Szerző: Gálffy Csaba

2014. november 26. 16:01

Hatástalanok az APT elleni csodafegyverek

Megelégelték a CrySyS és az MRG Effitas szakemberei, hogy nincsenek hatékony módszerek az új generációs, APT támadások ellen kifejlesztett eszközök tesztelésére és az ilyen berendezések által nyújtott védelem összehasonlítására. Ezért saját metodológiát dolgoztak ki és támadási forgatókönyveket írtak - az eredmények pedig aggasztóak.

A méregdrága biztonsági céleszközök sem nyújtanak teljes körű határvédelmet - figyelmeztet a CrySyS és az MRG Effitas közös, úttörő tesztje. A két csapat együttműködése arra igyekezett rávilágítani, hogy a innovatív, új generációs hálózati biztonsági eszközök a gyártók állításaival ellentétben korántsem mindenhatóak. A közölt metodológia szerint az APT (advanced persistent threat) jellegű támadások ellen védő eszközöket a gyártók ajánlása alapján telepítették, a rendeltetésszerű működést pedig a hazai viszonteladók és rendszerintegrátorok ellenőrizték.

Mit is teszteltek?

A pontos elnevezés gyártónként és termékenként változik, de általánosságban a teszt az új generációs, advanced persistent threat (APT) támadások ellen komplex védelmet kínáló hálózatbiztonsági eszközöket vizsgálta. Ezek folyamatosan figyelik a céges hálózat és az internet között folyó forgalmat, amelyből igyekeznek kiszúrni a gyanús mintázatot. Egyik fontos funkció, hogy az eszközök a letöltött állományokat szimulált környezetben, virtuális gépeken kibontják, és ebben a sandboxban megvizsgálják azok működését, bizonyos mintázatokat észlelve pedig azonnal jeleznek.

A komplex rendszerek vizsgálják például a rossz reputációval rendelkező IP-címek és domének felé folyó adatforgalmat is, amelyet szintén ki tudnak szúrni. A védelmi funkciók listája hosszú és gyártónként is változik, az viszont általános, hogy a cégek ezeket a megoldásokat az IT-biztonság legújabb vívmányaiként értékesítik, elképesztő összegekért.

A CrySyS és az MRG Effitas által kidolgozott négy teszt a különböző fejlettségi szintű, eltérő komplexitású támadásokat hivatott szimulálni. Mind a négy forgatókönyvet a magyar szakemberek fejlesztették ki, így egészen egyedi, mással össze nem mérhető támadásokat sikerült kitalálni. Fontos megjegyezni, hogy a támadások tervezésekor és a malware-ek megírásakor a tesztelt termékek nem álltak a szakemberek rendelkezésére, így pusztán az általános iparági trendekre támaszkodhattak, nem mehettek rá a védelmi berendezések egyedi jellemzőire vagy ismert hibáira. A részletes metodológia leírásához érdemes fellapozni az elkészült jelentést.

Mit is tud ez?

A vizsgálat eredményei lesújtóak, a legfejlettebbnek számító BAB0 kódnevű támadást egyik tesztelt eszköz sem észlelte és így értelemszerűen megállítani sem tudta. Pedig a szakértők állítása szerint ez a komplexitási szint nem elérhetetlen a nagy értékű célpontokat támadó szervezett bűnözői csoportok számára, az állami támogatással dolgozó támadók pedig ennél is összetettebb támadásokat tudnak levezényelni. A tesztet fejlesztő csoport ezért úgy döntött, hogy a BAB0-t hamarosan nyilvánosságra hozza, ami várhatóan lépéskényszerbe hozza a biztonsági eszközöket fejlesztő gyártókat és kijavítják a problémás termékeket.

Az első három, kevésbé fejlett támadás arra jó volt, hogy a különböző termékek közötti tudásbeli különbséget felvillantsa. Míg az első két szimulációt mind az öt tesztelt termék sikerrel detektálta, a harmadikkal csak két eszköz birkózott meg, a másik három elhasalt. Érdemes megjegyezni, hogy a "detektálás" definícióját a tesztelés metodológiája nagyon alacsonyra helyezte - a sikerhez most elegendő volt, ha az eszköz bármilyen (akár a legalacsonyabb szintű, "low priority") figyelmeztetést adott az üzemeltetőnek a támadás bármely fázisában (exploit, malware letöltődése, parancsszerverrel való kommunikáció).

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A bejelentés szerint a tesztlabor immár felállt, a most publikált eredményeket pedig továbbiak követik, ahogy a két csapat folyamatosan újabb szimulált támadásokat fejleszt. A gyártók rangsorát és a termékek teljesítményét azonban továbbra sem hozza nyilvánosságra a csoport, az ilyen vásárlásokat fontolgató nagyvállalatok számára azonban kínálnak egyedi igények szerint összeállított termék-összehasonlító szolgáltatást.

A vizsgálatról készült részletes jelentés, az egyes támadási forgatókönyvek részletesebb leírásával itt olvasható.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról