Dlaczego ochrona końcówek jest bardzo ważna nie tylko w czasach pandemii
Urządzenia końcowe to wszystkie maszyny połączone przez Internet z siecią, która jest technicznym sercem Twojej firmy. Jest to termin opisujący wszystkie komputery stacjonarne, laptopy, smartfony, systemy POS, drukarki, skanery i tablety. Wszystko, czego pracownicy używają do komunikowania się ze sobą. Urządzenia te są siłą napędową biznesu, a ich ochrona ma kluczowe znaczenie dla sukcesu organizacji.
Wraz z przejściem w kierunku mobilności – scentralizowane systemy zabezpieczeń, zakładające jedno „wyjście na świat” okazują się nieskuteczne. Wraz z rozwojem organizacji rośnie liczba urządzeń końcowych (endpoint) i koszt ochrony. Rosną też koszty niezabezpieczenia sieci – utrata danych, kary ustawowe i utrata reputacji to tragiczne skutki, o których możemy codziennie przeczytać na portalach branżowych.
Już w 2019 r. firma badawcza IDC opublikowała niepokojące statystyki (offtop – większość statystyk z zakresu cyberbezpieczeństwa jest niepokojąca) – w 70% udanych ataków, problemem było niedostatecznie chronione urządzenie końcowe. Ransomware szyfruje dane i szantażuje właścicieli, spyware po cichu gromadzi hasła. Ale to nie tylko ściągane programy – w 2019 r. file-less malware był odpowiedzialny za ponad 50% ataków na urządzenia końcowe. Do tego podstępy socjotechniczne, takie jak phishing i whaling, nieustannie testują pracowników, próbując wydobyć informacje. W 2020 r., gdy globalna pandemia zmusza wielu pracowników do pracy zdalnej, organizacje muszą chronić więcej punktów końcowych niż kiedykolwiek. Atakujący wiedzą, że ludzie, którzy obecnie często pracują poza kontrolowanym środowiskiem zapewnianym przez komputery i sieci biurowe, są najsłabszym ogniwem bezpieczeństwa. Ludzie odnajdujący się w pracy poza strukturą sieciową korporacji są bardziej podatni na błędy w ocenie, co stwarza możliwości ataku. Też masz takie wrażenie, że Twój służbowy laptop „na pewno jest bezpieczny”?
Zatem jak zapewnić bezpieczeństwo urządzeń końcowych?
Czasy, kiedy antywirus załatwiał sprawę dawno minęły a poprzednie generacje rozwiązań antywirusowych, które skanowały każdy pojedynczy plik, nie nadążają za możliwościami i objętością dysków obecnych urządzeń. Dlatego AV jest jedynie jednym z narzędzi w rozwiązaniu zwanym EDR – Endpoint Detection and Response. Jak sama nazwa wskazuje, rozwój taktyk i technik kierowanych w endpointy sprawił, że do zagrożeń należy podejść szerzej, z podziałem na wykrywanie i reakcję.
Rozwiązania typu EDR działają ze scentralizowanego oprogramowania z agentami na każdym urządzeniu. Wszystkie rozwiązania zabezpieczające punkty końcowe powinny zapewniać ochronę przed złośliwym oprogramowaniem (im bardziej zaawansowane rozwiązanie tym więcej metod analizy), ochronę przed file-less malware – plikami wykonywalnymi z poziomu przeglądarki, pozwala nakładać ochronę dostępu na pliki i foldery oraz umożliwia szyfrowanie danych. Nie wspominając o konieczności dostępu do globalnej, na bieżąco aktualizowanej bazy sygnatur i algorytmów. Różni producenci oferują dodatkowe funkcjonalności, jednak wspomniane wcześniej to core systemów typu EDR.
Poniżej opisujemy kilka kluczowych dla EDR funkcjonalności – z podziałem na mechanizmy bezpieczeństwa i funkcje administratorskie – w końcu jedna rzecz to wykryć zagrożenia, a inna w przystępny sposób dostarczyć te informacje analitykom i umożliwić im działanie.
Najczęściej stosowane mechanizmy bezpieczeństwa w EDR
„Niewidzialne” dla użytkownika skanowanie – o mitycznym konflikcie biznesu z security pisano już tomy. Skanowanie pochłania zasoby obliczeniowe i przeprowadzanie go w trakcie pracy użytkownika nie jest najlepszym pomysłem. EDR powinien wykryć, kiedy komputer jest idle i dopiero wtedy wykonać skan. Nie jest to do końca mechanizm bezpieczeństwa, jednak sposób i jakość skanowania to jeden z kluczowych parametrów przy wyborze EDR i nie można go pominąć.
Dostęp do aktualizowanej przez producenta bazy zagrożeń – zwykle do ataków dochodzi z wykorzystaniem już znanych exploitów i podatności. Okresowe aktualizacje pozwalają automatycznie podnieść poziom bezpieczeństwa. Niektórzy producenci stosują wewnętrzny podział na „tematyczne” bazy zagrożeń np.:
- Generic buffer overflow protection (GBOP) – GBOP zapewnia ochronę opartą na zawartości dla określonych interfejsów programowania aplikacji (API). Ataki typu buffor overflow opierają się na błędach programistów występują, gdy niedostatecznie zdefiniowano zakres pamięci przeznaczonej dla zmiennych.
- Data Execution Prevention – zaprojektowane w celu zapobiegania uszkodzeniom powodowanym przez wirusy i inne zagrożenia bezpieczeństwa poprzez programy monitorujące wykorzystanie pamięci systemowej.
- Kill-bit– zabezpiecza przeglądarki internetowe i inne aplikacje korzystające z formantów ActiveX. Kill-bit określa identyfikator klasy obiektu (CLSID) formantu ActiveX i porównuje z listą tych zidentyfikowanych jako zagrożenia związane z lukami w zabezpieczeniach. Ochrona jest również oparta na treści – analizie ciągów znaków.
Mimo ciągłej ewolucji malware’u – dobry garnitur sygnatur to wciąż podstawa.
Kontrola i monitorowanie aplikacji – najlepsze EDR mają możliwość analizy behawioralnej zachowania aplikacji i „podjęcie decyzji” o jej ewentualnym sandboxingu lub zablokowaniu.
Akcje kontrolowane to między innymi: dostęp do plików lub pamięci systemowej, tworzenie lub kopiowanie plików, zmiana rejestrów itp. Przykładem technologii może być Dynamic Application Containment firmy McAfee. Można to roboczo nazwać pre-sandboxing.
Ochrona przed atakami zero-day – zwykle stosująca metody heurystyczne wspierane przez Machine Learning i wykrywające korelacje kodu, zachowań czy właściwości pliku. W tego rodzaju analizach nie występuje jednoznaczny podział na „zdecydowanie zły” i „zdecydowanie dobry”, poziom ryzyka określany jest na skali pomiędzy tymi wartościami.
Elementy funkcjonalności Web Security i Firewall – bywają wkomponowane w rozwiązania EDR i z pewnością są przydatne. Kontrola portów i protokołów czy analiza reputacji odwiedzanej strony poprawiają bezpieczeństwo urządzeń końcowych.
Figura 1. Obszary technologiczne mechanizmów zawartych w rozwiązaniach typu EDR
Informacje o niebezpieczeństwach wykrytych na urządzeniach końcowych rozpoczynają proces reakcji na incydent – przypominamy, 70% ataków zaczyna się od urządzeń końcowych – dlatego niezwykle ważne jest sprawne dostarczanie informacji analitykom oraz łatwość konfiguracji.
Kilka aspektów, które z pewnością czynią życie działu bezpieczeństwa łatwiejszymi
Centralna konsola zarządzająca – absolutne must-have, biorąc pod uwagę liczbę urządzeń końcowych scentralizowane zarządzanie stanowi o użyteczności tego rozwiązania.
Konfigurowalne skanowanie – administrator powinien mieć różne możliwości skanowania, by posiadać pełnię informacji i jednocześnie nie zakłócać procesów biznesowych. Dla przykładu w jednym z rozwiązań znajdujemy następujące tryby:
- Pełne skanowanie.
- Szybkie skanowanie.
- Niestandardowe skanowanie.
Wyczerpująca ewidencja i raportowanie – sprowadzająca się głównie do trzech obszarów:
- Activity logs: obrazują wszystkie wydarzenia dotyczące zmiany stanu systemu.
- Threats: zapewniają wgląd w hosta – nazwa i lokalizacja, funkcja wykrywania, skrót pliku, plik data i godzina, jeśli wykrycie nastąpiło za pośrednictwem. DATs, czas trwania pliku w systemie zanim został wykryty.
- Debug logs – dotyczą szeroko rozumianego troubleshootingu.
Odpowiedni sposób konfiguracji polityk – kwestia bardzo subiektywna, co to jest „odpowiedni” sposób konfigurowania. Warto zastanowić się nad:
- Granularnością – ile poziomów polityk możesz określić w kontekście wysokie ryzyko-niskie ryzyko.
- Liczbą parametrów – w praktyce polityka to kontener na reguły, jak dokładnie możesz je określić.
- Podział wg urządzeń – często oddzielny zestaw reguły obejmuje stacje robocze a inny serwery, warto się zastanowić jak taki podział ułatwi Ci pracę i czy jest potrzebny.
- Podział wg grup użytkowników – ze względu na departament czy poziom ryzyka, który prezentują.
- Możliwości dodawania wyjątków.
- Reguły automatyzacji.
Dodatkowe mechanizmy zabezpieczające – takie jak uniemożliwienie odinstalowania agenta, oddzielne hasła administratorskie czy granulacja dostępu dla poszczególnych administratorów
Urządzenia końcowe są i będą najsłabszymi ogniwami w sieci każdej firmy – ponieważ stanowią punkt dostępu do wrażliwych systemów i nierzadko są zarządzane przez nieświadomych użytkowników. W związku ze stałym wzrostem ich liczby w firmach rozwijających się programy cyberbezpieczeństwa stają się coraz bardziej złożone. Chociaż mobilność i łatwość komunikacji ułatwiają skuteczne działanie, mogą również stanowić wyzwanie dla ochrony. Aby przeciwdziałać atakom na endpointy, musimy stworzyć polityki bezpieczeństwa niezależne od sieci – w końcu to endpoint jest nowym brzegiem sieci. Ze względu na różnorodność ataków, tylko rozwiązanie klasy EDR można traktować jako adekwatny środek ochronny.