Защита сети от внешних угроз. Настройки защиты от сетевых угроз: Брандмауэр

Включить защиту NetBIOS

Блокирует трафик NetBIOS, поступающий с внешнего шлюза.

Эта опция позволяет использовать совместный доступ к папкам и принтерам локальной сети в сетевом окружении, одновременно обеспечивая защиту компьютера от NetBIOS-атак из любой внешней сети. Она блокирует пакеты NetBIOS, отправленные с IP-адресов, которые не входят в диапазоны заданных внутренних адресов ICANN. Внутренние диапазоны адресов ICANN включают в себя адреса 10.x.x.x, 172.16.x.x, 192.168.x.x и 169.254.x.x, за исключением подсетей 169.254.0.x и 169.254.255.x. Пакеты NetBIOS включают UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 и TCP 1026.

Разрешить трафик Token Ring

Разрешает доступ к сети компьютерам клиентов, которые подключаются через адаптер Token Ring (независимо от правил брандмауэра, настроенных в клиенте).

Если эту опцию отключить, в корпоративную сеть не будет передаваться любой трафик с компьютеров, использующих адаптер Token Ring. Брандмауэр не поддерживает фильтрацию трафика Token Ring. Он либо разрешает весь трафик Token Ring, либо блокирует его полностью.

Включить защиту от имитации MAC-адреса

Разрешает входящий и исходящий трафик ARP (Address Resolution Protocol, протокол разрешения адресов) только при адресации ARP-запроса на данный конкретный хост. Весь остальной трафик ARP блокируется и регистрируется в журнале безопасности.

Некоторые хакеры используют технику имитации MAC-адреса для подмены сеанса связи между компьютерами. MAC-адреса - это аппаратные адреса, идентифицирующие компьютеры, серверы, маршрутизаторы и другие устройства. Если компьютеру A требуется подключиться к компьютеру B, он может отправить ему пакет ARP.

Защита от имитации MAC-адреса позволяет предотвратить сброс таблицы MAC-адресов с другого компьютера. Если компьютер отправляет сообщение ARP REQUEST, то клиент разрешает прием ответного сообщения ARP RESPOND в течение 10 секунд после отправки запроса. Клиент блокирует все сообщения ARP RESPOND, отправленные не в ответ на запрос.

Разрешить отслеживание сетевых приложений

Разрешает клиенту отслеживание изменений сетевых приложений, работающих на клиентском компьютере.

Сетевые приложения принимают и отправляют данные. Клиент отслеживает изменения содержимого приложения.

Блокировать весь трафик, когда брандмауэр не работает

Блокирует весь исходящий и входящий трафик на компьютере клиента, когда брандмауэр по какой-либо причине не работает.

Компьютер не защищен:

• в промежутке между включением компьютера клиента и запуском службы брандмауэра;

  в промежутке между завершением работы службы брандмауэра и выключением компьютера клиента.

В эти небольшие отрезки времени безопасность не обеспечивается, и возможен несанкционированный обмен данными. Данная настройка позволяет запретить приложениям несанкционированно подключаться к другим компьютерам.

Разрешить начальный трафик DHCP и NetBIOS

Разрешает начальный обмен данными, необходимый для установления соединения с сетью. Эти данные включают в себя начальный трафик DHCP и NetBIOS, позволяющий клиенту получить IP-адрес.

Выявлять отказы в обслуживании

Обнаружение отказов в обслуживании по типу относится к обнаружению вторжений. Если параметр включен, трафик клиента блокируется при обнаружении шаблона одной из известных сигнатур независимо от номера порта или типа интернет-протокола.

Выявлять сканирование портов

Отслеживает все входящие пакеты, блокируемые любым правилом безопасности. Если за короткий промежуток времени правило блокирует разные пакеты из разных портов, Symantec Endpoint Protection Small Business Edition создает запись в журнале безопасности. Обнаружение сканирования портов не блокирует пакеты. Для блокирования трафика в случае обнаружения сканирования портов необходимо создать политику безопасности.

Цель атаки

уществует множество типов угроз корпоративным вычислительным сетям и различные способы их классификации. Опишем возможные угрозы с точки зрения метода нанесения ущерба.

Отказ от обслуживания представляет собой атаку, целью которой является блокировать и сделать невозможным функционирование того или иного сервиса. В простейшем случае в ходе подобной атаки реализуется «наводнение» - множественное использование атакуемого сервиса с целью достижения ситуации, когда программное или аппаратное обеспечение перестает справляться с потоком входящей информации. В более сложных вариантах производится отключение, переадресация или подмена отдельных сервисов.

Атаки отказа от обслуживания производятся особенно часто, так как не требуют фактического проникновения в защищенную часть корпоративной сети. Целью подобной атаки могут быть только сервисы, в той или иной степени предоставляемые пользователям вне корпоративной сети. Если такие сервисы в корпоративной сети имеются, угроза отказа от обслуживания становится фактически неизбежной.

Хищение — тип атаки, при которой нарушитель получает доступ к конфиденциальной информации, находящейся в защищенной зоне корпоративной сети.

Так же как и в случае отказа от обслуживания, чаще всего реализация данного типа атаки осуществляется без проникновения в защищенную зону корпоративной сети. При этом используются разнообразные сервисы, предназначенные для пересылки информации, - их побуждают различными способами выдавать больше информации, нежели положено, или передавать ее не только легальным пользователям, но и нарушителю.

Вторжение — тип атаки, при которой нарушитель получает доступ к ресурсам в защищенной зоне корпоративной сети и может нанести ущерб, уничтожив или фальсифицировав ценную или конфиденциальную информацию или нарушив функционирование отдельных узлов сети.

Вторжение реализуется, только если имеется возможность проникновения в защищенную зону корпоративной сети, соответственно для атаки такого типа нарушителю необходимы средства и технологии преодоления корпоративных брандмауэров.

Возможные новые угрозы

акие же новые угрозы указанных типов могут появиться? Рассмотрим, например, атаки, связанные с отказом от обслуживания. Уже сейчас различные сервисы, предоставляемые как внутренним, так и внешним пользователям корпоративной вычислительной сети, составляют важнейшую часть бизнеса. С развитием информационных технологий набор и сложность такого рода сервисов в глобальных и локальных вычислительных сетях будут только увеличиваться. В соответствии с этим будет возрастать и количество различных атак отказа в обслуживании, ибо, как уже говорилось, для организации или создания нового вида такой атаки можно не обладать практически никакой детальной информацией о структуре, протоколах и возможных слабых местах атакуемого сервиса. Вполне достаточно имитировать неприемлемо большое число пользователей сервиса. И просто последовательным закрытием «дыр», провоцирующих такого рода атаки, сохранить защищенность корпоративной сети невозможно - новые атаки будут появляться гораздо быстрее.

В принципе, то же самое можно сказать и о других видах атак - о хищении и вторжении. Но здесь потенциально быстрый рост количества новых типов атак нельзя назвать неизбежным. Для обеспечения сохранности конфиденциальной информации вовсе не обязательно регулярно обновлять программное обеспечение, использовать новейшие протоколы, стандарты и т.п.

В целом обеспечение конфиденциальности информации - крайне консервативная область деятельности. Казалось бы, это противоречит сделанному в начале статьи утверждению, что решения в этой сфере быстро сменяют друг друга. Но при внимательном рассмотрении оказывается, что стремительно меняется всё, что касается способов доставки, обработки и представления информации. Если же быстро начинают меняться сами средства обеспечения конфиденциальности - это столь же быстро приводит к их краху. Непросто придумать что-нибудь такое, что другой человек был бы не в состоянии разгадать. Есть только один способ убедиться в том, что вы создали действительно надежное средство для обеспечения конфиденциальности, - предоставить его максимально возможному количеству людей на достаточно большой срок для анализа алгоритма или его реализации. Если по прошествии длительного времени ваш продукт не будет скомпрометирован, можно говорить о его высоком качестве.

Таким образом, в вопросах безопасности можно и нужно рассчитывать на открытые, умеренно старые, проверенные временем и тысячами квалифицированных специалистов технические и программные решения. В этом случае, не делая резких скачков, можно ожидать постепенной ликвидации разного рода ошибок в стандартах и их реализациях и соответственно снижения количества атак (по крайней мере, успешных).

Слабое звено

ак всегда в подобных случаях, общий уровень защищенности корпоративной вычислительной сети определяется наименее защищенным компонентом - слабым звеном. Разумеется, в первую очередь атаке подвергаются наиболее плохо защищенные участки сети. Однако не следует думать, что это участки, на которых вообще не применялось никаких средств защиты.

Часто слабые места возникают при неграмотном или неоптимальном использовании средств защиты, недостаточно продуманных настройках системы. Не следует также забывать о хорошо знакомом утверждении «строгость законов компенсируется необязательностью их исполнения»: можно так усложнить работу пользователей сети, что они будут всеми силами пытаться обойти принятые политики безопасности. И обязательно в этом преуспеют, ибо защиты от легального пользователя никто и никогда не придумает.

Рассмотрим возможные слабые места корпоративной компьютерной сети. Во-первых, это программное обеспечение, используемое для организации работы корпоративной вычислительной сети, в частности наборы протоколов, из которых наибольшее распространение получил, безусловно, TCP/IP. Протокол TCP/IP уже в виде стандарта предоставляет множество возможностей для атаки злоумышленников, а некорректные его реализации приводят к возникновению новых слабых мест практически ежедневно. Подобные слабые места наиболее важны, так как присутствуют в подавляющем большинстве компьютерных систем.

Во-вторых, это собственно система защиты корпоративной вычислительной сети от внешнего мира - брандмауэр. Современные брандмауэры - сложные многокомпонентные системы, а сложность всегда ведет к возникновению ошибок и недочетов, а следовательно, к появлению слабых мест собственно в системе защиты - в брандмауэре.

В-третьих, это сервисы приложений, предоставляемые внешним пользователям, а также внешние сервисы, которые применяют пользователи корпоративной сети. Здесь поле для новых атак поистине безгранично. Одни только вирусы представляют серьезную угрозу, а ведь они не исчерпывают длинный перечень возможных неприятностей.

Рассмотрим характерные угрозы и атаки из вышеупомянутых областей, возникающие в процессе работы вычислительных сетей.

Некоторые атаки на уровне TCP/IP

Пассивные атаки (перехват)

Злоумышленник может причинять вред, никак не обнаруживая себя и не вступая напрямую во взаимодействие с системами в рамках вашей вычислительной сети. Фактически все может сводиться к наблюдению за общедоступными данными или сессиями связи.

Атаки такого рода заключаются в перехвате сетевого потока и его анализе. Анализ сетевого потока - распространенный способ получения потенциально конфиденциальной или просто ценной информации. Для перехвата сетевого потока используются разные способы, например можно контролировать какой-нибудь компьютер, через который должен проходить весь интересующий злоумышленника трафик. Если же установить контроль над каким-нибудь компьютером невозможно, нарушителю придется организовать получение данных, непосредственно ему не предназначенных. В некоторых сетях это сделать достаточно просто. Сети как на основе шинной топологии (например, Ethernet), так и использующие маркерное кольцо (например, FDDI) посылают все или почти все пакеты во все машины. Предполагается, что машины будут игнорировать пакеты, которые адресованы не им, но полностью контролируя какую-либо входящую в сеть машину, можно изменить эту установку и читать все пакеты независимо от того, кому они адресованы. Поскольку TCP/IP-трафик, как правило, не шифруется (за исключением, например, технологий виртуальных частных сетей), злоумышленник, используя соответствующий инструментарий, может отслеживать telnet-сессии и извлекать из них имена пользователей и их пароли.

Данный тип атаки невозможно отследить, не имея доступа к системе злоумышленника, поскольку сетевой поток не изменяется. Единственный способ защиты от перехвата - шифрование TCP/IP-потока (например, с помощью виртуальных частных сетей). Другой вариант решения - использование специфической топологии вычислительной сети (например, с непосредственным подключением пользователей к магистрали), в результате чего практически всегда каждая машина получает только тот трафик, который адресован ей.

Возникновение новых угроз и атак путем перехвата, когда сетевой поток не изменяется, обусловлено в основном используемым программным обеспечением для передачи конфиденциальной информации, авторизации, аутентификации и т.п. Многие старые, но еще использующиеся технологии по сути не приспособлены для адекватной защиты от перехвата. Самое надежное решение заключается в отказе от применения таких технологий и технических решений.

Активные атаки

При данном типе атак злоумышленник осуществляет модификацию или даже создание TCP/IP-пакетов. Такие атаки часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соответствующий инструментарий.

Обладая достаточными привилегиями в системе, используемой для организации атаки, злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным образом. Получив такой пакет, невозможно выяснить, откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Конечно, при установке обратного адреса, не совпадающего с текущим IP-адресом, злоумышленник никогда не получит ответ на посланный пакет. Однако часто это и не требуется.

Возможность формирования произвольных IP-пакетов является необходимым условием для осуществления активных атак. Ниже мы рассмотрим некоторые типы подобных атак, однако следует иметь в виду, что это - капля в море всевозможных угроз и атак, появляющихся буквально каждый день.

IP-фрагментация

Одна из особенностей протокола IP состоит в том, что для передачи информации по различным каналам связи с разными максимальными размерами пакетов реализована возможность дробления больших пакетов на меньшие, называемые фрагментами. В конце маршрута пакет будет собран машиной-адресатом (но не маршрутизатором в конце лимитирующей линии связи; после дробления пакет обычно остается фрагментированным, пока не достигнет машины-адресата).

При фрагментации IP-пакета только первый фрагмент содержит информацию о заголовке протокола верхнего уровня, например TCP. Соответственно, если пришло несколько не первых фрагментов, машина-адресат хранит их некоторое время в памяти, что может быть использовано нарушителем в атаках отказа от обслуживания.

Кроме того, нарушители могут использовать специальным образом фрагментированные пакеты, чтобы замаскировать данные. Каждый фрагмент содержит информацию о том, где находятся начало и конец содержащихся в нем данных. Обычно очередные пакеты идут вслед за предыдущими. Однако нарушители могут создавать пакеты, в которых фрагменты фактически перекрываются и содержат одни и те же адреса данных.

Поскольку перекрывающиеся фрагменты - аномальное явление, многие ОС некорректно реагируют на него и пытаются собирать такие фрагменты в пакеты, что может привести к сбоям в операционной системе. Таким образом, фрагментированные пакеты могут применяться в атаках отказа от обслуживания.

Нарушитель также может, имея информацию о системах защиты, системах обнаружения атак и алгоритме сборки перекрывающихся фрагментов, построить фрагменты таким образом, чтобы скрыть информацию от систем наблюдения, защиты и обнаружения атак, то есть реализовать атаку-вторжение.

Кроме того, можно организовать поступление информации на защищенный в иных условиях порт. Нарушитель может создать пакет с приемлемыми заголовками в первом фрагменте, а затем перекрыть его следующим фрагментом, имеющим те же заголовки. Поскольку в нормальном режиме TCP заголовки в не первых фрагментах должны отсутствовать, возможно, они будут пропущены системами защиты, реализуя атаку-вторжение.

Атаки, основанные на IP-фрагментации, являются ярким примером бомбы замедленного действия, заложенной в сам стандарт протокола IP. Некорректные реализации этого протокола лишь добавляют масла в огонь. Однако тенденции возникновения все новых и новых вариантов атак такого типа не наблюдается.

Опции IP

Заголовок пакета в протоколе IP включает поле опций, которое в нормальном режиме является пустым. Основная опция, которая может быть использована нарушителем, - опция маршрутизации отправителя. Она позволяет отправителю пакета определить его маршрут к адресату вместо того, чтобы разрешить каждому маршрутизатору по пути следования пакета использовать свои таблицы для решения, куда его направлять. Нарушитель может задействовать данную опцию, чтобы попытаться обойти защиту шлюза и направить пакеты в защищенную зону корпоративной компьютерной сети нетривиальным образом.

Атаки, основанные на опциях протокола IP, также проистекают из стандарта, а не его реализации. Возникновение новых атак такого рода маловероятно, поскольку весьма распространенной политикой является полное игнорирование IP-опций.

Подделка IP-адресов

При подделке IP-адресов нарушитель посылает пакеты с неправильным адресом отправителя. В этом случае ответы будут отправляться не нарушителю, а по указанному им адресу. Однако по нескольким причинам это не является помехой для реализации атаки.

Во-первых, нарушителю ответ может быть и не нужен. Такая ситуация складывается, например, в случае атаки отказа от обслуживания. Атакованная машина, вполне возможно, не сможет ответить, что и является целью атаки.

Во-вторых, нарушитель может быть заинтересован в факте доставки пакетов именно по поддельному адресу. Если пакеты формируются таким образом, что ответы на них сами реализуют атаку на хост, чей адрес был подделан в качестве адреса отправителя исходных пакетов, то при этом целевой хост первоначальной посылки пакетов будет представлен как источник атаки, а нарушитель останется необнаруженным.

В-третьих, нарушитель получает возможность перехватить ответ. В этом случае он сколь угодно долго может продолжать сеанс связи от имени ложного отправителя. Такой случай является основой атак на прикладном уровне.

Подделка IP-адресов используется довольно часто, и следует ожидать постоянного появления новых угроз, основанных на данном методе.

Сканирование портов

Сканирование портов — это процесс поиска на машине портов для выявления возможных объектов атаки. Прямое сканирование портов достаточно легко обнаружить, поэтому нарушителю необходимо применять ряд методов маскировки. Например, многие машины не регистрируют соединение, пока оно не установлено полностью, так что нарушитель может послать неполный начальный пакет, получить ответ, с помощью которого можно понять, открыт порт или нет, и прервать соединение. Нарушители могут также специально посылать пакеты, чтобы определить, открыт ли порт, по полученному ответу или по содержимому сообщения об ошибке, причем для этой цели могут использоваться любые комбинации признаков. Отметим, что подобные действия могут привести к фатальному сбою работы некоторых устройств и даже к их отключению.

Такого рода действия можно назвать поиском жертвы, и они будут осуществляться всегда, поскольку это первый и едва ли не самый важный этап деятельности злоумышленника. К счастью, сканирование портов достаточно легко обнаружить. Его следует рассматривать как сигнал к тому, что сеть подвергается атаке. А атаку, о факте совершения которой известно, предотвратить всегда легко. Неизбежна также постоянная побочная угроза от сканирования портов - отказ в обслуживании, возникающий в случае чересчур активных попыток злоумышленников нащупать слабое звено в средствах защиты.

Приложения

Ошибки в программах

Атаки, основанные на ошибках реализации тех или иных программных продуктов, получили самое широкое распространение, а их интенсивность с течением времени продолжает неуклонно расти. Это, в частности, вызвано и общими тенденциями снижения надежности программного обеспечения.

Одним из самых распространенных типов атак, основанных на ошибках программной реализации, является семейство атак «переполнение буфера». В общих чертах, суть атак такого типа заключается в следующем: если программист выделяет буфер фиксированного размера и заносит в него динамические данные, не убедившись, достаточно ли свободного места для их размещения, то непоместившиеся данные вылезают за его границы и попадают в ячейки памяти, расположенные за концом буфера. Переменные, находящиеся в этих ячейках, искажаются, а поведение программы становится непредсказуемым.

Если буфер расположен в стеке, существует возможность перезаписи адреса возврата из функции, что приводит к передаче управления на незапланированный разработчиком код. Нарушитель, имея доступ к коду программы, определяет, данные какого именного размера и содержания нужно записать в буфер, чтобы вызвать модификацию адреса возврата, приводящую к вызову нужного нарушителю кода, например командного интерпретатора.

На данный момент существует великое множество подобных атак (причем полностью действенных), и количество их будет постоянно расти независимо от применяемых средств защиты.

Впрочем, есть способ решить проблему полностью - писать программы без ошибок. Беда в том, что никто не знает, как этого добиться.

Вирусы

Вирусы — особый класс прикладных программ, способных нанести практически произвольный урон любым ресурсам вычислительной сети. Условия проведения атаки близки к идеальным: злоумышленник пишет вредоносную программу, а легальный пользователь, зачастую добровольно, запускает ее в тепличных условиях доверенной системы корпоративной вычислительной сети. Таков сценарий действия большинства современных вирусов. Причем тенденции последних лет свидетельствуют о том, что, несмотря на разработку разного рода эвристических алгоритмов выявления новых вирусов, антивирусное программное обеспечение все-таки постоянно отстает и способно предотвращать лишь проникновение уже хорошо известных и изученных вирусов. По статистике последних лет, у новых качественных вирусов есть несколько дней для безраздельного господства в глобальных и локальных вычислительных сетях. И опять же нет причин ожидать серьезных изменений данной тенденции.

Средства обнаружения атак

редства обнаружения атак предназначены для выявления событий, которые могут быть интерпретированы как попытка атаки, и для уведомления о них IT-администратора. Их можно разделить на две категории в зависимости от области функционирования: средства, анализирующие трафик всей сети (в этом случае на рабочих станциях сети нередко устанавливаются части соответствующего программного обеспечения, называемые агентами), и средства, анализирующие трафик конкретного компьютера (например, корпоративного Web-сервера). Средства обнаружения атак, подобно брандмауэрам, могут быть реализованы как в виде программного обеспечения, так и в виде аппаратно-программного комплекса. Очевидно, что такие средства требуют тщательной настройки, чтобы обнаруживать истинные попытки атак, но не выполнять ложных срабатываний.

Лидерами рынка средств обнаружения атак, по мнению Gartner Group, являются Cisco Systems, Internet Security Systems, Enterasys Networks и Symantec. По данным Butler Group, наряду с этими компаниями к популярным производителям этой категории средств обеспечения безопасности относятся также Computer Associates и Entercept Security Technology.

Корпоративные брандмауэры

орпоративные брандмауэры контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы. Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет его происхождения или соответствия иным правилам пропускания пакетов), после чего либо пропускается, либо отклоняется. Обычно брандмауэры могут выполнять роль фильтра пакетов или прокси-сервера (в последнем случае брандмауэр является посредником при выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения локальной и внешней сетей). Рассмотрим основные функции, выполняемые корпоративными брандмауэрами.

Фильтрация пакетов

Фильтрация пакетов представляет собой выборочную маршрутизацию пакетов между внешними и внутренними хостами. При этом некоторые типы пакетов пропускаются или блокируются по правилам, отражающим принятые политики безопасности корпоративной сети. Обычно функция фильтрации пакетов возлагается на маршрутизатор (так называемый фильтрующий маршрутизатор) в составе шлюза корпоративной сети.

Основная информация, используемая фильтрующим маршрутизатором для принятия решения о пересылке или блокировании IP-пакета, - это его заголовок. В частности, учитываются IP-адреса и порты (в протоколах TCP и UDP) отправителя и получателя, протокол, тип сообщения (в протоколе ICMP), размер пакета. Фильтрующий маршрутизатор может также просматривать следующую за заголовком область данных, что позволяет осуществлять фильтрацию на основе более детальной информации и проверять, отформатированы ли пакеты так, как необходимо для их порта назначения. Маршрутизатор может удостовериться в правильности пакетов (например, что они имеют указанный размер и что он является допустимым) - это помогает обнаружить ряд угроз отказа в обслуживании, основанных на некорректно сформированных пакетах.

Кроме характеристик пакета анализируется информация о его истории, а именно: является ли данный пакет ответом на другой пакет, сколько других пакетов было получено с того же хоста, идентичен ли пакет недавно исследованному пакету и т.д. Учитывается также информация о конкретном интерфейсе фильтрующего маршрутизатора, с которого пришел пакет.

При анализе IP-пакета маршрутизатор может выполнять, в частности, следующие действия:

Переслать пакет по указанному адресу;

Отбросить пакет (без уведомления отправителя);

Отклонить пакет (с уведомлением отправителя);

Зарегистрировать информацию о пакете;

Подать сигнал тревоги;

Изменить пакет (например, транслировать адрес);

Переслать пакет другому адресату (например, направить его на прокси-сервер или на другой сервер, чтобы сбалансировать нагрузку);

Изменить правила фильтрации (например, начать отбрасывать все пакеты от хоста, который ранее прислал подозрительные пакеты).

Прокси

Прокси-сервисы — это специализированные приложения, или серверные программы, которые принимают запросы пользователей к различным сервисам (FTP, SMTP и т.д.) и направляют их туда. Прокси обеспечивают подмену соединений и действуют как шлюзы для сервисов.

Прокси-сервисы более или менее прозрачно располагаются между пользователем и внешним сервисом, и вместо непосредственного диалога друг с другом каждая сторона обращается к прокси. Прокси-сервер создает у пользователя полную иллюзию того, что он имеет дело непосредственно с сервисом, а у реального сервера - что он соединен непосредственно с пользователем.

Основная защитная функция прокси-сервиса состоит в том, что при инициировании неким хостом сессии с определенным внешним или внутренним сервисом он принимает решение разрешить или блокировать данное соединение. Главное отличие прокси от фильтрации пакетов состоит в том, что в данном случае решение принимается на прикладном уровне и на основе информации прикладного уровня. Это часто позволяет организовать фильтрацию более разумно, чем пакетный фильтр (например, существенно эффективнее удалять Java и JavaScript из HTTP-ответов). Кроме того, поскольку прокси-сервис активно участвует в соединении, возможна аутентификация и авторизация с его помощью. Поскольку прокси-сервис располагается между клиентом и внешним сервисом, он генерирует абсолютно новые пакеты для клиента. Поэтому прокси-сервис может защитить клиента от атак, связанных с некорректно сформированными IP-пакетами.

Основными недостатками прокси-сервисов являются довольно низкая производительность (по сравнению с фильтрацией пакетов) и необходимость создания отдельного прокси для каждого применяемого сервиса.

Трансляция адресов

Трансляция сетевых адресов позволяет сетям использовать один набор для внутренних сетевых адресов и другой - для внешних соединений. Сама по себе трансляция сетевых адресов не обеспечивает никакой защиты, но она помогает скрывать внутренние сетевые ресурсы и вынуждает все соединения проходить через одну точку (так как соединения по неоттранслированным адресам открываться не будут, а трансляция адресов производится на «клапане»).

При трансляции адресов производятся следующие основные действия. Когда хост, находящийся во внутренней сети, посылает пакет во внешнюю сеть, система трансляции сетевых адресов изменяет исходный адрес пакета таким образом, чтобы он выглядел как исходящий от допустимого во внешней сети адреса. Когда хост, располагающийся во внешней сети, посылает пакет во внутреннюю сеть, система трансляции сетевых адресов заменяет адрес назначения на адрес из внутренней сети.

Системы трансляции сетевых адресов могут применять различные алгоритмы преобразования адресов:

Динамически распределять имеющиеся внешние адреса всякий раз, когда внутренний хост инициирует соединение, но без изменения номеров портов. Это ограничивает число внутренних хостов, которые одновременно могут подключаться к внешним хостам;

Создать фиксированную схему переадресации внутренних адресов в видимые извне адреса, но производить переадресацию портов таким образом, чтобы все внутренние хосты соединялись с конкретным адресом.

Предлагаемые продукты

При выборе брандмауэра компании нередко руководствуются результатами независимых тестирований. Наиболее распространенными стандартами, на соответствие которым тестируются брандмауэры, являются ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services), называемый также Common Criteria Standard.

Наиболее популярными производителями корпоративных брандмауэров, по данным Gartner Group, являются CheckPoint Software, Cisco Systems, Microsoft, NetScreen Technologies и Symantec Corporation. Продукты Check Point Software Technologies, Cisco Systems и NetScreen Technologies представляют собой аппаратно-программные комплексы, тогда как продукты Microsoft и Symantec - это программные средства, функционирующие на обычных компьютерах под управлением стандартных серверных операционных систем.

Преодоление брандмауэра

Наиболее слабым звеном в защите с помощью брандмауэра является человек. Согласно данным статистики, до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Людям свойственно ошибаться, а значит, надо предполагать, что количество такого рода слабых мест, причем типичных, будет оставаться большим. Меняться будут лишь возможности сделать ошибку при настройке системы.

Кроме явных ошибок, к уязвимости могут приводить и вполне сознательные действия. Например, распространенной политикой безопасности является запрещение на брандмауэре всех протоколов, за исключением действительно необходимых для предоставления сервисов внешним или внутренним по отношению к брандмауэру пользователям. Однако администратор брандмауэра по просьбе кого-либо из внутренних пользователей может на время разрешить доступ по некоторым протоколам (например, по ICQ). Этого может быть вполне достаточно, чтобы брандмауэр больше никогда не представлял никаких проблем для злоумышленников.

Другим слабым местом брандмауэров является то, что атаки можно производить, не преодолевая их. Зачем пытаться проникнуть к ресурсам через защитные средства (в частности, брандмауэр), когда можно попытаться их обойти? Например, простым техническим средством для обхода брандмауэра является модем, который применяется легальным пользователем (невольным сообщником) для доступа в Интернет помимо брандмауэра.

Большое количество возможных угроз обхода брандмауэра связано с действиями внутренних пользователей (по статистике - до 80% таких случаев происходит изнутри). Брандмауэр только просматривает трафик на границах между внутренней и внешней сетями. Если трафик, использующий слабые места в защите, не проходит через брандмауэр, то никаких признаков атаки и не обнаруживается. В общем, ни один, даже самый эффективный и сложный брандмауэр, не может обнаружить попытку обойти его со стороны легального пользователя изнутри сети.

По этим причинам не стоит ожидать снижения количества атак после установки даже самого совершенного оборудования, а также принятия и выполнения добросовестными легальными пользователями самой жесткой политики безопасности.

Виртуальная частная сеть — сила и слабость

ехнология виртуальных частных сетей помогает решить многие проблемы безопасности. В результате ее применения фактически весь поток информации, проходящий между сегментами корпоративной сети по открытым каналам связи, передается в шифрованном виде. Доступ легальных пользователей из открытой сети во внутреннюю корпоративную сеть осуществляется на основе процедур аутентификации и авторизации.

Виртуальные частные сети предоставляют довольно высокий уровень защиты информации, однако они же могут быть источником серьезной угрозы. В случае использования виртуальных частных сетей основной интерес злоумышленника будет проявлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которыми установлены доверительные отношения. Соответственно основные усилия злоумышленник будет прилагать для установления таких доверительных отношений с системой. Сделать это можно даже только с помощью пассивных средств, например перехватывая сеанс аутентификации легального пользователя.

Кроме того, в случае компрометации доверенной системы эффективность его дальнейших атак будет крайне высока, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять несанкционированные действия по отношению к цели своей атаки.

Антивирусное программное обеспечение

ААнтивирусное программное обеспечение предназначено для защиты сети компании от различных типов вирусных атак. Поскольку сегодня самым распространенным способом передачи вирусов являются сообщения электронной почты, наиболее популярным корпоративным антивирусным программным обеспечением остаются антивирусы для почтовых серверов, распознающие сигнатуры вирусов внутри сообщений. Наряду с ними многие компании выпускают антивирусное программное обеспечение для файловых серверов, а также специализированное ПО, используемое Интернет-провайдерами.

Антивирусное программное обеспечение обязательно содержит следующие компоненты:

Приложение для управления настройками;

Средства сканирования файлов и поиска сигнатур вирусов;

База данных или библиотека, содержащая определения известных вирусов.

Заметим, что результативность антивирусного программного обеспечения зависит от регулярности обновления баз данных, содержащих определения вирусов.

По данным аналитической компании Gartner Group, лидерами рынка антивирусного программного обеспечения являются Network Associates, Symantec, TrendMicro. Значительную роль играют также компании Sophos, Computer Associates, F-Secure. Эти производители выпускают продукты для настольных систем, файловых серверов, SMTP-шлюзов, Web-серверов и FTP-серверов, позволяющие поддерживать распределенные системы.

На российском рынке, помимо вышеперечисленных продуктов, широко распространены корпоративные антивирусы «Лаборатории Касперского» и ЗАО «ДиалогНаука».

О политике безопасности

амое современное антивирусное программное обеспечение может оказаться совершенно бесполезным, если не реализована надлежащая политика безопасности, определяющая правила применения компьютеров, сети и данных, а также процедуры, предназначенные для предотвращения нарушения этих правил и реакции на подобные нарушения, если таковые все же возникнут. Отметим, что при выработке подобной политики требуется проведение оценки рисков, связанных с той или иной деятельностью (например, с предоставлением бизнес-партнерам данных из корпоративной информационной системы). Полезные рекомендации на этот счет содержатся в международных стандартах (таких как международный стандарт безопасности информационных систем ISO 17799). Выбор аппаратных и программных средств обеспечения безопасности во многом определяется выработанной политикой.

От себя добавим, что регулярная работа с системными компонентами, обеспечивающими безопасность, способствует ее повышению. Экспериментируйте, применяйте различные средства защиты информации, постоянно меняйте ключевую информацию, используемую в этих средствах. Помните о том, что по сравнению с классической криптографией задача компьютерного перехвата намного сложнее из-за применения разнообразных сетевых протоколов. И хотя нет ничего тайного, что рано или поздно не становится явным, будем надеяться хотя бы на временную стойкость средств защиты.

Потенциальные риски при использовании Интернета,

пути защиты от сетевых угроз.

На сегодняшний день большинство наших детей буквально живут в Интернете. Информационно-коммуникационные технологии несут в себе уникальные возможности для развития подрастающего поколения, а вместе с ними и новые риски и опасности для их здоровья и развития. Более того, мы, взрослые, не всегда осведомлены о проблемах, с которыми наши дети сталкиваются в Сети. Сегодня мы хотим про информировать вас о потенциальных рисках при использовании Интернета, путях защиты от сетевых угроз.

Как показывает статистика, ежедневное использование Интернета:

Дети- 89 %, взрослые- 53%. И уже нас родителей в большинстве случаях учат дети как пользоваться как использовать Интернет.

С годами увеличивается число подростков, которые по мимо ежедневного использования Интернета, увеличивают и время пребывания в Интернете. (более 5 часов - 2009 г.- ок. 8 %; 2016 г.-53 %).

I nternet - это прекрасная возможность для общения, обучения и отдыха. Он позволяет детям искать интересующую информацию, связываться с людьми, которые находятся в другой точке Земли. Дает возможность увидеть другие города, страны и выполняет много интересных функций. Но следует понимать, что, как и реальный мир, виртуальный может быть весьма опасен.

В Интернете дети рискуют встретиться с вредоносной информацией (насилие, пропаганда суицида, наркотических веществ.)

Взлом акаунта, хищение пароля, персональной информации, онлайн-мошенничество, преследования, унижения, оскорбления, шантаж – лишь небольшой перечень угроз, с которыми приходится иметь дело юным пользователям.

Обратить внимание на коммуникационные риски. Кибербуллинг- намеренное и регулярное причинение вреда (запугивание, унижение, травля и т.д.).

Грумминг- установление дружеского контакта с ребенком с целью сексуальной эксплуатации.

(Несмотря на то, что коммуникационные риски представляют наибольшую угрозу для

детей и подростков, они находятся вне поля внимания их родителей. Взрослых больше

волнует контент, который просматривают их дети, чем люди, с которыми они общаются.

Среди общения хотелось бы остановиться на разговорах детей с незнакомцами:

Подросток отправляет информацию личного характера кому –либо, с кем никогда не встречался лично;

Отправляет фото или видео со своим изображением кому-либо, с кем никогда не встречался лично;

Добавляет в список друзей людей, с которыми никогда не встречался лично;

Чем подростки деляться с незнакомцами в Интернете?

Персональные данные, фото – 62 %;

Официальные статусы (достижения, награды)- 40%;

Хроника личных событий- 34%.

47% подростков знакомятся в Интернете и из них 21 % лично встречаются с Интернет знакомыми.

Среди онлайн-рисков наши дети встречаются с кибертравлей (намеренное и регулярное причинение вреда (запугивание, унижение)

Их могут вовлечь посетить сайты, пропагандирующие суицид.

#Тихий дом, #морекитов, # f 57, # clubsuiside 1528, # sedative и подобные им.
Многие из них уже закрыты, однако уже организованы и функционируют новые…

Обращение подростков с проблемами, связанными к кибертравлей, груммингом за последний месяц по сравнению с прошлым годом возросло в 1,5 раза.

Главная и самая надёжная защита от онлайн-угроз – это доверительные отношения между детьми и родителями. Важно ребенку дать понять и сделать так, чтобы, столкнувшись с проблемой, он обратился к нам, а не к сверстникам или на форум в интернете. Чтобы ребёнок понимал, что родитель – это тот человек, который в любой ситуации поймёт, примет, поддержит и поможет найти верное решение.

Получить психологическую и информационную поддержку по вопросам безопасного использования Интернета дети и взрослые могут на Всероссийской линии помощи «Дети Онлайн» 8-800-25-000-15, по электронной почте: , или в онлайн-чате на портале .

Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.

Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:

Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.

Технологии Сетевой защиты

Уровень "Сетевая защиты" включает в себя 3 различные технологии.

Network Intrusion Prevention Solution (Network IPS)

Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

Защита Браузера

Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

Un-Authorized Download Protection (UXP)

Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

Ориентируясь на проблемы

Работая вместе, технологии сетевой защиты решают следующие проблемы.

Загрузки методом Drive-by и наборы инструментов для веб-атак

Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

Атаки типа «Социальной инженерии»

Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

Атаки, нацеленные на социальные медиа-приложения

Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.

Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

Защита от «запутанных» угроз

Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

Угрозы «Нулевого дня» и неисправленные уязвимости

Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

Защита от неисправленных уязвимостей в ПО

Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

Вредоносные IP и блокировка доменов

Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

Улучшенное сопротивление к Уклонению

Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

STAR Intelligence Communication Protocol

Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

В следующей статье мы рассмотрим уровень "Поведенческий анализатор".

По материалам Symantec

Нашли опечатку? Выделите и нажмите Ctrl + Enter

За последние годы значительно вырос круг потребителей, получающих онлайн-доступ к корпоративным сетевым ресурсам - это клиенты, партнеры, поставщики и вообще любые пользователи Интернета. Доступность сети превратилась в важный фактор, понятным образом являющийся целью злоумышленных атак. А защита сетевой инфраструктуры должна обеспечивать коммуникации, а не их ограничение.

Михаил Суконник
региональный менеджер Radware no России и СНГ

Известные системы предотвращения вторжений (IPS) сличают сигнатуры, или образцы известных атак на разного рода уязвимости, с входящим сетевым трафиком и блокируют трафик, который выглядит нежелательным.

Лазейка, используемая хакерами, – это легитимные виды коммуникаций, отвечающие правилам приложений и незаметные для систем сетевой защиты, отслеживающих превышение пороговых объемов трафика или известные сигнатуры атак. Большое количество современных угроз сетевой безопасности имеет динамическую природу, и с ними нельзя справиться с помощью статических устройств IPS на основе сигнатур.

В попытке противостоять этим новым типам угроз администраторы сетей стараются реактивно просматривать журналы регистрации и вручную устанавливать фильтры и пороговые значения для трафика для сдерживания атак. Если слишком жестко установить эти ограничения, нормальные пользователи будут лишены доступа, а слишком мягкие ограничения не защитят корпоративную сеть от атак. Немногие предприятия готовы непрерывно заниматься такой тонкой настройкой.

Эти угрозы в целом не связаны с необычно большим объемом трафика, не содержат нелегитимных запросов к приложению и не используют уязвимости в программном обеспечении (они обычно называются "атаками, не связанными с уязвимостями").

Волны атак, предпринимаемых в последние годы, представляют собой новый способ вымогательства по отношению к предприятиям со стороны киберпреступников. Для того чтобы противостоять таким угрозам, необходимы новые технологии предотвращения вторжений, дополняющие существующие IPS на основе сигнатур. Эффективная система IPS должна автоматически определять и отражать широкий спектр атак в режиме реального времени, не оказывая негативного влияния на обычных пользователей. Поскольку модели прохождения нормального сетевого трафика часто изменяются, эффективные системы должны быстро адаптироваться к происходящему без участия администратора.

Механизмы автоматического обнаружения, применяемые в IPS, должны различать нормальное и ненормальное поведение пользователя, даже если разница в поведении не очень большая.

На случай, если система IPS неправильно оценит какой-либо трафик, она должна включать механизм самокоррекции для сведения к минимуму ошибочного доступа к сети.

Более того, система должна выбрать оптимальный метод реагирования, чтобы остановить атаку с минимальным участием администратора. Реагирование должно динамически самостоятельно подстраиваться под изменяющиеся условия и параметры атаки.

Защита в реальном времени

Чтобы решить задачи определения и предотвращения текущих и будущих атак, кроме детерминистского подхода защиты от известных атак с помощью проактивных обновлений сигнатур и ограничения трафика с аномальным объемом и использованием протоколов, в современных сетях применяется метод автоматической генерации так называемых "сигнатур в реальном времени" для предотвращения атак zero minute, не основанных на уязвимостях, без вмешательства персонала сети. "Сигнатуры в реальном времени" создаются для каждой отдельной атаки самообучающимся механизмом принятия решений, позволяющим точно определять и останавливать атаки за секунды. Механизм использует данные модулей поведенческого анализа, исследующих трафик на уровне клиента, сервера и сети и посылающих оповещения встроенной системе отражения атак при обнаружении аномальных моделей. Таким образом можно обнаружить и немедленно остановить без ущерба для производительности приложений ранее неизвестные виды атак и их различные комбинации.

Угрозы и риски на уровне сети

Угрозы на уровне сети включают атаки, приводящие к неправильному использованию сетевых ресурсов. Довольно старый, но до сих пор применяемый метод использования слабых мест в IP-инфраструктуре – это атака DDoS (распределенная атака типа "отказ в обслуживании").

По мнению исследовательского агентства IDC, "хакеры продолжают искать способы злоупотребления чужим программным обеспечением. Когда-то они использовали уязвимости, но теперь найдены возможности получения контроля над ПО без уязвимостей".

Атаки DDoS обычно включают проникновение в сотни или тысячи компьютеров в сети Интернет. Такое проникновение может осуществляться или вручную, или автоматически с помощью, например, "червей" или других вредоносных программ, которые распространяются самостоятельно или могут быть сгружены пользователем по неосторожности. Любой уязвимый компьютер может быть инфицирован, и после успешного взлома на нем устанавливаются некоторые вредоносные средства для DDoS и бот, с помощью которого хакер контролирует все зараженные машины и координирует производимые с них атаки.

Боты превратились в большую проблему, приводящую к росту сетевых атак типа DDoS. Такие атаки обычно отнимают стековые ресурсы оперативной памяти, загружают маршрутизаторы и коммутаторы ненужной обработкой и/или потребляют пропускную способность, мешая нормальным коммуникациям в атакованной сети.

Кроме угроз переполнения, ведущего к DDoS, угрозы сетевого уровня включают и традиционные атаки против слабых мест в операционной системе. Каждый элемент в сети, будь то маршрутизатор, коммутатор или защитный экран, имеет известный набор уязвимостей. Если вредоносно используется любая из уязвимостей, функционирование соответствующего элемента сети может быть повреждено, вся IP-инфраструктура – подвергнута опасности, и целостность бизнес-процессов – нарушена.

Угрозы и риски на уровне сервера

Угрозы на уровне сервера четко подразделяются на две категории: использующие уязвимости в стеке TCP/IP и атаки на уровне приложений.

Атаки на уязвимости в стеке TCP/IP направлены на транспортные ресурсы сети, что создает помехи нормальному установлению соединений TCP и транзакциям приложений, для которых эти соединения используются (например, транзакции HTTP, загрузка файлов по FTP, почтовые сообщения и т.д.). Довольно просто задействовать полностью ресурсы TCP на сервере с помощью нескольких видов атак, например переполнения TCP Syn или установкой слишком большого числа соединений TCP. Последний вид атаки очень легко создается, и его нельзя эффективно отследить и предотвратить с помощью большинства существующих решений сетевой безопасности. Такая атака, потребляющая большое количество серверных TCP-ресурсов, может прервать или сильно затруднить работу серверов. Этот вид атак не обязательно имеет большие размеры, что затрудняет его обнаружение и предотвращение.

Внедрение SQL-кода – это техника взлома, использующая уязвимость на уровне базы данных приложения. Уязвимость возникает, когда ввод информации пользователем некорректно отфильтрован на наличие знаков смены регистра в качестве константы символьной строки во встроенном операторе SQL или ее тип запроса определен нестрого и поэтому может выполняться произвольным образом. С помощью успешного внедрения SQL-кода можно получить доступ к информации в базе данных или привести базу данных в состояние отказа в обслуживании.

Так же как и в случае атак сетевого уровня, угрозы в стеке TCP/IP включают и более традиционные атаки на работу операционной системы. Каждая из общеупотребительных операционных систем имеет свои известные уязвимости, использование которых приводит к ухудшению работы сервера и опасности для приложения.

Атаки уровня серверных приложений

Уязвимости, связанные с этим типом угроз, подразделяются на два вида:

1. Угрозы для серверных приложений с использованием уязвимостей. Этот вид включает как заранее известные типы атак, так и атаки типа zero minute, не оставляющие времени на устранение уязвимости.
2. Угрозы, не связанные с уязвимостями серверных приложений.

Руткит – это программа (или набор программ), которую взломщик нелегально устанавливает на взломанной системе без ведома ее владельцев или менеджеров. Руткит позволяет взломщику закрепиться во взломанной системе, овладеть ею и скрыть следы своей деятельности. Руткиты существуют для различных операционных систем: Microsoft Windows, Mac OS X , Linux и Solaris. Червь – это саморазмножающаяся программа, посылающая свои копии по сети на другие компьютеры, причем часто без участия пользователя. В отличие от вируса червь не проникает ни в какую другую программу. Вред от червей состоит в потреблении пропускной способности сети, тогда как вирус обычно повреждает или модифицирует файлы на атакуемом компьютере.

Первый вид угроз представляет собой наиболее известный тип атак. Если атаки направлены на заранее известные уязвимости программного обеспечения приложений, они относятся к известным атакам. Но, когда в программном обеспечении обнаруживается новая уязвимость, хакер может использовать это слабое место прежде, чем производитель программы или разработчик средств безопасности сможет защититься от атаки, опознав ее сигнатуру, или успеет выпустить программную заплатку, исправляющую эту уязвимость. Атака, происходящая в течение этого опасного времени, пока разрабатываются средства защиты или заплатки, относится к типу zero minute.

• Атаки на уязвимости, связанные с переполнением буфера.
• Внедрение SQL-кода.
• XSS – межсайтовый скриптинг. (Это разновидность атаки на веб-приложения, которые уязвимы к внедрению злоумышленниками кода в вебстраницы, просматриваемые обычными пользователями. Внедрение может производиться в HTML и клиентских скриптах. Межсайтовый скриптинг может использоваться хакерами для обхода контроля доступа, например политики единого происхождения (SOP). Этот вид уязвимостей используется для фишинга и создания браузерных эксплойтов.)
• Руткиты.
• Черви.

Угрозы серверным приложениям, не связанные с уязвимо-стями, нацелены на слабые места в серверных приложениях, которые не подпадают под определение уязвимости. Для этих угроз характерна последовательность легитимных событий, с помощью которых взламывается сервер, точнее механизмы аутентификации, и приложение сканируется на предмет обнаружения уязвимостей, которые в дальнейшем могут использоваться для получения контроля над работой приложения. Более сложные виды не связанных с уязвимостями атак состоят из специально подобранных повторяющихся комбинаций легитимных запросов к приложению, которые злоупотребляют ресурсами памяти и процессора сервера, приводя приложение в состояние частичного или полного отказа от обслуживания.

Эти развивающиеся угрозы серверным приложениям, выглядящие как обычные запросы, не обязательно связаны с большим объемом трафика, что позволяет хакерам смешаться с потоком полностью легитимных коммуникаций, соответствующих правилам приложения, так что с точки зрения пороговых значений трафика или известных сигнатур атак существующие системы сетевой безопасности не опознают действия вредителей.

Такие атаки производят сканирование приложения, прямой подбор пароля и подбор по словарю, переполняют приложение сессионными запросами, а также устанавливают в зараженной системе боты, способные интегрировать разные средства атаки и угрожать приложениям.

Сеть современного предприятия можно эффективно обезопасить только с помощью высокотехнологичных решений, интеллектуально применяющих комплексные методы защиты, включая "сигнатуры в реальном времени", и не препятствующих легитимной работе корпоративных приложений.