Fortinet: Infrastruktura Advanced Threat Protection

Transkrypt

1 OPRACOWANIE Fortinet: Infrastruktura Advanced Threat Protection Spójna taktyka walki z zaawansowanymi atakami ukierunkowanymi ATP_Framework_2015_White_Paper_A4_PL.indd :33:05

2 Fortinet: Infrastruktura Advanced Threat Protection Spis treści Wprowadzenie 3 Fortinet: Infrastruktura Advanced Threat Protection 4 Zyskiwanie przewagi w walce z zagrożeniami dzięki rozwiązaniom firmy Fortinet ATP_Framework_2015_White_Paper_A4_PL.indd :33:05

3 Wprowadzenie Zaawansowane ataki przynoszą duże korzyści W latach o znaczących markach i dużych firmach słyszeliśmy nie w kontekście sukcesów związanych z odzyskiwaniem równowagi po kryzysie gospodarczym czy premier innowacyjnych produktów, lecz z powodu wielokrotnych naruszeń bezpieczeństwa danych. Ponad 100 milionów klientów padło ofiarami kradzieży danych osobowych i/lub kart kredytowych podczas tylko jednego z tych zuchwałych i zakrojonych na szeroką skalę ataków. Tego rodzaju ataki przyciągają uwagę konsumentów, prawodawców i mediów, gdy w ich wyniku udaje się włamać do bardzo dużych organizacji zatrudniających specjalne zespoły do spraw zabezpieczeń oraz dysponujących rozległą infrastrukturą, której zadaniem jest powstrzymywanie działań hakerów. Nikt nie jest bezpieczny mniejsze organizacje również stają się celami, czasem jako część większego skoordynowanego ataku, a czasem jako ofiary infekcji różnego rodzaju złośliwym oprogramowaniem. Jaki z tego wniosek? Pora zastosować bardziej dogłębne i wszechstronne podejście do bezpieczeństwa cybernetycznego. Każda organizacja powinna obecnie zakładać, że jest w stanie ciągłego zagrożenia. Gartner W ankiecie przeprowadzonej w 2014 r. 18% organizacji poinformowało o tym, że ich sieć została spenetrowana przez intruzów. PwC 44% z ankietowanych organizacji jako główny powód przystąpienia do realizacji projektu NGFW podało niedawne naruszenie bezpieczeństwa danych. Forrester/Fortinet 3 ATP_Framework_2015_White_Paper_A4_PL.indd :33:06

4 Podstęp najpotężniejsza broń w hakerskim arsenale Na podstawie obserwowanych sukcesów w hakowaniu profilowanym spodziewamy się dalszych innowacji w metodach cyberprzestępców. Mogą one kłaść jeszcze większy nacisk na podstęp i obchodzenie istniejących rozwiązań zabezpieczających. Planujący włamanie hakerzy podejmują próby zamaskowania złośliwego oprogramowania z użyciem różnego typu plików i metod kompresji, a ich celem jest wykorzystanie słabych punktów w tradycyjnych rozwiązaniach do ochrony sieci. Spodziewamy się także zwiększenia liczby wyspecjalizowanych platform do tworzenia złośliwego oprogramowania, które mogą być dostosowywane pod kątem ataków ukierunkowanych. Po wniknięciu malware u do sieci będzie on, automatycznie lub pod kontrolą cyberprzestępców, zmieniać się, adaptować i przemieszczać niewykryty jak najdłużej pozyskując dane od rejestrów klientów i własności intelektualnej po profile urządzeń i dane uwierzytelniające pracowników. Jeśli w tym czasie kontrola bezpieczeństwa nie wykryje złośliwego oprogramowania ani nawiązywanej przez nie komunikacji, zebranie pozyskanych danych i wyprowadzenie ich na zewnątrz, czyli przesłanie do cyberprzestępców, pozostanie jedynie kwestią czasu. Zachowanie bezpieczeństwa -> Unikanie odpowiedzialności karnej Zdefiniowanie celu Etap przedwstępny Zbadanie celu Opracowanie lub pozyskanie narzędzi Przetestowanie narzędzi oraz metod wykrywania Planowanie Pozyskanie danych uwierzytelniających Umocnienie zdobytej pozycji Pierwotne włamanie infiltracja Przetrwanie ILUSTRACJA 1: ANATOMIA ZAAWANSOWANEGO ZAGROŻENIA Zainicjowanie komunikacji wychodzącej Wyprowadzenie danych Pierwotne włamanie eksfiltracja Zaawansowane zagrożenia wymagają stosowania zaawansowanych zabezpieczeń Nie istnieje panaceum, które umożliwiałoby ochronę organizacji przed wymienionymi wyżej rodzajami zaawansowanych ataków ukierunkowanych. Szybki rozwój złośliwego oprogramowania, częste ataki typu zero-day i coraz nowsze techniki obchodzenia zabezpieczeń powodują, że każde pojedyncze rozwiązanie może okazać się nieskuteczne wobec starannie przygotowanego włamania. Najskuteczniejsza ochrona opiera się na spójnej infrastrukturze zabezpieczającej, którą można rozbudowywać. Taka infrastruktura łączy w sobie aktualnie stosowane funkcje zabezpieczeń, nowo opracowywane technologie oraz odpowiednio dostosowany, uczący się mechanizm, który tworzy bazę przydatnych informacji dotyczących bezpieczeństwa na podstawie nowo wykrytych zagrożeń. Ten ostatni element jest prawdopodobnie najistotniejszy dla utrzymania przewagi w walce z zagrożeniami. Prosta infrastruktura do walki ze złożonymi zagrożeniami Infrastruktura Advanced Threat Protection firmy Fortinet obejmuje trzy elementy: Zapobieganie działanie na podstawie znanych zagrożeń i informacji Wykrywanie identyfikowanie nieznanych wcześniej zagrożeń Ochrona reagowanie na potencjalne zdarzenia Idea tej infrastruktury jest w założeniu prosta. Obejmuje ona szeroki wachlarz zarówno zaawansowanych, jak i tradycyjnych narzędzi służących do ochrony sieci, aplikacji i punktów końcowych oraz do wykrywania i eliminowania zagrożeń. Narzędzia te poparte są bogatym dorobkiem badawczym oraz informacjami na temat zagrożeń, co umożliwia przetwarzanie danych z różnych źródeł w celu zapewnienia należytej ochrony. Choć elementy składowe tej infrastruktury (a nawet technologie, na których bazują) mogą działać w próżni, organizacje uzyskają dużo wyższy poziom ochrony, jeśli wdrożą je wszystkie jednocześnie, jako część całościowej strategii bezpieczeństwa. Element 1 zapobieganie Podejmowanie działań na podstawie znanych zagrożeń i informacji Znane zagrożenia, jeśli to tylko możliwe, należy blokować natychmiast (Element 1 infrastruktury Advanced Threat Protection firmy Fortinet) przy użyciu zapór nowej generacji (NGFW), bezpiecznych bram pocztowych, zabezpieczeń punktów końcowych i podobnych rozwiązań opartych na technologiach bezpieczeństwa o dużej dokładności. Przykładem może być oprogramowanie chroniące przed złośliwym kodem, filtrowanie stron WWW czy zabezpieczenia przed włamaniami (IPS). Są to najskuteczniejsze sposoby wychwytywania różnego rodzaju zagrożeń przy minimalnym wpływie na wydajność sieci. 4 ATP_Framework_2015_White_Paper_A4_PL.indd :33:06

5 Technologia oprogramowania chroniącego przed złośliwym kodem może na przykład przy minimalnym czasie przetwarzania wykrywać i blokować wirusy, botnety, a nawet odmiany złośliwego oprogramowania przewidywane przy użyciu takich technologii, jak opatentowany przez firmę Fortinet język Compact Pattern Recognition Language (CPRL). Ataki można również udaremniać, ograniczając ich przestrzeń. Im mniej punktów wejścia lub potencjalnych wektorów zagrożenia dostępnych dla cyberprzestępców, tym lepiej. Oznacza to, że staranne kontrolowanie dostępu i wdrożenie wirtualnej sieci prywatnej (VPN) jest równie ważnym aspektem omawianego Elementu 1 oraz częścią pierwszej linii obrony przed atakami ukierunkowanymi. Ta część ruchu, której nie można szybko obsłużyć w ten sposób, zostaje przekazana do Elementu 2... Element 2 wykrywanie Identyfikowanie nieznanych wcześniej zagrożeń Korzyści wynikające z filtrowania zagrożeń przy użyciu Elementu 1 są oczywiste. Im więcej zagrożeń znajduje się w kategorii znane, tym lepiej. Niestety, każdego dnia przypuszczane są nieznane ataki typu zero-day i ataki zaawansowane projektowane z myślą o obejściu tradycyjnych zabezpieczeń, mające na celu penetrację wartościowych z punktu widzenia atakującego celów. Element 2 omawianej infrastruktury opiera się na zaawansowanych technologiach wykrywania zagrożeń, które umożliwiają dokładniejsze analizowanie obserwowanych w ruchu sieciowym zachowań, użytkowników i zawartości w celu zidentyfikowania nowych ataków. Istnieje wiele nowych metod umożliwiających wykrycie nieznanych dotąd zagrożeń i zgromadzenie przydatnych informacji na ich temat. W szczególności sandboxing umożliwia przeniesienie potencjalnie złośliwego oprogramowania do wydzielonego środowiska, gdzie możliwa jest bezpośrednia obserwacja jego pełnego zachowania bez konieczności obciążania sieci produkcyjnych. Ponadto system wykrywania botnetów zgłasza wzorce komunikacji, które wskazują na aktywność botnetów, a system oceny reputacji klienta na podstawie profilu kontekstowego sygnalizuje potencjalnie zagrożone punkty końcowe. Mimo niepodważalnej skuteczności, ta metoda wykrywania angażuje znaczną ilość zasobów, dlatego jej użycie ogranicza się do zagrożeń, które nie mogły zostać zidentyfikowane przez wydajniejsze metody tradycyjne. Wykrywanie jest oczywiście tylko jednym z elementów infrastruktury zabezpieczeń przed zaawansowanymi zagrożeniami. Na kolejnym etapie podjęte zostają zdecydowane działania w odniesieniu do wykrytych nowych zagrożeń. Element 3 ochrona Reagowanie na potencjalne zdarzenia Po zidentyfikowaniu potencjalnych zdarzeń i nowych zagrożeń przez komponenty Elementu 2 organizacje muszą niezwłocznie zweryfikować zagrożenie i ograniczyć do minimum wszelkie szkody. Od tego momentu użytkowników, urządzenia i/lub zawartość należy poddać kwarantannie z użyciem systemów zautomatyzowanych i ręcznych, aby zapewnić bezpieczeństwo zasobów sieci oraz danych organizacji. Wykrycie zagrożenia uruchamia jednocześnie kolejny kluczowy element systemu, jakim jest przesłanie uzyskanych informacji z powrotem do zespołów zajmujących się badaniami i rozwojem. Można zastosować zabezpieczenia taktyczne. Nieznane dotąd zagrożenia mogą teraz zostać poddane dogłębnej analizie, której rezultatem są poprawki dotyczące wszystkich warstw ochrony, zapewniające odpowiednią konfigurację aktualnych zabezpieczeń w każdej z warstw. Na tym etapie kluczowe znaczenie ma eliminacja nadmiarowości i wytworzenie synergii między różnymi technologiami zabezpieczeń, co jest istotne dla wdrożenia wysokowydajnego rozwiązania zabezpieczającego w sytuacji, gdy niewiadoma staje się wiadomą. Cykl ten nie jest oczywiście ukończony do momentu udostępnienia informacji dotyczących zagrożenia w różnych punktach kontrolnych oraz do momentu ich globalnego udostępnienia, tak by Element 1 mógł od teraz stawiać czoła nowo poznanym zagrożeniom. W ten sposób można udaremniać ataki cyberprzestępców nie tylko w ramach jednej organizacji, lecz we wszystkich organizacjach na całym świecie. Przeprowadzenie wykrywania i zapobiegania w najskuteczniejszy możliwy sposób (połączenie Elementów 1, 2 i 3) jest kluczowe dla utrzymania wysokiego poziomu wydajności sieci i zapewnienia maksymalnej ochrony. FortiGate i wszystkie inne rozwiązania umożliwiające stosowanie zasad bezpieczeństwa Element 1 Przekazanie: Opracowanie poprawki i aktualizacji zabezpieczeń Przekazanie: obiekty obarczone wysokim ryzykiem Zapobieganie Ochrona Wykrywanie Zespoły obsługi FortiGuard i rozwiązania automatyczne Element 3 FortiSandbox i wszystkie inne zabezpieczenia działające w oparciu o analizę behawioralną Element 2 Przekazanie: Przekazanie ocen i wyników ILUSTRACJA 2: FORTINET: INFRASTRUKTURA ADVANCED THREAT PROTECTION 5 ATP_Framework_2015_White_Paper_A4_PL.indd :33:06

6 Łańcuch działań brakujące ogniwo Prawdopodobnie najważniejsza cecha infrastruktury zabezpieczeń przed zagrożeniami której brakuje w wielu systemach wdrażanych w organizacjach to idea realizacji łańcucha działań zamiast opierania się na pojedynczych technologiach lub elementach. W ochronie przed zaawansowanymi zagrożeniami (Advanced Threat Protection, ATP) stosowanych jest wiele różnych technologii, produktów i wyników badań z dziedziny zabezpieczeń, a każdy z tych elementów odgrywa odmienną rolę. Każdy z nich z osobna byłby jednak mniej skuteczny, gdyby nie istniała między nimi ciągła komunikacja, w ramach której przekazywane są dane. Jak widać na ilustracji 2 Element 1, faza zapobiegania, przekazuje obiekty obarczone wysokim ryzykiem do Elementu 2, fazy wykrywania, a nieznane dotąd zagrożenia przekazywane są do Elementu 3 do dalszej analizy lub eliminacji. W efekcie końcowym dane i zabezpieczenia zaktualizowane na podstawie Elementu 3 trafiają z powrotem do produktów wchodzących w skład Elementów 1 i 2. Ten nieprzerwany cykl skutecznie zwiększa poziom ochrony i skuteczność wykrywania coraz bardziej zaawansowanych ataków. Zyskiwanie przewagi w walce z zagrożeniami dzięki rozwiązaniom firmy Fortinet Synergia i badania prowadzone w laboratoriach FortiGuard Labs Jednym z największych atutów firmy Fortinet jest synergiczne połączenie jej opatentowanego oprogramowania, urządzeń o wysokiej wydajności oraz, co najważniejsze, pracy zespołów prowadzących badania nad zagrożeniami w laboratoriach FortiGuard Labs. Naukowcy z laboratoriów FortiGuard Labs stanowią centrum informacyjne, które gwarantuje bezproblemową współpracę wszystkich trzech elementów. Badają oni nieznane dotąd zagrożenia, opracowują wszechstronne strategie naprawcze, które powstają od podstaw z myślą o zapewnieniu wyjątkowo wydajnej i skutecznej ochrony. Dostarczają także danych, które przyczyniają się do ciągłego usprawniania działań związanych z zapobieganiem i wykrywaniem. Wszechstronna ochrona: W laboratoriach FortiGuard Labs wykorzystuje się analizy potencjalnych zagrożeń w czasie rzeczywistym, by zapewnić wszechstronne aktualizacje systemu zabezpieczeń dla całego asortymentu rozwiązań firmy Fortinet oraz rozwiązań o kluczowym znaczeniu dla synergicznej ochrony. Zabezpieczenia dotrzymujące kroku zagrożeniom: Gdy pojawia się nowe zagrożenie, zespół FortiGuard Labs 24x7x365 Global Operations przesyła do rozwiązań firmy Fortinet uaktualnione dane dotyczące bezpieczeństwa, co umożliwia natychmiastową ochronę przed nowymi i dopiero opracowywanymi zagrożeniami. Rozwiązania o wysokiej wydajności: Zintegrowane usługi zabezpieczające firmy Fortinet zaprojektowane zostały od podstaw z myślą o maksymalizacji ochrony i optymalizacji wydajności wszystkich rozwiązań zabezpieczających firmy Fortinet zarówno fizycznych, jak i wirtualnych. Wymiana informacji między Elementem 3, a Elementami 1 i 2, czyli zamknięcie cyklu ATP, ma miejsce wówczas, gdy rozległa wiedza o zagrożeniach opracowana w laboratoriach FortiGuard Labs przekazana zostaje wszystkim użytkownikom rozwiązań firmy Fortinet za pośrednictwem globalnej sieci dystrybucyjnej Fortinet. Jako część organizacji Cyber Threat Alliance i innych pokrewnych inicjatyw, firma Fortinet przekazuje dane o zagrożeniach także szerszemu gremium naukowców, zwiększając tym samym zasięg oddziaływania swoich prac oraz wygenerowanych przez organizację danych dotyczących zagrożeń wykrytych w ramach tej infrastruktury. Rozwiązania firmy Fortinet stosowane w połączeniu zapewniają skuteczniejszą ochronę Zbiór pojedynczych produktów zabezpieczających, bez względu na ich skuteczność, nie zagwarantuje optymalnego poziomu bezpieczeństwa, jeśli będą one działać w izolacji. Każde pojedyncze rozwiązanie dla uzyskania optymalnej ochrony wymaga współdziałania. Firma Fortinet wykorzystuje dane z laboratoriów FortiGuard Labs w zaporach nowej generacji FortiGate, bezpiecznych bramach pocztowych FortiMail, zabezpieczeniach punktów końcowych FortiClient, w systemach wykrywania zaawansowanych zagrożeń FortiSandbox oraz innych produktach zabezpieczających z opracowanego przez firmę ekosystemu, aby stale optymalizować i podnosić poziom bezpieczeństwa każdej z organizacji. Więcej informacji na temat firmy Fortinet i opracowanego przez nią ekosystemu produktów do ochrony przed zaawansowanymi zagrożeniami można znaleźć na stronie Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) Warszawa Polska SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA Stany Zjednoczone Tel.: BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: BIURO SPRZEDAŻY REGION APAC 300 Beach Road The Concourse Singapur Tel.: BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P Del. Alvaro Obregón México D.F. Tel.: (55) Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt będzie działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji. ATP_Framework_2015_White_Paper_A4_PL.indd :33:07