Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 1. september 2009

Hvorfor UTM ikke fungerer slik brosjyrene lover

Det blir mer og mer vanlig at bedrifter bruker en multi-funksjons-brannmur (UTM) for å beskytte bedriftens interne nett mot malware fra Internett.

På TSOC analyserer vi mye nettverkstrafikk og ser derfor mange angrep av forskjellige slag hver dag. En del av analysen av et angrep er å finne ut hvor det stammer fra og hva det gjør. Vi analyserer også exe-filer med 11 forskjellige anti-virus-løsninger og i en sandkasse (CWSandbox). Til slutt ser vi at angrepet ofte ender med at den uheldige brukerens maskin henter ned en malware-fil fra en adresse på Internett.

Vi på TSOC har i sommer kjørt en del tester der vi har prøvd å besøke malware-sidene eller å hente malwaren fra reelle hendelser. Alle sakene dreier seg om klient-maskiner som har blitt angrepet, enten gjennom "drive-by-exploits" eller at brukeren blir lurt til å hente ned filer som gir seg ut for å være noe annet (trojanere).

Testene har blitt utført på en lab-maskin som er satt opp for å gjøre det enkelt å rulle tilbake operativsystemet til en kjent, ren status. Maskinen har vært beskyttet bak en UTM-enhet fra en av markedslederne. Denne er satt opp til å beskytte maskinen ved hjelp av et web-filter og en anti-virus-løsning. Vi vil presisere at testingen ikke er vitenskapelig gjennomført og at vi ikke har testet nok typer malware til å gi noe entydig resultat. Resultatene vi har fått stemmer imidlertid godt overens med det vi daglig ser i vårt operasjonssenter.



Noen av angrepene som innebærer exploits, kunne i teorien ha blitt stoppet av en UTMs IPS-del (Intrusion Protection System), men for å gjøre testingen enklere har vi utelatt dette i denne testen. For å teste også denne delen av en UTM, måtte vi ha besøkt siden brukeren blir sendt til før selve exe-filen blir servert. Vi måtte altså ha besøkt siden som serverer exploits til brukeren. Tidligere tester vi har utført viser imidlertid at IPS er dårlig egnet til å stoppe exploits mot klient-maskiner da exploitene nesten alltid er obfuskert med forskjellige teknikker. IPS-teknologi fungerer bedre for å beskytte tjenere (servere).

Hva er så grunnen til at en UTM kun klarer å stoppe under halvparten av reelle angrep?

Personene som i dag står bak spredningen av malware bruker forskjellige teknikker for å lure UTM-bokser og annet nettverksutstyr som skal sikre nettene. Noen teknikker er:

  • Stadig endringer av adressen til "landings-sider" hvor brukeren blir lurt til for å få servert exploits eller bli lurt til å trykke på en link for å hente ned malware. Eksempler på slike sider fra den siste tiden er: gumblar .cn, goooogleadsence .biz osv. Dette gjør det vanskelig å filtrere ut adresser som serverer skadelig kode, siden de gjerne skifter adresse etter noen dager eller timer.
  • Trojaneren/dropperen (exe-fil) blir hentet ned fra én av mange tusen mulige IP-adresser. Disse maskinene har blitt kompromittert tidligere av angriperne og er med i et bot-nett som de kontrollerer. Det høye antallet adresser gjør filtrering vanskelig.
  • Selve Trojaneren/dropperen endrer karakter og sjekksum ofte, eller til og med for hver gang en ny bruker henter den ned. Dette gjør at anti-virus-selskapene nesten har gitt opp signatur-deteksjon av skadelig programvare ved hjelp av sjekksummer og signaturer. I dag er det "oppførselsanalyse" og "kjennetegn/heuristics" som brukes mest, men også disse metodene har sine begrensninger. De kriminelle har også tilgang til anti-virus-programmene og skriver sin malware på en slik måte at de ikke blir detektert, selv av de mer generelle signaturene.
  • Den skadelige koden som utnytter svakhetene i klient-maskinen er nesten alltid obfuskert, gjerne ved hjelp av Javascript. Dette gjør at en signatur-basert IPS-motor ikke har noen kjente ting å se etter i det exploit-koden blir sendt til klient-maskinen. Exploitene som blir servert mot klient-maskiner er for tiden gjerne mot selve web-browseren, Adobe Acrobat Reader, Adobe Flash, Apple QuickTime eller Java.
Vår konklusjon er at det er viktig å benytte seg av UTMer og andre typer sikkerhetsutstyr i nettet for å prøve å stoppe så mange svakheter som mulig automatisk, men at dette er langt fra nok.

Eksempler på tiltak en bør gjør i tillegg til dette for å beskytte sine klient-maskiner er:

  • Opplæring av brukere til å tenke seg om før de laster ned, installerer eller svarer ja på spørsmål som dukker opp på skjermen.
  • Et godt patche-regime som sørger for at operativsystem og klientprogramvare til en hver tid er oppdatert, uten at sluttbrukeren trenger å foreta seg noe.
  • Oppdatert anti-virus og anti-spyware på klienter.
  • Brukere bør ikke ha administrator-tilgang på maskiner. Mange exploits og trojanere fungerer bare dersom brukeren er administrator.
  • Ha så få programmer som mulig installert på klient-maskiner. Prøv også å unngå de som oftest har feil og blir utnyttet mest, som nevnt tidligere i dette innlegget.
  • Bruke en analyserende IDS-tjeneste for å oppdage maskiner som til tross for andre sikkerhetstiltak blir infisert eller har blitt infisert før de ble tatt med inn i nettet. Et eksempel på en slik tjeneste er TSOCs IDS-tjeneste.
  • Dersom en trenger høy sikkerhet bør en vurdere å gå over til en terminal-basert løsning der brukerne må logge inn på en egen, beskyttet maskin for å bruke Internett-tjenester.
  • Bruk om mulig et annet operativsystem enn Windows på klientene. Windows er det operativsystemet som det uten tvil skrives mest malware til.
Vår erfaring er at det er få norske bedrifter og offentlige institusjoner som i dag klarer å holde nettet sitt fritt for malware til enhver tid. Nesten alle har av og til hendelser der datamaskiner i kortere eller lengre tidsrom er under full kontroll av utenforstående. Det er en skremmende utvikling og sikkerhetsbransjen ligger for øyeblikket et godt stykke bak de kriminelle.

2 kommentarer:

Anonym sa...

Meget bra dere skriver om litt mer enn patcher til programmer.

Dette er noe alle bør lese og tenke igjennom.

En ting jeg lurer på er hvilket antispyware og antivirus dere anbefaler?

Hva med en tre på topp, akkurat nå liste?

Jan Roger Wilkens sa...

Når det gjelder anti-virus synes jeg personlig at http://www.virusbtn.com/vb100/rap-index.xml gir en grei oversikt over tilstanden nå. Men husk at jo bedre deteksjon av ukjente og nye trusler, jo flere false positives har gjerne produktene. For alle leverandørene er det en avveining mellom false negatives og false positives.

For anti-spyware kan en bruke den innebygde funksjonaliteten i anti-virusen-pakken, dersom en har en slik pakke. Dersom en ikke har dette, ville jeg gått for et av gratis-alternativene som Microsoft Windows Defender (snart: Microsoft Security Essentials), Spybot Search & Destroy eller Lavasoft’s Ad-Aware SE.

For både anti-virus og anti-spyware gjelder det at det er litt opp og ned hvem som fanger opp hvilke trusler og hvor tidlig de oppfatter nye trusler.

 
>