Next-Gen antiviry Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018
Jaké jsou trendy? Malware těžící kryptoměny se dostává na vrchol, zatímco ransomware pomalu klesá na druhé místo. Cryptomining malware Ransomware
Fileless malware Malware, který nepotřebuje ke svému šíření infikovat soubor, je stále větší hrozbou. Frodo The Dark Avenger Duqu 2.0 Operation Cobalt Kitty Meterpreter UIWIX WannaMine Misfox Odhad pro rok 2018: 35 % malwarových útoků bude provedeno pomocí fileless malware
Útoky založené na fileless malwaru leden červen 2018 45 42,5 40 35 33,8 30 25 21,9 25,4 27 26 20 15 Odhad: 35 % 10 Realita: až 42,5 % s rostoucím trendem 5 0 leden únor březen duben květen červen SentinelOne, 2018
Podíl zero day a známého malwaru Zero Day malware 37,6% Známý malware 62,4% Více než třetinu všech malwarových útoků nelze identifikovat klasickou detekcí na základě signatur WatchGuard, 2018
Detekční metody Detekce na koncové stanici Na základě signatur Behaviorální detekce Statická analýza Dynamická analýza
Co je to Next-Gen AV? Výrobci v současnosti označovaná druhá generace antivirových programů AV software, který se snaží držet krok s rapidně se měnícím malwarem Nevyužívají detekci na základě signatur Naopak využívají strojové učení, Indicators of Compromise, behaviorální analýzu
Jak fungují Next-Gen AV? System-Centric Malware-Centric Infikovaná stanice je součástí celé sítě Omezení na infikovaný soubor Hledají souvislosti mezi procesy Korelace různých událostí Nehledají souvislosti mezi procesy Pohlížejí na infikovanou stanici jako na jednotlivce
Indicators of Compromise Definice Trend Micro: Indikátory kompromitace (IoCs, z anglického Indicators of Compromise) slouží jako forenzní důkaz možných vniknutí do hostitelského systému nebo sítě. Příklady IoCs: Neobvyklá síťová aktivita z nebo do sítě Neznámé soubory, aplikace nebo procesy na koncových stanicích Podezřelá aktivita administrátorských nebo privilegovaných účtů Komunikace na veřejné IP adresy zahrnuté v databázi škodlivých serverů Využívání nestandardních portů pro komunikaci
Behaviorální analýza Dynamická SANDBOXING Statická Spuštění souboru ve virtualizovaném prostředí, monitorování a vyhodnocování jeho aktivity Analýza zdrojového kódu, ve kterém hledá antivirus shodu se vzory uloženými v databázi
Strojové učení Bez učitele S učitelem
Strojové učení bez učitele Vhodné pro zařazení určitých dat do skupin podle podobnosti Využití před samotnou klasifikací (malware nebo legitimní soubor) pro rozdělení do skupin podle podobnosti Nedokáže rozpoznat zda nový vzorek je malware nebo ne y Skupina 1 x Skupina 2
Strojové učení s učitelem Využívá se pro rozhodnutí zda vzorek je malware nebo ne Tréninková fáze Během trénovací fáze jsou algoritmu ML předkládány vzorky souborů s již danou klasifikací (malware / legitimní) Tréninková data musí být dostatečně obsáhlá Ochranná fáze Ve fázi ochranné rozhoduje o klasifikaci vzorku samotný algoritmus (reálný detekční mechanizmus)
Tréninková fáze Čisté soubory Trénování Model strojového učení Infikované soubory
Ochranná fáze Neznámý soubor Skenování pomocí modelu strojového učení Malware / legitimní Rozhodnutí na základě výsledku modelu
Už žádné pravidelné skenování On-demand sken často nadměrně vytěžuje v době skenu koncový systém Často založeno pouze na signaturní detekci NGAV většinou nedisponují touto funkcí, výrobci ji považují za zastaralou NGAV proto využívají pouze real-time detekci
Endpoint Detection and Response Definice Gartner: Nástroje primárně zaměřené na detekci a investigaci podezřelých aktivit (a jejich stop) a jiných problémů na koncových stanicích. EDR detailně zaznamenává události na koncovém systému pro případnou zpětnou analýzu útoku Nástroje EDR jsou dostupné jako samostatné řešení, jako přídavný balík do řešení pro ochranu koncových stanic či dokonce v samotném řešení již v ceně
Shrnutí: čím by měl disponovat NGAV? Behaviorální analýza Next-Gen antivirus Využití strojového učení pro detekci Detekce fileless malwaru Detekce pomocí IoCs Funkce Endpoint Detection and Response
Opravdu Next-Gen? Nepřišel žádný velký skok v oblasti detekci malwaru Jedná se o postupný vývoj, který můžeme pozorovat ve všech oborech I současné antiviry disponují funkcemi EDR, detekcí fileless malwaru, využitím strojového učení
NGAV vs AEP Next-Gen antivirus Advanced Endpoint Protection Next-Gen produktů je až příliš, využívejme jiné názvy
Testy detekce Proč testy detekce vycházejí zhruba stejně jak pro klasické AV tak pro NGAV, které využívají více pokročilé technologie? Nejsou zaměřeny primárně na zero day malware a v testech je velký podíl již známého malwaru, který lze detekovat pomocí signatur V těchto testech tedy nelze vidět pravý potenciál behaviorální analýzy Například AV-Comparatives, AV-Test, NSS Labs
NSS Labs Map duben 2018 NGAV klasický AV Malwarebytes, CrowdStrike
AV-Test srpen 2018
AEC test detekce zero day prosinec 2018
Děkuji za pozornost David Pecl Security Specialist david.pecl@aec.cz AEC a.s. Konference SECURITY 28. 2. 2019 Clarion Congress Hotel Prague https://konferencesecurity.cz