+48 669 STORIO (786746)

Twoja firma pod

szczególną ochroną

DataDomain - rozwiązanie do deduplikacji danych
EMC UNITY najnowsze macierze
Isilon - przechowywanie danych przez długie lata
UTM – czyli nowoczesne rozwiązania bezpieczeństwa sieci

Dlaczego technologia sandboxing jest nam potrzebna?

W przypadku komputerów termin sandbox był stosowany od dawna jako nazwa bezpiecznego, odizolowanego środowiska, w którym złośliwy kod może być uruchamiany i poddawany analizom. Koncepcja ta znajduje obecnie zastosowanie w zabezpieczeniach sieciowych, umożliwiając transmisję i badanie ruchu sieciowego w celu wykrycia złośliwego kodu, który poprzednio prześlizgnąłby się przez tradycyjne zabezpieczenia. Środowisko sandbox umożliwia emulowanie praktycznie całych systemów operacyjnych i bezpieczne wykonywanie podejrzanego kodu, dzięki czemu możliwe jest obserwowanie skutków jego działania. Pozwala to zdemaskować szkodliwe działania, takie jak operacje na plikach lub dyskach, nawiązywanie połączeń sieciowych, zmiany w rejestrze lub konfiguracji systemu oraz inne czynności, dzięki czemu zagrożenia mogą zostać zneutralizowane. Ze środowisk sandbox korzystano zwykle w przypadku plików wykonywalnych, jednak obecnie są one również używane do uruchamiania danych aplikacji, w których ukryty jest złośliwy kod. Przykładem może być program Adobe Flash i język JavaScript.

Skoro technologia sandboxing jest stosowana od dawna, dlaczego nagle stała się tak ważna? W związku z tym, że cyberprzestępcy coraz lepiej poznają metody wykrywania zagrożeń stosowane powszechnie w mechanizmach zabezpieczających, więcej wysiłków inwestują w badania nad unikaniem zabezpieczeń i w opracowywanie odpowiednich rozwiązań. Obecnie stosowana technologia typu sandbox może pomóc w wykrywaniu nowych, zamaskowanych lub znanych już zagrożeń, w których użyto nowych sposobów na zabezpieczenie ich przed wykryciem.

Stosowanie metod sandboxingu wiąże się jednak z intensywnym wykorzystaniem zasobów. Przeanalizowanie kodu i zbadanie wszystkich ścieżek jego realizacji wymaga czasu, ponieważ cały kod należy wykonać najpierw w środowisku sandbox. Firma Fortinet łączy sandboxing z proaktywnym wykrywaniem sygnatur, umożliwiając filtrowanie ruchu zanim trafi do środowiska sandbox, ze względu na fakt, iż jest to znacznie szybsze niż stosowanie samego sandboxingu.

 

W jaki sposób sandboxing integruje się ze stosowanymi obecnie licznymi warstwami zabezpieczeń?

Przyjrzyjmy się cyklowi życia ataku oraz roli, jaką technologie zabezpieczające odgrywają w ochronie organizacji.

Etap 1: Atakujący przeprowadza rozpoznanie celu. Przygotowuje następnie pomysłową wiadomość e-mail, która często zawiera złośliwe łącze (lub plik). Wiadomość ta zostaje wysłana do użytkownika docelowego. Na tym etapie wiadomość może zostać zablokowana przez rozwiązanie antyspamowe lub zabezpieczenia przed atakami typu phishing. Jeśli to jednak nie nastąpi, wiadomość e-mail dociera do odbiorcy, który zgodnie z założeniami atakującego może kliknąć złośliwe łącze.

Etap 2: Jeśli odbiorca kliknie łącze, ruch zostanie skierowany do zewnętrznej strony internetowej w celu nawiązania komunikacji. Na tym etapie ruch może zostać zablokowany przez filtr sieciowy, lecz jeśli to nie nastąpi, strona internetowa o złośliwym charakterze zaczyna atakować organizację.

Etap 3: Strony internetowe o złośliwym charakterze przeprowadzają zwykle ataki typu exploit, które mają na celu uzyskanie dostępu do systemu. Na tym etapie system zabezpieczający przed włamaniami (IPS) próbuje zablokować atak, lecz w razie niepowodzenia zostaje otwarty tunel, umożliwiający wspomnianej wcześniej stronie internetowej wprowadzenie do organizacji złośliwego oprogramowania.

Etap 4: Gdy złośliwe oprogramowanie próbuje przeniknąć do systemu, sytuację może uratować interwencja oprogramowania ochronnego (anti-malware), lecz jeśli to nie nastąpi, atakujący wprowadzi kod wykonywalny do systemu, gdzie będzie można go aktywować.

Etap 5: Uruchomiony kod zwykle szuka dostępu do danych uwierzytelniających, porusza się na określonym poziomie w poszukiwaniu poufnych danych oraz gromadzi je i przygotowuje w obrębie organizacji. Aby jednak wypełnić do końca swoją misję, musi przenieść te dane na zewnątrz, do serwera kontrolującego całą operację. Na tym etapie do rozgrywki dołączają narzędzia do kontrolowania aplikacji, badania reputacji IP i wykrywania botnetów oraz inne mechanizmy zabezpieczające. Jeśli jednak nie uda się zablokować ruchu przy użyciu tych technologii, organizacja staje się ofiarą ataku.

Technologie antyspamowe, web filtering, systemy IPS, oprogramowanie antywirusowe oraz narzędzia do kontroli aplikacji i badania reputacji IP to niezbędne zabezpieczenia, które nie są jednak obecnie w stanie zapewnić ochrony przed najbardziej zaawansowanymi atakami. Ich działanie oparte jest na identyfikacji znanych wskaźników ataku (nawet jeśli stopień ich znajomości jest bardzo ogólny) poprzez stosowanie sygnatur, analiz heurystycznych oraz metod oceny reputacji. Niebezpieczeństwo pojawia się wówczas, gdy mamy do czynienia z atakiem nowego typu, lub gdy atak jest maskowany metodą tunelowania, szyfrowania czy innymi metodami utrudniającymi wykrycie. Dodając technologię sandboxing do stosowanego zestawu narzędzi zabezpieczających, wprowadzamy dodatkową warstwę zabezpieczeń, która umożliwia wykrywanie złośliwego kodu nawet wtedy, gdy nie był on dotychczas znany. Metoda ta polega na prowokowaniu kodu do ujawnienia się w środowisku sandbox.

 

Zasady działania sandboxing

W wirtualnym systemie operacyjnym podejrzane elementy kodu poddawane są, przed uruchomieniem, działaniu wielowarstwowych filtrów wstępnych w celu przeprowadzenia szczegółowej analizy behawioralnej. Wyjątkowo skuteczne metody filtrowania wstępnego obejmują badanie przy użyciu silnika antywirusowego, wysyłanie zapytań do baz danych zagrożeń w chmurze oraz niezależną od systemu operacyjnego symulację z użyciem emulatora kodu, po czym kod zostaje w razie potrzeby wykonany w całkowicie wirtualnym środowisku. Po wykryciu złośliwego kodu, uzyskane wyniki wykorzystywane są do opracowania sygnatury na potrzeby oprogramowania chroniącego przed złośliwym oprogramowaniem oraz aktualizacji pozostałych baz danych zagrożeń.

Ilustracja: Metody wykrywania zagrożeń w rozwiązaniu FortiSandbox

W przypadku wykrycia zagrożenia w ramach środowiska sandbox nadchodzi czas na przeciwdziałanie. Urządzenia i konta użytkowników powinny być poddane kwarantannie i zostać odizolowane od pozostałych obszarów sieci w celu minimalizacji wpływu danego zdarzenia na posiadane zasoby i dane. Specjaliści powinni umieć przeanalizować i zbadać wykryte złośliwe oprogramowanie lub inne zagrożenie oraz zagwarantować, że zaatakowane systemy są znowu bezpieczne.

Urządzenie FortiSandbox obsługuje inspekcję wielu protokołów i typów plików (w tym pliki pakietu Microsoft Office, pliki PDF, pliki skompresowane .zip) w ramach jednego zunifikowanego rozwiązania, dzięki czemu umożliwia uproszczenie infrastruktury sieciowej oraz jej funkcjonowania. Co więcej, integruje się z rozwiązaniem FortiGate/FortiMail/FortiWeb jako dodatkowa funkcja bezpieczeństwa w istniejącej infrastrukturze zabezpieczającej.

Ponieważ w środowisku sandbox emulowane jest działanie typowego komputera, częścią tego środowiska musi być system Windows oraz aplikacje, takie jak np. programy pakietu Microsoft Office. Każde rozwiązanie FortiSandbox jest dostarczane wraz z licencjami na oryginalny system Windows oraz pakiet Office, zatem pracownicy działów prawnych nie muszą martwić się o zgodność z wymogami licencyjnymi.

Aparat antywirusowy Fortinet uruchamiany na urządzeniu FortiSandbox w połączeniu z językiem CPRL w pełni obsługuje 32-bitowy i 64-bitowy kod oraz wiele różnych platform takich jak Windows, Mac OS X, Linux, Android, Windows Mobile, iOS, Blackberry i Symbian.

 

Opcje wdrażania sandboxing

FortiSandbox jest elastycznym rozwiązaniem do analizy zagrożeń, ponieważ umożliwia wybór opcji wdrożenia z dostosowaniem ich do określonych konfiguracji i wymagań klientów. Organizacje mogą również korzystać równocześnie ze wszystkich trzech poniższych opcji wprowadzania danych do analizy:

Ten tryb wdrożenia oparty jest na wprowadzaniu danych z portów przełącznika w trybie nasłuchu (span) i/lub przesyłaniu plików na żądanie przez administratorów przy użyciu graficznego interfejsu użytkownika. Infrastruktura tego rodzaju nadaje się najlepiej do poszerzenia funkcji zabezpieczeń w już istniejących systemach pochodzących od różnych producentów.

Rozwiązanie FortiGate, które działa jako brama zabezpieczeń internetowych, można skonfigurować tak, by przesyłało podejrzane pliki do urządzenia FortiSandbox. Taka ścisła integracja zmniejsza złożoność sieci (w porównaniu z innymi rozwiązaniami typu sandbox) i poszerza zakres obsługiwanych aplikacji i protokołów, w tym protokołów zaszyfrowanych przy użyciu protokołu SSL, takich jak HTTPS.

Ten tryb implementacji jest korzystny dla organizacji działających w oparciu o środowiska rozproszone, w których rozwiązania FortiGate są wdrażane w oddziałach i umożliwiają przesyłanie podejrzanych plików do centralnie usytuowanego środowiska FortiSandbox. Taka konfiguracja jest korzystna ze względu na niskie koszty eksploatacji i zapewnia ochronę przed zagrożeniami w oddalonych placówkach.

 

Usługa FortiSandbox dostępna jest w trzech możliwych opcjach: