОСТАВЩИКА

Эксперты советуют потенциальным заказчикам исходить из особенностей IТ-инфраструктуры их компании.

Евгений Суханов, Oberon:

– В первую очередь необходимо четко понимать архитектуру защищаемого объекта, количество хостов, каналов связи с внешними сетями за пределами периметра. От этого зависит строение «песочницы» и ее расположение.

И.Куркин рекомендует компаниям проанализировать представленные на рынке решения, сравнить их возможности. Например, с помощью известного теста – Pafish, который оценивает детектируемость виртуальной среды, выявляя разные нестыковки с реальными системами. Также можно протестировать работу сендбоксов на реальных образцах, которые использовались в известных атаках. Ну и, конечно же, следует проанализировать свои потребности и роль «песочницы» в общем построении системы защиты корпоративной сети.

Решение класса sandbox должно органично и эффективно дополнять существующую систему безопасности организации, убежден С.Атциев. Вот почему к выбору решения должны применяться такие критерии, как:

  •  возможность гибкой интеграции со смежными системами защиты информации;
  •  автоматизация реагирования на атаки с целью исключить ручную обработку инцидентов и сократить время реакции;
  •  наличие у поставщика собственных уникальных технологий для регулярного обновления компонентов, квалифицированной поддержки и устранения ошибок безопасности.

«Для начала компания должна решить, какой именно трафик ей нужно защищать – почтовый, веб или оба, – говорит А. Маннанов. – Затем нужно понять, насколько выбранные вендорские решения совместимы со средствами защиты, которые уже используются в организации. Следующий шаг – сопоставление эффективности и ценовых параметров предложений разных производителей на основе стоимости обработки “песочницей” одного файла». Хорошо, если поставщик услуги имеет собственную базу киберугроз и может обогащать этими данными сендбокс.

Выбирая облачное решение, важно понимать, что cloud-серверы за рубежом не подходят для госорганизаций. Госзаказчикам стоит использовать решения отечественных поставщиков.


ON-PREMISE ИЛИ ИЗ ОБЛАКА

С технологической точки зрения стороннее и собственное IT-решение (on-premise) не отличаются друг от друга. Однако свое обойдется дороже. «Мы видим, что на горизонте семи лет купленный сервис оказывается для компаний в среднем на 30% дешевле собственного решения», – говорит А.Маннанов. Кроме того, облачная модель не требует единовременных капитальных затрат – расходы разбиты на ежемесячные платежи.

Для маленького бизнеса (до 500 хостов) в сети Е.Суханов рекомендует cloud-решение, поскольку внедрять аппаратно-программный комплекс будет невыгодно. В пользу сервисной модели «песочниц» высказался и С.Атциев, отметивший, что в этом случае защита от вредоносного ПО осуществляется за пределами периметра сети организации.

Облачная «песочница» от крупного поставщика предпочтительна еще и потому, что разработчик ВПО может исследовать сендбоксы внутри IT-инфраструктуры компании. А вот какое окружение будет в облаке – он не знает.

Георгий Шутяев, REG.RU, отметил, что

крупные сервис-провайдеры отслеживают популярные у разработчиков ВПО способы определения «песочницы» и закрываются от них

Среди экспертов нашлись и приверженцы модели on-premise. По словам И.Куркина, она исключает риск утечки внутренних данных при анализе. «Для максимальной эффективности предпочтительней использовать собственное решение», – считает Д.Остапенко. Для облачной модели пока ни один из производителей «песочниц» не реализовал в качестве среды тестирования использование кастомизированных образов виртуальных машин, которые точно отражают IT-инфраструктуру конкретного заказчика в cloud-среде, отметил эксперт.

Вместе с тем он признал, что облачные «песочницы» выгодно задействовать заказчикам с территориально распределенной инфраструктурой. В противном случае их затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачным и локальным сендбоксом.

Изображение:  RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ

Тревожная кнопка для IТ-инфраструктуры
Как системы безопасности цифрового периметра помогают защитить данные