Skuteczne przeciwdziałanie zagrożeniom zależy przede wszystkim od posiadanych narzędzi, zasobów oraz metod ich identyfikowania w jak najkrótszym czasie od ich pojawienia się w cyberprzestrzeni. Dostawcy zajmujący się wytwarzaniem narzędzi oraz systemów do ochrony zasobów IT wykorzystują do tego swoje know-how w postaci technologii oraz odpowiednich zasobów analitycznych. Powołują oni także inicjatywy, które skupiają tzw. etycznych hakerów zajmujących się wykrywaniem różnego rodzaju podatności w komercyjnych produktach, takich jak systemy operacyjne, bazy danych czy aplikacje. Cel, jaki im przyświeca jest jeden – poinformowanie producentów o podatnościach, by byli oni w stanie w krótkim czasie udostępnić odpowiednie łatki swoim klientom.
W niniejszym artykule chcemy przybliżyć metody i narzędzia, z jakich korzysta Trend Micro w ramach ciągłego procesu wykrywania, analizy i przeciwdziałania zagrożeniom cyberprzestrzeni.
Zero Day Initiative w pigułce
Unikalnym w skali globalnej narzędziem jest Zero Day Initiative (ZDI) – obecnie największy na świecie program typu „bug bounty”, którego celem jest wykrywanie podatności typu 0-day przez niezależnych badaczy skupionych wokół programu. Program oferuje gratyfikację finansową dla badacza, który wykryje i zgłosi nieznaną dotąd podatność. Wysokość wynagrodzenia uzależniona jest od oceny jej krytyczności oraz potencjalnego wpływu na biznes klientów, u których może być wykorzystana do ataku na organizację. Efektem tego jest fakt, że coraz więcej niezależnych badaczy decyduje się na ujawnienie podatności w sposób etyczny (dotychczasową praktyką była sprzedaż na czarnym rynku cyberprzestępców).
Identyfikacja podatności typu 0-day i zgłoszenie jej do producenta tego oprogramowania, by uruchomić proces przygotowania patch’a to nie wszystko. Klienci Trend Micro wykorzystujący technologię IPS Tipping Point są chronieni przed możliwością wyeksploatowania tej podatności przez atak ukierunkowany praktycznie natychmiast po wykryciu i analizie. Dokonuje się jej poprzez sygnatury opracowywane na bieżąco przez Trend Micro, które następnie aplikowane są do urządzeń Tipping Point klasy Intrusion Prevention System. Stanowi to nieocenioną wartość programu ZDI.
W celu zobrazowania skali oraz realnego wpływu na eliminację zagrożeń związanych z podatnościami poniżej kilka statystyk:
- Od grudnia 2017 do listopada 2018 roku dzięki badaczom skupionym wokół ZDI wykryto i zgłoszono do producentów 1433 podatności, z czego 38 były to klasyczne podatności typu 0-day, co oznacza, że do momentu wykrycia nie były dostępne patch’e eliminujące te podatności.
- Spośród producentów najwięcej podatności ZDI notuje się u poniższych (dane za I półrocze 2018 roku):
- Adobe – 94
- Foxit – 81
- Microsoft – 62
- Apple – 25
- Samsung – 8
- Spośród wszystkich podatności wykrytych od grudnia 2017 do listopada 2018 roku aż 315 podatności dotyczyło systemów sterownia produkcją klasy SCADA.
Z powyższych statystyk wynika, że problem ataków na podatności jest dość poważny, ponieważ dotyczy narzędzi i oprogramowania wykorzystywanych masowo przez biznes. Dodatkowo niepokoi fakt relatywnie dużej liczby podatności w systemach klasy SCADA, co może stanowić potencjalny wektor ataku na sieci techniczne i przemysłowe.
Globalna platforma Smart Protection Network
Kolejnym narzędziem Trend Micro służącym wykrywaniu i identyfikacji zagrożeń w cyberprzestrzeni w skali globalnej jest tzw. Smart Protection Network (SPN). Ta globalna platforma stanowi ekosystem narzędzi złożonych z sensorów, silników, zaawansowanych mechanizmów sztucznej inteligencji oraz zespołów analitycznych. Przez 24 godziny na dobę analizują one dane w celu wykrywania, identyfikacji i neutralizacji zagrożeń w sieci w sposób proaktywny. Serwisy reputacyjne Trend Micro w sposób ciągły sprawdzają, monitorują i blokują szeroko wykorzystywane wektory ataków takie jak e-mail (spam/phishing), niebezpieczne strony internetowe czy też ransomware i złośliwe oprogramowanie.
Statystyki zebrane dzięki Smart Protection Network pokazują, że najpowszechniej wykorzystywanym przez cyberprzestępców wektorem ataku jest kanał e-mail. Tylko w Polsce w listopadzie 2018 roku dzięki SPN i rozwiązaniom Trend Micro udało się zablokować ponad 73 mln prób ataku wykorzystujących infrastrukturę poczty elektronicznej dzięki takim rozwiązaniom jak np. Deep Discovery E-mail Inspector.
Ciągłym zagrożeniem dla biznesu są próby ataków na organizacje z wykorzystaniem złośliwego oprogramowania. Oprócz zaawansowanych mechanizmów typu machine learning, konieczne jest korzystanie z usług reputacyjnych dostarczanych z wykorzystaniem SPN. Polskie statystyki odnotowują, że we wspomnianym okresie udało się wykryć i skutecznie zablokować ponad 108 tys. prób ataku z wykorzystaniem złośliwego oprogramowania.
Powyższe statystki pokazują, że jedynie usystematyzowane, wykorzystywane w skali globalnej i przede wszystkim proaktywne metody wykrywania i identyfikacji zagrożeń cyberprzestrzeni pozwalają na skuteczne implementowanie mechanizmów detekcji i blokowania tychże w systemach i technologiach oferowanych dla biznesu. Doskonałym przykładem jest tutaj Zero Day Initiative oraz Smart Protection Network.