IT Professional Security - ΤΕΥΧΟΣ 45
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
T<strong>45</strong>05-07.2016<br />
Issue<br />
Τα οφέλη της ενσωμάτωσης<br />
Sandboxing σε NG Firewalls<br />
Οι εποχές όπου το malware απλά γέμιζε την οθόνη με «σκουπίδια», ή διέγραφε κάποια αρχεία,<br />
έχουν παρέλθει. Πλέον οι απειλές είναι πιο στοχευμένες. Σκοπός των επιτιθέμενων είναι να<br />
αποκομίσουν κέρδος, παρά να δημιουργήσουν χάος. Μπορεί να κρυπτογραφήσουν τα αρχεία<br />
ενός συστήματος για λύτρα, ή να εκβιάσουν μια εταιρία με πιθανές επιθέσεις DoS στους<br />
δικτυακούς της πόρους.<br />
ολύ συχνά οι σύγχρονοι ιοί δεν κάνουν καν<br />
Π<br />
αισθητή την παρουσία τους. Παραμένουν «σιωπηλοί»<br />
και συλλέγουν τις πληροφορίες που<br />
χρειάζονται από το στόχο τους μέχρι να αυτοκαταστραφούν.<br />
Οι πιο εξελιγμένοι ιοί εμπίπτουν στην κατηγορία των Advance<br />
Persistent Threat (APT) όπου πρόκειται για στοχευμένες<br />
επιθέσεις. Συχνά στην κατηγορία αυτή τοποθετούνται και οι<br />
πολυμορφικοί ιοί, οι οποίοι τροποποιούν τμήματα του κώδικά<br />
τους σε κάθε νέα εξάπλωση που κάνουν, με αποτέλεσμα<br />
τα συμβατικά antivirus προγράμματα να μην μπορούν να τους<br />
ανιχνεύσουν. Ο πολυμορφισμός μπορεί να επιτευχθεί ακόμα<br />
και με αλλαγή ονομάτων, συμπίεση ή και κρυπτογράφηση, και<br />
παρόλη την αλλαγή τμήματος του κώδικα το τελικό αποτέλεσμα<br />
στον στόχο να παραμένει το ίδιο.<br />
Ακόμα κι αν ανιχνευθεί κάποιο κακόβουλο APT και το antivirus<br />
δημιουργήσει signature για τα pattern του, το signature δεν θα<br />
είναι αποτελεσματικό για την νέα μορφή του APT που θα προσπαθήσει<br />
να μολύνει τον επόμενο στόχο. Εξαιτίας των APT αλλά<br />
και της ραγδαίας αύξησης των Malware, η διαδικασία ανίχνευσης<br />
των ιών πρέπει εκτός από signature based, να γίνεται<br />
και με -αυτοματοποιημένη- ανάλυση της συμπεριφοράς.<br />
Η βέλτιστη λύση που πλεονεκτεί<br />
Ο πιο αποτελεσματικός τρόπος ανάλυσης συμπεριφοράς είναι<br />
η τεχνολογία Sandboxing. Η βασική ιδέα του Sandboxing<br />
είναι να ελέγχονται τα προγράμματα σε έναν κλειστό<br />
ελεγχόμενο περιβάλλον. Ο έλεγχος αναλύει τον τρόπο που<br />
συμπεριφέρεται το πρόγραμμα όταν ενεργοποιηθεί. Πιθανή<br />
περίεργη συμπεριφορά θα έχει σαν αποτέλεσμα να μπλοκαριστεί<br />
το πρόγραμμα και να δημιουργηθεί signature το οποίο<br />
θα προστεθεί στην Database του Antivirus. Τα περιβάλλον<br />
Sandbox μπορεί να είναι προσομοιωτής λειτουργικού,<br />
virtual μηχάνημα ή φυσικό μηχάνημα. Μπορεί να κάνει<br />
monitor με ακρίβεια κάθε ενέργεια του προγράμματος, ακόμα<br />
και πιθανά DNS requests, URL που ζητήθηκαν και τροποποιήσεις<br />
στην registry.<br />
Η τεχνολογία Sandboxing έχει αρκετά πλεονεκτήματα σε σχέση<br />
την συμβατική μέθοδο των signatures, όμως παραμένει η<br />
ανάγκη για ταυτόχρονη υλοποίηση και των δύο τεχνολογιών,<br />
30 security