Дигитализация

Предизвикателства към сигурността на съвременните информационни системи

CIO Media

доц. д-р инж. Жанета Ташева, Факултет „Артилерия, ПВО и КИС“,НВУ „В. Левски“, Шумен

Въпросът, свързан със заплахите, отправяни към съвременните информационни системи, никога не е представлявал по-голямо предизвикателство за държавните служби. Правителствените агенции са изправени пред голям поток от кибератаки, които стават все по-сложни, усъвършенствани, невидими и опасни. Използваните в момента решения, с използване на цифрови подписи, и анализи, базирани на файлове, не могат да открият усъвършенстваните атаки и своевременно да ги спрат. Без внедряване на нови по-ефикасни средства за идентификация и инструменти за възстановяване, е възможно някои агенции седмици или дори месеци да са подложени на атаки, преди да бъдат открити нарушения в системната инфраструктура.

Проблеми

Прилаганият сега традиционен модел за информационна сигурност не успява да открива и предотвратява някои от съвременните сложни и усъвършенствани атаки. Според в доклада на Verizon (фиг. 1) за 2013 г. [4], 66% от нарушенията отнемат месец или дори години, за да бъдат открити (62% месец, 4% година). Проблемът се задълбочава. За сравнение, през 2012 г. според същото изследване само 56% от нарушенията са открити след месец или повече.

Основна причина за това забавяне при откриване на атаките е сложността на съвременния усъвършенстван зловреден софтуер, който лесно заобикаля традиционните защити, базирани на подписи. Усъвършенстваният зловреден софтуер може да се раздели на следните основни групи [1], [2], [3]:

Социален (Social). Усъвършенстваните атаки се насочват към специфични обекти чрез използване на социално инженерство и някои дупки в уеб сайтове, които привличат посетители от целевата група на съответната индустрия.

Усложнен (Sophisticated). Днес зловредният софтуер използва недостатъци от типа нулев ден и техники с усъвършенствана полиморфна мутация на кода или писане на неразбираем объркващ код, за да се заобиколят традиционните защити, базирани на антивирусни списъци и доверие.

Скрит (Stealthy). Съвременният зловреден софтуер често след първоначалното компрометиране на информационната система, скрива следващите си етапи на нападение и криптира съобщенията до сървъри чрез комуникации за командване и управление CnC (Command-and-Control).

Режисиран (Orchestrated). Усъвършенстваният зловреден софтуер изпълнява атаките в серия от ниско-профилни ходове или потоци чрез множество вектори.

Обекти на атаките

Интересен е въпросът, към кои области от индустрията са насочени най-много от новиte усъвършенствани атаки? Отговор ни дава изследването на Fire Eye за извършените кибер атаки през 2013 г. То представя следните основни резултати [6]:

  • Анализирани са 39 504 уникални инциденти в кибер сигурността (средно повече от 100 на ден);

  • 4 192 от тези атаки са асоциирани с усъвършенствани устойчиви заплахи (APT) (средно повече от 11 на ден);

  • Открити са 17 995 уникални инфекции със зловреден софтуер, дължащи се на APT дейности (средно почти 50 на ден);

  • Активирани са над 22 милиона комуникации за командване и контрол CnC (средно повече от една на всеки 1,5 секунди);

  • Установено е, че към САЩ, Канада и Германия са били насочени най-голям брой зловредни програми.

Установено е, че правителствените организации са областта, която е най-атакувана през 2013 г., с 84 от 159 зловредни кодове документирани от Fire Eye.

Същевременно, днес мобилните компютри са мястото, където компромисите между изискванията на потребителя за ефективност и сигурност са най-разпространени. От една страна, клиентите искат удобство и ефективност, които се предоставят от безжичния достъп чрез мобилни приложения. От друга страна, най-големите рискове в сигурността понастоящем са открити в мобилните приложения. В момента, мобилният зловреден софтуер е най-бързо разпространяващ се в информационните мрежи и системи.

Фигура 1: Време за откриване на атаката и ограничаване на нейното влияние [4]

За съжаление, тенденциите в развитието на зловредния софтуер се очаква да продължат и през 2014-а - през годината хакерите и кибер крадците ще доразвият своите техники. Това, от своят страна, ще отправи ново по-голямо предизвикателство към правителствените агенции и компании за защита на техните информационни системи и данни.

Тенденции в развитието на зловредния софтуер

Основните 5 тенденции в развитието на зловредния софтуер през 2014 г. са определени от eSecurity Planet [13].

>> Тенденция 1: Увеличаване на уеб-базирания зловреден софтуер

Голям процент от заразите със зловреден софтуер днес са резултат от сваляне на данни от уеб страници. Когато потребителите сърфират в компрометиран сайт или сайт измамник, зловредният софтуер автоматично се инсталира на тяхното устройство.

Някои от техниките, използвани от компрометираните сайтове включват атаки чрез инжектиране, които се възползват от пропуски в SQL бази данни и библиотеки, както и атаки чрез скриптове между кръстосани сайтове XSS (Cross-site scripting). XSS позволява на атакуващите да инжектират скриптове от страната на клиента в уеб страници, разглеждани от други потребители. Основната цел на тези атаки е компрометирането на легитимни уеб сайтове. В много случаи, когато сайтове са изложени на риск, с тези техники, хакерите използват слабости в уеб браузърите и техните плъгини чрез HTML или JavaScript кодове на експлойти. През 2014 г., хакерите ще продължават да се възползват от новооткрити в мрежата уязвимости в сървъри и приложения, за да заразяват търговски и правителствени уеб сайтове. Все по-често, започват да се прилагат и други форми на атаки чрез уеб-базиран зловреден софтуер. Например, в началото на тази година хакери инфектираха мрежа за реклами на трета страна, която рекламира Yahoo потребители. Кликването върху рекламите, препраща потребителите до уеб сайтове доставящи зловреден софтуер.

>>Тенденция 2: Продължаващо разрастване на бот мрежите

Заразените със зловреден софтуер компютри и сървъри често принудително се присвояват за ползване в масивни бот мрежи. През последните няколко години такива мрежи все повече са били използвани за извършване на клик измами (с ботове симулиращи кликванията върху реклами на уеб сайт, където действията генерират приходи на клик основа). Някои бот мрежи са били използвани за Bitcoin mining (процес на добавяне на записи по транзакции в главната счетоводна книга на последните сделки в системата за плащания Bitcoin). Най-много бот мрежи са използвани за мащабни разпределени атаки от вида отказ от услуги DDoS (Distributed Denial of Service).

В продължение на години, бот мрежите са привлекателни за злонамерени лица и групи, защото те предоставят евтина процесорна мощ и така осигуряват платформа за реализиране на атаки и разпространение на спам. Експертите очакват хакерският интерес към бот мрежите да нарасне през следващата година, защото DDoS атаките са се доказали като ефективни при нарушаване целостта и работоспособността на бизнеса. През 2014 г. на пазара ще са достъпни все повече IP-съвместими мобилни устройства, които могат да бъдат компрометирани и включени в бот мрежи за разпределени атаки.

>> Тенденция 3: Все по-сложни фишинг атаки от типа социално инженерство

Фишинг атаките отдавна се използват от хакери, за да компрометират системи чрез заразени прикачени файлове или да насочат потребителите към измамнически сайтове. Такива сайтове или са готови да доставят зловреден софтуер или се представят като легитимни сайтове, като се опитват да откраднат пароли и друга лична информация, която да се използва при кражба на самоличност и измами.

Фишинг атаките са във възход през 2013 г. и се очаква да продължат да нарастват през 2014-a. Една от най-последните тревожни тенденции при фишинга е неговата повишена сложност чрез използване на техники на социално инженерство. Например, социалните мрежи често се обект за откриване на множество полезна информация, като определяне на имена и имейли на приятели или колеги, използвани в персонализираните фишинг атаки. В много случаи, пристигането на съобщение от приятел или колега може да намали бдителността на потребителя и той да отвори прикачения файл или да кликне върху предложения лъжлив линк. Друг подход, използван при персонализирате атаки е възползване от новини базирани на интересни събития, скандали в живота на обществени знаменитости или голямо бедствие.

Още една тревожна тенденция, за която трябва да се следи, е увеличението на фишинга чрез така наречените атаки от типа “носене на гръб” (piggyback attacks). При такива атаки, хакерите се възползват от объркването на клиентите след някакво нарушаване в работата на информационната система и предлагат възможност да помогнат за разрешаване на проблема. При това те целят да получат допълнителна информация от потребителя, като го приканват да отвори прикачен файл или да отиде на фалшив сайт.

>>Тенденция 4: Атаки използващи дупки в изходния код и целенасочени атаки, които незабелязано се вмъкват в изходния код

Хакерите често използват новооткрити уязвимости, разработвайки зловреден софтуер, насочен към най-новите слабости, които са идентифицирани. В миналото този подход обикновено разчиташе на нормалното развитие на бизнеса и съобщаването за поява на дадена уязвимост. Но през миналата година се е увеличил проактивния подход към намирането на уязвимости. Оповестени са случаи, когато са извършени целенасочени атаки, за да се открадне сорс код. Пример за това беше разбиването на Adobe Systems Inc., при което хакери са откраднали пароли на потребители и изходния сорс код на Adobe Acrobat, ColdFusion и други продукти. Изтичането на изходния код потенциално може да доведе до откриването на нови уязвимости, които да се използват за атаки.

>>Тенденция 5: Увеличаване на зловредния софтуер чрез препращане на мобилни съобщения

Зловредният софтуер, насочен към мобилни устройства ще се увеличи и усъвършенства през следващата година. Това ще направи по-трудна защитата на самоличността на потребителите и данните, особено ако компаниите и правителствените агенции прилагат политиката „Донеси своето собствено устройство“ BYOD (Bring Your Own Device).

Една особено тревожна мобилна заплаха, която се очаква да донесе нови и по-големи проблеми е разпространяването на зловреден софтуер чрез SMS съобщения. Този сравнително нов метод за извършване на престъпления е в състояние да прихваща и препраща SMS съобщения.


Предизвикателства към сигурността на съвременните информационни системи

© CIO Media, Cio.bg

Фигура 2: Модел за действие на веригите зловреден софтуер

Кибер престъпниците демонстрират голяма креативност, когато става въпрос за неговото използване. Един подход, наречен измама фиксирана премия (Premium-Rate Fraud), компрометира мобилното устройство и изпраща SMS съобщения за услугите фиксирана премия. Такава услуги са все по-популярни сред клиентите, като позволяват на потребителите да извършват плащане за определени позиции или да направят дарение за благотворителни цели само чрез изпращането на текстово съобщение.

Друга схема използва по-традиционен подход, насочен към кредитните карти и банкови сметки на потребителите. Техниката се възползва от използването на текстови съобщения за предаване на информация за удостоверяване. Например, много банки изискват онлайн клиенти, ползващи обществени или нови компютри, да се удостоверят чрез въвеждане на код за достъп изпратен на техния мобилен телефон. Хакерите, прихванали тази информация за удостоверяване, могат да я използват за достъп до онлайн акаунти. През следващата година се очаква SMS-базираните техники да разширяват възможностите си за извършване на злонамерени действия от хакери и кибер крадци.

На основата на разгледаните по-горе състояние и тенденции в развитието на зловредния софтуер, може да се направи изводът, че откриването на атаките възможно най-рано е от решаващо значение, защото последиците, нанесени от усъвършенствания зловреден софтуер, са реалност. Правителствените агенции се нуждаят от по-бърз, по-добър начин за запазване на чувствителните данни и намаляване на потенциалните политически, финансови и физически щети, които могат да произтичат от новите усъвършенствани атаки.

Борба с усъвършенствания зловреден софтуер

Законът за управление на Федералната информационна сигурност FISMA [5] признава съществуващия риск в съвременните информационни системи и необходимостта от постоянно наблюдение на усъвършенстваните и упорити заплахи и атаки от типа нулев ден.

При разглеждане на технологичните решения за управление на бързо променящия се пейзаж на съвременни заплахи, държавните агенции се нуждаят от платформа за сигурност, която се определя от следните характеристики:

  1. Откриване на зловреден софтуер в рамките на секунди или минути след инцидента.

  2. Възможност за откриване на зловреден софтуер по време на критичната фаза на експлойта.

  3. Видимост за страничното движение на зловредния софтуер.

  4. Разузнаване в реално време и кибер криминалистика през целия жизнен цикъл на атаката.

  5. По-голяма точност при откриване на атакатас цел намаляване на неверни положителни и фалшиви отрицателни грешки.

В новите FISMA насоки на Националния институт за стандарти и технологии (NIST) се определя как да се направи оценка на риска [11], контрол за сигурността[12], както и непрекъснато планирано наблюдение на информационната сигурност [10]. Насоките изискват държавните агенции да разработят процедури, за да се даде възможност за съгласувана промяна от статично откриване до осъзнаване на заплахите и атаките в реално време. Това включва непрекъснат мониторинг в кибернетичното пространство, активен анализ, диагностика на заплахите и блокирането им в реално време. Насоките също така препоръчват и способности за проследяване на заплахите обратно към източника на тяхната CnC инфраструктура. Тези нови възможности включват осигуряване на непрекъснати сензори за наблюдение, диагностика, инструменти за смекчаване, и непрекъснат контрол като услуга CMaaS (Continuous Monitoring as a Service) [7], [9].

Технологии

В основата на технологичните решения на проблема стои предложният от Lockheed Martin Corporation модел за неутрализиране на веригите зловреден софтуер (Malware Kill-Chain Model) [8]. Той описва координираните и свързани етапи на една типична усъвършенствана атака. Чрез разбиране на същността на цикъла на живот на една такава атака, организациите могат да конструират подходящи процеси и инструменти за откриване, забрана и разрушаване на нарушенията в сигурността на всеки етап от веригата за тяхното неутрализиране. Намаляването на щетите от атаките изисква тяхното по-ранно откриване и премахване на евентуалните фалшиви положителни резултати.

Във всички атаки, бързото откриване на експлойта е от решаващо значение.

Практики

Усъвършенстваните атаки започват с разузнаване. Нападателите идентифицират и избират своите цели чрез придобиване на информация от всички налични източници, включително имейл списъци, участници в конференции, социални мрежи и т.н. При действителната атака, използваща зловреден софтуер, обикновено пакетът от експлойт и полезен товар се доставя в серия от стъпки чрез множество вектори. Експлойтът позволява на атакуващия да изпълни код на целевата машина. Кодът на този експлойт изтегля полезния товар на зловредния софтуер, който често е криптиран с нестандартни алгоритми. В този момент, нападателят установява канал за командване и управление CnC на целевата машина. С помощта на този цифров канал, нападателят въздейства върху крайните цели, които могат да включват преместване на външни елементи в рамките на околната среда на системата и нарушаване на поверителността, целостта или работоспособността на информационната система. Опасността се увеличава с всяка следваща фаза. Следователно, ефективното смекчаване на щетите изисква разрушаване на началните етапи от веригата на зловредния софтуер. Колкото по-скоро продуктите за защита могат да открият, блокират и изолират атаката, толкова по-малки ще бъдат нанесените щети върху информационната система.

Заключение

Традиционните едноточкови решения не могат да намалят въздействието на усъвършенстваните атаки по цялата верига. Някои агенции се опитват да се борят с този проблем, като използват решения в множество точки или такива с архитектура за защита в дълбочина. Но тези варианти разчитат основно на човешки контрол, което добавя допълнителни разходи и възможността за човешка грешка.

Правителствените агенции се нуждаят от коренно нов подход за ситуационна информационна сигурност. Ефективното предотвратяване и реагиране за атаки изисква внедряването на нови технологии за защита и отговор при инциденти. Разбирането на модела за действие на веригите зловреден софтуер може да помогне на специалистите по сигурност за разработване на продукти и средства за по-ефективна борба с усъвършенстваните атаки на всеки техен етап. Използването на непрекъснато наблюдение, диагностика и контрол като услуга ще спомогне за по-ранното откриване на атаките и оттам до намаляване на тяхното въздействие и изолиране на всички щети.

Източници:
1. Advanced AttacksRequire Federal Agenciesto Reimagine IT Security. FireEye, Inc. 2014,ps. 12.
2. Boyanov, P. K. „A taxonomy of the cyber attacks.“Journal Scientific and Applied Research, Vol.3, 2013, pp. 114-124.
3. Cole, T. With the rise in zero-day threats cyber can’t be business as usual theSTAND. CYBERSECURITY: Rising to the Challenge, FireEye, Inc. 2014.
4. Executive Summary, 2013 Data Breach Investigations Report. Verizon. 2014.
5. Federal Information Security Management Act. 2002.
6. FireEye Advanced Threat Report: 2013, FireEye Labs, February 2014, ps. 22.
7. Homeland Security. Continuous Diagnostics and Mitigation Program. 2012.
8. Hutchins, E. M., Michael J. Cloppert, and Rohan M. Amin. “Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains.” Leading Issues in Information Warfare & Security Research Volume 1. 2011, pp. 80-106.
9. Moore, G. Continuous Monitoring as a Service. Homeland Security. April 2012.
10. NIST Special Publication 800-137. Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations. September 2011.
11. NIST Special Publication 800-30 Revision 1. Guide for Conducting Risk Assessments. September 2012.
12. NIST Special Publication 800-53 Revision 4. Security and Privacy Controls for Federal Information Systems and Organizations. April 2013.
13. Top 5 Malware Trends for 2014 and How to Combat Them. A QuinStreet Executive Brief. © 2014. eSecurity Planet. 2014.


 


X