Predstavujeme riešenie PHASR (Proactive Hardening and Attack Surface Reduction) pre systémy Linux a macOS

Vzhľadom na to, že Linux dominuje v cloud-native infraštruktúre a macOS sa stáva štandardom pre vysoko cenené ciele v radoch vývojárov a vrcholového manažmentu, útočná plocha už nie je zameraná výlučne na Windows. Moderné scenáre útokov zneužívajú legitímne binárne súbory v rámci techniky Living off the Land (LOTL) – teda predinštalované, dôveryhodné systémové nástroje – na to, aby zamaskovali škodlivú aktivitu za bežnú prevádzku a obišli štandardnú detekčnú telemetriu.

V reakcii na tento vývoj rozširuje Bitdefender svoju technológiu Proactive Hardening and Attack Surface Reduction (PHASR). K doterajším možnostiam zabezpečenia pre Windows tak v rámci jednotnej bezpečnostnej platformy GravityZone pridáva podporu pre systémy Linux a macOS.

Prevencia: Prvá línia obrany

GravityZone PHASR tvorí základný pilier vašej stratégie prevencie. Využíva behaviorálny engine poháňaný umelou inteligenciou, vďaka čomu posúva bezpečnosť od pasívnej detekcie k aktívnemu posilňovaniu odolnosti (hardeningu). PHASR nepretržite analyzuje aktivitu používateľov aj aplikácií a pre každú kombináciu „stroj–používateľ“ vytvára jedinečné behaviorálne profily. To vám umožňuje identifikovať a uzavrieť nadbytočné vstupné body a prekonať obmedzenia zastaraných statických pravidiel. Hrozby tak neutralizujete proaktívne, priamo v mieste ich vzniku.

PHASR zabezpečuje konzistentnú a granulárnu (detailnú) ochranu v prostrediach Windows, macOS a Linux, ak je nasadený ako súčasť balíka Bitdefender Endpoint Security Tools (BEST) v rámci komplexnej platformy GravityZone. Pre organizácie, ktoré chcú tieto funkcie integrovať do už existujúcej bezpečnostnej architektúry tretích strán, je PHASR k dispozícii aj ako samostatný agent pre systémy Windows a macOS.

Na rozdiel od univerzálneho bezpečnostného riešenia implementuje PHASR adaptívnu ochranu, ktorá nijako neobmedzuje používateľov. Poskytuje detailné blokovanie na úrovni jednotlivých akcií, ktoré selektívne obmedzuje vysoko rizikové správanie bez narušenia legitímneho používania systémových nástrojov.

Príklady z praxe:

• V systéme Linux: Namiesto úplného zakázania nástroja shred môžete konkrétne obmedziť len jeho schopnosť meniť oprávnenia súborov tak, aby nebolo možné do nich zapisovať bez oprávnenia.

• V systéme Windows: Môžete obmedziť PowerShell tak, aby nespúšťal skripty ani nevytváral externé sieťové pripojenia, pričom jeho základné administratívne funkcie zostanú plne dostupné.

PHASR ponúka dva prevádzkové režimy navrhnuté tak, aby vyvažovali automatizáciu s administratívnym dohľadom:

• Autopilot: Tento režim plne automatizuje správu obmedzení na základe poznatkov o správaní používateľov a systémov, ktoré sú riadené umelou inteligenciou.

• Direct Control: Poskytuje konkrétne a podložené odporúčania pre podrobnú kontrolu a manuálny zásah.

Vďaka tomu môžete svoju obrannú stratégiu presne prispôsobiť v rámci piatich hlavných smerov útoku:

• Binárne súbory typu „Living off the Land“ (LOTL): Predinštalované administratívne a systémové nástroje, ktoré útočníci zneužívajú na vykonávanie škodlivých činností. Ich cieľom je „splynúť s davom“ v rámci bežnej telemetrie systému a nevyvolať podozrenie.

• Tampering Tools (Nástroje na manipuláciu / Tampering): Pomocné programy slúžiace na modifikáciu softvérových aplikácií alebo na obchádzanie bezpečnostných mechanizmov s cieľom vyradiť z prevádzky obranné nástroje (napr. antivírus alebo EDR).

• Pirátske a nelegálne softvéry: Softvér používaný na obchádzanie licenčných podmienok a legálneho overovania aplikácií.

• Miners (ťažobný softvér / Minery): Nástroje na neautorizovanú ťažbu kryptomien, ktoré zneužívajú systémové prostriedky (výkon CPU/GPU), čím výrazne znižujú stabilitu a výkon infraštruktúry.

• Nástroje na vzdialenú správu: Legitímne utility na vzdialenú správu, ktoré útočníci zneužívajú ako zbraň na získanie neoprávneného prístupu alebo na uľahčenie krádeže dát.

Aj v prípade, že bol konkrétny úkon alebo nástroj zablokovaný automatickým systémom alebo vaším ručným zásahom, funkcia Žiadosť o prístup (Request Access) zabezpečuje plynulosť prevádzky. Ak používateľ potrebuje na vykonanie legitímnej pracovnej úlohy príkaz alebo nástroj, ktorý podlieha obmedzeniu, môže o prístup jednoducho požiadať.

Hneď ako žiadosť schválite, prístup bude udelený a systém PHASR automaticky aktualizuje pravidlá správania; systém však naďalej monitoruje vzorce využívania s ohľadom na budúce zmeny, aby zabezpečil, že vaša zraniteľnosť zostane minimálna.

Ako funguje PHASR pri zneškodňovaní nepriateľa?

Aby sme ilustrovali vplyv riešenia PHASR na vašu ochranu, pozrime sa na praktický scenár útoku na systém Linux, kde útočníci získajú prístup zneužitím kompromitovaných prihlasovacích údajov alebo nespravovaných zariadení. Tento proces zvyčajne začína fázou tichého prieskumu (reconnaissance), keď útočník pomocou nástroja nmap zmapuje topológiu siete a identifikuje ciele s vysokou hodnotou.

Aby si zabezpečili možnosť návratu aj po uzavretí pôvodného vstupného bodu, často zneužívajú administratívne nástroje ako adduser na vytvorenie skrytých „backdoor“ účtov pre dlhodobú perzistenciu. Pripojenie môže byť nadviazané prostredníctvom mechanizmov Command-and-Control (C2), ako je dnscat2, ktorý im umožňuje tunelovať ukradnuté dáta cez štandardný DNS prevádzku, čím obchádzajú tradičné firewally.

Na zahladenie stôp a vyhnutie sa forenznej analýze môžu útočníci zneužiť utilitu shred na prepísanie kritických protokolov (logov) a forenzných dôkazov v snahe oklamať vyšetrovateľov. V cloudových prostrediach Linuxu vrcholí narušenie často monetizáciou zdrojov, keď útočníci nasadia ťažobný softvér (napr. cpuminer) na odcudzenie výkonu procesora, čo vedie k degradácii systému a zvýšeniu prevádzkových nákladov.

Ako zasahuje PHASR

PHASR uplatňuje obmedzenia – či už prostredníctvom automatizovaných alebo manuálnych akcií – na každý z nástrojov v tomto scenári, ako aj na konkrétne činnosti v rámci týchto nástrojov. To prináša dve kľúčové výhody:

• Obmedzenie útočných ciest: Výrazne sa zužujú možnosti, ako sa útočník môže pohybovať vo vašom prostredí.

• Vynútená detekcia: Obmedzenia PHASR nútia útočníkov „vytvárať hluk“ namiesto toho, aby sa ľahko zlievali s bežnou prevádzkou.

Aj keď sa útočníkovi podarí prihlásiť, jeho možnosti sú obmedzené. To umožňuje tímom bezpečnostných operačných centier (SOC), ako je napríklad Bitdefender MDR, včasnú detekciu a okamžité odstránenie problému.

Zhrnutie

Rozšírenie modulu PHASR na hlavné operačné systémy posilňuje preventívnu vrstvu vašej ochrany a mení váš bezpečnostný prístup z reaktívneho na proaktívny. Už nejde len o zachytenie útočníka priamo pri čine, ale o efektívne zmenšenie plochy útoku. Tým, že PHASR blokuje nástroje typu LOTL (Living-off-the-Land), núti útočníkov k „hlučnému“ správaniu, ktoré je ľahko odhaliteľné.

Viac informácií o module PHASR a jeho výhodách nájdete na stránke Bitdefender GravityZone PHASR.

Ak uprednostňujete podrobnejšie a technickejšie informácie o schopnostiach PHASR, navštívte Bitdefender TechZone.