Určite chránite prístup k citlivým aplikáciám a údajom pomocou autentifikácie, segmentácie a šifrovania. Pre boj so spamom a nebezpečnými prílohami máte emailovú bránu, pre prácu s Internetom v súlade s firemnými pravidlami používate webové proxy alebo URL filtrovanie. A na koncových zariadeniach máte antivírus alebo agenta typu EPP (Endpoint Protection Platform). Využitím viacerých bezpečnostných opatrení chcete zastaviť útoky a hrozby v čo najskoršom čase a predísť tak neočakávaným škodám, ktoré by vznikli, ak by bol útok úspešný.

Email a web patrí k najčastejšie zneužívaným komunikačným nástrojom pre počiatočné kompromitácie zariadení používateľov. Pravdepodobne to poznáte, používateľ si nainštaluje nevinne vyzerajúcu aplikáciu alebo mu ako príloha emailu príde zaujímavá ponuka na vysnívanú pracovnú pozíciu. Avšak nič netušiaci si spolu s aplikáciou nainštaloval aj trojského koňa. Útočník si tak vytvoril zadné vrátka a nepozorovane vykonáva prieskum interných systémov.

Obr.1: Modelová situácia pre počiatočnú infiltráciu škodlivým kódom.

V dnešnom rapídne sa vyvíjajúcom svete malvéru narastá význam ochrany koncových zariadení pred rôznymi útokmi, hrozbami a škodlivým kódom. Ako vidieť na obr. 1, malvér má veľa rôznych podôb, vektorov infiltrácie, ako aj vlastný životný cyklus, veď útočníci neustále dopĺňajú svoje nástroje o nové funkcionality. Produkty typu antivírus a EPP už nestačia, sú nahrádzané za riešenia typu EDR (Endpoint Detection and Response) a dopĺňané o komplexný dohľad riešeniami typu XDR (Extended Detection and Response). Tieto dve kategórie sú v produktovom portfóliu spoločnosti Cisco zastúpené prostredníctvom Cisco Secure Endpoint a Cisco XDR. V tomto článku sa primárne venujem nášmu Cisco Secure Endpoint z kategórie EDR, Cisco XDR sa podrobnejšie povenujem nabudúce.

Cisco Secure Endpoint je riešenie s jedným agentom, ktoré poskytuje komplexnú prevenciu, detekciu, vyhodnotenie správania a automatické blokovanie škodlivého kódu, bez rozdielu či ide o spustenie z pamäte alebo z diskového priestoru či USB zariadení. Chráni Windows (desktop aj server), Linux (Debian, RedHat, Suse, Ubuntu, atď.), Android, Apple iOS aj MAC OS a manažment riešenia je možné prevádzkovať z cloud-u alebo on-prem. Cisco Secure Endpoint poskytuje mechanizmy napomáhajúce forenznej analýze pri pokročilých infiltráciách, sleduje aktivitu procesov aj vo vzťahu k sieťovej komunikácii, mapuje zraniteľnosti aplikácií aj operačných systémov a tak znižuje riziko, ktoré vzniká z tzv. “0-day” kompromitácií. Pri riešení vážnych incidentov môžete využiť expertízu našich odborníkov Cisco TALOS v podobe proaktívnych “Threat hunting” cvičení, ktoré sú súčasťou licencie Cisco Secure Endpoint, alebo si môžete dokúpiť službu CTIR (Cisco TALOS Incident Retainer).

Obr. 2: Možnosti ochrany proti škodlivému kódu v Cisco Secure Endpoint.

Z pohľadu ochrany proti škodlivému kódu disponuje Cisco Secure Endpoint množstvom mechanizmov nielen v detekčnej a prevenčnej fáze, ale aj v proaktívnom prístupe. “Low Prevalence + Sandboxing” umožňuje automaticky odoslať na analýzu podozrivé súbory, ktoré sa na chránených staniciach vyskytujú len v minimálnom počte. V kombinácii s trasovaním aktivity “File / Device Trajectory”, a to až na úroveň rodičovského procesu, vieme odhaliť tzv. “patient 0”, čiže prvú infikovanú stanicu, z ktorej útok začal. “Orbital” umožňuje vyhľadávanie rôznych atribútov chránených staníc, ako napr. história a nainštalované pluginy do webového prehliadača, systémový inventár, procesy bez súborovej aktivity, alebo či došlo k aktívnemu zneužitiu identifikovaných zraniteľností.

Na ochranu pred škodlivým kódom spusteným priamo z pamäte počítača disponuje Cisco Secure Endpoint mechanizmami “Exploit Prevention” a “System Protection”. Prvý mechanizmus chráni aplikácie a systémové procesy pred útokmi, ktoré manipulujú ich pamäťový priestor (napr. process hollowing, code injection, shellcode, thread injection, reflective loading, Return Oriented Programming, heap spraying, atď.) vrátane náhodného usporiadania adresového priestoru pamäte (viď. obr.3: new system resources). Mechanizmus funguje bez nutnosti aktualizácie signatúr a aktívne chráni stanice pred zneužitím “0-day” zraniteľností. Druhý mechanizmus chráni pamäťový priestor operačného systému pred exfiltráciou citlivých údajov (NTLM hash-e, Kerberos ticket-y), ktoré útočníci potrebujú, aby mohli získať privilégiá administrátora.

Obr.3: Princíp fungovania mechanizmu Exploit prevention na ochranu pred “0-day” malvérom.

Ak dôjde k pokusu o zápis na disk chránenej stanice, ako prvé sa kontroluje reputácia súboru výpočtom hash-u a vyhľadaním v databáze. Naše databázy sú aktualizované v takmer reálnom čase našim bezpečnostným tímom Cisco TALOS. Reputačné filtrovanie nepotrebuje intenzívne skenovanie súborov, preto nezaťažuje procesor počítača. Pre odhaľovanie polymorfných rodín malvéru používame “Fuzzy fingerprinting” a v prípade neurčitého výsledku využívame telemetrické údaje zo súborov (napr. atribúty z PE hlavičky), ktoré vyhodnocuje Cisco TALOS svojimi algoritmami strojového učenia. Spustenie škodlivého skriptu (napr. Powershell, VBScript) odhalí mechanizmus “Script Protection” a v prípade úplného odpojenia chránenej stanice od Internetu disponuje Cisco Secure Endpoint lokálne uloženou databázou signatúr “Tetra / ClamAV”. O monitorovanie a blokovanie spojení na rôzne botnet/C2 servery sa stará mechanizmus “Device Flow Correlation”. Podozrivé súbory neustále monitorujeme a ak dôjde k zmene ich správania, automaticky tieto súbory blokujeme pomocou patentovanej technológie “Retrospection”.

Ransomvér už veľa rokov zaujíma top miesta v hodnotení závažnosti kybernetických hrozieb a Cisco Secure Endpoint disponuje inovatívnym mechanizmom MAP (Malicious Activity Protection) na detekciu a blokovanie ransomvéru bez nutnosti signatúr a bez nutnosti pripojenia na Internet. Využíva analýzu správania procesov v korelácii so súborovou aktivitou a výsledným obsahom takto modifikovaných súborov. Ak ide o neštandardné správanie, výsledný obsah súboru má spravidla vysokú mieru entropie – s najväčšou pravdepodobnosťou ide o šifrovací vírus a takúto aktivitu Cisco Secure Endpoint ukončí. Mechanizmus GTA (Global Threat Alerts, pôvodne Cognitive) umožňuje chrániť aj zariadenia, na ktoré agenta Cisco Secure Endpoint nemôžete z rôznych dôvodov nainštalovať. Stačí na to exportovať logy webovej proxy, ktoré naše riešenie následne analyzuje a detekované hrozby zobrazí v manažmente Cisco Secure Endpoint.

Často zneužívanými nástrojmi sú aj štandardné komponenty operačného systému, ktoré slúžia na bežnú údržbu (tzv. LOLBins). Okrem bežne používaných skriptovacích bináriek, súbory ako bitsadmin, certutil, psexec, mshta, regsrv32, rundll32, werfault, a iné zneužívajú útočníci na stiahnutie podozrivých súborov alebo malvéru priamo z internetových zdrojov. V kombinácii s obfuskáciou, kedy sú parametre kódované cez rôzne XOR a BASE32/64 algoritmy, tieto binárky sú často používané ako súčasť makier a skriptov na oklamanie bežných EPP a antivírusových agentov – tie totižto nevyhodnocujú správanie procesov koncových staníc a sú k týmto sofistikovaným útokom slepé. Cisco Secure Endpoint využíva výsledky práce nášho tímu Cisco TALOS v podobe indikácií kompromitácií (IoC) a v kombinácii s mechanizmom “Behavior Protection” a auditom zadávaných príkazov chráni počítače aj servery proti takýmto pokročilým metódam infiltrácií.

K dispozícii je aj REST API prostredie, pomocou ktorého Cisco Secure Endpoint integrujete na SIEM aj SOAR systémy (napr. Splunk, IBM Qradar, LogRhytm, Netwitness, atď). Počas riešenia bezpečnostného incidentu je možné stanicu izolovať tak, aby bola možná len komunikácia na manažmentové prostredie Cisco Secure Endpoint. Pre zákazníkov, ktorí uvažujú alebo už majú nainštalovaný náš Cisco Secure Client (pôvodne Cisco Anyconnect) je možné Cisco Secure Endpoint nainštalovať ako jeho súčasť. Zákazník tak získa výhodu jedného softvérového agenta pre viacero funkcií vrátane 802.1x, SSE (Secure Services Edge), VPN aj EDR.

Riešenie Cisco Secure Endpoint je komplexné riešenie ochrany koncových staníc v podobe jedného agenta a jedného manažmentového prostredia pre široké portfólio rôznych operačných systémov od desktopov, cez servery až po mobilné zariadenia. Využíva najnovšie poznatky nášho bezpečnostného a výskumného tímu Cisco TALOS a umožňuje našim zákazníkom úspešne čeliť dynamickému a neustále sa meniacemu prostrediu kybernetických bezpečnostných hrozieb.

V prípade záujmu kontaktujte [email protected]