Jak jsem slíbil v předchozí části, v tomto článku se budu zabývat viditelností na koncových zařízeních, čili endpointech. Stále se bavíme o viditelnosti nad aktivy, čili o druhé nejdůležitější potřebě v hierachii kyberbezpečnostních potřeb, která následuje hned po potřebě asset managementu (čili víte, jaké aktiva ochraňujete).
Pro jistotu připojuji i obrázek, jak vypadá kyberbezpečnostná hierarchie potřeb v podobě pyramidy (podoba s Maslowovou pyramidou potřeb určitě není náhodná).
Viditelnost na endpoint
Endpointy v pojetí desktopů a pracovních stanic jsem nevybral náhodou. Ještě stále se můžeme setkat s názorem, že viditelnost na endpointech není nutná, pokud na nich nejsou důležitá data. Takový názor je však mylný.
Většina útoků dnes přichází právě z endpointů, resp. přes endpointy. Hovoříme zejména o spear phishingu, phishingu a různých malwarových kampaních šířených přes e-mail nebo jako drive-by nákazy z napadených webů (waterholing, malvertising), které jsou v současnosti nejrozšířenějším způsobem kybernetických útoků na organizace. Jejich cílem ve většině případů nejsou data uložená na endpointech. Cílem je ovládnout daný endpoint a z něj se pak dále rozšířit po infrastruktuře, čili endpoint slouží jako pivot do napadeného prostředí.
Když se útočník na napadeném stroji usadí, získá korektní přihlašovací údaje, případně další informace o prostředí, které napadl, může být extrémně obtížné zachytit jeho další činnosti v napadeném prostředí pomocí ostatních typů viditelnosti, např. síťové viditelnosti, viditelnosti na serverech či monitorování přístupu k datům.
Základními a nejrozšířenějšími způsoby získávání viditelnosti na endpointech je základní logování OS, ale například i použití antiviru, který „vidí“, jaké soubory jsou otevírány a tak může i zabránit iniciální nákaze. Toto však není dostačující. Velmi zjednodušeně se dá říci, že antivir neuvidí nic, pokud na to nemá signaturu. Běžně se tak stane, že pokud jste cílem první vlny malwarové kampaně, kde je malware rozesílán jako příloha v e-mailu, tak tu přílohu můžete otevřít a antivir ani nepípne, zatímco vy jste si právě stáhli a nainstalovali malware.
Zde nastupují na scénu různé nástroje pokročilého monitorování endpointů, jako jsou např. řešení EDR (Endpoint Detection and Response) nebo Sysmon a součásti Sysinternals pro Windows či auditd a různé vestavěné systémové utility pro Linux. Tato řešení a nástroje nám přinášejí informace o spouštěných procesech, používaných knihovnách, síťových spojeních jednotlivých procesů, hash různých souborů či dalších podrobných informacích o dějích probíhajících na daném endpoint.
Ve výše zmíněném případě s malwarovou přílohou, je možné např. hned vidět, že proces Wordu, který otevřel přílohu, následně spustil PowerShell, což by v normálním případě dělat neměl a my tak můžeme hned vidět, že se děje něco špatného. V našem zjednodušeném příkladu antiviru bychom toto nevěděli, pokud by už antivir neměl signaturu na daný malware.
Stejně tak při viditelnosti na API používané jednotlivými procesy – pokud vidíme, že Word používá Windows CRYPTO API je pravděpodobné, že se na počítači spustil ransomware, protože jde obecně o poměrně neobvyklou věc pro Word, ale obvyklou pro ransomware.
Podobné typy nástrojů můžeme použít i na ostatních druzích zařízení, které by se v jistém smyslu mohli nazývat endpointy, jako např. smartphony, v jistém smyslu i servery.
Kromě viditelnosti v síti a viditelnosti na endpointy můžeme mluvit i o dalších typech viditelnosti, např. v případě cloudu. O těchto už psát nebudu, šlo by jen o aplikaci popsaných principů na jiné věci.
Obecně můžeme říci, že viditelnost na různých vrstvách infrastruktury je základním předpokladem pro uspokojení další potřeby v hierarchii – potřeby detekce, jejíž náplní je využití viditelnosti na zjištění neautorizovaných operaci nebo dějů. O této potřebě si více řekneme v následující části tohoto seriálu.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Další články společnosti Axenta:
Hierarchie potřeb v kyberbezpečnosti – 2. část
Hierarchie potřeb v kyberbezpečnosti – 3. část
Jak se nenechat vydírat ransomwarem
Hierarchie potřeb v kyberbezpečnosti – 5. část
Hierarchie potřeb v kyberbezpečnosti – 6. část
Hierarchie potřeb v kyberbezpečnosti – 7. část
V Brně bylo otevřeno první Junior Centrum Excelence pro kybernetickou bezpečnost v ČR
Obrázek: Matt Swann