พูดคุยกับ Checkpoint ฝ่าย Research & Develop
วันนี้ admin ได้รับมอบหมายจากบริษัทให้ไปร่วมฟังการบรรยายของทาง Checkpoint ในหัวข้อเรื่อง “Check Point Expert Day: The Global Security Trends” ซึ่งโดยส่วนตัว admin มองเรื่อง Advance Persistence Threat (APT) รวมถึงประสิทธิภาพการตรวจจับ malicious file ของ Sandbox เป็นหลัก ก็เลยได้ไปพูดคุยในงานนี้ครับ
เรียกได้ว่าทาง Checkpoint ได้นำ Technical Guy มาจริงๆ (โดยปกติไปงานของเจ้าอื่นหวังว่าจะได้เจอ Expert แต่ปกติเจอแต่ Presale) คือทาง Checkpoint ได้นำทางฝั่ง R&D ของ Threat Detection Engine จาก Israel มาพูดคุยและนำเสนอถึงความแตกต่างของทาง Checkpoint กับ Vendor เจ้าอื่นครับ ซึ่งถ้าจะให้พูดทั้งหมดมันก็คงเยอะเกินไป อีกทั้งมันจะเป็นการเปรียบเทียบกับเจ้าอื่นมากเกินไป ซึ่งก็ว่ามันอาจจะไม่แฟร์เท่าไหร่ถ้าไม่ได้ฟังจาก Vendor เจ้าอื่นด้วย ดังนั้นก็เลยคิดว่าเอาเป็นจุดที่ผมประทับใจใน Performance ของทีม R&D ของทาง Checkpoint มาพูดจะดีกว่า มาเริ่มกันเลยละกันครับ
Update และ Threat Hunting
สิ่งที่ทาง Checkpoint นำเสนอแล้วน่าสนใจอย่างแรกที่ชอบคือการ update ของ Checkpoint นั้นมันอัพเดต Signature บ่อยมาก ซึ่งทาง Checkpoint บอกเองว่า Update กันแทบจะ Daily กันเลยทีเดียว การทำ Signature ของ Checkpoint นั้นทำจากหลายช่องทาง จะมีทั้งการหาช่องโหว่แล้วทำ Signature ขึ้นมาเอง, การดูเรื่อง update source ใน Open Source เอง, การเปิดเผยช่องโหว่แบบ fully disclosure, การร้องขอจากทางลูกค้าเอง, การออก signature ช่องโหว่ตาม Microsoft Patch Tuesday ของทาง Microsoft เอง รวมถึงทาง Checkpoint กล่าวว่าทีม R&D ของทาง Checkpoint เองมีไม่กี่ 10 คน การจะตาม trend ทั้งหมดเป็นไปได้ยาก จึงใช้การตามข่าวทางเหล่า Social Network ของ Hacker หรือ Security Researcher ต่างๆ รวมถึงฝั่ง Dark Web เพื่อหา trend ของ threat และการโจมตีใหม่ๆที่กำลังพูดถึงกันแทน และสุดท้ายที่พูดถึงคือการซื้อ Exploit Kit ต่างๆจาก Dark web มานั่งทำ reverse engineering เพื่อมาเรียนรู้พฤติกรรมการโจมตีของ Exploit Kit เหล่านั้นเพื่อสร้าง signature ในการป้องกันขึ้นมา
สิ่งที่ผมสงสัยก็คือทำไม Checkpoint ถึงได้ออก Signature ป้องกัน Microsoft Patch Tuesday (การออก patch ประจำเดือนของ Microsoft)ได้ทั้งหมด เพราะเนื่องด้วยไม่ใช่ว่า Security Researcher จะมีการปล่อยรายละเอียดช่องโหว่แบบ fully disclosure (เปิดเผยรายละเอียดทั้งหมด) เสมอไป มันมีการติดต่อโดยตรงไปยัง Microsoft และปิดการให้รายละเอียดใดๆเช่นกัน ทาง Checkpoint กล่าวว่าทาง Checkpoint เองมีการทำข้อตกลงกับ Microsoft ในการแชร์ข้อมูลระหว่าง Vendor ด้วยกันเอง เพื่อจะให้ vendor เจ้าต่างๆสามารถทำ Signature ได้ทันก่อน patch จะออก หรือช่องโหว่ถูกเปิดเผย ทาง Checkpoint เองจะได้ข้อมูลจาก Microsoft ก่อนที่ patch จะออกจริงๆประมาณ 2 สัปดาห์ ซึ่งทาง Checkpoint เองก็บอกว่ามันก็มีบางช่องโหว่เหมือนกันที่ทาง Microsoft ไม่ยอมให้ข้อมูลอะไรเลย ซึ่งพอเป็นแบบนั้น Checkpoint ก็จะไม่สามารถออก Signature สำหรับ MS..-… ได้เช่นกัน ซึ่งหลังจาก Microsoft ปล่อย Patch update ทาง Checkpoint สามารถปล่อย signature ป้องกันได้แทบจะทันทีเช่นกัน โดยทาง Checkpoint กล่าวว่า Signature ที่ปล่อยออกมาเน้นความแม่นยำอย่างมาก (Accuracy) ทาง Checkpoint กล่าวว่าหากมีการ alert signature ใดๆขึ้นมา รับรองได้เลยว่าเป็นการโจมตีจริงแน่นอน (ไม่มี false แน่นอน ทาง Checkpoint กล่าวไว้)
Threat Support
มาถึงจุดการตามการโจมตีต่างๆของ Checkpoint product เองกล่าวว่า Checkpoint พยายามตรวจจับการโจมตีต่างๆทุกรูปแบบของการ Application, service เท่าทีจะทำได้ และก็พูดไปถึงลักษณะของ Application ต่างๆ ทางทีมของ Checkpoint จำเป็นต้องลงใน Lab และมาไล่วิเคราะห์ protocol ของ application แต่ละอันทั้งหมด เพื่อจะให้ทราบถึงลักษณะการทำงานที่เกิดขึ้น และนอกเหนือจากนั้นคือการพยายามทำผิด Protocol นั้นๆด้วย ทั้งหมดทั้งมวลเพื่อนำมาสร้าง Signature เพื่อป้องกันนั่นเอง
พอมาถึงจุดนี้ทาง Admin ก็เลยลองถามทาง Checkpoint ดูว่า อ้าวแล้วอย่าง DDE Attack ล่ะเค้าคิดยังไง block ไฟล์หรือถือว่าเป็น malicious file มั้ย เพราะอย่าง Microsoft เองก็ไม่ได้ถือว่ามันเป็นช่องโหว่ เป็นแค่ feature หนึ่งเท่านั้น ทาง Checkpoint กล่าวว่าเมื่อได้ข่าวเรื่อง DDE Attack ทาง Checkpoint มองว่ามันเป็น threat ได้ และได้ออก signature ในการป้องกันทันทีโดยใช้เวลา 1 วันเท่านั้น ซึ่ง admin ก็มองว่ากระตือรือร้นดี
Sandblast กับ Evasion Threat
ทีนี้ก็มาถึงตัวที่เด่นมากของ Checkpoint นั่นคือการทำ Sandbox ที่ไม่ใช่ Virtual Machine นั่นคือ Sandblast นั่นเอง ซึ่งแตกต่างจากเจ้าอื่นที่ยังคงอยู่กับการสร้าง Sandbox ในลักษณะ Virtual Machine ขึ้นมา
ทาง Checkpoint กล่าวว่าการทำงานของ Sandbox นั้นทำให้เวลาในการรับไฟล์ช้า จึงได้มีการพยายามปรับตรงส่วนนี้ และเน้นการตรวจสอบเฉพาะไฟล์ที่จำเป็นจริงๆเท่านั้น นั่นทำให้ทาง Sandblast มีส่วน Caching ก่อนเป็นด่านหน้า เพื่อเช็คว่าไฟล์ที่ได้รับนั้นมันเคยถูกตรวจสอบไปแล้วหรือยังนั่นเอง
มาถึงส่วนที่ทาง Checkpoint กล่าวว่าเป็นจุดแตกต่างกับเจ้าอื่นคือ technology Emulation and CPU detection ซึ่งเป็นการสร้าง CPU เสมือนขึ้นมาแล้วนำ code ของ malicious file ใดๆมาแปลงให้เป็นภาษาเครื่องแล้วนำมาทดสอบทำงานจริง รวมถึงการตรวจสอบ pattern code ของ malicious file ว่ามีลักษณะการ exploit ใดๆที่จะพยายามทำ manipulate memory (การแก้ไขหรือการนำ memory มาใช้งาน)หรือไม่
ทาง Admin เคย bypass Sandblast ได้เมื่อประมาณช่วงครึ่งปีที่แล้ว โดยใช้การสร้าง payload แบบ logic bomb (การตั้งเวลาการทำงาน) และการใช้ malware ไป download payload จากเว็บไซด์ทั่วไปอย่าง pastebin จึงได้กล่าวถามกับทางทีมงานไปว่าแล้วสรุป Checkpoint แก้ไขแล้วหรือยัง ซึ่งทาง Checkpoint กล่าวว่าทาง Checkpoint ทราบถึงปัญหาดังกล่าว จึงได้มีการแก้ไขเรื่องของการแก้ไขเวลาที่ทำการ delay หรือการเร่งการทำงานให้เร็วขึ้น แต่ก็ยอมรับเช่นกันว่าหากเป็นการทำ logic bomb แบบดูในส่วน clocking CPU time ก็จะ bypass ได้เช่นกัน รวมถึงแน่นอนว่าการติดต่อไปยัง website ที่ปกติทำให้ตรวจสอบได้ยากขึ้น และการที่ไม่สามารถดู payload ได้ก็ทำให้อาจเกิดการ bypass ได้ แต่ทาง Checkpoint ก็กล่าวว่า Checkpoint ก็ได้ดูในเรื่องลักษณะที่เป็น malicious ส่วนอื่นทดแทน ไม่คิดจะยึดติดกับการดูพฤติกรรมใดพฤติกรรมหนึ่งเท่านั้น มีการทำเรื่อง static analysis เพื่อปิดช่องโหว่ส่วนนี้ของ product ด้วยเช่นกัน
สิ่งที่ทาง Checkpoint นำมาเพิ่มประสิทธิภาพการตรวจจับมากขึ้นในปี 2018 ที่กำลังมาถึงนั่นคือการทำ Machine Learning มาใช้ประกอบด้วยนั่นเอง ทาง Checkpoint กล่าวว่า Checkpoint มีบริการอย่าง Sandblast Cloud ที่ให้บริการ Sandbox บน cloud อยู่แล้ว ทำให้มี sample จากทั่วโลกมาให้ Machine Learning ของ Sandblast เรียนรู้ ยิ่งเวลาผ่านไปตัว Machine Learning ก็จะยิ่งมีความแม่นยำมากขึ้น และทำให้นำมาเป็นส่วนประกอบในการวิเคราะห์ malware ได้เหมาะสมและประสิทธิภาพสูงมากขึ้น ซึ่งสิ่งนี้เป็นอาวุธสำคัญของ Checkpoint ที่จะใช้รับมือกับภัยคุกคามในปี 2018 นั่นเอง
สิ่งที่ชอบมากอีกอย่างนั่นคือการที่ Checkpoint กำลังจะรองรับการเขียน Yara Rule ได้เองแล้ว นั่นทำให้เหล่า SoC (Security Operation Center) สามารถที่จะสร้าง signature เพื่อตรวจจับ malicious file ได้เองแล้วนั่นเอง
สรุป
ถือว่าเป็นการปรับปรุงที่ค่อนข้างดีและเป็นการตอบที่ตรงไปตรงมาไม่ sale talk ดีครับ ไม่หมกเม็ดและไม่โม้ดี ผมมองว่าเท่าที่ฟังทั้งหมดมา ทาง R&D เค้าค่อนข้างโหดมาก มีความกระตือรือร้นในการติดตาม threat มาก มีความขยันในการเขียน signature และพัฒนา engine มาก ทำให้พอได้ฟังและได้คุยแล้วก็ค่อนข้างจะมั่นใจและเชื่อถือในประสิทธิภาพการทำงานของ Checkpoint ในเรื่อง Signature และ Sandblast มากเลยทีเดียว
ปล. ขอโฆษณานิดนึง หากใครสนใจ Checkpoint Product สามารถติดต่อได้ที่บริษัท G-ABLE ครับผม 🙂