Zaščita končnih sistemov - FireEye HX Series
FireEye je globalni ponudnik rešitev za samodejno forenzično analiziranje napadov in dinamično zaščito pred naprednimi spletnimi grožnjami, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
predstavljata rešitve za napredno zaščito končnih sistemov pred naprednimi (APT) in klasičnimi kibernetičnimi napadi in nevarnostmi. Izraz endpoint, v naš jezik pogosto dokaj ponesrečeno preveden kot "končna točka", v tem oz. večini primerov predstavlja delovno postajo ali strežnik, se pravi stacionarni ali prenosni računalniški sistem. V zadnjem času včasih tudi tablice in pametne telefone, čeprav jih po navadi ločujemo kot 'prenosne naprave' ali mobile devices, kar pa je spet dvoumno, ker sem ne uvrščamo klasičnih prenosnih računalnikov. Ja... tako pač je. V bistvu je interpretacija običajno prepuščena dobavitelju neke rešitve, tudi v našem primeru - FireEye HX podpira končne sisteme z operacijskimi sistemi Windows:
Windows XP SP3,
Windows 2003 SP,
Windows Vista SP1 ali novejši, 32-bit ali 64-bit,
Windows 2008, vključujoč R2, 64-bit,
Windows 7, 32-bit ali 64-bit,
Windows 2012, vključujoč R2, 64-bit,
Windows 8, 32-bit ali 64-bit,
Windows 8.1, 32-bit ali 64-bit, ter
Windows 10.
Komponenta, ki v tem primeru opazuje končni sistem, je na samem končnem sistemu nameščen majhen in nevsiljiv FireEye HX Endpoint Agent. Vsi agenti v okolju pa so pod nadzorom naprave oz. namenskega strežnike FireEye HX, ki je seveda obvezni del rešitve. Ta naprava nadzira delovanje in omogoča administracijo do 100.000 posameznih agentov, komunicira s strežniško storitvijo FireEye DTI, zagotavlja integracijo z drugimi FireEye napravami npr. CM, NX FX, AX ali EX, ter služi kot centralno orodje za upravljanje rešitve, analizo, alarmiranje, pregledovanje poročil idr. Integracijo v bistvu izvaja naprava CM, zato je le-ta, seveda če sploh želimo integracijo z drugimi FireEye oz. če jih sploh imamo, obvezna.
N a zgornji shemi lahko vidimo še eno napravo z oznako HXD. Ta je opcijska, namesti se v demilitarizirano cono (DMZ) in omogoča zaščito tistih končnih točk z nameščenimi agenti, ki v danem trenutku niso znotraj omrežja. To so na primer prenosniki, ko jih sodelavci uporabljajo doma, ali prenosniki / delovne postaje, priključene preko VPN povezave (neobvezno). Na ta način lahko zaščitimo vse uporabniške postaje (Windows).
FireEye HX Agent lahko nadzira naslednjih 8 področij delovanja končnega sistema:
- spremembe v datotečnem sistemu,
- z IPv4 omrežjem povezane dogodke,
- DNS vpoglede,
- v pomnilnik naložene datoteke zaganjajočih se procesov ali sistemskih knjižnic (DLL),
- spremembe sistemskega registra,
- poganjanje in zaustavljanje procesov,
- IP povezave,
- vsi dogodki, v spletnih brskalnikih ali drugih procesih, v katerih se pojavljajo URL naslovi.
HX Agent spremlja aktivnosti na sistemu za zgornjih osem področij, ko zazna kako aktivnost, ki je indikacija nečesa sumljivega, o tem takoj obvesti napravo HX, lahko pa tudi izolira končni sistem od preostalega okolja, pomeni da onemogoči komunikacijo z drugimi sistemi (razen s tistimi iz posebej določenega seznama). Izolacijo je potrebno ročno zahtevati in odobriti, kakor tudi odstraniti, za kar je potreben administrator z za to zahtevanimi pravicami. Seveda imamo tudi možnost definirati nabor končnih točk, ki jih nikoli ne bo mogoče izolirati, ne glede na dogodke na njih. HX naprava lahko sproži alarm, zahteva dodatne podatke od agenta, predvsem pa nam omogoča analizo takih dogodkov in razreševanje težav. Agenti, kakor tudi druge FireEye naprave, podpirajo alarme in analize z zbiranjem vseh za forenziko potrebnih podatkov in pošiljanjem le teh na HX. V ta namen je v Agentu na razpolago tudi "Look-back Cache", ki omogoča analizo ali primerjavo dogodkov iz preteklosti, privzeto zbira in hrani podatke iz vseh osem področij za preteklih 24 ur.
Namestitev naprave (HX, HXD) je dovolj klasična, da se s tem tukaj ne bi ubadali. Ko je enkrat postavljena, moramo v uporabniškem vmesniku obiskati podstran 'Admin -> Agent Settings', kjer je tudi povezavo za prenos in prilagoditev namestitve HX Agenta. Običajno ga najprej namestimo na eno končno napravo, potem se mora ta prikazati na uporabniškem vmesniku naprave HX v razdelku "All Hosts". Ko se prepričamo, da agent deluje po naših željah, pa ga namestimo še na ostale končne naprave, najbolje skozi neko orodje za množične namestitve. Iz naprave je mogoče tudi nastaviti samodejno nadgrajevanje in druge nastavitve HX Agentov. Delovne postaje, kot se pojavljajo v uporabniškem vmesniku, lahko organiziramo v logične skupine, posebna množica je "High Valued Hosts", kjer so običajno pomembni strežniki, prenosniki vodstva, delovne postajo inženirjev z dostopom do najbolj pomembnih dokumentov, ter podobno.
Preiskovanje, alarmi in grožnje - v uporabniškem vmesniku naprave HX lahko vidimo tri tipe indikatorjev sumljivih aktivnostih na končnih sistemih:
1. Exploit - zaznana aktivnost za zlorabo varnostne pomanjkljivosti v aplikaciji ali operacijskem sistemu, na primer odprtje PDF dokumenta z vgrajeno zlonamerno kodo, ki poskuša zlorabiti Acrobat Reader za vdor v sistem in namestitev dejanskih škodljivih programov; to opozorilo samo po sebi še ne pomeni, da je bil poskus zlorabe uspešen, to morajo potrditi še dodatni dogodki v sistemu.
2. Presence - škodljiva koda je že prisotna v sitemu; pomeni, da je poskus zlorabe iz prve točke uspel, vendar dejanska škodljiva koda očitno (še) ni aktivna.
3. Execution - na končnem sistemu je aktivna škodljiva koda, ki se je že pognala in na primer spremenila datotečni sistem, sistemski register, ali pa je celo že vzpostavila komunikacijski kanal z nadzornim (C&C) centrom nekje v internetu.
4. Custom indicator - omogočeno namen je tudi kreiranje samostojnih indikatorjev, na primer glede na specifične datoteke ali njihovo vsebino, DNS vpoglede, omrežene povezave, ali kombinacije več pogojev.
Ko se sproži alarm, bo HX naprava pridobila in shranila podrobne trenutne informacije o takratnem stanju sistema. Omogočena nam je tudi podrobna triaža - s pomočjo 'Look-back cache' se za vsako opozorilo samodejno kreira "triažni paket", iz katerega lahko vidimo nekaj o tem, kaj se je dogajalo v sistemu pred in po alarmu:
Je bil napad uspešen?
Je bil kaka C & C komunikacija?
Avtomatiziran ali od nekoga upravljan napad?
Je bil poskus kraje podatkov?
Je bilo kako lateralno gibanje kode ali napadalca po omrežju?
Enterprise Search - potem, ko nas je FireEye HX rešitev opozorila na zlorabo enega sistema, je najpomembnejše vprašanje - ali je bil ogrožen še kak drugi sistem? Pomeni, ali je prišlo do horizontalnega gibanja škodljive kode znotraj sistema. To nam je omogočeno s preiskovanjem celotnega okolja iz uporabniškega vmesnika naprave HX. Recimo - odkrili smo, da se je v napadu pojavljala neka datoteka s škodljivo kodo. Sedaj sicer lahko kreiramo indikator na to datoteko, a to pomeni, da bomo dobili alarm šele ko jo bo kak Agent v prihodnje zaznal da je aktivna. Kaj pa če je na katerem sistemu že sedaj, če jo odkrijemo, lahko preprečimo da se sploh aktivira. Za te in podobne primere lahko sprožimo funkcijo "Enterprise search", v primeru datoteke na primer po imenu ali po MD5 vsoti (hash). To se izvede po po vsem omrežju oz. po vseh končnih sistemih, na katerih so nameščeni HX Agenti. Iz rezultatov iskanja pa lahko sprožimo tudi neko akcijo, ki se izvede na vseh odkritih sistemih, na primer čiščenje.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
https://www.fireeye.com/products/hx-endpoint-security-products.html
### ### ###
O podjetju FireEye Inc.
FireEye je globalni proizvajalec sofisticiranih varnostnih rešitev z več kot 1100 velikimi strankami iz vsega sveta vključno z več kot 100 podjetji iz seznama Fortune 500; med najbolj znanimi so Sallie Mae, Equifax, Juniper Networks, Heartland Payment Systems, San Francisco State University, Santa Barbara City College, idr.
Srce FireEye ponudbe je tehnologija izumljena v podjetju - na navideznih strojih temelječa varnostna platforma za sprotno zaščito pred najnovejšimi in najbolj sofisticiranimi grožnjami podjetjem in vladam po vsem svetu. Torej pred napadi, ki so sposobni izogniti se drugim bolj klasičnim varnostnimi rešitvam kot so požarne pregrade, IDS / IPS, protivirusne rešitve na prehodnih točkah ipd. Platforma FireEye Threat Prevention omogoča sprotno dinamično zaščito pred grožnjami brez uporabe vzorcev škodljivega prometa, pri čemer analizira in zaustavlja napade preko različnih vhodno-izhodnih poti, vključno s spletom, elektronsko pošto in datotekami, in na različnih stopnjah življenjskega cikla dolgotrajnega naprednega napada. Jedro platforme sta napredni virtualni pogon in dinamična varnostna analitika, ki skupaj omogočata prepoznavanje in blokiranje kibernetskih napadov v realnem času.
Več o podjetju najdete na spletnih straneh: http://www.fireeye.com
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74