Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

Rozměr: px

Začít zobrazení ze stránky:

Download "Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018"

Blanka Dvořáková
před 5 lety
Počet zobrazení:

1 Next-Gen antiviry Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

2 Jaké jsou trendy? Malware těžící kryptoměny se dostává na vrchol, zatímco ransomware pomalu klesá na druhé místo. Cryptomining malware Ransomware

3 Fileless malware Malware, který nepotřebuje ke svému šíření infikovat soubor, je stále větší hrozbou. Frodo The Dark Avenger Duqu 2.0 Operation Cobalt Kitty Meterpreter UIWIX WannaMine Misfox Odhad pro rok 2018: 35 % malwarových útoků bude provedeno pomocí fileless malware

4 Útoky založené na fileless malwaru leden červen , , ,9 25, Odhad: 35 % 10 Realita: až 42,5 % s rostoucím trendem 5 0 leden únor březen duben květen červen SentinelOne, 2018

5 Podíl zero day a známého malwaru Zero Day malware 37,6% Známý malware 62,4% Více než třetinu všech malwarových útoků nelze identifikovat klasickou detekcí na základě signatur WatchGuard, 2018

6 Detekční metody Detekce na koncové stanici Na základě signatur Behaviorální detekce Statická analýza Dynamická analýza

7 Co je to Next-Gen AV? Výrobci v současnosti označovaná druhá generace antivirových programů AV software, který se snaží držet krok s rapidně se měnícím malwarem Nevyužívají detekci na základě signatur Naopak využívají strojové učení, Indicators of Compromise, behaviorální analýzu

8 Jak fungují Next-Gen AV? System-Centric Malware-Centric Infikovaná stanice je součástí celé sítě Omezení na infikovaný soubor Hledají souvislosti mezi procesy Korelace různých událostí Nehledají souvislosti mezi procesy Pohlížejí na infikovanou stanici jako na jednotlivce

9 Indicators of Compromise Definice Trend Micro: Indikátory kompromitace (IoCs, z anglického Indicators of Compromise) slouží jako forenzní důkaz možných vniknutí do hostitelského systému nebo sítě. Příklady IoCs: Neobvyklá síťová aktivita z nebo do sítě Neznámé soubory, aplikace nebo procesy na koncových stanicích Podezřelá aktivita administrátorských nebo privilegovaných účtů Komunikace na veřejné IP adresy zahrnuté v databázi škodlivých serverů Využívání nestandardních portů pro komunikaci

10 Behaviorální analýza Dynamická SANDBOXING Statická Spuštění souboru ve virtualizovaném prostředí, monitorování a vyhodnocování jeho aktivity Analýza zdrojového kódu, ve kterém hledá antivirus shodu se vzory uloženými v databázi

11 Strojové učení Bez učitele S učitelem

12 Strojové učení bez učitele Vhodné pro zařazení určitých dat do skupin podle podobnosti Využití před samotnou klasifikací (malware nebo legitimní soubor) pro rozdělení do skupin podle podobnosti Nedokáže rozpoznat zda nový vzorek je malware nebo ne y Skupina 1 x Skupina 2

13 Strojové učení s učitelem Využívá se pro rozhodnutí zda vzorek je malware nebo ne Tréninková fáze Během trénovací fáze jsou algoritmu ML předkládány vzorky souborů s již danou klasifikací (malware / legitimní) Tréninková data musí být dostatečně obsáhlá Ochranná fáze Ve fázi ochranné rozhoduje o klasifikaci vzorku samotný algoritmus (reálný detekční mechanizmus)

14 Tréninková fáze Čisté soubory Trénování Model strojového učení Infikované soubory

15 Ochranná fáze Neznámý soubor Skenování pomocí modelu strojového učení Malware / legitimní Rozhodnutí na základě výsledku modelu

16 Už žádné pravidelné skenování On-demand sken často nadměrně vytěžuje v době skenu koncový systém Často založeno pouze na signaturní detekci NGAV většinou nedisponují touto funkcí, výrobci ji považují za zastaralou NGAV proto využívají pouze real-time detekci

17 Endpoint Detection and Response Definice Gartner: Nástroje primárně zaměřené na detekci a investigaci podezřelých aktivit (a jejich stop) a jiných problémů na koncových stanicích. EDR detailně zaznamenává události na koncovém systému pro případnou zpětnou analýzu útoku Nástroje EDR jsou dostupné jako samostatné řešení, jako přídavný balík do řešení pro ochranu koncových stanic či dokonce v samotném řešení již v ceně

18 Shrnutí: čím by měl disponovat NGAV? Behaviorální analýza Next-Gen antivirus Využití strojového učení pro detekci Detekce fileless malwaru Detekce pomocí IoCs Funkce Endpoint Detection and Response

19 Opravdu Next-Gen? Nepřišel žádný velký skok v oblasti detekci malwaru Jedná se o postupný vývoj, který můžeme pozorovat ve všech oborech I současné antiviry disponují funkcemi EDR, detekcí fileless malwaru, využitím strojového učení

20 NGAV vs AEP Next-Gen antivirus Advanced Endpoint Protection Next-Gen produktů je až příliš, využívejme jiné názvy

21 Testy detekce Proč testy detekce vycházejí zhruba stejně jak pro klasické AV tak pro NGAV, které využívají více pokročilé technologie? Nejsou zaměřeny primárně na zero day malware a v testech je velký podíl již známého malwaru, který lze detekovat pomocí signatur V těchto testech tedy nelze vidět pravý potenciál behaviorální analýzy Například AV-Comparatives, AV-Test, NSS Labs

22 NSS Labs Map duben 2018 NGAV klasický AV Malwarebytes, CrowdStrike

23 AV-Test srpen 2018

24 AEC test detekce zero day prosinec 2018

25 Děkuji za pozornost David Pecl Security Specialist AEC a.s. Konference SECURITY Clarion Congress Hotel Prague

Podobné dokumenty

Kybernetické hrozby - existuje komplexní řešení?

Kybernetické hrozby - existuje komplexní řešení? Cyber Security 2015, Praha 19.2.2015 Petr Špringl springl@invea.com Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email