 |
|
|
|
Технологии защиты Kaspersky Endpoint Security для бизнеса
Технологии защиты В этом материале мы расскажем о современных технологиях детектирования угроз, используемых в Kaspersky Endpoint Security для бизнеса, – решении «Лаборатории Касперского» для защиты конечных узлов корпоративной сети Защита конечных узлов: история развития Раньше к конечным узлам относили только рабочие станции и серверы, но сегодня это понятие расширилось. Теперь оно включает в себя еще и мобильные устройства, а также виртуальные среды. В целом ИТ-инфраструктура усложнилась, а ее значимость в обеспечении работы непрерывных процессов многократно возросла. Анализ больших данных, распределенное хранение, автоматизация процессов требуют современных подходов в обеспечении безопасности. Одновременно с этим отмечается растущий интерес со стороны злоумышленников к закрытым данным и финансовым активам. Большинство современных угроз представляют собой инструмент по зарабатыванию денег, приводящий жертву ккрупным финансовым и репутационным потерям. Сложные атаки служат новым вызовом разработчикам решений информационной безопасности и требуют значительного экспертного ресурса в создании эффективной защиты.
Приведем характеристики, которыми должна обладать современная защита конечного узла:
Из перечисленного видно, что современная защита – это уже далеко не простой механизм сигнатурного детектирования, а целый комплекс сложных технологий, в котором особую важность приобретает легкость в управлении. При выборе средства защиты важно руководствоваться не только составом функциональных требований. Необходимо понимать, какие технологии применяются внутри решения икак они связаны между собой. Не менее важно оценивать уровень экспертных знаний и опыта компании и ее способность развивать технологии в дальнейшем. Технологии с использованием машинного обучения В настоящее время огромное развитие получили методы машинного обучения (machine learning, ML), успешно применяемые к большим объемам данных. Однако эффективное использование ML в целях детектирования угроз возможно только при наличии обширного опыта и знаний в области информационной безопасности в сочетании с техниками feature-инжиниринга. Существует заблуждение, что в задачах выявления угроз ML можно применять на сырых данных. Это не совсем так. Среди специалистов хорошо известна истина: «Мусор на входе – мусор на выходе». Для построения процесса обучения крайне важна грамотная предобработка данных и дополнение их экспертными знаниями (feature-инжиниринг). Наивно думать, что без вирусных аналитиков и глубоких экспертных знаний можно построить эффективно работающие алгоритмы. По сути, аналитики выполняют надзорную роль, обеспечивая контроль работы алгоритмов и их улучшение, принимая точечное участие в верификации самых сложных угроз, где не всегда достаточно автоматического анализа.
Рисунок 1. Без вирусных аналитиков и глубоких экспертных знаний невозможно построить эффективно работающие алгоритмы Двадцатилетний опыт развития собственных исследовательских подразделений, анализа и накопления экспертных данных позволил «Лаборатории Касперского» выявлять подавляющее большинство угроз автоматически благодаря применению методов машинного обучения. Сам центр обработки и анализа угроз можно представить в виде «турбины», где на вход подаются объекты, которые проходят уровни обработки и анализа различными технологиями, в том числе алгоритмами машинного обучения (см. рис. 2). В результате анализа на выходе получаются сформированные правила детектирования угроз, которые становятся доступны в Kaspersky Security Network.
Рисунок 2. Автоматизированный центр обработки и анализа угроз Алгоритмы ML позволяют ежедневно обнаруживать и описывать более 310 000 уникальных угроз, большая часть которых благодаря работе облачного сервиса Kaspersky Security Network становится моментально доступной для технологий защиты конечного узла. При этом огромное внимание уделяется недопущению ложных срабатываний. Для этого новые правила детектирования угроз проверяются по обширной базе данных чистых файлов. Kaspersky Endpoint Security для бизнеса
Развитие угроз для бизнеса обусловило создание нового поколения защиты конечных узлов. Силами «Лаборатории Касперского» были разработаны и внедрены различные технологии защиты, в том числе использующие методы машинного обучения. Благодаря этому удалось значительно ускорить процесс обнаружения угроз и одновременно снизить общую нагрузку на целевую систему. На сегодняшний день Kaspersky Endpoint Security для бизнеса (KESB, Kaspersky Endpoint Security for Business) представляет собой высокоэффективный комплекс безопасности конечных узлов корпоративной сети. Управление Для гибкого централизованного управления защитой был разработан компонент Kaspersky Security Center. Центр управления позволяет получить доступ к детальной информации обуровне защищенности конечных узлов, централизованной политике безопасности. Таким образом центр становится единой точкой агрегации всех угроз и управления защитой корпоративной сети.
Отдельно важно сказать о его расширенном функционале, доступном в компоненте Kaspersky System Management. Он повышает защищенность корпоративной сети за счет следующих возможностей:
Последовательность технологий защиты Логику работы KESB можно условно разделить на четыре этапа (см. рис. 3).
Рисунок 3. Последовательность технологий защиты Kaspersky Endpoint Security для бизнеса Каждый этап представлен группой самостоятельных технологий защиты. Это означает, что любая из технологий в рамках своей компетенции способна обнаружить и остановить угрозу самостоятельно, а приведенная последовательность этапов демонстрирует потенциал решения в целом. Также наряду с технологиями безопасности существуют два облачных сервиса экспертного обеспечения.
Приведенная последовательность технологий защиты стала ответом на фазы развития атак: на каждом из этапов обеспечивается свой уровень безопасности, необходимый дляпредотвращения угрозы (см. рис. 4).
Рисунок 4. Последовательность технологий защиты как ответ на фазы развития атак Рассмотрим технологии защиты каждого этапа в отдельности. Этап первичной фильтрации Сегодня, когда угрозы распространяются через любые возможные каналы передачи информации, чрезвычайно важно обеспечить надежную защиту периметра защищаемого узла. Первый этап – фильтр для всей входящей информации. Благодаря применению превентивных блокирующих технологий обеспечивается мониторинг основной активности защищаемого узла, позволяющий выполнять раннее обнаружение и блокирование известных угроз. Рассмотрим блокирующие технологии первого этапа. Защита от сетевых атак Безопасность сетевых соединений контролируется системой обнаружения вторжений (Intrusion Detection System, IDS), которая представляет собой сетевой сигнатурный сенсор. Впроцессе работы IDS применяет технологию глубокого инспектирования пакетов (Deep Packet Inspection, DPI), позволяя сетевому сенсору контролировать весь проходящий трафик. Благодаря этому он способен оперативно выявлять множество подозрительных и опасных сетевых событий. Пример сетевых событий:
При выявлении опасного события сенсор блокирует соединение, используя функционал сетевого экрана. Сетевой экран Блокирующая технология, фильтрующая сетевую активность защищаемого узла с учетом заданных правил:
Параметры задаются администратором в политике сетевых соединений. Веб-фильтрация Веб-ресурсы – одни из источников распространения угроз. Компрометация доверенного веб-узла и размещение на нем вредоносного скрипта либо эксплойта с угрозой нулевого дня делают каждодневную работу небезопасной. Для обеспечения комфортной и безопасной работы с веб-ресурсами сети в KESB применяется технология веб-фильтрации, состоящая из двух уровней защиты. Первый уровень относится к облачному сервису KSN (Kaspersky Security Network) и отвечает за пассивную фильтрацию, то есть предоставляет оперативный доступ к категоризации веб-ресурсов и их репутации непосредственно перед тем, как веб-браузер начнет выполнять загрузку контента. Категории веб-адресов, содержащиеся в репутационной базе данных KSN:
Фильтрация позволяет значительно обезопасить работу, блокируя большую часть известных опасных веб-ресурсов и экономя вычислительные ресурсы защищаемого узла. Второй уровень основан на технологии динамического анализа и контролирует непосредственно загружаемый контент с любых неизвестных веб-ресурсов. О нем мы расскажем вовремя описания технологий защиты второго этапа. Контроль подключаемой периферии Портативная электроника также представляет потенциальную угрозу для защищаемого узла. Контроль периферии позволяет определить тип подключенного устройства иодновременно подтвердить легитимность операции от пользователя с помощью символьного ключа. Контроль позволяет выявить случаи подмены: к примеру, когда флеш-карта пытается выдать себя за клавиатуру, чтобы избежать сканирования. Такой метод злоумышленники используют для того, чтобы усыпить бдительность технологий контроля ипроникнуть внутрь защищаемого периметра. Контроль периферии тесно связан с технологиями этапа предотвращения исполнения, на котором непосредственно выполняется анализ неизвестных объектов. Этап предотвращение исполнения Для киберпреступников важно не только пройти первичную фильтрацию, но и суметь обмануть детектирующие технологии, обеспечивающие раннее обнаружение вредоносного ПО. Заражение можно считать успешным только тогда, когда вредоносному коду будет доступно исполнение внутри доверенной среды. Для этого киберпреступники непрерывно совершенствуют свои техники обхода детектирующих технологий. Перечислим основные из них:
Комбинирование приведенных техник обхода – мощный инструмент, широко применяемый для проникновения в среду конечного узла. Противостоять ему способна лишь комплексная и технологичная защита, вооруженная современными методами контроля и анализа исполняемых объектов. Предотвращение исполнения – это один из самых нагруженных этапов, на котором непрерывно анализируется большое количество объектов. Рассмотрим в деталях технологии, на которых он строится, и задачи, которые выполняет. Укрепление доверенной среды В первую очередь осуществляется контроль доверенной среды. Это делается для снижения потенциальных угроз путем локализации и устранения уязвимостей в компонентах операционной системы и стороннего программного обеспечения. Для этого применяется поиск уязвимостей (Vulnerability Assessment), использующий глобальную базу уязвимостей CVE (Common Vulnerabilities and Exposures). Этоавтоматизированный процесс, централизованно управляемый компонентом Kaspersky System Management. Он позволяет оперативно сообщать о выявленных угрозах в программном обеспечении и так же оперативно устранять их при помощи технологии обновления ПО (Patch Management). Технология обновления ПО способствует поддержанию актуальных версий используемых программных продуктов. В комплексе обе технологии укрепляют защищаемую среду, существенно снижая возможную эксплуатацию уязвимостей. Отдельно важно выделить дополнительную блокирующую технологию Default Deny (буквально: «запрет по умолчанию»). В ней реализован альтернативный подход к контролю запуска программного обеспечения в режиме, «что не разрешено – то запрещено». Такой подход предоставляет возможность администратору определять необходимые и достаточные программные продукты для выполнения бизнес-задач компании.
К основным преимуществам Default Deny относятся:
Технология включает широкий набор категорий, которые администратор может присвоить ПО (доверенные производители/доверенные аккаунты, добавленные вручную/запрещенное либо нелицензированное программное обеспечение и т.д.). Списки формируются и обновляются автоматически центром обработки и анализа угроз и не требуют внимания со стороны. Репутационные сервисы Эта часть Kaspersky Security Network обеспечивает высочайшую скорость обнаружения угроз за счет репутационных онлайн-баз с детализированной информацией по объектам. Базы непрерывно пополняются экспертной информацией, в том числе и от детектирующих технологий других участников инфраструктуры KSN, использующих экспертное облако для защиты. Главные достоинства репутационных сервисов:
В результате проверки каждому файлу присваивается своя категория:
Каждый файл из категории «Неизвестный» автоматически передается на анализ технологиям детектирования с использованием машинного обучения, которые мы рассмотрим далее. Многоуровневая защита Заключительная задача второго этапа – выявление сложных угроз с использованием различных технологий анализа. Для этого применяется компонент многоуровневой защиты, состоящий из набора сценариев, предопределенных по типам точек входа информации. Сценарии работы многоуровневой защиты показаны на рис. 5.
Рисунок 5. Сценарии работы многоуровневой защиты Каждый сценарий обладает своим набором детектирующих технологий, но при необходимости технологии могут комбинироваться, тем самым обеспечивая требуемый уровень защиты. Веб-фильтрация – динамическая защита
Начнем с технологии, являющейся продолжением работы веб-фильтрации (этап первичной фильтрации). Она отвечает за активную фазу детектирования угроз непосредственно взагружаемом контенте. Если на первом уровне выполняется статический контроль URL, определяющий принадлежность веб-ресурса к конкретной категории, то на втором осуществляется динамический анализ неизвестного HTML-кода в момент его контролируемой загрузки. Эвристический анализ скриптов Особое внимание уделяется анализу скриптов, присутствующих в HTML-документе. Для этого дополнительно применяется эмулятор, способный обнаруживать сложные угрозы вразличных скриптовых языках, подлежащих эвристическому анализу. Таким образом пассивный (уровень первичной фильтрации) и активный (предотвращение вторжения) уровни веб-фильтрации в совокупности обеспечивают безопасную работу свеб-ресурсами. Также технологии веб-фильтрации применяются для контроля безопасности при работе с любыми другими точками входа информации, где может присутствовать веб-адрес: кпримеру, в электронной почте или при переписке в мессенджере. Электронная почта При работе с электронной почтой, помимо анализа URL, применяются дополнительные технологии, позволяющие анализировать файловые вложения. Дело в том, что электронная почта – одна из самых распространенных точек входа для злоумышленников. Существует целое направление социальной инженерии (Spear phishing) какинструмента направленного подготовленного воздействия, где, помимо вложенного эксплойта, могут содержаться закрытые архивные вложения с указанным паролем от них в теле письма либо в графическом виде. Это накладывает определенные требования к защите, а именно: умение автоматически открывать и анализировать закрытые архивы. Перейдем к технологиям анализа файлов. Сигнатурный анализ файлов Технология сигнатурного анализа применяется в различных сценариях защиты, где требуется быстрая идентификация объекта на наличие угрозы. В сценарии электронной почты она необходима для проверки вложенных файлов.
Сам сигнатурный метод детектирования обладает рядом преимуществ, благодаря которым при анализе файлов он применяется первым. Вот основные из них:
Такой метод детектирования ограничен количеством сигнатур, находящихся в пополняемой базе данных. По этой причине сигнатурный анализ работает в паре с анализом эвристическим. Детектирование с использованием методов машинного обучения Непосредственно анализ файлов с использованием машинного обучения мы детально рассмотрим далее. А в сценарии защиты электронной почты машинное обучение играет следующую роль: оно обеспечивает уникальную возможность распаковывать защищенные паролем архивные вложения путем извлечения оставленного в теле письма пароля (вграфическом либо текстовом виде). Этот метод злоумышленники используют как одну из техник обхода детектирующих технологий, где защищенный архив играет роль «сейфа», недоступного для анализа. Дляраспознавания пароля в графическом виде применяется алгоритм машинного обучения. После этого пароль используется для извлечения содержимого из защищенного паролем архива. Устройства хранения Каждый неизвестный файл представляет собой потенциальную угрозу для защищаемого узла и требует отдельного внимания со стороны технологий защиты. Для таких случаев в многоуровневой защите предусмотрен продвинутый сценарий, в котором обеспечивается глубокий анализ с применением методов машинного обучения. Существует несколько технологий анализа файлов. Сигнатурный анализ файлов, основные преимущества которого были приведены в сценарии электронной почты. В этом сценарии технология выполняет задачу грубого фильтра, оставляя только неизвестные файлы для анализа с использованием методов машинного обучения. Благодаря сигнатурному анализу также экономятся вычислительные ресурсы защищаемого узла. Детектирование с использованием методов машинного обучения Самая продвинутая технология многоуровневой защиты. Выполняет глубокий анализ файлов в целях раннего обнаружения угроз. Технология основывается на выполнении двух параллельных процессов, обеспечивающих детектирование по статическим и динамическим данным (см. рис. 6).
Рисунок 6. Детектирование с использованием методов машинного обучения Оба процесса делятся на три этапа, состоящие из своих групп технологий. Статический и динамический подходы дополняют друг друга, компенсируя возможные недостатки:
Далее мы подробно рассмотрим особенности работы каждого из процессов. Детектирование по статическим данным Препроцессор, подготовительные технологии:
Разнообразие метаданных напрямую влияет на качество детектирования, поэтому препроцессор содержит большую библиотеку различных парсеров. Они поставляют информативные признаковые описания (структуры исполняемых файлов, статистические характеристики данных и кода, строки и т.д.). Детектор выносит решение о вредоносности объектов, анализируя признаковые описания. Работа детектора происходит в два этапа. На первом вычисляется гибкий хеш, позволяющий эффективно проверить, находится ли проверяемый объект в «грязной» области. Если область простая (то есть в ней встречаются объекты одного класса: только «чистые» либо только «грязные»), на этом этапе может быть выдан детект. Преимущество гибкого хеша – устойчивость к полиморфизму иобфускации, что позволяет существенно экономить вычислительные ресурсы защищаемого узла. Если область сложная (в ней встречаются как «грязные», так и «чистые» объекты), объект передается на второй этап. На нем признаковые описания объекта оцениваются классификатором, в задачи которого входят поиск и применение подходящей обученной модели (специализирующейся на этой области) из числа многих, содержащихся в базе данных. Обученная модель выдает окончательное решение о том, является ли объект вредоносным (см. рис. 7).
Рисунок 7. Пространство объектов Детектирование по динамическим данным Препроцессор собирает динамическую информацию: поведение объекта, области памяти с исполняемым кодом и другие. Эмулятор позволяет запустить исполняемый файл в контролируемой среде, частично имитирующей реальную систему. К его достоинствам относятся низкие требования квычислительным ресурсам и безопасность (так как исключено воздействие анализируемого кода на доверенную среду). В результате работы динамического анализа мы получаем записанную последовательность действий исполняемого файла, а также дамп памяти и другие объекты, которые были порождены в результате его исполнения (например, созданные файлы). Все перечисленные данные представляют собой базовые поведенческие признаки. Дамп памяти позволяет получить доступ к оригинальному (неупакованному) коду, а также обнаружить данные, которые указывают на вредоносное предназначение.
Детектор выносит решение о вредосности объектов, выявляя вредоносные поведенческие сценарии. В работе детектор использует библиотеку вредоносных сценариев, которая формируется автоматизированным центром «Лаборатории Касперского» для обработки и анализа угроз. Центр, обладая большими коллекциями вредоносных и чистых (незараженных) файлов, непрерывно обрабатывает их, извлекая базовые поведенческие признаки, на которых обучает модели. Те преобразуются в сценарии поведения и поставляются детектору в режиме инкрементальных обновлений. Такой подход значительно сокращает время и размер самого обновления, позволяя оперативно поддерживать эффективность работы детектора. Минимизация ложных срабатываний Каждое решение, вынесенное детектором, дополнительно проверяется на предмет ложного срабатывания. Ложные срабатывания имеют крайне низкую вероятность, но могут повлечь за собой серьезные негативные последствия. В целях минимизации ложных срабатываний при срабатывании детекта выполняются как минимум следующие проверки:
Говоря о втором этапе, важно отметить наличие локального кэша KSN, позволяющего избежать повторных запросов на уже проверенные объекты и тем самым сэкономить вычислительные ресурсы защищаемого узла. Контроль исполнения Несмотря на то, что на втором этапе производится статический и динамический анализ, часть угроз может пройти дальше. Например, многокомпонентные шифровальщики, использующие легитимное ПО с функцией шифрования, могут не вызвать подозрений, так как каждый компонент по отдельности не представляет угрозы.
Задача третьего этапа заключается в обнаружении вредоносного поведения внутри доверенной среды. В ходе анализа учитывается суммарное поведение всех активных компонентов, включая доверенные и недоверенные приложения, а также системные компоненты. Такой анализ позволяет выявлять сложные многокомпонентные угрозы. Другой пример – предотвращение эксплойтов. В этом случае происходит обнаружение вредоносного поведения внутри доверенного приложения. Например, при открытии документа Word, содержащего эксплойт, технология автоматического предотвращения эксплуатирования (Automatic Exploit Prevention, AEP) обнаружит вредоносное поведение и заблокирует его. Технология эффективна и позволяет блокировать сложные угрозы, в том числе эксплоиты для уязвимостей нулевого дня. Поведенческий анализ Эта технология анализирует поведение всех активных компонентов внутри доверенной среды защищаемого узла. Выделяются следующие уровни анализа (см. рис. 8):
Рисунок 8. Поведенческий анализ Контроль привилегий Параллельно с поведенческим анализом выполняется контроль привилегий, основанный на политиках и категоризации приложений. Контроль заключается в мониторинге активности приложений и накладывании ограничений исходя из тех свойств, которыми они обладают: известность в мире, доверие издателю, наличие детекта и т.д. Благодаря этому программа не может бесконтрольно выполнять действия внутри защищаемой среды, например, осуществлять сетевой обмен или другие действия. Например, к приложениям Microsoft или другим широко известным приложениям будет применена слабая политика контроля. С другой стороны, для малоизвестных или noname приложений система контроля привилегий сформирует политику, по строгости соответствующую той опасности и рискам, которые это приложение может вызвать. Контроль привилегий работает в паре со списками доверенных программ Default Deny, если этот режим активирован, обеспечивая безопасность в режиме реального времени. Ограничениями можно управлять централизованно на уровне корпоративной сети или настраивать защиту персональных данных индивидуально. Процесс исправления Заражение – это исполнение вредоносного кода внутри доверенной среды. В этом случае исполняемый процесс находится на пути к достижению намеченных злоумышленниками целей, порождая своей активностью цепь различных событий. Обычно такие ситуации происходят в случае установки защитного решения на заведомо инфицированный узел либо вслучае выявления потенциально опасной активности уровнем поведенческого анализа. К примеру, когда шифрование файлов запускается легитимным процессом на локальном диске защищаемого узла. В таких случаях начинается четвертый этап защиты, отвечающий за экстренное реагирование на угрозу. Реакция В каждом случае блокирования потенциально опасной активности технологиями защиты поведенческого анализа требуется выполнить комплекс мер, направленных на возврат кпрежнему состоянию доверенной среды.
Автоматический откат действий отменяет выполненные изменения, следуя по шагам заблокированного процесса. Фактически он «раскручивает» цепочку событий, возвращая структуру к исходному состоянию. В этом ей способствуют технологии этапа поведенческого анализа, предоставляющие детальную историю действий по конкретному процессу. Цепь событий может включать в себя:
В ряде сложных случаев (например, когда зловредный код внедрил себя в системный процесс, на который невозможно повлиять, не затронув стабильность операционной системы) подключается технология, отвечающая за лечение активного заражения. Этот инструмент способен безопасно восстановить зараженные файлы, в том числе компоненты операционной системы. В случае активного лечения происходит перезагрузка защищаемого. При этом выполняется замена зараженных системных компонентов методом замещения. Для этого технология обладает широким функционалом поиска оригинальных файлов для восстановления. Таким образом система приводится к стабильному состоянию. Форензика Каждый инцидент информационный безопасности при анализе требует своей доказательной базы. Благодаря тому, что технологии защиты собирают расширенные данные, предоставляется возможность изучить выявленный инцидент для принятия мер профилактики информационной безопасности. Меры собственной безопасности Для гарантированно надежной работы решение обладает средствами контроля собственной безопасности. Это обеспечивает целостность защиты, в том числе и от попыток отключения ее самим пользователем. Самозащита перехватывает и запрещает небезопасные операции с ресурсами внутри доверенной среды вне зависимости от прав и привилегий пользователя. Таким образом решается вопрос с уязвимостями, позволяющими завладеть привилегированным доступом администратора. В завершение Мы надеемся, что нам удалось помочь вам по-новому взглянуть на защиту конечного узла, в деталях описав работу на каждом из этапов. Многоуровневая архитектура решения позволяет вам быть уверенными в надежной защите и противостоять неизвестным угрозам, обеспечивая бизнесу стабильность. |
НИКОЛАЙ ДЕМИДОВ, технический эксперт «Лаборатории Касперского»
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
