REKLAMA

TREATNET – NARZĘDZIE DLA FIRM I OPERATORÓW. Wykrywanie zainfekowanych użytkowników na masową skalę.

Cyberbezpieczeństwo stało się ostatnimi laty bardzo modnym hasłem odmienianym przez wszystkie przypadki zarówno przez ekspertów, profesjonalistów jak i zwykłych użytkowników sieci Internet. Jest to bardzo pozytywny objaw przywiązywania coraz większej wagi do prywatności i uniknięcia sytuacji - precyzyjnie nie opisanej - „bycia zhackowanym”. Duża liczba publikacji na ten temat, medialny szum podsycany przez firmy z branży telekomunikacyjnej i informatycznej wytworzył pozytywny trend przypisywania sprawie bezpieczeństwa w sieci bardzo dużego znaczenia i tym samym przeznaczania większych środków z domowego budżetu na użytkowników Internetu. Zjawisko to dotyczy nie tylko użytkowników domowych, ale głównie firm i operatorów telekomunikacyjnych. Oczywiście podmioty komercyjne w różny sposób szukają możliwości zwiększenia przychodu, oprócz sprzedaży urządzeń i licencji oprogramowania penetrują możliwości sprzedaży usług. Nasuwa się pytanie, dlaczego więc nie stworzyć produktu „bezpieczeństwo użytkownika końcowego” i oferować go jako usługi, na przykład jako operator telekomunikacyjny oferować takiej usługi swoim abonentom? Innym ciekawym aspektem bezpieczeństwa jest odpowiedź na pytanie – na ile skuteczne są moje systemy ochrony teleinformatycznej? Czy są 100% skuteczne? Niewielu znajdzie się odważnych, którzy odpowiedzą „tak moje systemy są 100% skuteczne”. W obszarze bezpieczeństwa istnieje zawsze możliwość tworzenia innowacyjnych produktów i rozwiązań, które będą odpowiedzią na drążące użytkowników dylematy lub uspokajały ich obawy. Takim rozwiązaniem jest system Treatnet.

W koncepcji systemu koncentracja uwagi jest skierowana na ochronę, czyli zapobieganie zainfekowaniu złośliwym oprogramowaniem: wirusem, malware, czy też utratą cennych i poufnych informacji na skutek nieświadomego phishingu. Jeżeli jednak niewielka jest liczba administratorów przekonanych, że systemy zabezpieczające ich środowiska są w stu procentach skuteczne, to na pewno warto skierować ich uwagę w stronę skutecznych systemów niwelujących skalę już zainfekowanych użytkowników. Treatnet nie jest systemem antywirusowym zapobiegającym zarażeniu wirusem lecz kompleksowym rozwiązaniem, które operuje głównie na już zainfekowanych użytkownikach. System koncentruje się na wykryciu zainfekowanych użytkowników, minimalizuje rozprzestrzenianie się infekcji i pomaga w przeprowadzeniu procedury uzdrowienia użytkownika.

Powstaje pytanie, jak wykryć zainfekowanych użytkowników w firmie lub w sieci operatora wśród jego abonentów? Oczywiście najprościej jest zainstalować oprogramowanie typu agent i monitorować terminal. Tego typu rozwiązanie ma jednak sporo wad. Niewątpliwie kosztowne jest przygotowanie różnych agentów dla różnorodnych systemów operacyjnych. Istnieją różne wersje oprogramowania agentowego no i oczywiście pozostaje pytanie, co będzie się działo z ogromną różnorodnością oprogramowania dla urządzeń typu IoT? Wnioskiem płynącym z powyższych wątpliwości jest opracowanie procedury bezagentowej jako realnej dla masowego zastosowania. Otóż masowość i bezagentowy model działania to kolejna cecha innowacyjnego rozwiązania Teatnet.

Jeżeli rezygnujemy z modelu agentowego to nasuwa się metoda klasy deep inspection. Jednak o ile jest to powszechne w zastosowaniu firmowym, gdzie kwestia skanowania ruchu użytkowników jest fundamentem polityki bezpieczeństwa firmy, z którą się nie dyskutuje, o tyle w przypadku sieci operatora jest to niezmiernie problematyczne. Przede wszystkim abonent musi ufać swojemu dostawcy sieci Internet, przy czym fundamentalnym założeniem jest zachowanie jego prywatności i poufności. Do tego dochodzi skanowanie „całego ruchu w sieci Internet”, które jest nierealne na masową skalę. Działający w Polsce operatorzy przetwarzają kilkanaście Tbps ruchu – nie ma tak wydajnych urządzeń realizujących zaawansowaną funkcjonalność deep inspection.

Jeżeli więc nie możemy użyć technologii agentowej i deep inspection, to co pozostaje? Otóż należy swoją uwagę zwrócić na informacje, które są przetwarzane w systemach informatycznych firm i operatorów telekomunikacyjnych – informacje accountingowe (uwierzytelnienie), kontrolne i logi, a następnie maksymalnie efektywnie wykorzystać je w celu wykrycia zainfekowanych użytkowników. Czy są to wartościowe informacje? Otóż wśród Internautów dominujące są dwa skrajne stanowiska: jedni są przekonani o całkowitej anonimowości w sieci Internet, a drudzy wręcz przeciwnie, mają wyrobione zdanie na temat powszechnej inwigilacji. Jak łatwo zgadnąć prawda leży zapewne gdzieś po środku. W sieciach firmowych „logujemy się” do domeny, poczty, sieci (802,1x). W sieciach operatorów jesteśmy identyfikowani numerem MSSIDN (usługi mobilne), login (ADSL) lub musimy założyć „sobie konto” w usłudze publicznej. To wszystko pozostawia „ślad”, który firmy zachowują z własnej woli, a operatorzy są zmuszeni gromadzić na gruncie ustawy telekomunikacyjnej. Ale nie jest to nic nowego, bo jak bez uwierzytelnienia, czyli sprawdzenia, kim jest dołączający się użytkownik, przydzielić mu indywidualne, np. lepsze parametry SLA, za które zdecydował się zapłacić?

System Treatnet ma ambicje stać się rozwiązaniem dla firm, jak również dla operatorów telekomunikacyjnych, dlatego od początku był projektowany do wyszukiwania zainfekowanych użytkowników z zachowaniem ich poufności i prywatności. Bez wątpienia system ten jest skazany na model bezagentowy, dlatego zdarzenia (logi) generowane przez systemy telekomunikacyjne są jego bazą wiedzy.

Czy taki system może być skuteczny? Przeprowadzone testy wykazały, że tak. Największą wartością jest to, że gdy wykryty użytkownik jest zainfekowany i nieświadomy, to dowiaduje się o tym od swojego administratora, operatora lub automatycznie z systemu Treatnet, w zależności od przyjętej polityki komunikacji w danej firmie. Skuteczność takiego systemu wiąże się też z jakością identyfikacji użytkowników – na podstawie logów należy rozpoznać, kim jest użytkownik i jakie zagrożenie można do niego dowiązać po wystąpieniu incydentu. Przy właściwej integracji takiego systemu i znajomości specyfiki produktów bezpieczeństwa dla firm i dla operatorów telekomunikacyjnych identyfikacja taka jest absolutnie możliwa. Oczywiście należy przewidzieć także przypadki szczególne. Na przykład gdzie z jakiegoś powodu (błędy konfiguracyjne, awarie) identyfikacja będzie utrudniona. Wówczas powstaje dylemat związany z tzw. false positive – czy należy powiadomić użytkownika o tym, że jest zainfekowany, jeśli nie jesteśmy tego pewni? Błędne powiadomienie (wspomniany false positive) osłabi w przyszłości czujność użytkownika i obniży jego zaufanie do takiego systemu. Odrzucenie powiadomienia może zostać uznane za nieetyczne? Czy wobec tego informować w takiej sytuacji czy nie? Mechanizm rozstrzygania tego typu dylematów należy zaszyć w oprogramowaniu i pozostawić to jako indywidualne profilowanie wg decyzji managera projektu.

Warto ponowić pytanie, czy taki system może być skuteczny? Jeśli powrócimy do kwestii ilości ruchu generowanego w sieci Internet – na pewno z roku na rok przyrasta go 2-3 krotnie. Jak wspomnieliśmy nie jest możliwe skanowanie całości ruchu w sieci Internet, nie dysponujemy taką mocą obliczeniową. Dodatkowo większość ruchu w sieci Internet jest szyfrowana, co potęguje skalę problemu. Ale omawiane rozwiązanie nie skanuje ruchu a przetwarza logi generowane przez ten ruch. Ile ich wobec tego jest? Badania i szacunki stawiają poprzeczkę – zależnie od polityki, typu urządzeń i skali firmy lub operatora od 1 000 – 10 000 EPS w dosyć dużej firmie do 20 000 – 100 000 EPS w bardzo dużej firmie i korporacji. W przypadku operatorów sięgają one 50 000 – 300 000 EPS. Ale tu producenci urządzeń dostrzegli problem i w przypadku systemów generujących największą wolumetryczną liczbę zdarzeń, czyli CG-NAT, opracowali techniki PBA (Port Block Allocation), które pozwalają na ograniczenie liczby sesji 100 - 1 000 krotnie poprzez mechanizm alokacji bloku portów dla użytkownika w przeciwieństwie do „tradycyjnej” techniki, w której każda sesja generuje 1 lub 2 zdarzenia (lub więcej z Interim).

A co z ruchem szyfrowanym? Niewątpliwie stanowi on duże wyzwanie w ogóle dla sieciowych systemów bezpieczeństwa. Szacujemy, że ponad 90% w sieci Internet jest szyfrowane, bo tak działają popularne serwisy, np. YouTube. W tym wypadku Treatnet nie rozszywa ruchu, ale bazuje na mechanizmie ochrony antyphishinowej i listach serwerów Command&Control. Natomiast kierunkiem, w którym będą prowadzone prace jest mechanizm machine learning w celu wyszukiwania anomalii na podstawie zgromadzonych zdarzeń.

Co jest wynikiem prac? Otóż udało się opracować innowacyjne rozwiązanie, w którym oprócz kontrolowanego poziomu false positive i wysokiej skuteczności identyfikacji użytkowników ograniczono czas wykrycia faktu zainfekowania (TTD – Time To Detect) szacowany wcześniej na 100 - 200 dni do czasu liczonego obecnie w godzinach. Jednocześnie rozwiązanie jest otwarte, używa nowoczesnych mechanizmów i narzędzi, a użycie baz nosql (elastic search) pozwoliło osiągnąć wydajności, jakie są niedostępne w systemach typu Log Collector czy SIEM – przekraczające 500 000 EPS, co przy nowych technologiach np. PBA można uznać za wystarczające na kolejne lata.

Comp S.A.* realizuje „Innowacyjny system szybkiego i masowego wykrywania oraz neutralizacji cyberataków na użytkowników sieci Internet".

Projekt jest dofinansowywany z Funduszy Europejskich.

Celem projektu jest nowy produkt w postaci zespołu narzędzi o budowie modułowej, tworzący jednolity system monitorowania, wykrywania i usuwania skutków zainfekowania użytkowników sieci Internet złośliwym oprogramowaniem typu malware, poprzez analizę zdarzeń systemowych użytkowników i węzłów sieci, a następnie usuwanie tych skutków.

----------------------------------------------------------------------

* COMP jest spółką technologiczną z blisko 30-letnim doświadczeniem, specjalizującą się w bezpieczeństwie IT, rozwiązaniach sieciowych i chmurowych, usługach software development oraz rozwiązaniach dedykowanych dla rynku handlu i usług. Na przestrzeni lat COMP S.A. stał się jednym z największych integratorów rozwiązań informatycznych na polskim rynku. COMP S.A. oferuje kompleksową obsługę klientów, począwszy od opracowania koncepcji, przez projekt i dobór optymalnej technologii oraz jej wdrożenie, aż po stworzenie procedur eksploatacyjnych, opiekę serwisową konsultacje czy szkolenia. COMP S.A. bazuje na najnowszych technologiach i rozwiązaniach z powodzeniem łącząc produkty własne z tymi oferowanymi przez innych producentów sprzętu i oprogramowania. Spółka realizuje projekty dla największych firm z niemal wszystkich branż, zarówno
z sektora publicznego, jak i prywatnego.

Kontakt:

email: treatnet@comp.com.pl

http://www.treatnet.com

COMP S.A. ul. Jutrzenki 116 tel. +48-22-5703800