Průkopnická automatizovaná obrana pohyblivých cílů

Mark Loman, viceprezident pro vývoj softwaru a pokročilé technologie ve společnosti Sophos

Unikátní technologie na ochranu koncových bodů v řešení Sophos Endpoint udržují útočníky v nejistotě
S tím, jak se prostředí kybernetických hrozeb stává stále složitějším, bezpečnostní týmy čelí rapidnímu nárůstu počtu hrozeb. Mnoho organizací se potýká s vysokým počtem výstrah a falešně pozitivních hlášení, což vede k neustálému úsilí o jejich vyřešení a zbytečnému zatěžování zdrojů a snižování účinnosti zabezpečení. Automatizovaná obrana pohyblivých cílů (Automated Moving Target Defense, AMTD), nový koncept podporovaný společností Gartner, se snaží tuto dynamiku změnit. Bezpečnostní produkty a služby, které využívají technologie AMTD, zvyšují náklady útočníků tím, že organizují řízené změny v prostředí IT s cílem proaktivně narušit útoky a zmást aktivity spojené s narušením bezpečnosti. Řešení založená na AMTD, která jsou ze své podstaty neutrální vůči hrozbám - nezaměřují se na žádnou konkrétní hrozbu, poskytují organizacím výrazné výhody v oblasti ochrany, protože obracejí karty proti protivníkům a znemožňují použití velkého množství škodlivých taktik, technik a postupů (TTP).
AMTD v koncových bodech
Naším cílem je předem zablokovat co nejvíce hrozeb, s využitím rozsáhlé škály obranných technologií. Kromě zmenšení útočné plochy, behaviorální analýzy a modelů hlubokého učení umělé inteligence zlepšuje řešení Sophos Endpoint bezpečnost aplikací i instalací neutrálních bariér pro každý proces. To komplikuje spuštění jakéhokoli kódu, který původně nebyl součástí aplikace, a nutí útočníky přehodnotit a změnit architekturu základních funkcí jejich malwaru.
Sophos nasazuje technologie AMTD k nastavení bariér a pastí, které na koncových bodech automaticky zachycují a narušují aktivity útočníků. Díky tomu je i pro nové varianty hrozeb, kterým se podaří obejít jiné ochranné mechanismy, obtížnější provádět škodlivé akce na počítačích zabezpečených řešením Sophos. Způsobů, jak Sophos využívá AMTD k zajištění bezpečnosti svých zákazníků, je hned několik.
Adaptace
Díky adaptivní ochraně před útoky (Adaptive Attack Protection, AAP) řešení Sophos Endpoint dynamicky aplikuje agresivní ochranu, když zjistí probíhající útok. V případě, že útočník získá prvotní přístup k zařízení v rámci prostředí, AAP výrazně snižuje pravděpodobnost úspěchu útoku a poskytuje obráncům více času na jeho zneškodnění. Je to díky zapojení dalších obranných opatření, včetně blokování akcí, které v běžném kontextu nemusí být ze své podstaty škodlivé, ale ve spojení s útokem nebezpečné jsou.
Systém AAP zjišťuje přítomnost aktivního útočníka dvěma hlavními způsoby: 1) detekcí použití běžných sad nástrojů na provádění útoků a 2) odhalením kombinací aktivního škodlivého chování, které může svědčit o počátečních fázích útoku. Na základě detekce nasadí AAP dočasná omezení, která nejsou vhodná pro každodenní použití, ale jsou nezbytná, pokud je na koncovém bodě detekován aktivní protivník. Příkladem je zabránění restartu do nouzového režimu, protože útočníci jej používají k vyhnutí se odhalení. AAP se dále rozvíjí i díky výzkumníkům ze SophosLabs, kteří neustále zdokonalují detekci útočníků i dynamická ochranná opatření v reakci na změny v prostředí hrozeb.
Randomizace
Pokud se modul prostředků (DLL) v aplikaci neustále načítá na stejné předvídatelné adrese paměti, je pro útočníky snazší zneužívat zranitelnosti. Vývojáři se sice během kompilace mohou rozhodnout pro náhodnou volbu rozložení adresního prostoru (Address Space Layout Randomization, ASLR), která náhodně mění adresy při každém restartu systému, ale jakýkoli software třetích stran, který ASLR nemá, může tuto strategii narušit. Řešení Sophos Endpoint zvyšuje i zabezpečení aplikací na podporu produktivity práce, které jsou vystaveny do internetu. Zajišťuje, aby se každý modul při každém spuštění aplikace načítal na náhodné paměťové adrese, což komplikuje potenciálního zneužití.
Podvody
Útočníci se často snaží skrýt svůj škodlivý kód před skenery souborů a paměti pomocí tzv. obfuskace. Bez toho by museli pro každou oběť generovat jedinečný kód, aby se nepodobal žádnému z předchozích, které by pak mohly být detekovány a blokovány produkty na ochranu koncových bodů. Obfuskaci škodlivého kódu jde ale naštěstí zvrátit krátkou inicializační nebo zaváděcí rutinou dříve, než je kód na počítači spuštěn. Tento reverzní proces obvykle závisí na specifických rozhraních API operačního systému a útočníci se snaží vyhnout odhalení této závislosti hned na začátku, protože může být indikátorem podvodu. V důsledku toho je tato závislost často vynechána z importní tabulky binárních souborů škodlivého softwaru a místo toho je zaváděcí program nakonfigurován tak, aby přímo vyhledal modul systému Windows, který je rezidentní v paměti a poskytuje potřebné rozhraní API.
Sophos proto strategicky umisťuje návnady, které napodobují rozhraní API související s pamětí, jaká útočníci běžně používají k inicializaci a spuštění škodlivého kódu. Tato ochrana, která je nezávislá na konkrétní hrozbě nebo kódu, dokáže prolomit škodlivý kód, aniž by bránila neškodným aplikacím.
Omezení
Aby se škodlivý kód vyhnul obraně, je obvykle maskován a často se skrývá za neškodnými aplikacemi. Před spuštěním skrytého kódu – například vícestupňového importu – musí hrozba nakonec svou obfuskaci zcela zrušit, aby došlo k vytvoření paměťové oblasti vhodné pro spuštění kódu, což je hardwarový požadavek procesoru. Základní instrukce neboli opcodes potřebné k vytvoření paměťové oblasti vhodné pro kód jsou tak krátké a obecné, že samy o sobě nestačí k tomu, aby je ostatní ochranné technologie vyhodnotily jako škodlivé, protože by pak nemohly fungovat ani neškodné programy.
Řešení Sophos Endpoint ale jedinečným způsobem uchovává historii, sleduje vlastníka a koreluje přidělování paměti napříč aplikacemi, což umožňuje nové způsoby detailního zmírnění rizik, které by jinak nebylo možné.
Posílení
Sophos zabraňuje manipulaci s procesy tím, že kolem bezpečnostně citlivých oblastí paměti každé aplikace vytváří bariéry. Příkladem citlivých oblastí paměti je blok prostředí procesu (Process Environment Block, PEB) a adresní prostor modulů souvisejících se zabezpečením, jako je rozhraní pro kontrolu malwaru (Anti-Malware Scan Interface, AMSI). Útočníci, kteří chtějí převzít identitu neškodného procesu, skrývají parametry příkazového řádku, zakazují nebo spouštějí libovolný kód ve vlastním adresním prostoru (nebo v adresním prostoru jiného procesu) a pravidelně manipulují s kódem nebo daty v těchto citlivých oblastech. Jejich odstíněním Sophos genericky chrání před množstvím stávajících i budoucích technik protivníků a automaticky blokuje a odhaluje aktivní útok.
Ochranné mantinely
Sophos instaluje ochranné mantinely kolem spouštění kódu. Tím se zamezuje tomu, aby provádění kódu probíhalo mezi jednotlivými částmi kódu a vstupovalo do adresního pole, které je sice součástí původní aplikace, ale má obsahovat pouze data – označuje se také jako code cave. Sophos také aktivně brání technice APC injection a využívání dalších systémových funkcí, které nejsou využívány podnikovými aplikacemi.
Mnoho jiných platforem na ochranu koncových bodů se oproti tomu spoléhá především na detekci konkrétních technik útoku na základě příslušného, již známého škodlivého kódu, konkrétních sekvenčních volání instrukcí a kontextu doručení. Tyto platformy pak ale mohou poskytovat jen neúčinnou ochranu, pokud autor malwaru změní uspořádání kódu a jeho distribuci.
Závěrem
Při správném nasazení představuje AMTD neocenitelnou obrannou vrstvu proti pokročilým trvalým hrozbám (Advanced Persistent Threats, APT), stejně jako útokům založeným na exploitech a ransomwaru. Řešení Sophos Endpoint využívá technologie AMTD na koncových bodech k automatickému zvýšení odolnosti všech aplikací bez nutnosti konfigurace, změn ve zdrojovém kódu nebo posuzování kompatibility.
AMTD zásadně mění prostředí IT a zvyšuje laťku ochrany tím, že útočníkům přináší větší nejistotu a komplikace. Koncové body chráněné řešením Sophos jsou prokazatelně vůči útokům odolnější. (12.11.2023)