Testy zabezpieczeń produktów IT

TESTY ochrony w rzeczywistym scenariuszu in the wild

ico security test
avlab testy monitor lewy

Wprowadzenie do testów ochrony

Wynikiem naszych testów są certyfikaty potwierdzające skuteczność ochrony programów przed złośliwym oprogramowaniem i cyberatakami. W analizie kładziemy nacisk na techniczne aspekty testowania rozwiązań do ochrony stacji roboczych, urządzeń przenośnych, komputerów osobistych i usług cyberbezpieczeństwa. Informacji związanych z testami jest tak dużo, że postanowiliśmy przygotować krótkie wprowadzenie do procedur, narzędzi i technik, którymi się posługujemy.

System testujący składa się z kilku komponentów

Cała aplikacja testująca jest jak jeden organizm zbudowany z poszczególnych elementów, w którym każdy działa osobno i jednocześnie współpracuje z pozostałymi. Stworzyliśmy tak naprawdę aplikację, która robi dokładnie to samo co człowiek, lecz nieporównywalnie szybciej i wydajniej, ponieważ w jednym czasie może zarządzać dużą liczbą maszyn wirtualnych — wykonuje setki operacji, gdyż nie jest ograniczona ludzką biomechaniką.

Elementy, z których składa się nasza aplikacja do testów, to:

mapa honeypotow
Mapa wskazuje na lokalizacje serwerów, które pełnią rolę honeypotów.
Threat Intelligence

Próbki malware (adresy URL) wykorzystywane w naszych testach pochodzą z ataków na honeypoty. Są to pułapki, których zadaniem jest udawanie celu podatnego na ataki i przechwytywanie złośliwego oprogramowania. Wykorzystujemy honeypoty niskointeraktywne i wysokointeraktywne. Wszystkie z nich symulują usługi takie jak: SSH, HTTP, HTTPS, SMB, FTP, TFTP, rzeczywisty system Windows i serwer poczty. Korzystamy także z publicznych feedów ze złośliwym oprogramowaniem oraz niebezpiecznymi adresami URL.

Weryfikacja Próbek Malware

Podczas uruchamiania procedury testowej i pierwszego importu próbki malware do systemu testowego Windows, dokonywana jest statyczna analiza złośliwego oprogramowania na podstawie reguł Yara, polecenia „file” w powłoce systemowej Linux, a także wstępna, dynamiczna analiza w czasie rzeczywistym z wyłączoną ochroną antywirusową Microsoft Defender w celu weryfikacji poprawnego działania malware w systemie. Dzięki potrójnej weryfikacji odrzucamy próbki, które już istnieją w bazie danych (SHA2), niedziałające albo uszkodzone próbki, jeśli nie wykazywały złośliwej aktywności. Odbiorcy naszych testów mają pewność, że nigdy nie będziemy testować produktów ochronnych na dwóch takich samych próbkach malware.

import malware
Najpierw aplikacja loguje się do honeypota i pobiera przechwycone złośliwe oprogramowanie oraz adresy URL.
pobieranie malware
Próbka szkodliwego oprogramowania jest pobierana do systemu przez prawdziwą przeglądarkę Chrome.
Automatyzacja Testu Ochrony

Aplikacja napisana w języku programowania NodeJS asynchronicznie automatyzuje całą procedurę testów:

  • Zarządza weryfikowaniem złośliwego oprogramowania.
  • Analizuje złośliwe oprogramowanie, sprawdzając, czy każdy wirus nadaje się do testów (tj. czy jest w stanie zainfekować Windows).
  • Wykonuje automatyczne operacje testowania próbek wirusów na wszystkich produktach bezpieczeństwa w każdej maszynie.
  • Analizuje logi, przekazując je ze systemów gościa do hosta.
  • Zarządza logami testowanych rozwiązań bezpieczeństwa.
  • Po analizie każdej próbki na produktach ochronnych wysyła informacje diagnostyczne do bazy danych.

Wykorzystujemy interfejs API VMware do pilnowania, aby maszyny były uruchamiane w jednym czasie. Aplikacja reaguje na błędy przy analizie i jeśli jest to konieczne, powtarza operacje. Dzięki temu mamy pewność, że wszystkie rozwiązania ochronne są testowane w tym samym czasie na tej samej próbce malware.

Zbieranie Logów Windows

Jest to ważny element systemu testującego, który po pierwsze loguje zdarzenia wykonane przez złośliwe oprogramowanie, po drugie wychwytuje informacje o reakcji produktu ochronnego na złośliwe oprogramowanie. Po trzecie logi z systemu Windows zawierają m.in. informacje o tym, w jaki sposób testowane rozwiązanie wykryło zagrożenie.

windows sysmon
Logi są generowane przy pomocy zewnętrznego narzędzia - Sysmon.
analizator
Przykładowa aktywność jednej z próbek ransomware. Parser wykrył 796 potencjalnych wskaźników złośliwego oprogramowania.
Parsowanie Logów Sysmon

Na podstawie wprowadzonych wytycznych, aplikacja testująca decyduje, czy złośliwe oprogramowanie zainfekowało system, a także czy produkt bezpieczeństwa zareagował na wirusa. Przeszukuje logi pod kątem aktywności wirusów i reakcji produktu bezpieczeństwa na złośliwą aktywność. Zdobyte w ten sposób artefakty o ataku i infekcji są przekazywane do bazy danych.

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]