Ako som sľúbil v predchádzajúcej časti, v tomto článku sa budem zaoberať viditeľnosťou na koncových zariadeniach, čiže endpointoch. Stále sa bavíme o viditeľnosti nad aktívami, čiže o druhej najdôležitejšej potrebe v hierachii kyberbezpečnostných potrieb, ktorá nasleduje hneď po potrebe asset managementu (čiže viete, aké aktíva ochraňujete).
Pre istotu pripájam aj obrázok, ako vyzerá kyberbezpečnostná hierarchia potrieb v podobe pyramídy (podoba s Maslowovou pyramídou potrieb určite nie je náhodná).
Viditeľnosť na endpointoch
Endpointy v ponímaní desktopov a pracovných staníc som nevybral náhodou. Ešte stále sa môžeme stretnúť s názorom, že viditeľnosť na endpointoch nie je potrebná, ak na nich nie sú dôležité dáta. Takýto názor je však mylný.
Väčšina útokov dnes prichádza práve z endpointov, resp. cez endpointy. Hovoríme najmä o spear phishingu, phishingu a rôznych malwarových kampaniach šírených cez e-mail alebo ako drive-by nákazy z napadnutých webov (waterholing, malvertising), ktoré sú v súčasnosti najrozšírenejším spôsobom kybernetických útokov na organizácie. Ich cieľom vo väčšine prípadov nie sú dáta uložené na endpointoch. Cieľom je ovládnuť daný endpoint a z neho sa potom ďalej rozšíriť po infraštruktúre, čiže endpoint slúži ako pivot do napadnutého prostredia.
Keď sa útočník na napadnutom stroji usadí, získa korektné prihlasovacie údaje, prípadne ďalšie informácie o prostredí, ktoré napadol, môže byť extrémne ťažké zachytiť jeho ďalšie činnosti v napadnutom prostredí pomocou ostatných typov viditeľnosti, napr. sieťovej viditeľnosti, viditeľnosti na serveroch či monitorovaní prístupu k dátam.
Základnými a najrozšírenejšími spôsobmi získavania viditeľnosti na endpointoch je základné logovanie OS, ale napríklad aj použitie antivíru, ktorý „vidí“, aké súbory sú otvárané a tak môže aj zabrániť iniciálnej nákaze. Toto však nie je dostačujúce. Veľmi zjednodušene sa dá povedať, že antivír neuvidí nič, ak na to nemá signatúru. Bežne sa tak stane, že ak ste cieľom prvej vlny malvérovej kampane, kde je malvér rozosielaný ako príloha v e-maili, tak tú prílohu môžete otvoriť a antivír ani nepípne, zatiaľčo vy ste si práve stiahli a nainštalovali malvér.
Tu nastupujú na scénu rôzne nástroje pokročilého monitorovania endpointov, ako sú napr. riešenia EDR (Endpoint Detection and Response), alebo Sysmon a súčasti SysInternals pre Windows či auditd a rôzne vstavané systémové utility pre Linux. Tieto riešenia a nástroje nám prinášajú informácie o spúšťaných procesoch, používaných knižniciach, sieťových spojeniach jednotlivých procesov, hashoch rôznych súborov či ďalších podrobných informáciach o dejoch prebiehajúcich na danom endpointe.
Vo vyššie spomínanom prípade s malvérovou prílohou, je možné napr. hneď vidieť, že proces Wordu, ktorý otvoril prílohu, následne spustil PowerShell, čo by v normálnom prípade robiť nemal a my tak môžeme hneď vidieť, že sa deje niečo zlé. V našom zjednodušenom príklade antivíru by sme toto nevedeli, pokiaľ by už antivír nemal signatúru na daný malvér.
Rovnako tak pri viditeľnosti na API používané jednotlivými procesmi – ak vidíme, že Word používa Windows CRYPTO API je pravdepodobné, že sa na počítači spustil ransomware, keďže ide o všeobecne o pomerne neobvyklú vec pre Word ale obvyklú pre ransomware.
Podobné typy nástrojov môžeme použiť aj na ostatných druhoch zariadení, ktoré by sa v istom zmysle mohli nazývať endpointami, ako napr. smartfóny, či v istom zmysle aj servery.
Okrem viditeľnosti v sieti a viditeľnosti na endpointoch môžeme hovoriť aj o ďalších typoch viditeľnosti, napr. v prípade cloudu. O týchto už písať nebudem, išlo by len o aplikáciu popísaných princípov na iné veci.
Všeobecne môžeme povedať, že viditeľnosť na rôznych vrstvách infraštruktúry je základným predpokladom pre uspokojenie ďalšej potreby v hierachi – potreby detekcie, ktorej náplňou je využitie viditeľnosti na zistenie neautorizovaných operácii alebo dejov. O tejto potrebe si viac povieme v nasledujúcej časti tohto seriálu.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Obrázek: Matt Swann
