A vírusvédelem újratervezése avagy: Hogyan változtatja meg a felhő alapú architektúra és infrastruktúra az IT biztonsági világot idejétmúltnak nyilvánítva a hagyományos vírusvédelmet? Tartalom Bevezető: A hagyományos vírusvédelmek ideje lejárt Mi a baj a hagyományos vírusvédelmekkel? Kliens / felhő architektúra Viselkedés-elemzés Naplózás és visszaállítás eredeti állapotra (Rollback) Hogyan rakta össze a Webroot a legújabb technológiákat? Tanulság: tapasztalja meg Ön is!
1 2 2 4 5 5 7
Bevezető: A hagyományos vírusvédelmek ideje lejárt Olvasott már hasonló kérdéseket szakmai cikkekben, blogokban, hogy „A vírusvédelmek valóban halottak?” Ha igen, ennek jó oka van: a hagyományos vírusvédelem valóban nagy sebességgel robog az idejétmúlt megoldások közé. Szerencsére van olyan új megközelítést használó technológia, amely a vírusvédelmet hatékonnyá és jól kezelhetővé teszi újra. Az alábbiakban három új technológiát veszünk górcső alá: 4 Kliens/felhő architektúra 4 Viselkedés-elemzés 4 Naplózás és visszaállítás eredeti állapotra (rollback)
A fentiek együttesen a vírusvédelmi technológia alapvető újragondolását reprezentálják, egy igazán nagy váltást a vírusvédelemben, amelynek köszönhetően a létrejövő védelmi megoldás képes észlelni és elbánni napjaink kártevőivel.
© 2012. Webroot
Mi a baj a hagyományos vírusvédelmekkel? A hagyományos vírusvédelmek a végpontokon történő, vírusminta alapú kártevőfelismerésen alapulnak. Ez a stratégia képtelen a vírustámadások kivédésére, mégpedig következők miatt: 4 Az ismert kártevők száma mára olyan nagy mennyiségűre nőtt, hogy a végpontok vírus-
adatbázisának folyamatos frissítése járhatatlanná vált, a végpontok ugyanakkor 1 képtelenek is a fájlok összehasonlítására az összes vírusmintával . 4 A hackerek és cyberbűnözők botneteket és egyéb fejlett eszközöket használnak a
nulladik napi sebezhetőségeket kihasználó kártevők olyan gyors terjesztésére, hogy azok még a végpontokon történő vírusadatbázis-frissítések előtt fertőzzenek. 4 A célzott támadások kivédésére gyakran nem is létezik ellenszer (lásd: The New York
Times esete). 4 A hackerek ezen felül olyan fejlett technológiákat is használnak, mint például a kártevők
titkosítása, szerver oldali polimorfizmus vagy éppen a minőségbiztosítási tesztek (igen, olyan tesztek, melyekkel a kifejlesztett új kártevőknek az egyes vírusvédelmek előli jó 2 rejtőzködését vizsgálják, hogy ne lehessen azokat felismerni). A fenti okok miatt a legtöbb IT biztonsági vezető ma már erősen megkérdőjelezi a minta alapú vírusvédelmi megoldások képességét a legújabb és legveszélyesebb kártevők blokkolására.3
Kliens/felhő architektúra A hagyományos vírusvédelmek „vastag” kliensei vaskos modulokat működtetnek annak érdekében, hogy a gyanús fájlokat a vírusmintákkal összehasonlítsák. Az ilyen megoldásoknak a következő hátrányai vannak: 4 A kártevőkeresés és a nagy mennyiségű kártevőmintával történő összehasonlítások jelentősen lelassítják a számítógépeket, ezzel pedig jelentősen visszafogják a produktív munkát, és nem ritka, hogy a felhasználók ez ellen a védelem kikapcsolásával védekeznek. 4 Rendszeresen több ezer új minta leküldésére van szükség a végpontokra, ami gyakran
5MB/végpont lehet naponta (ami évi 1,8 GB-nál is több lehet). Ez pedig jókora sávszélesség-használatot generálhat. 4 Sok esetben a távolról dolgozó felhasználók gépe nem képes a frissítéseket (időben)
telepíteni, amivel sérülékenyek lesznek mindaddig, amíg újra vissza nem mennek dolgozni, vagy újra be nem csatlakoznak VPN-en a céges hálózatba. Egy kliens/felhő architektúra alapvetően megváltoztatja ezt. A végpontokon mindössze egy apró kis védelmi kliens szükséges. Ez az apró kliens észleli az új fájlokat és egyedi lenyomatot készít róluk. A lenyomatot ezután a felhőben működő szervereknek elküldi, amelyek egy nagy minta-adatbázissal összevetik, az eredményt pedig megküldik a kliensnek 1. Az AV-TEST Institute naponta 75.000-nél is több kártevőt regisztrál világszerte és becslése szerint 90 milliónál is több variáns létezik. http://www.av-test.org/en/statistics/malware 2. Lásd a következő tanulmányt: Why relying on antivirus signatures is simply not enough anymore, Dancho Danchev, Webroot, 2012. február 23. http://blog.webroot.com/2012/02/23/why-relying-on-antivirus-signatures-is-simply-not-enough-anymore/ 3. Lásd például: Antivirus: Dead, Dying, or Here to Stay? Dave Shackleford, IANS Research, 2012: január 6. http://www.iansresearch.com/blogs/ians-perspective/antivirus-dead-dying-or-here-stay; és Is Antivirus Becoming Obsolete? Ken Presti, CRN Magazine, 2012: október 3. http://www.crn.com/news/security/240008434/is-antivirus-becoming-obsolete.htm.
2
© 2012. Webroot
Felhasználóktól érkező adatok Külső kártevő-adatbázisok
Fájl hash lenyomatok Ismert fájlok hash-adatbázisa Munkaállomás
1. ábra: Egy kliens/felhő architektúra lehetővé teszi a minta-összehasonlítási műveletek felhőben történő elvégzését és ezzel a kliens műveletek csökkentését, így a kliensnek már nem szükséges rendszeresen mintafrissítéseket letöltenie és a távolról dolgozók is jól védhetők
A kliens/felhő architektúrának számos előnye van a hagyományos védelmekkel szemben: 4 A végpontokon csak nagyon kis erőforrás-igényű műveletek történnek, ezáltal a
védelem működése egyáltalán nem zavarja a felhasználót a munkában. 4 Az adatforgalom gyakorlatilag alig észrevehető méretűre csökken, mivel csak néhány
hash összeget (kis számokat) szükséges a kliens és a felhő között átvinni, ami jellemzően 128KByte naponta, nem pedig több ezer új vírusmintát. 4 A felhőben működő rendszer képes hatalmas adatbázisokkal üzemelni és erőteljes
szervereket használ a minta-összehasonlítások elvégzésére, így az összehasonlítási műveletek igazán nagy sebességűek lesznek. 4 A felhőben üzemelő központ valós időben kap friss kártevő-információkat
tesztlaboroktól, vírusmintákat megosztó szervezetektől, biztonsági megoldásszállítóktól, valamint több millió otthoni, banki és vállalati felhasználótól. Így a nulladik napi kártevők felfedezésükkor azonnal minden végponton blokkolhatók lesznek. 4 A távolról dolgozók gépei szintén azon nyomban védve lesznek a nulladik napi kártevők
ellen is, amint élő Internet-kapcsolatot létesítenek. 4 A rendszergazdáknak nem szükséges vaskos kliensek és helyi frissítő-szerverek
telepítésével, vagy akár a napi vírus-adatbázis frissítések terítésével foglalkozniuk. A hagyományos vastag klienst használó vírusvédelmek gyakorlatilag idejétmúltak. A kliens/felhő alapú megoldások jelentik az egyetlen hatékony megoldást a valós idejű mintaegyeztetésekre.
3
© 2012. Webroot
Viselkedés-elemzés Azonban még a leggyorsabb és legalaposabb minta-egyeztetési rendszerek sem képesek a nulladik napi kártevők és az elszigetelt, célzott támadások kivédésére, amely esetekben még csak vírusminta sem áll rendelkezésre. A kulcsötlet a viselkedés-alapú kártevő-felismerés kliens/felhő architektúrával kombinálva. A viselkedés-alapú kártevő-felismerés lehetővé teszi, hogy a végpontokon a programok egy zárt és kontrollált környezetben, ún. „sandbox”-ban fussanak, miközben viselkedésükben kártevőgyanús viselkedési formákat keresünk – például jellemző beállításjegyzék- (registry) módosításokat, email címjegyzékek elérését, avagy vírusvédelmek kikapcsolásának megkísérlését. Ám ez közel sem annyira egyszerű, mint elsőre hangzik. A kártékony viselkedésminták elkülönítése a normál viselkedésmintáktól nagyon is bonyolult lehet. Az egyes viselkedési adatokat össze kell gyűjteni és össze kell vetni egy nagy kártékony viselkedésmintaadatbázissal. A hatékonyság megtartása érdekében pedig ezt a nagy viselkedésmintaadatbázist folyamatosan frissíteni kell. A lenti 2. ábra mutatja meg, hogyan lehetséges a viselkedés-alapú kártevő-felismerés és a kliens/felhő architektúra kombinációját kivitelezni. Ennek értelmében: u Az ismeretlen alkalmazások és végrehajtható fájlok a végpontokon egy sandbox-ban indulnak el. v A fájl megnyitási/olvasási/írási műveletek, a beállításjegyzék változtatások és egyéb aktivitások naplózásra, majd mindezek viselkedésadatok a felhőbe kerülnek. w A felhőbe küldött viselkedésadatokat a rendszer összehasonlítja a meglévő nagy viselkedésminta-adatbázissal és egyúttal elemzi is, hogy kiderítse, kártékony vagy legitim működésről van-e szó. x Az elemzés eredményét a végpontok pillanatokon belül megkapják, ezzel tudják szabályozni, hogy az adott programot karanténozni kell-e vagy szabadon futtatható. Felhasználóktól érkező adatok Külső kártevő-adatbázisok
SANDBOX
Viselkedés adatok
Munkaállomás
Viselkedésmintaadatbázis
2. ábra: A viselkedési adatok naplózásra kerülnek egy sandbox futtatási környezetben, majd a felhő alapú adatbázissal történő összevetés következik az adott programkód kártékony mivoltának eldöntésére
4
© 2012. Webroot
Ez a megközelítés a kártékony programokat azok műveletei alapján azonosítja, még akkor is, amikor nem áll rendelkezésre semmilyen vírusadatbázis. Mivel pedig a viselkedésadatok és a kártékony viselkedésminták összehasonlítása a felhőben zajlik, ez egyáltalán nincs hatással a végpont teljesítményére, így maga az összehasonlítás is hihetetlenül nagy viselkedésmintával történhet meg. Továbbá az új kártevők viselkedésmintái valós időben rendelkezésre állnak a külső forrásokból, így azok azonnal használhatók az összehasonlítások során minden felhasználó azonnali védelmére.
Naplózás és visszaállítás eredeti állapotra (Rollback) Azonban még a viselkedés-felismerés sem elég hatékony, ha a viselkedés elemzése csak rövid ideig lehetséges. Egyes kártevő-fejlesztők elég okosak ahhoz, hogy késleltessék a kártevőjük kártékony viselkedését, azaz nem ismerhető fel azonnal kártékony mivoltuk. Az újratervezett vírusvédelem harmadik pillére tehát a hosszú távú viselkedés-elemzés naplózással és eredetei állapotra történő visszaállítási (ún. rollback) technológiával ötvözve. Ebben az esetben az ismeretlen programok futása ugyan engedélyezett lesz, ám minden fájl- és beállításjegyzék-művelet, memóriamódosítás és egyéb művelet naplózásra kerül. Ez a részletes naplózás lehetővé teszi, hogy a védelmi kliens egy „futás előtt” és egy „futás után” állapotot rögzítsen minden változásról. Amennyiben később a megfigyelt viselkedés kártékonynak bizonyul, a kártevő törölhető, és minden általa végrehajtott változtatás az eredeti, jó állapotra állítható vissza (rollback). Ez a megközelítés: 4 kiküszöböli az olyan vírusok fertőzését, amelyek vírusminta alapú egyeztetéssel vagy rövid idejű viselkedés-megfigyeléssel nem tetten érhetők; 4 szükségtelenné teszi a nagyszabású vírusmentesítési feladatok elvégzését, csakúgy, mint a fertőzött rendszerek újratelepítését – amely egy felmérés szerint a rendszergazdák idejének nagy részét is kiteheti; 4 lehetővé teszi az egyik helyen már felismert kártevők azonnali felismerését más gépeken, sőt más cégeknél működő rendszereken is.
Hogyan rakta össze a Webroot a legújabb technológiákat? Bárki megvalósította már a fenti koncepciót, és valóban úgy is teljesít vele, ahogyan állítja? Igen. A három fenti technológia a Webroot® SecureAnywhere™ Business - Endpoint Protection termék alapja. Az alábbiakban ennek működését és eredményességét vizsgáljuk meg. A Webroot SecureAnywhere Business - Endpoint Protection 1 MB-nál is kisebb klienst használ a végpontokon, amely telepítése 6 másodperc alatt megtörténik. Ez jelentősen kisebb telepítési méret a hagyományos vírusvédelmek vastag klienseire jellemző több száz 4 MB-os (vagy akár már GB-os) méretnél. A teszteredmények szerint a kliens/felhő architektúrák drámaian képesek csökkenteni a kártevővédelemi kliens végpontokra kifejtett terhelését.
5
© 2012. Webroot
4. Az eredmények forrása: Passmark Software: SecureAnywhere Endpoint Protection Cloud vs. Seven Traditional Endpoint Security Products, 2012 február. Lásd még: PassMark Software, 2012 Consumer Security Products Performance Benchmarks, Edition 4, 2012. április 12. (http://www.passmark.com/ftp/totalprotectionsuites-apr2012.pdf)
Amikor a PassMark Software nyolc népszerű antivírus termék keresési sebességét tesztelte, a Webroot a maga kliens/felhő alapú technológiájával messze a leggyorsabb eredményt hozta. A rendszer legelső átvizsgálása csupán 50 másodpercet vett igénybe, amely fele az őt követő második leggyorsabb keresőnek, és csupán 40%-a az átlagos (2 perc 4 másodperces) keresési időnek. A keresés alatt a memóriahasználat 12 MB-volt, amely 21%-a a második legkevesebb memóriát használó megoldásnak és nagyjából 10%-a az átlagosan használt 120MB-nak. Üresjáratban a memóriahasználat még ennél is jóval kisebb, mindösszesen 4MB volt, amely szembetűnően kisebb, csupán 6%-a az átlagos kb. 67MB-nak. A SecureAnywhere Business - Endpoint Protection felhő komponense a Webroot Intelligence Network. Ez a rendszer 100 TB-nál is nagyobb mennyiségű kártevő- és viselkedés-mintát, kártevő URL cím és egyéb kártevő adatot tartalmaz. Ez az adatmennyiség jóval több, mint amennyit bármely hagyományos vastag kliens kezelni tudna. Ez a gyakorlatban azt jelenti, hogy a Webroot jóval több kártevő variánst képes felismerni és jóval hatékonyabban tudja használni a viselkedés-felismerési technológiáját.
Külső kártevőadat-források 100+ TB adatbázis minden egyes valaha látott kártevőről
Távoli felhasználó (kliens < 1 MB)
Valós idejű adatok
URL és IP adatok 25.000 + partnertől és vállalati felhasználótól
Webroot Intelligence Network
Viselkedési formák
Ismert fájlok
Egyéb kártevők
EC2 - Világszerte replikálva Teljes redundancia - Skálázhatóság
Vállalati munkaállomások (kliens < 1 MB)
W.I.N. Statisztikák 4 8.7 milliárd URL, 310 millió Domain kiértékelve és osztályozva 4 100 TB PC, Mac és Android malware és vírus adat – 200,000 új file
naponta
Webroot felhasználói adatok napi 200+ GB adat sokmillió otthoni, banki és vállalati felhasználótól
4 1.8 millió Android App, 200 ezer iOS App – analizálva és
kiértékelve (180 ezer tartalmaz kártékony tartalmat vagy viselkedik gyanúsan) 4 550 millió IP cím analizálva, ebből 9 millió veszélyes 4 Valósidejű anti-phishing szolgáltatás
3. ábra: A Webroot kliens/felhő architektúrája és a Webroot Intelligence Network
A Webroot Intelligence Network folyamatosan frissül 25.000 partner és nagyvállalat, több millió otthoni és vállalati felhasználó védelmi adataiból, így mind az irodai, mind pedig a távolról dolgozók azonnali védelmet élveznek, amint egy új kártevő bárhol a világon felbukkan. Végül, de nem utolsó sorban, a Webroot Intelligence Network infrastruktúra a Föld számos pontján üzemeltetett, teljesen redundáns felhő erőforrásokat használ, ezzel garantálva a legmagasabb szintű megbízhatóságot és a legkisebb késleltetési időt.
6
© 2012. Webroot
Tanulság: tapasztalja meg Ön is! A hagyományos vírusminta-adatbázis alapú védelmi megoldások ideje lejárt. Már léteznek azon koncepciók, melyekkel a kártevővédelem újra hatékony lehet. A fentiekben három ilyet elemeztünk ki: 4 Kliens/felhő architektúra 4 Viselkedés-elemzés 4 Naplózás és visszaállítás eredeti állapotra (rollback)
A fentieket együttesen használó védelmi megoldás javíthatja a teljesítményt, miközben jóval több kártevőt képes felismerni, ugyanakkor drámaian csökkenti a rendszergazdák a vírusvédelem frissen tartásával és a fertőzött rendszerek vírusmentesítésével kapcsolatos feladatait. Mindez azonban nem csak egy légből kapott gondolatmenet. A fenti koncepció hatékony működését Ön is megtapasztalhatja saját rendszerében. Éljen az ingyenes próbaverzió adta lehetőségekkel, tapasztalja meg, mennyivel kisebb, gyorsabb és hatékonyabb a Webroot SecureAnywhere Business – Endpoint Protection, mint a jelneleg használatban lévő vírusvédelme! Ráadásul a Webroot SecureAnywhere Business – Mobile Protection segítségével Android és iOS rendszerű mobil eszközök védelmét is elláthatja, mindezt pedig egyetlen, felhő alapú központi menedzsmentből, bárhonnan kezelheti. A web alapú menedzsment felületen keresztül a legtöbb támogatási feladat is távolról ellátható. További információk és 30 napos ingyenes demo verzió igénylése: www.webroot.hu
Magyar fordítás © 2013. Nollex Nemzetközi Kft. www.nollex.hu Webroot Magyarországi Disztribúció
7
© 2012. Webroot
