Триколор 

Безопасность сети и защита от сетевых угроз. Основы информационной безопасности. Типы угроз и способы защиты. Вредоносные программы - угроза для компьютера

Сегодня мы поговорим об основных правилах информационной безопасности. И сразу хотелось бы отметить, что 100% защиты просто не существует, кто бы, что не говорил. Даже локальные сети, полностью изолированные от внешней сети и сети Интернет подвержены угрозам, поскольку, так или иначе, информация попадает в эту сеть (флешки, диски и т.д.).

Угрозы информационной безопасности можно разделить на два типа: технические угрозы и человеческий фактор.

Технические угрозы информационной безопасности.

Ошибки в программном обеспечении

Самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов. Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем программного обеспечения. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS и DDoS-атаки

Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

Компьютерные вирусы, троянские кони

Вирусы — старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

Анализаторы протоколов и «снифферы»

В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

Технические средства съема информации

Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Угрозы информационной безопасности связанные с человеческими факторами:

Уволенные и недовольные сотрудники

Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачатую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.

Промышленный шпионаж

Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети - не самый простой вариант. Очень может статься, что уборщица, моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.

Халатность

Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, - в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.

Низкая квалификация

Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один - обучение пользователей, создание соответствующих документов и повышение квалификации.

Способы защиты от несанкционированного доступа

Какие мероприятия мы можем провести, чтобы минимизировать риск взлома нашей информационной сети? Для этого нужно:

1) В первую очередь необходимо обеспечить физическую безопасность . Доступы во все серверные и коммутационные комнаты должен быть предоставлен ограниченному числу сотрудников. Если используются точки доступа, они должны быть максимально скрыты что бы избежать к ним физический доступ. Данные должны иметь физические резервные копии Утилизация жёстких дисков должна проходить под строгим контролем. Ведь получив доступ к данным, последствия могут быть печальными.

2) Позаботится о внешней безопасности . Первый «защитник сети», выступает farewall или межсетевой экран, обеспечивающий защиту от несанкционированного удалённого доступа.

Сеть можно разделить на подсети для ограничения серверов от пользователей. Использование фильтрующего маршрутизатора, который фильтрует исходящие и входящие потоки. Все устройства подключение к сети буду иметь доступ в интернет, а обратно доступ к устройствам из Интернета блокируется.

3) Разграничения в ролях администраторов и пользователей

Доступ к серверам не должен иметь рядовой пользователь;

Доступ управления конфигурацией компьютеров должен иметь только администратор;

Доступ к сетевым ресурсам должны иметь каждый там, где ему это необходимо для выполнения должностных обязанностей;

Трафик всех сотрудников должен фильтроваться, и в этом поможет прокси-сервер;

Каждый пользователь должен устанавливать сложный пароль, и не должен не кому его передавать. Даже IT специалисты его не знают.

4) Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует проникновения в сеть вирусов. В первую очередь необходимо защитить сервера, рабочие станции, шлюзы и систему корпоративной почты

5) Установка актуальных обновлений программного обеспечения.

6) Защита сети через виртуальные частные сети VPN . В связи со спецификой работы организаций, как показывает практика, многие сотрудники осуществляют рабочую деятельность удалённо, в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN, о которых мы рассказывали в статье «Как настроить VPN соединение для Windows? Настройка VPN сервера »

7) Безопасность корпоративной почты . Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг атакам. Чтобы решить данную проблему рекомендуется использовать следующие методы:

Анализ вложения письма (должен осуществляться анализ не только текста, но и самих вложений)

Определение массовости письма (большинство почтовых серверов имеют такую функцию, можно посмотреть, кому в почтовые ящики упали письма)

8) Никакая система не защитит от человеческого фактора . Все сотрудники компании, вне зависимости от должности должны понимать и главное соблюдать правила информационной безопасности. Любые посторонние файлы, скаченные из сети или из почты могут быть опасны и нести в себе угрозу, а так же внешние накопители информации, которые не относятся к рабочему процессу.

Договориться, чтобы перед информированием сотрудника об увольнении, сначала сообщили вам, а вы продумали ряд мероприятий, для защиты рабочих документов данного сотрудника от кражи или порчи.

А так же повышать квалификацию работников в области информационной безопасности и компьютерной грамотности!

Это основные аспекты защиты информации в корпоративной сети, которые действенны, и используются почти в каждой компании. Выбор комплекса защиты зависит от самой структуры корпоративной сети. Не забывайте использовать защиту комплексно.

    Включить защиту NetBIOS

    Блокирует трафик NetBIOS, поступающий с внешнего шлюза.

    Эта опция позволяет использовать совместный доступ к папкам и принтерам локальной сети в сетевом окружении, одновременно обеспечивая защиту компьютера от NetBIOS-атак из любой внешней сети. Она блокирует пакеты NetBIOS, отправленные с IP-адресов, которые не входят в диапазоны заданных внутренних адресов ICANN. Внутренние диапазоны адресов ICANN включают в себя адреса 10.x.x.x, 172.16.x.x, 192.168.x.x и 169.254.x.x, за исключением подсетей 169.254.0.x и 169.254.255.x. Пакеты NetBIOS включают UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 и TCP 1026.

    Разрешить трафик Token Ring

    Разрешает доступ к сети компьютерам клиентов, которые подключаются через адаптер Token Ring (независимо от правил брандмауэра, настроенных в клиенте).

    Если эту опцию отключить, в корпоративную сеть не будет передаваться любой трафик с компьютеров, использующих адаптер Token Ring. Брандмауэр не поддерживает фильтрацию трафика Token Ring. Он либо разрешает весь трафик Token Ring, либо блокирует его полностью.

    Включить защиту от имитации MAC-адреса

    Разрешает входящий и исходящий трафик ARP (Address Resolution Protocol, протокол разрешения адресов) только при адресации ARP-запроса на данный конкретный хост. Весь остальной трафик ARP блокируется и регистрируется в журнале безопасности.

    Некоторые хакеры используют технику имитации MAC-адреса для подмены сеанса связи между компьютерами. MAC-адреса - это аппаратные адреса, идентифицирующие компьютеры, серверы, маршрутизаторы и другие устройства. Если компьютеру A требуется подключиться к компьютеру B, он может отправить ему пакет ARP.

    Защита от имитации MAC-адреса позволяет предотвратить сброс таблицы MAC-адресов с другого компьютера. Если компьютер отправляет сообщение ARP REQUEST, то клиент разрешает прием ответного сообщения ARP RESPOND в течение 10 секунд после отправки запроса. Клиент блокирует все сообщения ARP RESPOND, отправленные не в ответ на запрос.

    Разрешить отслеживание сетевых приложений

    Разрешает клиенту отслеживание изменений сетевых приложений, работающих на клиентском компьютере.

    Сетевые приложения принимают и отправляют данные. Клиент отслеживает изменения содержимого приложения.

    Блокировать весь трафик, когда брандмауэр не работает

    Блокирует весь исходящий и входящий трафик на компьютере клиента, когда брандмауэр по какой-либо причине не работает.

    Компьютер не защищен:

    • в промежутке между включением компьютера клиента и запуском службы брандмауэра;

      в промежутке между завершением работы службы брандмауэра и выключением компьютера клиента.

    В эти небольшие отрезки времени безопасность не обеспечивается, и возможен несанкционированный обмен данными. Данная настройка позволяет запретить приложениям несанкционированно подключаться к другим компьютерам.

    Разрешить начальный трафик DHCP и NetBIOS

    Разрешает начальный обмен данными, необходимый для установления соединения с сетью. Эти данные включают в себя начальный трафик DHCP и NetBIOS, позволяющий клиенту получить IP-адрес.

    Выявлять отказы в обслуживании

    Обнаружение отказов в обслуживании по типу относится к обнаружению вторжений. Если параметр включен, трафик клиента блокируется при обнаружении шаблона одной из известных сигнатур независимо от номера порта или типа интернет-протокола.

    Выявлять сканирование портов

    Отслеживает все входящие пакеты, блокируемые любым правилом безопасности. Если за короткий промежуток времени правило блокирует разные пакеты из разных портов, Symantec Endpoint Protection Small Business Edition создает запись в журнале безопасности. Обнаружение сканирования портов не блокирует пакеты. Для блокирования трафика в случае обнаружения сканирования портов необходимо создать политику безопасности.

Защита сети от внешних угроз

Безопасность информационных систем сегодня в первую очередь связывают с защитой от внешних угроз. Под ними понимают атаки через интернет, способные нанести ПО и данным определенный ущерб. Вполне понятно, что сотрудники большинства современных предприятий имеют доступ к различным сайтам, не все из которых достаточно безопасны.

Виды внешних угроз

Различают две масштабных разновидности угроз:

  • отказ в обслуживании;
  • взлом.

Отказ в обслуживании — это внешняя угроза, приводящая к сбою в работе системы серверов организации, служащих именно для работы в сети. Как правило, она направлена на ограничение функционирования веб-сервера и почтовых служб. Сбои же возникают в процессе получения сервером очень большого числа запросов, обработать которые его вычислительная система не в состоянии. Это называется DoS-атакой: ее результатом обычно становится затруднение доступа пользователей к ресурсам.

Взломом считают внешнюю угрозу, направленную на получение контроля над серверами. Кроме того, в результате взлома злоумышленники могут проникать в локальные сети предприятий. Доступ к компьютерам дает возможность похитить любые ценные данные, хранящиеся в их памяти: пароли, информацию о сделках клиента, адреса и номера телефонов и т.д. Контроль над веб-сервером позволяет искажать страницы сайтов, размещать на них стороннюю информацию, рассылать спам или проводить атаки на любые другие компьютеры. Кроме того, целью взлома может стать получение доступа к каналам передачи данных предприятия.

Таким образом, результатом реализации внешних атак может стать:

  • потеря информационных ресурсов;
  • нарушение функционирования локальной сети;
  • поломка ПК и серверов предприятия;
  • потеря доступа к личным вычислительным ресурсам.

Для того чтобы реализовать одну из перечисленных внешних угроз, злоумышленники используют разнообразные средства. Самыми распространенными можно считать компьютерные вирусы, шифровальщики, черви и трояны. Вирусы представляют собой вредоносные программы, способные модифицировать любое ПО или интегрировать в него свои копии. Их действие проявляется в возникновении самых неожиданных эффектов в процессе работы компьютеров. Так, на экране могут появляться и исчезать посторонние символы и изображения, в работе прикладных программ наблюдаются сбои, выходит из строя операционная система. Нередко от вирусов страдают данные, хранящиеся на жестких дисках, а также системная память.

Способы борьбы с внешними угрозами

Для защиты от описанных выше внешних угроз сегодня с успехом применяются межсетевые экраны, которые иначе называют брандмауэрами. Они служат для разделения сетей на две части, в каждую из которых пропускаются пакеты с данными в соответствии с определенными алгоритмами. Таким образом, межсетевые экраны представляют собой своеобразные барьеры на границе локальных сетей с глобальной, которые позволяют устанавливать определенные настройки доступа и регулировать функционирование отдельных ПК. Если вам необходима надежная защита от внешних угроз, новейшее UTM-решение — это наилучший выбор.



Потенциальные риски при использовании Интернета,

пути защиты от сетевых угроз.

На сегодняшний день большинство наших детей буквально живут в Интернете. Информационно-коммуникационные технологии несут в себе уникальные возможности для развития подрастающего поколения, а вместе с ними и новые риски и опасности для их здоровья и развития. Более того, мы, взрослые, не всегда осведомлены о проблемах, с которыми наши дети сталкиваются в Сети. Сегодня мы хотим про информировать вас о потенциальных рисках при использовании Интернета, путях защиты от сетевых угроз.

Как показывает статистика, ежедневное использование Интернета:

Дети- 89 %, взрослые- 53%. И уже нас родителей в большинстве случаях учат дети как пользоваться как использовать Интернет.

С годами увеличивается число подростков, которые по мимо ежедневного использования Интернета, увеличивают и время пребывания в Интернете. (более 5 часов - 2009 г.- ок. 8 %; 2016 г.-53 %).

I nternet - это прекрасная возможность для общения, обучения и отдыха. Он позволяет детям искать интересующую информацию, связываться с людьми, которые находятся в другой точке Земли. Дает возможность увидеть другие города, страны и выполняет много интересных функций. Но следует понимать, что, как и реальный мир, виртуальный может быть весьма опасен.

В Интернете дети рискуют встретиться с вредоносной информацией (насилие, пропаганда суицида, наркотических веществ.)

Взлом акаунта, хищение пароля, персональной информации, онлайн-мошенничество, преследования, унижения, оскорбления, шантаж – лишь небольшой перечень угроз, с которыми приходится иметь дело юным пользователям.

    Обратить внимание на коммуникационные риски. Кибербуллинг- намеренное и регулярное причинение вреда (запугивание, унижение, травля и т.д.).

    Грумминг- установление дружеского контакта с ребенком с целью сексуальной эксплуатации.

(Несмотря на то, что коммуникационные риски представляют наибольшую угрозу для

детей и подростков, они находятся вне поля внимания их родителей. Взрослых больше

волнует контент, который просматривают их дети, чем люди, с которыми они общаются.

Среди общения хотелось бы остановиться на разговорах детей с незнакомцами:

Подросток отправляет информацию личного характера кому –либо, с кем никогда не встречался лично;

Отправляет фото или видео со своим изображением кому-либо, с кем никогда не встречался лично;

Добавляет в список друзей людей, с которыми никогда не встречался лично;

Чем подростки деляться с незнакомцами в Интернете?

Персональные данные, фото – 62 %;

Официальные статусы (достижения, награды)- 40%;

Хроника личных событий- 34%.

47% подростков знакомятся в Интернете и из них 21 % лично встречаются с Интернет знакомыми.

Среди онлайн-рисков наши дети встречаются с кибертравлей (намеренное и регулярное причинение вреда (запугивание, унижение)

Их могут вовлечь посетить сайты, пропагандирующие суицид.

#Тихий дом, #морекитов, # f 57, # clubsuiside 1528, # sedative и подобные им.
Многие из них уже закрыты, однако уже организованы и функционируют новые…

Обращение подростков с проблемами, связанными к кибертравлей, груммингом за последний месяц по сравнению с прошлым годом возросло в 1,5 раза.

Главная и самая надёжная защита от онлайн-угроз – это доверительные отношения между детьми и родителями. Важно ребенку дать понять и сделать так, чтобы, столкнувшись с проблемой, он обратился к нам, а не к сверстникам или на форум в интернете. Чтобы ребёнок понимал, что родитель – это тот человек, который в любой ситуации поймёт, примет, поддержит и поможет найти верное решение.

Получить психологическую и информационную поддержку по вопросам безопасного использования Интернета дети и взрослые могут на Всероссийской линии помощи «Дети Онлайн» 8-800-25-000-15, по электронной почте: , или в онлайн-чате на портале .

За последние годы значительно вырос круг потребителей, получающих онлайн-доступ к корпоративным сетевым ресурсам - это клиенты, партнеры, поставщики и вообще любые пользователи Интернета. Доступность сети превратилась в важный фактор, понятным образом являющийся целью злоумышленных атак. А защита сетевой инфраструктуры должна обеспечивать коммуникации, а не их ограничение.

Михаил Суконник
региональный менеджер Radware no России и СНГ

Известные системы предотвращения вторжений (IPS) сличают сигнатуры, или образцы известных атак на разного рода уязвимости, с входящим сетевым трафиком и блокируют трафик, который выглядит нежелательным.

Лазейка, используемая хакерами, – это легитимные виды коммуникаций, отвечающие правилам приложений и незаметные для систем сетевой защиты, отслеживающих превышение пороговых объемов трафика или известные сигнатуры атак. Большое количество современных угроз сетевой безопасности имеет динамическую природу, и с ними нельзя справиться с помощью статических устройств IPS на основе сигнатур.

В попытке противостоять этим новым типам угроз администраторы сетей стараются реактивно просматривать журналы регистрации и вручную устанавливать фильтры и пороговые значения для трафика для сдерживания атак. Если слишком жестко установить эти ограничения, нормальные пользователи будут лишены доступа, а слишком мягкие ограничения не защитят корпоративную сеть от атак. Немногие предприятия готовы непрерывно заниматься такой тонкой настройкой.

Эти угрозы в целом не связаны с необычно большим объемом трафика, не содержат нелегитимных запросов к приложению и не используют уязвимости в программном обеспечении (они обычно называются "атаками, не связанными с уязвимостями").

Волны атак, предпринимаемых в последние годы, представляют собой новый способ вымогательства по отношению к предприятиям со стороны киберпреступников. Для того чтобы противостоять таким угрозам, необходимы новые технологии предотвращения вторжений, дополняющие существующие IPS на основе сигнатур. Эффективная система IPS должна автоматически определять и отражать широкий спектр атак в режиме реального времени, не оказывая негативного влияния на обычных пользователей. Поскольку модели прохождения нормального сетевого трафика часто изменяются, эффективные системы должны быстро адаптироваться к происходящему без участия администратора.

Механизмы автоматического обнаружения, применяемые в IPS, должны различать нормальное и ненормальное поведение пользователя, даже если разница в поведении не очень большая.

На случай, если система IPS неправильно оценит какой-либо трафик, она должна включать механизм самокоррекции для сведения к минимуму ошибочного доступа к сети.

Более того, система должна выбрать оптимальный метод реагирования, чтобы остановить атаку с минимальным участием администратора. Реагирование должно динамически самостоятельно подстраиваться под изменяющиеся условия и параметры атаки.

Защита в реальном времени

Чтобы решить задачи определения и предотвращения текущих и будущих атак, кроме детерминистского подхода защиты от известных атак с помощью проактивных обновлений сигнатур и ограничения трафика с аномальным объемом и использованием протоколов, в современных сетях применяется метод автоматической генерации так называемых "сигнатур в реальном времени" для предотвращения атак zero minute, не основанных на уязвимостях, без вмешательства персонала сети. "Сигнатуры в реальном времени" создаются для каждой отдельной атаки самообучающимся механизмом принятия решений, позволяющим точно определять и останавливать атаки за секунды. Механизм использует данные модулей поведенческого анализа, исследующих трафик на уровне клиента, сервера и сети и посылающих оповещения встроенной системе отражения атак при обнаружении аномальных моделей. Таким образом можно обнаружить и немедленно остановить без ущерба для производительности приложений ранее неизвестные виды атак и их различные комбинации.

Угрозы и риски на уровне сети

Угрозы на уровне сети включают атаки, приводящие к неправильному использованию сетевых ресурсов. Довольно старый, но до сих пор применяемый метод использования слабых мест в IP-инфраструктуре – это атака DDoS (распределенная атака типа "отказ в обслуживании").

По мнению исследовательского агентства IDC, "хакеры продолжают искать способы злоупотребления чужим программным обеспечением. Когда-то они использовали уязвимости, но теперь найдены возможности получения контроля над ПО без уязвимостей".

Атаки DDoS обычно включают проникновение в сотни или тысячи компьютеров в сети Интернет. Такое проникновение может осуществляться или вручную, или автоматически с помощью, например, "червей" или других вредоносных программ, которые распространяются самостоятельно или могут быть сгружены пользователем по неосторожности. Любой уязвимый компьютер может быть инфицирован, и после успешного взлома на нем устанавливаются некоторые вредоносные средства для DDoS и бот, с помощью которого хакер контролирует все зараженные машины и координирует производимые с них атаки.

Боты превратились в большую проблему, приводящую к росту сетевых атак типа DDoS. Такие атаки обычно отнимают стековые ресурсы оперативной памяти, загружают маршрутизаторы и коммутаторы ненужной обработкой и/или потребляют пропускную способность, мешая нормальным коммуникациям в атакованной сети.

Кроме угроз переполнения, ведущего к DDoS, угрозы сетевого уровня включают и традиционные атаки против слабых мест в операционной системе. Каждый элемент в сети, будь то маршрутизатор, коммутатор или защитный экран, имеет известный набор уязвимостей. Если вредоносно используется любая из уязвимостей, функционирование соответствующего элемента сети может быть повреждено, вся IP-инфраструктура – подвергнута опасности, и целостность бизнес-процессов – нарушена.

Угрозы и риски на уровне сервера

Угрозы на уровне сервера четко подразделяются на две категории: использующие уязвимости в стеке TCP/IP и атаки на уровне приложений.

Атаки на уязвимости в стеке TCP/IP направлены на транспортные ресурсы сети, что создает помехи нормальному установлению соединений TCP и транзакциям приложений, для которых эти соединения используются (например, транзакции HTTP, загрузка файлов по FTP, почтовые сообщения и т.д.). Довольно просто задействовать полностью ресурсы TCP на сервере с помощью нескольких видов атак, например переполнения TCP Syn или установкой слишком большого числа соединений TCP. Последний вид атаки очень легко создается, и его нельзя эффективно отследить и предотвратить с помощью большинства существующих решений сетевой безопасности. Такая атака, потребляющая большое количество серверных TCP-ресурсов, может прервать или сильно затруднить работу серверов. Этот вид атак не обязательно имеет большие размеры, что затрудняет его обнаружение и предотвращение.

Внедрение SQL-кода – это техника взлома, использующая уязвимость на уровне базы данных приложения. Уязвимость возникает, когда ввод информации пользователем некорректно отфильтрован на наличие знаков смены регистра в качестве константы символьной строки во встроенном операторе SQL или ее тип запроса определен нестрого и поэтому может выполняться произвольным образом. С помощью успешного внедрения SQL-кода можно получить доступ к информации в базе данных или привести базу данных в состояние отказа в обслуживании.

Так же как и в случае атак сетевого уровня, угрозы в стеке TCP/IP включают и более традиционные атаки на работу операционной системы. Каждая из общеупотребительных операционных систем имеет свои известные уязвимости, использование которых приводит к ухудшению работы сервера и опасности для приложения.

Атаки уровня серверных приложений

Уязвимости, связанные с этим типом угроз, подразделяются на два вида:

  1. Угрозы для серверных приложений с использованием уязвимостей. Этот вид включает как заранее известные типы атак, так и атаки типа zero minute, не оставляющие времени на устранение уязвимости.
  2. Угрозы, не связанные с уязвимостями серверных приложений.

Руткит – это программа (или набор программ), которую взломщик нелегально устанавливает на взломанной системе без ведома ее владельцев или менеджеров. Руткит позволяет взломщику закрепиться во взломанной системе, овладеть ею и скрыть следы своей деятельности. Руткиты существуют для различных операционных систем: Microsoft Windows, Mac OS X , Linux и Solaris. Червь – это саморазмножающаяся программа, посылающая свои копии по сети на другие компьютеры, причем часто без участия пользователя. В отличие от вируса червь не проникает ни в какую другую программу. Вред от червей состоит в потреблении пропускной способности сети, тогда как вирус обычно повреждает или модифицирует файлы на атакуемом компьютере.

Первый вид угроз представляет собой наиболее известный тип атак. Если атаки направлены на заранее известные уязвимости программного обеспечения приложений, они относятся к известным атакам. Но, когда в программном обеспечении обнаруживается новая уязвимость, хакер может использовать это слабое место прежде, чем производитель программы или разработчик средств безопасности сможет защититься от атаки, опознав ее сигнатуру, или успеет выпустить программную заплатку, исправляющую эту уязвимость. Атака, происходящая в течение этого опасного времени, пока разрабатываются средства защиты или заплатки, относится к типу zero minute.

  • Атаки на уязвимости, связанные с переполнением буфера.
  • Внедрение SQL-кода.
  • XSS – межсайтовый скриптинг. (Это разновидность атаки на веб-приложения, которые уязвимы к внедрению злоумышленниками кода в вебстраницы, просматриваемые обычными пользователями. Внедрение может производиться в HTML и клиентских скриптах. Межсайтовый скриптинг может использоваться хакерами для обхода контроля доступа, например политики единого происхождения (SOP). Этот вид уязвимостей используется для фишинга и создания браузерных эксплойтов.)
  • Руткиты.
  • Черви.

Угрозы серверным приложениям, не связанные с уязвимо-стями, нацелены на слабые места в серверных приложениях, которые не подпадают под определение уязвимости. Для этих угроз характерна последовательность легитимных событий, с помощью которых взламывается сервер, точнее механизмы аутентификации, и приложение сканируется на предмет обнаружения уязвимостей, которые в дальнейшем могут использоваться для получения контроля над работой приложения. Более сложные виды не связанных с уязвимостями атак состоят из специально подобранных повторяющихся комбинаций легитимных запросов к приложению, которые злоупотребляют ресурсами памяти и процессора сервера, приводя приложение в состояние частичного или полного отказа от обслуживания.

Эти развивающиеся угрозы серверным приложениям, выглядящие как обычные запросы, не обязательно связаны с большим объемом трафика, что позволяет хакерам смешаться с потоком полностью легитимных коммуникаций, соответствующих правилам приложения, так что с точки зрения пороговых значений трафика или известных сигнатур атак существующие системы сетевой безопасности не опознают действия вредителей.

Такие атаки производят сканирование приложения, прямой подбор пароля и подбор по словарю, переполняют приложение сессионными запросами, а также устанавливают в зараженной системе боты, способные интегрировать разные средства атаки и угрожать приложениям.

Сеть современного предприятия можно эффективно обезопасить только с помощью высокотехнологичных решений, интеллектуально применяющих комплексные методы защиты, включая "сигнатуры в реальном времени", и не препятствующих легитимной работе корпоративных приложений.