WSTĘP CYKL ŻYCIA ATAKU

Podobne dokumenty
OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

OCHRONA PRZED RANSOMWARE

Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Otwock dn r. Do wszystkich Wykonawców

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

Technologia Automatyczne zapobieganie exploitom

7. zainstalowane oprogramowanie zarządzane stacje robocze

Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Palo Alto TRAPS 4.0 Co nowego?

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

Wymagania systemowe. Wersja dokumentacji 1.12 /

Wymagania systemowe. Wersja dokumentacji 1.9 /

Szczegółowy opis przedmiotu zamówienia:

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Znak sprawy: KZp

Numer ogłoszenia: ; data zamieszczenia:

Necurs analiza malware (1)

Produkty. ESET Produkty

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Kancelaria Prawna.WEB - POMOC

Wymagania systemowe Autor: Stefan Cacek

Instrukcje instalacji pakietu IBM SPSS Data Access Pack dla systemu Windows

DLP i monitorowanie ataków on-line

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

SAFETICA 7 OCHRONA PRZED WYCIEKIEM DANYCH (DLP)

Produkty. MKS Produkty

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Small Office Security 1Year 10Workstation + 1Server

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

DESlock+ szybki start

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Profesjonalne Zarządzanie Drukiem

INSTRUKCJA INSTALACJI SYSTEMU

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Wyższy poziom bezpieczeństwa

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel gbi@profipc.pl CTERA

Analiza aktywności złośliwego oprogramowania Njw0rm

Trojan bankowy Emotet w wersji DGA

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

G DATA Client Security Business

Kaspersky Security Network

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Generacja paczki instalacyjnej F-Secure Client Security/Client Security Premium

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

ArcaVir 2008 System Protection

Wdrożenie systemu Microsoft Forefront Client Security, jako przykład osiągnięcia bezpieczeństwa informatycznego.

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Instrukcja instalacji serwera bazy danych Microsoft SQL Server Express 2014

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Program kadrowo płacowy - wersja wielodostępna z bazą danych Oracle SQL Server 8 lub 9

oprogramowania F-Secure

Instrukcja instalacji aplikacji i konfiguracji wersji sieciowej. KomKOD

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel CTERA

1. Zakres modernizacji Active Directory

Win Admin Replikator Instrukcja Obsługi

FM Antivirus 2015 to:

ActiveXperts SMS Messaging Server

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

Analiza malware Keylogger ispy

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Instrukcja instalacji aplikacji i konfiguracji wersji jednostanowiskowej. KomKOD

Jako: Przedstawia: Komponenty ESET NOD32 Antivirus ESET NOD32 Antispyware ESET Personal Firewall ESET Antispam. Nagrody:

Kontroluj bezpieczeństwo swoich urządzeń dzięki konsoli w chmurze

Dokument zawiera instrukcję samodzielnej Instalacji Microsoft SQL Server 2008 R2 RTM - Express na potrzeby systemu Sz@rk.

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Co to jest GASTRONOMIA?

Audytowane obszary IT

Marek Krauze

Asystent Hotline Instrukcja instalacji

1. Instalacja jednostanowiskowa Instalacja sieciowa Instalacja w środowisku rozproszonym Dodatkowe zalecenia...

Palo Alto firewall nowej generacji

Instrukcja instalacji Asystenta Hotline

Opis Przedmiotu Zamówienia

Arkanet s.c. Produkty. Norman Produkty

Panda Global Business Protection

Wskazówki do instalacji Systemu Symfonia Forte. Szybki start

Bitdefender GravityZone

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Włącz autopilota w zabezpieczeniach IT

Win Admin Replikator Instrukcja Obsługi

Procedury techniczne modułu Forte Kontroling. Środowisko pracy programu i elementy konfiguracji

BitDefender GravityZone Security for Virtualized Environments VS 1ROK

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Budowa i działanie programów antywirusowych

Analiza malware Remote Administration Tool (RAT) DarkComet

Instrukcja do programu Roger Licensing Server v1.0.0 Rev. A

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

FM Internet Security 2015 to:

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Transkrypt:

WSTĘP Współczesne zagrożenia stacji roboczych użytkowników oparte są na dwóch wektorach. Pierwszym z nich jest malware czyli pliki wykonywalne realizujące złośliwy kod. Drugim natomiast są exploit y, czyli pliki i dokumenty wykorzystujące podatność aplikacji (m.in. Microsoft Office, Adobe Reader), które je uruchamia. Cyberprzestępcy korzystają z obu wektorów indywidualnie lub w pewnej kombinacji przy realizacji złożonych ataków. Exploit: Wykorzystuje podatność (lukę) w aplikacji. Posiada przygotowane instrukcje wykonywane przez legitymowaną aplikację. Oszukuje aplikacje celem wykonania własnego kodu. Ma przeważnie mały rozmiar pliku (mniej niż 1MB). Malware: To złośliwy kod w postaci pliku wykonywalnego. Nie wykorzystuje żadnej ze znanych podatności aplikacji. Jego głównym zadaniem jest przejęcie kontroli nad zainfekowanym komputerem. Ma przeważnie duży rozmiar pliku (do kilku MB). Obecnie skuteczna ochrona stacji roboczych powinna zapewniać bezpieczeństwo przeciwko obu wspomnianym wektorom, chronić przed zarówno znanymi jak i nieznanymi zagrożeniami niezależnie od fizycznej lokalizacji stacji użytkownika. CYKL ŻYCIA ATAKU Obserwując i analizując raporty z przeprowadzanych w ostatnich czasach atakach można zauważyć ich elementy wspólne. Każdy z nich posiadał swój cykl życia, czyli chronologiczne akcje i incydenty, które miały miejsce od rozpoczęcia kampanii cyberprzestępczej przez przełamanie zabezpieczeń i skompromitowanie stacji roboczej. Każdy skuteczny atak rozpoczyna się od fazy Rekonesansu, podczas którego hakerzy zbierają istotne informacje o organizacji, która ma paść ich celem. Wykorzystywane są do tego liczne narzędzia i portale. W pierwszej kolejności sporej dawki danych o firmie i jej strukturze mogą dostarczyć media społecznościowe. Świetnie do tych celów spisuje się LinkedIn, który nie tylko

daje pogląd na strukturę organizacyjną firmy, jej pracowników oraz ich adresy mailowe, ale wiele więcej niż można się spodziewać. To właśnie LinkedIn najczęściej jest podstawowym źródłem informacji na temat tego jakie rozwiązania systemowe i produkty bezpieczeństwa są w ramach infrastruktury stosowane. Skąd to się bierze? Źródła są dwa: Ogłoszenia o prace na stanowiska techniczne, informatyczne, w których wspomniane, jako wymaganie, są znajomość rozwiązań pewnych producentów oraz przykładowo znajomości pakietu Windows Server. Konta inżynierów bezpieczeństwa, na których upublicznione są odbyte przez nich szkolenia oraz certyfikaty branżowe pewnych rozwiązań. Oprócz tego stosowane są również zaawansowane narzędzia, takie jak skanery sieciowe i skanery podatności, które potrafią dostarczyć bardziej szczegółowych danych odnośnie konfiguracji poszczególnych rozwiązań. Następnie tak zebrane informacje wykorzystywane są po to, by możliwie najlepiej doszlifować scenariusz ataku, tak by ominąć lub złamać wdrożone systemy bezpieczeństwa. Po zrealizowaniu pierwszego kroku dalej atak przebiega według powyższego cyklu życia : 1. Zebranie informacji (rekonesans) znalezienie ofiary ataku. 2. Wprowadzenie exploit a w tym punkcie cyberprzestępcy przygotowują odpowiednią kampanie mailingową specjalnie dostosowaną do zainteresowań lub profilu działalności ofiary. Exploit wprowadzony jest najczęściej za pomocą załącznika zawierającego dokument (np. Microsoft Word) niewielkich rozmiarów lub poprzez link do skompromitowanego serwera www. Po uruchomieniu takiego dokumentu wykorzystywana jest podatność aplikacji i w efekcie wykonywany jest fragment złośliwym instrukcji, które najczęściej mają na celu pobranie pliku z malware m. 3. Wykonanie malware u w następnym kroku wykonywany jest złośliwy kod, który może na przykład zaszyfrować dyski twarde, rozprzestrzenić się po całej domenie broadcast owej lub nawiązać połączenie zwrotne do atakujących. 4. Kanał kontroli w tym punkcie nawiązywane jest połączenie zwrotne z zainfekowanego komputera do serwera Command&Control. Połączenie najczęściej dochodzi do skutku, gdyż jest realizowane za pomocą przeważnie otwartych na firewall u portach (TCP 80 i 443). W efekcie cyberprzestępcy

zestawiają szyfrowany kanał kontroli, dzięki któremu przejmują w pełni kontrolę nad zainfekowaną maszyną. 5. Kradzież danych. PALO ALTO TRAPS Rozwiązanie Traps od firmy Palo Alto Networks jest to zaawansowany system zabezpieczeń dla komputerów roboczych oraz serwerów. Realizuje ono ochronę w innowacyjny sposób oraz potrafi zabezpieczyć organizacje przed wektorami ataku w postaci Exploit i Malware jednocześnie nie obciążając mocno stacji użytkowników. ANTY-EXPLOIT Exploit dostarczony jest w postaci na pozór normalnie wyglądającego pliku odtwarzanego przez oprogramowanie zaufanych dostawców (jak np. Microsoft, Adobre, Oracle). Po uruchomieniu takiego pliku wbudowany w niego złośliwy kod wykorzystuje (znaną lub nieznaną) podatność danej aplikacji. Powodów występowania takowej podatności może być wiele, może to być nieodpowiednie alokowanie pamięci systemu operacyjnego lub zwyczajny błąd programistyczny. Skompromitowana w ten sposób aplikacja jest zmuszona do wykonywania kodu z instrukcjami zakodowanymi w strukturze pliku z exploit em i w tym momencie rozpoczyna się złośliwa aktywność. Tak specjalnie przygotowany plik jest niemalże niemożliwy do wykrycia przez klasyczne oprogramowanie antywirusowe, które bazuje na analizie sygnaturowej. Dzieje się tak, gdyż ten konkretny dokument nie został nigdzie wcześniej zaobserwowany w związku z tym nie została jeszcze przygotowana odpowiednia sygnatura opisująca go. Taki rodzaj ataku nosi nazwę Ataku dnia zerowego (Zero- Day Attack). Celem wykorzystania podatności aplikacji stosuje się jedną (lub kombinację kilku) technik exploit, które mają na celu odpowiednie manipulowanie pracą aplikacji tak, by ta rozpoczęła wykonywanie złośliwego kodu. Tych technik jest skończona liczba - około 20, co jest nieporównywalnie mniejszą wartością niż liczba możliwości kombinacji i ewolucji malware u.

Traps dzięki swojemu unikatowemu i nowatorskiemu podejściu potrafi skutecznie zablokować i ochronić przed exploit ami. Rozwiązanie nie porównuje uruchamianego pliku z zestawem wielu milionów znanych próbek, a skupia się na zidentyfikowaniu wykonania technik exploit. Dzięki skutecznemu zablokowaniu technik Traps skutecznie chroni organizacje przed nieznanymi atakami. Ochrona realizowana jest w oparciu o zdefiniowaną politykę bezpieczeństwa. W skład polityki wchodzą: Procesy monitorowanych i chronionych aplikacji (np. Microsoft Word, Microsoft PowerPoint, Microsoft Excel, Adobe Reader, Adobe Flash Player, 7Zip, itp.). Monitorowane techniki exploit (np. Heap Spray, CPL Protection, DLL Hijacking, Library Preallocation, itp.). Użytkownicy, komputery i serwery, dla których dana reguła ma być egzekwowana. Zdefiniowana akcja blokada, notyfikacja, powiadomienie użytkownika. Przed uruchomieniem danego chronionego procesu Agent Traps wstrzykuje do niech swoje własne sterowniki w postaci DLL. Są one odpowiedzialne za śledzenie operacji wykonywanych przez proces. W sytuacji wykrycia techniki exploit podejmowana jest akcja zgodna z polityką, a sam proces może zostać zatrzymany. Takie podejście zapewnia, że złośliwy kod nie zostanie wykonany. Traps zablokowało technikę exploit, której celem było wykorzystanie podatności aplikacji. ANTI-MALWARE Oprócz zaawansowanego silnika ochrony przed zagrożeniami typu Exploit rozwiązanie Traps posiada zestaw funkcjonalności zabezpieczających stację przed złośliwym oprogramowaniem. W skład polityki Anti-Malware wchodzi zestaw reguł, których celem jest minimalizowanie ryzyka zainfekowania stacji przez nałożenie zestawu restrykcji, możliwość analizy za pomocą WildFire oraz statyczna analiza plików wykonywalnych. Szczegółowy opis każdej z warstw zabezpieczeń znajduje się poniżej: Statyczna analiza przez uczenie maszynowe zapewnia identyfikację nieznanego pliku ze złośliwym oprogramowaniem nim ten zostanie faktycznie uruchomiony. Moduł ten wykrywa i blokuje malware poprzez analizę kilkuset atrybutów pliku wykonywalnego. Silnik bazuje na inteligencji uczenia maszynowego, zaimplementowanego pierwotnie w Palo Alto Networks WildFire, dzięki czemu jest stale trenowany podwyższając w ten sposób poziom bezpieczeństwa. Istotne jest, że nie bazuje on na analizie sygnaturowej, skanowaniu oraz analizie behawioralnej.

WildFire umożliwia wysyłanie plików wykonywalnych do analizy przez rozwiązanie klasy SandBox. Dzięki integracji Traps z WildFire otrzymywana jest dodatkowa warstwa zabezpieczeń nieznane pliki są wysyłane do chmury celem inspekcji i uruchomienia ich w odizolowanym środowisku. Chmura monitoruje wszystkie aktywności wykonane przez obserwowany plik i na ich podstawie silnik decyzyjny zwraca werdykt z informacją, czy dany plik jest złośliwy, czy też nie. Integracja zapewnia również dostęp do globalnej bazy skrótów plików z malware m. Zaufani dostawcy nowy moduł w polityce Anty-Malware odpowiadający za zezwolenie na uruchomienie jedynie tych plików EXE podpisanych przez zaufanych dostawców (np. Microsoft, Oracle, Palo Alto Networks, IBM). Restrykcje moduł odpowiedzialny za obniżenie ryzyka infekcji przez złośliwe oprogramowanie. Reguły restrykcji mogą uniemożliwić uruchomienie plików EXE ze wskazanych katalogów (lub urządzeń zewnętrznych, jak np. USB) lub też między innymi zablokować generowanie procesów potomnych wskazanym aplikacjom. W połączeniu z modułem ochrony przed zagrożeniami typu Exploit rozwiązanie Traps stanowi kompletny system zabezpieczający stacje robocze użytkowników. Całość polityki Anti-Malware zapewnia wielowarstwową ochronę przed złośliwym oprogramowaniem stosując wiele modeli ochrony. Traps gwarantuje dzięki temu bezpieczeństwo stacji niezależnie, czy znajduje się ona wewnątrz sieci organizacyjnej, czy poza nią.

ARCHITEKTURA SYSTEMU Rozwiązanie Traps firmy Palo Alto składa się z kilku komponentów. Należą do nich: Endpoint Security Manager (ESM) Console centralna konsola zarządzająca środowiskiem bezpieczeństwem Traps dostępna przez przeglądarkę. Uruchamiana jest jako rola IIS na systemie operacyjnym Microsoft Windows Server 2008 R2 (lub wyższym). Umożliwia zarządzanie incydentami bezpieczeństwa, monitorowanie zdrowia stacji roboczych oraz konfigurację polityki bezpieczeństwa. Endpoint Security Manager (ESM) Server komponent odpowiedzialny za połączenie z agentami Traps zainstalowanymi na zabezpieczonych komputerach i serwerach. Odpowiada również za komunikację z chmurą WildFire. Baza danych miejsce, gdzie składowane są wszystkie informacji dotyczące Palo Alto Traps, w tym: polityka bezpieczeństwa i historia incydentów na stacjach roboczych. Uruchamiana jest jako baza na platformie Microsoft SQL (począwszy od SQL Server Express). Całość rozwiązania może pracować w architekturze rozproszonej, w której każdy z komponentów zainstalowany jest na osobnym serwerze. Komunikacja między elementami Traps może być szyfrowana protokołem SSL przez co zapewnione jest bezpieczeństwo, poufność i integralność przesyłanych danych. Takie podejście bardzo dobrze sprawdza się w środowiskach dużych i rozproszonych oraz zapewnia wysoką skalowalność rozwiązania. Istnieje również możliwości instalacji Traps w architekturze scentralizowanej (All-in- One), w której wszystkie wymienionych ról realizuje jeden serwer. Jest to rekomendowana konfiguracja dla małych i średnich przedsiębiorstw o scentralizowanej strukturze sieciowej. Oprócz serwerów ESM na architekturę Traps składają się również agenci instalowani na komputerach użytkowników i serwerach. Samo oprogramowanie agenckie jest lekkie przez co system nie jest dodatkowo obciążony. Agent odpowiedzialny jest za egzekwowanie skonfigurowanych polityk bezpieczeństwa oraz komunikowanie się z ESM Server. Połączenie na linii Traps Agent i ESM Server również może być szyfrowane protokołem SSL.

WSPIERANE SYSTEMY W obecnej wersji Palo Alto Traps posiada pełne wsparcie dla zestawionych poniżej systemów operacyjnych: Windows XP (32-bit, SP3 lub nowszy) Windows 7 (32-bit, 64-bit, RTM i SP1, wszystkie wersje z wyjątkiem Home) Windows 8 (32-bit, 64-bit) Windows 8.1 (32-bit, 64-bit) Windows Embedded 8.1 Pro Windows 10 Pro (32-bit, 64-bit) Windows 10 Enterprise LTSB Windows Server 2003 (32-bit, SP2 lub nowszy) Windows Server 2003 R2 (32-bit, SP2 lub nowszy) Windows Server 2008 (32-bit, 64-bit) Windows Server 2012 (wszystkie wersje) Windows Server 2012 R2 (wszystkie wersje) Windows Vista (32-bit, 64-bit, i SP2) Istotne jest podkreślenie, że sam agent rozwiązania Traps obciąża stację roboczą w bardzo niskim stopniu. Dzieje się tak, gdyż samo oprogramowanie nie wykonuje proaktywnego skanowania silnie wykorzystującego zasoby systemu. Średnie obciążenie maszyny to zaledwie: Około 30MB RAM 0,2% CPU Opracowano na podstawie oficjalnych materiałów producenta.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres