Kyberpuolustuksen juuret ovat antivirustekniikassa

Nykyaikainen suojaus ei hylkää hyviksi osoittautuneita menetelmiä, mutta turvatoimet kehittyvät ja muuttuvat entistä kokonaisvaltaisemmiksi.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: maaliskuu 31, 2016
Lukuaika: 3 Minuuttia

Lukemattomat viime vuosina julkaistut artikkelit väittävät, että ”antivirus”-tekniikka on kuollut ja täysin riittämätön suojamaan yrityksiä nykyaikaisilta uhkilta. Tuore esimerkki on Forbesin artikkeli.

Tällaiset tarinat huvittavat ja hämmentävät kyberpuolustuksen ammattilaisia.

Olemme huvittuneita, koska se antivirustekniikkaa, jota artikkelit kilvan nyt tappavat, ei ole oikeastaan ollut juuri käytössä vuoden 2008 jälkeen. Eli meille antivirus on muinaishistoriaa. On myös hämmentävää selittää ihmisille, että heidän turva-alan asiantuntemuksensa ei ole ihan ajan tasalla.

Markkinoilla häärii ”seuraavan sukupolven” toimijoita, jotka käyttävät markkinoinnissa hyväkseen tällaisia sekaannuksia.

Vanha tapa suojautua hyökkäyksiltä perustui yksinomaan skannausmoottoriin ja antivirustietokantaan, joka sisältää kunkin tunnetun haittaohjelman tunnistamiseen tarvittavan ”allekirjoituksen”. Tämä tekniikka ei ole ollut torjunnan eturintamassa enää 8-9 vuoteen. Skannausmoottorit näet alkoivat menettää tehoaan vuoden 2006 tienoilla, kun palvelinten luomat polymorfiset haittaohjelmat alkoivat yleistyä. Polymorfinen tarkoittaa haittaohjelmaa, josta rikollisen järjestelmä luo lukemattomia muunnelmia. Kaikkia muunnelmia ei voida tunnistaa yhdellä allekirjoituksella. Turva-ammattilaisten piti kehittää uusia ratkaisuja uhkien eliminoimiseksi.

Skannausmoottoreiden keskeisin ongelma piilee siinä, että hyökkääjien on helppo rakentaa kaikista antivirusohjelmista testiympäristö. Hyökkääjä kehittää ja testaa haittaohjelmaa kunnes keino antivirusohjelman taltuttamiseksi löytyy. Ja aikaahan hyökkääjillä on periaatteessa rajattomasti. Ennemmin tai myöhemmin löytyy haittaohjelman muunnelman, jota ei tunnisteta.  Tilanne käy helposti ilmi erilaisilla testeillä, joissa tutkija lataa todellista haittakoodia verkon kokoaviin av-palveluihin, kuten VirusTotal. Nämä palvelut tarjoavat av-skannauspalvelua houkutellakseen ihmisiä lähettämään näytteitä. Tällaisten testien tulos on hyvin epätarkka kahdesta syystä. Ensiksikin, skannauksesta puuttuvat kaikki kunnollisen turvaohjelman av-skannausta edeltävät turvakerrokset.  Toiseksi, pidämme VirusTotal-palvelusta pois ne hyödyllisimmät havaintomme, joihin vielä sovellamme av-moottoreita.

Niin, todellakin, vanha konsti, joka tukeutui pelkästään antivirustietokantoihin ja skannausmoottoreihin, on ”levännyt rauhassa” jo vuosikausia. Monien tuotteiden – myös F-Securen – viimeinen puolustuksen ja puhdistuksen linja hyödyntää silti edelleen skannausmoottoria. Kattavaan tietoturvaan tarvitaan lisäksi monia muita tekniikoita eli emme tukeudu pelkästään skannausmoottoriin.

Tammikuussa 2013 julkaisemamme artikkeli  kertoo perusteet antivirus- ja kyberpuolustustuotteiden kehityksestä skannausmoottoreiden jälkeen. Eikä kehitys tietenkään loppunut vuonna 2013.

Modernin suojauksen ydinajatus on ymmärtää, miten hyökkääjä toimii. Emme jahtaa päivän hyökkäystä emmekä huomisen haittaohjelmaa. Keskitymme resursseihin, joita hyökkääjät onnistuakseen tarvitsevat, ja estämme pääsyn näihin resursseihin.

Tämän hetken tehokkain torjuntakeino on rajoittaa hyökkääjälle tarjolla olevaa pintaa. Pyrimme tunnistamaan murtoyrityksessä käytetyt hyökkäystyökalut (exploit kit). Tai yksinkertaisesti estämme tuntemattoman lähteen pääsyn Javaan, Flashiin tai muuhun potentiaalisesti vaaralliseen kohteeseen.

Useimmissa tapauksissa vastatoimemme tyssäävät hyökkäyksen jo ennen kuin se oikeastaan ehtii alkaa. Hyökkääjä ei saa uhriin edes yhteyttä. Tai hyökkääjä ei onnistu lähettämään hyökkäyksessä tarvittavaa sisältöä uhrille.

Oletetaan, että haitallista yhteyttä ei onnistuta estämään. Tukeudumme silloin menetelmään, joka joko geneerisesti tunnistaa hyökkäyksen tai tunnistamme muutokset hyökkäyksen kohteiksi joutuneiden sovellusten käyttäytymisestä. Lopputulos on taas torjuntavoitto. Hyökkäys ei onnistu saamaan hallintaansa uhrin järjestelmää.

Kun keinot loppuvat, otetaan konstit käyttöön arvostetun suomalaisen sotilasjohtajan oppien mukaisesti.  Jos hyökkäys onnistui läpäisemään edelliset puolustuslinjat, voimme silti havaita sen käyttäytymistä monitoroimalla, pilviperustaisella analysoinnilla ja muilla menetelmillä.

Useimmissa tapauksissa olemme onnistuneet vastaamaan hyökkäykseen paljon ennen kuin skannausmoottorin päivitys saapuu.

Vaikka kehittyneemmät menetelmät vastaavat suurimmasta osasta turvaa, skannausmoottoreille on edelleen käyttöä. Kun tietty haittaohjelma opitaan tuntemaan, voimme levittää turvatoimet massoittain skannausmoottoreiden välityksellä. Tämän ansiosta tunnetut uhkat voidaan havaita ja tunnistaa jo uloimmissa kerroksissa, mihin geneeriset menetelmät eivät pysty. Skannausmoottoreilla voidaan tunnistaa ja kategorisoida valtava määrä näytteitä, mikä auttaa säästämään energiaa. Skannausmoottorit ovat tavallaan vihreää tekniikkaa.

Skannausmoottorin ei tarvitse pyöriä loppukäyttäjän päätelaitteessa. Tarjoamme jo ”ulkoistettuja” palvelimiin perustuvia yritystuotteita, joissa loppukäyttäjän työasema lähettää tiedostoja skannattavaksi yrityksen skannauspalvelimelle. Kehitämme samaan lähestymistapaan perustuvia tuotteita myös kuluttajatuotteisiin. Todennäköisesti skannausmoottoreita on tulevaisuudessa vain yritysten palvelimissa ja pilvessä

Ai niin. Myös ”seuraavan sukupolven” yhtiöt käyttävät skannausmoottoreita, joita ne kutsuvat murtoskannereiksi  (IOC scanners, Indicator of Compromise).

Jarno Niemelä, vanhempi tutkija, F-Securen tutkimusyksikkö.

Kuva Alexandre Dulaunoy | via Flickr


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s