Net++: Odbrana od nezvanih gostiju
Nezvani gosti koji su posetili PC Press, osim potrošenog vremena, mogu da nanesu i ozbiljnu štetu – gubitak podataka, posla, reputacije, kupaca, dobavljača… Često se čak i izgubljeno vreme može direktno povezati sa gubicima u novcu. Zbog toga je važno da znamo kako da se odbranimo od Dharpa ransomware‑a i drugih opasnosti, ali i odakle ti napadi mogu da dođu
U računarskoj praistoriji virusi su se širili preko disketa (za mlađe – ekvivalent današnjih USB diskova) i pokretanjem zaraženih programa. Uz malo pažnje i osnovne računarske higijene (na primer, da ne stavljate svoje diskete u svaki floppy disk ili ako već morate da ih stavljate, onda ih pre toga zaštitite – postojao je jezičak kojim se zabranjivao upis na diskete), mogli ste da budete sigurni da se nećete zaraziti malverom. Dolazak modema, povezivanje računara, BBS‑ova, Interneta, Wi‑Fi mreža te 3G/4G veza sve je promenio – danas nam se čini da malver vreba iza svakog ćoška i da je dovoljno da uključite računar i da se odmah zarazite. Što je najgore, skoro da je zaista tako. Kako onda da se zaštitite?
E‑mail – vektor ulaska malvera broj 1
Da li ste znali da je Srbija na petom mestu u svetu po broju zaraženih e‑mail poruka, a 13. po procentu spam poruka? E‑mail je i dalje najbolji i najlakši način komunikacije (mada mu sve češće predviđaju penziju), neizostavan u preduzećima, ali i sveprisutan u privatnoj komunikaciji i razmeni dokumenata i poruka.
Nije neobično što je e‑mail vektor broj jedan za ulazak malvera na vaš računar, tablet, telefon… Zahvaljujući socijalnim mrežama, danas je vrlo lako pronaći nečiji e‑mail, a milioni adresa iscurelih s raznih sajtova i baza širom sveta garantuju da se i vaša e‑mail adresa nalazi u rukama spamera ili hakera koji će pokušati da zaraze vaš računar. Na sajtu haveibeenpwned.com možete proveriti da li se vaš e‑mail (možda čak i vaša šifra) nalazi na nekom od spiskova.
Spameri, hakeri i cyber kriminalci šalju vam phishing poruke i ciljane (spear) phishing poruke kako bi vam ukrali korisničko ime i lozinku (najčešće baš za sam pristup e‑mail‑u) ili vas namamili na Web sajt s malicioznim sadržajem ili sa coinminer‑om, možda i s trojancem koji će zaraziti vaš računar. Postoje i e‑mail poruke kojima će pokušati da vas prevare i nateraju da im uplatite neku od kriptovaluta. Dok jedan deo loše pripremljenih spam i phishing poruka možete lako da prepoznate, one bolje pripremljene teško je odmah uočiti. U proseku, trećina korisnika e‑mail‑a kliknuće na link u phishing porukama. Slično je i s prilozima – Word, Excel ili PDF dokumentima: trećina korisnika će ih otvoriti, neki iz radoznalosti, neki iz nepažnje, neki jer očekuju sličan dokument. A upravo u ovim fajlovima najčešće se kriju virusi – trojanci koji će pozvati nezvane goste, možda goste koji će vam šifrovati fajlove na računaru, a ako je u mreži, velika verovatnoća je da će pokušati da šifruju i fajlove na mrežnim diskovima, a zatim će od vas zahtevati otkup – plaćanje kako bi dešifrovali vaše fajlove. U preduzećima, neke od ciljanih e‑mail poruka, tzv. direktorskih prevara, pokušaće da vas prevare podmetanjem lažnih faktura koje izgledaju kao da stižu od vaših dobavljača ili će vašim partnerima slati poruke koje imaju vaše lažne fakture kako bi njih prevarili.
Prva ideja koja se nameće, zaštita sa antivirus softverom na samom računaru, jeste dobra, ali nije ni blizu dovoljna. Važno je spam i maliciozne e‑mail poruke zaustaviti što je moguće ranije, pre nego što do dođu do računara, tableta ili telefona – poželjno i pre nego što dođu do vašeg e‑mail servera.
Symantec Email Security.cloud
Dobar primer rešenja koje pruža zaštitu za e‑mail od svih gorenavedenih primera pretnji, kao i od drugih zlonamernih e‑mail poruka, jeste Symantec Email Security.cloud, rešenje u oblaku koje zaustavlja neželjenu elektronsku poštu, uključujući i onu koja sadrži malver ili zlonamerne linkove, pre nego što stigne do vašeg e‑mail servera. Symantec Email Security.cloud implementira se u roku od nekoliko sati (par provera i promena MX zapisa u DNS‑u za vaše email domene) i zaštita vektora ulaska malvera br. 1 je spremna i funkcionalna.
Email Security.cloud podržava rad s Microsoft Office 365, Google Apps, Microsoft Exchange kao i drugim e‑mail servisima i serverima, bilo da se radi o cloud ili on‑premise rešenjima. Email Security.cloud poseduje sposobnosti samostalnog učenja i pomoću Symantec podataka uspeva da obezbedi najefektniju i preciznu e‑mail zaštitu.
Rešenje je dizajnirano da obezbedi 100 odsto zaštite od poznatih i nepoznatih e‑mail virusa i poseduje 99‑postotnu detekciju spama. Email Security.cloud pomaže preduzećima da se zaštite od e‑mail virusa, malvera, spama, fišinga, ciljanih napada i masovnih e‑mail‑ova, uz istovremeno smanjivanje složenosti sistema.
Email Security.cloud počiva na ogromnom broju podataka iz Symantec‑a, uključujući i najveću operativnu mrežu za nadgledanje malvera i spama – Symantec Global Intelligence Network (GIN), koja prikuplja podatke s miliona računara, servera i mreža gde se koriste Symantec proizvodi. Ova kombinacija podataka daje Email Security.cloud servisu dodatni uvid u nove pretnje, što omogućava bolju zaštitu koju pruža korisnicima. Posebna tehnologija skeniranja nazvana Skeptic kombinuje ove podatke i proverava različite atribute e‑mail poruke u potrazi za anomalijama. Skeptic ima sposobnost učenja i koristi heuristiku da proceni koliko je maliciozan sadržaj e‑mail poruke kako bi pružio dodatnu zaštitu.
Email Securty.cloud takođe koristi i praćenje linkova u e‑mail‑ovima, Real‑Time Link Following tehnologija – koja će ispratiti link do konačnog odredišta, proveravajući da li krajnja destinacija ima maliciozni sadržaj. Ovim se korisnici štite od novih i malicioznih URL‑ova kreiranih u ciljanim phishing napadima, blokirajući poruke i pre nego što dođu do vašeg sandučeta. Posebno je važno napomenuti da je praćenje linkova omogućeno i nakon isporuke e-mail poruke, što je bitno, budući da napadači obično ne aktiviraju odmah malver na stranicama do kojih vode linkovi, kako bi e‑mail poruka uspešno prošla kroz slične sisteme za filtriranje poruka.
Kada Email Security presretne malver ili potencijalnu spam poruku, smešta je u karantin, gde se nalazi 30 dana pre nego što se obriše. Period u karantinu znači da je maliciozni e‑mail izolovan i da ne može da inficira računar, niti server primaoca. Svaki e‑mail u karantinu ima jedinstveni identifikator. Ova oznaka šalje se u upozorenju administratoru i/ili korisniku da je dobio e‑mail s mogućim virusom/spamom.
Na kontrolnoj ploči, dashboard‑u, mogu se videti zbirni izveštaji, detaljni izveštaji i generisati izveštaji prema rasporedu. Ključni statistički podaci pružaju brz pregled trenutnih servisa i performansi, kao i bitnih aktivnosti, kao što su blokirani virusi ili e‑mail poruke koje su aktivirale neku od polisa/pravila. Zahtev za izveštajima pruža mogućnost da se dođe do detaljnih izveštaja, dozvoljavajući da izaberete metriku i periode koje izveštaj treba da pokrije. Izveštaji se mogu generisati po potrebi ili periodično, uz opciju slanja e‑mail‑om ili preuzimanja preko portala. U novoj verziji korisnici čak imaju i mogućnost da uporede svoje statističke podatke sa sličnim preduzećima iz iste oblasti poslovanja i sa globalnim trendovima i statistikom.
Symantec Email Threat Isolation
Ako želite da obezbedite dodatni nivo zaštite za korisnike koji neoprezno klikću na linkove u e‑mail porukama koje im stižu, preporučujemo i novu tehnologiju zaštite korisnika (posebno poželjna kod tzv. VIP korisnika) – Web izolacija.
Tehnologija Web izolacije omogućava potpunu izolaciju vašeg browser‑a i sadržaja koji prikazuje od Web sajta, strane koju posećujete. Email Threat Isolation je dodatni servis koji može da se integriše s postojećim Symantec rešenjima za zaštitu e‑mail poruka, koji će sve nebezbedne linkove preusmeriti na izvršavanje u posebnim, izolovanim i sigurnim mini‑kontejnerima, a vašem browser‑u će poslati samo bezopasne slike stranice. Na taj način nema rizika da se vaš računar, tablet ili telefon inficiraju posetom malicioznom sajtu, a s druge strane, zadržava se mogućnost posete željenog linka, pri čemu se ne gubi funkcionalnost jer kroz Web izolaciju možete da nastavite s pregledom sadržaja na sajtu, čak i kada je zaražen.
Dodatno, tehnologija Web izolacije može da spreči i krađu vašeg username‑a i šifre od phishing sajtova, jer će omogućiti da vidite phishing sajtove i pristupite im, ali će oni biti u read‑only modu, tj. zabraniće vam unos vaših kredencijala (korisničkog imena i šifre) i time sprečiti njihovu krađu.
Web izolacija je tehnologija koja vam omogućava da smanjite broj incidenata pri poseti sajtovima (bilo direktno, bilo putem linkova iz e‑mail‑a ili instant poruka) za 70 odsto, što je rezultat na koji svaki CISO treba da obrati pažnju! Ova tehnologija radikalno smanjuje izloženost napadima s Web sajtova i mogućnost da malver stigne do vašeg preduzeća.
Web – vektor ulaska malvera br. 2
Sledeća tačka odbrane od cyber napadača jeste Web – Mreža – Internet. Upravo ovaj vektor ulaska iskoristio je haker koji je otvorio vrata neželjenom gostu – ransomware‑u u PC Press. Testiranja pokazuju da je dovoljno da računar bez zaštite bude na Internetu nekoliko minuta i već će biti skeniran u potrazi za otvorenim portovima i ranjivostima, a ako neka ranjivosti sistema bude i pronađena, za par minuta će uslediti pokušaji zloupotrebe pronađene ranjivosti i upada u sistem.
Veliki broj bot mreža (mreža koje se sastoje od već zaraženih računara i uređaja koji imaju pristup Internetu) neprestano skenira Internet u potrazi za nezaštićenim ili ranjivim računarima i uređajima i to korišćenjem alata, skripti i paketa koje su razvili cyber kriminalci. Onog trenutka kada otkriju neki prolaz ka vašem sistemu (otvoreni port na kome radi određeni servis, kao na primer RDP ili IIS), kreću u automatizovan napad – proveravaju ranjivosti, a često i pokušavaju upad korišćenjem brutalne sile – ispitivanjem svih mogućih kombinacija imena korisnika (username) i šifre iz unapred pripremljenih rečnika. Onog trenutka kada napad uspe, automatizam prepušta dalji pristup čoveku ili timu ljudi koji ima priliku da analizira gde i na čiji računar je upao, ima li vrednih podataka koji mogu da se ukradu i da li će možda da vam instalira ransomware i zatraži otkup kako bi vam vratio vaše fajlove. Posebna pažnja poklanja se tome da pristup ne bude otkriven što je moguće duže vremena, a velika je verovatnoća da će napadač ostaviti otvorena još poneka vrata – backdoor, ako bude primećen i ako zabranite prvobitno otkriven pristup.
Klasični sistemi zaštite Internet saobraćaja, firewall sistemi kao što su MikroTik ili Cisco ASA, više nisu dovoljna zaštita vaše mreže. Korišćenje klasičnog firewall‑a je kao da ste napravili veliku i čvrstu ogradu oko kuće, ali ste ostavili otvorenu kapiju kroz koju može i kamion da prođe. Za dobru i kvalitetnu zaštitu mrežnog saobraćaja potreban vam je firewall sledeće generacije – Next‑Generation Firewall (NGFW) i/ili pametan proxy.
Palo Alto Networks NGFW
Palo Alto Networks (PAN) nudi novu, sledeću generaciju firewall uređaja visokih performansi i visokog stepena zaštite, uz mogućnost rada pod velikim opterećenjem. Palo Alto Networks firewall upravlja vašim mrežnim saobraćajem i pruža sigurnost i zaštitu od pretnji, URL filtering i jednostavno upravljanje. S Palo Alto Networks firewall‑om, preduzeća mogu da dobiju potpunu vidljivost i kontrolu nad Internet saobraćajem, aplikacijama koje se koriste i podacima koji prolaze kroz uređaj.
Glavne karakteristike PAN NGFW uređaja su: jedinstvene identifikacione tehnologije (App‑ID, User‑ID, Content‑ID), zaštita mreže od pretnji, jednostavno aktiviranje odgovarajućih polisa za korišćenje aplikacija, URL i filtriranje podataka, posmatranje i kontrola protoka saobraćaja te namenski napravljena hardverska platforma s multigigabitnim protokom.
Palo Alto Networks je osnovao vizionar na polju bezbednosti Nir Zuk, s misijom da stvori firewall koji bi ponovo mogao da postane strateški najbitniji sigurnosni uređaj u mrežnoj infrastrukturi. Palo Alto firewall sledeće generacije obezbeđuje vidljivost i kontrolu aplikacija i sadržaja po korisniku (ne samo po IP adresi) i sve to pri brzinama protoka i do 10 GB/s. Baziran na App‑ID tehnologiji, Palo Alto Networks firewall sledeće generacije precizno identifikuje aplikacije – nezavisno od porta, protokola, zaobilazne taktike ili SSL enkripcije, skenirajući sadržaj kako bi zaustavio pretnje i predupredio gubitak podataka. User‑ID tehnologija identifikuje korisnike, a Content‑ID sadržaj saobraćaja koji prolazi kroz NGFW.
Tradicionalni firewall uređaji nisu se promenili mnogo tokom proteklih 15 godina i ne mogu više da zaštite vašu mrežu. To je zato što oni nikada nisu ni bili dizajnirani da kontrolišu danas uobičajene kriptovane Internet aplikacije koje nalaze obilazne puteve i skaču s porta na port. Vreme je da svoj firewall zamenite NGFW uređajima!
Symantec Advanced Secure Gateway (ASG) – proxy
Pored NGFW sistema, dodatnu zaštitu za Web saobraćaj predstavljaju i proxy rešenja, kao što je Symantec (nekada Blue Coat) Advanced Secure Gateway ili ProxySG. U vreme dok smo Internetu pristupali putem modema i slabih linkova, proxy je bio uobičajeno rešenje – glavna uloga proxy‑ja bilo je keširanje, odnosno čuvanje kopije sajta i podataka, fajlova sa sajta u lokalu, kako bi se brzo isporučili korisnicima, ali i kako bi se uštedelo na protoku, kada dva ili više korisnika zatraže isti sajt, stranicu, fajl. S vremenom, pristup Internetu postajao je brži i jeftiniji i prestali smo da brinemo o protoku, a proxy‑ji su se gasili. Poslednjih godina postali su ponovo aktuelni, zbog sve učestalijih i sve naprednijih napada i pokušaja upada u mreže.
Šta je to što čini proxy dobrim rešenjem sa stanovišta bezbednosti? Na prvom mestu, proxy može da sačuva kompletan fajl pre nego što ga isporuči korisniku. Drugo, pruža kompletnu odvojenost korisnika od Interneta – s jedne strane korisnik pristupa proxy‑ju, a s druge strane proxy pristupa Internetu u ime korisnika, dakle nema direktne veze, što pruža veće mogućnosti za sprečavanje upada, zloupotrebe ranjivosti i sl. Na kraju, proxy najčešće ima mogućnost da saobraćaj i fajlove, sadržaj komunikacije prosledi dalje, drugim komponentama na analizu – na primer, sandbox rešenjima, DLP (Data Loss Prevention) rešenjima, sistemima za analizu ponašanja, za dekripciju SSL saobraćaja i sl. (magična skraćenica koja čini prosleđivanje mogućim je ICAP protokol).
Primer jednog od najprodavanijih proxy rešenja na svetu je Symantec (Blue Coat) ProxySG, odnosno noviji Advanced Secure Gateway (ASG), koji kombinuje ProxySG i Content Analysis (CAS) u jedno rešenje. ASG je skalabilan proxy sistem dizajniran da omogući bezbednu Web komunikaciju, ali i da ubrza željeni saobraćaj, odnosno poslovne aplikacije. Proxy arhitektura omogućava da se saobraćaj prati, kontroliše i obezbedi pružajući siguran pristup Web‑u.
Symantec ASG pruža sveobuhvatnu zaštitu Web saobraćaja, uz integraciju s rešenjima drugih proizvođača i samog Symantec‑a. Osnovne mogućnosti koje ASG nudi su: snažna autentifikacija korisnika, napredno filtriranje u realnom vremenu uz ocenu nivoa rizika, višeslojna duboka inspekcija i analiza sadržaja radi detekcije pretnji i malvera ili gubitka, curenja podataka, bezbednosne provere koje koriste prednosti Symantec Global Intelligence Network‑a (GIN), inspekcija i provera SSL saobraćaja, keširanje i optimizaciju saobraćaja, upravljanje propusnim opsegom, Splitting i keširanje za streaming sadržaj i kontrole po protokolu.
Sa ASG‑om saobraćaj se završava na jednoj strani proxy‑ja, a svi preuzeti objekti obrađuju se kroz više slojeva zaštite u jednom, efikasnom prolazu. Na početku se eliminišu dobro poznate pretnje, pomoću jednog ili više antivirus skenera, čime se smanjuje obim saobraćaja koji se obrađuje u sledećoj sekvenci (koji obično zahtevaju dodatne CPU resurse). Uz korišćenje URL rangiranja u realnom vremenu, višestrukih antivirus definicija, crnih i belih lista, analizu statičkog koda i slanje na sandbox analizu, ASG pruža sveobuhvatno i bezbedno rešenje za kompletan Web saobraćaj.
Za korisnike koji su često van kancelarije ili rade od kuće, moguće je koristiti agent koji se instalira na računar, Symantec Web Security servis, kojim se može upravljati centralizovano, uz isti nivo zaštite i funkcija kao i za one korisnike koji se nalaze u prostorijama preduzeća.
Endpoint – vektor ulaska malvera br. 3
Tradicionalni način napada na IT sisteme, infekcija endpoint‑a – računara ili servera, predstavlja treću tačku napada. Čak i kada uvedemo e‑mail i Web zaštitu, ostaju nam serveri, radne stanice i laptop računari, jednom rečju endpoint‑i – mesto na kojima se malver izvršava i na kojima može da napravi i najviše štete. Zaraženi USB koji se nepažnjom nađe u računaru ili serveru, zaraženi laptop gosta ili konsultanta, revizora u vašoj mreži… i eto problema na endpoint‑u. Još jedna od zabluda koje su ostale jeste da je običan antivirus danas dovoljan za zaštitu endpoint‑a. Nažalost, cyber kriminalci su počeli sa ciljanim napadima na preduzeća praveći malver specijalno za svaki napad, malver koji je skoro nemoguće detektovati klasičnim rešenjima koja se oslanjaju na antivirus definicije. Kao i u slučaju firewall‑a potreban vam je antivirus sledeće generacije.
Symantec Endpoint Protection (SEP) je vodeće rešenje sledeće generacije za zaštitu endpoint‑a – pruža superiornu, višeslojnu zaštitu kako bi se zaustavile pretnje, bez obzira na način napada na vaše endpoint‑e. SEP se integriše s postojećom security infrastrukturom radi brzog orkestriranog odgovora na napade. Jedan, integrisan i lagan SEP agent nudi visoke performanse, ne utičući na produktivnost korisnika, pa se možete fokusirati na posao. Symantec višeslojna endpoint zaštita trenutno i efikasno štiti od file‑based i file‑less metoda napada. Mašinsko učenje i veštačka inteligencija koriste napredne načine i šeme detekcije koje se nalaze u cloud‑u da bi identifikovali evoluirajuće pretnje nezavisno od korišćenog tipa uređaja, operativnog sistema ili aplikacije. Napadi se zaustavljaju u realnom vremenu, vaši endpoint‑i ostaju netaknuti, a vi izbegavate sve moguće negativne posledice.
Tehnologije zaštite koje SEP nudi su: antivirus koji skenira i uklanja malver, Firewall and Intrusion Prevention koji blokira malver pre nego se raširi i kontroliše saobraćaj, Application and Device Control koji kontroliše fajlove, registry i ponašanje i pristup eksternim uređajima; takođe, nudi crne i bele liste, Power Eraser, agresivni alat koji može biti pokrenut putem udaljenog pristupa za uklanjanje upornog malvera, System Lockdown koji dozvoljava pokretanje aplikacija koje su na beloj listi (znamo da su dobre) i blokira aplikacije sa crne liste (znamo da su loše), Global Intelligence Network (GIN), Reputation Analysis (analiza sigurnosti fajlova i sajtova koja se oslanja na GIN i koristi tehnike veštačke inteligencije u cloud‑u). Emulator koristi lagani sandbox da detektuje polimorfne malvere koji se skrivaju koristeći specijalne tehnike pakovanja, a Intelligent Threat Cloud omogućava brzo skeniranje koristeći napredne tehnike poput pipelining‑a, propagacije poverenja i specijalnog načina obrađivanja upita. Time postiže visok nivo efikasnosti, jer čini nepotrebnim preuzimanje svih virusnih definicija. Samo najnoviji podaci o pretnjama se preuzimaju, smanjujući veličinu definicija do 70 odsto.
Roaming Client Visibility omogućava primanje kritičnih notifikacija od klijenata koji se nalaze van korporativne mreže a Suspicious File Detection sistem omogućava IT administratorima da nezavisno podese nivo detekcije i blokiranja kako bi se optimizovala zaštita i stekla povećana vidljivost sumnjivih fajlova unutar okruženja svakog od klijenata.
Tehnologije koje SEP koristi bez oslanjanja na virus definicije, one koje ga čine rešenjem sledeće generacije, su Advanced Machine Language (AML), mašinsko učenje koje detektuje nove pretnje pre nego što se izvrše, Memory Exploit Mitigation koji blokira zero‑day pretnje koje koriste ranjivosti u popularnim softverima te Behavior Monitoring, posmatranje i blokiranje fajlove koji pokazuju sumnjivo ponašanje.
Odlično centralizovano upravljanje, distribucija definicija i veliki broj korisnika kako u svetu, tako i u Srbiji, čine Symantec Endpoint Protection idealnim rešenjem za zaštitu vaših računara i servera, počevši od malih preduzeća do velikih sistema s desetinama hiljada umreženih računara.
Za dodatne informacije u vezi s pomenutim rešenjima, prezentacije i demonstraciju, probe i testiranje obratite se firmi Net++ technology, specijalizovanoj za IT bezbednost. Net++ nudi kompletna rešenja za security IT potrebe – od projektovanja i planiranja uvođenja rešenja, preko instalacije i implementacije, do obuke administratora za korišćenje, tehničke podrške i redovne provere stanja sistema
Korisna adresa: netpp.rs
Autor: Vladimir Vučinić
Ovaj tekst je deo PC Press specijala posvećenog Ransomware napadima, zaštiti i oporavku podataka. Kompletan specijal je potpuno besplatan za čitanje i možete ga čitati u digitalnoj čitaonici ili ga preuzeti direktno odavde u PDF formatu.