Loading...
Wywiady

Potrafimy skutecznie walczyć z podatnościami zero-day

Rozmowa z Michałem Jurczakiem, product managerem WatchGuard w Veracompie

Na czym polega podatność zero-day?

Pojęciem „zero-day” określana jest świeżo zidentyfikowana luka bezpieczeństwa w oprogramowaniu, o której istnieniu której wcześniej nie wiedział producent, a więc miał zero dni na przygotowanie łatającej ją poprawki. Siłą rzeczy zatem, jeśli odpowiednia aktualizacja zostanie przygotowana, przestajemy mówić o podatności zero-day w takim przypadku.

Dlaczego ta kwestia jest tak ważna w cyberbezpieczeństwie?

Bardzo często producenci różnego rodzaju oprogramowania nie mają pojęcia o obecnych w nim lukach i podatnościach dotyczących bezpieczeństwa. Natomiast gdy zostaną one wykryte przez cyberprzestępców, często przygotowywane są exploity, czyli złośliwe kody umożliwiające nieautoryzowane operacje w środowisku IT ofiary, np. pobranie i uruchomienie innego złośliwego kodu, kradzież informacji itp. Problem w tym, że takiego exploita w systemie ofiary trudno jest wykryć tradycyjnymi metodami, np. bazującym na sygnaturach antywirusem, bo nikt – oprócz cyberprzestępcy – nie ma świadomości o istnieniu danej podatności.

Jedno z praw Murphy’ego mówi, że nie ma programu bez błędów. Czy jednak patrząc wyłącznie z perspektywy bezpieczeństwa można założyć, że każde oprogramowanie ma jakieś niewykryte luki?

To jest bardzo zachowawcze, ale też bezpieczne podejście. Przy tak szybko zmieniającym się świecie, równie często i szybko do tworzonego oprogramowania dokładany jest nowy kod, zapewniający kolejne funkcje. Często nie ma możliwości, aby był on kompleksowo przetestowany, więc mogą pojawić się w nim luki, a sytuację pogarsza fakt, że kreatywność cyberprzestępców w ich wykrywaniu jest praktycznie nieskończona. Dlatego raczej radziłbym zakładać, że każde oprogramowanie posiada pewne luki zero-day, które nie są jeszcze odkryte.

Czy można ocenić, kto statystycznie najczęściej wykrywa podatności zero-day?

Raczej nie, tym bardziej, że oprócz cyberprzestępców i ekspertów zatrudnionych przez producentów oprogramowania mamy jeszcze trzecią grupę osób. Są nimi niezależni specjaliści ds. bezpieczeństwa, którzy kiedyś byli hobbystami, ale ostatnio sytuacja rynkowa pozwoliła im na zarabianie całkiem przyzwoitych pieniędzy. Do niedawna byli oni zobowiązani na bazie umowy licencyjnej do przekazywania informacji o wykrytych lukach producentowi, i to bez wynagrodzenia. Dlatego zdarzały się przypadki, że woleli sprzedać te informacje cyberprzestępcom na czarnym rynku. Teraz producenci coraz częściej ogłaszają programy typu bug bounty, w których za wykrycie błędu lub luki w oprogramowaniu wypłacają pieniądze, czasami całkiem niemałe. Dzięki temu pojawiła się możliwość legalnego zarabiania na swojej eksperckiej wiedzy.

Jedną z najlepszych praktyk, która pośrednio, ale dość skutecznie zabezpiecza przed zagrożeniami wykorzystującymi podatności zero-day, jest jak najszybsze instalowanie aktualizacji. Jednak niektórzy twierdzą, że opublikowane przez twórców oprogramowania łatki są analizowane przez cyberprzestępców i dzięki inżynierii zwrotnej są oni w stanie wykryć, na czym polegała luka oraz przygotować exploita atakującego niezałatane systemy. Czy rzeczywiście tak się dzieje, czy też jest to tylko spiskowa teoria?

Niestety, rzeczywiście tak się dzieje. Czasami mają też ułatwione zadanie, ponieważ producent oprogramowania po wykryciu luki zero-day nie zawsze od razu ją naprawia, ale np. wypuszcza bardzo szybko aktualizację wyłącznie blokującą jakąś funkcję, u której wystąpiła podatność. Tym samym daje cyberprzestępcom wskazówkę, gdzie należy szukać tej luki. Na szczęście jednak u producentów oprogramowania pracuje coraz więcej ekspertów ds. bezpieczeństwa, którzy sami nieustannie pracują nad wykrywaniem podatności oraz ich bardzo szybkim i skutecznym łataniem. Dlatego życie cyberprzestępców w tej dziedzinie staje się coraz trudniejsze.

Na co, oprócz aktualizacji, należy także zwracać uwagę przy tworzeniu polityki ochrony przed zagrożeniami wykorzystującymi podatności zero-day?

Są to ogólnie kwestie związane z edukacją i uświadamianiem użytkowników. Powodzenie wielu ataków, także z wykorzystaniem podatności zero-day, bardzo często uzależnione jest od najsłabszego ogniwa, którym jest człowiek. Dlatego nieustannie trzeba podkreślać znaczenie dobrych praktyk związanych z codzienną pracą, jak nieotwieranie podejrzanych załączników, wchodzenie wyłącznie na zaufane strony, pobieranie tylko tych plików, co do których jesteśmy pewni ich zawartości itd.

Wszystko to są jednak działania prewencyjne… Czy można zabezpieczyć się także w warstwie technicznej?

Tak, jest wiele rozwiązań, które pomagają wykrywać i neutralizować zagrożenia typu zero-day. Z pomocą przychodzi przede wszystkim heurystyka, czyli moduł automatycznej analizy potencjalnie złośliwego kodu, obecny w wielu pakietach antywirusowych, rozwiązaniach UTM oraz firewallach nowej generacji. Skuteczne są też rozwiązania, które dzięki uczeniu maszynowemu umożliwiają wykrywanie różnego rodzaju odchyleń, np. weryfikację czy w pliku danego typu są jakieś elementy, które zwyczajowo w tego rodzaju plikach nie występują, a więc może być to poszlaka wskazująca na obecność złośliwego kodu.

Bardzo dużą skuteczność mają sandboxy, czyli odizolowane środowisko, w którym możliwe jest uruchomienie danego pliku równocześnie w kilkunastu różnych systemach operacyjnych i obserwacja jego zachowania. Na znaczeniu zyskują również rozwiązania typu Threat Detection & Response (TDR), umożliwiające automatyczne wykrywanie zagrożeń i reagowanie na nie. Taka funkcja zapewniana jest m.in. przez urządzenia firmy WatchGuard. Jeżeli na stacji roboczej uruchomiony zostanie nieznany lub podejrzany plik albo proces, informacje o nim natychmiast są zbierane i analizowane, a następnie wysyłane do chmury, gdzie poddawane są dalszej analizie i korelacji z innymi, potencjalnie związanymi z danym plikiem wydarzeniami. Jeśli na tym lub innym komputerze na świecie korzystającym z modułu TDR zostanie wykryte jakiekolwiek zagrożenie, do wszystkich stacji roboczych wysyłana jest informacja, że dany plik lub proces został uznany za szkodliwy i należy zablokować wszystkie czynności z nim związane. To daje bardzo skuteczną ochronę np. przed ransomware’em.

Jak szybko od momentu stworzenia zabezpieczenia przeciwko podatności zero-day przez jednego dostawcę rozwiązań ochronnych, odpowiednie poprawki pojawiają się też u innych?

Dość szybko, ponieważ ochrona przeciwko znanym podatnościom zapewniana jest przez mechanizm sygnaturowy. Jednak warto przede wszystkim wybierać takich dostawców rozwiązań ochronnych, którzy gwarantuje krótki czas reakcji w przypadku wykrycia podejrzanego pliku oraz jego automatyczną neutralizację. Dla przykładu, w urządzeniach Firebox firmy WatchGuard w 2019 r. ok. 65 proc. wykrytych ataków w Polsce miało status zero-day. To pokazuje, jak bardzo nieskuteczne byłoby korzystanie wyłącznie z ochrony sygnaturowej, jaką zapewniają tradycyjne antywirusy i UTM-y.

Czym jeszcze wyróżniają się rozwiązania firmy WatchGuard?

Gwarantują kompleksową ochronę, zintegrowaną w jednej platformie, dostępnej w przystępnej cenie. Dzięki łatwości obsługi nie trzeba martwić się dużymi kosztami związanymi z wdrożeniem i późniejszym utrzymaniem takich systemów. WatchGuard aktywnie współpracuje także z innymi dostawcami rozwiązań ochronnych, np. korzysta z mechanizmów sygnaturowych zapewnianych m.in. przez firmy Trend Micro, Websense czy BitDefender. Ma też moduł sandbox, umożliwiający analizę podejrzanych plików czy skuteczną ochronę przed phishingiem. Posiada również działający w czasie rzeczywistym moduł analizy podatności, bazujący na mechanizmach uczenia maszynowego oraz własny, zaawansowany mechanizm TDR, który automatyzuje proces zapewniania bezpieczeństwa środowiska IT. Dzięki temu administrator otrzymuje raporty na temat tego, co było znalezione, przeanalizowane i jakie kroki zostały podjęte. Oczywiście urządzeniami firmy WatchGuard można zarządzać w bardzo zaawansowany sposób, ale sprawdzą się też w firmach, gdzie nie ma ekspertów ds. bezpieczeństwa, więc wiele działań powinno być realizowanych automatycznie lub dopuszczalna jest zdalna kontrola pracy tych urządzeń przez współpracującego z klientem partnera.

Inne artykuły: