ASPEN - Advanced Security Processing ENgine

Napredan softverski alat za obradu bezbednosnih informacija (Advanced Security Processing ENgine) je, zapravo, rešenje nove generacije, namenjeno prikupljanju i obradi podataka o cyber bezbednosti, nastalo na dokazanim principima upravljanja bezbednosnim incidentima i događajima (Security Incident and Event Management, SIEM). Platforma za obradu velikog broja podataka, tzv. Big Data Lake vam omogućava da vidite šta se dešava u svim vašim IT sistemima. U stanju je da vizuelno prati aktivnosti korisnika i detektuje napade koji se ne mogu otkriti antivirusnim programima, detektorima upada i bezbednosnim zidovima (firewall) nove generacije. U realnom vremenu analizira milione aktuelnih i istorijskih podataka i IT logova preduzeća, pa je u stanju da detektuje anomalije u ponašanju korisnika, sistema ili mreže i koreliše događaje i indikatore koristeći interne i eksterne izvore podataka.

ASPEN skuplja sirove podatke, obrađuje ih i pretvara u informacije. Na informacije se primenjuju korelaciona pravila u realnom vremenu ili po potrebi, a o potencijalno štetnim događajima se obaveštava korisnik. Na osnovu višegodišnjeg iskustva članova našeg tima, već je predefinisano preko 100 korelacionih pravila koja su implementirana u ASPEN, a postoji mogućnost definisanja i posebnih korelacionih pravila, skrojenih baš po potrebama klijenata.

Korelacionih pravila koja su se pokazala kao najzanimljivija u praksi, a koja prikazuju na najlakši način kroz realne primere kako ranjivosti sistema bivaju zaštićene:

1. Sprečavanje nelegalnog eksternog pristupa vašim računarima Normalni način rada svakog zaposlenog je da se (1) uloguje na svoj računar i na tom računaru (2) pokreće različitie procese (aplikacije) u skladu sa njegovim radom. Hakeri međutim koriste drugačiji način izvršavanje procesa na računarima - oni daljinski, bez lokalnog pristupa računaru pozivaju izvršavanje procesa i time uspevaju da nedetektovano vrše aktivnosti čak i dok na istom računaru radi regularni radnik. Ovo korelaciono pravilo detektuje upravo ovakav način izvršavanje procesa, koji je u 90% pokrenut od strane iregulanog korisnika. Da bi se detektovalo ovakvo izvršavanje, neohpodno je pratiti hiljade logovanja na računar, hiljade startovanja procesa i naći one koje se dešavaju na istom računaru, sa istim logon_id parametrom, pod uslovom da je logon bio uspešan sa tipom logovanja kroz mrežu za kojim sledi startovanje nekog lokalnog procesa pod privilegijama tog korisnika.

2. 50 antivirus programa vas štiti svakog dana Problem današnjih antivirusa je da tek 30% virusa mlađih od mesec dana bude prepoznato od strane anti-virus programa. To znači da postoji veliki rizik da mladi maliciozni programi nikada ne budu otkriveni ako su startovani u toku prvih mesec dana svoje startosti, čime haker dobija način ulaska u računar, može da ukloni taj virus i ostane unutrar računara zauvek. Da bi se to izbeglo, ASPEN koristi tehnologiju pamćenja svakog ikada startovanog procesa i retroaktivno proverava sve ikada startovane procese sa preko 50 antivirus programa svakog dana. Ukoliko se desilo da neki virus nije bio detektovan na dan startovanja, bar ćemo za nekoliko dana moći da otkrijemo da je on bio maliciozan, i shvatimo koji računar je inficiran, kako bi smo taj računar očistili, bez daljeg širenja na mreži.

3. Aktivacija zamke Kada haker jednom uspešno uđe u vaš računar, pokušava da nađe account-e uz pomoć kojih može dalje da šeta po mreži vaše organizacije. Da bi to uspeo, on traži na vašem računaru bilo kakve informacije o nekoj privilegovanoj osobi (pre svega hash), kao što je domain administrator, pošto oni imaju sve neophodne privilegije za šetanje po računarskoj mreži. Ono što platforma ASPEN radi je da se na tim mestima gde se nalaze informacije o drugim account-ima postave lažne informacije o nalogu koji se zove recimo IT_administrator i lažni hash njegove lozinke. Kada haker bude video ovu informaciju, on će pokušati da proveri da li može da koristi account IT_administrator za šetanje kroz mrežu. Pošto je ostavljeni hash u memoriji lažni, on neće uspeti da se uloguje na drugi računar. Međutim, ono što je mnogo bitnije je da ASPEN prati bilo koji pokušaj korišćenja ovog hash-a i čim uoči da je neko pokušao da ga koristi, odmah zna koji računar je hakovan, zna kako da ga izoluje i spreči dalje širenje hakera.

4. Sprečavanje hakera da “razbiju” lozinku vaših zaposlenih Osmišljavanje lozinki je jedan od najtežih zahteva prema zaposlenima, pošto lozinka mora da ima određeni stepen složenosti, kako bi se sprečilo lako razbijanje (npr. određeni broj slova, cifara, specijalnih znakova, mora da se menja na svakih x dana...). Na žalost, zbog svoje složenosti, ljudima je teško da pamte ovakve lozinke i često koriste vrlo slične lozinke. Kada hakeri pokušavaju da razbiju vašu lozinku, oni imaju rečnike tipičnih lozinki i onda pokšavaju sa tim lozinkama da se uloguju na svaki od postojećih naloga, u nadi da će bar neki proći. Ovakva vrsta napda se zove "Brute force password attack". Detektovanje ovakvih napada nije lako, s’obzirom da hakeri koriste mnogo različitih naloga i različitih računara. Korišćenje naše Big Data Lake platfome (ASPEN) sa korelacijom u realnom vremenu omogućava nam laku i brzu detekciju ovakavih napada. Naime, postoje zajednički elementi za sve neuspešne napade koji se dešavaju prilikom pokušaja napada hakera sa mnogobrojnih naloga - sourceIP. Naše korelaciono pravilo prati u realnom vremenu hiljade različitih sistema, gleda da li ima neuspešnih pokušaja logovanja i da li dolaze sa različitih ili sa par istovetnih IP adresa. Ako dolaze sa istih IP adresa, to je očigledan znak da neko vrši kordinirani brute force password napad i biće automatski blokiran.

Svima je poznata afera koja je danima bila glavna vest u medijima o šteti koja je naneta prilikom naplate putarina na autoputevima Srbije, nakon čega je okrivljena nekolicina zaposlenih koji su naštetili sistemu podizanjem paralenog sistema prilikom naplate putarina ubacivanjem diskete na kojoj se nalazio dupli program koju bi aktivirali prilikom dolaska nekog stranog vozila, štampali karticu sa tim lažnim podacima i po njoj vršili naplatu na izlaznim rampama. Svi polazimo od pretpostavke “neće se to nama desiti” ili podsvesno nam se javlja misao “ko bi falsifikovao kartice, menjao disk i podizao paralelne programe”, ali praksa je pokazala suprotno, DA, DESILO SE! Sve to je otkriveno samo zbog ljudskog faktora odn. nikada ne bi bilo otkriveno da neko nije prijavio, ali da je sistemki vođeno računa o bezbednosti IKT sistema možda bi nepravilnosti bile uočene ranije. Korišćenjem pravih, savremenih alata softverski bi se uočilo podizanje duplih procesa pod drugim imenima koji su se dešavali i radili paraleno sa instaliranim sistemima na određenim izvorima i prevara bi bila sprečena.