A vírusvédelem újratervezése avagy: Hogyan változtatja meg a felhő alapú architektúra és infrastruktúra az IT biztonsági világot idejétmúltnak nyilvánítva a hagyományos vírusvédelmet? Tartalom Bevezető: A hagyományos vírusvédelmek ideje lejárt Mi a baj a hagyományos vírusvédelmekkel? Kliens / felhő architektúra Viselkedés-elemzés Naplózás és visszaállítás eredeti állapotra (Rollback) Hogyan rakta össze a Webroot a legújabb technológiákat? Tanulság: tapasztalja meg Ön is! 1 2 2 4 5 5 7 Bevezető: A hagyományos vírusvédelmek ideje lejárt Olvasott már hasonló kérdéseket szakmai cikkekben, blogokban, hogy A vírusvédelmek valóban halottak? Ha igen, ennek jó oka van: a hagyományos vírusvédelem valóban nagy sebességgel robog az idejétmúlt megoldások közé. Szerencsére van olyan új megközelítést használó technológia, amely a vírusvédelmet hatékonnyá és jól kezelhetővé teszi újra. Az alábbiakban három új technológiát veszünk górcső alá: Kliens/felhő architektúra Viselkedés-elemzés Naplózás és visszaállítás eredeti állapotra (rollback) A fentiek együttesen a vírusvédelmi technológia alapvető újragondolását reprezentálják, egy igazán nagy váltást a vírusvédelemben, amelynek köszönhetően a létrejövő védelmi megoldás képes észlelni és elbánni napjaink kártevőivel. 2012. Webroot
Mi a baj a hagyományos vírusvédelmekkel? A hagyományos vírusvédelmek a végpontokon történő, vírusminta alapú kártevőfelismerésen alapulnak. Ez a stratégia képtelen a vírustámadások kivédésére, mégpedig következők miatt: Az ismert kártevők száma mára olyan nagy mennyiségűre nőtt, hogy a végpontok vírusadatbázisának folyamatos frissítése járhatatlanná vált, a végpontok ugyanakkor 1 képtelenek is a fájlok összehasonlítására az összes vírusmintával. A hackerek és cyberbűnözők botneteket és egyéb fejlett eszközöket használnak a nulladik napi sebezhetőségeket kihasználó kártevők olyan gyors terjesztésére, hogy azok még a végpontokon történő vírusadatbázis-frissítések előtt fertőzzenek. A célzott támadások kivédésére gyakran nem is létezik ellenszer (lásd: The New York Times esete). A hackerek ezen felül olyan fejlett technológiákat is használnak, mint például a kártevők titkosítása, szerver oldali polimorfizmus vagy éppen a minőségbiztosítási tesztek (igen, olyan tesztek, melyekkel a kifejlesztett új kártevőknek az egyes vírusvédelmek előli jó 2 rejtőzködését vizsgálják, hogy ne lehessen azokat felismerni). A fenti okok miatt a legtöbb IT biztonsági vezető ma már erősen megkérdőjelezi a minta alapú vírusvédelmi megoldások képességét a legújabb és legveszélyesebb kártevők 3 blokkolására. Kliens/felhő architektúra A hagyományos vírusvédelmek vastag kliensei vaskos modulokat működtetnek annak érdekében, hogy a gyanús fájlokat a vírusmintákkal összehasonlítsák. Az ilyen megoldásoknak a következő hátrányai vannak: A kártevőkeresés és a nagy mennyiségű kártevőmintával történő összehasonlítások jelentősen lelassítják a számítógépeket, ezzel pedig jelentősen visszafogják a produktív munkát, és nem ritka, hogy a felhasználók ez ellen a védelem kikapcsolásával védekeznek. Rendszeresen több ezer új minta leküldésére van szükség a végpontokra, ami gyakran 5MB/végpont lehet naponta (ami évi 1,8 GB-nál is több lehet). Ez pedig jókora sávszélesség-használatot generálhat. Sok esetben a távolról dolgozó felhasználók gépe nem képes a frissítéseket (időben) telepíteni, amivel sérülékenyek lesznek mindaddig, amíg újra vissza nem mennek dolgozni, vagy újra be nem csatlakoznak VPN-en a céges hálózatba. Egy kliens/felhő architektúra alapvetően megváltoztatja ezt. A végpontokon mindössze egy apró kis védelmi kliens szükséges. Ez az apró kliens észleli az új fájlokat és egyedi lenyomatot készít róluk. A lenyomatot ezután a felhőben működő szervereknek elküldi, amelyek egy nagy minta-adatbázissal összevetik, az eredményt pedig megküldik a kliensnek 1. Az AV-TEST Institute naponta 75.000-nél is több kártevőt regisztrál világszerte és becslése szerint 90 milliónál is több variáns létezik. http://www.av-test.org/en/statistics/malware 2. Lásd a következő tanulmányt: Why relying on antivirus signatures is simply not enough anymore, Dancho Danchev, Webroot, 2012. február 23. http://blog.webroot.com/2012/02/23/why-relying-on-antivirus-signatures-is-simply-not-enough-anymore/ 3. Lásd például: Antivirus: Dead, Dying, or Here to Stay? Dave Shackleford, IANS Research, 2012: január 6. http://www.iansresearch.com/blogs/ians-perspective/antivirus-dead-dying-or-here-stay; és Is Antivirus Becoming Obsolete? Ken Presti, CRN Magazine, 2012: október 3. http://www.crn.com/news/security/240008434/is-antivirus-becoming-obsolete.htm. 2 2012. Webroot
Felhasználóktól érkező adatok Külső kártevő-adatbázisok Munkaállomás Fájl hash lenyomatok Ismert fájlok hash-adatbázisa 1. ábra: Egy kliens/felhő architektúra lehetővé teszi a minta-összehasonlítási műveletek felhőben történő elvégzését és ezzel a kliens műveletek csökkentését, így a kliensnek már nem szükséges rendszeresen mintafrissítéseket letöltenie és a távolról dolgozók is jól védhetők A kliens/felhő architektúrának számos előnye van a hagyományos védelmekkel szemben: A végpontokon csak nagyon kis erőforrás-igényű műveletek történnek, ezáltal a védelem működése egyáltalán nem zavarja a felhasználót a munkában. Az adatforgalom gyakorlatilag alig észrevehető méretűre csökken, mivel csak néhány hash összeget (kis számokat) szükséges a kliens és a felhő között átvinni, ami jellemzően 128KByte naponta, nem pedig több ezer új vírusmintát. A felhőben működő rendszer képes hatalmas adatbázisokkal üzemelni és erőteljes szervereket használ a minta-összehasonlítások elvégzésére, így az összehasonlítási műveletek igazán nagy sebességűek lesznek. A felhőben üzemelő központ valós időben kap friss kártevő-információkat tesztlaboroktól, vírusmintákat megosztó szervezetektől, biztonsági megoldásszállítóktól, valamint több millió otthoni, banki és vállalati felhasználótól. Így a nulladik napi kártevők felfedezésükkor azonnal minden végponton blokkolhatók lesznek. A távolról dolgozók gépei szintén azon nyomban védve lesznek a nulladik napi kártevők ellen is, amint élő Internet-kapcsolatot létesítenek. A rendszergazdáknak nem szükséges vaskos kliensek és helyi frissítő-szerverek telepítésével, vagy akár a napi vírus-adatbázis frissítések terítésével foglalkozniuk. A hagyományos vastag klienst használó vírusvédelmek gyakorlatilag idejétmúltak. A kliens/felhő alapú megoldások jelentik az egyetlen hatékony megoldást a valós idejű mintaegyeztetésekre. 3 2012. Webroot
Viselkedés-elemzés Azonban még a leggyorsabb és legalaposabb minta-egyeztetési rendszerek sem képesek a nulladik napi kártevők és az elszigetelt, célzott támadások kivédésére, amely esetekben még csak vírusminta sem áll rendelkezésre. A kulcsötlet a viselkedés-alapú kártevő-felismerés kliens/felhő architektúrával kombinálva. A viselkedés-alapú kártevő-felismerés lehetővé teszi, hogy a végpontokon a programok egy zárt és kontrollált környezetben, ún. sandbox -ban fussanak, miközben viselkedésükben kártevőgyanús viselkedési formákat keresünk például jellemző beállításjegyzék- (registry) módosításokat, email címjegyzékek elérését, avagy vírusvédelmek kikapcsolásának megkísérlését. Ám ez közel sem annyira egyszerű, mint elsőre hangzik. A kártékony viselkedésminták elkülönítése a normál viselkedésmintáktól nagyon is bonyolult lehet. Az egyes viselkedési adatokat össze kell gyűjteni és össze kell vetni egy nagy kártékony viselkedésmintaadatbázissal. A hatékonyság megtartása érdekében pedig ezt a nagy viselkedésmintaadatbázist folyamatosan frissíteni kell. A lenti 2. ábra mutatja meg, hogyan lehetséges a viselkedés-alapú kártevő-felismerés és a kliens/felhő architektúra kombinációját kivitelezni. Ennek értelmében: Az ismeretlen alkalmazások és végrehajtható fájlok a végpontokon egy sandbox-ban indulnak el. A fájl megnyitási/olvasási/írási műveletek, a beállításjegyzék változtatások és egyéb aktivitások naplózásra, majd mindezek viselkedésadatok a felhőbe kerülnek. A felhőbe küldött viselkedésadatokat a rendszer összehasonlítja a meglévő nagy viselkedésminta-adatbázissal és egyúttal elemzi is, hogy kiderítse, kártékony vagy legitim működésről van-e szó. Az elemzés eredményét a végpontok pillanatokon belül megkapják, ezzel tudják szabályozni, hogy az adott programot karanténozni kell-e vagy szabadon futtatható. Felhasználóktól érkező adatok Külső kártevő-adatbázisok SANDBOX Munkaállomás Viselkedés adatok Viselkedésmintaadatbázis 2. ábra: A viselkedési adatok naplózásra kerülnek egy sandbox futtatási környezetben, majd a felhő alapú adatbázissal történő összevetés következik az adott programkód kártékony mivoltának eldöntésére 4 2012. Webroot
Ez a megközelítés a kártékony programokat azok műveletei alapján azonosítja, még akkor is, amikor nem áll rendelkezésre semmilyen vírusadatbázis. Mivel pedig a viselkedésadatok és a kártékony viselkedésminták összehasonlítása a felhőben zajlik, ez egyáltalán nincs hatással a végpont teljesítményére, így maga az összehasonlítás is hihetetlenül nagy viselkedésmintával történhet meg. Továbbá az új kártevők viselkedésmintái valós időben rendelkezésre állnak a külső forrásokból, így azok azonnal használhatók az összehasonlítások során minden felhasználó azonnali védelmére. Naplózás és visszaállítás eredeti állapotra (Rollback) Azonban még a viselkedés-felismerés sem elég hatékony, ha a viselkedés elemzése csak rövid ideig lehetséges. Egyes kártevő-fejlesztők elég okosak ahhoz, hogy késleltessék a kártevőjük kártékony viselkedését, azaz nem ismerhető fel azonnal kártékony mivoltuk. Az újratervezett vírusvédelem harmadik pillére tehát a hosszú távú viselkedés-elemzés naplózással és eredetei állapotra történő visszaállítási (ún. rollback) technológiával ötvözve. Ebben az esetben az ismeretlen programok futása ugyan engedélyezett lesz, ám minden fájl- és beállításjegyzék-művelet, memóriamódosítás és egyéb művelet naplózásra kerül. Ez a részletes naplózás lehetővé teszi, hogy a védelmi kliens egy futás előtt és egy futás után állapotot rögzítsen minden változásról. Amennyiben később a megfigyelt viselkedés kártékonynak bizonyul, a kártevő törölhető, és minden általa végrehajtott változtatás az eredeti, jó állapotra állítható vissza (rollback). Ez a megközelítés: kiküszöböli az olyan vírusok fertőzését, amelyek vírusminta alapú egyeztetéssel vagy rövid idejű viselkedés-megfigyeléssel nem tetten érhetők; szükségtelenné teszi a nagyszabású vírusmentesítési feladatok elvégzését, csakúgy, mint a fertőzött rendszerek újratelepítését amely egy felmérés szerint a rendszergazdák idejének nagy részét is kiteheti; lehetővé teszi az egyik helyen már felismert kártevők azonnali felismerését más gépeken, sőt más cégeknél működő rendszereken is. Hogyan rakta össze a Webroot a legújabb technológiákat? Bárki megvalósította már a fenti koncepciót, és valóban úgy is teljesít vele, ahogyan állítja? Igen. A három fenti technológia a Webroot SecureAnywhere Business - Endpoint Protection termék alapja. Az alábbiakban ennek működését és eredményességét vizsgáljuk meg. A Webroot SecureAnywhere Business - Endpoint Protection 1 MB-nál is kisebb klienst használ a végpontokon, amely telepítése 6 másodperc alatt megtörténik. Ez jelentősen kisebb telepítési méret a hagyományos vírusvédelmek vastag klienseire jellemző több száz 4 MB-os (vagy akár már GB-os) méretnél. A teszteredmények szerint a kliens/felhő architektúrák drámaian képesek csökkenteni a kártevővédelemi kliens végpontokra kifejtett terhelését. 5 2012. Webroot 4. Az eredmények forrása: Passmark Software: SecureAnywhere Endpoint Protection Cloud vs. Seven Traditional Endpoint Security Products, 2012 február. Lásd még: PassMark Software, 2012 Consumer Security Products Performance Benchmarks, Edition 4, 2012. április 12. ( http://www.passmark.com/ftp/totalprotectionsuites-apr2012.pdf)
Amikor a PassMark Software nyolc népszerű antivírus termék keresési sebességét tesztelte, a Webroot a maga kliens/felhő alapú technológiájával messze a leggyorsabb eredményt hozta. A rendszer legelső átvizsgálása csupán 50 másodpercet vett igénybe, amely fele az őt követő második leggyorsabb keresőnek, és csupán 40%-a az átlagos (2 perc 4 másodperces) keresési időnek. A keresés alatt a memóriahasználat 12 MB-volt, amely 21%-a a második legkevesebb memóriát használó megoldásnak és nagyjából 10%-a az átlagosan használt 120MB-nak. Üresjáratban a memóriahasználat még ennél is jóval kisebb, mindösszesen 4MB volt, amely szembetűnően kisebb, csupán 6%-a az átlagos kb. 67MB-nak. A SecureAnywhere Business - Endpoint Protection felhő komponense a Webroot Intelligence Network. Ez a rendszer 100 TB-nál is nagyobb mennyiségű kártevő- és viselkedés-mintát, kártevő URL cím és egyéb kártevő adatot tartalmaz. Ez az adatmennyiség jóval több, mint amennyit bármely hagyományos vastag kliens kezelni tudna. Ez a gyakorlatban azt jelenti, hogy a Webroot jóval több kártevő variánst képes felismerni és jóval hatékonyabban tudja használni a viselkedés-felismerési technológiáját. Külső kártevőadat-források 100+ TB adatbázis minden egyes valaha látott kártevőről URL és IP adatok 25.000 + partnertől és vállalati felhasználótól Távoli felhasználó (kliens < 1 MB) Valós idejű adatok Webroot Intelligence Network Vállalati munkaállomások (kliens < 1 MB) Webroot felhasználói adatok napi 200+ GB adat sokmillió otthoni, banki és vállalati felhasználótól Viselkedési formák Ismert fájlok Egyéb kártevők EC2 - Világszerte replikálva Teljes redundancia - Skálázhatóság W.I.N. Statisztikák 8.7 milliárd URL, 310 millió Domain kiértékelve és osztályozva 100 TB PC, Mac és Android malware és vírus adat 200,000 új file naponta 1.8 millió Android App, 200 ezer ios App analizálva és kiértékelve (180 ezer tartalmaz kártékony tartalmat vagy viselkedik gyanúsan) 550 millió IP cím analizálva, ebből 9 millió veszélyes Valósidejű anti-phishing szolgáltatás 3. ábra: A Webroot kliens/felhő architektúrája és a Webroot Intelligence Network A Webroot Intelligence Network folyamatosan frissül 25.000 partner és nagyvállalat, több millió otthoni és vállalati felhasználó védelmi adataiból, így mind az irodai, mind pedig a távolról dolgozók azonnali védelmet élveznek, amint egy új kártevő bárhol a világon felbukkan. Végül, de nem utolsó sorban, a Webroot Intelligence Network infrastruktúra a Föld számos pontján üzemeltetett, teljesen redundáns felhő erőforrásokat használ, ezzel garantálva a legmagasabb szintű megbízhatóságot és a legkisebb késleltetési időt. 6 2012. Webroot
Tanulság: tapasztalja meg Ön is! A hagyományos vírusminta-adatbázis alapú védelmi megoldások ideje lejárt. Már léteznek azon koncepciók, melyekkel a kártevővédelem újra hatékony lehet. A fentiekben három ilyet elemeztünk ki: Kliens/felhő architektúra Viselkedés-elemzés Naplózás és visszaállítás eredeti állapotra (rollback) A fentieket együttesen használó védelmi megoldás javíthatja a teljesítményt, miközben jóval több kártevőt képes felismerni, ugyanakkor drámaian csökkenti a rendszergazdák a vírusvédelem frissen tartásával és a fertőzött rendszerek vírusmentesítésével kapcsolatos feladatait. Mindez azonban nem csak egy légből kapott gondolatmenet. A fenti koncepció hatékony működését Ön is megtapasztalhatja saját rendszerében. Éljen az ingyenes próbaverzió adta lehetőségekkel, tapasztalja meg, mennyivel kisebb, gyorsabb és hatékonyabb a Webroot SecureAnywhere Business Endpoint Protection, mint a jelneleg használatban lévő vírusvédelme! Ráadásul a Webroot SecureAnywhere Business Mobile Protection segítségével Android és ios rendszerű mobil eszközök védelmét is elláthatja, mindezt pedig egyetlen, felhő alapú központi menedzsmentből, bárhonnan kezelheti. A web alapú menedzsment felületen keresztül a legtöbb támogatási feladat is távolról ellátható. További információk és 30 napos ingyenes demo verzió igénylése: www.webroot.hu Magyar fordítás 2013. Nollex Nemzetközi Kft. www.nollex.hu Webroot Magyarországi Disztribúció 7 2012. Webroot