Cybonet Cybowall : Nastavljanje pasti za oviranje in zmanjšanje širjenja napadov znotraj omrežja

CyboNet

Cybonet, ponudnik palete vodilnih rešitev za zaščito elektronske pošte namenjenih manjšim in srednje velikim podjetjem, katerega v Sloveniji uradno zastopa Mariborsko podjetje REAL security, predstavlja varnostno funkcijo Mrežna Past – Network Trap.

Cybonet Cybowall ponuja več plasti zaščite in množico tehnik za prepoznavanje in zaustavljanje vdorov v informacijske sisteme in omrežja. Ena od tehnik je nastavljanje pasti v omrežju, to so ti. ‘honeypots’ ali ‘honey traps’. To so drugače nerabljeni računalniki – fizični ali navidezni stroji – postavljeni predvsem zato, da bi jih napadalec ‘videl’ in napadel. Zakaj? Seveda bolje da napade te kot pomembne produkcijske sisteme. Na njih razen programske opreme Cybonet v resnici ni ničesar drugega, zato napad ne bo povzročil škode. Cybowall pa lahko medtem napadalca podrobno analizira, se uči in ga nato zaustavi, ko poskuša na enak način ogroziti pomembne sisteme.

Past mora biti ustrezno pripravljena, pomeni, da se mora zlobnemu hekerju ali zlonamernemu programu zdeti kot privlačna tarča z datotečnim sistemom polnim na primer poslovnih ali administratorskih dokumentov. Zanimiva in istočasno le nekoliko dostopna, da privabi napadalca. Se pravi ne popolnoma brez varnostnih zaščit, kar bi bilo sumljivo. Pravzaprav zelo vidna in hkrati čim bolj zaščitena, a še vedno tako, da je vdor mogoč. Na ta način se prisili napadalca, da uporabi vsa svoja orožja, katera lahko Cybowall potem lepo analizira in se uči.

Na pasti so naložena prikrita orodja za nadzor sistema in sledenje vsem aktivnostim. Vsi napadalčevi koraki in aktivnosti se zabeležijo in so na voljo za kasnejšo analizo. Avtomatska orodja gradijo bazo znanja o napadu, napadalcu in uporabljenih metodah. Ob tem lahko prepoznajo nove ranljivosti v operacijskih sistemih in aplikacijah, tvegane uporabnike, ter identificirajo nove viruse in druge vrste še neznane škodljive kode.

Lateralno premikanje

Lateralno premikanje je vsaka aktivnost ali tehnika kibernetičnega napada potem, ko je uspel prodreti v en sistem. Lahko tudi samo znotraj okuženega sistema, dostikrat pa je ta le odskočna deska za prodor naprej. Namen lateralnega širjenja je iskanje kraje vrednih informacij ali prepoznavanje in širjenje do drugih ranljivih sistemov v omrežju.

Lateralni premik do mrežne pasti omogoča Cybowall-u alarmirati na aktualne ali prepoznavati nove indikatorje vdora.

Kako učinkovite so mrežne pasti Cybowall

Mrežne pasti zagotavljajo prepoznavanje, vpogled v, ter tudi oviranje lateralnega širjenja napadov, v kombinaciji z drugimi Cybowall tehnikami pa tudi v celoti zaustavljajo napade.

Prvič, mrežna past lahko precej upočasni ali celo zaustavi avtomatizirane napade kot so “worm” ali “autorooter“. Ti skenirajo celotno omrežje iščoč ranljive in dovolj zanimive sisteme, katere si zapomnijo in se jih po zaključku skeniranja tudi lotijo. Ena ali več pasti lahko pomeni, da bodo dejanski sistemi napadeni kasneje ali celo nikoli, do takrat pa lahko že sprožimo protinapad.

Drugič, past lahko zavede hekerja, ki vodi napad, ga usmeri na napačno pot, da zapravi zelo veliko časa za vdor v na videz zanimiv in močno zaščiten sistem brez prave vrednosti. Usmerimo ga na lokacijo, kjer ne more povzročati škode, medtem ko pomembni sistemi nemoteno obratujejo.

Tretjič, pasti lahko za varnost zadolženemu osebju v podjetju razkrijejo napadalce, ki so že znotraj omrežja. Cybowall naredi avtomatizirano analizo ter arhiv revizijskih sledi, katerega lahko osebje preišče za učinkovito sanacijo, poročanje in preprečevanje ponovnih napadov.

Četrtič, past je le ena od več varnostnih funkcionalnosti v večplastni varnostni rešitvi za celostno zaščito omrežij Cybonet Cybowall.

Cybonet Cybowall – večplastna varnostna rešitev v kateri so mrežne pasti le ena od uporabljenih tehnik

Mrežne pasti so le eden od elementov Cybowall-ove več-vektorske arhitekture zaščite in povečevanja informacijske varnosti. Cybowall ščiti pred vsemi najnovejšimi grožnjami, pasti so tukaj le del celotnega mozaika. Same po sebi imajo namreč precej omejen doseg, vidijo samo točno nanje usmerjene aktivnosti. Napadalec, ki sistem prepozna kot past, ga bo enostavno ignoriral in se usmeril na druge tarče. Pasti ne nadomeščajo drugih tehnik in same zase so precej, v integraciji z drugimi Cybowall funkcijami pa lahko korenito prispevajo k vsesplošni varnosti.

Cybowall integrira mrežne pasti s funkcijami mapiranja elementov v mreži, ocenjevanja ranljivosti, prioritozacije nameščanja popravkov glede na stopnjo ranljivosti, prepoznavanjem groženj in škodljive kode, korelacijo dogodkov oz. SIEM funkcionalnostmi, spremljanjem končnih sistemov, upravljanjem gesel, vodenjem revizijskih sledi in poročanjem.

Centralni element Cybowall-a je senzor, ki lahko zunaj linije promet na ti. TAP priključku ali zrcaljenih vratih mrežnega stikala vidi celotni promet v omrežju. Pomeni, da lahko Cybowall deluje kot IDS rešitev na celotnem omrežnem nivoju, ne le za v/i promet. Funkcija skeniranja omrežja brez agentov, na primer s tehnologijami kot je WMI, poskrbi za pridobivanje množice aktualnih informacij ter forenzičnih podatkov. Vse tako pridobljene informacije, torej iz skenov ali mrežnih pasti, se lahko korelirajo z znanimi indikatorji zlorab IOC, kar precej dvigne informacijsko vrednost varnostnih analiz. Priključek SNMP in grafični uporabniški vmesnik nam zagotavljata enotni in centralni pogled na celotno omrežje, enostavno upravljanje, stalno vidljivost in hitro prepoznavanje vdorov.

Robert Lubej

Dodatne informacije: Daniel Bednjički, produktni vodja, daniel.bednjicki@real-sec.com