В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Ни для кого не секрет, что хакерские атаки давно вышли из области "попробуем сломать, это так увлекательно!" и превратились в инструмент конкурентной борьбы, промышленного шпионажа и способ причинения существенного материального ущерба. Совершенствование методов атак часто опережает возможности обороняющихся и вынуждает искать адекватные превентивные меры. Так, например, динамические техники обхода (Advanced evasion techniques – AET) дают возможность киберпреступникам использовать практически неограниченное количество вариантов, с помощью которых вредоносные программы могут проникать в сети передачи данных незаметно. Сегодня рынок ИБ не предлагает каких-либо решений, обеспечивающих полную защиту от AET. Мы уже писали об истории открытия, эволюции АЕТ и методах их исследования.
В настоящий момент общее число комбинаций AET, базирующихся на уже известных техниках, достигло 2 в 180-й степени. Новые варианты динамических техник обнаруживаются постоянно. Однако, учитывая почти бесконечное количество уже известных возможных комбинаций, такие открытия представляют собой очередную каплю в море. Поэтому важно, чтобы компании использовали системы предотвращения атак (IPS), которые исследуют сетевой трафик не только на основе характеристик известных вредоносных кодов или сигнатурного анализа.
Атаки, использующие динамические техники обхода, могут распознаваться системами безопасности, которые имеют дополнительные опции проверки сетевого трафика. Одним из примеров является многоуровневый процесс нормализации. При этом принимаются во внимание данные, которые не были получены оконечной системой, или протоколы, которые могут быть расшифрованы по-разному.
Возможность получения быстрого доступа к данным о текущем состоянии системы ИБ и происходящих событиях является, пожалуй, единственным способом для администратора быстро отреагировать на атаку и принять превентивные меры для защиты системы. Именно поэтому так важна роль централизованного управления средствами безопасности, а способность быстрого и единообразного распространения обновлений на все элементы защиты, включая удаленные узлы, позволяет в случае необходимости быстро реагировать на появление новых видов атак и поддерживать систему в актуальном состоянии.
Системы IPS с такой функциональностью обладают способностью декодировать и собирать пакеты данных, так же как это делают оконечные системы, которым эти данные предназначаются. Эта функция позволяет им легко обнаруживать замаскированный вредоносный код и блокировать его.
В отличие от многих аппаратно-ориентированных решений такие средства защиты фокусируются не только на TCP/IP-уровне, но также могут анализировать другие уровни протокола для каждого соединения, включая HTTP. Это значительно снижает риск того, что пакеты данных, не соответствующие классическим правилам протоколов, могут проникнуть в сеть незамеченными. Кроме того, производительность сети может поддерживаться на высоком уровне, если функции нормализации трафика работают отдельно от проверки соединений и сигнатурного анализа.
Только те технические средства защиты, которые имеют возможность быстрого реконфигурирования и простого обновления, способны противостоять постоянно меняющимся AET. Сегодня большинство компаний из сугубо экономических соображений используют аппаратно-ориентированные решения для защиты своих сетей, так как надеются, что решение "из коробки" проще интегрировать в имеющуюся систему. Однако такие решения имеют один недостаток, который нельзя игнорировать, – они статичны. Обновление подобных решений всегда требует времени и зачастую невозможно из-за аппаратных ограничений. С учетом этого аппаратные средства видятся мало подходящими для применения в системах, предназначенных для защиты от AET. С другой стороны, программно-ориентированные системы предотвращения вторжений могут быть почти мгновенно приведены в обновленное состояние, соответствующее актуальным угрозам, включая AET, причем применение обновлений может быть произведено с минимальными затратами и практически в любое время.
Использование перечисленных мер позволит организациям добиться значительного улучшения уровня защиты своих информационных систем от атак, включая AET.
Детальную информацию по защите от AET можно получить на сайте www.antieva-sion.com.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2011