Динамические техники обхода - защита и превентивные меры

Карен Карагедян
директор по продажам
компании Stonesoft Corporation
в России, СНГ и странах Балтии

Ни для кого не секрет, что хакерские атаки давно вышли из области "попробуем сломать, это так увлекательно!" и превратились в инструмент конкурентной борьбы, промышленного шпионажа и способ причинения существенного материального ущерба. Совершенствование методов атак часто опережает возможности обороняющихся и вынуждает искать адекватные превентивные меры. Так, например, динамические техники обхода (Advanced evasion techniques – AET) дают возможность киберпреступникам использовать практически неограниченное количество вариантов, с помощью которых вредоносные программы могут проникать в сети передачи данных незаметно. Сегодня рынок ИБ не предлагает каких-либо решений, обеспечивающих полную защиту от AET. Мы уже писали об истории открытия, эволюции АЕТ и методах их исследования.

Принцип нормализации

В настоящий момент общее число комбинаций AET, базирующихся на уже известных техниках, достигло 2 в 180-й степени. Новые варианты динамических техник обнаруживаются постоянно. Однако, учитывая почти бесконечное количество уже известных возможных комбинаций, такие открытия представляют собой очередную каплю в море. Поэтому важно, чтобы компании использовали системы предотвращения атак (IPS), которые исследуют сетевой трафик не только на основе характеристик известных вредоносных кодов или сигнатурного анализа.

Атаки, использующие динамические техники обхода, могут распознаваться системами безопасности, которые имеют дополнительные опции проверки сетевого трафика. Одним из примеров является многоуровневый процесс нормализации. При этом принимаются во внимание данные, которые не были получены оконечной системой, или протоколы, которые могут быть расшифрованы по-разному.

Системы IPS с такой функциональностью обладают способностью декодировать и собирать пакеты данных, так же как это делают оконечные системы, которым эти данные предназначаются. Эта функция позволяет им легко обнаруживать замаскированный вредоносный код и блокировать его.

В отличие от многих аппаратно-ориентированных решений такие средства защиты фокусируются не только на TCP/IP-уровне, но также могут анализировать другие уровни протокола для каждого соединения, включая HTTP. Это значительно снижает риск того, что пакеты данных, не соответствующие классическим правилам протоколов, могут проникнуть в сеть незамеченными. Кроме того, производительность сети может поддерживаться на высоком уровне, если функции нормализации трафика работают отдельно от проверки соединений и сигнатурного анализа.

Программно- или аппаратно-ориентированные средства защиты?

Только те технические средства защиты, которые имеют возможность быстрого реконфигурирования и простого обновления, способны противостоять постоянно меняющимся AET. Сегодня большинство компаний из сугубо экономических соображений используют аппаратно-ориентированные решения для защиты своих сетей, так как надеются, что решение "из коробки" проще интегрировать в имеющуюся систему. Однако такие решения имеют один недостаток, который нельзя игнорировать, – они статичны. Обновление подобных решений всегда требует времени и зачастую невозможно из-за аппаратных ограничений. С учетом этого аппаратные средства видятся мало подходящими для применения в системах, предназначенных для защиты от AET. С другой стороны, программно-ориентированные системы предотвращения вторжений могут быть почти мгновенно приведены в обновленное состояние, соответствующее актуальным угрозам, включая AET, причем применение обновлений может   быть   произведено с минимальными затратами и практически в любое время.

Предлагаемые меры

Использование перечисленных мер позволит организациям добиться значительного улучшения уровня защиты своих информационных систем от атак, включая AET.

• Узнайте больше об AET: динамические техники обхода развиваются весьма динамично, исследование комбинаций и методов противостояния тоже. В результате IT-менеджеры должны постоянно уделять достаточно внимания вопросам актуальных угроз.
• Проанализируйте риски: не все компании подвержены рискам хакерских атак с применением AET. Однако ландшафт угроз постоянно меняется, да и ценность защищаемой информации – субстанция изменчивая, и в любой момент ее значимость для потенциальных злоумышленников может возрасти. Рекомендуем постоянно отслеживать окружающую среду и регулярно проводить переоценку рисков ИБ.
• Установите патчи и обновления: регулярное обновление защитных систем остается одним из наиболее эффективных методов противодействия разнообразным атакам на сетевую инфраструктуру. При помощи средств централизованного управления (SMC) обновления ПО, политик и сигнатур могут быть распространены на всю систему с высокой скоростью.
• Используйте IPS: всегда ищите лучшее решение по предотвращению атак. Ключевой фактор эффективной IPS – это способность быстро реагировать на изменения среды и появление новых угроз, что с большим успехом могут делать программно-ориентированные решения в силу своей большей гибкости.

Детальную информацию по защите от AET можно получить на сайте www.antieva-sion.com.