Новое поколение «ловушек» Symantec на каждой конечной точке

Вначале происходит изучение архитектуры компании (сетей, сервисов, шлюзов, адресов и т.д.), поиск известных и описанных уязвимостей, ошибок конфигурирования. Параллельно используются все возможные способы доставки зловреда вовнутрь компании: это могут быть как обычные электронные письма, так и подброшенные флеш-накопители (обычный пользователь находит такой носитель и из любопытства его вставляет в свой ПК, тем самым заражая его). Варианты зависят от уровня подготовки и фантазии.

Далее, в случае успешного внедрения «агента», идет поиск уязвимостей уже изнутри – поиск «слабых» паролей и повышение привилегий для запуска нужных команд и установки остальных компонентов вредного программного обеспечения, уязвимости Java и т.п. Финальным аккордом становятся нужные злоумышленнику действия, направленные на получение (как правило) прибыли или причинение вреда (например, по заказу конкурента): шифрование данных и последующее вымогательство денег, кража личных данных, паролей к сайтам или ключей к банкингу и тому подобное.

Предотвращаем зловредные действия

Таким образом, важно «связать» злоумышленника в попытках проникновения – заставить его «взламывать» и изучать не реальные системы, а направить в так называемые «ловушки». Изначально ловушки (или «приманки») в кибербезопасности использовались в виде простых сетевых «обманок», называемых Honeypots (иногда встречаются названия Honeynet и Honeyfarm), целью которых было (и есть) вынудить злоумышленника думать, что он смог получить доступ к важным для компании ресурсам. По сути, данные «ловушки» эмулировали различные сервисы компании, такие как брандмауэры, прокси-сервера, DNS-сервера и прочие. Злоумышленник, попавший в такую «ловушку», тратил время на «взлом» таких систем, хотя на самом деле его действия контролировались и отслеживались специалистами компании владельца «ловушки», и, как следствие, не вели к какому-либо вреду или краже важных данных.

Проблема таких решений – сложность их настройки и эксплуатации, кроме того, такой подход зачастую не спасает, если инсайдер (человек или вирус) уже получил доступ или находится внутри корпоративной сети. Очевидно, что куда важнее разворачивать такие «приманки» внутри инфраструктурных сервисов, а еще лучше – на самих конечных точках (например, серверах).

Вообще, Symantec не просто так занимает лидирующее первое место в сегменте Endpoint Protection Platforms по итогам аналитики Gartner, что в очередной раз продемонстрировал ежегодный отчет (от 24 января 2018 года, ID: G00325704):

Лидерство объясняется массой функциональных возможностей с точки зрения эффективности защиты и управления, наряду с низкими требованиями к ресурсам и простотой эксплуатации.

В частности, одна из технологий, имеющаяся в решении Symantec Endpoint Protection, – технология целостности хоста (Host Integrity). Ее суть заключается в проверке заданных условий и применении тех или иных действий в случае успешной или неуспешной проверки:

К примеру, администратор системы может проверить наличие важного обновления операционной системы, и в случае, если на клиентской рабочей станции или сервере этого обновления не будет – принудительно его установить. Или, что более интересно для нашего случая (построение «ловушки») – проверка наличия того или иного файла (например, файла с хешами паролей) и в случае наличия данного объекта – создание его копии.

Другая важная технология, имеющаяся в Symantec Endpoint Protection – контроль приложений (Application Control), позволяющая создавать правила обработки для того или иного приложения, процесса. Например, можно прекратить выполнение программы, которая пытается прервать запущенный нужный процесс:

Итак, важно то, что технология целостности хоста (Host Integrity) может выполнять действия на основе заданных требований и условий, а контроль приложений (Application Control) обеспечивает достижение заданных требований при наличии  (совпадении) определенных условий. Сочетание этих двух технологий и позволяет организовать нужную нам «ловушку».

Компания Symantec в своем последнем обновлении решила упростить подход к построению «ловушек», перенеся данную «приманку» на уровень клиентских рабочих мест (ПК, ноутбуков, серверов). Откровенно говоря, ничто не мешало создавать подобные «приманки» на основе вышеописанных технологий (модулей) и ранее. Но в подавляющем большинстве случаев администраторы систем безопасности предпочитают ограничиваться «классическими» модулями защиты – антивирусным, брандмауэром, IPS и т.п.

Понимая данную тенденцию, Symantec выпустил специальное дополнение с уже настроенными политиками для Application Control и Host Integrity – Symantec Deception (в переводе – обман, хитрость, жульничество). Важно отметить, что данный апгрейд доступен совершенно бесплатно всем клиентам продукта Symantec Endpoint Protection.

Установка данной «ловушки» выполняется очень просто – нужная политика импортируется  и применяется к соответствующим группам с конечными рабочими точками, которые должны отслеживать попытки получения важных данных. Как и все гениальное, принцип работы этих политик прост:

1. Запускаются ложные популярные процессы, которые выглядят как важные – процессы антивирусного ядра или как известные приложения с уязвимостями. Именно эти процессы вирусы или злоумышленник в первую очередь попытаются атаковать или прекратить.
2. В журнал заносятся все попытки доступа к этим процессам и принудительно прекращаются зловредные приложения, желающие получить доступ к этим процессам.
3. Запускается специальный скрипт, который будет эмулировать успешность атаки, чтобы злоумышленник решил, будто атака успешна (или частично успешна). Суть действия скрипта – создавать контролируемые дампы, временные файлы или другие ожидаемые действия, которые при этом не будут нести смысловой нагрузки и, как результат, – угроз для системы, где работает агент Symantec Endpoint Protection.

В результате администраторы получают «ловушки» на каждой защищаемой системе без необходимости сложной настройки, с возможностью отслеживать атаки на критические сервисы и процессы (например, в журналах или получать уведомления по email о таковых действиях).

Что крайне важно – Symantec не ограничивает применение «приманок» преднастроенными скриптами. Скорее они являются отправной точкой, образцами. Ничто не мешает администраторам создать более сложные правила, в том числе для своих индивидуальных (корпоративных) сервисов и приложений. Это могут быть:

• ложные файлы (системные, паролей, настроек) и каталоги;
• ложные записи DNS или списки удаленных подключений (RDP);
• ложные сетевые диски и сервисы;
• и даже ложные целые конечные точки!

Компания Symantec в очередной раз порадовала своих пользователей полезной функциональностью и доказала, что является лидером на рынке информационной безопасности.

Однако в любой инфраструктуре важно не полагаться на одно, пусть и лучшее в своем классе, решение. Защита от атак должна строиться на сегментированной защите на всех уровнях (веб, почта, облака, мобильные устройства и т.д.), а также включать, в том числе, и организационные аспекты в деятельности сотрудников компании (учить пользователей не открывать неизвестные ссылки в письмах, разделять права доступа среди администраторов, использовать различные технологические записи, регулярно применять обновления и т.п.). Применение вышеописанных подходов позволит минимизировать риски как самих атак, так и снизить стоимость последствий в случае их наступления.

Специалисты компании Oberig IT всегда будут рады оказать грамотные консультации и продемонстрировать различные решения в области информационной безопасности.

Александр Батуревич, технический эксперт компании Oberig IT 

Ссылки:

• https://www.symantec.com/content/dam/symantec/docs/white-papers/a-look-at-deception-en.pdf
• https://www.symantec.com/blogs/product-insights/how-deception-going-reshape-endpoint-security
• https://www.symantec.com/blogs/feature-stories/deception-depth-new-approach