Pусский
English

Статьи

« Назад

Школа сетевой безопасности для начинающих от Форта Нокс  10.05.2013

Fort Knox

Урок 1: Защита периметра

Название Форт Нокс во всем мире ассоциируется с максимальной безопасностью. Официально называемый как United States Bullion Depository, Форт Нокс считается самым безопасным местом в мире. Во время Второй мировой войны здесь хранилась не только Конституция и Декларация независимости США, но и королевские драгоценности королевы Великобритании.

Высокие стены
С тех пор, как Форт Нокс стал хранилищем золотого запаса США в 1936 году, не было ни одной попытки его ограбления. Хранилище защищено несколькими слоями защиты, начиная от военных патрулей с автоматическим оружием, заканчивая танками и вертолетами.  Можно провести множество параллелей между физической безопасностью Форта Нокса и лучшими примерами сетевой безопасности. В ближайшее время мы с помощью сотрудников компании Lancope рассмотрим каждую из этих параллелей. Начнем с защиты периметра.

Файервол на границе
Файервол (или брандмауэр) вообще - это защитный барьер от огня, мешающий ему распространиться от одной комнаты в другую. В компьютерной отрасли первые внедрения файервола имели похожие цели. Файервол создавался для предотвращения распространения сетевых проблем (например, червей) из одного сетевого сегмента в другой.
В корпоративных сетях файервол устанавливался для создания "границы" между сетью и Интернетом (или другими сетями). Согласно правилам файервол начинает с блокирования всего трафика, а затем создаются "отверстия" для пропускания трафика специализированных сетевых ресурсов и услуг. Списки контроля доступа (access control lists, ACL) файервола обладают способностью ограничивать доступ к ресурсам, которые могут использоваться посторонними пользователями.
В понимании физической безопасности эти "отверстия" в стене известны как ворота. В воротах Форта Нокса располагается вооруженная охрана, которая проверяет входящих и защищает секцию, в которую ведут ворота. Файервол сам по себе не обладает такими защитными способностями. (Позднее мы рассмотрим методы и технологии, которые отвечают за безопасность в таких "воротах").

Контроль сетевого доступа на границе
Граница сети - это место, где посторонние пытаются получить доступ к сетевым ресурсам. Когда внутренний корпоративный пользователь "входит" в сеть, он не "переходит" через границу, а получает доступ на ее "краю". Этот "край" включает в себя внутренние сетевые коммутаторы, беспроводные точки доступа и виртуальные приватные сети (VPN). Файервол защищает от внешних атак, в то время как контроль сетевого доступа (network access control, NAC) защищает от внутренних угроз.
Входящие в Форт Нокс получают доступ в него после проверки пропусков (что-то, что они имеют), паролей (что-то, что они знают) и биометрии (что-то, чем они являются). После проверки их идентичности (это - аутентификация) проверяются записи, имеют ли люди с такими данными право входа и в какие именно помещения они могут получить доступ (это  - авторизация).
Решения класса NAC, такие как Cisco's Identity Services Engine (ISE), осуществляют похожие функции для устройств, которые пытаются получить доступ в сеть. ISE оценивает хост и пользователя и предоставляет доступ к определенным сетевым ресурсам. Риск может быть минимизирован путем проведения интеллектуальной проверки и авторизации.
NAC, как и файервол, имеет свои ограничения. Как только устройство оказывается внутри сети, оно может попробовать перехитрить систему безопасности и провести неавторизованные действия. С такими же проблемами сталкивается и Форт Нокс. Реальная угроза связана не с посторонними, а с внутренними пользователями, которые могут себя вести неправильно.

Заключение урока 1
Первый урок, который мы можем использовать из опыта Форта Нокса, заключается в том, что нам надо иметь защищенный периметр. В дальнейшем мы увидим, как уроки из наиболее защищенного места в мире помогут нам уменьшить риск для наших сетей.
 

Урок 2: Методы детектирования
В первой части мы рассмотрели файервол и решение контроля сетевого доступа и отметили, что эти необходимые и эффективные компоненты требуют дополнительных средств для закрытия возможных прорех в "защитной шапке". В дальнейшем мы рассмотрим, как технологии сетевого мониторинга укрепляют защиту. Начнем с оценки методологий, которые могут применяться для поиска сетевых атак.
Две корзины
Когда мы исследуем сетевой трафик на предмет наличия неразрешенной активности, то для этого существует две возможности, два метода. Первая опирается на контроль содержимого трафика, вторая - проверяет поведение хостов.

Проверка состава трафика

Первый метод определения угроз основан на исследовании характеристик происходящего. В физической безопасности он включает в себя анализ образцов в DNA, отпечатков пальцев, химического состава и физических параметров. В сетевой безопасности метод использует в основном проверки образцов (pattern) в передаваемых данных или компьютерных файлах.

Обнаружение с помощью сигнатур

Форт Нокс, как и другие военные учреждения, имеет различные методы обнаружения угроз, которые опираются на проверку характеристик объекта. Вынюхивающие бомбы собаки обучены лаять при наличии определенного запаха. Сканирование отпечатков пальцев и распознавание лиц помогает идентифицировать известных врагов.
В сетевой безопасности методы обнаружения атак, которые основаны на знании специфичного состава атаки, носят название "определение на основе сигнатур". Этот метод обнаружения угроз часто предпочитают как в системах физической, так и сетевой безопасности, так как он дает конкретный ответ, какое конкретно событие происходит. Лающий на бомбу пес сообщает о присутствии взрывчатого вещества и предоставляет возможность правильным образом отреагировать на угрозу. В сетевой безопасности может быть создан точный структурный образец (pattern) таких атак, как червь Conficker или "Web server vulnerability X" для того, чтобы информировать оператора о точном типе атаки.
Однако сигнатуры ограничены в своей возможности обнаруживать новые или неизвестные угрозы, поскольку они требуют проверки ее проявления для создания сигнатуры (т.е. невозможно определить преступника по отпечатку пальца, если его нет в базе данных). Поэтому обнаружение атак с помощью сигнатур неэффективно против только появившихся атак, но является исключительно эффективным методом борьбы с известными угрозами.

Эвристическое обнаружение
Пакеты, которые поступают в секретные учреждения, часто пропускают через рентгеновский аппарат, оператор которого пытается обнаружить в его содержимом подозрительные признаки. Например, он может выискивать там острые предметы (которые на самом деле могут быть не только ножом, но и, например, карандашом).
В сетевой безопасности обнаружение угроз путем идентификации потенциально опасных (хотя и не обязательно) характеристик известно как "эвристическое обнаружение". Этот тип детектирования основан на использовании переменных или частичных совпадений сигнатуры, но он не может конкретно объяснить принцип работы подозрительного события, в отличие от "сигнатурного обнаружения".
Обнаружение угроз на основе анализа поведения
Второе направление определения угроз фокусируется на поведении действующего фактора. Это называется "обнаружение на основе анализа поведения (behavioral detection)".

Обнаружение аномалий
В Форте Нокс если патруль не рапортует о том, что происходит, через регулярные интервалы времени, командир отметит, что это отклонение от обычного поведения и начнет расследование события. Если торговец приедет в машине другой марки, чем это было отмечено ранее, то это тоже будет помечено как аномалия.
Обнаружение угроз путем наблюдения активности, которая является отклонением от нормального (базовая линия) поведения, называется "методом обнаружения аномалий (anomaly detection)". В сетевой безопасности примеры аномалий включают в себя компьютеры, использующие или владеющие новыми сетевыми сервисами, требующими больше, чем обычно полосы пропускания или коммуницирующими с новыми типами внешних серверов. Такой метод обнаружения обеспечивает возможность раннего обнаружения новых или неизвестных угроз, но требует наличия опытных операторов и возможности просмотра большого объема данных, чтобы эффективно противостоять атаке.

Подозрительная активность
Второй компонент системы обнаружения на основе анализа поведения связан с наблюдением за подозрительной активностью (suspicious activity). Когда персонал или посетители Форта Нокс начинают проверять дверные замки, копировать документы или проникать в запрещенные для него места, мгновенно "поднимается красный флаг".
В сетевой безопасности подозрительная активность может ассоциироваться со сканированием хостов в сети (часто это говорит о наличии сетевого червя), коммуникацией с известными "плохими" внешними хостами (такими как ботнеты), попытками избыточных, ненужных соединений с сетевыми ресурсами (индикатор атак типа "отказ от обслуживания"). В то время, когда сигнатуры могут еще не существовать, реакция на событие может осуществляться немедленно, поскольку нет никакой нормальной причины для такой активности (похоже, как будто наблюдаешь за кем-то, кто ломится в секретное помещение). Этот метод позволяет обеспечить значительно меньшее время реагирования на атаки. А также уменьшает время, затрачиваемое сетевым аналитиком для определения проблемы в сети.

Заключение урока 2.
Во втором уроке мы рассмотрели два типа методов, используемых для определения угроз в сети: один основан на использовании сигнатур, а другой на анализе поведения. Иначе, обнаружение на базе сигнатур фокусируется на характеристиках события, а поведенческое обнаружение связано с анализом активностей. В части 3 мы рассмотрим различные типы нагрузок, которые могут быть связаны с сетевыми атаками.

Урок 3: Принципы действия атак


В Уроке 2 мы оценивали различные методы обнаружения атак, которые могут использоваться для отражения последних. Сейчас мы обратим наше внимание на то действие (payload), которое осуществляется после того, как проникновение (exploit) в сеть произошло.

Различие между Exploit и Payload
Для начала разберемся в различии между этими двумя терминами. Exploit - это метод обхода системы безопасности, а payload - то, что делается после осуществления доступа в сеть.

Обнаружение Payload
Ранее мы обсуждали, что атаки могут обнаруживаться путем проверки состава трафика (обнаружение на основе сигнатур) или его активности (обнаружение на основе анализа поведения). Подобные сигнатуры могут быть написаны и для обнаружения как exploit, так и payloads.

Сетевые payloads
Существует несколько различных вредоносных действий, которые осуществляются после проникновения в сетевые ресурсы.

Нарушение сервиса.
Вероятно, наиболее часто упоминаемое атакующее действие (payload) связано с нарушением оказания услуг. Атака типа denial-of-service (DoS) предназначена для препятствия серверу осуществлять свою функцию. В 1995 году печально известная атака DoS, названная "The Ping of Death", была запущена в быстро растущий Интернет. Вследствие посылки пакетов данных, значительно большего размера, чем обычный пакет ping (> 1000x), атакованная система переставала отзываться до тех пор, пока ее не перезагружали. Более привычный тип атак класса DoS заключается в посылке значительно большего количества запросов на обслуживания, чем сервер может физически обслужить. Когда географически распределенные компьютеры скоординировано атакуют хост атакой типа denial-of-service, то такое воздействие называется  "распределенной атакой типа отказа от обслуживания" (distributed denial-of-service, DDoS).


Ботнеты
Успешная сетевая атака может быть не более, чем "вербовка" нового рекрута в сообщество. Иногда изощренные атаки используются для получения контроля над мощным сервером. Когда хакеры получают полный доступ к компьютеру, они называют это "овладеть" машиной. Чаще, чем стараться овладеть крупным сервером, атакующие просто рекрутируют пешек. По всему миру хакеры устанавливают свое шпионское ПО на тысячи компьютеров, получая таким образом армию компьютеров, стоящих в ожидании команды к действию. Одиночный компьютер, зараженный подобным образом, называется "бот". Все вместе компьютеры, находящиеся под контролем атаковавшего их, называются "ботнет" или иногда "зомби-сеть". Ботнеты используются для различных целей, начиная от рассылки спама и подавления онлайн-рекламщиков (click fraud), заканчивая DDoS и маскировкой инфильтрации в сеть.
С тех пор, как компании стали позволять своим сотрудникам подключать собственные устройства (ноутбуки, планшеты, смартфоны) в сеть (политика, носящая название "bring-your-own-device" или BYOD), они стали использоваться хакерами для создания ботов внутри сети, недоступной иным способом. Так же как очень сложно определить, когда до сих пор лояльный солдат стал предателем, очень трудно обнаружить бот, когда он неактивен. Обнаружение на базе сигнатур полагается на обнаружение коммуникаций с интернет-адресом из списка "плохих" сайтов, чтобы обнаружить, что внутренний хост подает сигнал своему контролеру (известному, как command-and-control server). Но, поскольку преступники в киберпространстве могут перемещаться намного легче, чем их аналоги в физическом мире, то это делает такие списки (и сигнатуры) малоэффективными. Методы обнаружения на базе анализа поведения могут заметить новые типы соединений, которые идут от недавно инфицированных хостов и обеспечить возможность своевременно отреагировать на инцидент.

Потери данных
Если возможность иметь в своей сети компьютеры, управляемые кем-то снаружи, вас пугает, то предположение, что ваша конфиденциальная информация отсылается на сервер, принадлежащий преступникам (или конкурентам), может вызвать у вас "понос и золотуху". Когда компьютер в вашей сети куда-то отсылает информацию, которая не должна покидать пределы сети, это называется "потеря данных или data loss". В сегодняшних условиях, когда усиливается ответственность за утерю персональных данных, данных кредитных карт или медицинской информации, любая неавторизованная утечка данных может серьезно повредить организации. Система защиты от утечек на базе сигнатур может выискивать образцы (patterns) SSN или кредитных карт в исходящем трафике. Они могут также проверять названия файлов, передаваемых по сети. Хакеры очень скоро обнаружили, что некоторые методы шифрования, которые используются для защиты от их атак, могут с успехом использоваться для обхода систем защиты от утечек на базе сигнатур. Используя зашифрованный коммуникационный канал для пересылки защищенной информации из сети, можно стать невидимым для сигнатурных систем. Поскольку поведенческие системы не нуждаются в просмотре передаваемых данных, они могут отловить компьютеры с защищенной информацией, которые начинают вести себя ненормально. Вместо обычного для сигнатурных систем сигнальных сообщений типа "Пересылаются подозрительные SSN-данные", поведенческая система будет сигнализировать об "Обнаружении подозрительных данных" или "Возможная потеря данных", основываясь на анализе отклонений в нормальном поведении трафика.

Заключение урока 3.

Мы сделали краткий обзор того, что могут преступники сделать после проникновения через защитные механизмы. На следующем уроке мы рассмотрим, как имея более "интеллигентные" системы, чем у атакующих, можно эффективно защитить свою сеть.

 


Урок 4: Доступность данных

Перегрузка информацией
Форт Нокс расположен в удаленном районе Кентукки и его посещает очень небольшое количество визитеров. К сожалению, для современных сетей ситуация несколько иная. Для большинства сетей, количество данных, которые необходимо обрабатывать, превышает все мыслимые пределы. Проблема для систем мониторинга таким образом не в адекватности информации, а скорее в возможностях обрабатывать и передавать такие огромные массивы данных.
Данные о сети могут быть собраны из различных источников, начиная от log-файлов на тысячах сетевых компьютеров и заканчивая необработанными данными, проходящими по проводам. Во многих сетях количество таких "сырых" данных превышает несколько террабайтов в день. При необходимости обрабатывать все данные (как мы обсуждали в предыдущих уроках) мы становимся перед проблемой нереальной стоимости хранения такого количества информации. Понятно становится, почему многие организации просто поднимают руки вверх и перестают этим заниматься. Действительно, защитить современные сети становится даже сложней, чем обезопасить Форт Нокс!

Обработка по мере поступления

Обычный подход к сетевому мониторингу заключается в сохранении данных так долго, насколько это возможно, чтобы они были доступны для анализа, когда он потребуется. Однако современные исследователи в области безопасности, как физической, так и сетевой, вскоре поняли, что обрабатывать данные сразу после их получения более практично, чем сохранять их все и использовать их позже. Также как охрана в Форте Нокс сразу активно просматривает и анализирует поведение посетителей, а не оценивает их потом по видеозаписям.
В последние годы международные агентства по безопасности и анализу предприняли масштабные усилия, чтобы обеспечить анализ всей доступной информации об угрозе в реальном времени. Такой подход позволяет экспертам в сфере физической безопасности принимать более информационно обоснованные решения, поскольку они анализировали больше данных. Ценность анализа не зависит от того, как много информации хранится, а скорее от объема данных, которые были переработаны для анализа.

Доступность и ценность данных

В сфере сетевой безопасности мы сейчас полагаемся на следующую гипотезу, приводящую к успеху. Качество сетевого анализа зависит от "ширины" и "глубины" обрабатываемых данных и способности системы обработки точно классифицировать информацию. Самый лучший сорт данных, которые попадают в такую систему, это данные, которые были обработаны только в минимальной форме (максимально "сырые"). Если говорить о широте охвата данных, возможность обеспечения полной прозрачности сети требует, чтобы все коммуникации, которые выходят из сети, входят в нее, а также осуществляются вокруг нее, были направляемы в систему сбора и анализа. Как будет описано ниже,  для этого существуют различные методы сбора и анализа сетевых данных.

Сетевые зонды (пробы)

Традиционные решения по мониторингу сети требуют, чтобы сетевые данные проходили сквозь них (inline), или чтобы копия такого трафика направлялась в них (spanned). Такой подход требует наличия множества (иногда сотен) зондов трафика, распределенных в сети. Системы на базе анализа сигнатур требует именного такого типа доступа к коммуникациям, поскольку образцы (паттерны) сравниваются с данными в потоке. Такой метод сбора данных обеспечивает самый высокий уровень "глубины" данных, но достижение полного покрытия (широты охвата) может быть технически неосуществимым. Если сравнивать с Фортом Нокс, то это похоже на анализ каждого сказанного слова в каждом разговоре внутри, снаружи форта, а также в окрестностях радиусом нескольких миль от форта (что, как говорилось выше, еще более трудно достижимо в современных корпоративных сетях).

Резюме по методам обнаружения

Как мы обсуждали в Уроке 2, метод обнаружения угроз, основанный на анализе поведения, не требует использования всех данных, что необходимо для обнаружения на основе сигнатур. Как мы говорили, хотя сигнатурные методы и имеют свою ценность, они ограничены в возможности обнаружения современных и продвинутых угроз. Механизм сигнатурного обнаружения может использоваться как вспомогательный метод обеспечения безопасности, но для защиты от современных угроз технология анализа поведения является критичной для защиты сети.

NetFlow

Для того, чтобы получить возможность широкого охвата для сетевой безопасности, информация может собираться с сетевых устройств, используя NetFlow. NetFlow - технология, придуманная Cisco, которая записывает все события, связанные с сетевым устройством, а последние затем перенаправляются в коллектор NetFlow для анализа. Если сравнивать с физической безопасностью, это что-то типа технологии, которая записывает данные об участниках каждого разговора, как долго они разговаривали, цель их разговора (и многое другое), но не сохраняет реальные слова (данные). NetFlow не содержит весь пакет захваченной информации, а только критические компоненты сетевых коммуникаций, которые могут использоваться для поведенческого анализа, включая источник, приемник данных, используемые порты/протоколы, длина и размер коммуникации.

StealthWatch и NetFlow

Преимущество использования записей NetFlow заключается именно в том, что она помогает справиться, когда информация "выплескивается из кастрюли". Чтобы избежать переполнения информацией, системы, реагирующие на нарушение безопасности, нуждаются в умных решениях, которые будут подсказывать нужное направление действия. Именно здесь StealthWatch от компании Lancope выделяется среди конкурентных решений. Используя более 130 поведенческих алгоритмов к безмерному количеству данных NetFlow, StealthWatch способен определить почти любые нарушения сетевой безопасности или производительности. Созданный с самого начала для обнаружения неизвестных, самых современных угроз, это устройство предлагает инструмент, позволяющий увидеть угрозы, исходящие как от обычных преступников, так и от элитных хакеров, не полагаясь на постоянно обновляемые сигнатуры. Другими словами, он обеспечивает тот класс контроля данных, который обеспечивает персонал Форта Нокс в физической реальности.

Заключение урока 4.

Мы только тогда можем помешать атаковать нашу сеть, когда может обеспечивать сложную и умную обработку всех необходимых данных. Защищенная сеть создана для обработки всех необходимых сетевых данных в тот момент, когда они становятся доступны, поэтому нам необходимы аналитические системы, предоставляющие нам инструменты защиты. На следующем уроке мы рассмотрим различные типы преступников, которые мечтают более близко познакомиться с нашей сетью.


Урок 5. Типы хакеров

Не все атакующие нашу сеть "враги" одинаковы. Давайте посмотрим на различные характеристики "как-бы грабителей" Форта Нокс и сравним их с различными типами атакующих, которые стараются получить доступ в нашу сеть.

Выбор цели
Одно из трех основных различий между преступниками заключается  в том, как они выбирают цель.  Можно многое понять об угрозах, разобравшись в том, как они добиваются желаемого для себя.

На золотом крыльце сидели ...
Когда похититель дамских сумочек осматривается вокруг, чтобы найти жертву, он ждет удобного случая (большая сумочка, маленькая женщина). Он не имеет никакой гарантии, что получит от этого что-либо существенное и ничего не знает заранее о своей жертве. Это то, что называется "случайное преступление", и вряд ли оно может случиться в Форте Нокс. В сфере информационной безопасности атаки, которые имеют своей целью какие-нибудь старые компьютеры, встречаются часто. Затрачиваются минимальные силы, и чтобы получить от этого прибыль, надо "заразить" много целей. Что-нибудь да выпадет…

Закрытые цели
Никто не сможет случайно когда-нибудь ограбить Форт Нокс. Если даже реальная попытка будет сделана, то цель будет детально изучена, поскольку преступление может принести очень большой "доход".
Аналогично и целевые атаки на сеть имеют специфические цели, начиная от попытки получения доступа к закрытой информации (шпионаж), перевода денег с чужого счета на свой, повреждения критичных Интернет- или инфраструктурных ресурсов (устройства, коммуникации), до создания различных схем вымогания. Подобные типы атак могут принести значительно больше ущерба, чем случайные атаки, но их и осуществить значительно сложнее.

Подготовка
Второе главное отличие между различными типами взломщиков - как в физическом, так и кибернетическом мире - это уровень подготовки, требуемый для проведения атак. Для большинства "обычных преступников" существующее давление (пища, наркотики, необходимость оплаты счетов, наконец) принуждает их совершать импульсивные преступления, и подготовка к ним минимальна. С другой стороны, группа преступников, которая планирует ограбить Форт Нокс, вынуждена потратить много времени на исследование объекта и подготовку грабежа.
В сфере сетевой безопасности когда атакующая группа аккуратно планирует и проводит направленную атаку, это называется элитная угроза. Подобный тип угроз начинается с разведки цели, иногда называемой fingerprinting. Продвинутые преступники затем начинают продумывать атаку, которая позволит им получить желаемое и избежать обнаружения. Хорошо задуманный сбор информации и изобретательное планирование - вот две основные "приметы" элитных взломщиков. Поскольку у них есть время для разработки стратегии преступления, которая может обойти механизмы автоматического обнаружения, они могут использовать опытных аналитиков, которые расширяют их возможности.

Ресурсы
Другая проблема, с которой сталкиваются любые преступники, надеющиеся ограбить Форт Нокс, это доступность ресурсов. Защита форта включает в себя сотни солдат, снабженных оборудованием, стоящим сотни миллионов долларов. Для достижения успеха в преодолении наиболее защищенной системы в мире требуется значительное количество оборудования и денег.
В Интернете большое количество обычных хакерских атак осуществляется необученными и неумелыми псевдо-хакерами, обычно называемыми "скрипт-детками". Они создают вредоносное ПО, не предназначенное для атаки на какую-то определенную цель, и не имеют денег для поддержки своих атак. С другой стороны элитные взломщики часто затрачивают много ресурсов для осуществления своих атак, особенно в тех случаях, когда преступление может принести значительную прибыль.
Спонсируемые государством элитные атаки (общепринятое название - advanced persistent threat или APT) обладают потенциалом получения практически "бездонных мешков" наличных, да и поддерживаемый корпорациями шпионаж также часто имеет неплохое финансирование.
Кроме денег на успех атаки влияет количество людей, принимающих в ней участие. Кибер-атаки, которые совместно осуществляются многочисленными, хорошо снабженными и имеющими средства взломщиками, имеют значительно больше шансов на успех и представляют существенно большую угрозу, чем беспорядочные и неподготовленные атаки.
Заключение урока 5.
Обсудив эти три категории характеристик взломщиков, мы можем сделать вывод, что хорошо подготовленные, имеющие значительные ресурсы группы взломщиков, имеющие к тому же достаточно времени, представляют собой значительную опасность, когда нацеливаются на ценную мишень. Если механизмы обнаружения, такие как файерволы, системы предотвращения вторжений на базе сигнатур и  мониторинг логов сегодня легко могут защитить от "похитителей дамских кошельков", то элитные взломщики или APT для своего обнаружения требуют наличия качественных средств и технологий в руках опытных аналитиков. В следующей части наших уроков мы рассмотрим процедуры реагирования на инциденты, необходимые для противодействия таким элитным атакам.
 

Урок 6: Реакция на инциденты


Если рассматривать историю нарушений систем безопасности, то, как правило, они связаны с неадекватными процедурами. Именно использование должных процедур означает различие между успехом и поражением.

Благословенные блок-схемы
Причина, по которым большинство людей считают разработку блок-схем потерей времени, заключается в том, что им кажется, что блок-схемы содержат просто очевидные понятия. Однако, польза в том, что блок-схемы часто показывают, что процессы действительно нуждаются в упрощении и очевидности, и мы понимаем это, когда тратим время, чтобы их задокументировать.
Многие операции в сфере сетевой безопасности не выполняются потому, что, когда сотрудники обнаруживают некое событие, они стараются создать процедуру для реагирования на нее, а в это же самое время ситуация может усложняться. В Форте Нокс проводят тренировки по реагированию на инциденты в широком диапазоне - от военной атаки до простых попыток проникновения в ворота. Сетевые администраторы, которые хотят отражать атаки также, как это делают военные в Форте Нокс, должны провести некоторое время, для предварительной разработки процедур реагирования на  инциденты, даже на такие, которые маловероятны.

Процессы на карандаше
Процесс описывает процедуры, выполняемые при инцидентах и отвечающие на вопрос "что мы делаем, если …?". Как говорилось раньше, большинство серьезных взломщиков обладают временем для того, чтобы провести разведку ваших процессов и инфраструктуры и перенастроить свои инструменты проникновения. Это означает, что ключом к победе в войне за вашу сеть является сбор всех возможных данных для анализа возможных атак и настройка ваших процессов для реагирования на них.

Джокеры опасны
Наиболее опасными атаками являются те, которые используют незнакомые вам ситуации. Элитные взломщики стараются избегать показа сценариев, которые они используют для внедрения. Это означает, что наиболее опасные атаки это не те, которые заставляют лаять собак, а те, которые заставляют вас удивленно поднимать брови.
Когда вы имеете дело с незнакомыми угрозами в сети, то вы должны предоставить им наивысший приоритет, по крайней мере до тех пор, пока они не будут категоризованы. В сетевой безопасности длительное раздумывание может вызвать больше вреда, чем быстрое решение типа "это наверняка уже аномалия". Считайте угрозу смертельно опасной и запускайте процесс обработки всей неизвестной активности до тех пор, пока "тайна" не будет разгадана.

Защита от выходных дней (и лени)
Самые худшие атаки начинаются в выходные дни. Элитные хакеры будут знать, когда основной оператор в отпуске и атакуют заместителя. По аналогии с крупнейшими военными атаками в прошлом, сетевые происшествия случаются в тумане и темноте ночи. Даже лучшие сетевые аналитики имеют свои плохие дни, и система должна считаться с этим.
Регистрация и отчетность по всем событиям, связанными с безопасностью, являются критически важными элементами системы, не позволяющей "бомбе взорваться". Блок-схема на стене не заставит выполняться процессы, которые на ней изображены. Необходимо проверить все действия, связать вместе все имеющие отношения к этому подразделения и людей, а также повсюду обеспечить качество выполнения процессов. Плохо организуя проверку правил безопасности, мы тем самым позволяем нашим лучшим аналитикам превратиться в лентяев  и сделать самую лучшую интеллектуальную инфраструктуру неработающей. Если оператор будет дремать во время возникновения потенциальной угрозы, то беду вам ждать недолго.


Приложение 1.

9 главных угроз безопасности в 2012 г.

Угроза 1. Криминальные синдикаты в киберпространстве.

Эти синдикаты представляют собой сложные многомерные организации с распределенным маркетингом, эффективным разделением труда и единой целью - построение гигантской и прочной криминальной империи. Поскольку они используют многослойную тактику, защита от них должна быть также многослойной. Т.е. использовать как системы класса IDS/IPS, файерволы нового поколения, так и системы анализа поведения трафика.

Угроза 2. Мелкие криминальные операторы.

Существует масса предприимчивых преступников - подобный тип автор статьи называет синдикат в версии "мама-папа". Эти крадут пароли и идентификационные данные для финансовых афер и в основном ориентируются на фальшивые кредитные карты и используют банковские транзакции для конвертации своего краденного богатства в "отмытые" наличные.

Угроза 3. Хактивизм.

Эта новая религия является любовью политически мотивированных хакеров, которые стараются досадить или обратить негативное внимание медиа на свои жертвы. Они работают открыто и заранее объявляют о своих атаках. Обычно их атаки включают в себя похищение информации жертвы или запуск DDoS-атак (distributed denial of service).

Угроза 4. Кража интеллектуальной собственности и корпоративный шпионаж.

Это  форма криминального хакинга, которая включает в себя воровство данных о новых продуктах, патентов, военных секретов, финансовой информации, бизнес-стратегий и т.д. Они стремятся получить доступ в сеть и оставаться там как можно дольше, используя специальные поисковики и инструменты запросов для обнаружения своих целей. Эти сложные и продвинутые угрозы (advanced persistent threats, APT) могут быть действительно сложной проблемой для IT-профессионалов.

Угроза 5. Продавцы вредоносного ПО.

Это команды злоумышленников, занимающиеся созданием вредоносного ПО, которое они затем используют сами или продают на сторону. Они создают продукт, который должен пройти систему безопасности и атаковать определенные мишени. Часто при этом используется ПО, которое является многофазным и многокомпонентным.

Угроза 6. Сдача в аренду ботнетов.
Почти каждый сталкивался с комплектом ботнетов, которые сегодня легко продаются и покупаются, используемые для создания огромных армий зараженных компьютеров. Самый большой ботнет может включать в себя миллионы компьютеров. В действительности существует настолько много ботнетов, что хакеры могут арендовать их очень дешево, создавая большие проблемы для IT-специалистов.

Угроза 7. Вредоносное ПО типа  One-Size-Fits-All ("один размер на всех").

Все программы, входящие в эту категорию, создаются как сложный, централизованно управляемый пакет. Они часто распространяются как невинные утилиты, типа антивирусных сканеров или дефрагментаторов. Как только этот троянский конь оказывается внутри сети, он может использовать различные способы для заражения компьютеров.

Угроза 8. Заражаемые сайты.

Эта угроза становится преобладающей и может содержать все сорта вредоносного ПО. Как правило, используются обычные уязвимости, включающие в себя простые пароли, различного рода скрипты, уязвимости ПО и незащищенные права. Вне зависимости от используемых методов, как только сайт становится зараженным, он очень быстро заражает другие сайты.
 
Угроза 9. Кибер-война.

Уровень проблем, связанных с киберпреступностью возрастает, и неспособность закона справиться с преступниками является еще одной угрозой, которая стоит перед IT-сообществом. Автор статьи характеризует среду, как эру "Дикого Запада" цифровой преступности и оптимистически предсказывает, это, вероятно, будет концом и киберпреступники скоро уйдут из нашей тихой гавани.


Решение - многослойная защита. Которая не только включает в себя современные файерволы и IDS/IPS-системы, а также системы поведенческого анализа и современные веб-фильтры.


Bookmark and Share                  netflowfaq_1.jpg

banner_2_1.png

Client-Speaks3

Компания Web Control. Тел./факс: +7 (495) 925-7794
email: info@web-control.ru, 107023, г. Москва, Электрозаводская ул., д. 24
Яндекс.Метрика