Coraz częściej producenci systemów zabezpieczających przenoszą je do chmury – oferują klientom jedynie korzystanie ze specjalnie przygotowanych narzędzi. Wśród usług dostępnych w chmurze publicznej można znaleźć rozwiązania do analizy plików (sandbox, Advanced Threat Prevention), zarządzania systemami ochronnymi, a nawet wirtualne repozytoria logów, których klienci mogą używać do tworzenia statystyk i raportów na temat stanu zabezpieczeń swoich sieci.
Mimo że taki sposób działania może wydawać się atrakcyjny, wygodny i coraz tańszy, to jednak wzbudza zrozumiałe wątpliwości użytkowników i ekspertów ds. bezpieczeństwa. W wielu sytuacjach wymagania dotyczące poufności danych oraz przyjęta polityka ochrony zasobów IT nie pozwalają, aby wrażliwe informacje były przetwarzane poza lokalnym środowiskiem sieciowym.

Na początku 2018 r. Juniper Networks wprowadził na rynek produkt o nazwie Juniper Advanced Threat Prevention. Jego opracowanie było możliwe dzięki przejęciu utworzonej w 2011 r. firmy Cyphort – jednego z liderów rynku systemów klasy Advanced Threat Prevention. Jest to rozwiązanie instalowane lokalnie, a dzięki temu może być atrakcyjne dla tych podmiotów, które oczekują szczegółowej kontroli przepływu informacji w firmie. JATP zawiera zaawansowany system klasy sandbox z możliwością agregacji logów pochodzących z systemów innych producentów oraz funkcją synchronizacji reguł polityki bezpieczeństwa na firewallach nowej generacji Juniper Networks i niektórych produktach konkurencyjnych. Rozwiązanie to jest dostępne w ofercie Clico – autoryzowanego dystrybutora Juniper Networks.

Nie tylko SIEM

Coraz bardziej złożone ataki, często skierowane na konkretne przedsiębiorstwa, duże zyski ze sprzedaży skradzionych danych lub z wyłudzeń – to główne powody, dla których nie ma dzisiaj sieci komputerowej, której administrator mógłby z czystym sumieniem ogłosić, że nigdy nie była i nie zostanie ofiarą włamania. Dlatego, poza skutecznym blokowaniem znanych ataków, równie ważne jest monitorowanie infrastruktury sieciowej za pomocą analizy logów oraz przechwytywanie ruchu sieciowego w celu wykrycia niepokojących zjawisk.

JATP może stanowić uzupełnienie, ale również – w określonych warunkach – alternatywę systemów SIEM (Security Information and Event Management) oraz NBAD (Network Behavior Anomaly Detection), które pracują w złożonym środowisku i wymagają ciągłego dostrajania i rekonfiguracji. SIEM zapewnia ogromne możliwości stworzenia niemal dowolnych reguł korelacyjnych, jednak w kontekście analizy powłamaniowej oczekiwania są nieco inne. 

Dynamicznie zmieniająca się konstrukcja ataków wymaga, aby proces analizy, kategoryzacji oraz korelacji zdarzeń był zautomatyzowany i maksymalnie upraszczał eliminację skutków incydentów. JATP to zintegrowany system zawierający wiele znanych mechanizmów ochronnych, który współpra-cuje z rozwiązaniami innych producentów, jest elastyczny oraz skalowalny. Do głównych korzyści z jego zastosowania można zaliczyć przyspieszenie analizy informacji gromadzonych przez różne systemy ochronne oraz zdolność podjęcia zautomatyzowanej akcji prewencyjnej zapobiegającej rozprzestrzenianiu się ataku.

JATP jest dostarczany zarówno w formie wirtualnej, jak i w postaci fizycznych urządzeń. Umożliwia dywersyfikację funkcji poszczególnych kolektorów
danych, co zapewnia elastyczność wdrożenia oraz łatwość rozbudowy. Podstawowym elementem systemu jest moduł Core, który służy do  analizy ruchu sieciowego oraz wiadomości pocztowych, analizy dynamicznej, realizacji uczenia maszynowego oraz korelowania logów zbieranych za pomocą protokołu syslog z zewnętrznych źródeł. Możliwe jest wdrożenie wielu typów kolektorów danych, z których każdy przekierowuje innego rodzaju ruch do centralnego modułu analitycznego.

Kolektor Web dokonuje analizy ruchu i wyodrębnienia plików transmitowanych za pomocą protokołu HTTP. Z kolei kolektor email zbiera przesyłane pocztą pliki oraz „przygląda się” podlinkowanym w e-mailu stronom internetowym, dzięki czemu stanowi efektywne narzędzie do wykrywania prób phishingu. Kolektorem może być także zapora sieciowa SRX 
(firewall nowej generacji marki Juniper Networks), która przekazuje do JATP pliki transmitowane przez protokoły HTTP, SMTP i IMAP (również zaszyfrowane z wykorzystaniem protokołu SSL). Dzięki działaniu SRX w trybie SSL Proxy pliki są odszyfrowywane i udostępniane modułowi analitycznemu. 

Automatyczna analiza

Zagrożenia są wykrywane w trzech głównych obszarach (w ruchu HTTP, w ruchu pocztowym oraz w ruchu wewnątrz sieci), co zapewnia prześledzenie rozprzestrzeniania się złośliwego kodu (Lateran movement) za pomocą protokołu SMB. Podstawowym elementem JATP jest lokalny sandbox, umożliwiający weryfikację wielu rodzajów plików z wykorzystaniem takich metod jak analiza statyczna, reputacja, geolokalizacja, poszukiwanie adresów znanych centrów Command & Control czy wreszcie analiza dynamiczna na platformach Windows, Linux i macOS. Ponadto system śledzi wszystkie odwiedzane oraz przesyłane za pomocą poczty odnośniki do innych witryn, wykrywając w ten sposób próby namówienia użytkowników na uruchomienie strony, która nie ma statusu zaufanej.

Sama analiza pliku nie zawsze pozwala na określenie tzw. pacjenta zero w środowisku i, przede wszystkim, najczęściej nie wskazuje oryginalnego wektora ataku zastosowanego w celu wtargnięcia do sieci. W związku z tym dzięki silnikowi uczenia maszynowego system JATP analizuje dodatkowo inne zdarzenia (wykryte za pomocą metod własnych i logów dostarczonych do systemu przez zewnętrzne źródła) oraz koreluje informacje o nich pod kątem czasu wystąpienia oraz stadium ataku, zgodnie z metodologią Cyber Kill Chain.

Atutem rozwiązania jest fakt, że logi analizowane przez JATP mogą pochodzić z produktów innych firm (firewall, proxy, endpoint security itp.). Jest to zatem system, który nie tylko nie wymaga wymiany całej struktury ochronnej  przedsiębiorstwa, ale stanowi jej istotne wzmocnienie. Poza analizą powłamaniową, wykonywaną w sposób ciągły, zapewnia też automatyzację procesu remediacji zaatakowanych rozwiązań, czyli przywrócenia ich do pracy w środowisku produkcyjnym po wyeliminowaniu zagrożenia. Do tego celu mogą być wykorzystane zarówno rozwiązania z portfolio firmy Juniper Networks, jak również wybrane produkty innych dostawców.

JATP to rozwiązanie kompleksowe, które charakteryzuje się potwierdzoną skutecznością, w pełni lokalnym działaniem oraz unikalnym połączeniem funkcji sandboksa ze zorientowanym na każde stadium ataku mechanizmem korelacji zdarzeń. W testach ICSA Labs w 2017 r. (jeszcze pod szyldem Cyphort) wykazano 100 proc. skuteczności JATP (w ramach przyjętej metodologii) w wykrywaniu zaawansowanych zagrożeń. Był to jedyny system z tak dobrym rezultatem wśród testowanych rozwiązań tej klasy. Dodatkowo współpraca z rozwiązaniami innych producentów, proste licencjonowanie oraz elastyczny mechanizm rozbudowy środowiska sprawiają, że JATP może być elementem istotnie podnoszącym poziom bezpieczeństwa każdej sieci.

Dodatkowe informacje:

Sławomir Karaś, Senior System Engineer, Central Europe, Juniper Networks 

skaras@juniper.net

Jarosław Bukała, Security Consultant, Clico 

jaroslaw.bukala@clico.pl