Artikel top billede

(Foto: Computerworld)

Gartner: Fem metoder til at forsvare sig mod APT-angreb

Analyseinstituttet Gartner har udgivet en analyse med angivelse af fem metoder til at beskytte sig mod målrettede virksomhedsangreb. De anbefaler samtidig, at man kombinerer mindst to af metoderne for den størst mulige effekt.

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Hvordan sikrer du din virksomhed mod de mere og mere målrettede angreb på jeres it-systemer? Der er hjælp at hente i Gartners rapport ”Five Styles of Advanced Threat Defense”, som blev udgivet i efteråret 2013. Her defineres fem forskellige metoder til at undgå de frygtede målrettede angreb ved at anvende andet og mere end blot traditionel it-sikkerhed såsom antivirus eller firewalls.

Rapporten baserer sig på en analyse af sikkerhedsløsningerne på markedet, som er designet til enten at identificere målrettede angreb eller indsamle information fra allerede kompromitterede systemer. Gartner kategoriserer denne analyse i fem teknologiske tilgange og omtaler dem som specifikke metoder i et samlet framework af it-sikkerhed.

Ifølge Gartner er det afgørende at forholde sig i tid til et sikkerhedsangreb. For det første kan man etablere et forsvar, der fungerer i realtid, men dernæst bør man også overveje at implementere værktøjer, der fungerer efter et angreb er lykkedes, og der opstår et akut behov for post-analyse.

Metode 1 – Network Traffic Analysis

Brug teknikker til analyse af netværkstrafikken for at etablere udgangspunkter for en normal netværkstrafik (f.eks. kan unormal DNS-trafik indikere botnet-trafik) og for at fremhæve unormale trafikmønstre, som angiver et kompromitteret miljø. Denne tilgang indeholder sporing i realtid og kan inkludere både ikke-signaturbaserede samt signaturbaserede teknologier. Endpoint-agenter er ikke påkrævet. Ulempen er, at denne tilgang kræver præcise definitioner samt meget kompetente sikkerhedsansvarlige for at undgå falske positiver.

Metode 2 – Network Forensics

Network Forensics giver indsigt i full-packet capture og lagring af netværkstrafik samt analyse og rapporteringsværktøjer til håndtering af APT-angreb. Fordelene ved denne metode inkluderer en reduceret responstid, ligesom det gør organisationen i stand til at rekonstruere og gengive flows og forløb over dage eller uger, ligesom det også kan udmønte sig i detaljerede rapporter, som kan bruges i forbindelse med evt. myndighedskrav. Ulempen ved denne type værktøjer er, at de har det med at være meget komplekse, og at omkostningerne stiger i takt med datamængderne og den tid, man er forpligtet til at gemme oplysningerne.

Metode 3 – Payload Analysis

I en payload-analyse kan man bruge en sandbox-teknologi (lokalt eller i skyen) til at detektere APT-angreb, i hvad der næsten svarer til realtid. Men de giver typisk ikke mulighed for at følge endpoint-mønstre over en periode på dage, uger eller måneder efter et angreb. Her tilføjer Gartner, at Gartner-kunder ofte har luftet bekymring over payload-løsningernes meget skiftende evne til præcist at kunne genkende malware.

Fordelen ved Payload Analysis er imidlertid, at de kan spore malware, der er lykkedes med at omgå signaturbaserede produkter. Den store udfordring i Payload Analysis-værktøjer er, at adfærdsanalysen kan tage flere sekunder eller minutter at gennemføre, hvilket giver malwaren mulighed for at passere igennem til virksomhedsnetværket og dermed potentielt kompromittere endpoints.

Særligt når malwaren bruger evasion-teknologi såsom sleep-timere, som får malwaren til at eksekvere med forsinkelse. Andre ulemper er, at bare fordi malwaren opfører sig på én måde i et simuleret miljø, betyder det ikke, at den også vil opføre sig på samme måde, når den rammer i virkelighedens verden. Eksempler på løsninger er AhlLab, Check Points Threat Emulation Software Blade, FireEye, Lastline, McAfees ValidEdge, Palo Alto Networks’ Wildfire, ThreatGrid samt Trend Micros Deep Discovery.

Metode 4 – Endpoint Behavior Analysis

Endpoint Behavior Analysis er baseret på idéen om at beskytte endpoints ved at inddæmme og isolere applikationer og filer i virtuelle beholdere. Andre innovationsområder inden for denne metode inkluderer systemkonfiguration, memory- og procesmonitorering samt teknologier til at hjælpe med incident-respons i realtid.

Denne metode kræver en agent installeret på hvert endpoint. På denne måde kan man opfange kernesystemkald og blokere for uønsket aktivitet såsom thread injection-angreb. Og ved at isolere browsing-sessioner beskytte brugere mod inficerede websites – deriblandt drive-by-angreb og watering hole-angreb. Fordelen ved denne tilgang er blokering af zero-day-angreb, at det leverer en basisanalyse, og at det beskytter systemer, hvad end de er koblet på netværket eller ej.

Ulempen er, at installation og administration af agenten kan være ressourcetung – særligt i BYOD-miljøer. Eksempler på leverandører er Blue Ridge Networks, Bromium, Invincea, Sandoxie og Trustware.

Metode 5 – Endpoint Forensics

Endpoint Forensics inkluderer værktøjer til incident-responsteams. Denne type endpoint-agenter indsamler data fra de systemer, de monitorerer. De kan hjælpe med at automatisere incident-rapporteringen og monitoreringen af systemer både indenfor og udenfor virksomhedsnetværket. Udfordringen ved brugen af disse værktøjer er, at installation og administration kan være ressourcetungt at håndtere, ligesom support til ikke-Windows-endpoints er meget begrænset.

Eksempler på leverandører er Bit9, Carbon Black, Guidance Softwares EnCase Analytics, Mandiant og ManTech/HBGary’s Responder Pro.
I sin analyse anbefaler Gartner virksomheder at parre minimum to af metoderne – eksempelvis Payload Analysis med Endpoint Forensics.

“Nogle Payload Analysis-leverandører har integreret sine løsninger med løsninger fra Endpoint Forensics-leverandørerne, hvilket hjælper med at reducere incident-responstiden. Network Traffic Analysis kombineret med Endpoint Forensics vil give lignende fordele, men vi har set færre eksempler på partnerskaber mellem leverandørerne inden for disse to områder,” udtaler Gartner i rapporten og slår fast, at leverandørpartnerskaber overordnet set er en væsentlig faktor, når man som virksomhed skal vælge sikkerhedsløsning.

Og så er visse af metoderne stadig meget fokuseret på Windows-miljøer – det gælder dog ikke for Network Analysis-området. “Vi ser virksomheder, der kombinerer to eller flere metoder, og vi har brug for flere af den type kombinerede sikkerhedsløsninger,” siger Gartner. Endelig understreger de, at deres framework omkring de fem metoder for at imødegå APT-angreb ikke betyder, at man helt skal forlade traditionelle it-sikkerhedsløsninger såsom antivirus. Frameworket er tiltænkt de sikkerhedsansvarlige, der har mod på at forsøge sig med meget specifikke værktøjer til at modstå de frygtede APT-angreb.