Rzut oka na środowisko sandbox



Podobne dokumenty
Zaawansowane zagrożenia, zaawansowane rozwiązania Integracja bezpiecznego środowiska testowego z infrastrukturą zabezpieczeń

Fortinet: Infrastruktura Advanced Threat Protection

OMÓWIENIE ROZWIĄZANIA. Tworzenie naturalnej aktywnej odporności na zaawansowane zagrożenia

FortiSandbox. Główne zalety. Proaktywne wykrywanie i ochrona. Obserwacja podejrzanych elementów. Łatwość wdrożenia

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

OMÓWIENIE ROZWIĄZANIA. Zapora ISFW. Ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

OCHRONA PRZED RANSOMWARE

Technologia Automatyczne zapobieganie exploitom

FortiSandbox. Wielowarstwowa proaktywna ochrona przed zagrożeniami

OMÓWIENIE ROZWIĄZANIA. Utrzymanie ciągłości działalności biznesowej i zwalczanie najnowszych zaawansowanych ataków

Temat: Windows 7 Centrum akcji program antywirusowy

Znak sprawy: KZp

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Produkty. ESET Produkty

Wewnętrzna ochrona sieci. Zapora ISFW OPRACOWANIE

Antywirusy. Marcin Talarczyk. 2 czerwca Marcin Talarczyk Antywirusy 2 czerwca / 36

OMÓWIENIE ROZWIĄZANIA. Connect & Secure. Bezpieczny, opłacalny i jednolity dostęp do sieci w przedsiębiorstwach rozproszonych.

Zabezpieczenia sieci sterowanych programowo w środowiskach centrów danych VMware

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Produkty. MKS Produkty

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Otwock dn r. Do wszystkich Wykonawców

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE

Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Client Management Solutions i Mobile Printing Solutions

Wprowadzenie do Kaspersky Value Added Services for xsps

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

Małe i średnie firmy Rozwój, konsolidacja i oszczędności

Necurs analiza malware (1)

SIŁA PROSTOTY. Business Suite

Polityka ochrony danych osobowych w programie Norton Community Watch

ZAPEWNIENIE NOWOCZESNYCH MECHANIZMÓW OCHRONY DANYCH NA POTRZEBY RODO

ESET NOD32 ANTIVIRUS 10

Client Management Solutions i Mobile Printing Solutions

ESET NOD32 ANTIVIRUS 7

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

9. System wykrywania i blokowania włamań ASQ (IPS)

Budowa i działanie programów antywirusowych

ArcaVir 2008 System Protection

KAV/KIS 2011: Nowe i udoskonalone funkcje

Symantec Enterprise Security. Andrzej Kontkiewicz

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Przewodnik Szybki start

Wymagania systemowe dla Qlik Sense. Qlik Sense June 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.

Agenda. Rys historyczny Mobilne systemy operacyjne

Krótką instrukcję instalacji można znaleźć na końcu podręcznika.

Barracuda Advanced Threat Protection

Wyższy poziom bezpieczeństwa

Materiały dodatkowe. Simulink Real-Time

U M L. System operacyjny Linux zagnieżdżony w zewnętrznym systemie operacyjnym (Linux)

Podręcznik użytkownika

Misja. O firmie. NOD32 Antivirus

OPRACOWANIE. Zwiększanie dynamiki i bezpieczeństwa dzięki konsolidacji centrum danych

PROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS

Acronis Universal Restore

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Wykaz zmian w programie SysLoger

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Kaspersky Anti-Virus 2013 Kaspersky Internet Security Lista nowych funkcji

Wymagania systemowe dla Qlik Sense. Qlik Sense February 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.

Oracle Log Analytics Cloud Service

DLP i monitorowanie ataków on-line

Nowa koncepcja ochrony sieci korporacyjnej OPRACOWANIE

Kaspersky Anti-Virus PC

RAPORT Z ANKIETY. Ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej 2015 Wdrożone zabezpieczenia komunikacji bezprzewodowej: Stan rynku

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

Gmina Lesznowola ul. Gminna Lesznowola NIP: Lesznowola znak sprawy: INF AM ZAPYTANIE OFERTOWE

PRACA KONTROLNA. z praktyki zawodowej. Temat pracy: Poprawa bezpieczeństwa systemu komputerowego. Zespół Szkół Rolniczych w Woli Osowińskiej

Analiza malware Keylogger ispy

Instrukcja obsługi archiwów zabezpieczonych hasłem. ( na przykładzie oprogramowania 7-Zip )

Rozwi zania Client Management Solutions i Mobile Printing Solutions. Numer katalogowy dokumentu:

Instalacja programu dreryk

7. zainstalowane oprogramowanie zarządzane stacje robocze

Zabezpieczanie centrum danych

Bitdefender GravityZone

Chroń to, co tworzysz. Najlepsze technologie ochrony antywirusowej Dr.Web dla komputerów osobistych.

Załącznik dotyczący Opcji Serwisowych nabycie od Partnera Handlowego IBM. Rozszerzone Wsparcie Techniczne dla Sieci. 1. Zakres Usług. 2.

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Kaspersky Security Network

Jako: Przedstawia: Komponenty ESET NOD32 Antivirus ESET NOD32 Antispyware ESET Personal Firewall ESET Antispam. Nagrody:

Podstawy bezpieczeństwa

Arkanet s.c. Produkty. Norman Produkty

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Client Management Solutions i Universal Printing Solutions

PRZEWODNIK SZYBKI START

PRZEWODNIK SZYBKI START

Diagnostyka komputera

Windows Defender Centrum akcji

TEST DIAGNOSTYCZNY. w ramach projektu TIK? tak! - na kompetencje cyfrowe najwyższy czas!

F-Secure Mobile Security for S60

Bitdefender GravityZone Advanced Business Security

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Plik Readme aplikacji klienckiej Novell Filr

Programy antywirusowe dostępne bez opłat

Praca w sieci z serwerem

Transkrypt:

OPRACOWANIE Rzut oka na środowisko sandbox Omówienie technologii sandboxing oraz jej praktycznego zastosowania w odniesieniu do współczesnych zagrożeń

Wprowadzenie Rzut oka na środowisko sandbox W przypadku komputerów termin sandbox był stosowany od dawna jako nazwa bezpiecznego, odizolowanego środowiska, w którym złośliwy kod może być uruchamiany i poddawany analizom. Koncepcja ta znajduje obecnie zastosowanie w zabezpieczeniach sieciowych, umożliwiając transmisję i badanie ruchu sieciowego w celu wykrycia złośliwego kodu, który poprzednio prześliznąłby się przez tradycyjne zabezpieczenia. Środowisko sandbox umożliwia emulowanie praktycznie całych systemów operacyjnych i bezpieczne wykonywanie podejrzanego kodu, dzięki czemu możliwe jest obserwowanie skutków jego działania. Pozwala to zdemaskować szkodliwe akcje, takie jak operacje na plikach lub dyskach, nawiązywanie połączeń sieciowych, zmiany w rejestrze lub konfiguracji systemu oraz inne czynności, dzięki czemu zagrożenia mogą zostać zneutralizowane. Ze środowisk sandbox korzystano zwykle w przypadku plików wykonywalnych, jednak obecnie są one również używane do uruchamiania danych aplikacji, w których ukryty jest złośliwy kod. Przykładem może być program Adobe Flash i język JavaScript. Niektóre aplikacje, takie jak Adobe Reader X, mają wbudowane własne środowisko sandbox służące do tego celu. Jeśli na przykład program Reader X wykryje złośliwy kod podczas otwierania pliku PDF, kod ten zostanie zatrzymany w środowisku sandbox, co uniemożliwi mu zainfekowanie systemu operacyjnego. 2 www.fortinet.com

Dlaczego technologia sandboxing jest teraz potrzebna? W przypadku komputerów termin sandbox był stosowany od dawna jako nazwa bezpiecznego, odizolowanego środowiska, w którym złośliwy kod może być uruchamiany i poddawany analizom. Koncepcja ta znajduje obecnie zastosowanie w zabezpieczeniach sieciowych, umożliwiając transmisję i badanie ruchu sieciowego w celu wykrycia złośliwego kodu, który poprzednio prześliznąłby się przez tradycyjne zabezpieczenia. Środowisko sandbox umożliwia emulowanie praktycznie całych systemów operacyjnych i bezpieczne wykonywanie podejrzanego kodu, dzięki czemu możliwe jest obserwowanie skutków jego działania. Pozwala to zdemaskować szkodliwe działania, takie jak operacje na plikach lub dyskach, nawiązywanie połączeń sieciowych, zmiany w rejestrze lub konfiguracji systemu oraz inne czynności, dzięki czemu zagrożenia mogą zostać zneutralizowane. Ze środowisk sandbox korzystano zwykle w przypadku plików wykonywalnych, jednak obecnie są one również używane do uruchamiania danych aplikacji, w których ukryty jest złośliwy kod. Przykładem może być program Adobe Flash i język JavaScript. Niektóre aplikacje, takie jak Adobe Reader X, mają wbudowane własne środowisko sandbox służące do tego celu. Jeśli na przykład program Reader X wykryje złośliwy kod podczas otwierania pliku PDF, kod ten zostanie zatrzymany w środowisku sandbox, co uniemożliwi mu zainfekowanie systemu operacyjnego. Dlaczego technologia sandboxing jest teraz potrzebna? Skoro technologia sandboxing jest stosowana od tak dawna, dlaczego nagle stała się tak ważna? W związku z tym, że cyberprzestępcy coraz lepiej poznają metody wykrywania zagrożeń stosowane powszechnie w mechanizmach zabezpieczających, więcej wysiłków inwestują w badania nad unikaniem zabezpieczeń i w opracowywanie odpowiednich rozwiązań. Obecnie stosowana technologia typu sandbox może pomóc w wykrywaniu nowych, zamaskowanych lub znanych już zagrożeń, w których użyto nowych sposobów na zabezpieczenie ich przed wykryciem. Środowisko sandbox i proaktywne wykrywanie sygnatur Stosowanie metod sandboxingu wiąże się jednak z intensywnym wykorzystaniem zasobów. Przeanalizowanie kodu i zbadanie wszystkich ścieżek jego realizacji (może to wymagać zaangażowania dodatkowych modułów, które złośliwy kod usiłuje pobrać) wymaga czasu, ponieważ cały kod należy wykonać najpierw w środowisku sandbox. Firma Fortinet łączy sandboxing z proaktywnym wykrywaniem sygnatur, umożliwiając filtrowanie ruchu zanim trafi do środowiska sandbox, ze względu na fakt iż jest to znacznie szybsze niż stosowanie samego sandboxingu. Tradycyjne wykrywanie sygnatur ma charakter reaktywny, ponieważ sygnatury to zaledwie wzorce danych zagrożeń zauważonych w środowisku naturalnym. Opatentowany przez firmę Fortinet język Compact Pattern Recognition Language (CPRL) to proaktywna technologia wykrywania sygnatur bazująca na dogłębnej inspekcji, opracowana w wyniku wieloletnich badań prowadzonych w laboratoriach FortiGuard Labs. Pojedyncza sygnatura CPRL jest w stanie zidentyfikować ponad 50 000 sposobów maskowania złośliwego kodu. W połączeniu z technologią sandboxing, proaktywne wykrywanie sygnatur z wykorzystaniem CPRL umożliwia uszczelnienie sieci wychwytującej nowoczesne ataki typu APT (Advanced Persistent Threats) oraz zaawansowane techniki obchodzenia zabezpieczeń (Advanced Evasion Techniques AET). W związku z tym, że cyberprzestępcy coraz lepiej poznają metody wykrywania zagrożeń stosowane powszechnie w mechanizmach zabezpieczających, więcej wysiłków inwestują w badania nad unikaniem zabezpieczeń i w opracowywanie odpowiednich rozwiązań. Ataki typu APT Ataki typu APT to ukierunkowane, niejako uszyte na miarę zagrożenia. Są w stanie uniknąć wykrycia przez proste zabezpieczenia, dzięki wykorzystaniu nieznanego dotąd złośliwego oprogramowania albo luk w zabezpieczeniach oraz dzięki temu, że pochodzą z zupełnie nowych lub pozornie nieszkodliwych adresów URL lub IP. Ich celem jest zaatakowanie systemu docelowego przy użyciu zaawansowanych metod kodowania, mających na celu podjęcie próby obejścia barier zabezpieczających i uniknięcie wykrycia przez jak najdłuższy czas. 3

Zaawansowane techniki obchodzenia zabezpieczeń Zagrożenia obchodzą bariery zabezpieczające na wiele sposobów. Poniżej przedstawiamy kilka powszechnie stosowanych metod unikania wykrycia w środowisku sandbox. Bomby logiczne Najczęściej stosowane bomby logiczne to bomby czasowe, które zaobserwowano w zaawansowanych atakach. W bombie czasowej złośliwa część kodu pozostaje ukryta aż do ustalonej chwili. Atakujący może umieścić na wielu systemach złośliwe oprogramowanie, pozostające niezauważone aż do wyznaczonego terminu, w którym wszystkie bomby zostaną aktywowane. Inne bomby logiczne są uruchamiane w wyniku interwencji użytkownika (kliknięcie przycisku myszy, ponowne uruchomienie systemu itp.), które wskazują, że bomba znajduje się na komputerze użytkownika, a nie w urządzeniu typu sandbox przeznaczonym do inspekcji kodu. Wykrywanie bomb logicznych jest trudne, ponieważ spełnienie warunków logicznych w środowisku sandbox jest mało prawdopodobne, w związku z czym podczas inspekcji kod nie realizuje ścieżki wykonania prowadzącej do ujawnienia jego złośliwego działania. Firma Fortinet opracowuje odpowiednie środowiska, umożliwiające demaskowanie bomb logicznych poprzez zastosowanie języka CPRL oraz analizy emulacji kodu przed jego rzeczywistym uruchomieniem. Język CPRL umożliwia przeprowadzanie w czasie rzeczywistym analiz faktycznych instrukcji działania, dzięki czemu możliwe jest spełnienie warunków logicznych aktywujących bombę. Rootkity i bootkity W zaawansowanym złośliwym oprogramowaniu często stosowane są komponenty typu rootkit z kodem realizowanym na poziomie jądra systemu w celu przejęcia pełnej kontroli nad systemem operacyjnym. Środowiska sandbox mogą nie sprawdzać się w przypadku tych technik obchodzenia zabezpieczeń, ponieważ monitory działań wynikowych uruchamianego malware u również mogą być niemiarodajne. Ponadto bootkity infekują system złośliwym oprogramowaniem podczas rozruchu, co zwykle nie ma miejsca w środowisku sandbox. Firma Fortinet wyeliminowała również ten problem poprzez zastosowanie języka CPRL do wykrywania zaawansowanych procedur typu rootkit/bootkit przed ich uruchomieniem. Wykrywanie środowiska sandbox Kolejną zaawansowaną techniką obchodzenia zabezpieczeń jest badanie środowiska. Kod typu APT może obejmować procedury mające na celu ustalenie, czy został uruchomiony w środowisku wirtualnym, które mogłoby być środowiskiem sandbox. Może też sprawdzać cechy charakterystyczne danych dotyczące poszczególnych producentów środowisk sandbox. Gdy kod wykryje, że znajduje się w środowisku sandbox, nie zrealizuje ścieżki wykonania prowadzącej do ujawnienia złośliwego działania. Język CPRL umożliwia dogłębne zbadanie, wykrycie i przechwycenie kodu sprawdzającego, czy otoczenie jest środowiskiem sandbox. Metody sterowania botnetem Działania związane ze sterowaniem botnetami zwykle zaczynają się od wprowadzenia komponentu zakażającego (droppera). Dropper to zupełnie czysty kod, który zawiera jedynie procedurę połączenia z adresem URL lub IP w celu pobrania pliku na żądanie. Polecenie może zostać przesłane przez atakującego wiele godzin, dni lub tygodni od pierwotnego uruchomienia. Jeśli serwer, z którym połączony jest dropper, będzie nieaktywny, gdy w momencie uruchomienia kodu w środowisku sandbox pojawi się możliwość wykonania zadania, nie zostanie wykryte żadne złośliwe działanie. Język CPRL ułatwia wychwytywanie nietypowych metod wykonywania kodu niezależnie od tego, czy następuje to w momencie, w którym możliwe jest wykonanie zadania, natomiast inteligentna sieć FortiGuard obejmuje funkcję monitorowania botnetów, która na bieżąco wykrywa ich aktywność. Metoda szybkiego przepływu (Fast Flux) W zaawansowanym złośliwym oprogramowaniu może być stosowana metoda fast flux oraz algorytm generowania domen. Ich celem jest zmienianie adresu URL lub IP, z którym w wyniku infekcji zostanie nawiązane połączenie. Podczas obserwacji w środowisku sandbox w trakcie infekcji wyszukiwany jest pewien adres, jednak po upływie określonego czasu na komputerze użytkownika końcowego kod zastosuje inną ścieżkę, do innego adresu, służącego do obsługi ruchu związanego ze złośliwym działaniem. Rozwiązanie FortiGuard śledzi sieci fast flux i przesyła zgromadzone dane dotyczące zagrożeń do środowiska sandbox, gdzie zostają one wykorzystane podczas wstępnego skanowania. Firma Fortinet prowadzi wyszukiwanie na poziomie systemu DNS, a nie tylko na czarnych listach adresów IP, co często ma miejsce w przypadku rozwiązań innych dostawców. Zaszyfrowane archiwa To bardzo stara sztuczka atakujący umieszcza po prostu złośliwe oprogramowanie w zaszyfrowanym archiwum. Następnie, posługując się odrobiną inżynierii społecznej, nakłania użytkownika końcowego do otwarcia zainfekowanego pliku poprzez wprowadzenie hasła. W środowisku sandbox nie jest możliwe automatyczne wprowadzenie hasła, zatem złośliwe oprogramowanie nie zostanie uruchomione podczas obserwacji. Opatentowana przez firmę Fortinet metoda inspekcji nagłówków archiwów skompresowanych umożliwia wykrywanie skrótów danych złośliwego oprogramowania, które zostały zamaskowane poprzez skompresowanie. Binarne programy pakujące Binarne programy pakujące maskują złośliwe oprogramowanie poprzez zaszyfrowanie go w zmodyfikowanych elementach, które trudno jest przeanalizować przy użyciu tradycyjnych zabezpieczeń antywirusowych. Kod zostaje rozpakowany w momencie wykonywania i infekuje hosta. Podobne techniki są stosowane do osadzania złośliwego kodu w językach, takich jak JavaScript i używany do obsługi programu Adobe Flash język ActionScript. Dawniej technologię tę stosowano do kompresowania kodu wykonywalnego, gdy pamięć była cennym zasobem. Obecnie pamięć nie stanowi problemu, natomiast binarne programy pakujące są często używane w celu uniknięcia wykrycia przez zabezpieczenia antywirusowe. W przypadku języków JavaScript i ActionScript ta metodologia może 4 www.fortinet.com

być w sposób zgodny z prawem stosowana do ochrony przed kopiowaniem. Technologia antywirusowa FortiGate obsługuje odczytywanie zaciemnionego kodu oraz wykrywanie wielu binarnych programów pakujących i umożliwia rozpakowanie złośliwego oprogramowania do formatu macierzystego oraz przeprowadzenie szczegółowej analizy przy użyciu języka CPRL, dzięki czemu można wykrywać zagrożenia w czasie rzeczywistym i neutralizować je lub wykonywać w środowisku sandbox. Polimorficzny malware Polimorficzny malware zmienia się przy każdym uruchomieniu poprzez dodawanie fragmentów śmieciowego kodu w celu udaremnienia inspekcji na podstawie wzorców i sum kontrolnych. Rozpakowanie złośliwego kodu przez system operacyjny powoduje jego wykonanie. Kod polimorficzny stanowi wyzwanie dla tradycyjnych, reaktywnych metod kontroli, jednak firma Fortinet poradziła sobie z tym wyzwaniem poprzez połączenie technologii proaktywnych zabezpieczeń antywirusowych, języka CPRL oraz środowiska sandbox. Ta technologia umożliwia rozpakowanie złośliwego oprogramowania do formatu macierzystego, by przefiltrować jak największą ilość ruchu przy jak najniższym zużyciu zasobów niezbędnych do jego przetworzenia, a następnie przystąpić do uruchomienia tego co pozostanie w środowisku sandbox w celu przeprowadzenia bardziej szczegółowej inspekcji. Replikacja w środowisku sandbox Celem sandboxingu jest pełna replikacja zachowania złośliwego kodu. W sytuacji idealnej wynik uzyskany w środowisku sandbox powinien być identyczny do wyniku wykonania kodu w środowisku użytkownika końcowego. W praktyce uzyskanie identycznych wyników jest trudne ze względu na występowanie wielu zmiennych. Można to porównać do próby wyhodowania z nasion dwóch identycznych roślin. Nawet drobne różnice w ilości wody, oświetleniu, temperaturze czy składzie gleby spowodują uzyskanie różnych efektów. Luki w zabezpieczeniach i aplikacje Zaawansowane zagrożenia mogą być ukrywane w plikach będących dokumentami, co sprawia, że dana aplikacja (na przykład Word, Excel lub Adobe Reader) uruchamia złośliwy kod. Aby wiarygodnie odtworzyć to zachowanie, w środowisku sandbox konieczne jest przeanalizowanie wielu różnych systemów operacyjnych, w których działają różne wersje aplikacji. Jest to metoda prób i błędów, która jest kosztowna i czasochłonna. W wielu rozwiązaniach typu sandbox starano się rozwiązać ten problem poprzez zwiększenie mocy przerobowych zastosowanie wydajniejszych procesorów, zwiększenie ilości maszyn wirtualnych i dodanie pamięci RAM. To podejście okazało się jednak nieskuteczne i kosztowne. Lepszym sposobem jest zrównoważenie doboru systemów operacyjnych i aplikacji na podstawie tego, jak często są one używane, i wybranie do badania działania złośliwego oprogramowania środowiska, które przynosi najlepsze efekty. W związku z tym, że cyberprzestępcy coraz lepiej poznają metody wykrywania zagrożeń stosowane powszechnie w mechanizmach zabezpieczających, więcej wysiłków inwestują w badania nad unikaniem zabezpieczeń i w opracowywanie odpowiednich rozwiązań. Porównanie środowiska 32- i 64-bitowego oraz systemu Windows XP z systemem Windows 7/8 Kod 32-bitowy można uruchamiać zarówno w środowisku 32-bitowym, jak i 64-bitowym, zatem twórcy złośliwego oprogramowania preferują kod 32-bitowy, ponieważ zwiększa to liczbę infekcji. Obecnie większość złośliwego oprogramowania nadal ma postać plików wykonywalnych, a w szczególności 32-bitowych plików Portable Executable (PE32). Pliki PE32 można wykonywać zarówno w systemie Windows XP, jak i indows 7/8, dlatego większość złośliwych działań można zaobserwować w środowisku Windows XP (nieobsługującym kodu 64-bitowego) bez konieczności dalszego testowania w środowisku Windows 7/8. Jednak technologia antywirusowa firmy Fortinet używana w urządzeniu FortiSandbox w połączeniu z językiem CPRL obsługuje w pełni kod 32-bitowy i 64-bitowy oraz wiele różnych platform: Windows, Mac, Linux, Android, Windows Mobile, ios, Blackberry oraz starszy system Symbian. Mechanizmy zabezpieczeń systemu Windows 7/8 W systemie Windows 7/8 wprowadzono technologię zabezpieczającą, która ułatwia powstrzymywanie złośliwego kodu oraz umożliwia dokumentowanie luk w zabezpieczeniach odkrytych w wyniku jego wykonania. Ponieważ ta technologia nie jest dostępna w systemie Windows XP, uruchamianie kodu w systemie Windows XP w środowisku sandbox zwiększa wykrywalność, nawet jeśli zagrożenie zostało przygotowane z myślą o systemie Windows 7/8. Koniec wsparcia systemu Windows XP Windows XP to podatny grunt dla infekcji i najlepszy system operacyjny, jeśli chodzi o wiarygodne replikowanie zagrożeń w ramach inspekcji w środowisku sandbox. Jednak 8 kwietnia 2014 roku firma Microsoft zakończyła wsparcie systemu Windows XP. Oznacza to, że nie będą już udostępniane aktualizacje poprawek zabezpieczeń, a zatem w środowiskach Windows XP będzie się pojawiać coraz więcej luk w zabezpieczeniach. Środowiska Windows XP staną się jeszcze bardziej podatne na różnego rodzaju infekcje. Dobra wiadomość jest taka, że w środowisku sandbox w systemie Windows XP uruchamiać się będzie poprawnie jeszcze więcej złośliwego oprogramowania. Z kolei zła wiadomość jest taka, że system ten stanie się ulubionym celem atakujących. Można iść o zakład, że złośliwe oprogramowanie będzie projektowane z myślą o łatwej zdobyczy, jaką staną się użytkownicy, którzy nie zmienią systemu na Windows 7/8. Na podstawie wcześniejszych tendencji można stwierdzić, że migracja nie nastąpi z dnia na dzień. 5

Analiza przy użyciu języka CPRL oraz zabezpieczenia UTM/NGFW zastosowane w rozwiązaniu FortiGate w odniesieniu do całości ruchu przychodzącego. Oprogramowanie FortiClient zainstalowane w systemach użytkowników końcowych odbiera informacje od usługi FortiGuard. INTERNET Ruch sieciowy Kontrolowany ruch Inspekcja w środowisku sandbox Informacje zwrotne przesyłane do usługi FortiGuard Urządzenie FortiSandbox wykonuje kod, analizuje go i przesyła informacje zwrotne do usługi FortiGuard. Wdrożenie urządzenia FortiSandbox w połączeniu z urządzeniem FortiGate Oprogramowanie FortiClient zainstalowane w systemach użytkowników końcowych zasilane jest informacjami z FortiGuard. INTERNET Ruch sieciowy Informacje zwrotne przesyłane do usługi FortiGuard Urządzenie FortiSandbox kontroluje ruch w sposób transparentny w połączeniu z analizą przy użyciu języka CPRL, alertami sieciowymi i raportami PDF. Samodzielne (standalone) wdrożenie urządzenia FortiSandbox 6 www.fortinet.com

Podsumowanie krajobrazu zagrożeń Większość zagrożeń zaobserwowanych w laboratoriach FortiGuard Labs to kody 32-bitowe, przygotowane z myślą o środowiskach Windows XP. System Windows XP to nadal aktywny rynek, a równocześnie łatwy cel. Dopóki możliwe będzie tworzenie 32-bitowego złośliwego oprogramowania, które będzie działać w systemie Windows XP obecnie, a następnie w systemie Windows 7/8 po przeprowadzeniu migracji, nie ma powodu, by tworzyć złośliwe oprogramowanie specjalnie pod kątem systemu Windows 7/8. W laboratoriach FortiGuard Labs nie przewiduje się wprawdzie natychmiastowej inwazji zagrożeń 64-bitowych, jednak firma Fortinet jest już przygotowana na ich eliminowanie, dzięki zastosowaniu połączenia języka CPRL i dotychczas opracowanych zabezpieczeń antywirusowych oraz urządzenia FortiSandbox. Systemy operacyjne obsługiwane w urządzeniu FortiSandbox Aby skutecznie i efektywnie eliminować zagrożenia, zasoby urządzenia FortiSandbox są przydzielane do wirtualnych środowisk Windows XP oraz Windows 7/8 na podstawie analiz aktualnego krajobrazu zagrożeń. Ponieważ w krajobrazie tym zachodzą zmiany, zmieniać się będą również obsługiwane środowiska. Usprawnienia w wykrywaniu nowych technologii obchodzenia zabezpieczeń oraz platformy docelowe są uwzględniane w rozwiązaniach FortiGate i FortiSandbox, gdy tylko się pojawiają. Urządzenie FortiSandbox obsługuje również niezależne od systemu operacyjnego metody wykrywania z zastosowaniem emulacji kodu oraz wstępnego filtrowania przy użyciu zabezpieczeń antywirusowych. Proaktywne łagodzenie skutków ataków oraz zabezpieczanie punktów końcowych Technologia sandbox umożliwia wykrywanie zagrożeń, jednak w ich powstrzymywaniu skuteczniejsze jest stosowanie wzmocnionych zabezpieczeń przed zagrożeniami sieciowymi oraz urządzeń pełniących rolę zapory. W przypadku wykrycia złośliwego działania zablokować je mogą urządzenia UTM (Unified Threat Management) oraz zapory nowej generacji (Next Generation Firewall NGFW) do ochrony przed zaawansowanymi zagrożeniami (Advanced Threat Protection, ATP). Rozwiązania FortiGate oraz inne produkty firmy Fortinet mają na celu minimalizowanie skutków działania zaawansowanych zagrożeń i występują w charakterze pierwszej linii obrony na pograniczu i we wnętrzu systemu. Umożliwia to proaktywna technologia wykrywania ataków w czasie rzeczywistym, która udaremnia te ataki zanim wyrządzą szkody. Urządzenie FortiSandbox jest rozszerzeniem wiodącego rozwiązania UTM/NGFW firmy Fortinet, przekazującym pozyskiwane dane do rozwiązania FortiGate i/lub FortiGuard. Kolejne wystąpienia ataków związanych zagrożeniami wykrytymi przez urządzenie FortiSandbox mogą być blokowane przez pierwszą linię obrony. Podsumowanie Wiadomo, że twórcy złośliwego oprogramowania są zaznajomieni z wszelkiego rodzaju technologiami zabezpieczeń i niektórzy z nich opracowują sposoby maskowania zagrożeń oraz stosują zaawansowane metody ich obchodzenia. Wykrywanie zagrożeń sprowadza się do zbadania jak największej liczby warstw z uwzględnieniem wszystkich możliwych aspektów ataku. Najlepszym podejściem do inspekcji jest połączenie zastosowania bramy (security gateway) i środowiska sandbox. Technologia sandboxing udostępnia dodatkową warstwę zabezpieczeń przydatną w obliczu dzisiejszych zagrożeń. Odpowiednio stosowana stanowi narzędzie do zdobywania informacji, powiązane zwrotnie z zabezpieczeniami centralnymi, co umożliwia szybkie identyfikowanie nowych zagrożeń w sieci i usprawnia reagowanie na zdarzenia związane z bezpieczeństwem. Możliwość zintegrowania tych urządzeń ma decydujące znaczenie. Pracownicy laboratoriów FortiGuard Labs często odkrywają nowe metody obchodzenia zabezpieczeń i monitorują je, aby móc szybko przesyłać odpowiednie aktualizacje i informacje do rozwiązań firmy Fortinet. Firma Fortinet obsługuje obecnie integrację rozwiązania FortiSandbox z urządzeniami zabezpieczającymi FortiGate, FortiManager oraz FortiMail. 7

OPRACOWANIE www.fortinet.com Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) 00-120 Warszawa Polska SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 Stany Zjednoczone Tel.: +1 408 235 7700 www.fortinet.com/sales BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: +33 4 8987 0510 BIURO SPRZEDAŻY REGION APAC 300 Beach Road 20-01 The Concourse Singapur 199555 Tel.: +65 6513 3730 BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P. 01219 Del. Alvaro Obregón México D.F. Tel.: 011 52 (55) 5524 8480 Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt będzie działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres