HAGYOMÁNYOS VÉGPONTVÉDELMI MEGOLDÁSOK ÉS A WEBROOT
Tartalomjegyzék Kártékony kódok fejlesztési üteme ...................................................................................................................................2 Az újfajta, kifinomult, célzott és hosszan tartó (APT) támadások kihívásai ..............................................................................3 Hagyományos vírusvédelmek korlátai ...............................................................................................................................3 A védelmi szoftverek érdemi tesztelésének korlátai .............................................................................................................4 A Webroot egyedülálló hatékonyságát biztosító háttér .........................................................................................................5 A Webroot egyedülálló hatékonyságát biztosító technológia .................................................................................................5
Hagyományos végpontvédelmi megoldások és a Webroot
1/7
KÁRTÉKONY KÓDOK FEJLESZTÉSI ÜTEME A kártékony kódok fejlesztése és terjesztése az utóbbi években soha nem látott mértékű növekedést mutat. A német AV-TEST.ORG cég naprakész kimutatása szerint a mai napig több mint 300.000.000 PC-s kártevőt derítettek fel a világon – nem beszélve az eddig még nem látott, de létező kártékony kódokról.
A kimutatások szerint ráadásul évről évre egyre gyorsabban nő az új kártékony kódok száma, csak 2014-ben 140.000.000nál is több új kártékony kódot találtak: 2012. évben nagyjából 35 millió, 2013. évben kb. 83 millió, 2014. évben nagyjából napi 400.000 darabbal számolhatunk, így 2014-ben 140 millió darab kártevő volt az éves növekmény!
Hagyományos végpontvédelmi megoldások és a Webroot
2/7
AZ ÚJFAJTA, KIFINOMULT, CÉLZOTT ÉS HOSSZAN TARTÓ (APT) TÁMADÁSOK KIHÍVÁSAI Mindezek mellett egyre népszerűbbé váltak a célzott, kifinomult, elhúzódó támadások, az ún. APT (Advanced Persistent Threat) fenyegetések is, melyek esetében egy-egy újonnan kifejlesztett kártevőt globális terjesztés helyett kifejezetten csak egy-egy célpont ellen vetnek be, abból a célból, hogy ott kifejezetten hosszútávon és észrevétlenül jelen maradjanak, és folyamatos elérésük legyen az adott célpont rendszereihez, adataihoz. A "klasszikus" kártevőket író és használó hackerek rájöttek, hogy még könnyebben célhoz érhetnek, ha APT-k (Advanced Persistent Threat) kezdenek el használni, ezeket a kártevőket ugyanis hagyományos végpontvédelmi eszközökkel szinte lehetetlen elcsípni. Egy jól kidolgozott APT megoldás képes összetett támadásokat indítani (rootkit, trójai, alacsony szinten futó modulok), az Internetre kapcsolódva kapja az utasításait (command and control center-ek a támadók üzemeltetésében), valamint képesek a felhasználók tudatlanságát, hiszékenységét is kiaknázni (pl.: kattintson egy linkre, ha meg szeretné tudni, hogyan nyerhet egy új telefont). - Tudta-e Ön, hogy egy jól fejlett APT már nem próbál több millió végpontot támadni, csak nagyon keveset, hogy később lehessen csak azonosítani? - Tudta-e Ön, hogy már több biztonsági gyártó is áldozatául esett ilyen APT alapú támadásnak (van ahol a kár meghaladta a 100 millió USD-t)? - Tudta-e Ön, hogy az APT támadásokban szereplő egyes kártevők (rootkit-ek) képesek kikerülni jó néhány hagyományos vírusvédelmi megoldást?
Az utóbbi években napfényre került számos kényes eset bizonyítja: az ilyen kártevők akár évekig is rejtett módon, feltűnés nélkül működhetnek és eközben folyamatosan adatokat szivárogtathatnak ki a megtámadott intézményekből, avagy biztos alapot képezhetnek egy, akár több intézményt is érintő, összetett támadás megindításához. Az APT támadások esetén általában célzottan, több támadási forma együttes, egymásra épülő használatával történik adatlopás. Jó példák erre a magyar szakmai sajtóban is sokat emlegetett Stuxnet (http://hu.wikipedia.org/wiki/Stuxnet) és Duqu (http://hu.wikipedia.org/wiki/Duqu), avagy a 2014 elején felfedezett POS terminálokat célzó APT támadás (http://www.securityweek.com/targets-data-breach-commercialization-apt), amely esetben 40 millió hitelkártya-adatot loptak el a támadók. A nemrégiben ugyancsak véletlenül felfedezett The Mask/Careto (http://www.neih.gov.hu/?q=a_maszk; http://hirek.prim.hu/cikk/103090/) kártékony kód 2007-ben készült, az adatlopás ezzel a kóddal gyakorlatilag az óta folyamatosan történik. A „The Mask” fő célpontjai: állami intézmények, követségek, energiaipari, olaj- és gázipari cégek, magáncégek, kutatóintézetek, befektetői társaságok, aktivisták. Eddig több mint 380 egyedi áldozatot és 1000-nél is fertőzött több IP címet azonosítottak, 31 országot érintően.
HAGYOMÁNYOS VÍRUSVÉDELMEK KORLÁTAI A hagyományos vírusvédelmi megoldások végpontokon történő, vírusminta alapú vizsgálatokon alapulnak. A működésük alapja a kártevőminta adatbázis folyamatos építése és frissítése. Ennek alapvető feltételei, hogy a gyártó 1. 2. 3.
találkozzon az új kártevőkkel (begyűjtse az új kártevőket, mintákat) ki tudja dolgozni az ellenszert, méghozzá rövid időn belül betegye az új kártevők ismertető jelét és az ellenszerüket az adatbázisába
a felhasználó 4. 5.
letöltse a frissítéseket a védett gépekre futtassa a végpontokon a védelmi megoldást.
Hagyományos végpontvédelmi megoldások és a Webroot
3/7
Korlátok a gyártók oldalán – naponta 400.000 új kártevő, elszigetelt fertőzések A védelmeket gyártó cégek az elképesztő iram miatt gyakorlatilag már évek óta a mennyiségű új kártevőellen egyszerűen képtelenek valós védelmet fejleszteni, azaz: a naponta megjelenő ~400.000 új kártevőről mindről mintát beszerezni, az ellenszereket rövid időn belül kidolgozni és adatbázisaikban elérhetővé tenni. Számos eset bizonyítja, hogy a gyártók technikailag ugyancsak hadilábon állnak már az első lépéssel: az új fertőzések felderítésével, és ez nem véletlen. A megrendelésre dolgozó kártevőírók ugyanis nagy figyelmet fordítanak arra, hogy munkájuk sikerességét ne húzza keresztbe egyetlen védelmi megoldás sem: a komoly finanszírozással rendelkező kártevő-gyárak (!) az újonnan kifejlesztett kártevőket egész minőségellenőrzési csoportok tesztelik a létező összes védelmi megoldással, hogy azok véletlenül se érzékeljék őket. Tovább nehezíti a kártevőminták beszerzését, hogy a kutatások szerint a kártevők legnagyobb része kevesebb, mint 50 gépet fertőz meg világszerte! Ha pedig sikerül teljesen észrevétlenül működő kártevőt (pl. hátsó kaput nyitó trójait, a trójaikat és egyéb fertőzéseket elrejtő rootkitet, stb.) fejleszteni, akkor nem nagyon van esély arra, hogy egy ilyen kártevőt bárki is észrevegyen a gépén. Márpedig ha gyanús működés híján senki nem veszi észre a világon, akkor senki sem küldi be egyetlen víruslaborba sem, így tehát egyetlen vírus-adatbázisba sem fog bekerülni, és egyetlen megoldás sem fog védeni ellene. Korlátok a végpontokon – szándékosan csökkentett védelem Komoly korlátot jelent a védelmi szoftvereket futtató végpontok korlátozott kapacitása is. Képzeljük csak el: egyszerűen elegendő erőforrás híján a gyakorlatban egyetlen felhasználói számítógép (végpont) sem lenne képes minden egyes fájlműveletnél 300 milliós adatbázissal összehasonlítást végezni, hogy eldöntse, a megnyitandó fájl kártevő-e vagy sem. Ráadásul a védelem futtatása mellett pedig kiemelten fontos a végpontok teljesítménye és a felhasználói élmény pozitívan tartása. Fenti okoknál fogva a gyártók komoly kompromisszumok mellett képesek csak kártevő-adatbázisaikat fejleszteni: a kártevőadatbázisok az ismert 300 milliós kártevőmennyiségnek csak töredékét tartalmazzák, így a végpontvédelmi szoftverek jellemzően csupán többszázezer, esetleg egy-két millió mintát kezelnek, ami a teljes számosság csupán kb. 1-2%-a! A gyártók különös módját választották a kompromisszumoknak akkor, amikor a kártevő-adatbázisaik méreteinek drasztikus növelését megelőzendő az újonnan berakott kártevőmintákkal együtt a régebben, ritkábban előforduló kártevő mintáit pedig éppen kiveszik az adatbázisból. Képzeljük csak el, mi lenne, ha a védelmi szoftvernek minden kliensen egy 300 milliós adatbázist kéne tárolnia, frissítenie és azzal kéne másodpercenként sok ezerszer dolgoznia – ez még a legerősebb szerver gépeket is komolyan igénybe venné! Fentiek alapján elmondható, hogy a védelmek jó eséllyel védenek kb. 1-2 millió kártevővel szemben, de egyáltalán nem védenek a maradék ismert 298-299 millióval szemben! A kötelezően frissítendő kliens oldali adatbázisok további hátránya, hogy a kliensekre letöltött vírusminta-adatbázisok napi több MB-s folyamatos letöltése terheli a sávszélességet, a hálózatot, illetve a végpontvédelmek frissességének ellenőrzése folyamatosan terheli a rendszergazdákat is. Az adatbázisok számítógépekre történő lassú, esetleg időben elhúzódó letöltése az ún. nulladik napi fertőzések kockázatát nagymértékben növelik! A kockázatok csökkentése érdekében a hagyományos vírusvédelmi megoldásokat fejlesztő cégek is fejlesztéseket végeznek. Változó mértékben, hatékonysággal általánosan használt jelenleg az ún. aláírás (hash) alapú minta-hasonlításos eljáráson túlmenően a heurisztikán alapuló keresés, a viselkedés alapú vizsgálat (az ún. sandbox érzékelés), esetenként az adatbányászati technológián alapuló vizsgálat, illetve egyre többen bevezetik a felhő alapú vírusminta ellenőrzési metódust is. A fenti technológiák ugyan szerény mértékben javíthatnak az ismert kártevők elleni mielőbbi védekezésben (pl. azzal, hogy nem csak lassan frissülő helyi, hanem gyorsabban frissülő felhő adatbázist is használnak a védelmi szoftverek), mégis a használt technológiák alapfeltétele azonban változatlanul a kártevők felderítésének hatásfoka – ami pedig a kiegészítő technológiák ötvözésével sem javul sokat.
A VÉDELMI SZOFTVEREK ÉRDEMI TESZTELÉSÉNEK KORLÁTAI A minta alapú tesztelések metódusa ugyancsak komolyan megkérdőjelezhető: a tesztlaborok ugyanis nem rendelkeznek saját kártevő-felderítő tevékenységgel/forrással, így természetesen nem rendelkeznek saját kártevőmintákkal sem, a tesztekhez a mintákat tehát a védelmi gyártóktól kell beszerezniük. Nem csoda, hogy nagyjából minden védelmi megoldás hasonló sikereket ér el a teszteken – legfeljebb néhány kártevő kezelésében, ha eltérnek.
Hagyományos végpontvédelmi megoldások és a Webroot
4/7
Meg kell azt is jegyezni, hogy tesztelő cégek a – 300 millió darabos kártevőre vonatkozó tesztelés gyakorlati végrehajthatatlansága miatt – a vizsgálatokat „csak” (az egyébként fenti módon kézhez kapott) többszázezer kártevőmintán végzik el. Mit jelentenek tehát a 100%-os teszteredmények? A vírusvédelmi szoftverek hatékonysága az ilyen teszteken általában 91-9x %, a legjobbak rendelkeznek 99,9%-s értékkel – ám fontos megjegyezni: ez csupán a tesztadatbázisok mintaszámára vonatkoztatva értendő, amelyek a 300 milliós kártevőhalmaznak tehát csak pár százaléka! Vagyis a tesztek – sajnos – messze nem a valós fenyegetettség szintjén vizsgálják a védelmek hatékonyságát!
A WEBROOT EGYEDÜLÁLLÓ HATÉKONYSÁGÁT BIZTOSÍTÓ HÁTTÉR A Webroot termékek kártevővédelmi funkcióinak alapját a Webroot Intelligence Network (WIN) szolgáltatja. A WIN tudásbázisa jelenleg 25.000-nél is több partnertől (pl. CISCO, JUNIPER, F5,Palo Alto, stb.) és nagyvállalati felhasználótól, sokmillió otthoni és céges felhasználótól érkező információk, valamint a Facebook többmilliárd hivatkozásának (URL) elemzésével felvértezve támogatja az egyes eszközök biztonságos használatát. A Webroot ezen a téren a legkiterjedtebb és legjelentősebb információforrásokkal rendelkező vírusvédelmi gyártó.
A WEBROOT EGYEDÜLÁLLÓ HATÉKONYSÁGÁT BIZTOSÍTÓ TECHNOLÓGIA A Webroot a technológiai korlátok leküzdése és a nulladik napi, valamint az APT fenyegetések felismerése céljából új végpontvédelmi technológiát fejlesztett ki. Engedélyezett / tiltott / vizsgálandó kódok + helyreállítás helyi naplózás alapján (roll-back) A Webroot a védett gépen futtatandó folyamatokat Engedélyezett / Tiltott / Vizsgálandó kategóriákba sorolja be.
Hagyományos végpontvédelmi megoldások és a Webroot
5/7
A kategorizálást a folyamatokra jellemző egyedi MD5 hash számsorok alapján, felhő alapú központi és saját lokális adatbázis segítségével, rendkívül gyorsan végzi. Egyedülálló módon az ismert kártékony kódok mellett adatbázist vezet az ismert megbízható szoftverekről is, ami működés közben jelentősen lecsökkenti a szükséges összehasonlítások számát. Az előforduló nulladik napi (még ismeretlen) kódokat egy felhőben tárolt viselkedési adatbázissal veti össze, és helyben mindaddig csak a rendszertől elkülönülten (ún. sandbox-ban) futtatja, amíg ki nem derül kártékonysága vagy megbízhatósága. Ez alatt hosszú távú, folyamatos viselkedés-elemzés (monitorozás) zajlik részletes tevékenység-naplózással együtt. A felhőnek – a helyi gépeknél jellemzően sokkal nagyobb – számítási képességét kihasználva az ismeretlen kódok tekintetében rendkívül gyors viselkedéselemzést és összehasonlítást tud működtetni, míg a hagyományos védelmi megoldások helyi erőforrásokkal ezt nem tudják megtenni. Amennyiben az ismeretlen, nulladik napi kódról kiderül, hogy kártékony, azt a Webroot azonnal blokkolja, és ezzel együtt a monitorozás alatt készített naplók alapján a kártékony kód által véghezvitt módosításokat visszaállítja eredeti állapotra. A Webroot mélyen beépül az operációs rendszer kerneljébe, így minden elinduló folyamatot képes észlelni és kezelni. Megismerhető teljes kártevő-életút: az információ hatalom A védelmi szoftverek és rendszerek nagy hiányossága, hogy nem tudják megmutatni, pontosan mikor került be egy adott kártevő legelőször a védett hálózatra, melyik gépen keresztül került be, hányszor volt észlelhető és pontosan meddig, mely gépeken volt jelen. Ennek oka egyszerű: amíg a védelmi szoftver adatbázisa alapján nem ismer fel egy kártevőt, addig nem is veszi észre, ha elindul a gépeken. Ennek volt köszönhető, hogy évekig nem fedezték fel a fent említett Stuxnet, Duqu vagy éppen The Mask kódokat. Amennyiben az adatbázisban egy új kártevő leírása megjelenik, a riportokban azt a dátumot találhatjuk csak meg, amikor a védelmi szoftver eltávolította a kártevőt a gépekről. A Webroot egyedi monitorozási technológiája lehetőséget ad arra, hogy egy adott, akár nulladik napi kártevő teljes életútját megfigyeljük – és nem csupán a saját hálózatunkban, hanem világszinten is. Az egyedülálló módon csak a Webroot nyújtotta grafikus „Endpoint Forensic” riportok az egyes kártevők világszintű első előfordulásának és a kártevőnek való nyilvánításának dátumát, valamint a védett hálózatban, illetve a védett végpontokon észlelés kezdő és befejező időpontjait mutatják meg.
Webroot Endpoint Forensic grafikus riport: az észlelt kártevők teljes életútja
Hagyományos végpontvédelmi megoldások és a Webroot
6/7
A Webroot erőforrásigénye A Webroot termék minimális erőforrás-igényekkel, kis tárterület igénnyel rendelkezik. A kliens szoftver csak ~800 KB méretű, memóriaigénye háttérben mindösszesen 2-4 MB, keresés közben is csak 10-50 MB. A villámgyors mélyreható kártevőkeresések jellemzően 2-6 percen belül véget érnek, miközben nem zavarják a gépet használót. Az adatbázis nélküli technológia miatt nem kell a naprakészen tartásával bajlódni, a védelem mindig naprakész. A számítógépen lévő védelmi szabályrendszer a „felhőből” azonnal frissül, ehhez folyamatos Internet kapcsolat szükséges. Élő kapcsolat hiányában a számítógép továbbra is védett, ekkor ugyanis a védelmi kliens saját intelligenciáját és szabályadatbázisát használja. A szabályrendszer alapú működés miatt nagyméretű frissítési állományok nincsenek, a hálózat működését a rendszer elhanyagolható mértékben érinti. Az összes védett gép mindig menedzselhető vele attól függetlenül, hogy a gép a vállalati hálózatban vagy bárhol máshol csatlakozik az Internethez.
Kapcsolat: www.nollex.hu :: www.webroot.hu
Hagyományos végpontvédelmi megoldások és a Webroot
7/7
