Czym jest Sandbox?
W cyberbezpieczeństwie „piaskownica” (ang. Sandbox) to izolowane środowisko w sieci, które naśladuje środowiska operacyjne użytkowników końcowych. Sandboxy służą do bezpiecznego wykonywania podejrzanego kodu bez ryzyka uszkodzenia urządzenia hosta lub sieci. Korzystanie z Sandboxu do zaawansowanego wykrywania złośliwego oprogramowania zapewnia kolejną warstwę ochrony przed nowymi zagrożeniami - w szczególności przed złośliwym oprogramowaniem typu „zero-day” (wcześniej niewidocznym) czy atakami zamaskowanymi na różne sposoby. To, co dzieje się w piaskownicy, pozostaje w piaskownicy – dzięki temu można zapobiec awariom systemów, kradzieżom czy rozprzestrzenianiu się złośliwego oprogramowania.
Sandbox to najczęściej urządzenia fizyczne (lecz nie tylko), posiadające duże zasoby sprzętowe, umożliwiające wydajne uruchamianie próbek w kontrolowanym środowisku.
Oferowane przez nas rozwiązanie McAfee Advanced Threat Defense (ATD), dostępne jest jako urządzenie sprzętowe (dwa modele), lub jako maszyna wirtualna działająca pod platformą VMWare oraz (co jest naszym wyróżnikiem) Hyper-V.
Parametry oferowanych maszyn fizycznych ATD przedstawia poniższa tabela:
Na urządzeniu ATD-3200 można uruchomić do 30 maszyn wirtualnych, natomiast model ATD-6200 do 60 maszyn wirtualnych. (przykładowe wykorzystanie przestrzeni ATD 6xxx poniżej).
Tu wykorzystano jedną maszynę wirtualną powieloną do maksymalnej liczby 60-ciu sztuk.
Na poniższym zrzucie, można zobaczyć inny podział:
Jak widać elastyczność wykorzystania dostępnej przestrzeni jest dowolna. Od multiplikacji pojedynczego obrazu, aż po użycie kilku/kilkunastu obrazów różnych systemów operacyjnych. Istnieje również możliwość łatwej modyfikacji liczby użytych maszyn wirtualnych w zależności od potrzeb. Nie wymaga to ponownego wgrywania maszyn wirtualnych.
Wymagania ATD co do opcji wirtualnej, znajdują się w poniższej tabeli:
Liczba możliwych do uruchomienia instancji maszyn wirtualnych w ATD zależna jest od wykupionej licencji.
Praca w klastrze
W celu zapewnienia wysokiej dostępności usługi skanowania, oraz w celu rozłożenia obciążenia na wiele urządzeń (w zależności od potrzeb), McAfee ATD możliwe jest do instalacji w klastrze. Przykład implementacji ATD w klastrze, przedstawia poniższy diagram.
Urządzenia mogą pracować w trybie Primary, Secondary i Backup. Klaster może być obsługiwany poprzez VIP klastra. Zwiększenie wydajności klastra, odbywa się poprzez dołożenie kolejnego „node-a”. Konfiguracja nowego członka klastra, polega na zaadresowaniu i przyłączeniu do klastra w wybranym trybie. Wszystkie wymagane synchronizacje (polityka, maszyny wirtualne) odbywają się w sposób automatyczny. Poniżej zrzut ekranu z konfiguracji dwóch urządzeń w trybie Primary-Secondary.
Wspierane systemy operacyjne
Na rynku urządzeń klasy Sandbox, można znaleźć dwa rodzaje podejścia do obsługi systemów operacyjnych wykorzystywanych w skanowaniu. Jest to umożliwienie stworzenia własnych wersji obrazów systemów operacyjnych przez Klienta, oraz dostarczanie gotowych obrazów przygotowanych przez producenta. Bardziej elastyczna i korzystna z punktu widzenia Klienta jest możliwość samodzielnego utworzenia obrazu systemu operacyjnego. Daje to możliwość przygotowania jak najbardziej zbliżonego do aktualnego środowiska sieciowego Klienta obrazu systemu. (tzw. Golden Image). Oferowany przez naszą firmę produkt McAfee Advanced Threat Defense (w skrócie ATD), posiada właśnie możliwość własnoręcznej definicji obrazów systemów operacyjnych. Wybór systemów operacyjnych możliwych do wykorzystania jest dość szeroki (poniższa tabela)
Dużym plusem przy tworzeniu własnych obrazów systemów operacyjnych jest również możliwość stworzenia kilku obrazów tego samego systemu operacyjnego, ale np. z różnymi wersjami JAVA, Adobe, Office. W McAfee ATD wybór tychże też jest dość duży. (poniższa tabela).
Takie podejście umożliwia przeskanowanie danej próbki poprzez więcej niż jedną maszynę wirtualną z różnymi wersjami wymienionych aplikacji, co zwiększa prawdopodobieństwo wykrycia zagrożenia Zero-Day. (przykład poniżej)
Przygotowywanie maszyn wirtualnych
Obrazy maszyn wirtualnych tworzone są za pomocą VMWare Workstation na stacji roboczej administratora. Po przygotowaniu i przejściu procesu weryfikacji obrazu (dedykowanym narzędziem), plik .vmdk zostaje umieszczony (poprzez SCP) na ATD, gdzie w kolejnym kroku następuje konwersja na format .img i przeprowadzona weryfikacja poprawności.
Jeśli proces weryfikacji nie ujawnił błędów, plik obrazu jest gotowy do multiplikacji i użycia go w tzw. Profilach Analizy.
Profile Analizy
System McAfee ATD posiada wiele zaimplementowanych modułów wspomagających detekcję. Dzielą się one na dwa typy:
- Analizę Statyczną (np. Reputacja, Black List, Skanowanie AV itp.)
- Analizę Dynamiczną (np. Sandbox, Machine Learning itp.)
W profilu analizy istnieje możliwość wyboru jakie moduły będą wykorzystywane. Zestawienie wszystkich możliwych modułów, znajduje się na poniższym zrzucie ekranowym.
Jedną z opcji jest „Enable Malware Internet Access”. Opcja ta umożliwia dostęp do Internetu z wewnątrz maszyny wirtualnej, jeśli dany malware próbuje nawiązać komunikację. Ze względów bezpieczeństwa, do tego celu używany jest osobny interfejs ATD (osobne łącze).
Wspierane typy plików:
W celu zwiększenia skuteczności detekcji, Sanbox powinien posiadać możliwość obsługi jak największej liczby różnych typów plików. Oferowane przez nas McAfee ATD, oferuje skanowanie szerokiej gamy typów plików, umożliwiając też definicje maksymalnej/minimalnej wielkości pliku. (tabela poniżej).
Integracja ATD z bramką pocztową
Urządzenie McAfee ATD może być integrowane z bramkami pocztowymi. Na urządzeniu możliwe jest uruchomienie tzw. Email Connector-a, który rozszerza możliwości ATD o skanowanie załączników e-mail (pracując w trybie MTA). ATD po przeskanowaniu pliku, nadaje wiadomości pocztowej odpowiedni nagłówek „X-ATD-VERDICT” z punktacją pliku. Informacja ta jest zwracana do Smart Host-a. Na tej podstawie możliwa jest definicja odpowiedniej akcji (np. zablokuj, przenieś do kwarantanny, dostarcz itp.). Schematycznie komunikacja pomiędzy Email Connector-em, ATD a Smart Hostem, przedstawia poniższy diagram.
Natywna integracja ATD z innymi produktami McAfee
Dużym plusem rozwiązania McAfee ATD jest możliwość natywnej integracji z innymi produktami McAfee. Do możliwych integracji można zaliczyć:
- Integrację ze stacjami roboczymi poprzez lokalną bazę reputacji McAfee TIE Server (np. wysyłanie do skanowania w ATD plików o nieznanej reputacji)
- Integrację z systemem McAfee Web Gateway (Proxy) – analiza plików wysyłanych/pobieranych przez użytkownika protokołami http/HTTPS/FTP
- Integrację z systemem McAfee Network Security Platform (IPS) – ochrona na poziomie sieciowym
- Integrację z systemem SIEM – zasilanie plikami IOC
Skanowanie na żądanie
System ATD posiada możliwość analizy plików na żądanie. Skanowanie to może odbyć się w trybie interaktywnym (XMode), lub zwykłym.
Wynik analizy jest dostępny w GUI w postaci raportu wraz z możliwością pobrania pliku.
W powyższym przypadku plik był już na Whitelist (analiza statyczna), więc nie został wysłany do analizy dynamicznej.
Raporty
System McAfee ATD posiada Dashboard, na którym pojawiają się sumaryczne informacje o wykrytych zagrożeniach, a także rozbudowany moduł raportujący. (W przypadku pracy kilku urządzeń w klastrze, dostęp do wszystkich raportów jest z głównego urządzenia - Primary). Poniżej znajduje się przykład wykrycia zagrożenia poprzez moduł dynamiczny (Sandbox).
W Dashboardzie widoczna jest informacja o: nazwie pliku, wyniku analizy, wykorzystanym profilu analizy itp.
W ramach opcji dostępnych po analizie, są między innymi: raport w pdf/html, pobranie oryginalnej próbki, itp.
Poniżej znajdują się informacje zaczerpnięte z raportu w ramach analizy pliku w formacie PDF:
Podsumowując McAfee ATD to solidne narzędzie do analizy podejrzanych próbek. Biorąc pod uwagę stale i szybko rosnącą liczbę złośliwych programów wykorzystujących podatności zero-day, wykorzystanie sandbox’a może być nieocenioną pomocą w pracy każdego działu bezpieczeństwa IT.