stoppa skadlig kod

Grundidéen med det här inlägget var att utveckla vad vi noterat de senaste veckorna gällande ransomware. Det föll dock ut i en större tanke, och plan.

Historik

Ransomware är inte nytt – med AIDS Info Disk/PC Cyborg som möjlig ”urfader” 1989[1]. Den första PoC:en presenterades 1996, där PC Cyborg kritiserades för att förlita sig enbart på symetrisk kryptering.
Deras presentation visade på att asymmetrisk kryptering har potentialen att säkra upp det krypterade, på gott och ont [2]. För undertecknad är detta lite av ett mysterium, att vi har en industri som inte riktigt förstått potentialen i det som illasinnade sedan många år tillbaka utnyttjar (med varierande resultat).

Det finns exempel på återtåget av ransomware med start runt 2005. Ser man till deras adaption av nycklar med fler bitar, så har den varit snabbare än hos resten av oss. I juni 2006 noterades Gpcode.AG med en 660-bitars RSA publik nyckel. Två år senare noterades Gpcode.AK med en 1024-bitars RSA nyckel. Industrin såg inte det riktiga återtåget förrän ett par år senare, men då fick även allmänheten upp ögonen. Året var 2013, och CryptoLocker fick en väldigt bred spridning.

Det finns även exempel på Ransomware som inte har nyttjat kryptering alls, utan med rättigheter utifrån operativsystemet begränsade tillgången, eller via andra tillvägagångssätt skapar ett övertygande argument att det är pengar som gäller.

Leakware är även det ett exempel på alternativa spår, men även om metoder kan skilja, så är slutklämmen fortfarande det samma, pengar. [1] [2]

Var är vi?

Men, däremot spridningen är för oss i Sverige fortfarande ganska färsk, med Sverige som marknad. En av de fortfarande (för mig) underhållande varianterna var från ”Den Svenska IT-Polisen IT-Säkerhet” (det fanns fler, baserat på samma plattform) där betalalternativen fortfarande överträffar den kommersiella, nästan även idag  [3]. För mig som lämnat endpoint lite åt sidan till mina kollegor som istället andas det till vardags, känns det som att vi blivit en marknad med mer generell närvaro. Det är lite som en reklamsnutt på tv- vi pratar Svenska! Det är här kopplingen till den senaste veckan kommer in. De ”fakturor” vi har sett har haft grafiskt behagliga upplägg, och välstrukturerade meningar med få stavfel. De har varit tillräckligt för att skapa en känsla av relation. Den känslan har överkommit att man som användare behöver genomgå en ganska lång procedur för att lyckas få ner den payload som skapar scenariot – tillfället då vi släpper in Ransomware.

Men, konkret så är det den första kontakten som är viktigast att hålla på rätt språk – det blir nog en dålig kick-back om leveransen kommer på ett asiatiskt språk till en 70-årig pensionär som inte pratar mer än svenska med en skvätt engelska. Igen, det ligger i vår mänskliga natur att kliva in och hjälpa till – det har bevisats flertalet gånger med hjälp av dåliga formuleringar och trasigt språk. Vi ser gärna förbi en eventuell illasinnad avsikt – vår nyfikenhet begränsar oss i att förstå (och applicera en säkrare tankegång) att det där USB-minnet till exempel inte är tillförlitligt att stoppa in i arbetsmaskinen.

Leverera rätt

Hur har leveransformerna ändrats? Inte tillräckligt! Nu pratar jag inte om Malware/Greyware – utan för vår egna data. Den vi alla förväntar oss, på jobbet, hemma, i telefonen. Det är här jag tror vi kan skapa andrummet vi behöver. Vi behöver åter klassa internet som okänt i stort. Hur kan vi fortsätta idag med att tillåta all typ av media på samma medium från alla parter, kända som okända?

Här är ett förslag:

Etablera separata betrodda överföringszoner och metoder där avsändare och data inte är okänd. Skapa yta där vi vänder på den kända fördelningen av datatyp. Ta bort din data från kanaler där du vet Ransomware florerar.

Jag menar följande – leveransmetodiken har inte ändrat sig speciellt för skadlig kod. Jag personligen håller inte med om att USB-minnen är revolutionerande (se första exemplet med PC Cyborg). Det som är revolutionerande för mig är att det nu finns investeringsmöjligheter i att rikta sig mot specifika organisationer – alternativt specifika nivåer inom flera organisationer. Det finns det vill säga en tillräcklig mängd pengar att tjäna här för att en del manuellt arbete ska löna sig. Ekonomiska modeller går att tillämpa utan problem även för Ransomware – vad får jag för ROI? [4]

Hantera flödet

Yttre cirkeln (punkt ett här) är hantera (mail)flödet – bra som dåligt. Tillämpa de säkerhetsfunktioner som finns tillgängligt. Här är honeypots och sandbox-teknologi en billig investering där gråzonerna kan få mer spelutrymme – där det okända kan hanteras ytterligare en nivå som ett tillägg på exempelvis en antispamlösning. NSEC har redan detta koncept färdigt som tjänst. Mailen har bytt skepnad (jag bävrar inför dagen då de är bättre strukturerade än de riktiga mailen), men med en säkerhetsstruktur som är anpassad för nuläge och ett steg framåt, så får ni möjligheten att hantera verkligheten.

Andra punkten – hantera och klassificera trafik – bra som dåligt. Igen, tillämpa de säkerhetsfunktioner som finns tillgängliga. Här kliver sandbox in igen, tillsammans med Deep Inspection och Application Control som grundflaggor att sätta ner i sitt trafikflöde. Här pratar jag Next Generation Firewall (som NSEC har färdigt som koncept och tjänst). Trafiken har ökat ordentligt, se till att hinna med att titta på ALLT som behövs tittas på.

Inre cirkeln. Tredje punkten – Endpoint – sista anhalten, eller starten där kod kan sprida sig ifrån. Hela industrin är enade i att ett system inte går att klassa som säkrat om den enda säkerhetslösningen är antivirus. Bara definitionen antivirus idag betyder oavsett tillverkare mycket mer än vad det gjorde för ett par år sedan. Det ställer högre krav på infrastrukturen runt om. Här finns det en stor potential i funktioner som går att tillämpa direkt – applikationskontroll, sandbox direkt på enheten, webbfilter, granulära regelverk som samverkar mellan signaturbaserade grundskydd och mer kompetenta, som lär sig hur din maskin arbetar (ex: machine learning). Självklart tillhandahåller NSEC även det som tjänst.

Den stora cirkeln. Fjärde punkten – Dedikerad personal. Denna delar jag upp i två segment, reaktivt och proaktivt. NSEC SOC har båda dessa delar. Vi har operatörer som arbetar med båda delarna. Deras förutsättningar är olika, men knyts ihop av en till typ av roll. Analytikern. Det lever en analytiker i oss alla på NSEC, men vi har även ett dedikerat team som är just detta. Det är personalen som går på djupet – de som hjälper till vid de reaktiva insatserna och hjälper till för de proaktiva momenten. Ett av våra största hjälpmedel är loggning från hela cirkeln. För varje typ av källa, kompletterar vi cirkeln. Det är även här som tillverkare skapar nya ytor – exempel: McAfee har DxL, Fortinet har sitt Security Fabric.

Kontrollera flödet

Möjligheterna är många – och det är här NSECs konsulter kommer in. Vi kan hjälpa er framåt, med produkt, eller process, eller båda.

Inflöde och utflöde. Att göra avvikelser i inre eller yttre cirklar är normalläget – men det ger oss mindre spelutrymme, och högre procents felmarginal (än isolerad lösning).
Låt oss titta ett steg till – överföringsplattformar.
Säkra upp genom att förenkla och dela upp flödet med kontrollfunktioner. Ett exempel här kan vara att tillämpa kryptering själva, men att ta bort de manuella momenten. Mailar ni fakturor till varandra? Automatisera då flödet och avveckla personen som part som bedömer om det är ett legitimt eller inte. Låt personalen hantera själva datan istället, låt de slippa kontrollera överföringen.
Ta bort transportmetoden mail. Har ni en etablerad väg in för fakturor som ni tar bort från det stora flödet, vinner ni redan där även prestanda och tid. Mailar ni ut fakturor idag? Skapa en plattform för att ge ut denna information om det inte går att etablera en liknande väg för datan som exemplet för inkommande. Denna plattform kan bygga på web, eller på äldre teknik. Huvudsaken här är att ni kan skapa en separerad, och säkrad överföring.

 

/Mvh

Björn Nilsson Technical Business Manager – Network Security

[1] – https://web.archive.org/web/20060610040400/http://ciac.org:80/ciac/bulletins/a-10.shtml
[2] – https://en.wikipedia.org/wiki/Ransomware
[3] – https://polisen.se/Arkiv/Nyhetsarkiv/Gemensam/Ny-form-av-datorbedrageri/
[4] – http://www.darkreading.com/analytics/cybercrime-can-give-attackers-1425–return-on-investment/d/d-id/1320756