Современная защита от сетевых угроз – безопасность реальна? Сетевые угрозы для данных пользователей – как уберечь себя. Возможные новые угрозы
Защита сети от внешних угроз
Безопасность информационных систем сегодня в первую очередь связывают с защитой от внешних угроз. Под ними понимают атаки через интернет, способные нанести ПО и данным определенный ущерб. Вполне понятно, что сотрудники большинства современных предприятий имеют доступ к различным сайтам, не все из которых достаточно безопасны.
Виды внешних угроз
Различают две масштабных разновидности угроз:
- отказ в обслуживании;
- взлом.
Отказ в обслуживании — это внешняя угроза, приводящая к сбою в работе системы серверов организации, служащих именно для работы в сети. Как правило, она направлена на ограничение функционирования веб-сервера и почтовых служб. Сбои же возникают в процессе получения сервером очень большого числа запросов, обработать которые его вычислительная система не в состоянии. Это называется DoS-атакой: ее результатом обычно становится затруднение доступа пользователей к ресурсам.
Взломом считают внешнюю угрозу, направленную на получение контроля над серверами. Кроме того, в результате взлома злоумышленники могут проникать в локальные сети предприятий. Доступ к компьютерам дает возможность похитить любые ценные данные, хранящиеся в их памяти: пароли, информацию о сделках клиента, адреса и номера телефонов и т.д. Контроль над веб-сервером позволяет искажать страницы сайтов, размещать на них стороннюю информацию, рассылать спам или проводить атаки на любые другие компьютеры. Кроме того, целью взлома может стать получение доступа к каналам передачи данных предприятия.
Таким образом, результатом реализации внешних атак может стать:
- потеря информационных ресурсов;
- нарушение функционирования локальной сети;
- поломка ПК и серверов предприятия;
- потеря доступа к личным вычислительным ресурсам.
Для того чтобы реализовать одну из перечисленных внешних угроз, злоумышленники используют разнообразные средства. Самыми распространенными можно считать компьютерные вирусы, шифровальщики, черви и трояны. Вирусы представляют собой вредоносные программы, способные модифицировать любое ПО или интегрировать в него свои копии. Их действие проявляется в возникновении самых неожиданных эффектов в процессе работы компьютеров. Так, на экране могут появляться и исчезать посторонние символы и изображения, в работе прикладных программ наблюдаются сбои, выходит из строя операционная система. Нередко от вирусов страдают данные, хранящиеся на жестких дисках, а также системная память.
Способы борьбы с внешними угрозами
Для защиты от описанных выше внешних угроз сегодня с успехом применяются межсетевые экраны, которые иначе называют брандмауэрами. Они служат для разделения сетей на две части, в каждую из которых пропускаются пакеты с данными в соответствии с определенными алгоритмами. Таким образом, межсетевые экраны представляют собой своеобразные барьеры на границе локальных сетей с глобальной, которые позволяют устанавливать определенные настройки доступа и регулировать функционирование отдельных ПК. Если вам необходима надежная защита от внешних угроз, новейшее UTM-решение — это наилучший выбор.
в промежутке между включением компьютера клиента и запуском службы брандмауэра;
в промежутке между завершением работы службы брандмауэра и выключением компьютера клиента.
Включить защиту NetBIOS
Блокирует трафик NetBIOS, поступающий с внешнего шлюза.
Эта опция позволяет использовать совместный доступ к папкам и принтерам локальной сети в сетевом окружении, одновременно обеспечивая защиту компьютера от NetBIOS-атак из любой внешней сети. Она блокирует пакеты NetBIOS, отправленные с IP-адресов, которые не входят в диапазоны заданных внутренних адресов ICANN. Внутренние диапазоны адресов ICANN включают в себя адреса 10.x.x.x, 172.16.x.x, 192.168.x.x и 169.254.x.x, за исключением подсетей 169.254.0.x и 169.254.255.x. Пакеты NetBIOS включают UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 и TCP 1026.
Разрешить трафик Token Ring
Разрешает доступ к сети компьютерам клиентов, которые подключаются через адаптер Token Ring (независимо от правил брандмауэра, настроенных в клиенте).
Если эту опцию отключить, в корпоративную сеть не будет передаваться любой трафик с компьютеров, использующих адаптер Token Ring. Брандмауэр не поддерживает фильтрацию трафика Token Ring. Он либо разрешает весь трафик Token Ring, либо блокирует его полностью.
Включить защиту от имитации MAC-адреса
Разрешает входящий и исходящий трафик ARP (Address Resolution Protocol, протокол разрешения адресов) только при адресации ARP-запроса на данный конкретный хост. Весь остальной трафик ARP блокируется и регистрируется в журнале безопасности.
Некоторые хакеры используют технику имитации MAC-адреса для подмены сеанса связи между компьютерами. MAC-адреса - это аппаратные адреса, идентифицирующие компьютеры, серверы, маршрутизаторы и другие устройства. Если компьютеру A требуется подключиться к компьютеру B, он может отправить ему пакет ARP.
Защита от имитации MAC-адреса позволяет предотвратить сброс таблицы MAC-адресов с другого компьютера. Если компьютер отправляет сообщение ARP REQUEST, то клиент разрешает прием ответного сообщения ARP RESPOND в течение 10 секунд после отправки запроса. Клиент блокирует все сообщения ARP RESPOND, отправленные не в ответ на запрос.
Разрешить отслеживание сетевых приложений
Разрешает клиенту отслеживание изменений сетевых приложений, работающих на клиентском компьютере.
Сетевые приложения принимают и отправляют данные. Клиент отслеживает изменения содержимого приложения.
Блокировать весь трафик, когда брандмауэр не работает
Блокирует весь исходящий и входящий трафик на компьютере клиента, когда брандмауэр по какой-либо причине не работает.
Компьютер не защищен:
В эти небольшие отрезки времени безопасность не обеспечивается, и возможен несанкционированный обмен данными. Данная настройка позволяет запретить приложениям несанкционированно подключаться к другим компьютерам.
Разрешить начальный трафик DHCP и NetBIOS
Разрешает начальный обмен данными, необходимый для установления соединения с сетью. Эти данные включают в себя начальный трафик DHCP и NetBIOS, позволяющий клиенту получить IP-адрес.
Выявлять отказы в обслуживании
Обнаружение отказов в обслуживании по типу относится к обнаружению вторжений. Если параметр включен, трафик клиента блокируется при обнаружении шаблона одной из известных сигнатур независимо от номера порта или типа интернет-протокола.
Выявлять сканирование портов
Отслеживает все входящие пакеты, блокируемые любым правилом безопасности. Если за короткий промежуток времени правило блокирует разные пакеты из разных портов, Symantec Endpoint Protection Small Business Edition создает запись в журнале безопасности. Обнаружение сканирования портов не блокирует пакеты. Для блокирования трафика в случае обнаружения сканирования портов необходимо создать политику безопасности.
Современные средства защиты содержат модули анализа трафика, которые выдают предупреждение по факту срабатывания некоторого правила, суть которого сводится к анализу последовательности символов в потоке информации. Соответственно критичным является корректный разбор и нормализация передаваемых данных. Злоумышленники пользуются этой особенностью и пытаются «обойти» механизмы детектирования с помощью различных методик. Техники обхода были известны еще с середины 90-х годов, однако лишь в прошлом году их подробное изучение позволило усомниться в адекватности применяемых средств обеспечения безопасности.
Ландшафт современных сетевых угроз значительно изменился за последние годы. Основным трендом является криминализация хакерской активности, когда получение доступа к информационным активам и кража информации становится в первую очередь задачей извлечения финансовой выгоды. Также меняется и вектор атак – они становятся все более разнонаправленными, включают не только использование публичных или «zero-day»-эксплоитов, но и задействуют заказное программное обеспечение, подготавливаемое специально под конкретные информационные системы.
Традиционно атаки используют уязвимые места определенных прикладных программ (или приложений), становясь все более изощренными, чтобы иметь возможность проходить через рубежи сетевой защиты, так или иначе присутствующие в каждой организации. Очень часто им это удается, примеров тому масса, самыми яркими из которых являются эпидемии червей Sasser, Conficker, и ZeuS. Недавние подтвержденные взломы таких гигантов, как Google и RSA (EMC), не говоря уже про Пентагон, являются ярким примером того, что никто в достаточной степени не защищен.
Таким образом, не будет большой новостью утверждение, что данные атаки существуют, и их проведение зачастую происходит с успехом со стороны атакующего. Гораздо важно другое: нередки случаи, когда попытки расследования атак не приводят к желаемому результату. Т.е. при всем желании разобраться в истории взлома и векторах, которые использовались злоумышленниками для проникновения, расследование является крайне затруднительным или невозможным.
Значит ли это что системы сетевой безопасности не нужны, раз они так неэффективны? Отнюдь нет. Однако для грамотного применения нужно хорошо себе представлять их границы применения и возможности.
Итак, суть самого проникновения сводится к тому, что злоумышленник, используя брешь в программном обеспечении (системном или прикладном), не задумываясь о том, что вызовы и параметры вызовов функций кому-то придет в голову использовать не по прямому назначению, может проникнуть в целевую систему и, закрепившись, реализовать свои коварные планы. Все ли бреши закрыты на сегодняшний день? Статистика уязвимостей от таких анатлитических команд, как IBM X-Force (ранее ISS), показывает, что даже в прошлом году все ведущие мировые программные гиганты имели достаточно количество незакрытых «заплатками» уязвимостей. Причем, если посмотреть по критичности этих уязвимостей, то более 70% всех вновь обнаруженных «дыр» высокого и критического уровня не были закрыты на момент публикации. И это на фоне того, что другое уважаемое аналитическое агенство Verizon Business рапортовало, что направленность атак сменилась: теперь вновь угроза кроется не внутри сети (защищаться нужно не от инсайдеров), а снаружи, в Интернете, откуда и происходит большинство проникновений.
Таким образом, проблема очевидна: атаки происходят из Интернет, а системы, которые подвергаются атакам по тем или иным причинам не являются защищены от известных (не говоря уже про так называемые «zero-day») эксплоитов. Иногда это происходит по причине того, что самих патчей не существует, а иногда потому, что трудозатраты на инсталляцию и тестирование этих самих исправлений (а также борьбу с последствиями установки исправлений вследствие неизбежно возникающих сбоев в работе ПО) очень велики. Одновременно большая часть производителей рассказывает о том, что технологии так называемого «виртуального патча» являются универсальным лекарством от всех бед – достаточно установить систему IDS/IPS или межсетевой экран (МЭ) с функциями глубокой инспекции потоков (Deep Packet Inspection, DPI), и проблема решена!
Однако, если подойти к данной постановке вопроса с разумным скептицизмом, то в голову сразу закрадется мысль, что «ничего не бывает бесплатно», и где-то должен скрываться подвох. А заключается он в том, что система IPS или МЭ с DPI действительно могут распознать в сетевом потоке нежелательную информацию, однако для этого они должны определенным образом принимать и обрабатывать пакеты и содержащиеся в них данные.
Так, все современные средства защиты, включая МЭ, IDS/IPS, системы мониторинга сетевых потоков, выявления утечек и другие, работающие на уровне приложений (анализ информации на котором и требуется для эффективного блокирования эксплоитов) содержат в себе модули анализа трафика, которые выдают предупреждение (или другую ответную реакцию) по факту срабатывания некоторого правила, суть которого в большинстве случаев сводится к анализу последовательности символов в потоке информации. Вне зависимости от того, сигнатурный или статистический это анализ, критичным является корректный разбор и нормализация данных прикладного протокола.
Злоумышленники зачастую пользуются этой особенностью и пытаются «обойти» механизмы детектирования с помощью различных методик, которые объединены общим термином «техники обхода» (evasion techniques). Техники обхода были известны еще с середины 90-х годов, однако лишь в прошлом году их подробное изучение специалистами компании StoneSoft позволило усомниться в адекватности применяемых средств обеспечения безопасности. Компания StoneSoft назвала свое открытие «динамическими» или «продвинутыми» техниками обхода (Advanced Evasion Techniques, AET).
Суть его сводится к тому, что унаследованные или современные техники обхода при определенном использовании позволяют послать запрос на атакуемый узел таким образом, что средства сетевой защиты не будут детектировать факт использования уязвимости или проявления аномальной активности другого вида. Сутуация усугубляется тем, что техники обхода можно комбинировать в самых разнообразных вариантах. Текущее их количество по теоретическим подсчетам составляет порядка 231. На практике выявлено и подтверждено (пока что) гораздо меньше. Но работа идет и поэтому количество «работающих» техник обхода продолжает увеличиваться. Откуда берутся эти цифры? Рассмотрим на примере модели OSI (рис. 1).
Рисунок 1 - Иллюстрация количества техник обхода на примере стека модели OSI
На каждом из логических уровней модели существует свой набор протоколов, фактически использующих формализованные структуры для передачи информации. Так, например, на сетевом уровне есть протокол IP, на транспортном TCP или UDP. Что касается сессионного и вышележащих уровней (которые, как известно, отсутствуют в стеке TCP/IP), то здесь с вариативностью тяжелее, поскольку эти уровни «условные» и примеры протоколов будут сильно зависеть от применяемого прикладного сервиса. Но если взять для наглядности один из самых уязвимых и «опасных» (с точки зрения возможности реализации удаленных атак) протоколов операционной системы Windows – RPC (Remote Procedure Call, удаленный вызов процедур), то для него цепочка может выглядеть как NetBIOS – SMB – MSRPC. Однако, что еще более интересно, MSRPC может использовать не только транспорт NetBIOS для представления информации. Вместо обычного SMB (1.0) в цепочке протоколов допустимо появление SMB2, равно как и передача может осуществляться поверх HTTP, и т.д. Так вот суть в том, что динамические техники обхода можно применять и комбинировать для каждого из используемых уровней. Так, на уровне IP мы знаем такие «традиционные» варианты, как IP fragmentation, для TCP соответственно TCP segmentation, а для SMB – fragmentation или transaction manipulation и т.д. К слову сказать, эти методы все еще вполне эффективны и работают против некоторых из систем (несмотря на то, что бы известны с конца 90-х годов). Но помимо этих методов, стали известны такие менее «распространенные», как IP random options, TCP urgent pointer, TIME_WAIT, SMB padding, method fragmentation или session mixing и много других. Если подсчитать число всевозможных комбинаций, то получится обозначенная величина.
Однако рисуется еще более удручающая картина, когда в результате исследований, проведенных на реальном оборудовании и реальных сетевых потоках, выяснилось, что возможности устройств оказываются в большинстве случаев ограничены базовым разбором стека протоколов TCP/IP (и соответственно нормализацией получаемых данных). Сложно говорить об особенностях технологий разбора различных продуктов и решений, которые для любой компании являются ее ноу-хау (и, следовательно, скрыты), однако результаты позволяют сделать следующий вывод: нормализация (т.е. приведение к унифицированной форме представления) данных во многих широко применяемых сегодня средствах сетевой защиты практически не используется (т.е. используется, но на базовом уровне, максимум в рамках классических, известных технологий). А за емкими названиями техник блокирования «zero-day» уязвимостей скрывается, по большому счету, «классический» сигнатурный анализ. Безусловно, в коммерческих решениях даже он шагнул далеко вперед по отношению к свободно распространяемому программному обеспечению, однако грустный отпечаток на статистику накладывает тот факт, что, к примеру, та же эпидемия Conficker даже сегодня может остаться незамеченной, несмотря на то, что уже несколько лет правила под этот червь прочно занимают места в базе данных анализа трафика. Это же касается средств детектирования утечек, средств межсетевого экранирования с интегрированными модулями IDS/IPS и т.д. А виноват в этом недостаточный уровень разбора сетевых протоколов, точнее его глубина.
К слову сказать, причиной работоспособности AET является в том числе так называемый «принцип устойчивости» (robustness principle), лежащий в основе работы стека протоколов TCP/IP. Согласно этому принципу отправитель сообщения должен быть консервативен при отправке, а получатель - придерживаться либеральных правил приема информации. Злоумышленники при атаке ресурсов выступают в роли отправителей. А когда они следовали правилам (рис. 2)?
Рисунок 2 - Средства безопасности работают только если следовать стандартным правилам
Проблема оказывается глобальной. Поначалу она не рассматривалась как серьезная, однако за прошедшие полгода такие именитые международные организации, как CERT, ICSA Labs, Gartner, NSS Labs не только подтвердили факт существования данных принципиальных уязвимостей, но и обозначили серьезность проблемы.
А эта серьезность усугубляется отсутствием общепринятых способов и методик проверки адекватности реализации модулей разбора трафика и его нормализации в средствах сетевой защиты. Более того, даже коммерческие лаборатории, профессионально занимающиеся тестированием, не содержат в своем арсенале таких средств. В итоге может оказаться так, что средство защиты, которое по рейтингу лаборатории занимает одну из лидирующих позиций, на самом деле не способно детектировать даже давно всем известные атаки только из-за того, что несмотря на наличие ее сигнатуры в базе данных, качество получаемого нормализованного потока информации, подаваемого на модуль разбора, оставляет желать лучшего. Опять же практика координации действий с CERT в части оповещения производителей средств защиты об имеющихся уязвимостях, показывает, что многие производители все равно ограничиваются формальным закрытием конкретного факта применения техники обхода по предоставленной копии трафика (т.е. пишут очередную сигнатуру), вместо искоренения самой проблемы.
Причем этот подход не работает как минимум по двум причинам:
1. Применение некоторых из техник «обхода» (т.е. различные способы фрагментации или переупорядочивания данных) является вполне нормальной и, более того, распространенной практикой для сетевых приложений. Соответственно просто запретить их использование – все равно что запретить работу приложения в сети организации, поскольку блокирование факта применения необычного способа представления информации приложением будет приводить к тому, что легитимный трафик будет прерываться, т.е. появится значительный рост ложных положительных срабатываний (ошибок первого рода), причем без особого влияния на снижение ложных отрицательных (ошибок второго рода).
2. Количество комбинаций техник обхода велико. А поскольку это всего лишь «транспорт» для доставки экплоита в целевую систему, то добавление в базу знаний системы IDS/IPS сигнатуры под все возможные комбинации эксплоитов и техник обхода приведет к «взрывоподобному» росту этой базы. Так, в известной базе данных CVE на текущий момент более 46000 записей. Из них в базу знаний системы мониторинга попадает лишь малая часть – средний размер базы порядка 3000 записей, из которых в лучшем случае половина (т.е. примерно 1500) активны и используются для анализа трафика. Даже с этими параметрами производительность систем зачастую оставляет желать лучшего, не говоря уже про активацию всех правил из базы знаний. А теперь представим, что будет, если потребуется добавить сигнатуры хотя бы для 1% возможных техник обхода? Это означает, что придется написать порядка миллиона сигнатур, что изначально обречено на провал.
Следовательно, единственный выход – это модернизировать механизмы инспекции трафика, которые заложены в ядре системы. Если быть точным, то в первую очередь нужно совершенствовать модули нормализации данных, в задачу которых входит считывание проходящих пакетов и представление в виде, пригодном для последующего применения правил выявления аномалий и сравнения по сигнатурам. А ввиду отсутствия на текущий момент доступных средств тестирования на АЕТ решений и систем (соответствующее программное обеспечение, похоже, есть только у компании-открывателя, StoneSoft), возникает проблема определения «реальности» уровня информационной безопасности в организации, которую дают используемые средства сетевой защиты. Причем эту проблему также нужно решать как можно скорее, пока в арсенале хакеров не оказались автоматизированные утилиты, использующие динамические техники обхода.
Таким образом, с одной стороны, есть проблема корректности разбора и нормализации информации средствами сетевой защиты, а с другой – проблема тестирования адекватности реализации этих методов разбора и нормализации. Очевидно, что с гандикапом нужно бороться всем без исключения производителям средств сетевой защиты, которые хотят обеспечивать «реальную» безопасность. А преимущество есть у тех(ой) компаний(и), которые(ая) первыми(ой) уделили(а) должное внимание этим вопросам.
Источники информации:
Six tips for protecting critical data against Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2011/24032011.html?uri=/en/press_and_media/releases/en/index.html
New Advanced Evasion Techniques Discovered and Disclosed for Global Vulnerability Coordination, http://www.stonesoft.com/en/press_and_media/releases/en/2011/15022011.html?uri=/en/press_and_media/releases/en/2011/index.html
Stonesoft Discloses First Details of Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2010/16122010.html?uri=/en/press_and_media/releases/en/2010/index.html
Stonesoft Releases Technical Paper on Advanced Evasion Techniques, http://www.stonesoft.com/en/press_and_media/releases/en/2010/30112010.html?uri=/en/press_and_media/releases/en/2010/index.html
Stonesoft Corporation: Advanced Evasion Techniques Bypass Almost All Current Network Security Systems Without Leaving A Trace, http://www.stonesoft.com/en/press_and_media/releases/en/2010/18102010.html?uri=/en/press_and_media/releases/en/2010/index.html
Stonesoft Corporation: New Network Security Threat Category Puts The Functionality Of Organizations’ Data Capital And Systems At Risk, http://www.stonesoft.com/en/press_and_media/releases/en/2010/04102010.html?uri=/en/press_and_media/releases/en/2010/index.html
Новый пласт угроз информационной безопасности – динамические техники обхода, Журнал "Information Security/ Информационная безопасность" #6, 2010
Сегодня мы поговорим об основных правилах информационной безопасности. И сразу хотелось бы отметить, что 100% защиты просто не существует, кто бы, что не говорил. Даже локальные сети, полностью изолированные от внешней сети и сети Интернет подвержены угрозам, поскольку, так или иначе, информация попадает в эту сеть (флешки, диски и т.д.).
Угрозы информационной безопасности можно разделить на два типа: технические угрозы и человеческий фактор.
Технические угрозы информационной безопасности.
Ошибки в программном обеспечении
Самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов. Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем программного обеспечения. Своевременная установка таких обновлений является необходимым условием безопасности сети.
DoS и DDoS-атаки
Denial Of Service (отказ в обслуживании) — особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.
Компьютерные вирусы, троянские кони
Вирусы — старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.
Анализаторы протоколов и «снифферы»
В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.
Технические средства съема информации
Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.
Угрозы информационной безопасности связанные с человеческими факторами:
Уволенные и недовольные сотрудники
Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачатую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.
Промышленный шпионаж
Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети - не самый простой вариант. Очень может статься, что уборщица, моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.
Халатность
Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, - в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.
Низкая квалификация
Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один - обучение пользователей, создание соответствующих документов и повышение квалификации.
Способы защиты от несанкционированного доступа
Какие мероприятия мы можем провести, чтобы минимизировать риск взлома нашей информационной сети? Для этого нужно:
1) В первую очередь необходимо обеспечить физическую безопасность . Доступы во все серверные и коммутационные комнаты должен быть предоставлен ограниченному числу сотрудников. Если используются точки доступа, они должны быть максимально скрыты что бы избежать к ним физический доступ. Данные должны иметь физические резервные копии Утилизация жёстких дисков должна проходить под строгим контролем. Ведь получив доступ к данным, последствия могут быть печальными.
2) Позаботится о внешней безопасности . Первый «защитник сети», выступает farewall или межсетевой экран, обеспечивающий защиту от несанкционированного удалённого доступа.
Сеть можно разделить на подсети для ограничения серверов от пользователей. Использование фильтрующего маршрутизатора, который фильтрует исходящие и входящие потоки. Все устройства подключение к сети буду иметь доступ в интернет, а обратно доступ к устройствам из Интернета блокируется.
3) Разграничения в ролях администраторов и пользователей
Доступ к серверам не должен иметь рядовой пользователь;
Доступ управления конфигурацией компьютеров должен иметь только администратор;
Доступ к сетевым ресурсам должны иметь каждый там, где ему это необходимо для выполнения должностных обязанностей;
Трафик всех сотрудников должен фильтроваться, и в этом поможет прокси-сервер;
Каждый пользователь должен устанавливать сложный пароль, и не должен не кому его передавать. Даже IT специалисты его не знают.
4) Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует проникновения в сеть вирусов. В первую очередь необходимо защитить сервера, рабочие станции, шлюзы и систему корпоративной почты
5) Установка актуальных обновлений программного обеспечения.
6) Защита сети через виртуальные частные сети VPN . В связи со спецификой работы организаций, как показывает практика, многие сотрудники осуществляют рабочую деятельность удалённо, в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN, о которых мы рассказывали в статье «Как настроить VPN соединение для Windows? Настройка VPN сервера »
7) Безопасность корпоративной почты . Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг атакам. Чтобы решить данную проблему рекомендуется использовать следующие методы:
Анализ вложения письма (должен осуществляться анализ не только текста, но и самих вложений)
Определение массовости письма (большинство почтовых серверов имеют такую функцию, можно посмотреть, кому в почтовые ящики упали письма)
8) Никакая система не защитит от человеческого фактора . Все сотрудники компании, вне зависимости от должности должны понимать и главное соблюдать правила информационной безопасности. Любые посторонние файлы, скаченные из сети или из почты могут быть опасны и нести в себе угрозу, а так же внешние накопители информации, которые не относятся к рабочему процессу.
Договориться, чтобы перед информированием сотрудника об увольнении, сначала сообщили вам, а вы продумали ряд мероприятий, для защиты рабочих документов данного сотрудника от кражи или порчи.
А так же повышать квалификацию работников в области информационной безопасности и компьютерной грамотности!
Это основные аспекты защиты информации в корпоративной сети, которые действенны, и используются почти в каждой компании. Выбор комплекса защиты зависит от самой структуры корпоративной сети. Не забывайте использовать защиту комплексно.
Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.
Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:
Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.
Технологии Сетевой защиты
Уровень "Сетевая защиты" включает в себя 3 различные технологии.
Network Intrusion Prevention Solution (Network IPS)
Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.
Защита Браузера
Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.
Un-Authorized Download Protection (UXP)
Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.
Ориентируясь на проблемы
Работая вместе, технологии сетевой защиты решают следующие проблемы.
Загрузки методом Drive-by и наборы инструментов для веб-атак
Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.
Атаки типа «Социальной инженерии»
Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.
Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.
Атаки, нацеленные на социальные медиа-приложения
Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.
Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.
Обнаружение вредоносного ПО, руткитов и зараженных ботами систем
Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.
Защита от «запутанных» угроз
Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.
Угрозы «Нулевого дня» и неисправленные уязвимости
Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.
Защита от неисправленных уязвимостей в ПО
Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.
Вредоносные IP и блокировка доменов
Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.
Улучшенное сопротивление к Уклонению
Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.
Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных
Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.
STAR Intelligence Communication Protocol
Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.
В следующей статье мы рассмотрим уровень "Поведенческий анализатор".
По материалам Symantec
Нашли опечатку? Выделите и нажмите Ctrl + Enter
