Blog

APT elleni védekezés – Fortinet módra

Az IT biztonsági megoldások egyre nagyobb fontossággal bírnak a vállalatok számára, míg a szakembereknek folyamatos kihívást jelentenek az APT (Advanced Persistent Threat) támadások. A Fortinet FortiSandbox termékcsaládja eredményes védelmet biztosít az APT fenyegetései ellen már az úgynevezett zero-day (nulladik napi) fázisban is.

Napjainkban a hagyományos IT-biztonsági megoldások nem képesek hatékony védelmet biztosítani az APT 0. napi támadások ellen. A legtöbb határvédelmi eszköz – a szignatúra alapú ellenőrzés mellett – ugyan képes a kódok valamilyen szintű mélyebb elemzésére, ám nem tudják az esetleges kártékony kódokat teljes életciklusukban vizsgálni.

A kártékony kódok fejlesztői felismerték  ebben a koncepcióban lévő lehetőségeket és olyan kódokat gyártanak, amiknek elsődleges prioritásai a rejtőzködés (átjutni a védelmi vonalakon), túlélés (elkerülni a hagyományos technikák általi felismerést), majd a támadó tevékenység kifejtése.

Az IT biztonsági gyártók egy olyan céleszközzel válaszoltak erre a kihívásra, amik egy izolált, virtuális környezetben, a malware-ek számára valós felhasználói környezetet szimulálva futtatják az alkalmazásokat, figyelik , hogy az adott kód próbál-e ismert támadó IP-khez csatlakozni, registry-t módosítani, ismert vírusokat letölteni, stb.

Ez a koncepció nem új, emlékezhetünk akár az otthoni felhasználásra szánt vírusírtó programokra, amik képesek erre – felhasználói felügyelettel.

Ami újdonság, hogy ezek az úgynevezett sandbox céleszközök automatizáltan, nagy teljesítménnyel, egyidejűleg több fenyegetést vizsgálva, egyszerre többfajta operációs rendszert futtatva képesek tesztelni a kódokat és térnek vissza az eredménnyel.

A valós felhasználói tevékenység szimulálása nagyon fontos eleme lett ennek a technológiának, mivel a kártékony kódok írói reagáltak a sandbox-ok megjelenésére és különféle elkerülő algoritmusokkal (VM evasion) figyelik a valós felhasználói tevékenységet (pl. egérkattintásokat, rendszer újraindításokat), illetve „időzített bombaként” késleltetik tevékenységüket, egyértelműen arra várva, hogy kikerüljenek a sandbox-ból és hatásukat az éles rendszerben tudják kifejteni.

A fejlett Sandbox eszközök képesek ezeket a valós felhasználói aktivitásokat szimulálni, rendszeridőt manipulálni, így a kódok kárt okozó részei is működésbe lépnek és a sandbox már elemezni tudja a bújtatott tevékenységet is.

A piacon több gyártónak is van ilyen jellegű megoldása, ezek közül jó néhány rendelkezik kiváló független minősítésekkel.A most vizsgált alanyunk a szintén élmezőnybe tartozó Fortinet FortiSandbox termékcsaládja.

A FortiSandbox fizikai-, virtuális appliance és felhő platformon érhető el, így megfelelően skálázható minden üzleti modellre és méretre.

A támogatott operációs rendszerek listája is változatos:

  • Windows XP
  • Windows 7
  • Windows 8
  • Windows 10
  • Android

Lehetséges továbbá saját Windows XP / 7 / 8 / 10 image feltöltése is.

Előny, hogy az operációs rendszerek licenszelésével nem kell foglalkozni, a Fortinet kulcsra készen szállítja őket. Kivételek ezek alól természetesen a saját image-ek.

A fenti lista a jelenlegi állapotot tükrözi, a gyártó folyamatosan követi és fejleszti a terméket. A FortiSandbox megjelenése óta rendkívül sok újításon esett keresztül, a Windows operációs rendszerek új verzióit viszonylag gyorsan implementálják a FortiSandbox-ra, amellett meglehetősen gyors ütemben fejlesztik az új feature-öket is.

A FortiSandbox a futtatható állományok mellett (exe,dll, stb.) sokféle tömörített állomány, valamint Adobe Flash, .pdf, .js és Microsoft Office állomány vizsgálatára is képes. (Ez utóbbiakhoz a Fortinet-en keresztül vásárolt Microsoft Office 2007, 2010, 2013 licencek adhatók a FortiSandbox-hoz.)

Ahogy egy ilyen megoldástól elvárható, természetesen fájl típus alapján vizsgálja meg az állományokat és nem a névkiterjesztés alapján.

Lehetséges továbbá fájlmegosztásokat hozzáadni a vizsgálni kívánt tartalmakhoz, amit akár időzíthetünk is. Így amennyiben a 3rd party vírusírtónk képes hálózati megosztáson lévő karanténba helyezni a gyanús állományokat, a FortiSandbox meg tudja őket vizsgálni.

További lehetőség, hogy a vizsgálni kívánt állományokat és URL-eket a FortiSandbox dashboard-ján tölthetünk fel, vagy akár a JSON API-n keresztül teljesen személyre / ügyfélre szabhatjuk az elemzést.

A FortiSandbox a Fortinet UTM, WAF, e-mail szűrő és végpontvédelmi megoldásaihoz közvetlenül illeszthető.

Fortinet ökoszisztéma

1.ábra Fortinet ökoszisztéma

A Fortinet UTM-en (FortiGate) belül megadható hogy például csak azokat a fájlokat küldje elemzésre, amiket egy scoring rendszer alapján gyanúsnak talált, továbbá megadható az is, hogy az UTM használja a FortiSandbox elemzéseinek adatbázisát a vírus és URL szűréshez. Azaz ha valamit a FortiSandbox már kártékonynak ítélt egyszer, azt legközelebb az UTM antivírus / URL filter motorja tiltani fogja. Mindezt úgy, hogy ezek a folyamatok helyben történnek, a FortiSandbox által gyártott szignatúrák nem kerültek ki a gyártó felhőszolgáltatásába és nem így érkeztek vissza az eszközökre. Ez sok olyan intézménynél lehet hasznos, ahol a felhőszolgáltatások elérése szigorúan szabályozott. (Nyilvánvalóan ez csak az on-premise megoldásokra vonatkozik, a felhő alapú Fortinet sandboxing kivételt képez ez alól.)

Természetesen lehetőség van a FortiSandbox által kártékonynak minősített elemeik hash információinak megosztására a FortiGuard felhőszolgáltatásába, így hozzájárulhatunk a zero-day támadások mielőbbi kategorizálásához.

Mai közkedvelt kifejezéssel élve ebben az ökoszisztémában, vagy „kollaboratív módban” a FortiClient végpontvédelmi és VPN programcsomag abban nyújt segítséget, hogy a 0. napi malware gyanús elemeket a FortiClient antivírus komponense közvetlenül tudja küldeni a FortiSandbox-nak. Tehát a végpontokon felbukkanó, de hálózati forgalmat elkerülő alkalmazásokat is képes elemezni. A pendrive-on, USB winchester-en behozott alkalmazások ezáltal ellenőrizhetőek, az így megjelenő szignatúra nélküli károkozók nem jelentenek nagyobb veszélyt a rendszerre, mintha azok a határvédelmi oldalon jelentkeztek volna. A külső eszközök engedélyezése vagy tiltása már egy másik témára, az adatszivárgás elleni védekezés területére vezetnek.

További lehetőség, hogy olyan hálózatban, ahol több Fortinet UTM eszköz van (akár külön telephelyeken), megoldható az egyes eszközök FortiSandbox-hoz történő illesztése, így a telephelyi eszközök is részeivé vállnak a vállalati APT védelmi entitásának.

Fortinet rendszerek

2. ábra Telephelyi eszközök integrációja

Előny a FortiSandbox-nál a méretezés rugalmassága. Amennyiben egy intézmény kinövi pl. a fizikai appliance-ét, akkor további slave (akár virtuális) eszközök adhatók hozzáa már meglévő készülékekhez, így növelhető a sandboxing kapacitás. A virtuális appliance formátum pedig már alapkiépítésben is nagyon rugalmasan skálázható.

FortiSandbox bővítés
  1. ábra – FortiSandbox bővítés – A Primary Slave egység a magas rendelkezésre állást szolgálja, a Slave egységek a sandboxing kapacitást bővítik

Összegzésként elmondható, hogy a piacon jó néhány gyártó kínál terméket az APT elleni védelemre, és ezek közül a FortiSandbox a független minősítő intézmények véleménye szerint is a rangsor elején található. Az élmezőnyben azonban van még néhány szereplő és az ő teljesítményüket sem lehet elvitatni.

Végül melyik gyártó APT elleni megoldására essen a választásunk? Erre a megfelelő válasz, hogy olyanra, amilyet az infrastruktúránkba a legideálisabb módon és költséghatékonyan tudunk illeszteni.

A FortiSandox előnyei olyan infrastruktúrában lehetnek ideálisak, ahol heterogén környezetben egy más gyártói szemléletre van igény, de a legkézenfekvőbb olyan hálózatba integrálni – és itt mutatja meg a legfőbb erényeit-, ahol együtt tud működni a Fortinet UTM és/vagy WAF, e-mail szűrő, végpontvédelmi megoldásaival.

Csere István Csere István • Presales mérnök, biztonsági rendszerek

ITT és MOST VÁRJUK A HOZZÁSZÓLÁST!

Email cím (nem tesszük közzé) A kötelezően kitöltendő mezőket * karakterrel jelöljük