Operational Whitepaper Wat doet RedSocks en hoe gaat RedSocks te werk

Transcriptie

1 1 Operational Whitepaper Wat doet RedSocks en hoe gaat RedSocks te werk

2 Inhoudsopgave Introductie... 3 Wat is Malware?... 3 Hoe RedSocks MTD werkt... 3 De dode hoek in beveiliging... 4 Meldingen... 4 Lijsten van Schadelijke Indicators... 4 Constant waakzaam tegen malware... 5 RedSocks Malware Intelligence Team... 5 Grootschalige Malware Analyse... 5 Grootschalige malware controle... 6 Meer dan Malware Detectie... 6 Analyse van netwerkverkeer geschiedenis... 6 Academische onderzoeks projecten... 6 Kwaadaardig gedrag... 7 Diefstal van gegevens... 7 Misbruik van Resources... 7 Implementatie... 8 Overzicht... 8 Maximale Privacy... 8 Onmiddellijk effect... 8 Samenvatting redsocks

3 Introductie Dit document introduceert een aantal belangrijke concepten over malware en hoe de RedSocks Malicious Threat Detection (MTD) oplossing effectief malware kan detecteren die gevaren met zich meebrengt. Wat is Malware? Malware is software met kwaadaardige bedoelingen. Het kan hardware en software in uw netwerk infiltreren en beschadigen door activiteiten uit te voeren met de bedoeling om uw bedrijf processen te hinderen. Malware installeert zichzelf onmerkbaar op laptops, computers, servers en andere apparaten. De lijst van apparaten die gevaar lopen is extensief: tablets, smartphones, telefoon systemen, printers, netwerk-switches, webcams en netwerk routers; in feite kan elk aangesloten apparaat worden geïnfecteerd door malware. Off-premise gevirtualiseerde hosted services (zoals cloud-diensten) zijn ook vaak gevoelig voor malware-infecties. Malware is bijzonder gevaarlijk omdat het extreem onvoorspelbaar is. Net als een kameleon heeft malware de mogelijkheid om zijn eigen functionaliteit (de pay-load) per direct te veranderen. Dit kan op afstand per uur, dagelijks en wekelijks worden aangepast. De mogelijkheid van malware om zijn pay-load te veranderen maakt het onmogelijk om klassieke digitale vingerafdruk methoden, of statische analyse te gebruiken om de functionaliteit en activiteiten van malware te bepalen. Zodra malware wordt gedetecteerd op een apparaat waar het al actief is geweest, is het onmogelijk om te bepalen wat voor schade deze heeft aangericht. Om dit risico te beperken, moet malware gedetecteerd worden en zo snel mogelijk worden verwijderd. Hoe RedSocks MTD werkt Security producten proberen over het algemeen vaak om malware-infecties te voorkomen door het inspecteren van inkomende code, scripts en andere content. RedSocks, echter, maakt gebruik van een andere aanpak; RedSocks Malicious Threat Detection (MTD) richt zich op de communicatie kenmerken van malware die zich op uw apparaten heeft geïnstalleerd. Deze methode biedt direct een melding wanneer een apparaat wordt besmet en naar buiten communiceert. Terwijl andere security producten moeite hebben met het reinigen van bestaande geïnfecteerde omgevingen, heeft RedSocks dat niet. Zodra de RedSocks MTD geplaatst wordt in een nieuwe omgeving zal deze moeiteloos aanwezige malware opsporen. Om malware te detecteren, controleert RedSocks alle verbindingen die gemaakt worden met het internet. Om dit te doen heeft RedSocks een oplossing ontwikkeld die in te zetten is via hardware en software. Dit is een op maat gemaakte server die geplaatst wordt op de buitenste rand van het netwerk. De oplossing zorgt ervoor dat uitgaand netwerkverkeer wordt geanalyseerd op basis van meta-data (zogenaamde 3 redsocks

4 flowgegevens). Door het analyseren van meta-data wordt uw privacy gewaarborgd. RedSocks kijkt dus nooit naar de content van uw bestanden. Om kwaadaardig gedrag over een langere periode van tijd te detecteren, maakt RedSocks gebruik van heuristische analyse op basis van historische verkeersgegevens statistieken. Door deze functie is het mogelijk om uiterst nauwkeurig malware te detecteren die er bij traditionele beveiligingsproducten door heen glipt. De dode hoek in beveiliging Een onderscheidend aspect van RedSocks, is dat de MTD uitgaand netwerkverkeer controleert op schadelijke eigenschappen. Deze aanpak is compleet anders dan traditionele beveiliging, die doorgaans alleen inkomende netwerkverkeer controleert. Een firewall, bijvoorbeeld, keurt inkomend verkeer goed door inkomend verkeer te matchen aan een eerder uitgaand verkeer verzoek. Een anti-virus product keurt binnenkomend verkeer op basis van de inhoud. Beide methoden hebben echter dode hoeken vanwege hun enige afhankelijkheid van inkomend verkeer monitoring. Uitgaand netwerkverkeer onthuld altijd op welke manier, met welke volume, in welke landen en hoe frequent client-apparaten in contact staan met bestemmingen op het internet (dat wil zeggen, altijd detecteren van malware-activiteit). RedSocks MTD staat naast uw bestaande veiligheidsmaatregelen en fungeert als een aanvullende waarborg die in staat is alle dode hoeken die traditionele producten niet controleren, alsnog in kaart te brengen. Waar traditionele oplossingen falen, zal RedSocks uw systeem beschermen. Meldingen De RedSocks oplossing wordt op afstand beheerd via een uiterst beveiligde web interface. Deze interface geeft een handig overzicht van de meldingen met Indicators of Compromise. Een overzicht met waarschuwingen wordt weergegeven in een dashboard met lijsten die de herkomst en de bestemming van malware weergeven. Waarschuwingen kunnen ook via worden verzonden naar de juiste leden van uw IT team. Aanvullend kunnen waarschuwingen worden verzonden als syslog-berichten naar een passend systeem in uw infrastructuur (bijvoorbeeld een Security Information en Event Management (SIEM) systeem). Lijsten van Schadelijke Indicators Om zo snel mogelijk malware te detecteren wordt de MTD elk uur bijgewerkt met de nieuwste malware lijsten. Deze lijsten worden geproduceerd door RedSocks. Zodra netwerkverkeer overeenkomt met een indicator in deze lijst, wordt er meteen een waarschuwing gegeven. Meerdere lijsten worden voortdurend bijgewerkt, zoals IP Blacklists (gevaarlijke IP bestemmingen), kwaadaardige indicator lijsten (bekende malware risico's) en white-lists (beleids uitzonderingen voor bepaalde apparaten). 4 redsocks

5 Constant waakzaam tegen malware RedSocks Malware Intelligence Team Het RedSocks Malware Intelligence Team (RSMIT) is een groep van hoog opgeleide deskundigen die gespecialiseerd zijn in malware. Hun primaire taak is om risicoanalyses te ontwikkelen en het samenstellen van lijsten met kwaadaardige indicatoren op een 24/7 basis. De resultaten van hun malware onderzoek wordt continu geïmplementeerd in onze oplossing door middel van updates. Een belangrijk aspect van deze kwaadaardige indicatoren zijn items die bepaalde Internet IP-bestemmingen beschrijven; Helaas vertoont niet alle malware gedrag die af te stemmen is met IP adressen. Dergelijke gecamoufleerde malware kan alsnog door de MTD worden opgespoord door het gebruik van heuristische analyse. Deze detectiemethode gebruikt heuristics die worden opgenomen in de MTD om kwaadaardig gedrag, zelfs wanneer er geen IP-bestemmingen zijn, op te sporen. Deze heuristische analyse voegt een uitermate belangrijk laag van bescherming voor apparaten in uw netwerk. Het Malware Intelligence Team is de ruggengraat in onze strijd tegen malware. Het team verzameld niet alleen kwaadaardige indicatoren, maar het Intelligence Team schrijft ook algoritmen voor detectie van kwaadaardig gedrag. Met andere worden, RedSocks kan inteliligente malware ontdekken zelfs voordat gevaarlijke code is geschreven! Het team blijft altijd op de hoogte van de laatste IT trends en IT-risico's. Hierdoor is het Malware Intelligence Team in staat om malware voor te zijn en te blijven, terwijl uw infrastructuur 24/7 veilig blijft. Grootschalige Malware Analyse Automatisering in malware onderzoek is een belangrijk onderdeel om de snelheid en effectiviteit zo hoog mogelijk te houden. Dagelijks worden meer dan stukken malware automatisch geanalyseerd in de RedSocks Labs. Op deze manier houdt RedSocks nieuwe kwaadaardige trends nauwlettend in de gaten; Een voorbeeld hiervan zijn nieuwe methodes herkennen die worden gebruikt om specifieke apparaten te hacken. Nieuwe rassen van malware, worden in ons eigen lab vertaald in nieuwe algoritmes en op basis hiervan worden vervolgens nieuwe kwaadaardige indicatoren ontwikkeld en geïntrigeerd in ons product door middel van updates. Ongeveer gevaarlijke IP adressen worden per uur verzonden naar de MTD deze IP adressen worden in real-time verzameld door ons team. RedSocks zet zich ook extra in om gespecialiseerde malware te detecteren. Steeds meer criminelen en vijandige staten richten zich op specifieke bedrijven of bedrijfstakken met behulp van gespecialiseerde malware. Om u te helpen dit te bestrijden, hebben wij een groot netwerk van partners die continu updates biedt met de nieuwste malware samples. Deze collectie bevat vaak malware die zich richt op Nederlandse en andere West-Europese instanties, met name binnen bepaalde afdelingen zoals R&D, verkoop, financiën, bepaalde data-opslag instanties, productie en onderzoek instanties of overheidsdiensten. 5 redsocks

6 Omdat er vaak specifieke malware wordt geschreven, hebben malware acitiviteiten in dit gebied tijdelijk extra aandacht nodig. De RedSocks labs is vastbesloten snel te ontwikkelen en aanvullende algoritmes uit te voeren, zodat onze oplossing in staat is om effectief om te gaan met dit soort aanvallen. Grootschalige malware controle Samen met onze partners controleren wij continu tienduizenden botnets in real time. Wereldwijd, controleren wij ook miljoenen geïnfecteerde systemen die risico s bevatten. Het resultaat hiervan wordt geïmplementeerd in onze lijsten en in onze algoritmes. Meer dan Malware Detectie Analyse van netwerkverkeer geschiedenis De RedSocks oplossing is in staat om netwerkverkeer geschiedenis opnieuw te evalueren en te testen tegen nieuwe inzichten die verkregen zijn door nieuwe updates. Bij ontvangst van nieuwe kwaadaardige indicatoren voor de algoritmen, start het apparaat automatisch een nieuwe analyse van het netwerkverkeer in combinatie met de geschiedenis in het bestand. Hiervoor slaat het apparaat tot 6 maanden metadata van het netwerkverkeer op. Deze functie maakt het voor de RedSocks MTD mogelijk om actief malware te detecteren in een zeer korte tijdspanne. Ook kunt bepalen welke apparaten in gevaar zijn geweest als gevolg van een bepaalde kortstondige malware-uitbraak die bijvoorbeeld is veroorzaakt door een gecompromitteerd populaire website. Advanced Persistent Threat (APT) of stealth malware maakt zelden contact met de makers, als ze dit doen is het voor nieuwe instructies en verzendt het nauwelijks data, waardoor het normaal gesproken lastig te detecteren is. Het opnieuw analyseren van historisch netwerkverkeer maakt de detectie van bepaalde typen APT s mogelijk. Academische onderzoeks projecten In nauwe samenwerking met universiteiten past het RedSocks Malware Intelligence Team nieuwe veelbelovende innovatieve academische analyses en algoritmen toe, in praktische en effectieve MTD detectiemethoden die dagelijks gebruikt kunnen worden. Het RedSocks apparaat beschermt ook tegen kwaadwillige, frauduleuze, roekeloos en risicovolle handelingen zoals ongewenst gedrag van de gebruiker, onjuist gebruik van apparaten, misconfiguratie, gekaapt instellingen, misbruik van IT-middelen en misbruik van energie. Met deze extra detectiemogelijkheden, fungeert RedSocks als uw partner in de handhaving van het computer- en netwerk-gebruiksbeleid van uw bedrijf. Configuratie van de RedSocks Malicious Threat Detector (MTD) ten behoeve van uw computer- en netwerk-gebruikersbeleid kan worden bereikt via aanpassingsopties binnen de MTD webinterface. Individuele detectie categorieën kunnen worden in- of 6 redsocks

7 uitgeschakeld, waardoor u de mogelijkheid heeft om het bedrijfsbeleid af te dwingen vanuit een centrale locatie. Daarnaast biedt de MTD een black-list en white-list om voor bepaalde apparaten uitzonderingen te maken op het beleid. White-lists wordt gebruikt om uitzonderingen voor specifieke klanten in staat te stellen terwijl de black-list wordt gebruikt om bepaalde Internet bestemmingen te signaleren, zoals bedrijfsspecifieke sites of diensten die niet mogen worden gebruikt of bezocht. Kwaadaardig gedrag De detectie van kwaadaardig gedrag omvat verbindingen met Tor-netwerken, het gebruik van anonimiserende proxies, gebruik van verdachte chat-protocollen, het gebruik van mailservers en DNS-servers buiten uw eigen netwerk en contact met een hoog risico landen via geo-fencing. Dit gedrag kan worden geïnitieerd door ofwel gebruikers of malware. Detectie kan helpen bij het identificeren van gebruikers met potentieel onwettig en / of frauduleuze bedoelingen. Het Malware Intelligence Team werkt onvermoeibaar om nieuwe algoritmen te ontwerpen die kwaadaardig gedrag kunnen ontdekken voordat de malware code zelf wordt gecreëerd. Diefstal van gegevens Het overzetten van bestanden buiten uw on-premise beheerde opslagfaciliteiten vormt een hoog risico op het lekken van gegevens, de blootstelling en diefstal van gegevens. Het risico van diefstal van gegevens is significant, via het gebruik van cloud-opslagdiensten, instant messaging en remote access tools. Cloud storage is in het bijzonder aantrekkelijk en een eenvoudige manier om grote hoeveelheden informatie buiten het bedrijf te versturen. Gebruikers kunnen onbedoeld worden verleid tot risicovol gedrag met zeer toegankelijke cloud services of kunnen door het gebruik van deze tools opzettelijk informatie buiten het bedrijf versturen. Daarnaast kan malware gebruik maken van cloud-based tools om gestolen gegevens over te dragen. Misbruik van Resources Het misbruik van de bandbreedte van het netwerk, opslagcapaciteit, rekenkracht en zelfs energie kan worden ingesteld door gebruikers of malware. Een voorbeeld is de ondersteuning van cryptocurrency infrastructuren zoals Bitcoin. Op het moment van dit schrijven, vergt het ondersteunen van cryptocurrency infrastructuren beter bekend als coin mining - een aanzienlijke hoeveelheid rekenkracht en vertegenwoordigt een aanzienlijk deel van de huidige malware. Mining wordt voor winst gedaan, het misbruik maken van de processing power van apparaten in uw netwerk (resulterend in energie misbruik) is verleidelijk voor het maximaliseren van de winst. Om dit ongewenste gedrag op een netwerk te detecteren, controleert de MTD de apparaten in het netwerk die onderdeel zijn van cryptocurrency mining pools en P2P netwerken. 7 redsocks

8 Implementatie Overzicht Het implementeren van RedSocks MTD heeft geen impact op uw netwerk: het apparaat voedt zich met flow-data vanaf uw router. Flow-data is een geconcentreerde weergave van uw netwerkverkeer en is al aanwezig in de meeste netwerken; derhalve is er geen verandering van bestaande netwerkapparatuur als de MTD wordt geïmplementeerd. Flow-data wordt on-the-fly door router gegenereerd en wordt eenvoudig in de MTD ingevoerd voor verwerking. Voor de verwerking van deze gegevens door de MTD zijn geen externe middelen nodig, het vertraagt uw interne netwerkverkeer niet en heeft geen invloed op de internet-gerelateerde activiteiten. Een kleine wijziging in de configuratie in de instellingen van uw router is alles wat er nodig is om de MTD te voorzien van netwerk flow-data voor analyse. De MTD kan verschillende vormen van flow-data verwerken, met of zonder een template. Informeer ons over uw netwerk en kunnen wij u adviseren met betrekking tot de compatibiliteit. Maximale Privacy De privacy van uw gegevens is van vitaal belang voor RedSocks en de uitvoering van de MTD weerspiegelt dit. RedSocks MTD is een oplossing die op locatie van uw bedrijf of organisatie kan worden geïnstalleerd. Alle monitoring, verwerking en waarschuwingen worden op locatie en met een doel uitgevoerd. Onze malware-detectie-oplossing biedt een autonome werking die maximale privacy faciliteert: netwerkverkeer analyseren, waarschuwingen en de statistieken worden binnen uw bedrijf netwerkomgeving gehouden. Externe interactie is beperkt tot een absoluut minimum en is beperkt tot het beveiligd ophalen van updates voor de nieuwe kwaadaardige indicatoren. Uiteraard kan de klant altijd kiezen om het gebruik en beheer van RedSocks uit te besteden aan een beheerd security operations centre. Aangaande transparantie en inzichtelijkheid in de functionaliteit van de MTD, is het mogelijk om de MTD volledig ge-audit te hebben. Om de controle te vergemakkelijken, wordt elk aspect van RedSocks Malicious Threat Detection ontwikkeld door RedSocks zelf. Voor ons is de klant privacy en MTD transparantie een belangrijk aspect in het MTD ontwikkelingsproces. Onmiddellijk effect Onmiddellijk na de implementatie is het apparaat operationeel doeltreffend. Dit komt omdat de MTD gelijk de laatste lijst met kwaadaardige indicatoren laadt en inschakelt. Relevante waarschuwingen worden daarom direct gegenereerd, en gecompromitteerde apparaten in uw netwerk worden gelijk opgespoord. Om inzicht te geven in de interne processen van de MTD heeft het apparaat een handige dashboard homepage binnen haar web interface. Deze functie maakt een live 8 redsocks

9 overzicht van het detectie-proces en hier wordt de lijst met waarschuwingen weergegeven. Samenvatting De belangrijkste onderwerpen die in dit document besproken zijn onder meer: RedSocks MTD detecteert zowel onbekende als bekende malware en kwaadaardige gedragingen met behulp van zeer geavanceerde flow-data monitoring & heuristische technologie. Het apparaat controleert alle netwerkverbindingen met een lijst van ongeveer hoog risico IP adressen per uur. Dat wil zeggen dat elk uur een miljoen unieke IP-adressen naar het apparaat verstuurd worden. Alle verkeersstromen worden continu bewaakt voor hoog-risico-gedrag met behulp van tientallen algoritmen. Bij plaatsing in een bestaande omgeving, zal de RedSocks MTD moeiteloos malware detecteren die al maanden actief kan zijn. Het RedSocks apparaat kan de aanwezigheid van Advanced Persistent Threat (APT) malware feilloos detecteren met behulp van de herbeoordeling van netwerkverkeer geschiedenis over een lange periode van tijd. RedSocks, in combinatie met onze partners, houdt tienduizenden botnets in real-time over de hele wereld in de gaten. Waarvan de resultaten automatisch worden opgenomen in kwaadaardige indicator lijsten en worden gevoed aan de MTD. De MTD is niet afhankelijk van 1 enkele wijze van opsporing. Meerdere detectiemethoden worden toegepast om de aanwezigheid van malware nauwkeurig te bepalen, zoals een verzameling van heuristische regels om niet vastgestelde malware te onderscheppen. De implementatie van de MTD is gemakkelijk en heeft geen invloed op uw huidige netwerkinfrastructuur. Bovendien bezorgt de installatie van de MTD geen downtime. Wanneer uitgevoerd, zal de MTD onmiddellijk apparaten in het netwerk lokaliseren, die kwaadaardige taken uitvoeren en het netwerk in het gevaar brengen. Uw privacy wordt behouden door de MTD architectuur. Alle verwerking en meldingen worden gedaan binnen de grenzen van uw pand. 9 redsocks