Představujeme řešení PHASR (Proactive Hardening and Attack Surface Reduction) pro systémy Linux a macOS

Vzhledem k tomu, že Linux dominuje cloud-native infrastruktuře a macOS se stává standardem pro vysoce ceněné cíle v řadách vývojářů a vrcholového vedení, přestala být útočná plocha orientovaná výhradně na Windows. Moderní scénáře útoků zneužívají legitimní binární soubory v rámci techniky Living off the Land (LOTL) – tedy předinstalované, důvěryhodné systémové nástroje – k tomu, aby maskovaly škodlivou aktivitu za běžný provoz a obešly standardní detekční telemetrii.

V reakci na tento vývoj rozšiřuje Bitdefender svou technologii Proactive Hardening and Attack Surface Reduction (PHASR). K dosavadním možnostem zabezpečení pro Windows tak v rámci sjednocené bezpečnostní platformy GravityZone přidává podporu pro systémy Linux a macOS.

Prevence: První linie obrany

GravityZone PHASR tvoří základní pilíř vaší strategie prevence. Využívá behaviorální engine poháněný umělou inteligencí, díky kterému posouvá bezpečnost od pasivní detekce k aktivnímu posilování odolnosti (hardeningu). PHASR nepřetržitě analyzuje aktivitu uživatelů i aplikací a pro každou kombinaci ‚stroj–uživatel‘ vytváří unikátní behaviorální profily. To vám umožňuje identifikovat a uzavřít nadbytečné vstupní body a překonat omezení zastaralých statických pravidel. Hrozby tak neutralizujete proaktivně, přímo v místě jejich vzniku.

PHASR zajišťuje konzistentní a granulární (detailní) ochranu v prostředích Windows, macOS a Linux, pokud je nasazen jako součást balíku Bitdefender Endpoint Security Tools (BEST) v rámci ucelené platformy GravityZone. Pro organizace, které chtějí tyto funkce integrovat do již existující bezpečnostní architektury třetích stran, je PHASR k dispozici také jako samostatný agent pro systémy Windows a macOS.

Na rozdíl od univerzálního bezpečnostního řešení implementuje PHASR adaptivní obranu, která uživatele nijak neomezuje. Poskytuje detailní blokování na úrovni jednotlivých akcí, které selektivně omezuje vysoce rizikové chování, aniž by narušilo legitimní používání systémových nástrojů.

Příklady z praxe:

• Na Linuxu: Místo úplného zakázání utility shred můžete specificky omezit pouze její schopnost měnit oprávnění souborů pro neoprávněný zápis.

• Na Windows: Můžete omezit PowerShell tak, aby nespouštěl kódované skripty nebo nevytvářel externí síťová spojení, zatímco jeho základní administrativní funkce zůstanou plně dostupné.

PHASR nabízí dva provozní režimy navržené tak, aby vyvažovaly automatizaci s administrativním dohledem:

• Autopilot: Tento režim plně automatizuje správu restrikcí na základě poznatků o chování uživatelů a systémů, které jsou řízeny umělou inteligencí.

• Direct Control: Poskytuje konkrétní a podložená doporučení pro detailní revizi a manuální provedení zásahu.

Díky tomu můžete svou strategii obrany přesně přizpůsobit v rámci pěti hlavních vektorů útoku:

• Binární soubory typu „Living off the Land“ (LOTL) : Předinstalované administrativní a systémové nástroje, které útočníci zneužívají k provádění škodlivých aktivit. Jejich cílem je „splynout s davem“ v rámci běžné telemetrie systému a nevyvolat podezření.

• Tampering Tools (Nástroje pro manipulaci / Tampering): Pomocné programy sloužící k modifikaci softwarových aplikací nebo k obcházení bezpečnostních mechanismů s cílem vyřadit z provozu obranné nástroje (např. antivirus či EDR).

• Pirátství a nelegální software: Software využívaný k obcházení licenčních podmínek a legálního ověřování aplikací.

• Miners (Těžební software / Minery): Nástroje pro neautorizovanou těžbu kryptoměn, které zneužívají systémové prostředky (výkon CPU/GPU), čímž výrazně snižují stabilitu a výkon infrastruktury.

• Nástroje pro vzdálenou správu: Legitimní utility pro vzdálený management, které útočníci zneužívají jako zbraň k získání neoprávněného přístupu nebo k usnadnění krádeže dat.

I v případě, že byl konkrétní úkon nebo nástroj zablokován automatickým systémem či vaším manuálním zásahem, funkce Žádost o přístup (Request Access) zajišťuje kontinuitu provozu. Pokud uživatel potřebuje pro výkon legitimního pracovního úkolu příkaz nebo nástroj, který podléhá omezení, může si o přístup jednoduše zažádat.

Jakmile žádost schválíte, přístup je udělen a systém PHASR automaticky aktualizuje pravidla chování; engine nicméně i nadále monitoruje vzorce využití pro budoucí změny, aby zajistil, že váš útočný povrch zůstane minimální.

Jak funguje PHASR při neutralizaci protivníka?

Pro ilustraci dopadu řešení PHASR na vaši obranu si proberme praktický scénář útoku na systém Linux, kde útočníci získají přístup zneužitím kompromitovaných přihlašovacích údajů nebo nespravovaných zařízení. Tento proces obvykle začíná fází tichého průzkumu (reconnaissance), kdy protivník pomocí nástroje nmap mapuje topologii sítě a identifikuje cíle vysoké hodnoty.

Aby si zajistili možnost návratu i po uzavření původního vstupního bodu, často zneužívají administrativní nástroje jako adduser k vytvoření skrytých „backdoor“ účtů pro dlouhodobou persistenci. Spojení může být navázáno prostřednictvím mechanismů Command-and-Control (C2), jako je dnscat2, který jim umožňuje tunelovat ukradená data skrze standardní DNS provoz, čímž obcházejí tradiční firewally.

K zahlazení stop a vyhnutí se forenzní analýze mohou útočníci zneužít utilitu shred k přepsání kritických protokolů (logů) a forenzních důkazů ve snaze oslepit vyšetřovatele. V cloudových Linux prostředích průnik často vrcholí monetizací zdrojů, kdy útočníci nasadí těžební software (např. cpuminer) k odcizení výkonu procesoru, což vede k degradaci systému a zvýšení provozních nákladů.

Jak zasahuje PHASR

PHASR aplikuje restrikce – ať už prostřednictvím automatizovaných nebo manuálních akcí – na každý z nástrojů v tomto scénáři, stejně jako na konkrétní aktivity v rámci těchto nástrojů. To přináší dvě klíčové výhody:

• Redukce cest útoku: Výrazně se zužují možnosti, jak se útočník může ve vašem prostředí pohybovat.

• Vynucená detekce: Restrikce PHASR nutí útočníky „dělat hluk“ místo toho, aby snadno splynuli s běžným provozem.

I když se útočníkovi podaří přihlásit, jeho operační schopnosti jsou limitovány. To umožňuje týmům bezpečnostních operačních středisek (SOC), jako je například Bitdefender MDR, včasnou detekci a okamžitou nápravu.

Shrnutí

Rozšíření modulu PHASR na hlavní operační systémy posiluje preventivní vrstvu vaší ochrany a mění váš bezpečnostní postoj z reaktivního na proaktivní. Již nejde pouze o dopadení útočníka přímo při činu, ale o efektivní zmenšení plochy útoku. Tím, že PHASR blokuje nástroje typu LOTL (Living-off-the-Land), nutí útočníky k „hlučnému“ chování, které je snadno odhalitelné.

Více informací o modulu PHASR a jeho přínosech naleznete na stránce Bitdefender GravityZone PHASR.

Pokud preferujete detailnější a techničtější informace o schopnostech PHASR, navštivte Bitdefender TechZone.