Na redakční otázky k hlavnímu tématu "Zabezpečení webového browsingu, URL filtering, škodlivé kódy" odpovídá Petr Kadrmas, Security engineer Eastern Europe, Check Point Software Technologies

1) Co představuje největší výzvu pro dnešní bezpečnostní řešení při odhalování škodlivých kódů ve webových stránkách?

Protože se web stal univerzální platformou pro firemní i soukromou komunikaci, včetně obchodních transakcí, je velmi atraktivním cílem pro sofistikované útoky, vytvářené za účelem získání osobních či firemních dat. Současné webové útoky mají tři základní atributy:

• Jsou velmi nenápadné. Škodlivé kódy jsou vytvářeny tak, aby nebyly na cílových počítačích identifikovatelné.

• Útoky jsou cílené, kód je velmi sofistikovaný, multivektorový a polymorfní (využívá více technik současně a navíc se dokáže sám modifikovat) a šíří se obvykle v malých dávkách, aby se vyhnul detekci na základě analýz internetového provozu.

• Dopady útoků jsou velmi závažné a mohou znamenat zcizení osobních a firemních údajů, krádež identity, případně převzetí kontroly nad cílovým strojem za účelem zapojení do rozsáhlé sítě „botnet“ pro pozdejší masivní distribuovaný útok tisíců počítačů.

2) Je řešením problému se škodlivými kódy ve webech používání jen vybraného software (např. prohlížečů)?

Používání specifického typu prohlížeče nedokáže zajistit bezpečnost webové komunikace, protože útočníci jsou dnes velmi organizovaní a dokáží vyhledávat a využívat slabiny aplikací a používaných technologií. Řada organizací navíc nemůže nasazovat v dostatečně krátké době nejnovější verze prohlížečů, které obsahují více bezpečnostních prvků, z důvodu kompatibility s interně používanými webovými aplikacemi.

3) Jak zajistit, že používané prohlížeče v organizaci budou mít vždy a všude správnou (tedy co nejbezpečnější) konfiguraci?

Pro firemní prostředí je nejvíce důležitá centrální správa aplikací. Z tohoto pohledu je nejvhodnějším řešením MS Internet Explorer, jehož centrální správa je dostupná prostřednictvím MS Group Policy Object managementu. Nicméně je třeba zdůraznit, že často ani centrální konfigurace a pravidelný update aplikací nedokáže plně zabezpečit ochranu před škodlivými kódy na Internetu. Z analýz National Vulnerability Database (nvd.nist.gov) vyplývá, že mezi aplikace s největším počtem vulnerabilit za rok 2010 patří všechny dnes nejvíce používané prohlížeče, přičemž Chrome, Safari a Firefox se umístili v první pětici a MS Internet Explorer na 12 místě. Na pátém místě se navíc umístil Adobe Acrobat Reader a o dvě místa dál Adobe Flash Player – aplikace integrované do prohlížečů ve formě pluginů.

4) Má větší smysl snažit se škodlivé kódy ve webech odhalovat (tedy použít nějaké detekční řešení), nebo klást větší důraz na to, aby se kódy vůbec nemohly spustit (správná konfigurace, omezení práv apod.)?

Škodlivé kódy jsou vytvářeny jako polymorfní a je tak v podstatě nemožné je efektivně detekovat pomocí standardních řešení na bázi signatur. Navíc jsou stále častěji penetrovány do webových stránek známých organizací, přičemž při jejich navštívení si oběť nainstaluje bez svého vědomí daný škodlivý kód do svého počítače. Tím je znemožněno i použití klasických řešení na bázi URL filtrace. Efektivní ochranu dokáže nabídnout jen řešení, které je na signaturách nezávislé a dokáže nabídnout i tzv. „Zero day protection“, tedy ochranu proti ještě neznámé hrozbě.

5) Nakolik je podle Vás filtrování URL účinné a smysluplné?

Řada rozsáhlých útoků posledních let využívala infiltraci webové stránky známých organizací. Např. v únoru 2009 byly použity stránky blogu kampaně Baracka Obamy my.barackobama.com pro šíření malwaru, v září 2008 byl malware penetrován na stránky Business Week pomocí SQL injection útoku. K šíření malwaru se také stále více používají populární sociální sítě jako Facebook. Tradiční filtrování URL z pohledu ochrany před škodlivými kódy je proto velmi těžko použitelné. URL filtrace má dnes ve firemním prostředí spíše význam blokování přístupu k nevhodnému webovému obsahu a eliminaci neproduktivního trávení času na webových stránkách, které nesouvisí s pracovní náplní. V této oblasti se začíná jako velmi zajímavé řešení prosazovat kontrola webových aplikací (web 2.0 application control), která dokáže blokovat přístup pro definované uživatele na specifické webové aplikace, včetně webových widgetů. Například je tedy možné povolit přístup na Facebook, ale ne už na Facebook Games.

6) Co můžete na poli webové bezpečnosti nabídnout ze svého portfolia zboží či služeb?

Check Point Software Technologies nabízí jako součást svého uceleného řešení ochrany koncových bodů unikátní modul WebCheck, který poskytuje víceúrovňovou ochranu uživatele a jeho počítače při přístupu na internet. WebCheck nabízí nezávislé řešení pro nejvíce rozšířené webové prohlížeče, MS Internet Explorer (IE) a Mozilla Firefox, a to pro širokou škálu verzí (IE 6-9 a Firefox 2-4), čímž poskytuje firmám dostatek času na přípravu migrace na nově uváděné verze prohlížečů.

Toto bezpečnostní řešení poskytuje ochranu před drive-by download riziky (nechtěná instalace škodlivého kódu z webových stránek), pomocí efektivní virtualizace a technologie sandboxing. Pokud uživatel navštíví nedůvěryhodný web (všechny webové stránky mimo těch, které vydefinuje administrátor jako důveryhodné), otevře se mu nová instance prohlížeče, která pracuje ve chráněném režimu. Případné požadavky na zápis na disk jsou ukládány do virtuálního souborového systému a registrů, a tak je případný škodlivý kód uzavřen ve virtuálním prostředí a nemůže napadnout fyzické prostředí počítače. V chráněném módu navíc prohlížeč pracuje pod speciálním účtem s velmi omezenými právy. Důležité je, že tato ochrana je efektivní nejen pro samotný prohlížeč, ale i pro všechny jeho plug-in moduly, jako například Flash, Acrobat a podobně.

Druhou vrstvou ochrany je integrovaný anti-phishing, který kombinuje jak známé phishing destinace (signaturní anti-phishing), tak heuristickou analýzu na základě inteligentního otisku nejpoužívanějších finančních a obchodních webových stránek. Tato technologie dokáže detekovat i nově vzniklé phishing weby, které napodobují legitimní webové stránky známých firem.

Třetí vrstvou ochrany webové komunikace je site status check. Webové stránky jsou podrobeny analýze na potenciální rizikovost na základě řady ukazatelů. Modul Check Point WebCheck dokáže efektivně ochránit nejen webovou relaci v samotném prohlížeči, ale i plug-in moduly, které jsou také častým cílem útoků.

WebCheck navíc doplňují další bezpečnostní řešení obsažené v modulárním klientovi Check Point Endpoint Security, a to moduly Antimalware, Program Control a Desktop firewall, které společně tvoří komplexní ochranu koncových stanic z pohledu síťové komunikace. Komplexní zabezpečení počítačů lze navíc doplnit o moduly datové ochrany: Full Disk Encryption a Media Encryption/Port Protection