. Новое поколение «ловушек» Symantec на каждой конечной точке
Новое поколение «ловушек» Symantec на каждой конечной точке

Новое поколение «ловушек» Symantec на каждой конечной точке

Вначале происходит изучение архитектуры компании (сетей, сервисов, шлюзов, адресов и т.д.), поиск известных и описанных уязвимостей, ошибок конфигурирования. Параллельно используются все возможные способы доставки зловреда вовнутрь компании: это могут быть как обычные электронные письма, так и подброшенные флеш-накопители (обычный пользователь находит такой носитель и из любопытства его вставляет в свой ПК, тем самым заражая его). Варианты зависят от уровня подготовки и фантазии.

Далее, в случае успешного внедрения «агента», идет поиск уязвимостей уже изнутри – поиск «слабых» паролей и повышение привилегий для запуска нужных команд и установки остальных компонентов вредного программного обеспечения, уязвимости Java и т.п. Финальным аккордом становятся нужные злоумышленнику действия, направленные на получение (как правило) прибыли или причинение вреда (например, по заказу конкурента): шифрование данных и последующее вымогательство денег, кража личных данных, паролей к сайтам или ключей к банкингу и тому подобное.

Предотвращаем зловредные действия

Таким образом, важно «связать» злоумышленника в попытках проникновения – заставить его «взламывать» и изучать не реальные системы, а направить в так называемые «ловушки». Изначально ловушки (или «приманки») в кибербезопасности использовались в виде простых сетевых «обманок», называемых Honeypots (иногда встречаются названия Honeynet и Honeyfarm), целью которых было (и есть) вынудить злоумышленника думать, что он смог получить доступ к важным для компании ресурсам. По сути, данные «ловушки» эмулировали различные сервисы компании, такие как брандмауэры, прокси-сервера, DNS-сервера и прочие. Злоумышленник, попавший в такую «ловушку», тратил время на «взлом» таких систем, хотя на самом деле его действия контролировались и отслеживались специалистами компании владельца «ловушки», и, как следствие, не вели к какому-либо вреду или краже важных данных.

Проблема таких решений – сложность их настройки и эксплуатации, кроме того, такой подход зачастую не спасает, если инсайдер (человек или вирус) уже получил доступ или находится внутри корпоративной сети. Очевидно, что куда важнее разворачивать такие «приманки» внутри инфраструктурных сервисов, а еще лучше – на самих конечных точках (например, серверах).

Symantec Endpoint Protection – №1 в мире по защите!

Вообще, Symantec не просто так занимает лидирующее первое место в сегменте Endpoint Protection Platforms по итогам аналитики Gartner, что в очередной раз продемонстрировал ежегодный отчет (от 24 января 2018 года, ID: G00325704):

Лидерство объясняется массой функциональных возможностей с точки зрения эффективности защиты и управления, наряду с низкими требованиями к ресурсам и простотой эксплуатации.

В частности, одна из технологий, имеющаяся в решении Symantec Endpoint Protection, – технология целостности хоста (Host Integrity). Ее суть заключается в проверке заданных условий и применении тех или иных действий в случае успешной или неуспешной проверки:

К примеру, администратор системы может проверить наличие важного обновления операционной системы, и в случае, если на клиентской рабочей станции или сервере этого обновления не будет – принудительно его установить. Или, что более интересно для нашего случая (построение «ловушки») – проверка наличия того или иного файла (например, файла с хешами паролей) и в случае наличия данного объекта – создание его копии.

Другая важная технология, имеющаяся в Symantec Endpoint Protection – контроль приложений (Application Control), позволяющая создавать правила обработки для того или иного приложения, процесса. Например, можно прекратить выполнение программы, которая пытается прервать запущенный нужный процесс:

Итак, важно то, что технология целостности хоста (Host Integrity) может выполнять действия на основе заданных требований и условий, а контроль приложений (Application Control) обеспечивает достижение заданных требований при наличии (совпадении) определенных условий. Сочетание этих двух технологий и позволяет организовать нужную нам «ловушку».

Новшества в версии 14.1 – Symantec Deception

Компания Symantec в своем последнем обновлении решила упростить подход к построению «ловушек», перенеся данную «приманку» на уровень клиентских рабочих мест (ПК, ноутбуков, серверов). Откровенно говоря, ничто не мешало создавать подобные «приманки» на основе вышеописанных технологий (модулей) и ранее. Но в подавляющем большинстве случаев администраторы систем безопасности предпочитают ограничиваться «классическими» модулями защиты – антивирусным, брандмауэром, IPS и т.п.

Понимая данную тенденцию, Symantec выпустил специальное дополнение с уже настроенными политиками для Application Control и Host Integrity – Symantec Deception (в переводе – обман, хитрость, жульничество). Важно отметить, что данный апгрейд доступен совершенно бесплатно всем клиентам продукта Symantec Endpoint Protection.

Установка данной «ловушки» выполняется очень просто – нужная политика импортируется и применяется к соответствующим группам с конечными рабочими точками, которые должны отслеживать попытки получения важных данных. Как и все гениальное, принцип работы этих политик прост:

  1. Запускаются ложные популярные процессы, которые выглядят как важные – процессы антивирусного ядра или как известные приложения с уязвимостями. Именно эти процессы вирусы или злоумышленник в первую очередь попытаются атаковать или прекратить.
  2. В журнал заносятся все попытки доступа к этим процессам и принудительно прекращаются зловредные приложения, желающие получить доступ к этим процессам.
  3. Запускается специальный скрипт, который будет эмулировать успешность атаки, чтобы злоумышленник решил, будто атака успешна (или частично успешна). Суть действия скрипта – создавать контролируемые дампы, временные файлы или другие ожидаемые действия, которые при этом не будут нести смысловой нагрузки и, как результат, – угроз для системы, где работает агент Symantec Endpoint Protection.

В результате администраторы получают «ловушки» на каждой защищаемой системе без необходимости сложной настройки, с возможностью отслеживать атаки на критические сервисы и процессы (например, в журналах или получать уведомления по email о таковых действиях).

Что крайне важно – Symantec не ограничивает применение «приманок» преднастроенными скриптами. Скорее они являются отправной точкой, образцами. Ничто не мешает администраторам создать более сложные правила, в том числе для своих индивидуальных (корпоративных) сервисов и приложений. Это могут быть:

  • ложные файлы (системные, паролей, настроек) и каталоги;
  • ложные записи DNS или списки удаленных подключений (RDP);
  • ложные сетевые диски и сервисы;
  • и даже ложные целые конечные точки!

Компания Symantec в очередной раз порадовала своих пользователей полезной функциональностью и доказала, что является лидером на рынке информационной безопасности.

Однако в любой инфраструктуре важно не полагаться на одно, пусть и лучшее в своем классе, решение. Защита от атак должна строиться на сегментированной защите на всех уровнях (веб, почта, облака, мобильные устройства и т.д.), а также включать, в том числе, и организационные аспекты в деятельности сотрудников компании (учить пользователей не открывать неизвестные ссылки в письмах, разделять права доступа среди администраторов, использовать различные технологические записи, регулярно применять обновления и т.п.). Применение вышеописанных подходов позволит минимизировать риски как самих атак, так и снизить стоимость последствий в случае их наступления.

Специалисты компании Oberig IT всегда будут рады оказать грамотные консультации и продемонстрировать различные решения в области информационной безопасности.

📎📎📎📎📎📎📎📎📎📎