Kehittynyt suojaus kohdistettuja hyökkäyksiä vastaan: KATA-ympäristö

Miten yritykset suojautuvat APT-hyökkäyksiltä?

APT-hyökkäykset ovat kehittyneitä, kohdistettuja, pitkäaikaisia ja yleensä erittäin hyvin valmisteltuja hyökkäyskampanjoita, jotka on suunniteltu ammattimaisesti ohittamaan yksitasoinen suojaus

APT-hyökkäysten torjuntaratkaisun päätarkoituksena on nostaa hyökkäysten kustannuksia niin, että hyökkäysten käynnistäminen ei ole enää tarkoituksenmukaista eikä taloudellisesti kannattavaa. Nämä ratkaisut perustuvat moniin eri tekniikoihin: mitä enemmän erilaisia tunnistustasoja voidaan toteuttaa ja mitä suurempaa osaa hyökkäysten mahdollisista sisäänpääsykohdista voidaan valvoa, sitä suuremmalla todennäköisyydellä hyökkäys havaitaan, riippumatta siitä, kuinka paljon aikaa ja rahaa hyökkääjä on valmis uhraamaan.

KATA-ympäristö yhdistää Kaspersky Anti Targeted Attack- ja Kaspersky EDR -ratkaisut juuri tällaiseksi suuryritysratkaisuksi. Siinä on seuraavat kehittynyttä tekniikkaa käyttävät tasot:

Verkkoliikenteen analysointi. Tässä moduulissa on toimintaan perustuvat tunnistusominaisuudet, ja se analysoi liikenteen ja kohteet käyttämällä IDS-tekniikkaa ja URL-osoitteiden mainetta:

• Tunkeutumisenhavaitsemistekniikassa yhdistyvät perinteinen ja kehittynyt uhkien havaitseminen, joiden perustana on ainutlaatuinen liikenneanalyysin IDS-sääntöjoukko kohdistettuja hyökkäyksiä varten. IDS-sääntöjoukot päivitetään automaattisesti ja nopeasti.
• URL-osoitteiden maineanalyysi. Epäilyttävät tai ei-toivotut URL-osoitteet havaitaan maailmanlaajuisen pilvipohjaisen Kaspersky Security Network (KSN) -ratkaisun mainetietojen avulla. Se sisältää myös tiedot kohdistettuihin hyökkäyksiin liittyvistä URL-osoitteista ja toimialueista.

Sandbox. Sandbox-testiympäristö suorittaa epäilyttävät kohteet omissa virtuaalikoneissaan haitallisen toiminnan tunnistamiseksi. Testiympäristö vastaanottaa suoritettavaksi tehtäviä, joihin sisältyy arvioitavan kohteen lähteeseen ja arvioinnin tarkoitukseen (esim. käyttöjärjestelmien tyypit, käyttöjärjestelmän määritykset, ympäristö, koodin käynnistymisen parametrit, suorituksen kesto) perustuvia virtualisoinnin parametreja.

Koodin suorituksen aikana testiympäristö kerää seuraavat:

• lokitiedot koodin toiminnasta (luettelon järjestelmän toimintojen kutsuista, iteraatiosta muiden prosessien ja tiedostojen kanssa, verkkotoiminnoista, URL-osoitteista jne.)
• vedokset
• lisätyt kohteet
• koodin luoma liikenne.

Suorituksen jälkeen saadut artefaktit tallennetaan ja käsitellään tähän suunnitellulla tarkistusohjelmalla. Jos koodi havaittiin haitalliseksi, siitä annetaan tulos, ja tulokset lisätään MITRE ATT&CK -tietokantaan. Kaikki kerätyt tiedot tallennetaan sisäisesti, jotta hyökkääjän taktiikoita ja tekniikoita voidaan analysoida tarkemmin ilman erillisiä pyyntöjä testiympäristöön ja säästetään palvelimen resursseja.

Kattavat ominaisuudet, kuten käyttöjärjestelmäympäristön satunnaistaminen, virtuaalikoneiden ajan nopeuttaminen, väistötekniikoiden torjunta ja käyttäjän toimien simulointi, tehostavat toimintaan perustuvaa tunnistusta. Testiympäristössä käytetään useita patentoituja tekniikoita, ja sitä voi käyttää sekä automaattisessa että manuaalisessa tilassa.

Kaspersky Security Network (KSN) on globaali pilvi-infrastruktuuri, jossa säilytetään KATA-ympäristön käsittelemien kohteiden mainetietoja ja muita tietoja (tiedostot, toimialueet, URL-osoitteet, IP-osoitteet jne.). KSN tarjoaa myös tunnistuksen pilvipohjaisilla koneoppimismalleilla, joihin kuuluu Cloud ML for Android: ympäristö kerää paikallisten APK-tiedostojen metatiedot ja lähettää ne KSN:lle, joka lähettää vastaukseksi koneoppimismalin tuottaman tuloksen. Yksityinen pilvipohjainen Kaspersky Private Security Network (KPSN) -ratkaisu on saatavilla organisaatioille, jotka eivät voi lähettää tietojaan KSN:n maailmanlaajuiseen pilvipalveluun, mutta haluavat silti hyödyntää Kasperskyn maailmanlaajuista mainetietokantaa. Sen lisäksi, että maailmanlaajuista uhkatietokantaamme voi käyttää yksityisesti, KATA-ympäristön tulokset tallennetaan paikalliseen KPSN-tietokantaan ja jaetaan automaattisesti muille organisaation infrastruktuurissa käyttöön otetuille Kasperskyn tuotteille automaattista reagointia varten. Organisaatiot, jotka ovat ottaneet KPSN:n käyttöön, voivat käyttää ulkoisten kolmannen osapuolen järjestelmien tarjoamia mainetietoja ilman välivaiheita ohjelmointirajapinnan kautta.

Targeted Attack Analyzer (TAA) voi löytää epäilyttävät toimet parannetun poikkeamien heuristiikan avulla tarjoamalla reaaliaikaisia automaattisia uhkien etsinnän ominaisuuksia. Se tukee tapahtumien automaattista analysointia ja niiden korrelointia Kasperskyn uhkien etsijöiden luomien hyökkäysindikaattorien (IoA) kanssa. Aina kun TAA löytää merkittävän poikkeuksen, tietoturva-asiantuntija saa kirjallisen kuvauksen, suositukset (esimerkiksi sille, miten havaitun tapahtuman uusiutumisen riskiä voi pienentää) ja tiedon tuloksen varmuudesta ja tapahtuman vakavuudesta luokitusta varten. Kaikki hyökkäysindikaattorit lisätään MITRE ATT&CK -tietokantaan, jotta voidaan antaa tarkat tiedot, muun muassa käytetty ATT&CK-pohjainen tekniikka, kuvaus ja hallintastrategiat. Tämä tarkoittaa, että saat automaattisesti käyttöösi huipputason uhkatutkimukset kuormittamatta yrityksen omia asiantuntijoita, jotta heille jää aikaa muihin vaativiin tehtäviin, kuten häiriöiden perusteelliseen tutkimiseen ja uhkien etsintään. Voit myös luoda oman tietokannan esimerkiksi infrastruktuuriisi liittyvistä mukautetuista hyökkäysindikaattoreista tai alakohtaisista hyökkäysindikaattoreista.

Parannettu haittaohjelmien torjuntamoduuli. Keskusyksikössä toimiva ja asetuksiltaan päätepisteiden kokoonpanoja aggressiivisempi moduuli tarkistaa kohteet haitallisen tai mahdollisesti vaarallisen koodin varalta ja lähettää mahdollisesti haitalliset kohteet testiympäristöön. Tämä tuottaa erittäin tarkan tunnistuksen, joka voi olla hyvin tärkeä häiriöiden tutkimusvaiheessa.

Vaarantumisindikaattorien (IoC) etsintä. KATA-ympäristössä vaarantumisindikaattorit voi ladata keskitetysti uhkatietojen lähteistä ja etsinnän voi ajoittaa automaattisesti, jotta analyytikoiden työ helpottuu. Tietokannan retrospektiivisillä tarkistuksilla voi parantaa aiemmin merkittyjä tietoturvatapahtumia ja -poikkeamia koskevien tietojen laatua.

Varmenteen vahvistus. Certcheck-moduuli tarkistaa allekirjoitettujen varmenteiden voimassaolon ja epäilyttävien varmenteiden olemassaolon.

KATA-ympäristössä on myös seuraavat palvelut tietoturva-asiantuntijoille:

Tunnistus YARA-säännöillä. YARA on yksi eniten käytetyistä työkaluista haittaohjelmien uusien muunnelmien etsimiseen. Siinä voi käyttää monimutkaisia vastaavuussääntöjä sellaisten tiedostojen hakemiseen, joilla on tietyt ominaisuudet ja metatiedot, esimerkiksi hakemalla merkkijonoja, jotka ovat tyypillisiä tietylle koodarille. Voit luoda ja ladata mukautettuja YARA-sääntöjä, jotta voit analysoida kohteet sellaisten uhkien varalta, jotka liittyvät juuri omaan organisaatioosi.

Retrospektiivinen analyysi. Tietojen, kohteiden ja tulosten keruun automatisoinnin ja keskitetyn tallentamisen ansiosta on mahdollista suorittaa retrospektiivisiä analyyseja samalla, kun tutkitaan monitasoisia hyökkäyksiä, myös tilanteissa, joissa vaarantuneita päätepisteitä ei voi käyttää tai kyberrikolliset ovat salanneet tiedot. Lisäksi sähköpostista ja verkkoliikenteestä tallennetut tiedostot voi tarkistaa säännöllisesti uudelleen ja käyttää niihin uusimpia päivitettyjä tunnistuksen sääntöjä.

Tehokas joustava kyselyn muodostin ennakoivaa uhkien etsintää varten. Analyytikot voivat luoda monimutkaisia kyselyjä epätavallisen toiminnan, epäilyttävien tapahtumien ja infrastruktuurikohtaisten uhkien hakemiseen, jotta he voivat parantaa kyberrikosten varhaista havaitsemista.

Kaspersky Threat Intelligence Portalin käyttöoikeus. Threat Intelligence -tietokannan manuaalisten uhkakyselyjen avulla tietoturva-analyytikot saavat laajemman kontekstin uhkien etsintään ja tehokkaaseen tutkimiseen.

KATA-ympäristö koostaa analysoitavat tiedot eri lähteistä:

Verkkoanturi vastaanottaa kopiot kaikista liikennetiedoista ja hakee niistä kohteet ja verkon metatiedot lisäanalyyseja varten. Verkkoanturit havaitsevat toiminnan monilla IT-ympäristön alueilla ja mahdollistavat monimutkaisten uhkien lähes reaaliaikaisen tunnistamisen välityspalvelin-, verkko- ja sähköpostiympäristöissä:

• Verkkoanturi voi hakea tiedot verkkoliikenteen lähteestä, kohteesta, tietojen määrästä ja säännöllisyydestä (vaikka tiedosto on salattu). Nämä tiedot riittävät yleensä päätökseen siitä, mitä epäilyttävyyden tasoa käytetään, sekä mahdollisten hyökkäysten tunnistamiseen. SMTP-, POP3-, POP3S-, HTTP-, HTTPS-, ICAP-, FTP- ja DNS-protokollia tuetaan.
• Verkkoanturi voi kaapata verkkoliikenteen ja käsitellä HTTPS:n välittämiä kohteita, sillä välipalvelin on integroitu ICAP-protokollan avulla.
• Sähköpostianturi tukee integrointia sähköpostipalvelimiin POP3- ja SMTP-yhteyden avulla määritettyyn postilaatikkoon. Anturin voi määrittää valvomaan mitä tahansa postilaatikoiden joukkoa.

Koko verkon liikenneanalyysin lisäksi ympäristö voi tarjota automaattisen yhdyskäytävätason reagoinnin monimutkaisiin uhkiin käyttämällä Kaspersky Secure Mail Gatewayta ja Kaspersky Web Traffic Securitya KATA-ympäristön kaikki ominaisuudet sisältävinä verkkoantureina.

Päätepisteanturit (Kaspersky EDR) keräävät kaiken tarpeellisen tiedon päätepisteistä kaikkialta infrastruktuurista. Päätepisteissä käyttöön otetut agentit valvovat jatkuvasti prosesseja, vuorovaikutusta, avoimia verkkoyhteyksiä, käyttöjärjestelmän tilaa, tiedostojen muutoksia jne. Ne lähettävät epäilyttävien tapahtumien tunnistamisesta kerätyt tiedot KATA-ympäristöön lisätutkimuksia ja -analyyseja varten ja verrattavaksi muista tietovirroista tunnistettuihin tapahtumiin.

KATA-ympäristön käyttö

Ottamalla käyttöön edellä luetellut tekniikat saman palvelinarkkitehtuurin ja keskitetyn hallinnan piiriin KATA-ympäristö suojaa mahdolliset uhkien sisäänpääsykohdat verkon ja päätepisteiden tasolla, muun muassa verkko- ja sähköpostipalvelimet, PC-tietokoneet, kannettavat tietokoneet, palvelimet ja virtuaalikoneet, ja tarjoaa tarkat tiedot siitä, mitä koko organisaation IT-infrastruktuurissa tapahtuu. KATA tarjoaa tietoturva-asiantuntijoille kattavan työkalupaketin moniulotteiseen uhkien havaitsemiseen, perusteelliseen tutkimiseen, ennakoivaan uhkien etsintään ja keskitettyyn monimutkaisiin häiriöihin reagoimiseen.

KATA-ympäristön integroinnilla Kaspersky Endpoint Security for Businessiin saadaan päätepisteiden suojaus, joka sisältää automaattisen uhkien eston ja reagoinnin monimutkaisiin häiriöihin. Sen voi integroida tiiviisti myös Kaspersky Security Mail Gatewayn ja Kaspersky Web Traffic Securityn kanssa, jotta voidaan estää sähköposti- ja verkkopohjaiset uhat ja tarjota automaattinen reagointi monimutkaisempiin uhkiin. Tämä kattava ratkaisu vähentää merkittävästi aikaa ja työtä, joka tietoturvatiimien on käytettävä kehittyneiltä uhilta suojautumiseen, koska automaattiset suojaustoiminnot on optimoitu verkko- ja päätepistetasolla, Threat Intelligence -tiedot ovat saatavilla ja hallinta suoritetaan yhdellä verkkokonsolilla.

KATA-ympäristö suojaa yrityksen infrastruktuuria monimutkaisilta uhilta ja kohdistetuilta hyökkäyksiltä ilman lisäresurssien hankkimista. Nykyiseen strategiaasi yhdistettynä ympäristö antaa tietoturvatiimille tai tietoturvavalvomolle välineet torjua monimutkaiset uhat ja kohdistetut hyökkäykset luotettavasti ja tehokkaasti, täydentää käytössä olevia kolmannen osapuolen suojaustekniikoita ja tukee integrointia SIEM-järjestelmiin.