• nav


Как SmartNIC платы меняют концепцию безопасности сервера в частности и облака в целом

В эпоху, когда киберугрозы подстерегают нас за каждым углом, с увеличением атак на центры обработки данных, безопасность оценивается применительно к каждой машине, хранящей данные пользователей. Тем не менее, присутствие вредоносной программы в операционной системе блокирует большинство программных средств защиты. Кроме того, различные антивирусы и программы защиты в реальном времени потребляют вычислительные ресурсы процессора и памяти, которые должны быть выделены пользователям.

Мы уже рассказывали о концепции SmartNIC и сетевой карте Mellanox BlueField, обладающей массивом процессорных ядер ARM и интегрированным сетевым контроллером Mellanox ConnectX-5, который решает проблему защиты центров обработки данных за счёт собственной обработки сетевого потока. SmartNIC работает в и изолированном от потенциальных вредоносных программ окружении. Поскольку программное обеспечение безопасности работает на ARM-процессоре сетевой карты, все вычислительные ресурсы сервера остаются доступными для пользователей и приложений. Используя изолированную среду, SmartNIC может безопасно получать доступ к данным приложения для самоанализа, предотвращая подделку данных вредоносными программами и работая незаметно для приложений, не оставляя следов.

Существует несколько методов получения данных для целей анализа активности вредоносного ПО.

  • Сканер защиты от вредоносных программ:

    Антивирусное программное обеспечение работает с файлами, которые находятся в состоянии покоя, также называемые data-at-rest. Диск может быть проанализирован антивирусным программным сканером, запущенным на той же или другой машине, которая не скомпрометирована. При внешнем анализе и когда диск не зашифрован, можно построить дерево файловой системы и сканировать диск на наличие известных сигнатур. Например, путем сканирования диска для файла, файл может быть восстановлен с целью вычисления его хэш-значения. В свою очередь, различные интернет-ресурсы могут предоставлять информацию, если данный файл является вредоносным, учитывая его хэш-значение. Однако, если вредоносная программа не хранится на жестком диске, она может не иметь никакого следа в файловой системе, и, таким образом, метод антивирусного сканера не сможет обнаружить скомпрометированную систему.

  • Система Обнаружения Сетевых Вторжений:

    Большинство атак оставляют некоторый след в сети. Рассмотрим сценарий кражи секретов с хост-машины и отправки их удаленному злоумышленнику. Обнаружение таких событий позволит выяснить, какой IP мог бы выполнить атаку, и какова ее цель. Сегодня большинство решений IDS и IPS наблюдают за сетью для детектирования вредоносной активности. Сетевые данные могут быть собраны локально на той же машине или удаленно (например, с помощью SmartNIC или коммутатора).

  • Анализ Памяти:

    Данные среды выполнения обеспечивают наилучшую видимость в системе, и существует два подхода для их получения: интрузивный и неинтрузивный для операционной системы. Интрузивная опция относится к привилегированному программному обеспечению, которое подключается к событиям и триггерам через функции в операционной системе. Например, событие открытия/закрытия файла / сокета вызовет сбор временных отметок и данных, которые открываются / закрываются. Другой пример-создание нового процесса. Триггеры разветвления и выполнения нового процесса используются программным обеспечением для обнаружения вредоносных действий (например, это может помочь ответить на вопрос, является ли новый процесс вредоносным ПО? Ожидается ли, что запущенный процесс разветвляет новый процесс?).

Обнаружение Вредоносных программ

В идеале мы хотим иметь возможность собирать данные, отражающие состояние системы и активность, которая происходит из трех основных источников: диска, сети и памяти.

Большинство методов обнаружения используют сетевой или дисковый подход, к сожалению, этого недостаточно для решения проблем современного вредоносного ПО. Например, некоторые вредоносные программы могут атаковать систему, не оставляя следов на диске, таким образом, скрывая свое присутствие и активность от методов обнаружения, основанных на сканировании носителей. Вредоносные программы, использующие сеть для работы, не могут полностью скрыться. Однако, в то время как сетевой трафик может включать в себя несколько компромитирующих признаков, во многих случаях объемы трафика слишком большие, пакеты случайные и сложные, поэтому чтобы понять поведение вредоносных программ и разобраться в сетевом трафике, необходимо более внимательно изучить среду выполнения.

Данные, построенные из дампа необработанной памяти, предоставляют абстракцию для изучения и обнаружения атаки. Если бы атака должна была произойти - будь то путем инъекции кода, манипулирования памятью процесса, разветвления нового процесса, открытия нового сетевого соединения удаленному злоумышленнику — все это проявилось бы как изменение физической памяти. Чем сильнее удар, тем больше артефактов останется в памяти.

Out-of-band обнаружение вредоносных программ

Для обнаружения и анализа вредоносных программ внешнее устройство получает данные, абсолютно прозрачно и незаметно для любых других приложений. Аппаратный подход к получению данных считается наиболее надежным методом обнаружения, благодаря тому что в большинстве случаев, используя протокол PCIe, периферийные устройства имеют прямой доступ к памяти (DMA) и могут читать/писать из/в неё без каких-либо побочных эффектов для любого программного обеспечения, работающего на хост-компьютере. PCI Express карта может читать из памяти и писать в память со скоростью 8 Гб/с (Gen3) или 16 Гб/с на полосу.

Физическая память узла разделена на несколько областей, которые отображаются во время загрузки и включают системную ОЗУ, пространство ввода-вывода и ПЗУ. По большей части, данные и области вредоносной атаки находятся в системной ОЗУ, где живёт ядро операционной системы. Для сбора данных, аппаратное устройство осуществляет транзакцию чтения памяти для получения физических страниц области ОЗУ.

На следующей картинке показана карта памяти Ubuntu Linux 16.04

Транзакция проходит от сетевой карты надстройки PCIe через шину PCIe к контроллеру памяти, который, в свою очередь, обеспечивает доступ к физической памяти. Всё это происходит без использования программного обеспечения, и в отличии от soft-based решений, такой подход не вмешивается в программное обеспечение на исследуемом компьютере. В вопросах скорости, аппаратные подходы превосходят своих программных коллег. Например, чтение 64 ГБ ОЗУ у программы-антивируса может занять несколько минут, а при использовании отдельной карты, карты надстройки PCIe, работающей на шине PCI Express Gen4, - около 2 секунд.

SmartNIC для обнаружения вредоносных программ

С помощью фреймворка volatility memory forensics, используемого разработчиками anti-malware средств, удалось проанализировать память хоста, скачивая её сегменты и анализируя уже на вычислительных ядрах "Умной сетевой карты" Mellanox Bluefield и в её же локальной памяти. Важно отметить, что обычно этот метод работает с файлами памяти, которые могут достигать 64 ГБ и 128 ГБ. Используя образ дампа памяти, фреймворк извлекает такую информацию, как список процессов, сетевые подключения и загруженные модули ядра, которые помогают экспертам выявить след вредоносного ПО, а так же понять его поведение.

Атаки становятся все более скрытными и сложными, в то время как способности современных методов обнаружения и предотвращения вторжений значительно отстают. Аппаратный сбор данных считается наиболее надежным, и позволяет экономить ресурсы машин, распределяя нагрузку на умные сетевые карты, такие как Mellanox BlueField. Такой подход облегчает не только защиту от вторжений, но и расследование инцидентов.

Рон Амадео
16/05.2019




ПОХОЖИЕ СТАТЬИ:

Asic-процессор Microsoft Project Corsica: 100-гигабитная компрессия для облачных сред

Для таких сервисов, как Microsoft Azure, сокращение хранимых данных на несколько процентов означает экономию миллионов долларов. Microsoft анонсировала проект Corsica на этой неделе как кульминацию разработки своего стандарта сжати...

Что такое SmartNIC и почему сетевые карты для серверов стали умнее

Концепция SmartNIC выходит за рамки простого подключения и уже подразумевает, что сама сетевая карта, а не центральный процессор сервера или СХД производят обработку не только сетевого трафика и протоколов, но даже каких-то вычисле...

Intel Columbiaville: 800-я серия сетевых карт с поддержкой 100G, ADQ и DDP

В предыдущем, 700-м поколении сетевых чипов, Intel делала ставку на простоту и доступность, поэтому 40-гигабитные процессоры семейства Fortville не имели большинства механизмов аппаратной разгрузки и позиционировались как решения...

Aquantia AQtion AQC107 против Intel X550-T2 - сравниваем 10G интерфейсы в файловых операциях iSCSI и CIFS

Сетевые чипы Aquantia всё больше распростряняются как дорогое домашнее или дешёвое бизнес-решение для 10-Гигабитных сетей. Мы сравнили самый младший чип этой компании с флагманской сетевой картой от Intel при работе с файловыми опе...

Как отличить 10-гигабитную сетевую карту Intel X520-DA2 от китайских подделок

10-гигабитные сети получают все большее распространение даже в самых простых IT-проектах, где возникает желание сэкономить каждый рубль. Сетевые карты Intel используются чаще, чем любые другие, но к сожалению, в Китае их научились ...


НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
Как работают системы бесперебойного энергоснабжения в ЦОДах

В этой статье мы расскажем как в ЦОД обеспечивается бесперебойная работа оборудования с точки зрения резервирования источников питания. В качестве практического кейса в завершение статьи мы рассмотрим недавний инцидент во...

Каковы шансы у AMD на серверном рынке? Экспертное мнение и аналитика.

Почему AMD возлагает свои надежды на второе поколение процессоров, объявленное 7 августа 2019 года и суждено ли этим надеждам сбыться? Мы совершим небольшой экскурс в историю, и посмотрим, почему так получилось с Opteron-ами,...