Większość organizacji jest ciągle narażona na ataki APT

Pomimo setek milionów złotych wydawanych rocznie na systemy bezpieczeństwa większość organizacji jest ciągle narażona na ataki APT (tzw. Advanced Persistent Threats), które pozostają niewykryte przez wiele miesięcy, i które przynoszą wymierne straty dla działalności i wizerunku rynkowego. Rozwój „security” nie może oznaczać tylko dążenia do perfekcji systemów prewencyjnych, które przestały być już skutecznym gwarantem obrony.

Sytuacja może ulec poprawie poprzez zmianę podejścia działów IT w firmach do obsługi incydentów i postawienie na: szybkość, trafność i powtarzalność procesu odpowiedzi (tzw. Incident Response Workflow – IRW). Planując reakcję na incydent APT nie należy jednak jej sprowadzać tylko do reinstalacji zainfekowanej stacji. Należy wziąć pod uwagę także problem wskazania celowanego ataku wśród wielu alertów związanych z tzw. „commodity malware” oraz dostępność narzędzi dla efektywnego kontynuowania analizy zdarzenia przez Security Operations Center (SOC).

Jakie rozwiązanie zabezpieczające wykryje zaawansowane ataki – APT?

FireEye od dłuższego czasu promuje wdrażanie procesu IRW. Tej strategii podporządkowany jest rozwój produktów i usług firmy. W czasie prezentacji na konferencji URDI 2015 zostało w praktyczny sposób zaprezentowane rozwiązanie endpoint – FireEye HX – które pomaga w sprawnej realizacji czterech najważniejszych etapów procesu IRW:

  1. Wykrycie incydentu (detection)
  2. Zapobieganie/ograniczenie wpływu incydentu na działalność organizacji (prevention)
  3. Analiza incydentu i gromadzenie danych na temat ataku (analysis)
  4. Wdrożenie działań remediacyjnych – naprawczych (response)

Dzięki automatycznej integracji między urządzeniami sieciowymi FireEye wykrywającymi ataki APT w procesie dynamicznej analizy w środowisku MVX, a agentami endpoint, HX umożliwia płynne przejście z etapu „Wykrycia incydentu” do „Zapobiegania” i „Analizy Incydentu” – czyli domeny HX.

Po lewej widok tzw. Triage Viewer w konsoli HX podsumowującego najważniejsze zdarzenia związane z wykrytym atakiem Po prawej przykład tzw. Enterprise Search w GUI HX.

FireEye HX – powstrzyma APT?

FireEye HX umożliwia automatyczne potwierdzenie infekcji hosta na podstawie definicji ataku (tzw. IoC – Indicator of Compromise). Tuż po stwierdzeniu zagrożenia operator systemu może przystąpić do jego wstępnej oceny – agent HX automatycznie przekazuje mu logi opisujące najważniejsze zmiany w systemie wykonane przez malware i przedstawia je w formie graficznej upraszczającej analizę.

Ślady wskazujące na zaawansowany atak, szczególnie, jeśli istnieje zagrożenie zdalnego dostępu do stacji, pozwalają operatorowi podjąć decyzję o przekazaniu incydentu do szczegółowej analizy oraz wykonać izolację (tzw. Containment) hosta od reszty sieci.

Od tego momentu jedynie uprawnione komputery mogą się komunikować z zainfekowaną stacją. Inne połączenia są blokowane, co ogranicza wpływ ataku na organizację. Izolacja może dotyczyć zarówno komputera w sieci LAN jak i tego znajdującego się poza siedzibą firmy. Specjalista przystępujący do szczegółowej analizy ataku ma również do dyspozycji tzw. Enterprise Search, umożliwiający tworzenie zapytań o prawie każdy parametr systemu, w celu potwierdzenia potencjalnych zmian i wykluczenia tzw. False Positives.

Po zawężeniu analizy do wybranych komputerów możliwe jest zebranie dowodów i dalsza analiza narzędzi i metod użytych podczas ataku. FireEye HX umożliwia pobieranie podejrzanych plików, historii wykonywanych komend, pamięci RAM czy nawet obrazów dysków z hostów.

Warto podkreślić, że wszystkie funkcjonalności HX zostały opracowane i są nadal rozwijane na podstawie doświadczeń specjalistów działu Mandiant w FireEye, którzy realizują usługi Incident Response w najbardziej skomplikowanych i największych przypadkach włamań na świecie[2]. Powiązanie techniki i doświadczenia z jej stosowania, pozwoliło uzyskać sprawdzone narzędzie dla obsługi najbardziej skomplikowanych incydentów

Szukasz większej ilości informacji o rozwiązaniach FireEye? Zapoznaj się z case study dot. wdrożenia rozwiązań FireEye na 10 000 endpointów.

 

[1] Średni czas „życia” ataku w sieci organizacji wynosi 205 dni wg raportu M-Trends firmy FireEye/Mandiant z 2015 roku.
[2] Specjaliści Mandiant/FireEye realizowali IR w przypadku takich incydentów jak ataki na Sony Pictures, Target, Anthem, VTech Holdings, itd.

Oceń artykuł