Средства противодействия атакам презентация

Содержание

Обзор

Слайд 1
Средства противодействия атакам

БГА, РТФ
Кафедра ИБ


Зензин Александр
Степанович, к.т.н.
Copyright © 2018


Слайд 2
Обзор


Слайд 3Обзор


Слайд 4Введение
Правила взаимодействия различных компонентов Интернет строго регламентированы действующими протоколами. А на

средства противодействия вредоносным вторжениям таких правил или регламентаций нет. Это не удивительно, так как хакеры используют несовершенства протоколов или ошибки в системных или прикладных программах, чтобы вторгнуться в сеть, сервер или рабочую станцию. Или даже используют уловки социальной инженерии, чтобы заставить саму жертву нанести себе вред. Вторжение становится возможным часто потому, что разработчик программы в каких-то деталях отступил от общепринятых правил.

Различные системы антивирусной защиты непрерывно совершенствуются, но эта гонка хакерами выигрывается. Хакеру, если он хочет, чтобы его программа обходила антивирусную защиту, требуется много меньше усилий, чем создателю антивируса, чтобы восстановить его эффективность. В последние годы число известных сигнатур сетевых атак росло экспоненциально и исчисляется уже десятками миллионов. (см. "Is antivirus getting worse? Anti-virus software is getting worse at detecting both known and new threats", Maria Korolov, January 19, 2017). Эксперты по безопасности считают, что хакеры мало-по-малу выигрывают эту борьбу.

Интересным направлением являются попытки создания систем искусственного иммунитета. К сожалению пока не удалось достигнуть сколько-нибудь заметного успеха в этом направлении. В какой-то мере это объясняется тем, что суть природных вирусов и компьютерных не имеют ничего общего.

Слайд 5Введение
Еще несколько лет назад большинство клиентов были соединены с Интернет через

провода или оптические волокна, при этом использовались Firewall, антивирус и антиспам. Сегодня каждый второй или даже каждый третий клиент использует iPhone, планшет или какое-то другое мобильное средство (BYOD), сплошь и рядом, лишенное средств сетевой защиты. Аналогичные проблемы возникают, когда сотрудники работают из дома со своей личной PC (Telework). Это ставит перед компаниями и частными лицами проблему интегрированной безопасности для работы в Интернет через мобильные и другие незащищенные каналы. Безопасности может способствовать разбиение сети на изолированные сегменты, предназначенные для работы отдельных групп, а также минимизация разрешенных сервисов и применение локальных Firewall.

Задача защиты сети от вредоносной агрессии усложняется. Особенно сложно становится выявить маршрут или точку вторжения вредоносного кода в вашу сеть, атакер обычно действует через прокси или через взломанную ранее машину (а то даже через цепочку взломанных машин). Представьте себе, что в корпоративной сети имеется 10 000 машин, как можно выявить первоначальную точку заражения вредоносной программой? Диагностические средства для решения подобных задач только создаются.

Если вы не предпринимаете ничего для защиты своей сети или своей машины, вы являетесь благодатной мишенью для хакера.

Начинать надо с банальной вещи - корректного выбора и периодической смены паролей всеми без исключения сотрудниками. В среднем каждый пользователь использует 20 паролей и не все достаточно осмотрительны.

Слайд 6Введение
Начинать нужно с осмотра рабочих мест. Ищите наклейки на дисплеях или

маркерах, где записаны пароли. Этого не должно быть. Существуют специальные программы, которые проверяют качество пароля и напоминают всем пользователям о необходимости смены пароля, когда приходит время. Рекомендуется менять пароль каждые 3 месяца и не использовать один из последних паролей во всяком случае на глубину 10.

Исследование более чем 1400 паролей (Carnegie Mellon University), содержащих 16 и более символов, показало, что если в пароле применены какие-то грамматические структуры, то такие пароли проще взломать. В частности пароль 'Andyhave3cats' лучше, чем 'Shehave3cats'. Если пароль содержит в себе несколько слов (без пробелов) и все эти слова существительные, такой пароль не более надежен, чем пароль из 5-6 случайных символов.

Смотри сайты:
Gmail: https://www.google.com/landing/2step/
Amazon: http://aws.amazon.com/iam/details/mfa/
PayPal: https://www.paypal.com/us/cgi-bin?cmd=xpt/Marketing_CommandDriven/securitycenter/PayPalSecurityKey-outside&bn_r=o
Facebook: https://www.facebook.com/note.php?note_id=10150172618258920
Twitter: https://blog.twitter.com/2013/getting-started-with-login-verification


Слайд 7 Очень часто пользователи не различают авторизацию и аутентификацию (Account Logon), хотя

эти две процедуры имеют разное назначение. Авторизация (процедура Logon/Logoff) требует ввода имени и пароля (см. "Account Logon" and "Logon/Logoff" Events in the Windows Security Log. Пароль и имя могут передаваться открытым текстом или зашифрованными.
Рабочая станция может запрашивать аутентификацию от контроллера домена с использованием Kerberos. Аутентификация предполагает проверку идентификации клиента. Аутентификация может производиться не на том компьютере, где производится авторизация. Аутентификация может включать процедуру сертификации или проверку IP-адреса, откуда производится попытка аутентификации. Организовать проверку IP-адреса можно, поместив список разрешенных адресов в файл /etc/host_allow (ОС Linux).

Авторизация и аутентификация


Слайд 8 В последнее время (2012г) некоторые работодатели в США стали требовать от

соискателей их пароли в социальных сетях (Password Protection Act of 2012 filed. Toni Bowers, 22 мая 2012). Это, впрочем, встретило противодействие законодателей.

Компания Apple получила патент на систему аутентификации, которая предполагает, что пользователь будет распознавать определенные графические образы. Например, когда на экране появляется мост в Сан Франциско, пользователь, чтобы получить доступ к устройству, должен ввести последние 4 цифры телефонного номера своего приятеля, который живет в этом городе. Apple планирует также использовать при аутентификации распознавание лица пользователя. Такая система распознавания использована в Android, но ее можно обмануть, предъявив фотографию владельца.

Пароли вошли в нашу жизнь достаточно глубоко. С помощью пароля можно получить доступ к нашему счету в банке, к медицинской карте, к персональным данным, фотографиям и т.д. Но мы не всегда достаточно ответственно относимся к выбору паролей. Следует иметь в виду, что замена буквы О на нуль или А на 1 и пр. не повышает прочность пароля. Использование одного и того же пароля для разных аккаунтов в разы понижает надежность защиты.

Авторизация и аутентификация


Слайд 9Защита от инсайдеров
Хотя наибольшие усилия тратятся для защиты от внешних атак,

до 80% вреда наносится своими сотрудниками, партнерами и прикомандированными (инсайдеры), т.е. теми, кто имеет легальный доступ к машинам локальной сети непосредственно. Проблема усугубляется тем, что грубый досмотр за сотрудниками может нанести также заметный вред.

Многие меры защиты носят общий характер (пароли и политика безопасности), но существуют и специфические способы.

Прежде всего надо наладить контроль за информационными потоками внутри сети. Данные об усредненных значениях потоков должны храниться и быть всегда доступны администратору. Главная задача при этом заключается в выработке критериев детектирования критических ситуаций. Скажем, если каждым субботним утром из вашей сети уходит большой файл в какую-то страну, с которой у вас нет контактов, или по неизвестному адресу уходит большое число почтовых сообщений, это должно стать предметом немедленного расследования. Озабоченность должен вызывать и неожиданно быстрый рост журнальных файлов. Это может и не быть атакой, но мимо внимания администратора такой факт пройти не должен.

Должен вестись журнальный файл для всех сетевых событий, анализ журнального файла должен производиться программой, которая может автоматически уведомлять администратора о серьезных событиях.

Слайд 10Защита от инсайдеров
Следует наладить контроль за доступом к критическим файлам (пароли,

конфигурационные файлы, журнальные файлы, базы данных и т.д.). Для этой цели могут использоваться как коммерческие продукты, так и свои программы.

Нужно периодически сканировать серверы и саму сеть на наличие вредоносных, потенциально опасных и подозрительных файлов. Обычные антивирусные системы вполне приемлемы для этих целей.

Появление хакерского средства Khobe, которое позволяет обходить традиционные средства антивирусной защиты, делает борьбу против инсайдеров еще более актуальной.

Крайне полезны для выявления внутреннего врага и такие средства как Honeypot.
Крайне важно четко определить области ответственности и доступа для различных сотрудников (это относится к сфере политики безопасности - принцип RBAC - Role Base Access Control). Каждый сотрудник должен иметь минимально возможный уровень доступа.

Важным является и тривиальное соображение совершенствования системы управления доступом.

Слайд 11IDS (Intrusion Detection System)
Существует много методов обмануть IDS (система детектирования попыток

вторжения), например, перегрузив ее. Некоторые IDS имеют механизмы улучшения эффективности и это может быть использовано хакером, например, многие IDS игнорируют параметры, передаваемые в запросе GET. Можно обмануть IDS, используя медленное сканирование. Существует известная сигнатура атаки, содержащая в себе определенную строку в URL-запросе. Если представить ее в альтернативной кодировке с использованием символов %, IDS эту строку не распознает. Настройка IDS должна выполняться с учетом реальных угроз конкретной сети. Полагаться на то, что сервис провайдер имеет свою систему IDS, ни в коем случае нельзя. Следует также учитывать, что поставляемые вместе с IDS программы анализа журнальных файлов, требуют хорошей настройки. Настройка IDS сильно зависит от используемой ОС. Одним из способов атак является шестнадцатеричное кодирование параметров HTTP-запросов или использование для этих целей уникодов. Идея атаки заключается в том, что дешифровка такого представления параметров может в определенных случаях производится некорректно, что открывает хакерам дополнительные возможности. Еще одним недостатком IDS являются ложные тревоги, которые при достаточно высокой частоте могут, в конце концов, притупить внимание администратора к реальным угрозам или при большом их числе перегрузить журнальный файл.

Следует также учесть, что на большом сервере или в Firewall генерируется до 50000 записей в сутки. "Ручной" просмотр такого объема данных не представляется реальным. Поэтому для этой цели нужно использовать специальные программы анализа журнальных файлов. Такие программы будут представлять результаты анализа в сжатой форме, а в особо важных случаях передавать администратору почтовое или IM-сообщение.

Слайд 12IDS (Intrusion Detection System)
Для решения данной проблемы можно также привлечь технологию

SIEM (Security Information & Event Management).

Следует иметь в виду, что возрастание входных пропускных способностей до уровня 100Гбит/c и выше делает системы IDS недостаточно эффективными несмотря на рост производительности современных машин. Проблема может быть решена на аппаратном уровне путем распараллеливания обработки входного информационного потока. Анализ сложных сигнатур атак может занимать достаточно много времени, а это приводит к большим задержкам отклика, что замедляет работу многих приложений. Задержка должна быть не более 100 мксек, но в некоторых случаях задержка достигает 167 секунд, что совершенно не приемлемо; см. Eight Questions To Ask About Your Intrusion-Security Solution. Получила распространение технология DPI (Deep Packet Inspection), которая позволяет анализировать не только заголовки пакетов, но и поле данных.

IDS дает данные для сетевого администратора, чтобы он, если сочтет нужным, предпринял определенные шаги. Иногда оказывается, что действия администратора уже запоздали. Исследования показывают, что запаздывание в 10 часов дает 80% для успеха хакера, а при 20 часах вероятность вторжения оказывается равной 95%, при 30 часах задержки - успех хакера гарантирован, каким бы искусным ни был администратор. При нулевой задержке реакции на подготовку атаки хороший администратор не оставляет никаких шансов хакеру (смотри all.net). Быстрая реакция на угрозу сокращает возможный ущерб не только для атакуемого объекта, но иногда и для всего Интернет-сообщества.
IDS представляет собой окно в сеть, которое позволяет администратору составить прогноз в отношении сетевой безопасности.

Слайд 13Распознавание атак по аномальному поведению
Распознавание атак по сигнатурам становится все более

проблематичным. Во-первых, сигнатур становится настолько много (более 2 миллионов; в 1998 году их было ~1930), что их перебор начинает поглощать все более заметные ресурсы процессора. Во-вторых, многие вредоносные коды содержат в себе механизмы активной вариации сигнатуры. Кроме того, не следует забывать об атаках нулевого дня, которые несут в себе наибольшую угрозу. Альтернативой сигнатурному распознаванию является регистрация аномального поведения машины или всей локальной сети, которое может быть сопряжено с атакой или вторжением. (см. David Jacobs. Anomaly-based intrusion protection configuration and installation).

На первый взгляд метод представляется достаточно простым. Фиксируются усредненные значения статусных параметров системы, и любые статистически значимые отклонения от этих усредненных величин должны вызывать сигналы тревоги. Но это, как правило не так. Во-первых, статистические распределения большинства статусных параметров являются нестационарными. Во-вторых, система (машина или сеть) являются динамическими объектами, там могут запускаться и прекращаться некоторые вычислительные или обменные процессы, как внутри самой машины или сети, так и во вне.

По этим причинам в системе должна постоянно работать программа мониторинга всех процессов. Нужно знать перечень процессов, которые активны на ЭВМ. Кроме того, для каждого приложения должен быть сформирован профайл, где описываются характеристики всех режимов работы этого приложения. В это описание нужно включить, в том числе все объекты, с которыми приложение может обмениваться данными. Если появляются новые объекты, с которыми приложение собирается обмениваться информацией, их характеристики должны быть немедленно включены в профайл.

Слайд 14Распознавание атак по аномальному поведению
Для локальной сети с большим числом машин,

такой мониторинг может представлять серьезную проблему. Чтобы облегчить задачу, сеть следует структурировать, разбивая ее на несколько VLAN. Особую проблему могут создавать виртуальные машины, которые следует мониторировать независимо.

Но в случае правильного конфигурирования и инсталляции системы детектирования атак по аномальному поведению достаточно эффективны. Именно за этой технологией будущее. Но считать, что сигнатурный анализ атак потерял актуальность, было бы не верно. Многие, особенно целевые атаки, начинаются с разведки - выявляется тип ОС, тип оборудования и особенности приложений. Такая разведка может быть без труда детектирована методами сигнатурного анализа.

При анализе аномальности должны учитываться индивидуальные особенности приложений. Например, в случае WEB-приложений нужно знать, могут ли использоваться параметры (атрибуты) в GET-запросах, какие методы HTTP разрешены, допустимы ли обращения к базам данных и т.д. Из всего многообразия параметров запросов обычно допустим ограниченный набор. Любые отклонения параметров запросов от разрешенных следует воспринимать как аномальность. В качестве мониторитуемых параметров могут рассматриваться длины запросов в байтах, число символов "/" в запросе, число запросов в секунду, наличие и характер параметров запросов (например, символьный набор: русский/латинский).

Слайд 15Распознавание атак по аномальному поведению
Детектирование сетевых атак по аномальности статусных параметров

предполагает сначала определение того, что является нормой. Эта процедура называется обучением и предполагает определение математического ожидания параметра µ (среднее значение) и дисперсии σ2 для набора запросов q1, q2,...,qn. Значения µ и σ могут значительно варьироваться со временем.

Когда по завершении этапа обучения мы переходим к детектированию, то вероятность, например, получения запроса с длиной L может быть вычислена на основе неравенства Чебышева:
p(|x-µ| > t)< (σ2/t2)

Это неравенство определяет верхнюю границу вероятности того, что разность случайной величины х и µ превышает определенный порог t для произвольного распределения с дисперсией σ2 и средним значением µ.

Данное неравенство не зависит от характера распределения случайной величины х.
Вероятность получения длины запроса L вычисляется по формуле:

p(|x-µ| > |L-µ|) < p(L)=(σ2/(L-µ)2)

Для временных интервалов со стационарными статистическими распределениями можно использовать критерий Χ2, который позволяет количественно оценить вероятность полученного результата.

Слайд 16IPS (Intrusion Protection System) или IMS (Intrusion Management )
Жесткие требования к

времени реагирования на атаки повышают интерес к системам IPS (Intrusion Protection System) или IMS (Intrusion Management system). В сетевом контексте, можно считать, что такие системы комбинируют в себе свойства IDS и Firewall. В случае отдельной ЭВМ такая система мониторирует все системные и API-вызовы и блокирует те, которые могут нанести вред. Схема подключения IDS и IPS показана на рис. 1. Современные IPS способны работать в каналах с пропускной способностью 5-10 Гбит/c. Предполагается, что они должны препятствовать также проникновению троянских коней, червей, вирусов, spyware и DoS-атак. Важным параметром IPS является периодичность обновления сигнатурной базы данных (желательная частота ≥ 2 раза в неделю). Новейшие версии способны противостоять некоторым видам атак "нулевого дня". IPS безусловно более эффективное средство защиты по сравнению с Firewall.

Рис. 1. Схема фильтрации сетевых атак


Слайд 17IPS (Intrusion Protection System) или IMS (Intrusion Management )
В реальности современная

сеть содержит многослойную систему защиты. Некоторые средства могут размещаться даже на уровне сетевого сервис-провайдера. Последним рубежом обороны является Firewall и антивирусная программа, размещенные на конкретной машине. Многие фирмы и университеты предлагают своим сотрудникам и студентам бесплатные антивирусные и другие программы сетевой защиты.
Ниже представлена таблица для выбора типа IPS сети. Нужно иметь в виду, что такой выбор и тем более конфигурирование должен выполнять профессионал.




Слайд 18IPS (Intrusion Protection System) или IMS (Intrusion Management )


Слайд 19IPS (Intrusion Protection System) или IMS (Intrusion Management )
Смотри Six Integral

Steps to Selecting the Right IPS for Your Network. Статья посвящена способам правильного выбора IPS.

Появление APT-атак поставило новые проблемы перед IPS. Традиционные сигнатурные схемы противодействия атакам нулевого дня и APT неэффективны.
IPS следующего поколения должна отвечать следующим требованиям:
выполнять функции традиционного сигнатурного IPS, способного работать на максимальной скорости канала и блокировать известные угрозы;
обеспечивать безопасность на прикладном уровне, анализируя трафик приложений;
используя контекстную информацию, полученную извне (например, гео-IP, идентификационные данные пользователей, репутационные списки и ACL), блокировать доступ с определенных IP-адресов;
для обеспечения безопасности анализировать содержимое файлов входного и выходного трафика;
реализовать оперативные обновления ресурсов обеспечения безопасности.

В результате IPS нового поколения должна иметь многослойную систему обороны.

Слайд 20HIPS (Host Intrusion Protection System)
В последнее время появилась система HIPS

(Host Intrusion Protection System), которая ориентирована на защиту отдельного компьютера. Хотя IPS существуют уже несколько лет, применение их ограничено. Еще в 2005 году была предложена Ethernet плата с 32-битным PCI-интерфейсом, которая была способна выполнять функции IDS/IPS при потоке данных в 1Гбит/с (MTP-1G). Время обработки события занимает не более 400 нсек. (смотри Metanetworks Unveils Gigabit Intrusion Protection Device For Open-Source Security Apps).

Рис. 1a. Схема подключения IDS и IPS (IDS or IPS: what is best, Maria Papadaki and Steven Furnell, Network Security v2004, Issue 7, июль 2004, стр. 15-19)


Слайд 21HIPS (Host Intrusion Protection System)
Возможны и другие схемы подключения

IDS/IPS.

Слайд 22HIPS (Host Intrusion Protection System)
IDS пригодна для того, чтобы понять,

насколько ситуация тревожна и сформировать ACL. Для улучшения положения нужны дополнительные действия. Положение IDS на рынке услуг демонстрирует рис. 2, из него видно, что интерес к IDS становится ограниченным.

Рис. 2. Вариация числа используемых IDS по годам

Так как IPS/IMS базируются на IDS, они наследуют все ее недостатки (нечувствительны к неизвестным сигнатурам атак, дают ложные тревоги и пр.). Эти системы блокируют лишь атаки, которые детектируются с высокой степенью достоверности. Кроме того они требуют тонкой настройки высоко квалифицированными администраторами. В случае отказа IPS (или успешной атаки) сеть или ЭВМ, которую она защищает, лишится доступа к внешней сети (см. рис. 1а).


Слайд 23HIPS (Host Intrusion Protection System)
Так как беспроводные сети находят все

более широкое применение, а безопасность таких каналов оставляет желать лучшего, возможен перехват трафика с помощью средств типа sniffer. Высокой безопасности можно не получить даже в случае применения VPN и двухфакторной аутентификации (SecurID). Для хакера такие объекты атаки привлекательны тем, что им не нужно устанавливать соединение с каким-либо объектом в локальной сети, не оставляя следов в FireWall или IDS. Обычный просмотр WEB-страниц может помочь украсть индивидуальные параметры. Пользователи корпоративной сети при работе с WEB-страницами (просмотр требует аутентификации) могут получить уведомление: "Your connection to the network has been lost - please reenter your username and password". Инициатором такого сообщения может быть злоумышленник, который рассчитывает получить ваши аутентификационные параметры.
Беспроводные средства облегчают атаки и стационарных объектов. Клиент, купивший карту доступа, получает динамический адрес и его локализация и идентичность достаточно трудно установить. Существуют специальные средства для выявления приборов 802.11, например, Kismet или Air Defense (разновидность IDS). Но такие средства могут использоваться как во благо, так и во вред, они могут помочь обнаружить плохо сконфигурированные точки доступа. Для таких сетей особенно актуальна проблема однозначной идентификации пользователя, где бы он ни находился. Обычно портативные ЭВМ после включения пытаются установить соединение с известными им беспроводными точками подключения, атакер может сформировать точку доступа, имитирующую один из таких узлов, для установления соединения с данной ЭВМ и получения параметров доступа. В последнее время появились экраны, работающие по технологии стелз, способные экранировать радиоволны определенных частот. Это позволяет обезопасить беспроводные локальные сети, сохраняя работоспособность мобильных телефонов.

Слайд 24HIPS (Host Intrusion Protection System)
Если нет насущной потребности, следует дезактивировать

вход USB на уровни BIOS. Заметной уязвимостью обладают все переносные ЭВМ. Человек, получивший к такой ЭВМ доступ, за несколько минут может установить новый пароль (с помощью загрузочного диска) и скопировать оттуда любую информацию или установить там троянского коня.
Особую категорию составляют домашние ЭВМ. Многие компании одобряют работу своих сотрудников дома (экономится электричество, рабочее место и пр.), удобно это и работникам (экономится время в пути и бензин). При подключении к офисной сети предпринимаются достаточно серьезные меры безопасности, но эта же машина может использоваться детьми, подключающимися к самым разным сайтам, среди которых могут быть ЭВМ злоумышленников. При этом нет никакой гарантии, что в такую машину не попадет троянский конь или другая вредоносная программа. После же подключения в сети компании такая машина может стать источником угрозы для других ЭВМ локальной сети. Покидая рабочее место, целесообразно выйти из ОС (произвести процедуру Logoff), но все ли это делают? По этой причине после 30-60 сек пассивности, ЭВМ должна сама выполнить эту процедуру. Многие компании в случае успешной сетевой атаки скрывают этот факт, чтобы сохранить доверие клиентов. Это приводит к тому, что число жертв увеличивается (такой же атаке подвергаются другие, не предупрежденные об угрозе).
Сигнатуры современных атак могут быть достаточно изощренными. Это может быть не просто попытка установить соединение с определенным портом, а вполне определенная последовательность попыток соединений, приводящая к соединению. Это характерно для доступа к некоторым люкам, специально оставленным хакером в какой-то программе. Такая схема исключает детектирование окон уязвимости простым поиском открытых портов (так работают некоторые программы поиска вторжений). Подробности этой техники смотри по адресу www.portknocking.org.

Слайд 25HIPS (Host Intrusion Protection System)
Появились сообщения о разработки вредоносных кодов,

написанных на JavaScript. В это трудно поверить, но если это так, масштаб сетевых угроз увеличивается весьма существенным образом. Ведь в этом случае не нужно ничего копировать с вредоносного сайта, достаточно туда заглянуть. Но по-прежнему главной уязвимостью остается неопытный и малообразованный пользователь.

Наибольшую угрозу представляют атаки с помощью программ, специально написанных для вторжения в конкретную ЭВМ или сеть. К сожалению, большинство разработчиков приложений не учитывает требования безопасности. Сертификация программ, как правило, не включает в себя аспект безопасности (попыток вторжения). Следует разделять уязвимости "врожденные" и специально созданные хакером. Эти два вида бывает трудно разделить, если вы покупаете нелегальное программное обеспечение. Хороший хакер готовит вторжение с тщательной разведки объекта атаки. Это не обязательно сканирование или попытки подбора пароля. Такую информацию хакер может получить из описаний разработанных на сервере-мишени программных продуктов (требования к ОС, версии и т.д.). Он может послать запросы на серверы Whois, посылая команды finger или почтовому серверу и пр. В отдельности такие запросы не говорят ни о чем. Но, если собирать статистику о клиентах сети (используемые запросы, ping, traceroute, сканирования определенных портов и т.д.), то по совокупности этих данных можно с приемлемой вероятностью прогнозировать угрозу.

Слайд 26HIPS (Host Intrusion Protection System)
При стратегическом планировании в сфере сетевой

безопасности следует учитывать тенденцию в направлении распределенных систем и более широкого внедрения беспроводных систем. Оба эти фактора делают решение проблем значительно труднее.

По мнению экспертов в последнее время важной мишенью атак становятся приложения, особенно те, которые взаимодействуют или доступны через Интернет. На долю таких приложений приходится до 70% успешных сетевых атак (данные Gartner Group).

В последнее время атаки серверов становятся двухэтапными. Так как сервер обычно защищен лучше рабочей станции, сначала атакуется именно она (например, через e-mail или Explorer). А далее с рабочей станции предпринимается уже атака сервера. Собственно атака даже может быть не нужна, если на рабочую станцию в результате атаки был загружен троянский конь или spyware. Ведь эти коды позволяют перехватить пароль, когда он еще не зашифрован.

Никогда не выполняйте двойного кликанья на приложениях почты, если их расширения указывают на то, что это исполняемые файлы. Впрочем, расширения WinWord не гарантируют безопасности (там могут быть скрытые макросы). Определенную опасность могут представлять и файлы PostScript.

Слайд 27Анализ вторжений с помощью журнальных файлов
Журнальные файлы приложений служат для отладки

программ и регистрации сетевых атак. К числу наиболее информативных журнальных файлов следует отнести, например, access_log (Apache), error_log или secure (sshd), а также журнальные файлы Firewall. Для ускорения анализа файлов типа access_log, которые могут иметь достаточно большой объем, можно провести предварительную фильтрацию вспомогательных запросов. Заметную долю запросов составляют запросы-роботы поисковых систем (например, запросы файла robots.txt). Разумеется хакер может маскироваться под поисковый робот, но это относительно маловероятно. Запрос конкретной страницы обычно вызывает серию запросов с методом GET, рисунков, формул и некоторых вспомогательных файлов типа .CSS, .ISO. Но нужно помнить, что удаление таких рекордов может скрыть и некоторые (впрочем, достаточно редкие) виды атак.
Гибкую систему управления доступом к файлам и каталогам на Apache-сервере предоставляет приложение htaccess.
Анализ журнальных файлов помогает также проверить корректность конфигурации и эффективность защиты.
Краткая выборка из файла access_log представлена на сервере http://book.itep.ru.
Существует достаточно много стандартных диагностических средств, в частности в ОС UNIX. Среди этих средств, программы ведения журнальных файлов ОС и некоторых приложений, например, Apache (файлы access_log, error_log и ssl_access_log), Samba, Squid и др..
Для отслеживания работы ОС и приложений обычно предусматривается система журнальных файлов, которая фиксирует все события (приход запросов, соответствие запросов определенным критериям и т. д.). Примером диагностики атак по журнальным файлом может служить сайт http://saturn.itep.ru/rec_lengths.htm

Слайд 28Методы противодействия вторжениям
Прежде чем обсуждать средства противодействия, следует рассмотреть пути и

методы вторжения и причины потери критических данных. Эта информация позволит более осознанно строить линию обороны.

Практика показывает, что 60% компаний, подвергшихся серьезному сетевому вторжению, уже не могут восстановить свой имидж и в течение года прекращают свое существование. Но даже компаниям, которым удалось избежать такой печальной судьбы, приходится нести тяжелые убытки. Важным свойством корпоративной системы становится время восстановления после катастрофического вторжения. Смотри Securing SSL VPNs with RSA SecurID Two-factor Authentication.

В феврале 2005 Банк Америки потерял ленты резервных копий данных, содержащих персональную информацию о 1,2 миллионах клиентах, аналогичная история произошла с Ситигруп в июне 2005, когда были потеряны ленты с данными о 3,9 миллионах клиентах. Компания ESG считает, что потеря одного рекорда обходится в 30-150 долларов. Эти инциденты показывают, насколько актуальным является использование криптографии при создании резервных копий. Но несмотря на эти события до 75% компаний до сих пор не используют криптографические методы для резервного копирования (это относится к концу 2005). Во многих штатах США приняты законы, обязывающие компании, хранящие у себя персональные данные граждан (налоговые номера, адреса, даты рождения, номера кредитных карт, медицинские карты и т.д.), уведомлять заинтересованных лиц не только о случаях кражи этих данных, но даже при подозрении, что к этим данным получило доступ неавторизованное лицо!

Слайд 29Методы противодействия вторжениям
Безопасность сегодня является частью самих данных (криптозащита), а не

системы или устройства, где она хранится.
Безопасность системы хранения данных не сводится к созданию надежной системы резервного копирования. И если такая система у вас создана, это не гарантирует вам спокойной жизни.
Безопасность не зависит от используемого протокола (IP или, скажем, Fibre Channel).
Криптозащита данных не может считаться панацеей, это всего лишь один из рубежей обороны.
Важным моментом в деле обеспечения информационной безопасности является согласованность действий всех подразделений предприятия.
При организации работ с данными нужно четко определить, кто должен к ним иметь доступ, а кто - нет.
Доступность очень часто не означает дозволенность. Сюда относятся черные ходы (люки), а также доступ лиц, которые в этом доступе по характеру работы не нуждаются.

Локальная сеть должна быть разумным образом поделена на субсети и VLAN, что осложняет действия локальных атакеров. Для копирования каких-то файлов коллегами может быть открыт доступ к какому-то каталогу или файлу, но по завершении операции доступ не перекрывается, чем могут воспользоваться как локальные, так и удаленные хакеры. Особое внимание должно уделяться безопасности DNS- и почтового серверов, так как именно их атакеры проверяют на прочность первыми.

Слайд 30Методы противодействия вторжениям
Одним из средств детектирования вторжений может быть регистрация файлов,

только что записанных на жесткий диск. При этом нужно отслеживать то, кто эти файлы создал.

В последнее время в связи с широким использованием мобильных средств появилась потребность аутентификации мобильных удаленных пользователей и процессов в рамках VPN. Для этой цели часто используется многопараметрическая аутентификация и средства генерации одноразовых паролей (OTP).

Одним из наиболее эффективных способов защиты информации является шифрование сообщений, что к сожалению заметно увеличивает время отклика (шифрование-дешифрование). Задержки при большом входном трафике могут привести к блокировке сервера.

Начинать нужно с классификации информации и сетевых объектов в вашей сети, определения зон ответственности и доступа различных сотрудников.

Если в вашей сети установлен Firewall, автоматически обновляемая антивирусная программа, система обновления прикладных и системных программ, IPS/IDS, VPN и система фильтрации почты и WEB-данных, это еще не гарантирует безопасности (100%-защиты ничто не может гарантировать). Все эти барьеры легко можно обойти (в сети описаны методики).

Слайд 31Методы противодействия вторжениям
Наиболее эффективными являются простые правила предосторожности, диктуемые здравым смыслом.
Не

устанавливать на своей машине программ, назначение которых вам не известно. Еще лучше, но редко осуществимо, запретить пользователям самостоятельно инсталлировать программное обеспечение.
Не кликайте без разбора мышкой на кнопках просматриваемых страниц, например на "click her to close" (функция этой кнопки на неизвестном сайте может быть много "богаче"), лучше закройте страницу, если сайт вам не известен.
Не открывайте сообщения SPAM и не кликайте мышкой на ссылках в таких сообщениях.
По возможности не используйте программы файлового обмена peer-to-peer (P2P).
Убедитесь, что настройки вашего браузера запрещают какую-либо загрузку, не спросив разрешения пользователя.
Установите экран, осуществляющий фильтрацию трафика в реальном времени, и выполняйте регулярное сканирование системы.

Мировой опыт обеспечения безопасности говорит о том, что нельзя обойтись каким-то одним программным средством мониторинга и защиты. По этой причине лучше иметь несколько средств различной функциональности, полученных из разных но достойных доверия источников. Смотри "TechTarget Guide to Spyware, Data Leakage, and Spyware Recovery«.

Слайд 32Методы противодействия вторжениям
Для выявления вирусов, spyware и rootkit можно заглянуть, соблюдая

осторожность, на следующие серверы:
http://vil.nai.com/vil/stinger
http://www.spybot.info/en/index.html
http://www.microsoft.com/athome/security/spyware/software/default.mspx
http://www.sysinternals.com/Utilities/RootkitRevealer.html
http://greatis.com/unhackme
http://www.f-secure.com/blacklight
Можно попробовать некоторые общедоступные программные средства сканирования. Запрос some Google "free antivirus" может помочь вам найти нужные средства. Ниже приведен список таких источников (но перед их установкой лучше провести проверку на наличие в них самих malware):
http://www.pestpatrol.com/prescan.htm
http://www.ewido.net/en/onlinescan
http://housecall.trendmicro.com/
http://www.pandasoftware.com/products/activescan
Следует проверить все потенциально опасные места в системе компьютера, такие как каталог startup Windows, Startup tab в файле msconfig, а также любые ключи регистра, ссылающиеся на эту программу из anyHKEY_LOCAL_MACHINE/Software/Microsoft/Windows /CurrentVersion/Run в regedit. Небесполезно просмотреть и содержимое всех временных каталогов Windows temp . Таким образом нужно просканировать всю систему. Полезно время от времени вообще удалять содержимое всех пользовательских и системных каталогов типа TEMP, а также cookie. Крайне полезно отслеживать, желательно автоматически, любые изменения конфигурационных файлов.

Слайд 33Методы противодействия вторжениям
Следует загрузить системный Process Explorer и просмотреть загруженные процессы

и приложения. Это может выявить работающие malware. Для поиска malware, подключенного к локальным портам TCP или UDP можно запустить Foundstone's Vision. Можно использовать сетевой анализатор (например, CommView или Ethereal), что посмотреть, что происходит в сетевом сегменте.

Следует удалить (выгрузить) любые программы, если вы подозреваете их зараженность, после чего повторите сканирование. Может так случиться, что в вашей системе присутствуют файлы, заблокированные против стирания или помещенные под карантин вашей программой удаления, это могут быть вредоносные коды.

Никогда не посещайте сайтов, где вместо имени указан IP-адрес. Это может быть взломанный домашний компьютер, используемый для распространения malware.

Постарайтесь заблокировать восстановление и перезагрузку системы в safe mode и после этого запустите вашу программу детектирования/удаления вирусов/spyware. Для этой цели хороши программы, поставляемые на бутабельном CD.

Может так случиться, что ваши проблемы связаны с повреждением программы или неисправностью оборудования, а не с malware. Попытайтесь реинсталлировать Windows или поврежденное приложение. Если это не помогло, попытайтесь вернуть систему к состоянию, когда она работала, восстановив конфигурацию оборудования.

Слайд 34Методы противодействия вторжениям
Не полагайтесь безгранично на Google или другую поисковую систему

в отношении рекомендуемых программ детектирования и очистки системы от malware. Внимательно изучите сайты ведущих поставщиков соответствующего программного обеспечения (Symantec, Trend Micro, Sophos и др.), чтобы выбрать нужное решение для вашей проблемы. Сайты Symantec's Security Response и CA's Spyware Encyclopedia содержат много полезной информации.

Поставщики антивирусных и анти-spyware программ могут предложить специфические средства, о которых вы возможно и не слышали, но которые вполне могут помочь в вашем случае. Не бойтесь использовать средство от поставщика, отличного от используемого вами. Следует иметь в виду, что разные продукты имею разную функциональность и возможности. Противодействие spyware в последнее время стало особенно актуальным. Здесь важны как средства профилактики, так и утилиты на случай, когда заражение уже произошло. Обзор таких средств можно найти в Spyware Removal Checklist, а также Средства для борьбы со spyware.

Хэшируйте подозрительный файл с помощью, например, HashCalc и сравните с результатом, полученным для заведомо рабочей копии этого файла.

Если возникли сомнения, выполните перезагрузку. Если вам не удается перезагрузить Windows -- происходит повисание или бесконечные попытки перезагрузки, начиная с определенной точки it -- даже в safe mode, тогда можно осуществить полную переустановку системы. Но прежде чем делать это, попытайтесь использовать Winternal's ERD Commander, чтобы спасти нужные вам файлы, или восстановить систему с помощью backup.

Слайд 35Методы противодействия вторжениям
На уровне фирмы или организации необходим специальный план реагирования

на любой сетевой инцидент. Одно дело очистить одну или две машины и совершенно другое - выполнить то же самое для целой сети. Ниже приведен список ссылок, которые могут быть полезными для решения рассмотренных проблем:

http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
http://www.first.org/resources/guides
http://cirt.rutgers.edu/tools.php

Слайд 36Firewall
Традиционные Firewall постепенно замещаются программами, способными анализировать не только заголовки,

но и данные, например, XML-firewall или WEB-сервис firewall. Следует иметь в виду, что наличие Firewall сети или отдельной ЭВМ не является гарантией безопасности, в частности потому, что сама эта программа может стать объектом атаки. XML-firewall анализирует содержимое (поле данных пакетов) сообщений и контролирует аутентификацию, авторизацию и акоунтинг. Различие между XML-firewall и WEB-сервис firewall заключается в том, что последний не поддерживает открытые стандарты. В настоящее время Firewall должны контролировать четыре аспекта:
целостность сообщений;
предотвращение DoS атак;
защиту с учетом анализа данных;
аутентификацию и авторизацию.

Смотри: http://www.nwc.com/showitem.jhtml http://www.oasis-open.org http://vulcan.forumsys.com Firewall http://nwc.securitypipline.com

До недавнего времени компания CISCO хранила пароли в конфигурационных файлах в виде открытого текста, теперь они собираются использовать хешированное хранение паролей.

Слайд 37Firewall
Но современные ЭВМ легко позволяют подобрать пароль при наличии

хеша (2ГГц Intel может проверить 5000 паролей в сек). По этой причине нужно ограничить доступ к файлу хешей паролей. Табличный метод (rainbow tables) может ускорить подбор на порядок.

Многофакторная аутентификация является, похоже, единственной альтернативой современной системе паролей. Здесь имеется в виду использование сертификатов, ID-карт пользователей, и контроль их биометрических данных (отпечатков пальцев, голоса или радужной оболочки глаза).

Многие администраторы, установив Firewall, IDS и антивирусную защиту, считают задачу обеспечения сетевой безопасности выполненной. К сожалению, это лишь небольшая часть мер обеспечения безопасности. При проектировании системы безопасности полезно иметь в виду пирамиду Maslow'а (смотри рис. 3). И начинать надо с проектирования основания пирамиды, где расположено управление обновлением программных продуктов (Patches) и организация основных процедур. Это логично, так как хакеры обычно фокусируют свои усилия на известных уязвимостях ОС или приложений, и своевременное их обновление, блокирующее выявленные слабости, крайне важно. Такие обновления должны сначала тестироваться с целью детектирования возможных негативных последствий, прежде чем они будут рекомендованы или установлены на всех ЭВМ организации. Источник обновления должен также проверяться всеми возможными средствами. Выполнение обновлений должно поручаться квалифицированному персоналу. Должны быть разработаны инструкции для базовых операций администрирования ЭВМ и сети в целом. Сюда входят операции аутентификации и авторизации, контроля качества паролей, шифрование административного трафика, обслуживание журнальных файлов и т.д.
.

Слайд 38Firewall
Рис. 3. Пирамида Maslow


На следующем уровне размещается архитектура безопасности сети

и составляющих систем (Firewall, системы управления доступом на прикладном уровне). Конечно, Firewall закрывает многие уязвимости, создаваемые дурным администрированием, но не все.
Далее следует уровень безопасности специфических программ организации, так как именно они становятся чаще всего мишенями атаки. Например, FreeBSD имеет МАС-механизм (Mandatory Access Control), который препятствует приложению вести себя некорректным образом. Аналогичные возможности имеет SELinux (Security Enhanced Linux). Но конфигурирование этих систем весьма сложно. На этом же уровне работают списки доступа ACL (Access Contol List).
На вершине пирамиды находятся системы IDS/IPS. К числу средств проверки безопасности компьютера или сети можно отнести сканер уязвимостей (например, NESSUS). Сочетание всех этих средств обеспечит 85% безопасности, но оставшиеся 15% закрыть крайне сложно.

Слайд 39VLAN и VPN
Несколько увеличить безопасность может применение VLAN или VPN. Эти

технологии не дают абсолютной защиты, но заметно поднимают уровень безопасности. Здесь нужно разделять истинные VPN и виртуальные сети, формируемые в рамках протокола MPLS. Последние помогают улучшить ситуацию лишь незначительно. Хотя пометка определенных потоков с помощью DSCP, меток MPLS или IPv6, не давая реальной защиты, заметно усложняют работу хакера (что само по себе уже неплохо).
Фирменные VPN достаточно эффективны, но включение в них мобильных laptop делает их уязвимыми, так как невозможно проконтролировать контакты такой машины, когда она находится вне VPN (возможно заражение, которое при последующем подключение к VPN может скомпрометировать всю эту сеть). По этой причине в некоторых компаниях перед подключением к сети такая машина контролируется на наличие в ней вредоносных кодов.
Стационарные удаленные компьютеры рекомендуется снабжать полным комплектов детекторов вредоносных программ и программным Firewall. Но это не дает гарантии, так как laptop может попасть в руки детей или знакомых, а они могут зайти на какой-то неблагополучный WEB-сайт и там получить троянского коня или spyware. Они не знакомы с корпоративными правилами сетевой безопасности и не обязаны их выполнять. В обзоре "Дома они расслабляются" приведены исчерпывающие цифры исследований того как ведут себя и как к этому относятся сотрудники фирм, работающие время от времени в корпоративной сети удаленно (из дома). Усилить безопасность может использование протокола IPSec (Internet Protocol Security).
В последнее время виртуализация процессов, машин и т.д. становится одной из основных тенденций. У этой технологии имеется большое число преимуществ (например, повышение эффективности использования имеющихся ресурсов). Но виртуализация ставит и новые проблемы, например, трудности реализации выбранной политики безопасности.

Слайд 40VLAN и VPN
Примерно 90% всех мобильных приборов (лэптопы, MP3, USB-флэшки) не

имеют необходимой защиты. Кроме того каждый год более одного миллиона компьютеров теряется или крадется, при этом менее 2% удается вернуть. Кража корпоративного laptop в среднем обходится в более чем 80000$. За два с половиной года было компрометировано 160 000 000 рекордов конфиденциальной информации.





Расцвет сетевого воровства происходит, в том числе и потому, что грабить человека, лица которого не видишь, психологически много проще.



При разработке новых устройств и программ надо уже на стадии проектирования встраивать в них средства безопасности. Должны быть разработаны специальные курсы обучения тому, как писать безопасные программы, например, CGI.
Администратор может поменять стандартные значения номеров портов для обычных видов сервиса (SSH, FTP, WWW и т.д.). Это не делает эти сервисы безопасными, но заметно осложняет работу хакера. Он может просканировать порты и найти нужное значение, но это, вероятно, привлечет внимание администратора.
Аналогично можно поменять имена некоторых системных утилит, например, cmd.exe, telnet.exe, tftp.exe и т.д..







Слайд 41VLAN и VPN
Одним из средств противодействия атакам является введение производителями микропроцессоров

флага NX (не исполнять), который позволяет разделить память на области, где вариация содержимого возможна, а где - нет. Такая технология препятствует модификации хакерами демонов и фрагментов ОС и позволяет заблокировать любые атаки, сопряженные с переполнением буферов. Данная технология внедрена компанией AMD в своем 64-битовом процессоре, а Intel в процессоре Itanium (2001 год). Для широкого внедрения этой техники нужно переписать и перекомпилировать существующие ОС. В настоящее время эта техника внедрена в Microsoft Windows Server 2003 (Service Pack 1), Microsoft Windows XP (Service Pack 2), SUSE Linux 9.2 и Red Hat Enterprise Linux 3 с обновлением 3. Некоторые разработчики ОС внедрили эмуляции NX для процессоров, где этот флаг аппаратно не поддерживается. Развитие технологий NX может по оценкам экспертов (Network Security, V2005, Issue 2, февраль 2005, стр. 12-14) к 2009 году закрыть угрозу атак, сопряженных с переполнением буферов. Эта же методика может блокировать и распространения Интернет-червей.

Одной из наиболее частых мишеней атак являются базы данных, которые являются основой большинства информационных систем. Разработана схема, при которой исходная копия базы хранится на базовой ЭВМ, не связанной с Интернет. Копии этой базы передаются на компьютеры, которые обслуживают внешние сетевые запросы. При этом данные снабжаются цифровой подписью базовой ЭВМ. Вместе с откликом на запрос пользователь получает не только запрошенные данные, но и подтверждение того, что они получены из исходной базы. Как отклик, так и подтверждение снабжаются цифровой подписью, что позволяет клиенту проверить неискаженность полученных данных.

Слайд 42VLAN и VPN
Пользователь сети должен ответить себе на следующие вопросы:
Почему могут

атаковать его сервер или рабочую станцию?
Какие угрозы и при каких условиях могут ему угрожать?
На сколько надежно и от каких угроз защищена сеть?

Ответив на эти вопросы, он сможет определить, какие средства защиты следует использовать. Некоторые пользователи, зная, что работают за Firewall, или, что почтовый сервер снабжен антивирусной защитой, считают, что им ничего не грозит. При этом никогда не следует исходить из предположения, что если у вас нет никакой привлекательной для воров информации, то ваша машина в безопасности. Она может быть нужна хакерам для атак других ЭВМ, для рассылки SPAM и т.д. Ваша ЭВМ может быть привлекательна для хакера просто потому, что плохо защищена. Конечно, сетевая безопасность является областью ответственности администраторов, но пользователи должны понимать, от чего они защищены, а от чего - нет.

Стирайте или еще лучше физически уничтожайте неиспользуемые диски, CD и другие носители.

При работе с беспроводными сетями следует использовать VPN с шифрованием. Беспроводное оборудование должно отключаться сразу после завершения использования.

Администраторы должны выдавать новый пароль в случае утраты, только позвонив предварительно клиенту по телефону.

Слайд 43VLAN и VPN
В случае работы с беспроводными сетями при выявлении подозрительного

объекта желательно его локализовать. Это может быть сделано с помощью узконаправленной антенны c аттенюатором входного сигнала. Помочь этому может программа GSP, поставляемая вместе с Kismet. Система аудита беспроводной сети должна непрерывно контролировать сотни устройств внутри и вблизи здания, где работает мониторируемая беспроводная сеть.

Существуют специальные средства выявления уязвимостей сети. Следует учитывать, что полный доклад о таких уязвимостях может иметь размер телефонной книги. В такой ситуации трудно решить, с чего начать, если число уязвимостей больше 10 000. Одним из возможных подходов является использование этих данных совместно с результатами работы IDS. Это сделано, например, в ESM (Enterprise Security Management) или в SIM (Security Information Management).

Выявление все новых уязвимостей вынуждает более внимательно относиться системам обновлений (patches). В случае обеспечения безопасности отдельной ЭВМ применима системы Microsoft SMS (System Management Server) и SUS (Software Update Service). Существуют и общедоступные средства, например, www.patchmanagement.org. Следует учитывать, что процесс копирования и обновления ОС или приложений является сам уязвимым и проводить его следует со всеми возможными предосторожностями.





Слайд 44Sandbox и Virtual Environment
При запуске на сервере недостаточно отлаженной программы или

программы, взятой из ненадежного источника, следует принимать дополнительные меры безопасности. К таким мерам можно отнести программную среду sandbox, которая контролирует использование системных ресурсов (памяти, доступа к сети и пр.) и может минимизировать возможные негативные последствия. К таким средствам можно отнести некоторые интерпретаторы языков скриптов, jail, VE, виртуальные машины и др.

В последнее время разработана новая технология, которая обеспечивает приемлемый уровень безопасности. Это VE (Virtual Environment) (см. Network Security, V2004, Issue 11, ноябрь 2004, стр. 18-19). Целью этой технологии является предотвращение возможного ущерба от вредоносной программы. Здесь каждая программа выполняется на отдельном виртуальном компьютере. Любые обмены между виртуальными машинами запрещаются. В таких условиях вирусы, например, не могут ничего повредить кроме самих себя. О существовании других программ он просто не может знать. Для обычного пользователя все остается неизменным. Реализация VE не эмулирует ЦПУ или другие ресурсы и функции. Вместо этого осуществляются операции с системными объектами и маршрутизацией вх/вых вызовов, исключая какое-либо замедление работы машины.

VE определяет схему взаимодействий и распределение прав доступа. VE инкапсулирует программу или группу программ, предоставляя весь спектр услуг (память, коммуникации и пр.). При этом дублируются все необходимые данные. VE не могут быть полностью изолированы друг от друга и, тем более, от ОС. Типичное взаимодействие между VE сопряжено с использование общих данных. Любые операции VE связанные с ресурсами ЭВМ находятся под жестким контролем.

Слайд 45Sandbox и Virtual Environment
Для файловой системы и Registry главным препятствием является

дублирование ресурсов. C одной стороны программа должны иметь возможность изменять существующие значения, например, ключей Registry или конфигурационных файлов ОС. С другой стороны, если программа является вирусом, любые изменения должны блокироваться. Если, например, программа запрашивает изменение ключа конфигурационного реестра (Registry), генерируется новая копия этого ключа и она становится частью соответствующего VE (метод Copy-On_Write). Если программа решает уничтожить ключ, она ликвидирует локальную копию. Для всех программ данного VE ключ перестает существовать. Но копия ключа ОС остается неизменной (метод Leave-On-Delete).

Для обеспечения полной безопасности VE технология должна размещаться ниже ядра, а не работать параллельно ему. Это делается путем размещения устройства VE в первом секторе, переместив ядро в сектор 1 или 2, что предоставляет VE-устройству полный контроль над ЭВМ. Существует несколько вариантов взаимодействия VE и ОС.

Еще одной модификацией подобных средств защиты является sandbox, где ограничивается доступ к памяти, файловой системе и другим ресурсам, что позволяет блокировать угрозы даже со стороны вредоносных программ "нулевого дня". Впрочем, хакеры стараются детектировать ситуацию, когда их код выполняется в среде sandbox, и делают все, чтобы избежать идентификации.

На верхнем уровне API разработана система docker, которая позволяет исполнять процессы в изоляции так, что они не могут повредить ОС или другим процессам.

Слайд 46Sandbox и Virtual Environment
Так как самой массовой ОС для серверов в

настоящее время являются различные разновидности LINUX, разработчикам новых версий этой ОС следует задуматься о встроенных средствах безопасности. Одним из таких подходов может стать минимизация ядра ОС. Только для ядра небольшого размера можно гарантировать его безопасность, тексты с миллионом строк привилегированного объектного кода неконтролируемы. В такое ядро должно быть включено минимальное число функций (управление памятью, критическими ресурсами и доступом). ОС не должна напрямую контактировать с внешними устройствами. Остальные функции должны иметь модульный характер и включаться в оболочку.

Работа Syslog допускает передачу данных посредством протокола UDP (существует версия syslog-ng, где транспортным протоколом может быть TCP). Если атакер имеет доступ к каналу между отправителем и получателем, он сможет отслеживать обмен и уничтожать или фальсифицировать данные, говорящие о его присутствии. Хакер может также посылать уведомления получателю (по известному порту), добиваясь переполнения диска и блокировки работы системы журналирования. Журнальные файлы помимо достоверности и полноты должны обладать также юридической корректностью, чтобы их данные можно было использовать при судебных спорах. Это предполагает использование электронных подписей, чего по умолчанию пока нет ни в одной из систем syslog. Но существуют версии, где делается попытка решить все эти проблемы: модульный syslog, SDSC Syslog, Syslog Ng и Kiwi.

Слайд 47Honeypot и HoneyNet
Если атакер обычно собирает данные о будущем объекте атаки,

то также следует действовать и потенциальным жертвам. Необходимо формировать динамически обновляемые базы данных сигнатур атак (уже существует) и атакеров. Возможным инструментом сбора таких данных может стать Honeypot (HoneyNet, Honeytoken, смотри project.honeynet.org). Эти программные средства позволяют выявить последовательность действий хакера. Это особенно важно для выявления сигнатур неизвестных атак. Если вам известен скомпрометированная ЭВМ, можно послать туда параметры доступа и адрес вашего honeypot, чтобы спровоцировать хакера. Honeypot интересен тем, что там нет полезных ресурсов, и обычные пользователи не будут пытаться туда войти.
HoneyNet - это объект, который выглядит из внешней сети как сеть из некоторого числа машин. В реальности все эти виртуальные машины могут размещаться в одном компьютере. Цели HoneyNet те же, что и в случае Honeypot. Возможная схема подключения Honeypot показана на рис. 4.

Рис. 4. Возможная схема подключения Honeypot в DMZ


Слайд 48Honeypot и HoneyNet
Honeypot размещается в демилитаризованной зоне. Настройка Firewall2 более

регламентирующая, что обеспечит требуемый уровень безопасности защищаемой локальной сети.

Другим подходом обеспечения безопасности может стать модель TPM (Trusted Platform Module), разработанная группой TCG (Trusted Computing Group). В эту группу входит более 50 компаний. Некоммерческие разработчики, например LINUX в эту группу не входят. ТРМ встраивается в базовую плату процессора и обеспечивает процедуры шифрования /дешифрования файлов и каталогов, а также исключает подмену или искажения защищаемых объектов.

Полезно использовать в фирме или организации шлюз-фильтр, препятствующий посещению сотрудниками со служебных машин определенных сайтов (порно, азартные игры, наркотики, пропаганда насилия, расизма, узлы, зараженные, какими-либо видами malware). Такая мера сэкономит сетевые ресурсы, рабочее время сотрудников и исключит заражения машин вредоносными кодами. Для решения этой же задачи важно контролировать поведение сотрудников в сети, регистрируя адреса посещаемых ими сайтов.

Следует иметь в виду, что безопасность - это процесс. Если вы установили на вашей машине в 2007 году наилучшие защитные программы и оптимальным образом сконфигурировали ваш компьютер, то вы не могли тем не менее рассчитывать на неуязвимость. Если же вы и с тех пор ничего не делали, то безопасность вашей машины под угрозой.


Слайд 49 Улучшению ситуации будет также способствовать политика безопасности, минимизирующая сетевые привилегии сотрудников.

Каждый сотрудник должен иметь доступ только к тем ресурсам и данным, которые ему необходимы для реализации его служебных обязанностей. Архитектура сети организации должна иметь несколько зон с разными режимами доступа и системой детектированием потенциально опасных действий. Персонал должен быть подготовлен для работы в случае атаки или вторжения. Порядок работы в таких ситуациях должен быть описан в соответствующем документе (описание политики безопасности фирмы или организации). Степень готовности сети и серверов к атакам полезно проверять с использованием специальных программ или даже с привлечением внешних экспертов.

Дальнейшим развитием технологии honeypot является техника sinkholing, предназначенная для анализа и управления системами, зараженными вредоносными кодами (см. "How can sinkholing improve advanced threat defense?, Nick Lewis.

Honeypot и HoneyNet


Слайд 50Сетевая информация, которую полезно собирать
Число различных сервисов, работающих на ЭВМ (например,

telnet, ssh, rlogin, http, https, ldap, vns, irc, rpc, smtp и т.д.) достаточно велико. Анализ этого списка и его вариаций со временем позволяет составить представление о возможной уязвимости системы. Определенную пользу может принести выявление ОС, установленных на ЭВМ сети (LINUX, Windows, FreeBSD и т.д.). Администратору проще иметь дело с одной ОС, но тотальная унификация имеет и недостатки. Один и тот же вирус или червь может парализовать единовременно всю сеть целиком. Понятно, что система сбора любых сетевых данных не должна поглощать заметной части ресурсов.

Полезно мониторировать, кто, когда и куда копировал те или иные файлы, содержащие критическую информацию. На самом деле желательно иметь всю информацию о состоянии сети:
количество запросов к базам данных (кто, куда посылал SQL-запросы);
кто и что записывал в USB-память;
попытки входа в VPN;
обращения и модификация файлов;
посланные e-mail сообщения (кто и куда посылает);
случаи записи образов экрана (print screens);
кто и что смотрит в WEB-пространстве;
случае ввода идентификаторов персональных карточек (badge swipes).
Конечно, если всю эту информацию "выплеснуть" на администратора, он в ней захлебнется. Нужны критерии необычности тех или иных данных. При этом должна учитываться должность сотрудника, его служебные обязанности и время выполнения той или иной операции.

Слайд 51 То что обычно в рабочее время, может выглядеть странно в выходные

дни или ночью. Должны обращать на себя внимание любые периодические операции, выполняемые в одно и то же время. А для фильтрации информации нужны специальные скрипты.

Рассмотрим признаки, которые могут свидетельствовать об успешном вторжении в ЭВМ (вариант ОС LINUX) (см. Network Security, V2004, Issue 8, "LINUX intrusion discovery: when security fails", Anton Chuvakin, август 2004, стр. 10-12):
Чрезмерная перегрузка ресурсов (ЦПУ, оперативной и дисковой памяти).
Частые сбои в работе ОС или приложений (самопроизвольная перезагрузка системы). Это может быть результатом, например, переполнения буферов или попытки поменять конфигурацию системы.
Появление необычных объектов (файлов, каталогов, акаунтов, процессов). К этому классу проявлений можно отнести запуск или остановку каких-то демонов, например, syslogd.
Необычная сетевая активность (новые соединения или резкое замедление сетевых операций).

Часто администратор лишь чувствует, что что-то происходит не так. Этого должно быть достаточно, чтобы начать исследования.
Ниже приводится перечень команд, которые позволяют выявить и конкретизовать названные выше аномалии.

Сетевая информация, которую полезно собирать


Слайд 52Сетевая информация, которую полезно собирать
Для выявления файлов, существенно модифицированных в последнее

время, что может свидетельствовать, например, о запуске программы типа sniffer, следует выполнить команду (наберитесь терпения, поиск будет происходить, начиная с корневого каталога):
find / -size +1000k -mtime +7 –print
Чтобы обнаружить наличие активных программ типа sniffer, можно выдать команду
ip link | grep PROMISC или /sbin/ifconfig
Вторая команда позволяет выяснить состояние сетевых интерфейсов компьютера. Для получения дополнительных данных (IP-адрес, маска, МАС-адрес и пр.) об интерфесе можно выдать, например, команду sudo ifconfig eth0. После реконфигурации, если это потребовалось, можно выдать команду sudo service network restart (Red Hat).
Наличие файлов Nobody может указывать, что атакер создал, использовал и затем удалил акаунт нового пользователя. Выявить такие объекты можно с помощью команды:
find / -nouser -print
Для обнаружения файлов SUID root в необычных местах (например, вне каталогов /sbin и /bin), что иногда указывает на попытку сформировать люк для последующего входа в систему, следует выполнить команду:
find / -uid 0 -perm -4000 -print
Для выявления файлов с необычными именами (например, ".", " ", "..." и т.д.), что указывает на работу начинающего хакера, следует исполнить команду:
find / -name "..." -print
Для поиска подозрительных акаунтов (новые аккоунты с системными привилегиями) можно выполнить команду:
grep :0: /etc/passwd

Слайд 53Сетевая информация, которую полезно собирать
Попытки хакера установить свое программное обеспечение часто

приводит к повреждению системных или прикладных программ. В системе RedHat имеется встроенная система RPM (RedHat Package Manager), которая позволяет выявить такие повреждения. Например, команда
rpm -qa | # rpm -Va | sort
поможет решить эту проблему. Для этой же цели можно использовать программу chkrootkit (www.chkrootkit.org).

Просмотрев список активных процессов с помощью команды ps -aux, следует обратить внимание на демоны, проход к которым начинается с символа точка, а также на любые необычные имена процессов. Чтобы узнать подробности, следует заглянуть непосредственно в каталог /proc. Например, выдав команду cat /proc/20999, где 20999 - pid процесса. Для выявления прослушивающих сервисов можно выдать команду netstat -nap.

Для детектирования rootkit можно использовать контрольный суммы файлов MD5, а также фиксируя излишние права доступа к определенным файлам. Полезен также поиск "невидимых" файлов в непривычных местах.

Для того чтобы надежно контролировать целостность системы, полезно регулярно проводить контрольное суммирование всех или хотя бы наиболее важных, например, конфигурационных файлов. Контрольные суммы лучше хранить на каком-то другом компьютере.

Слайд 54Сетевая информация, которую полезно собирать
Что касается противодействия Rootkit, можно рекомендовать следующее.

Если вы работаете с ОС LINUX желательно установить программу rkhunter, для других типов ОС целесообразно воспользоваться AVG AntiRootkit или ComboFix. Нужно в обязательном порядке контролировать потоки данных, исходящие из вашей машины, ведь в случае взлома она может стать средством для рассылки SPAM.

В случае мониторинга атак большой сети, например, с потоком 1-10Гбит/c задача становится крайне сложной, так как программа мониторинга, например SNORT, должна обрабатывать огромные входные потоки, да и про стремительно растущий перечень сигнатур атак забывать не следует. Поток атак в таких условиях, тем не менее остается нестационарным (см. рис. 5, выборка проводится из базы данных около 7 утра).

Рис. 5. Временная зависимость числа атак за 5 минут сети МСЦ РАН

В среднем интенсивность атак находится на уровне 1200 атак за 5 минут (240/мин), но пиковые значения достигают 6000 за 5 мин. (20 атак/сек).


Слайд 55Сетевая информация, которую полезно собирать
Хорошим индикатором состояния системы может стать даже

темп роста размера журнального файла, например, access_log. Но даже большие выбросы на диаграмме скорости роста не обязательно означают атаку. Это может быть результатом, например, работы программ Wget или Webcopier. Но анализировать такие выбросы полезно. Пример такой диаграммы показан на рис. 6 (см. saturn.itep.ru). Понятно, что большое число запросов (~80/мин) не может быть сформировано вручную (запросы поисковых серверов, а также наведенные запросы, например, рисунков из запрашиваемого объектов, были удалены из анализируемого материала). Это результат работы специального скрипта.













Диаграмма отражает картину за сутки, но время отклика на попытку атаки не должна превышать 30 минут. По этой причине нужно выявлять наиболее опасные события, в т.ч. попытки подбора пароля и блокировать их немедленно, возможно даже автоматически.

Рис. 6. Диаграмма изменения темпа роста размера журнального файла access_log со временем


Слайд 56Сетевая информация, которую полезно собирать
Можно выполнить команды типа ls /usr/bin или

ls /usr/sbin, чтобы проверить не изменены ли имена ваших приложений. Если дурные предчувствия оправдались и ваша машина предположительно заражена RootKit, нужно немедленно ее выключить, снять системный диск и смонтировать его на другой машине. После этого скопировать с диска наиболее важную информацию и только после этого заняться проблемой удаления вредоносной программы. При этом нужно быть готовым к тому, что потребуется переформатирование диска... Для целей диагностики крайне полезна программа Tripwire, которая отслеживает изменения в файлах и каталогах. В более сложных случаях можно сделать распечатку содержимого памяти компьютера, сравнить его с эталоном, если таковой имеется, и далее с помощью отладчика попытаться выяснить, что произошло с вашей машиной. Но это последнее средство отнюдь не для начинающих пользователей.
В настоящее время существует около десятка различных версий браузеров. Одни из них безопаснее, другие менее, причем в разное время лидерами по безопасности оказываются разные программы. По этой причине нужно либо отслеживать последние новости по этой проблеме, либо использовать программные средства тестирования безопасности браузеров. Для этой цели можно применить: BrowserSPY.dk, BrowserScope, PC Flank, BrowserCheck или какую-то иную программу. Многие такие программы выявляют не только слабости браузеров, но и некоторые уязвимости ОС и приложений.
Программы автоматического анализа журнальных файлов помогают выявить наиболее назойливых хакеров, занимающихся подбором паролей, или ищущих на WEB-сайте каких-то уязвимых программ (файл error_log). Некоторые хакеры ищут администраторов, которые разрешили использование на своих сайтах методов PUT, DELETE или OPTIONS (HTTP). Другие включают в запросы недопустимые параметры или большое число символов //////. Все это может быть выявлено программами разбора журнальных файлов.

Слайд 57CAPTCHA
Одним из популярных видов вторжения является прямой подбор параметров аутентификации (имени

и пароля), для этого используются специальные программы или скрипты. Вполне разумным способом противодействия является отображение на странице ввода пароля графического образа, содержащего последовательность символов, замаскированных какими-то другими изображениями (смотри рисунок ниже). Аутентифицирующемуся клиенту предлагается ввести эту последовательность символов в дополнение к паролю. Картинки при каждой попытке используются разные (из некоторого набора). Предположить, что хакер решится на перебор многих тысяч вариантов параметров доступа вручную, достаточно трудно. Хакеры упорны, но ленивы. Метод называется CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart).


Когда требуется более высокий уровень безопасности можно потребовать ввода дополнительных данных, например, девичью фамилию матери или что-то в этом роде. Скрипты пока преодолеть такой барьер не могут. Можно также ввести контроль частоты следования запросов, чтобы разделить работу скрипта и человека.
Если нужно решить сходную проблему для случая взаимодействия машина-машина, можно воспользоваться системой Proof-of-work (http://en.wikipedia.org/wiki/Proof-of-work_system), которая в свою очередь для решения задачи обеспечения безопасности использует протокол CPP (Client Puzzle Protocol - http://en.wikipedia.org/wiki/Client_Puzzle_ Protocol). Этот протокол предполагает, что клиент, подключаясь к серверу, должен правильно решить некоторую математическую головоломку. Результат посылается серверу и, в случае правильного решения, соединение устанавливается.

Слайд 58Antimalware (противовредоносное ПО)
Обычно в обзорах не уделяется внимания конкретным программным

средствам, но серьезность сетевых угроз вынуждает сделать исключение.
Начать рекомендуется с использования общедоступной программы компании Microsoft Process Explorer, которая позволяет выявить активные процессы и узнать назначение каждого из них. Используя эту программу регулярно и фиксируя результаты ее применения можно выявить изменения, которые происходят на вашем компьютере. Если выявлены процессы непонятного назначения, следует уделить им повышенное внимание, так как это может оказаться результатом загрузки malware.
Более мощным средством сходного назначения является HiJackThis. Принцип применения и назначения аналогичен Process Explorer. Программа служит для фиксации обычного состояния ОС для того, чтобы было можно детектировать любые ее изменения. Запуск таких программ следует выполнять первый раз, когда вы уверены в отсутствии malware. Существует несколько доступных программ, которые автоматически анализируют журнальные файлы HiJackThis. Это прежде всего HiJackThis.de Security и NetworkTechs.com. Для продвинутых пользователей существует форум HiJackThis.
Лаборатория Касперского предлагает сходное приложение GetSystemInfo. Это приложение содержит в себе встроенный анализатор, работающий в реальном масштабе времени. Следует быть осторожным, если программа рекомендует удалить какой-то процесс, а вы не знаете наверняка, что это не вызовет непоправимых последствий.
Существуют достаточно эффективные анализаторы уязвимостей. А если вы сможете перекрыть уязвимости, никакое malware к вам не попадет. К числу таких анализаторов можно отнести Microsoft Baseline Security Analyzer (MBSA). Эта программа выявляет некорректные параметры конфигурации, а также проверяет продукты компании Microsoft на отсутствие необходимых обновлений.

Слайд 59Antimalware

Еще одним сканером уязвимостей является Secunia’s scanners. В отличии от MBSA

Secunia может успешно сканировать сотни других программных продуктов (не Microsoft). Если требуется обновление приложения, эта программа предлагает URL-ссылку, где такое обновление можно получить.
Особую проблему составляют атаки нулевого дня и вирусы нулевого дня, т.е. атаки и вирусы, сигнатуры которых неизвестны.
Хотя антивирусные программы часто пропускают заражения malware, вряд ли разумно рекомендовать работу без антивирусной защиты. Выбор антивируса индивидуален. Для частных машин можно попытаться использовать общедоступные версии, например, для машин Windows Avast или Comodo.
Достаточно привлекательным средством для выявления и удаления malware является программа Microsoft Malicious Software Removal Tool (MSRT). Эффективность этой программы связана с тем, что разработчики Microsoft легко могут определить, является ли конкретный код фирменным. В этом продукте сканирование и удаление malware происходит автоматически. Обновление базы данных сигнатур осуществляется также автоматически.
Еще одним универсальным сканером malware является SUPERAntiSpyware.
Пожалуй наиболее эффективным antimalware сканером является Malwarebytes Anti-Malware (MBAM), разработанный при участии Jose Nazarrio из Arbor Networks. Смотри также Malware scanners: MBAM is best of breed.
Если рассматривать проблему rootkit, где регистрация и удаление malware проблематичны, наилучшее, что может быть рекомендовано, это GMER.

Слайд 60Antimalware
Одним из главных и безусловных требований является своевременное обновление всех системных

и прикладных программ. Время от времени выявляются уязвимости этих программ и разработчики вносят в них нужные коррективы. Не облегчайте жизнь хакерам и своевременно загружайте такие обновления.

Атаки типа APT (см. Definitive Guide to Winning the War Against the New Breed of Cyber Attacks Next-Generation, by Steve Piper, FireEye) и множество атак нулевого дня требуют разработки новых систем защиты от вредоносных кодов. Пример системы (NGTP - New Generation Threat Protection) предотвращения угроз нового поколения представлен на рис. 7 (MPS - Malware Protection System; SIEM - Security Information & Event Management; CMS - Central Management System). Атаки типа ATP осуществляются в несколько этапов и система MPS должна обеспечивать защиту всегда. Для неизвестных ранее атак MPS анализирует подозрительные двоичные приложения. Следует иметь в виду, что занесение RAT (Remote Adminictration Tool) возможно и через любое мобильное устройство.

Браузеры (в частности, Internet Explorer) и WEB-серверы довольно часто становятся объектами атак. Cвязано это с тем, что они являются широко распространенными и достаточно сложными программами, которые пользователи не обновляют своевременно. Другим объектом атак являются IIS (Internet Information Server) и Apache. Здесь успех атаки зависит, кроме того, от корректности конфигурации программы. Уязвимость WEB-сервера возрастает, когда он предоставляет площадки (hosting) для размещения десятков, а иногда и тысяч, WEB-серверов клиентов. Особую угрозу представляют взломанные машины, которые превращены в прокси серверы. Это позволяет хакеру замаскировать свою активность.

Слайд 61Antimalware
Рис. 7. Система предотвращения угроз нового поколения (NGTP)


Слайд 62Antimalware
Большинство пользователей не понимают требований протокола SSL, не знают, как проверить

корректность загружаемых программ, не могут даже понять, имеются ли в поведении их компьютера какие-либо отклонения от нормы, не используют Firewall в своих домашних сетях и т.д. машины таких пользователей чаще всего и являются объектами атак.
Так как некоторые сайты нельзя просмотреть, если запретить выполнение JavaScript, Java-аплетов, .NET-приложений, Flash или ActiveX, разрешение работы этих программ в рамках браузера на вашем компьютере открывает двери для вторжений в случае наличия ошибок в кодах WEB-приложений, которые принимают ввод пользователей и используют cookies. Любые WEB-приложения, которые предполагают ввод текста в диалоговом режиме (блоги, wiki, комментарии и пр.) потенциально могут стать средством ввода вредоносного кода и последующей пересылки его другим пользователям.
Многих угроз можно избежать, если создать шлюз WEB-сервера, который может:
фильтровать URL, препятствуя заходам на скомпрометированные WEB-узлы;
выявлять вирусы, мобильные вредоносные коды (MMC), нежелательные программы, троянских коней, червей, botnet и пр.;
выявлять истинный тип файла, а не полагаться на расширение имени;
обеспечивать работу SSL с высоким уровнем защиты;
блокировать доступ в случае, если вместо имени машины используется IP-адрес;
исполнять коды, только если они получены из проверенных URL;
автоматически и регулярно (несколько раз в день) обновлять базу данных вредоносных кодов, вирусов и т. д.;
блокировать работу, если число соединений слишком велико или, если загружаемый WEB-модуль оказался слишком велик;
не доверять IP-адресам (WEB-объектов), присылаемым пользователями.

Слайд 63Противодействие атакам типа ARP spoofing и пр.
Для ликвидации угроз атак типа

ARP spoofing можно воспользоваться ArpON (ARP handler inspection). Это переносимый демон, который делает ARP-протокол безопасным в отношении атак MITM (Man In The Middle), ARP Spoofing, ARP Cache Poisoning и ARP Poison Routing (APR). Эта программа блокирует и многие другие атаки (Sniffing, Hijacking, Injection, Filtering, DNS Spoofing, WEB Spoofing, Session Hijacking и SSL/TLS Hijacking.

Другие виды защиты от ARP spoofing базируются на некоторых видах сертификации или перекрестной проверке ARP-откликов. Не сертифицированные ARP-отклики блокируются. Эта технология может быть интегрирована на DHCP-сервере, так что оказываются сертифицированными как статические, так и динамические IP-адреса. Такая опция может быть реализована и на отдельных компьютерах или встроена, например, в Ethernet-переключатели или другое оборудование.

Простейшим способом сертификации является использование статических объектов, предназначенных только для чтения в ARP-кэше компьютера. Это предотвращает простые атаки но не годится для больших сетей, так как в этом варианте для каждой пары машин должны быть сконфигурированы in (n*n) ARP-кэшей.

Существование нескольких IP-адресов, ассоциированных с одним MAC-адресом, может указывать на атаку типа ARP spoofing, хотя существуют и вполне легальные применения такой конфигурации.
Возможен и пассивный подход, когда некоторое устройство прослушивает ARP-отклики, и посылает уведомления по e-mail при любых выявленных изменениях ARP-конфигурации.

Слайд 64Методы противодействия утечкам информации
Сначала следует обратить внимание на то, что является

источниками информационной уязвимости. Такими источниками могут быть: "благонамеренные сотрудники", "злонамеренные сотрудники" и целевые, внешние атаки. В последние годы сформировалась тенденция, когда ущерб от потери данных увеличивается на 30% в год.

Первый вид ("благонамеренные") охватывает следующие процессы:
Небрежностью или неосторожность персонала, когда конфиденциальные данные размещаются на общедоступных серверах или пересылаются через сеть без криптографической защиты. Часто руководство даже не знает, где и какие конфиденциальные данные хранятся в их сети. Это является причиной 38-67% потерь конфиденциальных данных.
Потери или кражи laptop. Это является причиной потери данных в 35% случаях. Понятно, что если данные на этих машинах криптографически защищены, масштаб утраты снижается на порядки.
Email, Web mail или переносимые системы памяти. По статистике считается, что одно из 400 сообщений содержит незашифрованные конфиденциальные данные. Сходную угрозу несет в себе копирование незашифрованных служебных данных на CD/DVD и т. п. с последующей неконтролируемой транспортировкой и хранением.
Потери данных третьей стороной. В процессе бизнес - отношений критические данные могут попасть к фирме соисполнителю, где не реализована приемлемая политика обеспечения безопасности.
Автоматические процессы информационного обмена. Политика безопасности должна охватывать все процессы пересылки данных и гарантировать необходимый уровень конфиденциальности.

Слайд 65Методы противодействия утечкам информации
Целевые атаки:
В современном мире с крайне развитыми коммуникациями

криминальный мир достаточно интенсивно разрабатывает технологии скрытного проникновения и похищения конфиденциальных данных. За месяц регистрируется более 245 миллионов попыток вторжений (2008 год).
Наиболее частыми причинами вторжения является использование параметров доступа по - умолчанию или заведомо неприемлемые пароли, а также некорректно сформированные ACL или атаки типа SQL injection. Первая фаза атаки реализуется одним из трех способов:
неадекватные параметры доступа (пользователи часто оставляют заводские параметры);
атака типа SQL-injection;
специальный вредоносный код, который может быть загружен при случайном или спровоцированном визите на вредоносный сайт.


Слайд 66Оборона, базирующаяся на репутации, как компонент снижения рисков в Web 2.0


Учет репутации сетевого узла становится неотъемлемой частью системы защиты Web 2.0. Хакеры часто используют скомпрометированные машины, которые такими стали из-за плохой конфигурации или малого внимания хозяина к проблемам безопасности. Владельцы машин, посещающие сомнительные сайты чаще всего становятся жертвами. Такие машины попадают в списки ASL или перечни узлов с плохой репутацией.

Перечни сетевых узлов с плохой репутацией широко используются при фильтрации URL. Компания Google, проведя тестирование 4,5 миллионов URL, обнаружила, что 450 000 из них (1/10) содержат какую-либо форму malware. 10 000 WEB-сайтов идентифицируются, как реализующие вредоносную активность. Многие поисковые системы формируют списки потенциально опасных сайтов. Если ваш сайт однажды оказался зараженным, он может надолго попасть в список потенциально опасных для посещения, что серьезно навредит его репутации.

Использование репутационных списков существенно повышает эффективность фильтрации SPAM. Эта технология позволяет отфильтровать SPAM на 90%. А именно SPAM часто используется в качестве транспорта для распространения вредоносных кодов. Сейчас Интернет завален поздравительными открытками, содержащими URL переадресующие пользователя на вредоносные сайты. Смотри рис. 8.
Использование репутации узла позволяет улучшить работу и традиционных Firewall, так как уменьшает риск доступа со стороны потенциально опасных узлов.
(Нужно помнить, что одним из средств взлома машины является SPAM. По этой причине antiSPAM не только экономит ваше время, но и защищает вашу машину от вторжений).


Слайд 67Оборона, базирующаяся на репутации, как компонент снижения рисков в Web 2.0


Репутационные списки могут использоваться и в процессе аутентификации, блокируя соединение, если IP-адрес или сеть имеет уровень репутации ниже заданного порога. В перспективе уровень репутации может использоваться даже при выборе маршрута, чтобы исключить атаки типа "человек посередине".

Рис. 8. Репутационные данные указывают на вредоносную активность

В США замечена зависимость числа SPAM-сообщений, получаемых человеком, от его годового дохода (чем больше доход, тем больше SPAM'а). Это, пожалуй, говорит об определенной нацеленности этих сообщений.
Так как одной из главным мишеней атак являются WEB-серверы, защита этих объектов образует отдельную отрасль (см. WEB-безопасность (32 статьи), а также конкретно Web Attack Survival Guide).


Слайд 68Фильтрация URL и анонимные прокси-серверы
Можно встретить разные оценки материалов, которые

выложены в Интернет. Одни считают Интернет сокровищницей информации, другие информационной свалкой. В каждой из этих оценок содержится доля истины. Все зависит от авторов и владельцев сайтов. Конечно в сети имеется море ценных данных, но найти там иной раз то, что нужно достаточно сложно. Поиску в сети нужно учиться. Беда в том что там находят место призывы к насилию, порнография, пропаганда нацизма, предложения азартных игр и много чего еще дурного. Доля таких негативных материалов ничтожно мала, но они все же имеются. Есть сайты, где предлагаются вредоносные программы malware на продажу. Известно, что сотрудники некоторых фирм и государственных учреждений тратят заметную долю служебного времени на "гуляние" по сети и просмотр сайтов, не имеющих никакого отношения к их служебным обязанностям. Социальные сети способствуют увеличению доли таких потерь. Проблема ограничения посещения сайтов определенного толка становится актуальной и широко обсуждается достаточно давно. Многие компании ставят специальные URL-фильтры, чтобы исключить расход служебного времени сотрудниками на покупки в Интернет или любые виды развлечений, пытаясь таким способом минимизировать потери рабочего времени. Статистика показывает, что 70% порно трафика приходится на время между 9-ю утра и 5-ю часами вечера и 60% покупок через Интернет производится в этот же период времени.

Некоторые компании создают специальные программы, целью которых является ограничение возможности посещения сайтов определенной категории. Такие программы нуждаются в базах данных, где хранятся URL сайтов, рассортированные по категориям. Определение категорий сайтов само по себе является не простой проблемой.

Слайд 69Фильтрация URL и анонимные прокси-серверы
Чтобы пояснить масштаб трудностей, приведу пример

такой базы данных, созданной компанией BCWF (Blue Coat WebFilter). В этой базе данных хранится 9 миллионов URL сайтов на 50 языках, рассортированных по 58 категориям (см. URL Filtering Databases Accuracy Test). Эти цифры показывают, что решить проблему категорирования сайтов вручную нельзя. Но и компьютерное деление URL на категории немногим проще. В какой-то мере эта задача похожа на определение релевантности сетевого ресурса поступившему запросу. Разработчики компании BCWF утверждают, что их программы ошибаются в определении категории URL с вероятностью не более 0,005%.

При создании таких баз данных важно решить ряд проблем: 1. Покрытие множества URL с учетом категорий (чем выше процент покрытия, тем лучше). 2. Корректность определения категории. 3. Актуальность (база данных не должна содержать URL уже ликвидированных сайтов).

Отдельную трудность составляет использование баз URL, подготовленных разными фирмами. Дело в том, что критерии категорирования трудно формализовать и сделать сопоставимыми.

Но фильтры URL, например, в шлюзах школьных серверов становятся практически неэффективными из-за массового применения анонимных прокси-серверов, сводящими на нет все усилия. Пользователь, войдя на такой сервер, может запросить там любую страницу из запретного списка URL и ничто не помешает ему получить запрошенный материал. Число таких прокси-серверов растет фантастическими темпами.

Слайд 70Фильтрация URL и анонимные прокси-серверы
Сейчас имеется более 100 000 зарегистрированных

прокси и примерно 300 000 прокси, базирующихся на домашних компьютерах, каждую неделю создается сотни новых. Программное обеспечение таких прокси общедоступно, процедура установки весьма проста. Следует разделять случаи фильтров URL, препятствующих случайному посещению определенных сайтов, и проблему URL-фильтрации, которую пользователь сам пытается обойти с помощью прокси. Пытаться выявлять URL таких прокси и заносить их в ограничительные списки занятие достаточно бессмысленное. Следует, судя по всему, детектировать ввод запретного URL пользователем, но это достаточно трудоемкая задача, ведь для этого надо будет фильтровать весь исходящий трафик. Хотя URL- фильтры позволяют сократить угрозы заражения вредоносными кодами, переоценивать их эффективность не следует.

Фильтровать запросы по URL все чаще пытаются правительственные структуры. Мотивы такой активности могут быть разными, но чаще всего они оказываются политическими. Активно фильтрация по URL осуществляется в Китае, Северной Корее, Иране и др. (см. материалы статьи 2012 год.). Но уже созданы и средства противодействия такой фильтрации, в частности система TOR (The Onion Router) и I2P. Это специальное программное обеспечение, использующее широкую сеть прокси. Данные передаются в зашифрованном виде, что препятствует распознаванию URL. Система TOR может использоваться и для передаче конфиденциальных бизнес-данных.

.

Слайд 71Фильтрация URL и анонимные прокси-серверы
Многие эксперты сходятся во мнении, что

наибольшую опасность представляют "свои" сотрудники (insiders). Они имеют легальный доступ ко многим ресурсам сети, могут прослушивать свой сегмент, при желании и некотором везении они могут получить доступ и к ресурсам, куда доступ для них запрещен. Причины, по которым они поступают во вред своей фирме или организации, рано или поздно могут возникнуть. Среди таких людей может оказаться даже администратор сети. По этой причине нужно всегда быть готовым к наихудшему. Аналогичные проблемы могут возникнуть после внешнего взлома одной из машин локальной сети. Хакер может воспользоваться фальсификацией ARP и перехватывать внутренние обмены, включая ввод паролей. Ниже перечислены меры, которые не гарантируют полной безопасности, но минимизируют такого рода угрозы (http://viewer.bitpipe.com).






Если же обстоятельства вынуждают вас взять ваш компьютер в поездку, всегда держите его при себе. Аналогичные предосторожности не лишни и в отношении smartphone'ов. В таких условиях настоятельно рекомендуется применение криптографической защиты всей существенной информации, хранимой в компьютере. Избегайте подключения внешних носителей или работы через беспроводные каналы. Ваша антивирусная система должна быть актуализирована. Нужно постоянно помнить, что за рубежом ваш компьютер может стать объектом атаки (впрочем, и дома тоже).





Слайд 72Фильтрация URL и анонимные прокси-серверы
Что следует делать, чтобы минимизировать угрозы?



Слайд 73Фильтрация URL и анонимные прокси-серверы
Существует и нехитрое правило -

думай о последствиях, прежде чем кликать мышью. Не следует забывать и о резервном копировании, тем более, что это имеет универсальную полезность, - позволяет не только восстановить систему в случае разрушительной атаки, но и при тривиальном выходе из строя жесткого диска.
Важным аспектом безопасности является обучения персонала безопасным методам работы в сети.

Здесь уместно отметить, что чрезмерное ужесточение требованиям по паролям может иметь обратный эффект - пользователи будут их записывать и оставлять на рабочем месте. Это же касается журнальных файлов. Если все события в сети заносятся в журнальные файлы, кто их будет читать? Поэтому нужны программы, автоматически анализирующие содержимое журнальных файлов, и выдающие сжатое резюме сетевому администратору.

Современные переключатели позволяют сконфигурировать систему так, что только для определенных МАС- адресов разрешается доступ к определенным номерам портов.

Одним из простых способов защиты информации является ее маскирование, когда критические данные подменяются видоизмененными данными (на вид вполне правдоподобными), при сохранении форматов. Такая схема может быть применена для внешних клиентов, не обладающих требуемым уровнем доступа. Это может быть и шифрация/дешифрация, но могут быть использованы и более примитивные методы, например, все фамилии заменяются на Иванов. Подобную подмену полезно делать при отладке программ обработки корпоративных данных, чтобы избежать утечки информации. Такая задача может быть легко решена во многих организациях своими силами.

Слайд 74Фильтрация URL и анонимные прокси-серверы
Проблема доступа людей и программ к

ресурсам сети и серверов сформалирована в качестве задачи AAA (Authentification, Authorization and Accounting). В рамках этого процесса выполняется распознавание клиента или процесса, проверка его идентичности, уровень доступа к ресурсам, услугам и данным (см. Authentication and Authorization Deep Dive. From basic access control to federated identity (digitalPersona). Задача усложняется множественностью объектов, которые нужно идентифицировать (сюда входят в том числе мобильные объекты). На рис. 9 показана общая схема аутентификации, авторизации и сертификации. В круг решаемых проблем входит выявление факта враждебного вторжения и меры по ликвидации последствий такого вторжения.

Из рисунка видно, что система обороны имеет несколько уровней. В сферу ААА входит и контроль правильного выбора паролей, и криптографическая защита и корректное распределение обязанностей и ответственности. Смотри также статьи данного раздела ./6/authent.htm (Аутентификация в Интернет) и ./6/n_s_p_k.htm (Протокол аутентификации Нидхэма-Шредера).

Слайд 75Фильтрация URL и анонимные прокси-серверы
Рис. 9. AAA в современных доменах

безопасности

Слайд 76Системы выявления уязвимостей
Мы чаще всего реагируем на ситуации, когда сеть,

сервер или рабочая станция уже скомпрометированы. Более правильной стратегией обороны является профилактика. К числу таких профилактических мер можно отнести как разнообразные средства проверки прочности паролей, так и автоматические системы обновления ОС и приложений. Но более эффективным средством можно считать программу сканирования уязвимостей машины, например, , сервера или даже сети в целом, например, Nessus. Смотри также Analyzing the Accuracy and Time Costs of Web Application Security Scanners. Сканнер уязвимостей NESSUS может размещаться в облаке.

При выборе компании для размещения своего сайта (хостинга) полезно пользоваться результатами исследований, выполняемых компаниями, специализирующимися в сфере безопасности, например, Netcraft Services. Most Reliable Hosting Company Sites in July 2010.

Для сканирования уязвимостей можно использовать специализированные отечественные программы, например, лаборатории Касперского, которые выявляют некорректности конфигурации ОС и приложений.

Слайд 77Удаление фальшивых программ безопасности
В последнее время получили большое распространение фальшивые

программы безопасности (антивирусные программы см. раздел 6.3.1, rogueware). Если ваша машина оказалась заражена такой программой или вы лишь подозреваете это, следует выполнить следующие действия:
Загрузить машину в safe mode.
Проверьте в панели управления Internet Options установки для прокси. Запретите использование прокси или ограничьтесь использованием прокси вашей собственной организации. Фальшивые программы безопасности используют установки прокси, чтобы блокировать обновления настоящей программы безопасности и ввести платную рекламу в ваш браузер.
Загрузите с помощью USB-драйва программу сканирования (Malwarebytes disinfection utility - http://www.malwarebytes.org/), которая может удалить rogue security software.
После завершения процедуры выполните перезагрузку машины и осуществляете тщательный мониторинг системы.
Смотри Social engineering attack: How to remove rogue security software, а также Successful rogue antivirus hinges on social engineering.
Так как относительные издержки протокола HTTPS благодаря прогрессу вычислительной техники падали, использование этого протокола настоятельно рекомендуется. Так Google еще в 2008 на своем сервисе Gmail ввело опцию "always use HTTPS". В начале 2010 этот сервис стал использоваться по умолчанию.
Одной из мер повышения безопасности может быть запрет использования WEB-mail или даже вообще любых внекорпоративных почтовых серверов, так как такие серверы не могут гарантировать безопасности и могут стать причиной утечки информации.

Слайд 78Угрозы социальных сетей
Заметную угрозу безопасности составляют социальные сети (Facebook, Twitter)

и блоги, так как они предоставляют возможность клиенту из Интернет вносить свой контент, который может содержать вредоносные коды. Одним из средств противодействия могут стать специализированные прокси (модификации Firewall), способные отфильтровывать такой контент (см. Threat Containment for Facebook (Blue Coat)). См. рис. 10 и 10а ниже.

Рис. 10. Схема безопасной работы с Facebook

Рис. 10а. Схема безопасной работы с Facebook


Слайд 79Угрозы социальных сетей
Так как составной частью многих атак является социальная

инженерия, полезно знать, как уменьшить вероятность стать жертвой таких ловушек.

Если что-то выглядит слишком хорошо, чтобы быть правдой, так оно и есть.
Спросите себя, почему вас выбрали из миллионов пользователей Интернет. Если вы не находите ответа, вероятно это scam.
Будьте терпеливы. Слишком многие пользователи Интернет стали жертвами, так как не задумывались о возможных последствиях, прежде чем что-то предпринять (кликали на URL, обещавшими любопытную информацию или картинки).
Не верьте всему, что вы читаете. Хотя бы потому, что e-mail или WEB-сайт выполненный в привлекательном стиле, не обязательно предоставляет исключительно правдивую информацию.
Если вы не уверены в идентификации и полномочиях запрашивающего у вас информацию, никогда не выдавайте данные о себе или вашей компании/организации.
Не доверяйте персональную или финансовую информацию электронной почте. Попытка предложить вам ввести такую информацию в электронную форму, должна вызвать подозрение.

Слайд 80Угрозы социальных сетей
Проверяйте присланные вам электронные адреса и Интернет-ссылки, прежде

чем ими воспользоваться. Они могут быть фальсифицированными, а их принадлежность ложной.
Перепроверяйте URL WEB-сайтов, прежде чем их посетить. Особенно если такой URL похож, но не идентичен известному вам сайту.
Не посылайте важную информацию через Интернет, если она не зашифрована. Не доверяйте безопасности WEB-сайтов.
Не доверяйте неожиданным телефонным звонкам или Интернет-запросам.



Слайд 81Распознавание авторов злонамеренных почтовых сообщений
Электронная почта является одним из самых

широко используемых средств злоумышленников (от рассылки SPAM до заражения машин вредоносными кодами). Понятно, что злоумышленники предпринимают различные меры, чтобы скрыть свой истинный адрес. Сообщение может быть послано через прокси-сервер, из кафе или из взломанной чужой машины.

В США разрабатываются средства распознавания авторства таких анонимных сообщений. Эти средства базируются на анализе словарного запаса, характерных ошибках, стиля написания сообщений, длинах предложений и т.д.

Испытание метода было проведено для базы данных, содержащей 200 000 образцов писем от 158 отправителей и для 10 разных предметов (тем). Испытание показало, что вероятность распознавания составляет 80-90%. Разработчики считают, что эта методика будет использована в судах США при установлении авторства сообщений.

От себя замечу, что обмануть эту систему будет не трудно. Рассылщики SPAM это уже делают. Что хуже, без труда можно будет подставить нужного человека, разослав письма в его стиле и с характерными его ошибками.

Слайд 82"Отпечатки пальцев" для оборудования
Для выявления источника атаки крайне актуально установить и

доказать, что атака предпринята именно с этой машины. В США предпринята попытка (Raheem Beyah) разработки методики выявления индивидуальных особенностей сетевого оборудования и машин (индивидуальные "отпечатки пальцев" оборудования). Сначала производится выявление характерных особенностей оборудования. Это может быть сделано с привлечением активных и пассивных методов. В первом варианте устройству посылаются различные пакеты, в то числе некорректно сформированные, и наблюдается реакция оборудования. Во втором, просто регистрируются особенности передаваемых данных, в частности IAT (Inter-Arrival Time - время между последовательно посылаемыми пакетами).

Идея любопытная, но представляется сомнительной с точки зрения эффективности. Ведь нужно быть уверенным, какое устройство посылает пакеты (а, например, IP-адрес может быть фальсифицирован). Да и характеристики оборудования могут меняться со временем. Но с другой стороны, такая техника может характеризовать не только оборудование, но и программы на нем установленные. Я не говорю о том, что нужно хранить где-то эти "отпечатки пальцев", а в Интернет около 1,5 млрд. машин. Понятно, что не все машины должны быть охарактеризованы, а только те которые попали под подозрение (как и в обычной полиции). Но все же представляется намного более простым способ введения индивидуальных кодов для всех сетевых устройств, которые оно посылает время от времени вместе с обычными данными и которое зашивается туда при изготовлении. Возможен вариант с выявлением индивидуального кода по запросу. Модификацию такого кода пользователем надо сделать невозможным.

Слайд 83«CD спасения»
CD-спасения (Rescue CD) представляют собой загрузочный диск, который можно использовать,

когда основная ОС не загружена и malware не смогла загрузить свои защитные средства, препятствующие детектированию вредоносных кодов. В качестве CD-спасения может использоваться и USB-устройство. Данное устройство загружает свою ОС и нужные программы, после чего производит сканирование дисков и поиск вредоносных кодов.

Угрозы со стороны мобильного оборудования
Использование мобильных устройств связи ставит под удар информационные ресурсы предприятия. Потеря или кража смартфонов или таблеток, которые лишены защиты с помощью паролей, а также передача почты или других данных по беспроводным каналам без криптозащиты с неизбежностью приводит к потере конфиденциальных данных. Если служебные мобильные средства могут хотя бы теоретически быть под контролем, персональные мобильные устройства выпадают из поля служб безопасности.

Персональные мобильные средства обычно лишены антивирусных и других средств защиты. Массовое использование таких устройств стимулирует хакеров к разработке новых средств вторжения (прогнозируется, что в США будет продано 66 млн. мобильных устройств против 55 млн. персональных компьютеров). Пользователи подключают свои мобильные средства к служебной сети, вне зависимости от того, разрешено ли это, и готова ли сеть к безопасной работе с таким оборудованием. 30% пользователей мобильных средств убеждены, что вероятность вредоносного вторжения в них много меньше, чем для компьютеров.

Слайд 84Угрозы со стороны мобильного оборудования
Вы можете иметь эшелонированную систему сетевой безопасности,

но обычный смартфон может свести все усилия на нет. См. рис. 11.

Рис. 11. Смартфон, как потенциальная угроза


Слайд 85Угрозы со стороны мобильного оборудования
Заражение мобильных устройств может произойти через MMS

или SMS, а также через bluetooth или Wi-Fi. Мобильные средства вскоре станут также платежным средством, что сделает их еще более привлекательной мишенью для атак. Рост числа уязвимостей в мобильных ОС (2006-11) показан на рис. 86 раздела 2011. Число выявленных вторжений в мобильные системы (2006-2011 гг) показано там же на рис. 87. Появились сообщения о создании botnet из смартфонов. Для обеспечения безопасности таких устройств наиважнейшим является выработка адекватной политики управления мобильными средствами с учетом многообразия и различных особенностей этих приборов. Политика оформляется в виде документа, с которым нужно ознакомить всех пользователей. Одним из основных компонентов такой политики служит система обучения пользователей тому, как себя вести в той или иной ситуации. Пользователи должны быть поделены на группы, в зависимости от их функций и доступа к критической информации. Требования к использованию мобильных средств такими группами будут различными. В рамках такой программы могут быть выработаны унифицированные конфигурационные профайлы для различных мобильных устройств, а также MDM (Mobile Device Management).

Политика безопасности для мобильных устройств может включать в себя требования к паролям, типам и версиям установленных приложений, а также уровни криптозащиты для различных видов данных. Политика определяет распределение обязанностей и ответственности сотрудников, включая распределение функций (установка программ, обслуживание различных устройств и сервисов). Политика может ограничить перечень допустимых приложений.

Слайд 86Угрозы со стороны мобильного оборудования
Существуют атаки, которые после осуществления вторжения не

оставляют на компьютере-жертве никаких новых файлов. Вредоносные коды этого типа встраиваются в системные или прикладные процессы, размещаясь в оперативной памяти. Их загрузка может выполняться специальным кодом через сеть. Для выявления таких кодов можно использовать программу Volatility. Смотри "How to detect malware that leaves no file on disk", Nick Lewis, TechTarget 2015.

Безопасность баз данных
Базы данных остаются одной из ниболее привлекательных мишеней для атак ("Top Ten Database Security Threats". The Most Significant Risks of 2015 and How to Mitigate Them, Imperva). Согласно IDC менее 5% из 27 миллиардов долларов было потрачено непосредственно на безопасность информационных центров. По данным OTA (Online Trust Alliance) до 97% атак могут быть предотвращены.


Первые 9 угроз, приведенных в таблице ниже, могут быть парированы с использованием автоматизированной системы DAP (Database Auditing and Protection).


Анализ инцидентов с БД показывает, что примерно в 30% случаев виноват "человеческий фактор" - некомпетентность или небрежность персонала.

Слайд 87Безопасность баз данных
Ниже в таблице представлены 10 наиболее важных угроз в

2015 году по сравнению с 2013 годом. Изменения за истекшие годы незначительны.




Слайд 88Безопасность баз данных
a. Избыточные и неиспользуемые привилегии
Например, банковский служащий, чья функция

сопряжена с обновлением контактных данных, при избыточных правах может получить возможность модифицировать денежный баланс клиента. Часто при переходе из одного подразделения служащего в другое или даже при увольнении ему сохраняют аккоунт с прежними правами. Такое происходит, когда механизм управления правами доступа не отрегулирован должным образом.
б. Злоупотребление привилегиями
Пользователи могут использовать имеющиеся права доступа не по назначению, например, копировать истории болезни пациентов.
в. SQL-injection (вредоносный ввод)
Этот вид атак несколько различается для SQL и NoSQL-баз данных. Но в обоих вариантах в поле формы вводятся данные, которые могут нанести вред системе.
г. Слабый аудит
Любая информационная система должна содержать автоматизированную функцию записи всех транзакций. Но пользователи иногда отклчают такие подситемы, подвергая хранящуюся информацию риску неконтролируемой утечки. Кроме того, хакеры или инсайдеры могут сознательно отключить любые функции автоматического аудита, чтобы скрыть свою активность.
д. Доступ к системе памяти
Здесь речь идет прежде всего о системе резервного копирования и резервных копиях. Эта система должна прикрываться системой безопасности особенно тщательно.
е. Использование уязвимостей и некорректной конфигурации
К этому разделу относится сохранение аккоунта по-умолчанию или невнесение обновлений для известных уязвимостей самой базы данных, приложений или ОС.
.


Слайд 89Уголовные статьи о правонарушениях в Интернет
ж. Отсутствие управления критическими данными
Временами администраторы

забывают о каких-то "старых" базах данных или базах данных, созданных для целей отладки или испытания программ, а там могут содержаться критические данные для данного предприятия.

Уголовные статьи о правонарушениях в Интернет
В настоящее время наблюдается заметный рост числа детектируемых организациями инцидентов с информационной безопасностью. При этом случаются внутренние и внешние инциденты. (см."Инциденты информационной безопасности. Рекомендации по реагированию. Межрегиональная общественная организация "Союз ИТ-директоров"; Межрегиональная организация "Ассоциация руководителей служб информационной безопасности (АРСИБ)". Разработано при участии Group-IB и LETA). Материалы, представленные ниже, в основном взяты из этого документа.
Внутренним инцидентом считается случай, когда нарушителем является человек, связанный с пострадавшей стороной непосредственным образом (например, трудовым договором - insider). К числу внутренних инцидентов можно отнести:
Утечка конфиденциальной информации
Неправомерный доступ к данным
Уничтожение информации
Компрометация данных
Саботаж
Мошенничество посредством ИТ
Аномальная сетевая активность или поведение бизнес-приложений
Использование активов компании в личных целях или мошеннических операциях

Слайд 90Уголовные статьи о правонарушениях в Интернет
Внешним инцидентом считается такой, когда нарушитель

не связан официально с пострадавшей стороной. Среди системных событий такого типа можно выделить следующие:
Мошенничество с дистанционными платежными системами
Атаки типа DoS или DDoS (о противодействии атакам DoS смотри DoS-атаки. Фильтрация на входе сети: Отражение атак DoS, которые используют подмену IP-адреса отправителя (RFC-2827))
Перехват или подмена трафика
Неправомерное использование корпоративного бренда в Интернет
Фишинг
Размещение конфиденциальной/провокационной информации в сети Интернет
Взлом, попытка взлома, сканирование портов компании
Вирусные атаки
Неправомерный доступ к конфиденциальной информации
Угрозы и шантаж через Интернет.

В российском законодательстве имеется 3 статьи о компьютерных преступлениях:
N 272 УК РФ "Неправомерный доступ к компьютерной информации" (300000 руб или до 5 лет лишения свободы).
273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ" (лишение свободы до 7 лет)
274 УК РФ "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" (лишение свободы до 4 лет; практически не работает)

Слайд 91Уголовные статьи о правонарушениях в Интернет
Уголовные преступления, сопряженные с банковскими операциями

в Интернет, квалифицируются по статье 159 УК РФ (Мошенничество).

В данных законах нет запретов на продажу программ взлома и на торговлю сетями botnet, неясно также, по какой статье в РФ проходит SPAM.

Сложным случаем являются вариант, когда ваш компьютер стал причиной заражения другого компьютера и этим нанес ущерб. Аналогичная проблема возникает, когда ваш компьютер после взлома становится источником рассылки фишига или каких то зараженных e-mail.

Если несмотря на применение антивирусного приложения, вирус попал в компьютер, иск о возмещении ущерба к разработчику антивируса, как правило, оказывается бесперспективным.

Слайд 92Реагирование на инцидент, сопряженный с информационной безопаcностью (ИБ)
Реагирование на инцидент ИБ

включает в себя технические мероприятия, обеспечивающие целостность криминалистически значимых данных и возможность судебного исследования этих данных в будущем, а также организационные мероприятия, которые позволяют снизить ущерб от инцидента и составить необходимые для правоохранительных органов документы.

Сущностью технических мероприятий является немедленное обеспечение целостности данных, потенциально имеющих отношение к инциденту, путем отключения, упаковки и опечатывания, а затем и должного хранения соответствующих носителей информации.

Организационные мероприятия заключаются в уведомлении руководства организации, подразделений (служб) информационной безопасности организации и иных заинтересованных структур о факте инцидента. Документы, составленные при проведении организационных мероприятий, могут использоваться как основания для рассмотрения вопросов о возбуждении уголовных дел или для уточнения вопросов, выносимых на решение при назначении судебных экспертиз носителей информации организации.

После реагирования на инцидент ИБ начинается расследование инцидента и восстановление информационной системы организации. Восстановление информационной системы заключается в замене изъятых носителей информации на новые, установке требуемого ПО и конфигурации информационной системы с учетом повышенных требований ИБ.

Слайд 93Общий алгоритм действий при наступлении инцидента
Основная задача службы ИБ -

это предотвращение возможных рисков, связанных с утечкой или потерей информации для компании.
В случае возникновения инцидента ИБ необходимо:
Идентифицировать инцидент и убедиться, что он действительно имел место.
Локализовать область ИТ-инфраструктуры, задействованной в инциденте
Ограничить доступ к объектам, вовлеченным в инцидент
Оформить служебную записку на имя Директора организации о факте инцидента.
Привлечь компетентных специалистов для консультации.
Создать группу по расследованию инцидента и составить план работ по сбору доказательств и восстановления системы. Протоколировать все действия, которые осуществляются при реагировании на инцидент.
Обеспечить сохранность и должное оформление доказательств
Снять энергозависимую информацию с работающей системой
Собрать информацию о протекающем в реальном времени инциденте
Отключить от сети питания
В присутствии третей независимой стороны произвести вскрытие и опечатывание носителей информации с доказательной базой, а также снятие образцов и другой информации для последующего анализа и сохранения
Оформить протоколом все операции с носителями информации
Провести детальную опись объектов с информацией, извлекаемых данных, а также мест их сохранения
Задокументировать процесс на фото и видеокамеру.
Сохранить опечатанные объекты вместе с протоколом в надежном месте до передачи носителей на исследование или в правоохранительные органы

Слайд 94Общий алгоритм действий при наступлении инцидента
После сохранения и оформления вещественных доказательств

восстановить работоспособность информационной системы.
При проведении исследования источников информации обеспечить неизменность доказательств. Работать только с копиями.
При проведении расследования обеспечить корректное взаимодействие с заинтересованными подразделениями (Управление "К", Центр информационной безопасности ФСБ РФ) и внешними организациями (компании, предоставляющие услуги при расследовании инцидентов ИБ)
По завершении расследования оформить соответствующий отчет и составить рекомендации по снижению рисков возникновения подобных инцидентов в будущем.
При обращении в правоохранительные органы представить им подробное описание инцидента, описание собранных доказательств и результаты их анализа.

В случае атак против дистанционных банковских операций процедура имеет более сложный характер.

Слайд 95Современные системы резервного копирования
В последнее время для целей резервного копирования все

шире используется схема D2D2T (диск-диск-лента). 16 лет назад пропускная способность дисков составляла 4-5Мбит/c, для ленточных устройств она равнялась 256 кбит/c. Сегодня диски обеспечивают скорость записи-чтения на уровне 70 Мбит/c, а ленты только 160-480 Мбит/c. Т.о. быстродействие дисков выросло в 15-20 раз, а лент в 2000 раз (см. How to modernize your backup infrastructure).

Технология D2D2T позволяет улучшить рабочие параметры системы резервного копирования, поместив буфер между файловой системой на диске и ленточным устройством записи. Такой буфер создается на основе дискового ЗУ. Проблема может возникнуть, когда формируется несколько систем резервного копирования, использующих общий буфер (например, в случае работы через высокоскоростную сеть). В этом случае можно воспользоваться VTL (Virtual Tape Library), где диски представляется в виде ленточных библиотек. Еще одним решением проблемы буферизации является техника ITD (Intelligent Disk Target). В этом случае для представления диска в системе резервного копирования используются протоколы NFS или CIFS. Эти протоколы решают и проблему многоканальности резервного копирования. Системы резервного копирования включают в себя сервис дедупликации. Предусматривается два режима: полное резервное копирование; инкрементное дублирование, когда файл видоизменяется много раз. При этом предусматривается возможность дублирования данных, записанных за последние сутки или всех данных на диске.

Слайд 96Современные системы резервного копирования
Получила развитие и технология CDP (Continuous Data Protection).

Каждый раз, когда измененные данные копируются, они передаются в CDP-систему. В CDP имеется журнальный файл изменений и предусматривается возможность возврата к предыдущей (или какой-либо более ранней) версии. Подобные операции можно выполнить для баз данных и почтовых архивов. Система резервного копирования может размещаться удаленно. Но в этом случае данные по сети должны передаваться в криптозащищенном виде. Желательно иметь две копии наиболее важных данных, хранящихся в разных местах. Тогда даже в случае гибели одной из копий, данные могут быть восстановлены.

Исследование в университете Огайо 15 SSD пяти разных производителей на устойчивость при отключении питания, показало, что в 13 из них данные были повреждены.

Слайд 97Написание программ, минимизирующих угрозы
Наиболее частой мишенью атак являются WEB-серверы. По этой

причине особое внимание нужно обращать на написание программ для таких серверов, которые минимизируют угрозы.

Анализ выявленных атак показывает, что основную долю составляют попытки использовать уязвимости различных скриптов, обслуживающих сервер. Это может быть попытки обнаружения широко используемых скриптов с известными уязвимостями, по этой причине не следует использовать скрипты из Интернет без предварительного тщательного их исследования. Следует также иметь в виду, что скрипты, размещенные в каталоге /cgi-bin/, могут запускаться удаленно. И, если они требуют заметного времени для исполнения, они могут быть использованы для атак типа DoS. Если у вас некоторые скрипты запускаются посредством crontab, как это бывает при автоматической обработке журнальных файлов (access_log, error_log или secure), их следует располагать вне каталога /cgi-bin/.

Так как получил распространение перехват субдоменных имен (DNS subdomain hijacking) полезно время от времени использовать утилиту dig, чтобы просмотреть перечень субдоменных объектов: dig @a.iana-servers.net example.com axfr.

Информационная зависимость людей в последнее время становится все более значительной. Особую категорию составляют данные о состоянии здоровья или генетическом наборе человека (будут разрабатываться лекарства адаптированные к конкретному генетическому набору). По этой причине следует создавать специальные меры для сохранения таких данных. Такая сеть должна обеспечивать гарантию безопасности как на локальном, так и региональном уровне.

Слайд 98Написание программ, минимизирующих угрозы
Пример сети для хранения жизненно важных данных приведен

на рис. 12 (Life-critical Networks for 21st Century Health Care, by Al Gallant)).

Рис. 11. Схема сети для сохранения критических для жизни данных

ISP - Internet Service Provider.
Современные технологии предполагают обмен данными между разными клиниками.


Слайд 99Восстановление системы после аварии или сетевого вторжения
В условиях, когда каждая десятая

машина оказывается взломанной, необходимо думать о том, что делать, если взлом случился.

Мало-помалу формируется стандартизация восстановления систем после аварии, вне зависимости от того, что явилось ее причиной. Среди облачных услуг формируется отдельный сервис DRaaS (Disaster Recovery-as-a-Service). Такие системы способны восстанавливать конфигурацию сервера или машины, а также утраченные или поврежденные данные.

Пишутся программы, которые автоматизируют процесс восстановления системы. Компания Microsoft разработала свою систему управления кластерами машин MSCS (Microsoft Cluster Service), в которую входит подсистема восстановления кластера при аварии. Члены кластера могут входить в разные локальные сети, что удобно для VM-кластеров.
В реальной жизни мы чаще сталкиваемся с сетями, где перемешаны физические и виртуальные машины.

При постановке задачи восстановления после атаки возникает много проблем:
Как защитить физические машины? Восстановлению подлежат идентичные машины? Можно ли это все автоматизировать? Можно ли использовать VM, как отдельную машину?
Можно ли быть уверенным, что используемые резервные копии позволят восстановить систему без потери функциональности?
Позволит ли система восстановления привести сервер в состояние, соответствующее определенному моменту в прошлом?

Слайд 100Восстановление системы после аварии или сетевого вторжения

Как реализовать тестирование восстановленной системы?

Ведь это может потребовать многих часов или даже дней. Можно ли автоматизировать такое тестирование?
Если система многокомпонентна (включает в себя информационные серверы, серверы баз данных и т.д.), как гарантировать взаимосогласованность этих компонентов?

Одна из возможных схем построения системы восстановления показана ниже на рисунке 13.

Рис. 13. Схема системы восстановления системы после аварии или атаки (взято из статьи FalconStor Software, Inc.)


Слайд 101Восстановление системы после аварии или сетевого вторжения
Активные разработки в последнее время

ведутся в области систем идентификации, базирующихся на распознавания отпечатков пальцев, ладони, подписи, голоса или радужки глаз. Для этих целей используются новейшие достижения в области быстрых Фурье-преобразований, нейронных сетей и пр. В качестве вводных устройств используются оптические сканеры, а также резистивные экраны. Для ввода подписи служат специальные планшеты, а также изощренные методы сравнения и установления идентичности. К числу таких устройств следует отнести также генераторы разовых ключей доступа и карты доступа. В последнее время в этот ряд встали и мобильные телефоны, которые позволяют идентифицировать владельца (здесь имеются в виду многопараметрические системы аутентификации).

Так как современные системы шифрования предполагают использование довольно трудоемких вычислений, которые заметно замедляют процесс, разрабатываются специальные микросхемы. Такие системы могут использоваться, например, в VPN. При этом ключи могут быть встроенными или внешними. В некоторых особо важных случаях применяется криптографическая защита всего диска FDE (Full Disc Encription) на самой машине.
Проблема защиты информации подталкивает к криптографической защите данных практически на всех носителях. Но такая защита требует более надежных паролей. Надежным паролем сегодня считается строка, содержащая 10-12 символов (а еще лучше 20). Планируется также шифровать весь Интернет-трафик. Это особенно важно при работе с беспроводными каналами. Настоятельно рекомендуется шифровать все почтовые сообщения, все обмены реального времени, а также документы Word, Exel, PowerPoint и pdf-файлы. Вообще говоря, будет правильно, если вы будете шифровать все, включая мультимедиа.

Слайд 102Меры защиты от DDoS-атак
Рост числа DDoS-атак вынуждает всех пользователей Интернет задуматься

о средствах противодействия этим атакам. Это могут быть:
Установить пороги для потоков в firewall или в системе балансировки нагрузки
Определить пороги загрузки, которую может выдержать ваше оборудование, и блокировать поток, при превышении порога
Отработать процедуру быстрого контакта с вашим провайдером
Если возможно, выполнить блокировку сервиса geo-IP для пограничного оборудования
Сконфигурировать систему так, что в случае большого всплеска входного потока, она оперативно вас оповещала.
Ряд поставщиков, таких как Arbor Networks, Check Point Software Technologies, Fortinet, и другие, например, NeuStar предлагают оборудование и программы, которые могут помочь решить эту проблему. Эти средства распознают атаку по определенным сигнатурам, но являются сложными и достаточно дорогими. Однако эти устройства могут детектировать факт атаки и, если требуется полностью или частично ее блокировать.

Эти приборы нуждаются также в постоянном квалифицированном обслуживании.
Возможным способом ослабления DDoS атак может быть использование облака или CDN (Content Delivery Network).

Согласно докладу "The 2013 Trustwave Global Security Report" из 450 уязвимостей данных 63% связано с компонентами, разработанными сторонними организациями. Это, разумеется, не означает, что любой аутсорсинг плох, но этот факт полезно держать в голове, принимая то или иное решение.

Слайд 103Меры противодействия атакам
Иметь политику безопасности, известную всем сотрудникам предприятия.
Оперативно выяснять источники

враждебных действий и, если требуется, блокировать доступ
Разработать план реагирования на различные атаки (этот план не должен быть известен общественности). Засекреченной желательно иметь схему сети и распределение IP-адресов.
Усилить контроль безопасности приложений, сети и отдельных компьютеров
Постоянно мониторировать атаки и использовать программы, автоматически реагирующие на них
Регулярно привлекать экспертов при выявлении нештатных ситуаций
Иметь средства для восстановления как сети, так и отдельных компьютеров в случае успешного вторжения
Не всегда и не везде имеются люди, способные предотвратить ту или иную угрозу. Так даже спустя полгода после выявления и публикации данных об уязвимости Heartbleed 300000 WEB-сайтов остались необновленными и уязвимыми. Для таких организаций может оказаться полезным сервис SECaaS. Следует ожидать, что эта уязвимость будет стимулировать переход с алгоритма SHA-1 на SH-2.

Слайд 104Меры противодействия атакам
На рис. 14 показаны разные тактики детектирования атак

и вторжений.

Рис. 14. Тактики детектирования атак


Слайд 105Меры противодействия атакам
Logging - журналирование процессов в системе и анализ журнальных

файлов
Network device events - firewall, прокси, маршрутизаторы и коммутаторы могут генерировать сообщения (например, SNMP) в соответствии с требованиями системного журналирования. Безопасность системы зависит от корректной конфигурации таких устройств.
Network IDS/IPS (NIDS/NIPS) - Системы детектирования и предотвращения вторжений регистрируют атаки с известной сигнатурой или по необычному поведению
Host IDS/IPS - IDS/IPS самого компьютера
Antivirus - Традиционные антивирусные программы, работающие, как правило, по сигнатуурному принципу
File Integrity Monitoring (FIM) and Whitelisting - Системы мониторинга целосности файлов, базирующиеся на самом компьютере
Security Information and Event Management (SIEM) - Анализ с использованием информации, поступающей из разных устройств и приложений

В 2016г и первой половине 2017 крайне популярными стали ранообразные версии атаки ransomware (вымогатель). Для защиты от этих атак наиболее эффективными стредствами являются: оперативное обновление ОС и приложений, а также регулярное резервное копирование основых рабочих файлов.

Термины рис. 14 «Тактики детектирования атак и вторжений»


Слайд 106Ссылки
Ссылки

"Искусственные иммунные системы и их применение". Под редакцией Д.Дастгупты. М. Физматлит

2006 (сборник статей)
How to Secure a PDF FileE-Book: Technical Guide on Network Security Monitoring (26 стр)
Сетевая диагностика с применением протокола SNMP
Detect and Survive By Robert Schifreen, UK-based IT Security Consultant and Author of Defeating the Hacker
Maintaining trust: protecting your Web site users from malware
Безопасногсть WEB-приложений (IBM)
InfoWorld. Insider Threat. Deap Dive. Combating the enemy within.
Network Attack and Defense. Attributed by Roger Needham and Butler Lampson Хороший обзор по сетевым атакам и средствам противодействия (24 стр.).
Proactive Security through Firewall Log Analysis
Lauren Whitehouse. "Considerations for Optimizing Virtualization Backup", October, 2011. ESG White Paper.

Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика