Patching και προστασία σε πολλαπλά επίπεδα

Από τα πρώτα boot sector viruses, στα Macro Virus και το περιβόητο Melissa μέχρι τα σημερινά Ransomware όπως το WannaCry, αντιμετωπίζουμε τη μια απειλή μετά την άλλη σαν να πρόκειται για την μυθική Λερναία Ύδρα. Σκοπός των χάκερ είναι να βρουν κενά ασφάλειας σε λειτουργικά και δίκτυα για να μπορέσουν να διεισδύσουν με σκοπό τον δόλο.

Τα συστήματα που χρησιμοποιούμε καθημερινά έχουν αναπτυχθεί από ανθρώπους και όσο testing και να γίνει καμιά φορά γίνονται λάθη. Κάποια από τα λάθη αυτά δημιουργούν ευπάθειες, τα λεγόμενα Vulnerabilities.  Αν πέσουν στην αντίληψη των κυβερνο-εγκληματιών τα εκμεταλλεύονται για να πετύχουν τους σκοπούς τους. Όταν πρόκειται για κρίσιμα λάθη πρέπει να διορθωθούν άμεσα για να αποφευχθούν τα δυσάρεστα. Έτσι, οι διαχειριστές του δικτύου αναμένουν τον κατασκευαστή να αναπτύξει κώδικα που θα «μπαλώσει» το πρόβλημα. Η διαδικασία αυτή – δηλαδή του Patching – είναι κάτι το αποδεκτό και συνηθισμένο στον κόσμο της πληροφορικής.

Οι Προκλήσεις και οι επιπτώσεις
Όμως και εδώ συναντούμε διάφορα εμπόδια.  Είναι περιπτώσεις που είναι πρακτικά δύσκολο να ολοκληρωθεί η διαδικασία γιατί δεν μπορεί να πραγματοποιηθεί επανεκκίνηση των συστημάτων για να τεθεί σε λειτουργία η νέα έκδοση του προβληματικού συστήματος.  Έτσι διστάζουν οι διαχειριστές να προχωρήσουν μέχρι να βρεθεί μια κατάλληλη ευκαιρία.
Άλλες φορές είναι διστακτικοί να «πειράξουν» παλιότερες εφαρμογές που ίσως να μην υποστηρίζονται από τους κατασκευαστές ή να πρόκειται για home-made εφαρμογές.
Κάποιες ευπάθειες κτυπούν με μεγαλύτερη συχνότητα όπως HeartbleedShellshockEternalBlue, το ίδιο και οι επιθέσεις zero-day – δηλαδή άγνωστες μέχρι τώρα ευπάθειες που δεν έχουν γίνει αντιληπτές από το επηρεαζόμενο ή τον κατασκευαστή. Οι προκλήσεις αυτές, αφήνουν εκτεθειμένη μια τέτοια εγκατάσταση σε χάκερ σε όλο της το  φάσμα (δίκτυο, λειτουργικά, endpoint, πολιτικές ασφάλειας, δεδομένα) με κίνδυνο να υποστεί δυσφήμηση και οικονομικές απώλειες.
Αυτό δεν σημαίνει όμως ότι όλοι οι οργανισμοί με ευπαθή συστήματα θα τα εφαρμόσουν άμεσα. Ένας οργανισμός χρειάζεται περίπου 30 ημέρες για να εφαρμόσει μια τέτοια αναβάθμιση σε επίπεδο λειτουργικού συστήματος και πολύ περισσότερο – από μήνες μέχρι χρόνια για πιο σύνθετες εφαρμογές.

 

Η Προσέγγιση της Trend Micro

Η Trend Micro αντιμετωπίζει το θέμα αυτό μέσω του Connected Threat Defense Strategy.  Πρόκειται για μια σφαιρική κάλυψη των δικτύων, endpoints, υβριδικών ή εικονικών πληθυσμών. Αυτή η προσέγγιση της προστασίας πολλαπλά επίπεδα δίνει καλύτερο τρόπο πρόληψης, εντόπισης και αντιμετώπισης απειλών.

Για να ενδυναμώσει τα συστήματά της, η Trend Micro εξαγόρασε τον οργανισμό ZDI– Zero Day Initiative για να ενθαρρύνει ερευνητές ή και χρήστες να αναφέρουν ευπάθειες 0-day επί αμοιβής. Παρόλο που επικρατεί η λανθασμένη αντίληψη ότι πρόκειται για τους ίδιους τους hacker, οι άνθρωποι αυτοί επιτελούν ένα σημαντικό έργο από την στιγμή που κάποιες ευπάθειες περνούν απαρατήρητες πάνω στην φούρια της καθημερινότητας από τους διαχειριστές αφήνοντας τους πραγματικούς χάκερ να αλωνίζουν. Είναι βασικά μια virtual κοινότητα από έμπειρους ερευνητές. Οι ευπάθειες αυτές αντιμετωπίζονται από την ομάδα της Trend Micro και το virtual patch ενσωματώνεται στα αντίστοιχα συστήματά της.  Οι πελάτες της Trend Micro απολαμβάνουν ένα μέσο όρο 72 ημέρες προληπτικής προστασίας μέχρι οι κατασκευαστές ετοιμάσουν το patch.
Πριν μερικά χρόνια η Trend Micro εξαγόρασε την TippingPoint και σήμερα διαθέτει το NextGeneration Intrusion Prevention System (NGIPS) για την προστασία υποδομών, δεδομένων και ευάλωτων εφαρμογών σε πραγματικό χρόνο από γνωστές και άγνωστες ευπάθειες που επιβαρύνουν την καλή λειτουργία του δικτύου, εξετάζοντας εισερχόμενη, εξερχόμενη και παράλληλη κίνηση στο δίκτυο σε πραγματικό χρόνο. Μεταξύ άλλων προσφέρει επίσης On-box SSL Inspection, Real-time Machine Learning, Enterprise Vulnerability Remediation (eVR), Asymmetric Traffic Inspection και υποστηρίζει διαφόρων ειδών δικτυακής κίνησης και πρωτοκόλλων. Χρησιμοποιεί ακόμη και τo Trend Micro™ Vulnerability Protection για έγκυρη και δυνατή προστασία από ευπάθειες σε επίπεδο endpoint (είτε πρόκειται για πραγματικά μηχανήματα ή virtual) συμπληρώνοντας την προστασία που προσφέρει μια λύση antivirus/anti-malware με προληπτικό virtual patching.

Η μηχανή αναζήτησης ευπαθειών με ενσωματωμένο host-based intrusion prevention και zero-day παρακολούθηση εντοπίζει ύποπτες συμπεριφορές στο δίκτυο ως πιθανότητα επίθεσης ή παραβίασης πολιτικής ασφάλειας. Ενεργοποιεί άμεσα τα κατάλληλα φίλτρα παρεμποδίζοντας καλοθελητές να εκμεταλλευτούν την ευπάθεια μέχρι να ετοιμαστούν τα διορθωτικά patches.
Άλλα  εργαλεία Virtual Patching που περιέχει το Trend Micro Deep Security εφαρμόζονται ως «Πρώτες Βοήθειες» σε ευπαθή συστήματα για να θωρακίσει τα συστήματα μας από γνωστές και άγνωστες απειλές.  Το Trend Micro Deep Security παρακολουθεί δυναμικά server και endpoint  θωρακίζοντας τα από ευπάθειες, σε πραγματικό χρόνο και αυτόματα, ενώ ταυτόχρονα φροντίζει για την εσωτερική και κανονιστικής συμμόρφωσης εύκολα και οικονομικά.
Προσφέρει έγκαιρη προστασία από μοντέρνες επιθέσεις malware, χρησιμοποιώντας προηγμένες τεχνικές εντοπισμού και αντιμετώπισης απειλών όπως behavioral monitoring, application control, προληπτικό machine learning, και and sandbox analysis. Το Deep Security ενημερώνεται και ενισχύεται από το Trend Micro™ Smart Protection Network – το δίκτυο συλλογής πληροφοριών για απειλές που παρουσιάζονται ανά το παγκόσμιο.

  • «Μπαλώνει» τρύπες ευπάθειες λογισμικού που πιθανόν να εκμεταλλευτούν hackers με δυνατότητες IDS/IPS. Οι πολιτικές ασφάλειας ενημερώνονται αυτόματα για να εφαρμόζεται ο σωστός βαθμός προστασίας, στο σωστό σημείο ανά πάσα στιγμή.
  • Μειώνει την έκθεση σε επιθέσεις με την χρήση host firewall. Μπλοκάρει επιθέσεις και περιορίζει την επικοινωνία μόνος σε όσες «πόρτες» και πρωτόκολλα είναι απολύτως απαραίτητα. Καταγράφει και ελέγχει την κίνηση για χρήση των δεδομένων αυτών σε αναφορές συμμόρφωσης.
  • Εντοπίζει και μπλοκάρει αυτόματα ακατάλληλο λογισμικό στο επίπεδο server.
  • Mε το integritymonitoring εξυπηρετεί στην συμμόρφωση και παρακολούθηση αρχείων και συστημάτων. Εντοπίζει και ειδοποιεί για μη εξουσιοδοτημένες αλλαγές σε αρχεία, ports, registries, κλπ
  • Αναγνωρίζει σημαντικά περιστατικά που μπορεί να χάνονται στην σωρεία των log entries με το log inspection. Τα αποστέλλει σε κάποιο εργαλείο SIEM ή κεντρικό σημείο για επεξεργασία και αξιολόγηση.
  • Σκανάρει εφαρμογές web για τρύπες και τις θωρακίζει σε περίπτωση που χρειαστεί.
  • Αναγνωρίζει αυτόματα νέες μηχανές VMs και αμέσως εφαρμόζει κανόνες ασφάλειας μειώνοντας δραστικά την πιθανότητα να μείνει απροστάτευτο.

 

Η λύση της Manage Engine

Το Virtual Patching και γενικά όλες αυτές οι προληπτικές προσπάθειες θωράκισης του δικτύου μας σώζουν από πολλά αλλά δεν αποτελούν πανάκεια!  Το Hands-On Patching συνεχίζει να είναι μια επίπονη αγγαρεία τόσο για τους Διευθυντές Τμημάτων ΙΤ όσο και για το προσωπικό τους.
Το ξέρουν και οι Hacker αυτό έτσι δεν υπάρχει περίπτωση να γλυτώσουν από αυτό το βάρος.  Το Desktop Central της ManageEngine είναι ένα από τα πιο χρήσιμα εργαλεία που μπορεί ένας διαχειριστής δικτύου να έχει.  Πρόκειται για μια ολοκληρωμένη λύση διαχείρισης desktop, server & κινητών συσκευών με κεντρική διαχείριση. Επιτρέπει στους διαχειριστές/μηχανικούς να αυτοματοποιήσουν εργασίες ρουτίνας όπως την διανομή λογισμικού, την διαχείριση πόρων του δικτύου και αδειών, παρακολούθησης και στατιστικά χρήσης λογισμικού,  διαχείρισης συσκευών USB, και remote desktop control.  Υποστηρίζει λειτουργικά Mac, Windows, και Linux.
Για σκοπούς της σημερινής παρουσίασης θα επικεντρωθούμε μόνο στο Patch Management αλλά όπως βλέπετε και από την διαφάνεια αυτοματοποιεί τις περισσότερες αγγαρείες τους.
Η Zoho Corp – ιδιοκτήτρια της ManageEngine σκανάρει συνεχώς το διαδίκτυο νέες εκδόσεις patches και νέες ευπάθειες. Όταν εντοπίσει κάτι νέο και αφού επιβεβαιωθεί και δοκιμαστεί εκτενώς προστίθεται αμέσως στην κεντρική βάση Zohocorp’s Central Patch Repository. Ο κεντρικός server του Desktop Central στις εγκαταστάσεις του πελάτη ενημερώνεται και ψάχνει για αυτές τις ευπάθειες στο δίκτυό του.Στον κεντρικό αυτό server στις εγκαταστάσεις του πελάτη διατηρείτε επίσης μια ακόμη βάση που περιέχει λεπτομέρειες για τις ευπάθειες – Vulnerability Database.  Σε τακτά χρονικά διαστήματα συγχρονίζεται με την κεντρική βάση, καθημερινά ή On-demand.

Periodic Patch Scanning – Κάθε φορά που ενημερώνετε η βάση για ευπάθειες γίνεται αυτόματα (εντός 90 λεπτών) μια σάρωση του δικτύου για να επιβεβαιωθεί ότι όλα τα συστήματα είναι ενήμερα.Τα αποτελέσματα καταγράφονται στο  Desktop Central Server.
Test Patches before Deployment – Είναι πάντα σωστό να δοκιμάζουμε ένα patch πριν το εφαρμόσουμε για να αποφευχθούν τυχόν προβλήματα. Με το Desktop Central, είναι δυνατό να έχουμε groups και αυτόματη εγκατάσταση για δοκιμαστικά συστήματα πριν την τελική εφαρμογή σε όλο το δίκτυο.
Decline Patches for Specific Applications – Έχετε την επιλογή να απορρίψετε patches για μεμονωμένα μηχανήματα ή για ομάδα συγκριμένες εφαρμογές όπως π.χ. (legacy applications) ή για εφαρμογές που είχαν πρόβλημα αστάθειας κατά την δοκιμή που αναφέραμε πριν λίγο.
Schedule Patch Deployment – Για να αποφύγουμε θέματα διαδικτυακού εύρους και διαθεσιμότητας συστημάτων μπορούμε να προγραμματίσουμε να εγκατασταθούν τα patches σε μέρα και ώρα που να εξυπηρετεί καλύτερα.
Automated Patch Deployment – Μπορούμε να αυτοματοποιήσουμε την εφαρμογή του patch σε κάθε βήμα εξοικονομώντας χρόνο και πόρους.  Ανά εφαρμογή ή τμήμα, όποια μέρα και συχνότητα επιθυμούμε για την καλύτερή μας εξυπηρέτηση.  Καθορίζουμε τις παραμέτρους και το σύστημα μας ενημερώνει για τα αποτελέσματα σε κάθε βήμα.
System Health Policy – Το Desktop Central επιτρέπει την καταγραφή της κατάστασης της υγείας των συστημάτων σας μέσω του system health policy. Μπορείτε να θέσετε εσείς τον βαθμό υγείας ανάλογα με τον αριθμό των patches που λείπουν ως π.χ. Healthy, Vulnerable ή Ηighly Vulnerable. Με αυτό τον τρόπο μπορείτε να ομαδοποιήσετε τα συστήματά σας και να αποφασίσετε ποια έχουν προτεραιότητα και τι μέτρα θα πρέπει να λάβετε.
Automate Antivirus Updates – Το Desktop Central μπορεί να σας βοηθήσει να αυτοματοποιήσετε την ενημέρωση του αντι-ιοτικού σας λογισμικού.  Οι ανανεώσεις αυτές είναι πολύ συχνές και χρησιμοποιούν πολύ bandwidth.  Μπορούμε να τις προγραμματίσουμε να γίνουν σε κάποιο στιγμή της μέρας που θα είναι πιο ήσυχη.
Disable Automatic Updates – Με τον ίδιο τρόπο μπορούμε να απενεργοποιήσουμε με μερικά clicks τις αυτόματες ανανεώσεις διατηρώντας τον έλεγχο του δικτιού μας.
Patch Management using Mobile App – Η διαχείριση των patches είναι δυνατή και μέσω κινητού τηλεφώνου. Μέσω της ειδικής εφαρμογής μπορείτε να εγκαταστήσετε, να εγκρίνετε ή να απορρίψετε patches, να φτιάξετε λεπτομερή αναφορές και πολλά άλλα.