Основы информационной безопасности. Типы угроз и способы защиты. Настройки защиты от сетевых угроз: Брандмауэр. Другие меры защиты от вирусов-вымогателей

Цель атаки

уществует множество типов угроз корпоративным вычислительным сетям и различные способы их классификации. Опишем возможные угрозы с точки зрения метода нанесения ущерба.

Отказ от обслуживания представляет собой атаку, целью которой является блокировать и сделать невозможным функционирование того или иного сервиса. В простейшем случае в ходе подобной атаки реализуется «наводнение» - множественное использование атакуемого сервиса с целью достижения ситуации, когда программное или аппаратное обеспечение перестает справляться с потоком входящей информации. В более сложных вариантах производится отключение, переадресация или подмена отдельных сервисов.

Атаки отказа от обслуживания производятся особенно часто, так как не требуют фактического проникновения в защищенную часть корпоративной сети. Целью подобной атаки могут быть только сервисы, в той или иной степени предоставляемые пользователям вне корпоративной сети. Если такие сервисы в корпоративной сети имеются, угроза отказа от обслуживания становится фактически неизбежной.

Хищение — тип атаки, при которой нарушитель получает доступ к конфиденциальной информации, находящейся в защищенной зоне корпоративной сети.

Так же как и в случае отказа от обслуживания, чаще всего реализация данного типа атаки осуществляется без проникновения в защищенную зону корпоративной сети. При этом используются разнообразные сервисы, предназначенные для пересылки информации, - их побуждают различными способами выдавать больше информации, нежели положено, или передавать ее не только легальным пользователям, но и нарушителю.

Вторжение — тип атаки, при которой нарушитель получает доступ к ресурсам в защищенной зоне корпоративной сети и может нанести ущерб, уничтожив или фальсифицировав ценную или конфиденциальную информацию или нарушив функционирование отдельных узлов сети.

Вторжение реализуется, только если имеется возможность проникновения в защищенную зону корпоративной сети, соответственно для атаки такого типа нарушителю необходимы средства и технологии преодоления корпоративных брандмауэров.

Возможные новые угрозы

акие же новые угрозы указанных типов могут появиться? Рассмотрим, например, атаки, связанные с отказом от обслуживания. Уже сейчас различные сервисы, предоставляемые как внутренним, так и внешним пользователям корпоративной вычислительной сети, составляют важнейшую часть бизнеса. С развитием информационных технологий набор и сложность такого рода сервисов в глобальных и локальных вычислительных сетях будут только увеличиваться. В соответствии с этим будет возрастать и количество различных атак отказа в обслуживании, ибо, как уже говорилось, для организации или создания нового вида такой атаки можно не обладать практически никакой детальной информацией о структуре, протоколах и возможных слабых местах атакуемого сервиса. Вполне достаточно имитировать неприемлемо большое число пользователей сервиса. И просто последовательным закрытием «дыр», провоцирующих такого рода атаки, сохранить защищенность корпоративной сети невозможно - новые атаки будут появляться гораздо быстрее.

В принципе, то же самое можно сказать и о других видах атак - о хищении и вторжении. Но здесь потенциально быстрый рост количества новых типов атак нельзя назвать неизбежным. Для обеспечения сохранности конфиденциальной информации вовсе не обязательно регулярно обновлять программное обеспечение, использовать новейшие протоколы, стандарты и т.п.

В целом обеспечение конфиденциальности информации - крайне консервативная область деятельности. Казалось бы, это противоречит сделанному в начале статьи утверждению, что решения в этой сфере быстро сменяют друг друга. Но при внимательном рассмотрении оказывается, что стремительно меняется всё, что касается способов доставки, обработки и представления информации. Если же быстро начинают меняться сами средства обеспечения конфиденциальности - это столь же быстро приводит к их краху. Непросто придумать что-нибудь такое, что другой человек был бы не в состоянии разгадать. Есть только один способ убедиться в том, что вы создали действительно надежное средство для обеспечения конфиденциальности, - предоставить его максимально возможному количеству людей на достаточно большой срок для анализа алгоритма или его реализации. Если по прошествии длительного времени ваш продукт не будет скомпрометирован, можно говорить о его высоком качестве.

Таким образом, в вопросах безопасности можно и нужно рассчитывать на открытые, умеренно старые, проверенные временем и тысячами квалифицированных специалистов технические и программные решения. В этом случае, не делая резких скачков, можно ожидать постепенной ликвидации разного рода ошибок в стандартах и их реализациях и соответственно снижения количества атак (по крайней мере, успешных).

Слабое звено

ак всегда в подобных случаях, общий уровень защищенности корпоративной вычислительной сети определяется наименее защищенным компонентом - слабым звеном. Разумеется, в первую очередь атаке подвергаются наиболее плохо защищенные участки сети. Однако не следует думать, что это участки, на которых вообще не применялось никаких средств защиты.

Часто слабые места возникают при неграмотном или неоптимальном использовании средств защиты, недостаточно продуманных настройках системы. Не следует также забывать о хорошо знакомом утверждении «строгость законов компенсируется необязательностью их исполнения»: можно так усложнить работу пользователей сети, что они будут всеми силами пытаться обойти принятые политики безопасности. И обязательно в этом преуспеют, ибо защиты от легального пользователя никто и никогда не придумает.

Рассмотрим возможные слабые места корпоративной компьютерной сети. Во-первых, это программное обеспечение, используемое для организации работы корпоративной вычислительной сети, в частности наборы протоколов, из которых наибольшее распространение получил, безусловно, TCP/IP. Протокол TCP/IP уже в виде стандарта предоставляет множество возможностей для атаки злоумышленников, а некорректные его реализации приводят к возникновению новых слабых мест практически ежедневно. Подобные слабые места наиболее важны, так как присутствуют в подавляющем большинстве компьютерных систем.

Во-вторых, это собственно система защиты корпоративной вычислительной сети от внешнего мира - брандмауэр. Современные брандмауэры - сложные многокомпонентные системы, а сложность всегда ведет к возникновению ошибок и недочетов, а следовательно, к появлению слабых мест собственно в системе защиты - в брандмауэре.

В-третьих, это сервисы приложений, предоставляемые внешним пользователям, а также внешние сервисы, которые применяют пользователи корпоративной сети. Здесь поле для новых атак поистине безгранично. Одни только вирусы представляют серьезную угрозу, а ведь они не исчерпывают длинный перечень возможных неприятностей.

Рассмотрим характерные угрозы и атаки из вышеупомянутых областей, возникающие в процессе работы вычислительных сетей.

Некоторые атаки на уровне TCP/IP

Пассивные атаки (перехват)

Злоумышленник может причинять вред, никак не обнаруживая себя и не вступая напрямую во взаимодействие с системами в рамках вашей вычислительной сети. Фактически все может сводиться к наблюдению за общедоступными данными или сессиями связи.

Атаки такого рода заключаются в перехвате сетевого потока и его анализе. Анализ сетевого потока - распространенный способ получения потенциально конфиденциальной или просто ценной информации. Для перехвата сетевого потока используются разные способы, например можно контролировать какой-нибудь компьютер, через который должен проходить весь интересующий злоумышленника трафик. Если же установить контроль над каким-нибудь компьютером невозможно, нарушителю придется организовать получение данных, непосредственно ему не предназначенных. В некоторых сетях это сделать достаточно просто. Сети как на основе шинной топологии (например, Ethernet), так и использующие маркерное кольцо (например, FDDI) посылают все или почти все пакеты во все машины. Предполагается, что машины будут игнорировать пакеты, которые адресованы не им, но полностью контролируя какую-либо входящую в сеть машину, можно изменить эту установку и читать все пакеты независимо от того, кому они адресованы. Поскольку TCP/IP-трафик, как правило, не шифруется (за исключением, например, технологий виртуальных частных сетей), злоумышленник, используя соответствующий инструментарий, может отслеживать telnet-сессии и извлекать из них имена пользователей и их пароли.

Данный тип атаки невозможно отследить, не имея доступа к системе злоумышленника, поскольку сетевой поток не изменяется. Единственный способ защиты от перехвата - шифрование TCP/IP-потока (например, с помощью виртуальных частных сетей). Другой вариант решения - использование специфической топологии вычислительной сети (например, с непосредственным подключением пользователей к магистрали), в результате чего практически всегда каждая машина получает только тот трафик, который адресован ей.

Возникновение новых угроз и атак путем перехвата, когда сетевой поток не изменяется, обусловлено в основном используемым программным обеспечением для передачи конфиденциальной информации, авторизации, аутентификации и т.п. Многие старые, но еще использующиеся технологии по сути не приспособлены для адекватной защиты от перехвата. Самое надежное решение заключается в отказе от применения таких технологий и технических решений.

Активные атаки

При данном типе атак злоумышленник осуществляет модификацию или даже создание TCP/IP-пакетов. Такие атаки часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соответствующий инструментарий.

Обладая достаточными привилегиями в системе, используемой для организации атаки, злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным образом. Получив такой пакет, невозможно выяснить, откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Конечно, при установке обратного адреса, не совпадающего с текущим IP-адресом, злоумышленник никогда не получит ответ на посланный пакет. Однако часто это и не требуется.

Возможность формирования произвольных IP-пакетов является необходимым условием для осуществления активных атак. Ниже мы рассмотрим некоторые типы подобных атак, однако следует иметь в виду, что это - капля в море всевозможных угроз и атак, появляющихся буквально каждый день.

IP-фрагментация

Одна из особенностей протокола IP состоит в том, что для передачи информации по различным каналам связи с разными максимальными размерами пакетов реализована возможность дробления больших пакетов на меньшие, называемые фрагментами. В конце маршрута пакет будет собран машиной-адресатом (но не маршрутизатором в конце лимитирующей линии связи; после дробления пакет обычно остается фрагментированным, пока не достигнет машины-адресата).

При фрагментации IP-пакета только первый фрагмент содержит информацию о заголовке протокола верхнего уровня, например TCP. Соответственно, если пришло несколько не первых фрагментов, машина-адресат хранит их некоторое время в памяти, что может быть использовано нарушителем в атаках отказа от обслуживания.

Кроме того, нарушители могут использовать специальным образом фрагментированные пакеты, чтобы замаскировать данные. Каждый фрагмент содержит информацию о том, где находятся начало и конец содержащихся в нем данных. Обычно очередные пакеты идут вслед за предыдущими. Однако нарушители могут создавать пакеты, в которых фрагменты фактически перекрываются и содержат одни и те же адреса данных.

Поскольку перекрывающиеся фрагменты - аномальное явление, многие ОС некорректно реагируют на него и пытаются собирать такие фрагменты в пакеты, что может привести к сбоям в операционной системе. Таким образом, фрагментированные пакеты могут применяться в атаках отказа от обслуживания.

Нарушитель также может, имея информацию о системах защиты, системах обнаружения атак и алгоритме сборки перекрывающихся фрагментов, построить фрагменты таким образом, чтобы скрыть информацию от систем наблюдения, защиты и обнаружения атак, то есть реализовать атаку-вторжение.

Кроме того, можно организовать поступление информации на защищенный в иных условиях порт. Нарушитель может создать пакет с приемлемыми заголовками в первом фрагменте, а затем перекрыть его следующим фрагментом, имеющим те же заголовки. Поскольку в нормальном режиме TCP заголовки в не первых фрагментах должны отсутствовать, возможно, они будут пропущены системами защиты, реализуя атаку-вторжение.

Атаки, основанные на IP-фрагментации, являются ярким примером бомбы замедленного действия, заложенной в сам стандарт протокола IP. Некорректные реализации этого протокола лишь добавляют масла в огонь. Однако тенденции возникновения все новых и новых вариантов атак такого типа не наблюдается.

Опции IP

Заголовок пакета в протоколе IP включает поле опций, которое в нормальном режиме является пустым. Основная опция, которая может быть использована нарушителем, - опция маршрутизации отправителя. Она позволяет отправителю пакета определить его маршрут к адресату вместо того, чтобы разрешить каждому маршрутизатору по пути следования пакета использовать свои таблицы для решения, куда его направлять. Нарушитель может задействовать данную опцию, чтобы попытаться обойти защиту шлюза и направить пакеты в защищенную зону корпоративной компьютерной сети нетривиальным образом.

Атаки, основанные на опциях протокола IP, также проистекают из стандарта, а не его реализации. Возникновение новых атак такого рода маловероятно, поскольку весьма распространенной политикой является полное игнорирование IP-опций.

Подделка IP-адресов

При подделке IP-адресов нарушитель посылает пакеты с неправильным адресом отправителя. В этом случае ответы будут отправляться не нарушителю, а по указанному им адресу. Однако по нескольким причинам это не является помехой для реализации атаки.

Во-первых, нарушителю ответ может быть и не нужен. Такая ситуация складывается, например, в случае атаки отказа от обслуживания. Атакованная машина, вполне возможно, не сможет ответить, что и является целью атаки.

Во-вторых, нарушитель может быть заинтересован в факте доставки пакетов именно по поддельному адресу. Если пакеты формируются таким образом, что ответы на них сами реализуют атаку на хост, чей адрес был подделан в качестве адреса отправителя исходных пакетов, то при этом целевой хост первоначальной посылки пакетов будет представлен как источник атаки, а нарушитель останется необнаруженным.

В-третьих, нарушитель получает возможность перехватить ответ. В этом случае он сколь угодно долго может продолжать сеанс связи от имени ложного отправителя. Такой случай является основой атак на прикладном уровне.

Подделка IP-адресов используется довольно часто, и следует ожидать постоянного появления новых угроз, основанных на данном методе.

Сканирование портов

Сканирование портов — это процесс поиска на машине портов для выявления возможных объектов атаки. Прямое сканирование портов достаточно легко обнаружить, поэтому нарушителю необходимо применять ряд методов маскировки. Например, многие машины не регистрируют соединение, пока оно не установлено полностью, так что нарушитель может послать неполный начальный пакет, получить ответ, с помощью которого можно понять, открыт порт или нет, и прервать соединение. Нарушители могут также специально посылать пакеты, чтобы определить, открыт ли порт, по полученному ответу или по содержимому сообщения об ошибке, причем для этой цели могут использоваться любые комбинации признаков. Отметим, что подобные действия могут привести к фатальному сбою работы некоторых устройств и даже к их отключению.

Такого рода действия можно назвать поиском жертвы, и они будут осуществляться всегда, поскольку это первый и едва ли не самый важный этап деятельности злоумышленника. К счастью, сканирование портов достаточно легко обнаружить. Его следует рассматривать как сигнал к тому, что сеть подвергается атаке. А атаку, о факте совершения которой известно, предотвратить всегда легко. Неизбежна также постоянная побочная угроза от сканирования портов - отказ в обслуживании, возникающий в случае чересчур активных попыток злоумышленников нащупать слабое звено в средствах защиты.

Приложения

Ошибки в программах

Атаки, основанные на ошибках реализации тех или иных программных продуктов, получили самое широкое распространение, а их интенсивность с течением времени продолжает неуклонно расти. Это, в частности, вызвано и общими тенденциями снижения надежности программного обеспечения.

Одним из самых распространенных типов атак, основанных на ошибках программной реализации, является семейство атак «переполнение буфера». В общих чертах, суть атак такого типа заключается в следующем: если программист выделяет буфер фиксированного размера и заносит в него динамические данные, не убедившись, достаточно ли свободного места для их размещения, то непоместившиеся данные вылезают за его границы и попадают в ячейки памяти, расположенные за концом буфера. Переменные, находящиеся в этих ячейках, искажаются, а поведение программы становится непредсказуемым.

Если буфер расположен в стеке, существует возможность перезаписи адреса возврата из функции, что приводит к передаче управления на незапланированный разработчиком код. Нарушитель, имея доступ к коду программы, определяет, данные какого именного размера и содержания нужно записать в буфер, чтобы вызвать модификацию адреса возврата, приводящую к вызову нужного нарушителю кода, например командного интерпретатора.

На данный момент существует великое множество подобных атак (причем полностью действенных), и количество их будет постоянно расти независимо от применяемых средств защиты.

Впрочем, есть способ решить проблему полностью - писать программы без ошибок. Беда в том, что никто не знает, как этого добиться.

Вирусы

Вирусы — особый класс прикладных программ, способных нанести практически произвольный урон любым ресурсам вычислительной сети. Условия проведения атаки близки к идеальным: злоумышленник пишет вредоносную программу, а легальный пользователь, зачастую добровольно, запускает ее в тепличных условиях доверенной системы корпоративной вычислительной сети. Таков сценарий действия большинства современных вирусов. Причем тенденции последних лет свидетельствуют о том, что, несмотря на разработку разного рода эвристических алгоритмов выявления новых вирусов, антивирусное программное обеспечение все-таки постоянно отстает и способно предотвращать лишь проникновение уже хорошо известных и изученных вирусов. По статистике последних лет, у новых качественных вирусов есть несколько дней для безраздельного господства в глобальных и локальных вычислительных сетях. И опять же нет причин ожидать серьезных изменений данной тенденции.

Средства обнаружения атак

редства обнаружения атак предназначены для выявления событий, которые могут быть интерпретированы как попытка атаки, и для уведомления о них IT-администратора. Их можно разделить на две категории в зависимости от области функционирования: средства, анализирующие трафик всей сети (в этом случае на рабочих станциях сети нередко устанавливаются части соответствующего программного обеспечения, называемые агентами), и средства, анализирующие трафик конкретного компьютера (например, корпоративного Web-сервера). Средства обнаружения атак, подобно брандмауэрам, могут быть реализованы как в виде программного обеспечения, так и в виде аппаратно-программного комплекса. Очевидно, что такие средства требуют тщательной настройки, чтобы обнаруживать истинные попытки атак, но не выполнять ложных срабатываний.

Лидерами рынка средств обнаружения атак, по мнению Gartner Group, являются Cisco Systems, Internet Security Systems, Enterasys Networks и Symantec. По данным Butler Group, наряду с этими компаниями к популярным производителям этой категории средств обеспечения безопасности относятся также Computer Associates и Entercept Security Technology.

Корпоративные брандмауэры

орпоративные брандмауэры контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы. Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет его происхождения или соответствия иным правилам пропускания пакетов), после чего либо пропускается, либо отклоняется. Обычно брандмауэры могут выполнять роль фильтра пакетов или прокси-сервера (в последнем случае брандмауэр является посредником при выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения локальной и внешней сетей). Рассмотрим основные функции, выполняемые корпоративными брандмауэрами.

Фильтрация пакетов

Фильтрация пакетов представляет собой выборочную маршрутизацию пакетов между внешними и внутренними хостами. При этом некоторые типы пакетов пропускаются или блокируются по правилам, отражающим принятые политики безопасности корпоративной сети. Обычно функция фильтрации пакетов возлагается на маршрутизатор (так называемый фильтрующий маршрутизатор) в составе шлюза корпоративной сети.

Основная информация, используемая фильтрующим маршрутизатором для принятия решения о пересылке или блокировании IP-пакета, - это его заголовок. В частности, учитываются IP-адреса и порты (в протоколах TCP и UDP) отправителя и получателя, протокол, тип сообщения (в протоколе ICMP), размер пакета. Фильтрующий маршрутизатор может также просматривать следующую за заголовком область данных, что позволяет осуществлять фильтрацию на основе более детальной информации и проверять, отформатированы ли пакеты так, как необходимо для их порта назначения. Маршрутизатор может удостовериться в правильности пакетов (например, что они имеют указанный размер и что он является допустимым) - это помогает обнаружить ряд угроз отказа в обслуживании, основанных на некорректно сформированных пакетах.

Кроме характеристик пакета анализируется информация о его истории, а именно: является ли данный пакет ответом на другой пакет, сколько других пакетов было получено с того же хоста, идентичен ли пакет недавно исследованному пакету и т.д. Учитывается также информация о конкретном интерфейсе фильтрующего маршрутизатора, с которого пришел пакет.

При анализе IP-пакета маршрутизатор может выполнять, в частности, следующие действия:

Переслать пакет по указанному адресу;

Отбросить пакет (без уведомления отправителя);

Отклонить пакет (с уведомлением отправителя);

Зарегистрировать информацию о пакете;

Подать сигнал тревоги;

Изменить пакет (например, транслировать адрес);

Переслать пакет другому адресату (например, направить его на прокси-сервер или на другой сервер, чтобы сбалансировать нагрузку);

Изменить правила фильтрации (например, начать отбрасывать все пакеты от хоста, который ранее прислал подозрительные пакеты).

Прокси

Прокси-сервисы — это специализированные приложения, или серверные программы, которые принимают запросы пользователей к различным сервисам (FTP, SMTP и т.д.) и направляют их туда. Прокси обеспечивают подмену соединений и действуют как шлюзы для сервисов.

Прокси-сервисы более или менее прозрачно располагаются между пользователем и внешним сервисом, и вместо непосредственного диалога друг с другом каждая сторона обращается к прокси. Прокси-сервер создает у пользователя полную иллюзию того, что он имеет дело непосредственно с сервисом, а у реального сервера - что он соединен непосредственно с пользователем.

Основная защитная функция прокси-сервиса состоит в том, что при инициировании неким хостом сессии с определенным внешним или внутренним сервисом он принимает решение разрешить или блокировать данное соединение. Главное отличие прокси от фильтрации пакетов состоит в том, что в данном случае решение принимается на прикладном уровне и на основе информации прикладного уровня. Это часто позволяет организовать фильтрацию более разумно, чем пакетный фильтр (например, существенно эффективнее удалять Java и JavaScript из HTTP-ответов). Кроме того, поскольку прокси-сервис активно участвует в соединении, возможна аутентификация и авторизация с его помощью. Поскольку прокси-сервис располагается между клиентом и внешним сервисом, он генерирует абсолютно новые пакеты для клиента. Поэтому прокси-сервис может защитить клиента от атак, связанных с некорректно сформированными IP-пакетами.

Основными недостатками прокси-сервисов являются довольно низкая производительность (по сравнению с фильтрацией пакетов) и необходимость создания отдельного прокси для каждого применяемого сервиса.

Трансляция адресов

Трансляция сетевых адресов позволяет сетям использовать один набор для внутренних сетевых адресов и другой - для внешних соединений. Сама по себе трансляция сетевых адресов не обеспечивает никакой защиты, но она помогает скрывать внутренние сетевые ресурсы и вынуждает все соединения проходить через одну точку (так как соединения по неоттранслированным адресам открываться не будут, а трансляция адресов производится на «клапане»).

При трансляции адресов производятся следующие основные действия. Когда хост, находящийся во внутренней сети, посылает пакет во внешнюю сеть, система трансляции сетевых адресов изменяет исходный адрес пакета таким образом, чтобы он выглядел как исходящий от допустимого во внешней сети адреса. Когда хост, располагающийся во внешней сети, посылает пакет во внутреннюю сеть, система трансляции сетевых адресов заменяет адрес назначения на адрес из внутренней сети.

Системы трансляции сетевых адресов могут применять различные алгоритмы преобразования адресов:

Динамически распределять имеющиеся внешние адреса всякий раз, когда внутренний хост инициирует соединение, но без изменения номеров портов. Это ограничивает число внутренних хостов, которые одновременно могут подключаться к внешним хостам;

Создать фиксированную схему переадресации внутренних адресов в видимые извне адреса, но производить переадресацию портов таким образом, чтобы все внутренние хосты соединялись с конкретным адресом.

Предлагаемые продукты

При выборе брандмауэра компании нередко руководствуются результатами независимых тестирований. Наиболее распространенными стандартами, на соответствие которым тестируются брандмауэры, являются ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services), называемый также Common Criteria Standard.

Наиболее популярными производителями корпоративных брандмауэров, по данным Gartner Group, являются CheckPoint Software, Cisco Systems, Microsoft, NetScreen Technologies и Symantec Corporation. Продукты Check Point Software Technologies, Cisco Systems и NetScreen Technologies представляют собой аппаратно-программные комплексы, тогда как продукты Microsoft и Symantec - это программные средства, функционирующие на обычных компьютерах под управлением стандартных серверных операционных систем.

Преодоление брандмауэра

Наиболее слабым звеном в защите с помощью брандмауэра является человек. Согласно данным статистики, до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Людям свойственно ошибаться, а значит, надо предполагать, что количество такого рода слабых мест, причем типичных, будет оставаться большим. Меняться будут лишь возможности сделать ошибку при настройке системы.

Кроме явных ошибок, к уязвимости могут приводить и вполне сознательные действия. Например, распространенной политикой безопасности является запрещение на брандмауэре всех протоколов, за исключением действительно необходимых для предоставления сервисов внешним или внутренним по отношению к брандмауэру пользователям. Однако администратор брандмауэра по просьбе кого-либо из внутренних пользователей может на время разрешить доступ по некоторым протоколам (например, по ICQ). Этого может быть вполне достаточно, чтобы брандмауэр больше никогда не представлял никаких проблем для злоумышленников.

Другим слабым местом брандмауэров является то, что атаки можно производить, не преодолевая их. Зачем пытаться проникнуть к ресурсам через защитные средства (в частности, брандмауэр), когда можно попытаться их обойти? Например, простым техническим средством для обхода брандмауэра является модем, который применяется легальным пользователем (невольным сообщником) для доступа в Интернет помимо брандмауэра.

Большое количество возможных угроз обхода брандмауэра связано с действиями внутренних пользователей (по статистике - до 80% таких случаев происходит изнутри). Брандмауэр только просматривает трафик на границах между внутренней и внешней сетями. Если трафик, использующий слабые места в защите, не проходит через брандмауэр, то никаких признаков атаки и не обнаруживается. В общем, ни один, даже самый эффективный и сложный брандмауэр, не может обнаружить попытку обойти его со стороны легального пользователя изнутри сети.

По этим причинам не стоит ожидать снижения количества атак после установки даже самого совершенного оборудования, а также принятия и выполнения добросовестными легальными пользователями самой жесткой политики безопасности.

Виртуальная частная сеть — сила и слабость

ехнология виртуальных частных сетей помогает решить многие проблемы безопасности. В результате ее применения фактически весь поток информации, проходящий между сегментами корпоративной сети по открытым каналам связи, передается в шифрованном виде. Доступ легальных пользователей из открытой сети во внутреннюю корпоративную сеть осуществляется на основе процедур аутентификации и авторизации.

Виртуальные частные сети предоставляют довольно высокий уровень защиты информации, однако они же могут быть источником серьезной угрозы. В случае использования виртуальных частных сетей основной интерес злоумышленника будет проявлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которыми установлены доверительные отношения. Соответственно основные усилия злоумышленник будет прилагать для установления таких доверительных отношений с системой. Сделать это можно даже только с помощью пассивных средств, например перехватывая сеанс аутентификации легального пользователя.

Кроме того, в случае компрометации доверенной системы эффективность его дальнейших атак будет крайне высока, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять несанкционированные действия по отношению к цели своей атаки.

Антивирусное программное обеспечение

ААнтивирусное программное обеспечение предназначено для защиты сети компании от различных типов вирусных атак. Поскольку сегодня самым распространенным способом передачи вирусов являются сообщения электронной почты, наиболее популярным корпоративным антивирусным программным обеспечением остаются антивирусы для почтовых серверов, распознающие сигнатуры вирусов внутри сообщений. Наряду с ними многие компании выпускают антивирусное программное обеспечение для файловых серверов, а также специализированное ПО, используемое Интернет-провайдерами.

Антивирусное программное обеспечение обязательно содержит следующие компоненты:

Приложение для управления настройками;

Средства сканирования файлов и поиска сигнатур вирусов;

База данных или библиотека, содержащая определения известных вирусов.

Заметим, что результативность антивирусного программного обеспечения зависит от регулярности обновления баз данных, содержащих определения вирусов.

По данным аналитической компании Gartner Group, лидерами рынка антивирусного программного обеспечения являются Network Associates, Symantec, TrendMicro. Значительную роль играют также компании Sophos, Computer Associates, F-Secure. Эти производители выпускают продукты для настольных систем, файловых серверов, SMTP-шлюзов, Web-серверов и FTP-серверов, позволяющие поддерживать распределенные системы.

На российском рынке, помимо вышеперечисленных продуктов, широко распространены корпоративные антивирусы «Лаборатории Касперского» и ЗАО «ДиалогНаука».

О политике безопасности

амое современное антивирусное программное обеспечение может оказаться совершенно бесполезным, если не реализована надлежащая политика безопасности, определяющая правила применения компьютеров, сети и данных, а также процедуры, предназначенные для предотвращения нарушения этих правил и реакции на подобные нарушения, если таковые все же возникнут. Отметим, что при выработке подобной политики требуется проведение оценки рисков, связанных с той или иной деятельностью (например, с предоставлением бизнес-партнерам данных из корпоративной информационной системы). Полезные рекомендации на этот счет содержатся в международных стандартах (таких как международный стандарт безопасности информационных систем ISO 17799). Выбор аппаратных и программных средств обеспечения безопасности во многом определяется выработанной политикой.

От себя добавим, что регулярная работа с системными компонентами, обеспечивающими безопасность, способствует ее повышению. Экспериментируйте, применяйте различные средства защиты информации, постоянно меняйте ключевую информацию, используемую в этих средствах. Помните о том, что по сравнению с классической криптографией задача компьютерного перехвата намного сложнее из-за применения разнообразных сетевых протоколов. И хотя нет ничего тайного, что рано или поздно не становится явным, будем надеяться хотя бы на временную стойкость средств защиты.

Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.

Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:

Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.

Технологии Сетевой защиты

Уровень "Сетевая защиты" включает в себя 3 различные технологии.

Network Intrusion Prevention Solution (Network IPS)

Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

Защита Браузера

Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

Un-Authorized Download Protection (UXP)

Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

Ориентируясь на проблемы

Работая вместе, технологии сетевой защиты решают следующие проблемы.

Загрузки методом Drive-by и наборы инструментов для веб-атак

Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

Атаки типа «Социальной инженерии»

Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

Атаки, нацеленные на социальные медиа-приложения

Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.

Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

Защита от «запутанных» угроз

Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

Угрозы «Нулевого дня» и неисправленные уязвимости

Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

Защита от неисправленных уязвимостей в ПО

Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

Вредоносные IP и блокировка доменов

Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

Улучшенное сопротивление к Уклонению

Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

STAR Intelligence Communication Protocol

Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

В следующей статье мы рассмотрим уровень "Поведенческий анализатор".

По материалам Symantec

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Сегодня мы поговорим об основных правилах информационной безопасности. И сразу хотелось бы отметить, что 100% защиты просто не существует, кто бы, что не говорил. Даже локальные сети, полностью изолированные от внешней сети и сети Интернет подвержены угрозам, поскольку, так или иначе, информация попадает в эту сеть (флешки, диски и т.д.).

Угрозы информационной безопасности можно разделить на два типа: технические угрозы и человеческий фактор.

Технические угрозы информационной безопасности.

Ошибки в программном обеспечении

Самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов. Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем программного обеспечения. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS и DDoS-атаки

Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

Компьютерные вирусы, троянские кони

Вирусы — старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

Анализаторы протоколов и «снифферы»

В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

Технические средства съема информации

Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Угрозы информационной безопасности связанные с человеческими факторами:

Уволенные и недовольные сотрудники

Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачатую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.

Промышленный шпионаж

Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети - не самый простой вариант. Очень может статься, что уборщица, моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.

Халатность

Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, - в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.

Низкая квалификация

Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один - обучение пользователей, создание соответствующих документов и повышение квалификации.

Способы защиты от несанкционированного доступа

Какие мероприятия мы можем провести, чтобы минимизировать риск взлома нашей информационной сети? Для этого нужно:

1) В первую очередь необходимо обеспечить физическую безопасность . Доступы во все серверные и коммутационные комнаты должен быть предоставлен ограниченному числу сотрудников. Если используются точки доступа, они должны быть максимально скрыты что бы избежать к ним физический доступ. Данные должны иметь физические резервные копии Утилизация жёстких дисков должна проходить под строгим контролем. Ведь получив доступ к данным, последствия могут быть печальными.

2) Позаботится о внешней безопасности . Первый «защитник сети», выступает farewall или межсетевой экран, обеспечивающий защиту от несанкционированного удалённого доступа.

Сеть можно разделить на подсети для ограничения серверов от пользователей. Использование фильтрующего маршрутизатора, который фильтрует исходящие и входящие потоки. Все устройства подключение к сети буду иметь доступ в интернет, а обратно доступ к устройствам из Интернета блокируется.

3) Разграничения в ролях администраторов и пользователей

Доступ к серверам не должен иметь рядовой пользователь;

Доступ управления конфигурацией компьютеров должен иметь только администратор;

Доступ к сетевым ресурсам должны иметь каждый там, где ему это необходимо для выполнения должностных обязанностей;

Трафик всех сотрудников должен фильтроваться, и в этом поможет прокси-сервер;

Каждый пользователь должен устанавливать сложный пароль, и не должен не кому его передавать. Даже IT специалисты его не знают.

4) Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует проникновения в сеть вирусов. В первую очередь необходимо защитить сервера, рабочие станции, шлюзы и систему корпоративной почты

5) Установка актуальных обновлений программного обеспечения.

6) Защита сети через виртуальные частные сети VPN . В связи со спецификой работы организаций, как показывает практика, многие сотрудники осуществляют рабочую деятельность удалённо, в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN, о которых мы рассказывали в статье «Как настроить VPN соединение для Windows? Настройка VPN сервера »

7) Безопасность корпоративной почты . Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг атакам. Чтобы решить данную проблему рекомендуется использовать следующие методы:

Анализ вложения письма (должен осуществляться анализ не только текста, но и самих вложений)

Определение массовости письма (большинство почтовых серверов имеют такую функцию, можно посмотреть, кому в почтовые ящики упали письма)

8) Никакая система не защитит от человеческого фактора . Все сотрудники компании, вне зависимости от должности должны понимать и главное соблюдать правила информационной безопасности. Любые посторонние файлы, скаченные из сети или из почты могут быть опасны и нести в себе угрозу, а так же внешние накопители информации, которые не относятся к рабочему процессу.

Договориться, чтобы перед информированием сотрудника об увольнении, сначала сообщили вам, а вы продумали ряд мероприятий, для защиты рабочих документов данного сотрудника от кражи или порчи.

А так же повышать квалификацию работников в области информационной безопасности и компьютерной грамотности!

Это основные аспекты защиты информации в корпоративной сети, которые действенны, и используются почти в каждой компании. Выбор комплекса защиты зависит от самой структуры корпоративной сети. Не забывайте использовать защиту комплексно.

Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных. В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась. Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала.

Мотивом для осуществления подобной преступной деятельности является получение прибыли. Самым простым, и поэтому самым распространенным способом является заражение сетевых хостов вредоносным ПО типа Ransomware. За последние 2 года его популярность стремительно растет:

• за 2016 год количество известных типов (семейств) троянов-вымогателей увеличилось на 752%: с 29 типов в 2015 году до 247 к концу 2016 года (по данным TrendLabs);
• благодаря вирусам-вымогателям злоумышленники за 2016 год «заработали» 1 миллиард долларов США (по данным CSO);
• в 1 квартале 2017 года появилось 11 новых семейств троянов-вымогателей и 55 679 модификаций. Для сравнения, во 2-4 кварталах 2016 года появилось 70 837 модификаций (по данным Kaspersky Lab).

В начале 2017 года ведущие производители средств защиты информации (Kaspersky Lab, McAfee Labs, SophosLabs, Malwarebytes Labs, TrendMicro и др.) называли Ransomware одной из основных угроз безопасности информации для государственных и коммерческих организаций различных сфер деятельности и масштабов. И как показывает история, они не ошиблись:

• Январь 2017 г. Заражение 70% камер видеонаблюдения за общественным порядком в Вашингтоне накануне инаугурации президента. Для устранения последствий камеры были демонтированы, перепрошиты или заменены на другие;
• Февраль 2017 г. Вывод из строя всех муниципальных служб округа Огайо (США) более чем на одну неделю из-за массового шифрования данных на серверах и рабочих станциях пользователей (свыше 1000 хостов);
• Март 2017 г. Вывод из строя систем Капитолия штата Пенсильвания (США) из-за атаки и блокировки доступа к данным информационных систем;
• Май 2017 г. Крупномасштабная атака вируса-шифровальщика WannaCry (WanaCrypt0r 2.0), поразившая на 26.06.2017 более 546 тысяч компьютеров и серверов на базе операционных систем семейства Windows в более чем 150 странах. В России были заражены компьютеры и серверы таких крупных компаний, как Минздрав, МЧС, РЖД, МВД, «Мегафон», «Сбербанк», «Банк России». Универсального дешифратора данных до сих пор не существует (были опубликованы способы расшифровать данные на Windows XP). Общий ущерб от вируса по оценкам экспертов превышает 1 млрд долларов США;
• Крупномасштабная атака вируса-шифровальщика XData в мае 2017 года (через неделю после начала атаки WannaCry), использующая для заражения аналогичную WannaCry уязвимость (EternalBlue) в протоколе SMBv1 и поразившая в основном корпоративный сегмент Украины (96% зараженных компьютеров и серверов находятся на территории Украины), скорость распространения которого превышает WannaCry в 4 раза. В настоящий момент ключ шифрования опубликован, выпущены дешифраторы для жертв вымогателя;
• Июнь 2017 г. Обширной атаке Ransomware была подвержена сеть одного из крупнейших университетов мира – Univercity College London. Атака была направлена на блокирование доступа к общим сетевым хранилищам, автоматизированную систему студенческого управления. Выполнено это было в предэкзаменационный и выпускной период, когда студенты, хранящие свои дипломные работы на файловых серверах университета, вероятнее всего заплатят мошенникам с целью получения своей работы. Объем зашифрованных данных и пострадавших не раскрывается.

Случаев направленных атак с целью заражения Ransomware очень много. Основной целью злоумышленников являются системы на базе ОС семейства Windows, однако существуют различные версии Ransomware для ОС семейств UNIX/Linux, MacOS, а также мобильных платформ iOS и Android.

С развитием Ransomware появляются и средства противодействия им. В первую очередь это открытый проект No more Ransom! (www.nomoreransom.org), предоставляющий жертвам атак средства дешифрования данных (в случае вскрытия ключа шифрования), во вторую – специализированные open-source средства защиты от вирусов-шифровальщиков. Но и они либо анализируют поведение ПО по сигнатурам и не способны обнаружить неизвестный вирус, либо обеспечивают блокировку вредоносного ПО после его воздействия на систему (шифрования части данных). Специализированные Open-source решения применимы интернет-пользователями на личных / домашних устройствах, крупным организациям, обрабатывающим большие объемы информации, в том числе критичной, необходимо обеспечивать комплексную проактивную защиту от направленных атак.

Проактивная защита от направленных атак и Ransomware

Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:

• Воздействие на периметр локальной вычислительной сети из интернета возможно через:
• корпоративную электронную почту;
• веб-трафик, в том числе веб-почту;
• периметровый маршрутизатор / межсетевой экран;
• сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
• системы защищенного удаленного доступа.
• Воздействие на серверы, рабочие места пользователей по сети:
• загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
• использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
• загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
• подключение к локальной сети нелегитимных устройств.
• Прямое воздействие на информацию на серверах, рабочих местах пользователей:
• подключение внешних носителей информации с вредоносом;
• разработка вредоносных программ прямо на конечной точке / сервере.

Для уменьшения вероятности реализации угрозы для каждого типа доступа к защищаемой информации необходимо обеспечивать выполнение комплекса организационно-технических мер по защите информации, перечень которых отражен на рисунке (см. Рисунок 1)

Рисунок 1. Проактивные меры защиты от направленных атак и Ransomware

Организационные меры защиты от направленных атак и Ransomware

К основным организационным мерам проактивной защиты от направленных атак и Ransomware относятся:

• Повышение осведомленности сотрудников в области ИБ.
  Необходимо регулярно проводить обучение сотрудников и информировать их о возможных угрозах ИБ. Минимальной и необходимой мерой является формирование принципов работы с файлами и почтой:
  o не открывать файлы с двойным расширением: настроить для пользователей отображение расширений, чтобы идентифицировать вредоносные файлы с двойными расширениями (например, 1СRecord.xlsx.scr);
  o не включать макросы в недоверенных документах Microsoft Office;
  o проверять адреса отправителей почтовых сообщений;
  o не открывать ссылки на веб-страницы, почтовые вложения от неизвестных отправителей.
• Оценка эффективности защиты как внутри организации, так и с привлечением внешних специалистов.
  Оценивать эффективность обучения персонала необходимо при помощи моделирования атак, как внутренних, так и с участием внешних специалистов - проводить тесты на проникновение, в т. ч. с использованием метода социальной инженерии.
• Регулярное обновление системного ПО (Patch Management).
  Для предотвращения атак вредоносного ПО на целевые системы через известные уязвимости необходимо обеспечить своевременное тестирование и установку обновлений системного и прикладного ПО с учетом приоритизации по степени критичности обновлений.
• Систематизация резервного копирования данных.
  Необходимо регулярно выполнять резервное копирование критически важных данных серверов информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться на ленточных библиотеках системы хранения данных, на отчуждаемых носителях информации (при условии, что носитель информации не подключен постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.

Технические меры защиты от направленных атак и Ransomware

Технические мероприятия проактивной защиты от направленных атак и Ransomware предпринимаются на уровне сети и на уровне хоста.

Меры проактивной защиты на уровне сети

• Использование систем фильтрации электронной почты , обеспечивающих анализ почтового трафика на наличие нежелательных писем (spam), ссылок, вложений, в том числе вредоносных (например, блокировка файлов JavaScript (JS) и Visual Basic (VBS), исполняемые файлы (.exe), файлы заставки (SCR), Android Package (.apk) и файлы ярлыков Windows (.lnk)).
• Использование систем контентной фильтрации веб-трафика , обеспечивающих разграничение и контроль доступа пользователей к интернету (в т.ч. путем разбора SSL-трафика с помощью подмены сертификата сервера), потоковый анализ трафика на наличие вредоносных программ, разграничение доступа пользователей к содержимому веб-страниц.
• Использование систем защиты от целенаправленных атак , атак нулевого дня (Sandbox, песочница), обеспечивающих эвристический и поведенческий анализ потенциально опасных файлов в изолированной среде перед отправкой файла в защищаемые информационные системы. Системы защиты от направленных атак должны быть интегрированы с системами контентной фильтрации веб-трафика, фильтрации электронной почты для блокирования вредоносных вложений. Также системы защиты от направленных атак интегрируют с информационными системами внутри периметра сети для обнаружения и блокировки сложных атак на критичные ресурсы, сервисы.
• Обеспечение контроля доступа к корпоративной сети на уровне проводной и беспроводной сети с помощью технологии 802.1x. Такая мера исключает несанкционированное подключение нелегитимных устройств в корпоративную сеть, обеспечивает возможность выполнения проверки на соответствие корпоративным политикам при доступе в сеть организации (наличие антивирусного ПО, актуальные сигнатурные базы, наличие критических обновлений Windows). Контроль доступа к корпоративной сети с помощью 802.1x обеспечивается системами класса NAC (Network Access Control).
• Исключение прямого взаимодействия внешних пользователей с ресурсами корпоративных информационных систем с помощью промежуточных шлюзов доступа с наложенными корпоративными средствами защиты информации (терминальный сервер, система виртуализации рабочих столов VDI), в том числе с возможностью фиксации действий внешних пользователей с помощью видео или текстовой записи сессии. Мера реализуется с помощью систем терминального доступа, систем класса PUM (Privileged User Management).
• Сегментирование сети по принципу необходимой достаточности для исключения избыточных разрешений сетевого взаимодействия, ограничения возможности распространения вредоносных программ в корпоративной сети в случае заражения одного из серверов / рабочих мест пользователей / виртуальных машин. Возможна реализация такой меры с помощью систем анализа политик межсетевого экранирования (NCM / NCCM, Network Configuration (Change) Management), обеспечивающих централизованный сбор политик межсетевого экранирования, настроек межсетевых экранов и дальнейшую их обработку с целью автоматизированной выдачи рекомендаций по их оптимизации, контроль изменений политик межсетевого экранирования.
• Выявление аномалий на уровне сетевых взаимодействий с помощью специализированных решений класса NBA & NBAD (Network Behavior Analysis, Network Behavior Anomaly Detection), позволяющих осуществить сбор и анализ сведений о потоках данных, профилирование трафика для каждого сетевого хоста для выявления отклонений от «нормального» профиля. Данный класс решений позволит выявить:

  O сканирование зараженным хостом своего окружения;
  o вектор заражения;
  o состояние хоста:«просканирован», «заражен и сканирует других»;
  o однонаправленные потоки;
  o аномальные потоки;
  o вирусные эпидемии;
  o распределенные атаки;
  o картину существующих потоков.

• Отключение зараженных хостов (автоматизированных рабочих мест, серверов, виртуальных машин и пр.) от сети. Эта мера применима в случае заражения хотя бы одного из хостов в корпоративной сети, однако необходима для локализации и предотвращения вирусной эпидемии. Рабочие места от сети можно отключить как силами администрирующего персонала ИТ и ИБ, так и автоматизировано при обнаружении признаков угрозы на защищаемом хосте (путем корреляции событий безопасности, настройки автоматизированных действий по блокировки всех сетевых активностей на хосте / отключению хоста от сети на уровне коммутатора и пр.).

Меры проактивной защиты на уровне хоста

• Обеспечение защиты от несанкционированного доступа рабочих мест, серверов, виртуальных машин путем усиленной аутентификации пользователей, контроля целостности операционной системы, блокировки загрузки системы с внешних носителей для исключения заражения корпоративной сети нарушителями внутри периметра сети. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
• Обеспечение антивирусной защиты на всех сетевых узлах организации. Антивирусное ПО должно обнаруживать факты вирусного заражения оперативной памяти, локальных носителей информации, томов, каталогов, файлов, а также файлов, получаемых по каналам связи, электронных сообщений на рабочих местах, серверах, виртуальных машинах в реальном времени, лечить, удалять или изолировать угрозы. Сигнатурные базы антивирусного ПО должны регулярно обновляться и находиться в актуальном состоянии.
• Обеспечение мониторинга и контроля действий ПО на защищаемых хостах путем контроля запускаемых служб и сервисов, эвристического анализа их функционирования. Такая мера реализуется решениями класса HIPS (Host Intrusion Prevention).
• Обеспечение контроля подключения внешних устройств , блокировки неиспользуемых портов на защищаемых хостах для исключения подключения к защищаемым хостам несанкционированных устройств: как носителей информации с потенциально вредоносными программами, так и внешних шлюзов доступа к интернету (например, 4G-модем), обеспечивающих неконтролируемый и незащищенный канал доступа в интернет. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
• Обеспечение продвинутой защиты хостов с помощью поведенческого анализа функционирования процессов на защищаемых хостах, машинного обучения, эвристического анализа файлов, контроля приложений, защиты от эксплойтов для выявления и блокировки неизвестных угроз (угроз нулевого дня) в режиме реального времени. Данная мера реализуется решениями класса NGEPP (Next Generation Endpoint Protection).
• Использование агентских решений по защите от вымогателей , шифрующих данные на зараженном хосте. К ним относятся:
  o Продуктивные системы защиты от направленных атак, атак нулевого дня с клиент-серверной архитектурой. Клиентское ПО устанавливается на защищаемый хост, защищает в реальном времени от угроз нулевого дня, вирусов, шифрующих данные в системе, расшифровывает зашифрованные вредоносом данные (в случае наличия агента - до попытки заражения), удаляет троян-вымогатель, защищает от фишинговых атак. Клиентское ПО обеспечивает контроль всех каналов доступа к хосту: веб-трафик, отчуждаемые носители информации, электронная почта, доступ по локальной сети, вредоносные программы в зашифрованном трафике (VPN).
  o Клиентские системы защиты от угроз нулевого дня (песочницы) в открытом доступе (sandboxie, cuckoo sandbox, shadow defender и др.).
  o Клиентские системы защиты от угроз нулевого дня на базе микровиртуализации (Bromium vSentry), обеспечивающие поведенческий анализ потенциально вредоносных файлов в аппаратно изолированной среде (микровиртуальной инфраструктуре).
• Обеспечение межсетевого экранирования на уровне хоста с помощью программных межсетевых экранов для разграничения доступа к ресурсам корпоративной сети, ограничения распространения вредоноса в случае заражения хоста, блокировки неиспользуемых сетевых портов, протоколов.

Другие меры защиты от вирусов-вымогателей

Дополнительно к вышеперечисленным мерам предотвратить направленную атаку в корпоративной сети поможет следующее:

• Обеспечение регулярного анализа защищенности ИТ-инфраструктуры - сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
• Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.

Приоритезация мер защиты от вирусов-вымогателей

Надежная комплексная защита от направленных атак обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:

• Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
• Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
• Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.

Рисунок 2. Приоритизация мер защиты от трояна-вымогателя

Меры защиты от Ransomware для конечных пользователей

Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей Интернет, для которых также применимы отдельные меры по предотвращению заражения:

• своевременная установка обновлений системного ПО;
• использование антивирусов;
• своевременное обновление баз сигнатур антивирусов;
• использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.

Уязвимость мобильных устройств (Android, iOS)

«Умные» мобильные устройства (смартфоны, планшетные компьютеры) стали неотъемлемой частью жизни: с каждым годом увеличивается количество активированных мобильных устройств, мобильных приложений и объем мобильного трафика. Если раньше мобильные телефоны хранили только базу контактов, то сейчас они являются хранилищами критичных данных для пользователя: фото, видео, календари, документы и пр. Мобильные устройства все активнее используются и в корпоративном секторе (ежегодный прирост 20-30%). А потому растет интерес злоумышленников и к мобильным платформам, в частности, с точки зрения вымогания денег с помощью троянов. По данным Kaspersky Lab, в 1 квартале 2017 года вымогатели занимают 16% от общего числа вредоносов (в 4 квартале 2016 года это значение не превышало 5%). Наибольший процент троянов для мобильных платформ написан для самой популярной мобильной операционной системы - Android, но для iOS также существуют подобные.

Меры защиты для мобильных устройств:

• Для корпоративного сектора:
  o использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
  o для защиты корпоративных данных на мобильных устройствах пользователя - системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
  o использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
• Для конечных пользователей:
  o использование официальных магазинов для установки приложений;
  o своевременное обновление системного ПО;
  o исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.

Выводы

Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего. В связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе и потребность в обеспечении комплексной защиты.

Поэтому мы в компании «Информзащита» фокусируемся на современных вызовах информационной безопасности и обеспечиваем защиту инфраструктуры клиентов от новейших, в том числе неизвестных угроз. Создавая и реализуя комплексные адаптивные модели противодействия угрозам информационной безопасности, мы знаем, как прогнозировать, предотвращать, обнаруживать и реагировать на киберугрозы. Главное - делать это своевременно.

Современные средства защиты содержат модули анализа трафика, которые выдают предупреждение по факту срабатывания некоторого правила, суть которого сводится к анализу последовательности символов в потоке информации. Соответственно критичным является корректный разбор и нормализация передаваемых данных. Злоумышленники пользуются этой особенностью и пытаются «обойти» механизмы детектирования с помощью различных методик. Техники обхода были известны еще с середины 90-х годов, однако лишь в прошлом году их подробное изучение позволило усомниться в адекватности применяемых средств обеспечения безопасности.

Ландшафт современных сетевых угроз значительно изменился за последние годы. Основным трендом является криминализация хакерской активности, когда получение доступа к информационным активам и кража информации становится в первую очередь задачей извлечения финансовой выгоды. Также меняется и вектор атак – они становятся все более разнонаправленными, включают не только использование публичных или «zero-day»-эксплоитов, но и задействуют заказное программное обеспечение, подготавливаемое специально под конкретные информационные системы.

Традиционно атаки используют уязвимые места определенных прикладных программ (или приложений), становясь все более изощренными, чтобы иметь возможность проходить через рубежи сетевой защиты, так или иначе присутствующие в каждой организации. Очень часто им это удается, примеров тому масса, самыми яркими из которых являются эпидемии червей Sasser, Conficker, и ZeuS. Недавние подтвержденные взломы таких гигантов, как Google и RSA (EMC), не говоря уже про Пентагон, являются ярким примером того, что никто в достаточной степени не защищен.

Таким образом, не будет большой новостью утверждение, что данные атаки существуют, и их проведение зачастую происходит с успехом со стороны атакующего. Гораздо важно другое: нередки случаи, когда попытки расследования атак не приводят к желаемому результату. Т.е. при всем желании разобраться в истории взлома и векторах, которые использовались злоумышленниками для проникновения, расследование является крайне затруднительным или невозможным.

Значит ли это что системы сетевой безопасности не нужны, раз они так неэффективны? Отнюдь нет. Однако для грамотного применения нужно хорошо себе представлять их границы применения и возможности.

Итак, суть самого проникновения сводится к тому, что злоумышленник, используя брешь в программном обеспечении (системном или прикладном), не задумываясь о том, что вызовы и параметры вызовов функций кому-то придет в голову использовать не по прямому назначению, может проникнуть в целевую систему и, закрепившись, реализовать свои коварные планы. Все ли бреши закрыты на сегодняшний день? Статистика уязвимостей от таких анатлитических команд, как IBM X-Force (ранее ISS), показывает, что даже в прошлом году все ведущие мировые программные гиганты имели достаточно количество незакрытых «заплатками» уязвимостей. Причем, если посмотреть по критичности этих уязвимостей, то более 70% всех вновь обнаруженных «дыр» высокого и критического уровня не были закрыты на момент публикации. И это на фоне того, что другое уважаемое аналитическое агенство Verizon Business рапортовало, что направленность атак сменилась: теперь вновь угроза кроется не внутри сети (защищаться нужно не от инсайдеров), а снаружи, в Интернете, откуда и происходит большинство проникновений.

Таким образом, проблема очевидна: атаки происходят из Интернет, а системы, которые подвергаются атакам по тем или иным причинам не являются защищены от известных (не говоря уже про так называемые «zero-day») эксплоитов. Иногда это происходит по причине того, что самих патчей не существует, а иногда потому, что трудозатраты на инсталляцию и тестирование этих самих исправлений (а также борьбу с последствиями установки исправлений вследствие неизбежно возникающих сбоев в работе ПО) очень велики. Одновременно большая часть производителей рассказывает о том, что технологии так называемого «виртуального патча» являются универсальным лекарством от всех бед – достаточно установить систему IDS/IPS или межсетевой экран (МЭ) с функциями глубокой инспекции потоков (Deep Packet Inspection, DPI), и проблема решена!

Однако, если подойти к данной постановке вопроса с разумным скептицизмом, то в голову сразу закрадется мысль, что «ничего не бывает бесплатно», и где-то должен скрываться подвох. А заключается он в том, что система IPS или МЭ с DPI действительно могут распознать в сетевом потоке нежелательную информацию, однако для этого они должны определенным образом принимать и обрабатывать пакеты и содержащиеся в них данные.

Так, все современные средства защиты, включая МЭ, IDS/IPS, системы мониторинга сетевых потоков, выявления утечек и другие, работающие на уровне приложений (анализ информации на котором и требуется для эффективного блокирования эксплоитов) содержат в себе модули анализа трафика, которые выдают предупреждение (или другую ответную реакцию) по факту срабатывания некоторого правила, суть которого в большинстве случаев сводится к анализу последовательности символов в потоке информации. Вне зависимости от того, сигнатурный или статистический это анализ, критичным является корректный разбор и нормализация данных прикладного протокола.

Злоумышленники зачастую пользуются этой особенностью и пытаются «обойти» механизмы детектирования с помощью различных методик, которые объединены общим термином «техники обхода» (evasion techniques). Техники обхода были известны еще с середины 90-х годов, однако лишь в прошлом году их подробное изучение специалистами компании StoneSoft позволило усомниться в адекватности применяемых средств обеспечения безопасности. Компания StoneSoft назвала свое открытие «динамическими» или «продвинутыми» техниками обхода (Advanced Evasion Techniques, AET).

Суть его сводится к тому, что унаследованные или современные техники обхода при определенном использовании позволяют послать запрос на атакуемый узел таким образом, что средства сетевой защиты не будут детектировать факт использования уязвимости или проявления аномальной активности другого вида. Сутуация усугубляется тем, что техники обхода можно комбинировать в самых разнообразных вариантах. Текущее их количество по теоретическим подсчетам составляет порядка 231. На практике выявлено и подтверждено (пока что) гораздо меньше. Но работа идет и поэтому количество «работающих» техник обхода продолжает увеличиваться. Откуда берутся эти цифры? Рассмотрим на примере модели OSI (рис. 1).

Рисунок 1 - Иллюстрация количества техник обхода на примере стека модели OSI

На каждом из логических уровней модели существует свой набор протоколов, фактически использующих формализованные структуры для передачи информации. Так, например, на сетевом уровне есть протокол IP, на транспортном TCP или UDP. Что касается сессионного и вышележащих уровней (которые, как известно, отсутствуют в стеке TCP/IP), то здесь с вариативностью тяжелее, поскольку эти уровни «условные» и примеры протоколов будут сильно зависеть от применяемого прикладного сервиса. Но если взять для наглядности один из самых уязвимых и «опасных» (с точки зрения возможности реализации удаленных атак) протоколов операционной системы Windows – RPC (Remote Procedure Call, удаленный вызов процедур), то для него цепочка может выглядеть как NetBIOS – SMB – MSRPC. Однако, что еще более интересно, MSRPC может использовать не только транспорт NetBIOS для представления информации. Вместо обычного SMB (1.0) в цепочке протоколов допустимо появление SMB2, равно как и передача может осуществляться поверх HTTP, и т.д. Так вот суть в том, что динамические техники обхода можно применять и комбинировать для каждого из используемых уровней. Так, на уровне IP мы знаем такие «традиционные» варианты, как IP fragmentation, для TCP соответственно TCP segmentation, а для SMB – fragmentation или transaction manipulation и т.д. К слову сказать, эти методы все еще вполне эффективны и работают против некоторых из систем (несмотря на то, что бы известны с конца 90-х годов). Но помимо этих методов, стали известны такие менее «распространенные», как IP random options, TCP urgent pointer, TIME_WAIT, SMB padding, method fragmentation или session mixing и много других. Если подсчитать число всевозможных комбинаций, то получится обозначенная величина.

Однако рисуется еще более удручающая картина, когда в результате исследований, проведенных на реальном оборудовании и реальных сетевых потоках, выяснилось, что возможности устройств оказываются в большинстве случаев ограничены базовым разбором стека протоколов TCP/IP (и соответственно нормализацией получаемых данных). Сложно говорить об особенностях технологий разбора различных продуктов и решений, которые для любой компании являются ее ноу-хау (и, следовательно, скрыты), однако результаты позволяют сделать следующий вывод: нормализация (т.е. приведение к унифицированной форме представления) данных во многих широко применяемых сегодня средствах сетевой защиты практически не используется (т.е. используется, но на базовом уровне, максимум в рамках классических, известных технологий). А за емкими названиями техник блокирования «zero-day» уязвимостей скрывается, по большому счету, «классический» сигнатурный анализ. Безусловно, в коммерческих решениях даже он шагнул далеко вперед по отношению к свободно распространяемому программному обеспечению, однако грустный отпечаток на статистику накладывает тот факт, что, к примеру, та же эпидемия Conficker даже сегодня может остаться незамеченной, несмотря на то, что уже несколько лет правила под этот червь прочно занимают места в базе данных анализа трафика. Это же касается средств детектирования утечек, средств межсетевого экранирования с интегрированными модулями IDS/IPS и т.д. А виноват в этом недостаточный уровень разбора сетевых протоколов, точнее его глубина.

К слову сказать, причиной работоспособности AET является в том числе так называемый «принцип устойчивости» (robustness principle), лежащий в основе работы стека протоколов TCP/IP. Согласно этому принципу отправитель сообщения должен быть консервативен при отправке, а получатель - придерживаться либеральных правил приема информации. Злоумышленники при атаке ресурсов выступают в роли отправителей. А когда они следовали правилам (рис. 2)?

Рисунок 2 - Средства безопасности работают только если следовать стандартным правилам

Проблема оказывается глобальной. Поначалу она не рассматривалась как серьезная, однако за прошедшие полгода такие именитые международные организации, как CERT, ICSA Labs, Gartner, NSS Labs не только подтвердили факт существования данных принципиальных уязвимостей, но и обозначили серьезность проблемы.

А эта серьезность усугубляется отсутствием общепринятых способов и методик проверки адекватности реализации модулей разбора трафика и его нормализации в средствах сетевой защиты. Более того, даже коммерческие лаборатории, профессионально занимающиеся тестированием, не содержат в своем арсенале таких средств. В итоге может оказаться так, что средство защиты, которое по рейтингу лаборатории занимает одну из лидирующих позиций, на самом деле не способно детектировать даже давно всем известные атаки только из-за того, что несмотря на наличие ее сигнатуры в базе данных, качество получаемого нормализованного потока информации, подаваемого на модуль разбора, оставляет желать лучшего. Опять же практика координации действий с CERT в части оповещения производителей средств защиты об имеющихся уязвимостях, показывает, что многие производители все равно ограничиваются формальным закрытием конкретного факта применения техники обхода по предоставленной копии трафика (т.е. пишут очередную сигнатуру), вместо искоренения самой проблемы.

Причем этот подход не работает как минимум по двум причинам:

1. Применение некоторых из техник «обхода» (т.е. различные способы фрагментации или переупорядочивания данных) является вполне нормальной и, более того, распространенной практикой для сетевых приложений. Соответственно просто запретить их использование – все равно что запретить работу приложения в сети организации, поскольку блокирование факта применения необычного способа представления информации приложением будет приводить к тому, что легитимный трафик будет прерываться, т.е. появится значительный рост ложных положительных срабатываний (ошибок первого рода), причем без особого влияния на снижение ложных отрицательных (ошибок второго рода).

2. Количество комбинаций техник обхода велико. А поскольку это всего лишь «транспорт» для доставки экплоита в целевую систему, то добавление в базу знаний системы IDS/IPS сигнатуры под все возможные комбинации эксплоитов и техник обхода приведет к «взрывоподобному» росту этой базы. Так, в известной базе данных CVE на текущий момент более 46000 записей. Из них в базу знаний системы мониторинга попадает лишь малая часть – средний размер базы порядка 3000 записей, из которых в лучшем случае половина (т.е. примерно 1500) активны и используются для анализа трафика. Даже с этими параметрами производительность систем зачастую оставляет желать лучшего, не говоря уже про активацию всех правил из базы знаний. А теперь представим, что будет, если потребуется добавить сигнатуры хотя бы для 1% возможных техник обхода? Это означает, что придется написать порядка миллиона сигнатур, что изначально обречено на провал.

Следовательно, единственный выход – это модернизировать механизмы инспекции трафика, которые заложены в ядре системы. Если быть точным, то в первую очередь нужно совершенствовать модули нормализации данных, в задачу которых входит считывание проходящих пакетов и представление в виде, пригодном для последующего применения правил выявления аномалий и сравнения по сигнатурам. А ввиду отсутствия на текущий момент доступных средств тестирования на АЕТ решений и систем (соответствующее программное обеспечение, похоже, есть только у компании-открывателя, StoneSoft), возникает проблема определения «реальности» уровня информационной безопасности в организации, которую дают используемые средства сетевой защиты. Причем эту проблему также нужно решать как можно скорее, пока в арсенале хакеров не оказались автоматизированные утилиты, использующие динамические техники обхода.

Таким образом, с одной стороны, есть проблема корректности разбора и нормализации информации средствами сетевой защиты, а с другой – проблема тестирования адекватности реализации этих методов разбора и нормализации. Очевидно, что с гандикапом нужно бороться всем без исключения производителям средств сетевой защиты, которые хотят обеспечивать «реальную» безопасность. А преимущество есть у тех(ой) компаний(и), которые(ая) первыми(ой) уделили(а) должное внимание этим вопросам.

Источники информации:

Six tips for protecting critical data against Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2011/24032011.html?uri=/en/press_and_media/releases/en/index.html

New Advanced Evasion Techniques Discovered and Disclosed for Global Vulnerability Coordination, http://www.stonesoft.com/en/press_and_media/releases/en/2011/15022011.html?uri=/en/press_and_media/releases/en/2011/index.html

Stonesoft Discloses First Details of Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2010/16122010.html?uri=/en/press_and_media/releases/en/2010/index.html

Stonesoft Releases Technical Paper on Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2010/30112010.html?uri=/en/press_and_media/releases/en/2010/index.html

Stonesoft Corporation: Advanced Evasion Techniques Bypass Almost All Current Network Security Systems Without Leaving A Trace, http://www.stonesoft.com/en/press_and_media/releases/en/2010/18102010.html?uri=/en/press_and_media/releases/en/2010/index.html

Stonesoft Corporation: New Network Security Threat Category Puts The Functionality Of Organizations’ Data Capital And Systems At Risk, http://www.stonesoft.com/en/press_and_media/releases/en/2010/04102010.html?uri=/en/press_and_media/releases/en/2010/index.html

Новый пласт угроз информационной безопасности – динамические техники обхода, Журнал "Information Security/ Информационная безопасность" #6, 2010