Сетевая защита - второй уровень защиты Symantec

Сетевая защита - второй уровень защиты Symantec

Защита сети от внешних угроз

Безопасность информационных систем сегодня в первую очередь связывают с защитой от внешних угроз. Под ними понимают атаки через интернет, способные нанести ПО и данным определенный ущерб. Вполне понятно, что сотрудники большинства современных предприятий имеют доступ к различным сайтам, не все из которых достаточно безопасны.

Виды внешних угроз

Различают две масштабных разновидности угроз:

  • отказ в обслуживании;
  • взлом.

Отказ в обслуживании — это внешняя угроза, приводящая к сбою в работе системы серверов организации, служащих именно для работы в сети. Как правило, она направлена на ограничение функционирования веб-сервера и почтовых служб. Сбои же возникают в процессе получения сервером очень большого числа запросов, обработать которые его вычислительная система не в состоянии. Это называется DoS-атакой: ее результатом обычно становится затруднение доступа пользователей к ресурсам.

Взломом считают внешнюю угрозу, направленную на получение контроля над серверами. Кроме того, в результате взлома злоумышленники могут проникать в локальные сети предприятий. Доступ к компьютерам дает возможность похитить любые ценные данные, хранящиеся в их памяти: пароли, информацию о сделках клиента, адреса и номера телефонов и т.д. Контроль над веб-сервером позволяет искажать страницы сайтов, размещать на них стороннюю информацию, рассылать спам или проводить атаки на любые другие компьютеры. Кроме того, целью взлома может стать получение доступа к каналам передачи данных предприятия.

Таким образом, результатом реализации внешних атак может стать:

  • потеря информационных ресурсов;
  • нарушение функционирования локальной сети;
  • поломка ПК и серверов предприятия;
  • потеря доступа к личным вычислительным ресурсам.

Для того чтобы реализовать одну из перечисленных внешних угроз, злоумышленники используют разнообразные средства. Самыми распространенными можно считать компьютерные вирусы, шифровальщики, черви и трояны. Вирусы представляют собой вредоносные программы, способные модифицировать любое ПО или интегрировать в него свои копии. Их действие проявляется в возникновении самых неожиданных эффектов в процессе работы компьютеров. Так, на экране могут появляться и исчезать посторонние символы и изображения, в работе прикладных программ наблюдаются сбои, выходит из строя операционная система. Нередко от вирусов страдают данные, хранящиеся на жестких дисках, а также системная память.

Способы борьбы с внешними угрозами

Для защиты от описанных выше внешних угроз сегодня с успехом применяются межсетевые экраны, которые иначе называют брандмауэрами. Они служат для разделения сетей на две части, в каждую из которых пропускаются пакеты с данными в соответствии с определенными алгоритмами. Таким образом, межсетевые экраны представляют собой своеобразные барьеры на границе локальных сетей с глобальной, которые позволяют устанавливать определенные настройки доступа и регулировать функционирование отдельных ПК. Если вам необходима надежная защита от внешних угроз, новейшее UTM-решение — это наилучший выбор.



Иван Сапрыкин

Информация о выборах не может быть ни в каком случае изменена или искажена

В системе ГАС «Выборы» задействовано более 7500 компьютеров, 450 серверов и очень мощные средства защиты информации, которые гарантируют, что введенная информация не может быть ни в каком случае изменена, искажена и достоверно дойдет до избирателей.

1 марта в России прошел единый день голосования. В пяти регионах России был проведен эксперимент по электронному опросу с использованием мобильных телефонов, социальных карт и компакт-дисков. Но помимо чисто политической составляющей всегда стоит вопрос о технологическом обеспечении. И каждые выборы начиная с 1995 года обеспечивает государственная автоматизированная система Российской Федерации «Выборы» (ГАС «Выборы»). О технической стороне обеспечения избирательных процедур рассказывает руководитель Федерального центра информатизации при ЦИК России (ФЦИ при ЦИК России) Михаил Попов.

– Михаил Анатольевич, если мы сравниваем выборы 1995 года и выборы 2009 года с точки зрения используемых технологий, то как развивалась система ГАС «Выборы» за эти годы?

– Начнем с того, что ГАС «Выборы» образца 1995 года – это первые попытки автоматизации деятельности избирательных комиссий, в основном направленные на оперативный сбор предварительной информации об итогах голосования. Нынешняя система – результат кардинальной модернизации, произведенной в последние годы. В ней реализованы все нормы российского избирательного законодательства, обеспечено выполнение требований по защите информации, надежности функционирования программно-технических средств.

Темпы и масштабы ее изменений сопоставимы с темпами развития в стране мобильной сотовой связи. Она начала появляться в России в 1995 году, и в это же время разрабатывалась и была применена система ГАС «Выборы». Как быстро развивались технологии сотовой связи (телефоны, КПК, смартфоны) – приблизительно такими же темпами развивалась и технология ГАС «Выборы».

– Как обстоят дела с открытостью избирательных процедур?

– На самых первых этапах разработки ГАС «Выборы» в идеологию ее создания было положено несколько принципов.

Система должна работать таким образом, чтобы избирателю были ясно и понятно, с какими итогами прошли выборы, чтобы он был уверен в том, что озвученные итоги – это как раз те, в которых достоверно учтено волеизъявление каждого избирателя. Когда создавалась система, предполагалось, что ГАС «Выборы» не только инструмент для работы избирательных комиссий, но это также и мощнейший инструмент, который показывает избирателям, насколько четко и достоверно работают сами избирательные комиссии.

Поэтому была реализована функция размещения в интернете всех предварительных итогов голосования, которые проводятся в Российской Федерации. И любой избиратель, который имеет доступ в интернет, может даже получить информацию по федеральным выборам на уровне субъектов Российской Федерации.

Интернет – мощное средство, которое позволяет нам размещать информацию в оперативном режиме. Наша система построена таким образом, что практически через полтора-два часа после того, как информация поступает в ЦИК России, она размещается в интернете.

По закону мы обязаны в течение суток со дня подведения итогов голосования опубликовать предварительные результаты, и эта функция нами всегда выполняется. Кроме того, ГАС «Выборы» обеспечивает сбор и обработку информации о том, как формируются избирательные фонды при проведении выборов в Российской Федерации, как тратятся средства избирательных фондов. Эта информация также размещается в интернете и тоже доступна всем избирателям и наблюдателям.

– Не могли бы вы рассказать о технологических параметрах системы?

– ГАС «Выборы» – это сложный, я бы даже сказал, живой организм. На сегодняшний день она представляет собой совокупность комплексов средств автоматизации трех уровней. На первом уровне – средства территориальных избирательных комиссий, которые формируются для проведения выборов федерального уровня. Таких комплексов средств автоматизации на сегодняшний день более 2700.

Следующий уровень – это комплексы средств автоматизации избирательных комиссий субъектов Российской Федерации, на верхнем уровне – комплекс средств автоматизации ЦИК России.

Во всех этих комплексах имеется, кроме самих технических средств, программное обеспечение, которое создается по заказу ЦИК России и ФЦИ при ЦИК России ведущими российскими разработчиками программного обеспечения в соответствии с действующим федеральным избирательным законодательством и законодательством в субъектах Российской Федерации. Любое изменение, любое новое требование закона обязательно влечет за собой изменение действующего программного обеспечения.

Комплексы средств автоматизации соединены между собой каналами связи. На сегодняшний день помимо наземных каналов связи используются и космические, которые позволяют из труднодоступных местностей передавать информацию в соответствии с действующими регламентами.

Если говорить об общем количестве средств вычислительной техники, задействованных в системе ГАС «Выборы», то это более 7500 компьютеров, более 450 серверов и очень мощные средства защиты информации, которые дают нам возможность быть уверенными в том, что введенная в ГАС «Выборы» информация не может быть ни в каком случае изменена, искажена и достоверно дойдет до избирателей.

– В таком случае, как организована защита данных от искажений при их вводе и обработке?

– Этому вопросу уделяется очень большое внимание при эксплуатации и развитии системы ГАС «Выборы». В частности, когда вводятся данные из протоколов участковых избирательных комиссий, в ГАС «Выборы» существует стройная система на тройном уровне контроля за проведением этой процедуры. Кроме того, член территориальной избирательной комиссии в составе группы контроля сверяет визуально те документы, которые привозит участковая избирательная комиссия в территориальную избирательную комиссию.

Далее. При вводе в ГАС «Выборы» данных из протокола присутствуют наблюдатели, которые видят и контролируют действия системного администратора по введению данных. После того как все данные введены, делается их распечатка, которая еще раз сверяется с бумажным оригиналом. Затем, когда все вышеперечисленные данные сверены, сводная таблица заверяется подписями вышестоящей и нижестоящей комиссий.

Теперь о процедуре автоматизированной проверки правильности составления этого протокола. Закон «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации» предъявляет ряд требований, которые должны четко соблюдаться. Эти требования в автоматизированном виде проверяются на каждом комплексе средств автоматизации. Например, количество бюллетеней, выданных участковой избирательной комиссией, не может быть больше, чем количество бюллетеней, находящихся в стационарных ящиках для голосования, и чем количество тех бюллетеней, которые не использовались на выборах и были погашены. Таким образом, если эта цифра не соответствует требованиям закона, то такие данные протоколов не могут быть введены в ГАС «Выборы».

Программное обеспечение ГАС «Выборы» построено таким образом, что на всех следующих уровнях избирательных комиссий программное обеспечение позволяет только суммировать данные протоколов и не дает возможности вносить изменения в эти данные. Это сделано специально, чтобы, например, избирательная комиссия субъекта РФ не могла внести никаких изменений в протоколы нижестоящих комиссий. Аналогичные же функции разработаны и осуществлены на уровне комплекса средств автоматизации ЦИК России. Здесь также возможны только процедура суммирования и процедура доведения информации до избирателей.

– А как соблюдается требование Федерального закона «О государственной автоматизированной системе «Выборы» о недопустимости подключения к сети интернет?

– Для ГАС «Выборы» это очень важное требование, потому что на сегодняшний день она является именно такой системой, в которую извне попасть невозможно. Любая попытка подключиться через интернет к ГАС «Выборы» невозможна, потому что нет физической связи. Это повышает надежность нашей работы. Поэтому средства защиты, которые используются в ГАС «Выборы», кроме всего прочего, предусматривают, что работать могут только люди, которым предоставлены определенные права на определенном уровне. Сверх того, что положено конкретному оператору, системному администратору, никто не может выполнить никаких действий.

Поэтому система допуска, контроля, ролевого разграничения возможностей участников избирательного процесса и работников ГАС «Выборы», а также желающих ознакомиться с работой системы четко регламентированы и контролируются на всех уровнях.

– ЦИК России провелa второй эксперимент по электронному опросу. Означает ли это, что близок конец бумажного голосования?

– Речь не идет о том, что комплексы средств обработки избирательных бюллетеней (КОИБ) и комплексы электронного голосования (КЭГ) морально устарели. Просто настал тот момент, когда в связи с развитием элементной базы и снижением себестоимости отдельных комплектующих объективно встал вопрос о доработке или переработке данных устройств.

Мы ставим перед собой цель как минимум в два раза снизить стоимость данных технических средств и их технического обслуживания. ФЦИ при ЦИК России уже в прошлом году приступил к выполнению этих работ. Сейчас проводится исследование возможностей автоматизации деятельности участковых избирательных комиссий в день голосования, в том числе с использованием КОИБ и КЭГ. В июне 2009 года мы будем иметь в том числе технико-экономическое обоснование вариантов автоматизации участковых избирательных комиссий. В результате к концу этого года мы планируем получить новые, более эргономичные, удобные и более дешевые устройства.

– ГАС «Выборы» так и осталась единственной уникальной системой в мире или есть какие-либо аналоги?

– По пути автоматизации избирательных процессов идут многие страны. Наиболее близкой к ГАС «Выборы» является система, применяемая в Казахстане. Однако по масштабам, объему информационных ресурсов, полноте реализации законодательства о выборах аналогов мы не знаем.

– Каковы особенности использования системы ГАС «Выборы» в только что прошедший единый день голосования 1 марта?

– Система ГАС «Выборы» впервые в полном объеме использовалась для подготовки и проведения выборов всех уровней, включая подготовку и проведение на муниципальном уровне. Для этого были задействованы 79 региональных фрагментов ГАС «Выборы», в том числе комплексы средств автоматизации системы в 1095 территориальных избирательных комиссиях.

С использованием ГАС «Выборы» было обеспечено планирование избирательных кампаний, подготовлены списки избирателей, в систему введены данные о более чем 41 тысяче кандидатов. 1 марта 2009 года в систему введены и обработаны протоколы более 26 тысяч участковых избирательных комиссий.

Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных. В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась. Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала.

Мотивом для осуществления подобной преступной деятельности является получение прибыли. Самым простым, и поэтому самым распространенным способом является заражение сетевых хостов вредоносным ПО типа Ransomware. За последние 2 года его популярность стремительно растет:

  • за 2016 год количество известных типов (семейств) троянов-вымогателей увеличилось на 752%: с 29 типов в 2015 году до 247 к концу 2016 года (по данным TrendLabs);
  • благодаря вирусам-вымогателям злоумышленники за 2016 год «заработали» 1 миллиард долларов США (по данным CSO);
  • в 1 квартале 2017 года появилось 11 новых семейств троянов-вымогателей и 55 679 модификаций. Для сравнения, во 2-4 кварталах 2016 года появилось 70 837 модификаций (по данным Kaspersky Lab).
В начале 2017 года ведущие производители средств защиты информации (Kaspersky Lab, McAfee Labs, SophosLabs, Malwarebytes Labs, TrendMicro и др.) называли Ransomware одной из основных угроз безопасности информации для государственных и коммерческих организаций различных сфер деятельности и масштабов. И как показывает история, они не ошиблись:
  • Январь 2017 г. Заражение 70% камер видеонаблюдения за общественным порядком в Вашингтоне накануне инаугурации президента. Для устранения последствий камеры были демонтированы, перепрошиты или заменены на другие;
  • Февраль 2017 г. Вывод из строя всех муниципальных служб округа Огайо (США) более чем на одну неделю из-за массового шифрования данных на серверах и рабочих станциях пользователей (свыше 1000 хостов);
  • Март 2017 г. Вывод из строя систем Капитолия штата Пенсильвания (США) из-за атаки и блокировки доступа к данным информационных систем;
  • Май 2017 г. Крупномасштабная атака вируса-шифровальщика WannaCry (WanaCrypt0r 2.0), поразившая на 26.06.2017 более 546 тысяч компьютеров и серверов на базе операционных систем семейства Windows в более чем 150 странах. В России были заражены компьютеры и серверы таких крупных компаний, как Минздрав, МЧС, РЖД, МВД, «Мегафон», «Сбербанк», «Банк России». Универсального дешифратора данных до сих пор не существует (были опубликованы способы расшифровать данные на Windows XP). Общий ущерб от вируса по оценкам экспертов превышает 1 млрд долларов США;
  • Крупномасштабная атака вируса-шифровальщика XData в мае 2017 года (через неделю после начала атаки WannaCry), использующая для заражения аналогичную WannaCry уязвимость (EternalBlue) в протоколе SMBv1 и поразившая в основном корпоративный сегмент Украины (96% зараженных компьютеров и серверов находятся на территории Украины), скорость распространения которого превышает WannaCry в 4 раза. В настоящий момент ключ шифрования опубликован, выпущены дешифраторы для жертв вымогателя;
  • Июнь 2017 г. Обширной атаке Ransomware была подвержена сеть одного из крупнейших университетов мира – Univercity College London. Атака была направлена на блокирование доступа к общим сетевым хранилищам, автоматизированную систему студенческого управления. Выполнено это было в предэкзаменационный и выпускной период, когда студенты, хранящие свои дипломные работы на файловых серверах университета, вероятнее всего заплатят мошенникам с целью получения своей работы. Объем зашифрованных данных и пострадавших не раскрывается.
Случаев направленных атак с целью заражения Ransomware очень много. Основной целью злоумышленников являются системы на базе ОС семейства Windows, однако существуют различные версии Ransomware для ОС семейств UNIX/Linux, MacOS, а также мобильных платформ iOS и Android.

С развитием Ransomware появляются и средства противодействия им. В первую очередь это открытый проект No more Ransom! (www.nomoreransom.org), предоставляющий жертвам атак средства дешифрования данных (в случае вскрытия ключа шифрования), во вторую – специализированные open-source средства защиты от вирусов-шифровальщиков. Но и они либо анализируют поведение ПО по сигнатурам и не способны обнаружить неизвестный вирус, либо обеспечивают блокировку вредоносного ПО после его воздействия на систему (шифрования части данных). Специализированные Open-source решения применимы интернет-пользователями на личных / домашних устройствах, крупным организациям, обрабатывающим большие объемы информации, в том числе критичной, необходимо обеспечивать комплексную проактивную защиту от направленных атак.

Проактивная защита от направленных атак и Ransomware

Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:
  • Воздействие на периметр локальной вычислительной сети из интернета возможно через:
  • корпоративную электронную почту;
  • веб-трафик, в том числе веб-почту;
  • периметровый маршрутизатор / межсетевой экран;
  • сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
  • системы защищенного удаленного доступа.
  • Воздействие на серверы, рабочие места пользователей по сети:
  • загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
  • использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
  • загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
  • подключение к локальной сети нелегитимных устройств.
  • Прямое воздействие на информацию на серверах, рабочих местах пользователей:
  • подключение внешних носителей информации с вредоносом;
  • разработка вредоносных программ прямо на конечной точке / сервере.
Для уменьшения вероятности реализации угрозы для каждого типа доступа к защищаемой информации необходимо обеспечивать выполнение комплекса организационно-технических мер по защите информации, перечень которых отражен на рисунке (см. Рисунок 1)

Рисунок 1. Проактивные меры защиты от направленных атак и Ransomware

Организационные меры защиты от направленных атак и Ransomware

К основным организационным мерам проактивной защиты от направленных атак и Ransomware относятся:
  • Повышение осведомленности сотрудников в области ИБ.
    Необходимо регулярно проводить обучение сотрудников и информировать их о возможных угрозах ИБ. Минимальной и необходимой мерой является формирование принципов работы с файлами и почтой:
    o не открывать файлы с двойным расширением: настроить для пользователей отображение расширений, чтобы идентифицировать вредоносные файлы с двойными расширениями (например, 1СRecord.xlsx.scr);
    o не включать макросы в недоверенных документах Microsoft Office;
    o проверять адреса отправителей почтовых сообщений;
    o не открывать ссылки на веб-страницы, почтовые вложения от неизвестных отправителей.
  • Оценка эффективности защиты как внутри организации, так и с привлечением внешних специалистов.
    Оценивать эффективность обучения персонала необходимо при помощи моделирования атак, как внутренних, так и с участием внешних специалистов - проводить тесты на проникновение, в т. ч. с использованием метода социальной инженерии.
  • Регулярное обновление системного ПО (Patch Management).
    Для предотвращения атак вредоносного ПО на целевые системы через известные уязвимости необходимо обеспечить своевременное тестирование и установку обновлений системного и прикладного ПО с учетом приоритизации по степени критичности обновлений.
  • Систематизация резервного копирования данных.
    Необходимо регулярно выполнять резервное копирование критически важных данных серверов информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться на ленточных библиотеках системы хранения данных, на отчуждаемых носителях информации (при условии, что носитель информации не подключен постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.

Технические меры защиты от направленных атак и Ransomware

Технические мероприятия проактивной защиты от направленных атак и Ransomware предпринимаются на уровне сети и на уровне хоста.

Меры проактивной защиты на уровне сети

  • Использование систем фильтрации электронной почты , обеспечивающих анализ почтового трафика на наличие нежелательных писем (spam), ссылок, вложений, в том числе вредоносных (например, блокировка файлов JavaScript (JS) и Visual Basic (VBS), исполняемые файлы (.exe), файлы заставки (SCR), Android Package (.apk) и файлы ярлыков Windows (.lnk)).
  • Использование систем контентной фильтрации веб-трафика , обеспечивающих разграничение и контроль доступа пользователей к интернету (в т.ч. путем разбора SSL-трафика с помощью подмены сертификата сервера), потоковый анализ трафика на наличие вредоносных программ, разграничение доступа пользователей к содержимому веб-страниц.
  • Использование систем защиты от целенаправленных атак , атак нулевого дня (Sandbox, песочница), обеспечивающих эвристический и поведенческий анализ потенциально опасных файлов в изолированной среде перед отправкой файла в защищаемые информационные системы. Системы защиты от направленных атак должны быть интегрированы с системами контентной фильтрации веб-трафика, фильтрации электронной почты для блокирования вредоносных вложений. Также системы защиты от направленных атак интегрируют с информационными системами внутри периметра сети для обнаружения и блокировки сложных атак на критичные ресурсы, сервисы.
  • Обеспечение контроля доступа к корпоративной сети на уровне проводной и беспроводной сети с помощью технологии 802.1x. Такая мера исключает несанкционированное подключение нелегитимных устройств в корпоративную сеть, обеспечивает возможность выполнения проверки на соответствие корпоративным политикам при доступе в сеть организации (наличие антивирусного ПО, актуальные сигнатурные базы, наличие критических обновлений Windows). Контроль доступа к корпоративной сети с помощью 802.1x обеспечивается системами класса NAC (Network Access Control).
  • Исключение прямого взаимодействия внешних пользователей с ресурсами корпоративных информационных систем с помощью промежуточных шлюзов доступа с наложенными корпоративными средствами защиты информации (терминальный сервер, система виртуализации рабочих столов VDI), в том числе с возможностью фиксации действий внешних пользователей с помощью видео или текстовой записи сессии. Мера реализуется с помощью систем терминального доступа, систем класса PUM (Privileged User Management).
  • Сегментирование сети по принципу необходимой достаточности для исключения избыточных разрешений сетевого взаимодействия, ограничения возможности распространения вредоносных программ в корпоративной сети в случае заражения одного из серверов / рабочих мест пользователей / виртуальных машин. Возможна реализация такой меры с помощью систем анализа политик межсетевого экранирования (NCM / NCCM, Network Configuration (Change) Management), обеспечивающих централизованный сбор политик межсетевого экранирования, настроек межсетевых экранов и дальнейшую их обработку с целью автоматизированной выдачи рекомендаций по их оптимизации, контроль изменений политик межсетевого экранирования.
  • Выявление аномалий на уровне сетевых взаимодействий с помощью специализированных решений класса NBA & NBAD (Network Behavior Analysis, Network Behavior Anomaly Detection), позволяющих осуществить сбор и анализ сведений о потоках данных, профилирование трафика для каждого сетевого хоста для выявления отклонений от «нормального» профиля. Данный класс решений позволит выявить:

    O сканирование зараженным хостом своего окружения;
    o вектор заражения;
    o состояние хоста:«просканирован», «заражен и сканирует других»;
    o однонаправленные потоки;
    o аномальные потоки;
    o вирусные эпидемии;
    o распределенные атаки;
    o картину существующих потоков.

  • Отключение зараженных хостов (автоматизированных рабочих мест, серверов, виртуальных машин и пр.) от сети. Эта мера применима в случае заражения хотя бы одного из хостов в корпоративной сети, однако необходима для локализации и предотвращения вирусной эпидемии. Рабочие места от сети можно отключить как силами администрирующего персонала ИТ и ИБ, так и автоматизировано при обнаружении признаков угрозы на защищаемом хосте (путем корреляции событий безопасности, настройки автоматизированных действий по блокировки всех сетевых активностей на хосте / отключению хоста от сети на уровне коммутатора и пр.).

Меры проактивной защиты на уровне хоста

  • Обеспечение защиты от несанкционированного доступа рабочих мест, серверов, виртуальных машин путем усиленной аутентификации пользователей, контроля целостности операционной системы, блокировки загрузки системы с внешних носителей для исключения заражения корпоративной сети нарушителями внутри периметра сети. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
  • Обеспечение антивирусной защиты на всех сетевых узлах организации. Антивирусное ПО должно обнаруживать факты вирусного заражения оперативной памяти, локальных носителей информации, томов, каталогов, файлов, а также файлов, получаемых по каналам связи, электронных сообщений на рабочих местах, серверах, виртуальных машинах в реальном времени, лечить, удалять или изолировать угрозы. Сигнатурные базы антивирусного ПО должны регулярно обновляться и находиться в актуальном состоянии.
  • Обеспечение мониторинга и контроля действий ПО на защищаемых хостах путем контроля запускаемых служб и сервисов, эвристического анализа их функционирования. Такая мера реализуется решениями класса HIPS (Host Intrusion Prevention).
  • Обеспечение контроля подключения внешних устройств , блокировки неиспользуемых портов на защищаемых хостах для исключения подключения к защищаемым хостам несанкционированных устройств: как носителей информации с потенциально вредоносными программами, так и внешних шлюзов доступа к интернету (например, 4G-модем), обеспечивающих неконтролируемый и незащищенный канал доступа в интернет. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
  • Обеспечение продвинутой защиты хостов с помощью поведенческого анализа функционирования процессов на защищаемых хостах, машинного обучения, эвристического анализа файлов, контроля приложений, защиты от эксплойтов для выявления и блокировки неизвестных угроз (угроз нулевого дня) в режиме реального времени. Данная мера реализуется решениями класса NGEPP (Next Generation Endpoint Protection).
  • Использование агентских решений по защите от вымогателей , шифрующих данные на зараженном хосте. К ним относятся:
    o Продуктивные системы защиты от направленных атак, атак нулевого дня с клиент-серверной архитектурой. Клиентское ПО устанавливается на защищаемый хост, защищает в реальном времени от угроз нулевого дня, вирусов, шифрующих данные в системе, расшифровывает зашифрованные вредоносом данные (в случае наличия агента - до попытки заражения), удаляет троян-вымогатель, защищает от фишинговых атак. Клиентское ПО обеспечивает контроль всех каналов доступа к хосту: веб-трафик, отчуждаемые носители информации, электронная почта, доступ по локальной сети, вредоносные программы в зашифрованном трафике (VPN).
    o Клиентские системы защиты от угроз нулевого дня (песочницы) в открытом доступе (sandboxie, cuckoo sandbox, shadow defender и др.).
    o Клиентские системы защиты от угроз нулевого дня на базе микровиртуализации (Bromium vSentry), обеспечивающие поведенческий анализ потенциально вредоносных файлов в аппаратно изолированной среде (микровиртуальной инфраструктуре).
  • Обеспечение межсетевого экранирования на уровне хоста с помощью программных межсетевых экранов для разграничения доступа к ресурсам корпоративной сети, ограничения распространения вредоноса в случае заражения хоста, блокировки неиспользуемых сетевых портов, протоколов.

Другие меры защиты от вирусов-вымогателей

Дополнительно к вышеперечисленным мерам предотвратить направленную атаку в корпоративной сети поможет следующее:
  • Обеспечение регулярного анализа защищенности ИТ-инфраструктуры - сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
  • Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.

Приоритезация мер защиты от вирусов-вымогателей

Надежная комплексная защита от направленных атак обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:
  • Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
  • Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
  • Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.


Рисунок 2. Приоритизация мер защиты от трояна-вымогателя

Меры защиты от Ransomware для конечных пользователей

Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей Интернет, для которых также применимы отдельные меры по предотвращению заражения:
  • своевременная установка обновлений системного ПО;
  • использование антивирусов;
  • своевременное обновление баз сигнатур антивирусов;
  • использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.

Уязвимость мобильных устройств (Android, iOS)

«Умные» мобильные устройства (смартфоны, планшетные компьютеры) стали неотъемлемой частью жизни: с каждым годом увеличивается количество активированных мобильных устройств, мобильных приложений и объем мобильного трафика. Если раньше мобильные телефоны хранили только базу контактов, то сейчас они являются хранилищами критичных данных для пользователя: фото, видео, календари, документы и пр. Мобильные устройства все активнее используются и в корпоративном секторе (ежегодный прирост 20-30%). А потому растет интерес злоумышленников и к мобильным платформам, в частности, с точки зрения вымогания денег с помощью троянов. По данным Kaspersky Lab, в 1 квартале 2017 года вымогатели занимают 16% от общего числа вредоносов (в 4 квартале 2016 года это значение не превышало 5%). Наибольший процент троянов для мобильных платформ написан для самой популярной мобильной операционной системы - Android, но для iOS также существуют подобные.

Меры защиты для мобильных устройств:

  • Для корпоративного сектора:
    o использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
    o для защиты корпоративных данных на мобильных устройствах пользователя - системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
    o использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
  • Для конечных пользователей:
    o использование официальных магазинов для установки приложений;
    o своевременное обновление системного ПО;
    o исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.

Выводы

Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего. В связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе и потребность в обеспечении комплексной защиты.

Поэтому мы в компании «Информзащита» фокусируемся на современных вызовах информационной безопасности и обеспечиваем защиту инфраструктуры клиентов от новейших, в том числе неизвестных угроз. Создавая и реализуя комплексные адаптивные модели противодействия угрозам информационной безопасности, мы знаем, как прогнозировать, предотвращать, обнаруживать и реагировать на киберугрозы. Главное - делать это своевременно.

Смартфоны, планшеты, компьютеры - мы считаем их основным элементом нашей действительности. Мы используем их в работе, для игр, для учебы, управления банковскими счетами, мы платим по счетам, мы проверяем электронную почту, делаем покупки ...

Можно так перечислять практически бесконечно, но всё сводится к одному - с их помощью мы передаем целый ряд важных данных, которые, если попадут в чужие руки, могут привести к критической ситуации.

Потеря памятных фотографий или копии научной работы, в этом случае наименьшая из наших проблем. Если под удар попадают наши сбережения или электронный ящик, с помощью которой мы передаем важную корреспонденцию, то угроза приобретает более зловещий характер. И хотя россияне понимают, что в сеть интернет кишит от угроз, часто они не принимают никаких мер, чтобы должным образом защитить себя .

По данным исследования, проведенного по просьбе Intel, только каждый пятый пользователей использует платную, расширенную защиту и это несмотря на то, что до 93% из нас становились жертвой компьютерного вируса .

Даже в случае смартфонов, где осознание опасности очень высоко (96%), до ⅓ опрошенных не имели даже понятия, установлен ли на их устройстве какой-либо пакет защиты, учитывая, что 55% интернет-пользователей подключается к сети с помощью смартфонов, это воспринимается очень удивительным.

Тот факт, что мы боимся сетевых угроз (82% опрошенных), редко когда выливается в конкретные действия. Многое указывает на то, что мы просто не обращаем достаточного внимания на сохранение конфиденциальности собственных данных... а ведь надо. Ибо список угроз очень длинный.

Вредоносные программы - угроза для компьютера

Безусловно, вредоносные программы наиболее часто упоминались среди всех сетевых опасностей. И не без оснований - в конце концов, это самая популярная „форма действий“ среди людей, желающих навредить другим пользователям.

Правильная защита требует постоянного обновления антивирусной программой базы данных - новые типы вредоносных программ, возникают практически каждый день. От обычных удаленных средств управления оборудования, передающих контроль над компьютером другому человеку, и заканчивая бесчисленным множеством вирусов и троянский программ. А к этому следует добавить черви, руткиты или клавиатурных шпионов, которых часто невозможно обнаружить традиционными методами.

Пароли сохраненные в браузере

Одна из самых полезных функций веб-браузеров также представляет угрозу. Учитывая удобство и значительную экономию времени, ей пользуются практически все, но в ситуации, когда телефон или компьютер попадет в чужие руки, у нас появляются серьёзные проблемы, а вор, без каких-либо усилий, может войти на наш почтовый ящик или аккаунт социальной сети.

Означает ли это, что безопаснее было бы вообще не использовать запоминание паролей? Конечно, нет - достаточно иметь надежный менеджер паролей , который сам по себе является дополнительным средством безопасности.

Фишинг и фарминг - угроза для доверчивых

Фишинг - это всё более популярный тип интернет-мошенничества, с помощью которого пытаются получить конфиденциальные данные от пользователей, чтобы затем использовать, например, для получения контроля над банковским счетом.

Попытки вытянуть ключевую информацию очень часто принимают форму поддельных писем - от почты России, банка или другой организации, которой большинство пользователей доверяет. С угрозами этого типа имели в своей жизни дело почти 60% пользователей. Те, кто не могут отличить поддельные сообщения от реальных (по данным исследования Intel до 15% российских интернет-пользователей) очень падки на такого рода действия.

А что с фармингом? Это, в свою очередь, более развитая и часто труднее различимая форма фишинга, использующая подлинные адреса учреждений, но перенаправляющая на поддельные копии страниц.

Единственным полностью надежной защитой в этом случае будет актуальная база вирусов в вашем программном обеспечении и самостоятельная проверка сертификации сайта.

Спам - информационная угроза

В этом случае гораздо реже речь идет о прямой угрозе для данных на смартфоне или компьютере (хотя в некоторых случаях, конечно же, она существует), а более разочарование, которым сопровождается использование электронной почты.

Почтовые сервисы Интернета, конечно, имеют основные фильтры, но все равно иногда что-то попадает в ящик. 80% интернет-пользователей регулярно использует почтовый ящик и ни одного из них не нужно, наверное, убеждать, сколь вреден спам.

Проблема исчезает, если мы используем передовые защитные пакеты, а также имеем лицензию на его мобильную версию.

Сети ботнет

Это тип опасности, о которой мы часто даже не отдаем себе отчета. Его присутствие практически незаметно, он не вредит, ибо имеет совершенно другую задачу. Он использует вычислительные мощности зараженных компьютеров, например, для рассылки спама или атак на выбранные сервера.

Надежная защита

Список опасностей гораздо больше и что ещё хуже - постоянно расширяется. Каждая из них представляет собой, однако, действительно серьезную угрозу, которая из-за невнимательности пользователя может привести к ситуации, в которой он теряет доступ к критически важным данным.

Самое важное, в любом случае, использование технологий и решений, дающих нам уверенность, что хранящиеся на дисках или сети данные надежно защищены. Хотя даже самый полный пакет не освобождает нас от необходимости сохранения здравого смысла при работе в сети интернет.

Современные средства защиты содержат модули анализа трафика, которые выдают предупреждение по факту срабатывания некоторого правила, суть которого сводится к анализу последовательности символов в потоке информации. Соответственно критичным является корректный разбор и нормализация передаваемых данных. Злоумышленники пользуются этой особенностью и пытаются «обойти» механизмы детектирования с помощью различных методик. Техники обхода были известны еще с середины 90-х годов, однако лишь в прошлом году их подробное изучение позволило усомниться в адекватности применяемых средств обеспечения безопасности.

Ландшафт современных сетевых угроз значительно изменился за последние годы. Основным трендом является криминализация хакерской активности, когда получение доступа к информационным активам и кража информации становится в первую очередь задачей извлечения финансовой выгоды. Также меняется и вектор атак – они становятся все более разнонаправленными, включают не только использование публичных или «zero-day»-эксплоитов, но и задействуют заказное программное обеспечение, подготавливаемое специально под конкретные информационные системы.

Традиционно атаки используют уязвимые места определенных прикладных программ (или приложений), становясь все более изощренными, чтобы иметь возможность проходить через рубежи сетевой защиты, так или иначе присутствующие в каждой организации. Очень часто им это удается, примеров тому масса, самыми яркими из которых являются эпидемии червей Sasser, Conficker, и ZeuS. Недавние подтвержденные взломы таких гигантов, как Google и RSA (EMC), не говоря уже про Пентагон, являются ярким примером того, что никто в достаточной степени не защищен.

Таким образом, не будет большой новостью утверждение, что данные атаки существуют, и их проведение зачастую происходит с успехом со стороны атакующего. Гораздо важно другое: нередки случаи, когда попытки расследования атак не приводят к желаемому результату. Т.е. при всем желании разобраться в истории взлома и векторах, которые использовались злоумышленниками для проникновения, расследование является крайне затруднительным или невозможным.

Значит ли это что системы сетевой безопасности не нужны, раз они так неэффективны? Отнюдь нет. Однако для грамотного применения нужно хорошо себе представлять их границы применения и возможности.

Итак, суть самого проникновения сводится к тому, что злоумышленник, используя брешь в программном обеспечении (системном или прикладном), не задумываясь о том, что вызовы и параметры вызовов функций кому-то придет в голову использовать не по прямому назначению, может проникнуть в целевую систему и, закрепившись, реализовать свои коварные планы. Все ли бреши закрыты на сегодняшний день? Статистика уязвимостей от таких анатлитических команд, как IBM X-Force (ранее ISS), показывает, что даже в прошлом году все ведущие мировые программные гиганты имели достаточно количество незакрытых «заплатками» уязвимостей. Причем, если посмотреть по критичности этих уязвимостей, то более 70% всех вновь обнаруженных «дыр» высокого и критического уровня не были закрыты на момент публикации. И это на фоне того, что другое уважаемое аналитическое агенство Verizon Business рапортовало, что направленность атак сменилась: теперь вновь угроза кроется не внутри сети (защищаться нужно не от инсайдеров), а снаружи, в Интернете, откуда и происходит большинство проникновений.

Таким образом, проблема очевидна: атаки происходят из Интернет, а системы, которые подвергаются атакам по тем или иным причинам не являются защищены от известных (не говоря уже про так называемые «zero-day») эксплоитов. Иногда это происходит по причине того, что самих патчей не существует, а иногда потому, что трудозатраты на инсталляцию и тестирование этих самих исправлений (а также борьбу с последствиями установки исправлений вследствие неизбежно возникающих сбоев в работе ПО) очень велики. Одновременно большая часть производителей рассказывает о том, что технологии так называемого «виртуального патча» являются универсальным лекарством от всех бед – достаточно установить систему IDS/IPS или межсетевой экран (МЭ) с функциями глубокой инспекции потоков (Deep Packet Inspection, DPI), и проблема решена!

Однако, если подойти к данной постановке вопроса с разумным скептицизмом, то в голову сразу закрадется мысль, что «ничего не бывает бесплатно», и где-то должен скрываться подвох. А заключается он в том, что система IPS или МЭ с DPI действительно могут распознать в сетевом потоке нежелательную информацию, однако для этого они должны определенным образом принимать и обрабатывать пакеты и содержащиеся в них данные.

Так, все современные средства защиты, включая МЭ, IDS/IPS, системы мониторинга сетевых потоков, выявления утечек и другие, работающие на уровне приложений (анализ информации на котором и требуется для эффективного блокирования эксплоитов) содержат в себе модули анализа трафика, которые выдают предупреждение (или другую ответную реакцию) по факту срабатывания некоторого правила, суть которого в большинстве случаев сводится к анализу последовательности символов в потоке информации. Вне зависимости от того, сигнатурный или статистический это анализ, критичным является корректный разбор и нормализация данных прикладного протокола.

Злоумышленники зачастую пользуются этой особенностью и пытаются «обойти» механизмы детектирования с помощью различных методик, которые объединены общим термином «техники обхода» (evasion techniques). Техники обхода были известны еще с середины 90-х годов, однако лишь в прошлом году их подробное изучение специалистами компании StoneSoft позволило усомниться в адекватности применяемых средств обеспечения безопасности. Компания StoneSoft назвала свое открытие «динамическими» или «продвинутыми» техниками обхода (Advanced Evasion Techniques, AET).

Суть его сводится к тому, что унаследованные или современные техники обхода при определенном использовании позволяют послать запрос на атакуемый узел таким образом, что средства сетевой защиты не будут детектировать факт использования уязвимости или проявления аномальной активности другого вида. Сутуация усугубляется тем, что техники обхода можно комбинировать в самых разнообразных вариантах. Текущее их количество по теоретическим подсчетам составляет порядка 231. На практике выявлено и подтверждено (пока что) гораздо меньше. Но работа идет и поэтому количество «работающих» техник обхода продолжает увеличиваться. Откуда берутся эти цифры? Рассмотрим на примере модели OSI (рис. 1).

Рисунок 1 - Иллюстрация количества техник обхода на примере стека модели OSI

На каждом из логических уровней модели существует свой набор протоколов, фактически использующих формализованные структуры для передачи информации. Так, например, на сетевом уровне есть протокол IP, на транспортном TCP или UDP. Что касается сессионного и вышележащих уровней (которые, как известно, отсутствуют в стеке TCP/IP), то здесь с вариативностью тяжелее, поскольку эти уровни «условные» и примеры протоколов будут сильно зависеть от применяемого прикладного сервиса. Но если взять для наглядности один из самых уязвимых и «опасных» (с точки зрения возможности реализации удаленных атак) протоколов операционной системы Windows – RPC (Remote Procedure Call, удаленный вызов процедур), то для него цепочка может выглядеть как NetBIOS – SMB – MSRPC. Однако, что еще более интересно, MSRPC может использовать не только транспорт NetBIOS для представления информации. Вместо обычного SMB (1.0) в цепочке протоколов допустимо появление SMB2, равно как и передача может осуществляться поверх HTTP, и т.д. Так вот суть в том, что динамические техники обхода можно применять и комбинировать для каждого из используемых уровней. Так, на уровне IP мы знаем такие «традиционные» варианты, как IP fragmentation, для TCP соответственно TCP segmentation, а для SMB – fragmentation или transaction manipulation и т.д. К слову сказать, эти методы все еще вполне эффективны и работают против некоторых из систем (несмотря на то, что бы известны с конца 90-х годов). Но помимо этих методов, стали известны такие менее «распространенные», как IP random options, TCP urgent pointer, TIME_WAIT, SMB padding, method fragmentation или session mixing и много других. Если подсчитать число всевозможных комбинаций, то получится обозначенная величина.

Однако рисуется еще более удручающая картина, когда в результате исследований, проведенных на реальном оборудовании и реальных сетевых потоках, выяснилось, что возможности устройств оказываются в большинстве случаев ограничены базовым разбором стека протоколов TCP/IP (и соответственно нормализацией получаемых данных). Сложно говорить об особенностях технологий разбора различных продуктов и решений, которые для любой компании являются ее ноу-хау (и, следовательно, скрыты), однако результаты позволяют сделать следующий вывод: нормализация (т.е. приведение к унифицированной форме представления) данных во многих широко применяемых сегодня средствах сетевой защиты практически не используется (т.е. используется, но на базовом уровне, максимум в рамках классических, известных технологий). А за емкими названиями техник блокирования «zero-day» уязвимостей скрывается, по большому счету, «классический» сигнатурный анализ. Безусловно, в коммерческих решениях даже он шагнул далеко вперед по отношению к свободно распространяемому программному обеспечению, однако грустный отпечаток на статистику накладывает тот факт, что, к примеру, та же эпидемия Conficker даже сегодня может остаться незамеченной, несмотря на то, что уже несколько лет правила под этот червь прочно занимают места в базе данных анализа трафика. Это же касается средств детектирования утечек, средств межсетевого экранирования с интегрированными модулями IDS/IPS и т.д. А виноват в этом недостаточный уровень разбора сетевых протоколов, точнее его глубина.

К слову сказать, причиной работоспособности AET является в том числе так называемый «принцип устойчивости» (robustness principle), лежащий в основе работы стека протоколов TCP/IP. Согласно этому принципу отправитель сообщения должен быть консервативен при отправке, а получатель - придерживаться либеральных правил приема информации. Злоумышленники при атаке ресурсов выступают в роли отправителей. А когда они следовали правилам (рис. 2)?

Рисунок 2 - Средства безопасности работают только если следовать стандартным правилам

Проблема оказывается глобальной. Поначалу она не рассматривалась как серьезная, однако за прошедшие полгода такие именитые международные организации, как CERT, ICSA Labs, Gartner, NSS Labs не только подтвердили факт существования данных принципиальных уязвимостей, но и обозначили серьезность проблемы.

А эта серьезность усугубляется отсутствием общепринятых способов и методик проверки адекватности реализации модулей разбора трафика и его нормализации в средствах сетевой защиты. Более того, даже коммерческие лаборатории, профессионально занимающиеся тестированием, не содержат в своем арсенале таких средств. В итоге может оказаться так, что средство защиты, которое по рейтингу лаборатории занимает одну из лидирующих позиций, на самом деле не способно детектировать даже давно всем известные атаки только из-за того, что несмотря на наличие ее сигнатуры в базе данных, качество получаемого нормализованного потока информации, подаваемого на модуль разбора, оставляет желать лучшего. Опять же практика координации действий с CERT в части оповещения производителей средств защиты об имеющихся уязвимостях, показывает, что многие производители все равно ограничиваются формальным закрытием конкретного факта применения техники обхода по предоставленной копии трафика (т.е. пишут очередную сигнатуру), вместо искоренения самой проблемы.

Причем этот подход не работает как минимум по двум причинам:

1. Применение некоторых из техник «обхода» (т.е. различные способы фрагментации или переупорядочивания данных) является вполне нормальной и, более того, распространенной практикой для сетевых приложений. Соответственно просто запретить их использование – все равно что запретить работу приложения в сети организации, поскольку блокирование факта применения необычного способа представления информации приложением будет приводить к тому, что легитимный трафик будет прерываться, т.е. появится значительный рост ложных положительных срабатываний (ошибок первого рода), причем без особого влияния на снижение ложных отрицательных (ошибок второго рода).

2. Количество комбинаций техник обхода велико. А поскольку это всего лишь «транспорт» для доставки экплоита в целевую систему, то добавление в базу знаний системы IDS/IPS сигнатуры под все возможные комбинации эксплоитов и техник обхода приведет к «взрывоподобному» росту этой базы. Так, в известной базе данных CVE на текущий момент более 46000 записей. Из них в базу знаний системы мониторинга попадает лишь малая часть – средний размер базы порядка 3000 записей, из которых в лучшем случае половина (т.е. примерно 1500) активны и используются для анализа трафика. Даже с этими параметрами производительность систем зачастую оставляет желать лучшего, не говоря уже про активацию всех правил из базы знаний. А теперь представим, что будет, если потребуется добавить сигнатуры хотя бы для 1% возможных техник обхода? Это означает, что придется написать порядка миллиона сигнатур, что изначально обречено на провал.

Следовательно, единственный выход – это модернизировать механизмы инспекции трафика, которые заложены в ядре системы. Если быть точным, то в первую очередь нужно совершенствовать модули нормализации данных, в задачу которых входит считывание проходящих пакетов и представление в виде, пригодном для последующего применения правил выявления аномалий и сравнения по сигнатурам. А ввиду отсутствия на текущий момент доступных средств тестирования на АЕТ решений и систем (соответствующее программное обеспечение, похоже, есть только у компании-открывателя, StoneSoft), возникает проблема определения «реальности» уровня информационной безопасности в организации, которую дают используемые средства сетевой защиты. Причем эту проблему также нужно решать как можно скорее, пока в арсенале хакеров не оказались автоматизированные утилиты, использующие динамические техники обхода.

Таким образом, с одной стороны, есть проблема корректности разбора и нормализации информации средствами сетевой защиты, а с другой – проблема тестирования адекватности реализации этих методов разбора и нормализации. Очевидно, что с гандикапом нужно бороться всем без исключения производителям средств сетевой защиты, которые хотят обеспечивать «реальную» безопасность. А преимущество есть у тех(ой) компаний(и), которые(ая) первыми(ой) уделили(а) должное внимание этим вопросам.

Источники информации:

Six tips for protecting critical data against Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2011/24032011.html?uri=/en/press_and_media/releases/en/index.html

New Advanced Evasion Techniques Discovered and Disclosed for Global Vulnerability Coordination, http://www.stonesoft.com/en/press_and_media/releases/en/2011/15022011.html?uri=/en/press_and_media/releases/en/2011/index.html

Stonesoft Discloses First Details of Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2010/16122010.html?uri=/en/press_and_media/releases/en/2010/index.html

Stonesoft Releases Technical Paper on Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2010/30112010.html?uri=/en/press_and_media/releases/en/2010/index.html

Stonesoft Corporation: Advanced Evasion Techniques Bypass Almost All Current Network Security Systems Without Leaving A Trace, http://www.stonesoft.com/en/press_and_media/releases/en/2010/18102010.html?uri=/en/press_and_media/releases/en/2010/index.html

Stonesoft Corporation: New Network Security Threat Category Puts The Functionality Of Organizations’ Data Capital And Systems At Risk, http://www.stonesoft.com/en/press_and_media/releases/en/2010/04102010.html?uri=/en/press_and_media/releases/en/2010/index.html

Новый пласт угроз информационной безопасности – динамические техники обхода, Журнал "Information Security/ Информационная безопасность" #6, 2010



Популярное в рубрике:
Как объединить слои в фотошопе в один или соединить их в группу Как объединить несколько слоев в фотошоп
Как объединить слои в фотошопе в один или соединить их в группу...
читать
Перенос контактов на новый телефон android
Перенос контактов на новый телефон android
читать
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note 4 перезагружается сам по себе
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note...
читать
Основные возможности Kaspersky Rescue Disk
Основные возможности Kaspersky Rescue Disk
читать

Последние Статьи
Макбук не подключается к wifi Макбук не видит...
читать
Как заработать на WebMoney
читать
"Супра", планшет: отзывы покупателей
читать
Местонахождения судов в реальном времени
читать
Лучшие программы для Android Запись звонков от...
читать
Удаляем не читателей в Твиттере
читать
Подключаем интернет на ноутбуке: все возможные...
читать
Samsung Galaxy S IV – новый флагман...
читать
Top