A G DATA windowsos szoftvereibe beépített BEAST technológia viselkedéselemzéssel, gráfadatbázisok segítségével ismeri fel és hárítja el a komplex kibertámadásokat. Arnas Staude, a BEAST fejlesztője a megváltozott kibertámadási szokásokról, a fejlesztésről és a technológiáról beszélt.
– Milyen szerepe van a viselkedéselemzésnek a kártevők elleni harcban?
– Általában statikus és dinamikus elemzési módszereket használunk a kártevők elleni harcban. A statikus módszerek a gyanús fájlok tulajdonságait elemzik, mint a név tördelése, a használt karakterek, kódrészletek, a fájl mérete és a header tulajdonságai. Ilyenkor a gyanús fájlt nem kell futtatni elemzés közben. A dinamikus módszerrel futtatjuk a lehetséges kártevőt, és megfigyeljük viselkedését. A két módszer közötti különbség az, hogy a statikus elemzésben még futtatása előtt blokkoljuk a kártevőt, és minden kártevőcsaládra külön detektálási szabályokat kell alkotnunk. A dinamikus módszerekkel futtatás közben figyeljük meg a kártevő tevékenységét, és akkor blokkoljuk, ha kártékony tevékenységet végezne. Általában a viselkedésalapú szabályok segítségével egy sokkal általánosabb és hosszabb ideig érvényes védelmi módszert alkotunk meg.
Azt is tudjuk, hogy egy kártevő statikus tulajdonságai nagyon könnyen változnak. Például a bűnözők nagyon gyakran csomagolóprogramok segítségével változtatják a fájlok méretét és megjelenését, így az antivírusprogramok nem ismerik fel azokat azonnal. (A G DATA DeepRay azonban egy olyan technológia, mely megbízhatóan detektálja ezeket a kártevőket is – a szerkesztő.)
A kártevő viselkedését azonban sokkal nehezebb megváltoztatni, mint a programkódot. A kiberbűnözők nem tudják és nem is akarják a kártevő viselkedését módosítani. Ha ezt megtennék, akkor nem tudnák az operációs rendszer segítségével kiolvasni a jelszavakat vagy titkosítani a fontos adatokat. Röviden: nem tudnának semmilyen kárt okozni.
– Miért volt szükség az új eljárások kidolgozására?
– A viselkedéselemzés több éve a G DATA biztonsági megoldásainak része. A Behaviour Blocker komponens tisztességes munkát végzett, ám a hosszú matematikai képleten alapuló eredményt nem mindig értettük teljesen, ami megnehezítette a fals pozitív esetek megítélését.
Ezért egy teljesen új megközelítésből kezdtünk el fejleszteni. A BEAST név a BEhAviour Storage szavakból állt össze. Célunk az volt, hogy egy megérthető döntéshozatalt hozzunk létre. Szerettük volna részleteiben tudni és megérteni, mi is történik a gépeken. Ugyanakkor szerettük volna a meglévő technológiákat – a Bank Guard vagy Exploit Protection – is kombinálni az új viselkedéselemzéssel. Ezek a technológiák is anomáliákat észlelnek, de nem gyűjtenek arról adatokat, hogy az eltérések hogyan születnek.
– A viselkedéselemzés nagy problémája a fals pozitív találatok voltak – ezeket a BEAST hogyan előzi meg?
– A BEAST legnagyobb előnye a nyomon követhetőség, melynek segítségével pontosan megértjük, egy detektálás hogyan történik. Ez azért lehetséges, mert a BEAST alapja egy erőteljes gráfadatbázis, segítségével meg tudjuk jeleníteni a folyamatokat. Ez lehetővé teszi számunkra a kártevő viselkedésének célzott észlelését, fals pozitív eredmények nélkül. Ez azt is jelenti, hogy a szabályokat is könnyebben módosíthatjuk. A korábbi Behaviour Blocker egy hosszas matematikai képletet használt, és nem láttuk tisztán, hogy egy apróbb módosítás hogyan befolyásolja a teljes rendszer működését. Ezzel szemben több apró szabály létezik, melyeket könnyen módosíthatunk.
Továbbá a BEAST segítségével sokkal több tesztet futtathatunk. A gráfadatbázissal offline is szkennelhetünk, az ismert kártevők magatartási mintáit próbálhatjuk ki rajta, hogy az észlelést optimalizáljuk. Ha egy viselkedésmintát fals pozitívnak ismerünk fel, azt hozzáadjuk az adatbázishoz, így a BEAST kétszer ugyanazt a hibát nem követheti el. Emiatt sokkal kevesebb a fals pozitív a BEAST használatával.
– A BEAST egyik funkciója a retrospektív törlés, ez pontosan mit is jelent, hogy működik?
– A retrospektív az idő jellemzője, azt jelenti, hogy vissza tudunk nézni a múltba. Egy támadás jelei mindig ott vannak a fertőzés folyamatában: valaki meglátogatott egy szervert vagy kinyitott egy fájlt. Azonban mire felfedezzük, hogy egy kártevő van a rendszerben, ezek az indikátorok már nem léteznek, mert a kártevő kitörölte a korábbi tevékenységére vonatkozó adatokat, fájlokat. Azonban a BEAST segítségével ezek megvannak a gráfadatbázisban, így az egész fertőzési lánc elérhető, lenyomozható és visszafordítható.
– A mindennapi használatban mi a tapasztalat?
– A BEAST eléggé diszkrét, nagyon kevés támogatási kérés érkezik vele kapcsolatban, ami nagyon jó jel. Ez azt jelenti, hogy nagyon ritkán szakítjuk meg ügyfeleink munkáját fals pozitív találatokkal. A BEAST működését a gyűjtött adatokkal kísérjük figyelemmel, és látjuk, hogy a technológia rengeteg ügyfelet véd meg mindennap.
– Vannak olyan esetek, amikor a BEAST gyorsabban és jobban detektálta a kártevőket, mint a korábbi technológia?
– A két technológia jelentősen eltér egymástól, ezért nehéz őket összehasonlítani. Azt látjuk, hogy a többi komponenssel, például a Deep Rayjel rendkívül jó az együttműködés. Vagyis támogatja a meglévő technológiákat működés közben, és jobbá teszi azokat. A BEAST-et a statikus detektáláshoz szükséges adatgenerálásra is használjuk. A háttérben elemezzük az adatokat, ezek alapján optimalizáljuk folyamatosan a háttérfolyamatokat, így gyorsabb detektálást és jobb blokkolást érünk el. A technológia segítségével a dinamikus detektálás eredményeit közvetlenül a statikus detektálásba mentjük el, ezzel is megelőzve a megismert kártevők fertőzését. Ezzel párhuzamosan a védelmi szabályokat is jobban hozzáigazítjuk a mindennapi tapasztalatokhoz.
– A fejlesztési folyamat során milyen akadályokat kellett leküzdeni?
– A legnagyobb akadály a teljesítmény volt, hiszen a korábbi megközelítéstől eltérően a BEAST több számolási kapacitást igényelt. A technológia folyamatosan ellenőrzi az aktuálisan futó alkalmazás viselkedését az ismert minták alapján, ezért folyamatosan adatokat dolgoz fel. Ezért a magas teljesítményű folyamatok kidolgozása becslésünk szerint a fejlesztési munka felét tették ki. Nem kapkodtuk el, a BEAST fejlesztése öt évbe tellett. Az első körben egyedül dolgoztam, akkor nagyon nehéz volt, gyakran nem láttam a fától az erdőt. Azonban idővel fejlődött a csapat, és a közös munka meghozta a gyümölcsét. Megérte a fáradságot, büszkék lehetünk az eredményre.
Az igazi munka azonban most kezdődik, az összes lehetőséget még nem használtuk ki. Szerintem a BEAST alapját képezheti más nagyszerű technológiának. Ma a detektálás önmagában nem elég, szükség van a fertőzések kitakarítására is, így az ügyfél nincs egyedül, amikor adatai elvesztésével szembesül. A BEAST-re mindenképp érvényes Arisztotelész mondása, mely szerint az egész több, mint a részek összessége. Hiszen a technológia akkor mutatja meg igazán a benne rejlő lehetőségeket, mikor más komponensekkel dolgozik együtt.