Een nieuwe benadering van informatiebeveiliging - detectiesystemen voor computerbedreigingen. computer aanval
Invoering
Systemen voor het detecteren van netwerkinbraken en het detecteren van tekenen van computeraanvallen op informatiesystemen worden al lang gebruikt als een van de noodzakelijke verdedigingslinies voor informatiesystemen. Ontwikkelaars van informatiebeveiligingssystemen en adviseurs op dit gebied gebruiken actief dergelijke concepten (overgedragen vanuit de richting van het waarborgen van fysieke en industriële beveiliging) als "perimeter" -beveiliging, "stationaire" en "dynamische" bescherming, hun eigen termen begonnen bijvoorbeeld te verschijnen , "proactieve" beschermingsmiddelen.
Onderzoek op het gebied van het opsporen van aanvallen op computernetwerken en -systemen wordt al meer dan een kwart eeuw in het buitenland gedaan. Tekenen van aanvallen worden onderzocht, methoden en tools worden ontwikkeld en gebruikt om ongeautoriseerde penetratiepogingen te detecteren via beveiligingssystemen, zowel op het internet als op lokaal niveau - op logisch en zelfs fysiek niveau. In feite kan zelfs onderzoek op het gebied van PEMIN hier worden toegeschreven, aangezien elektromagnetische manipulatie zijn directe analogen heeft in de netwerkomgeving die al gebruikelijk is geworden voor een gewone computergebruiker. Commerciële inbraak- en aanvalsdetectiesystemen (SOA) van buitenlandse bedrijven (ISS RealSecure, NetPatrol, Snort, Cisco, etc.) zijn breed vertegenwoordigd op de Russische markt en tegelijkertijd zijn complexe oplossingen van Russische ontwikkelaars praktisch niet vertegenwoordigd. Dit komt door het feit dat veel binnenlandse onderzoekers en ontwikkelaars SOA implementeren, waarbij ze analogieën van architecturen en typische oplossingen van reeds bekende systemen behouden, en niet in het bijzonder proberen de efficiëntie van preventieve aanvalsdetectie en reactie daarop te vergroten. Concurrentievoordelen in dit segment van de Russische markt worden meestal bereikt door de prijzen aanzienlijk te verlagen en te vertrouwen op "steun voor binnenlandse producenten".
Figuur 2. Informatiepiramide
Het bovenste deel van de informatiepiramide zijn de risico's en bedreigingen die inherent zijn aan het systeem in kwestie. Hieronder staan verschillende opties voor de uitvoering van dreigingen (aanvallen), en het laagste niveau is tekenen van aanvallen. De eindgebruiker, evenals het aanvalsdetectiesysteem, heeft de mogelijkheid om alleen de ontwikkeling van een bepaalde aanval of het feit van een aanval te registreren dat is waargenomen volgens de waargenomen kenmerkende kenmerken. Tekenen van een aanval zijn iets dat we echt kunnen oplossen en verwerken met verschillende technische middelen, en daarom zijn middelen nodig om tekenen van aanvallen op te lossen.
Als dit proces in de tijd wordt beschouwd, kunnen we zeggen dat bepaalde reeksen van waarneembare tekens aanleiding geven tot beveiligingsgebeurtenissen. Beveiligingsgebeurtenissen kunnen beveiligde objecten van een informatiesysteem in een onveilige toestand brengen. Een inbraakdetectiesysteem vereist daarom een informatieschijf van voldoende volledigheid, met daarin alle beveiligingsgebeurtenissen die zich in de beschouwde periode in het informatiesysteem hebben voorgedaan. Daarnaast kun je bij een beveiligingsgebeurtenis hoger in de piramide aangeven tot wat voor soort dreigingen het kan leiden, om zo de ontwikkeling ervan in het aanvalsproces te voorspellen en maatregelen te nemen om de dreigingen die deze aanval met zich mee kan brengen, tegen te gaan.
De methodologie van gegevensverwerking in moderne informatiesystemen impliceert het wijdverbreide gebruik van multilevelness. Voor een nieuw type SOA zijn de volgende hoofdniveaus te onderscheiden waarop toegang tot de verwerkte informatie mogelijk is:
- Applicatiesoftwarelaag, waarmee de eindgebruiker van het informatiesysteem werkt. Applicatiesoftware heeft vaak kwetsbaarheden die door aanvallers kunnen worden misbruikt om toegang te krijgen tot verwerkte softwaregegevens.
- DBMS-niveau. Het DBMS-niveau is een speciaal geval van de tools op applicatieniveau, maar moet vanwege de specifieke kenmerken ervan aan een aparte klasse worden toegewezen. Het DBMS heeft in de regel zijn eigen systeem van beveiligingsbeleid en organisatie van gebruikerstoegang, dat niet kan worden genegeerd bij het organiseren van bescherming.
- besturingssysteem niveau. Het besturingssysteem van computers in het beschermde IP-adres is een belangrijk beschermingselement, aangezien elke toepassingssoftware de tools gebruikt die door het besturingssysteem worden geleverd. Het is nutteloos om de kwaliteit en betrouwbaarheid van applicatiesoftware te verbeteren als deze op een onbeschermd besturingssysteem draait.
- Het niveau van het transmissiemedium. Moderne IS's impliceren het gebruik van verschillende media voor gegevensoverdracht voor de onderlinge verbinding van hardwarecomponenten waaruit de IS bestaat. Datatransmissiemedia zijn tegenwoordig een van de meest onveilige IS-componenten. Controle van het transmissiemedium en de verzonden gegevens is een van de verplichte componenten van gegevensbeschermingsmechanismen.
Ter illustratie worden de niveaus van de verwerking van gegevensstromen in het informatiesysteem weergegeven in.
Figuur 3. Niveaus van informatieverwerking in het informatiesysteem
Op basis van het voorgaande kunnen we concluderen dat elk middel voor informatiebescherming, inclusief systemen voor het detecteren en voorkomen van aanvallen, de verwerkte en verzonden gegevens op elk van de geselecteerde niveaus moet kunnen analyseren. De vereiste voor de aanwezigheid van een inbraakdetectiesysteem op elk functioneel niveau van het informatiesysteem leidt tot de noodzaak om het subsysteem voor het registreren van beveiligingsgebeurtenissen te scheiden in een afzonderlijke set SOA-informatiesondes die informatie verzamelen binnen het gehele netwerk van het informatiesysteem. Tegelijkertijd vereist de heterogeniteit van software- en hardwareplatforms en taken die door verschillende IS-objecten worden opgelost, het gebruik van een modulaire architectuur van informatiesondes om maximale aanpassing aan specifieke toepassingsomstandigheden te garanderen.
Kennis van ingebruiken om aanvallen op een informatiesysteem te detecteren
Informatiebeveiligingsdreigingen zijn in de regel op de een of andere manier met elkaar verbonden. Een dreiging om een kwetsbare webserver van een netwerkknooppunt te kapen kan bijvoorbeeld leiden tot de dreiging van een volledige overname van de controle over dit knooppunt, daarom is het raadzaam om, om de situatie te voorspellen en te beoordelen, rekening te houden met de probabilistische relatie van bedreigingen.
Als we U beschouwen - de reeks bedreigingen voor de beveiliging van het informatiesysteem in kwestie, dan is u i О U de i-de bedreiging. Ervan uitgaande dat de reeks dreigingen eindig is, nemen we aan dat de realisatie van de i-de dreiging, met enige waarschijnlijkheid, kan leiden tot de mogelijkheid van de realisatie van andere dreigingen. In dit geval ontstaat het probleem van het berekenen van P(u|u i1 ,u i2 ,...,u ik) — de kans dat de dreiging u realiseert, op voorwaarde dat de dreigingen u i1 ,u i2 ,... ,u ik worden gerealiseerd (zie ).
Afbeelding 4. Weergave van de afhankelijkheidsgrafiek van IS-bedreigingen
De meest betrouwbare manier om een aanval te detecteren, is door zoveel mogelijk informatie over de gebeurtenis te hebben. Zoals blijkt uit de vorige paragrafen, detecteren moderne systemen aanvallen meestal op basis van de aanwezigheid van een bepaalde, vrij specifieke handtekening.
Door deze aanpak uit te breiden, kunnen we ons concentreren op het proces van het identificeren van verschillende stadia (fasen) van hun implementatie bij computeraanvallen. Het identificeren van de fasen van aanvallen, vooral vroege, is een belangrijk proces dat u uiteindelijk in staat stelt een aanval te detecteren tijdens het ontwikkelingsproces. Dit kan echter alleen worden gedaan door de lijst met dreigingen voor het informatiesysteem die in elk van de fasen van de aanval kunnen worden geïmplementeerd, goed te definiëren en dit gegeven goed weer te geven in de classificatie. In de breedste benadering zijn er drie belangrijke aanvalsfasen: netwerkverkenning, implementatie, consolidatie en het verbergen van sporen.
Het analyseren van de relatie tussen dreigingen en aanvalsfasen en het voorspellen van de meest waarschijnlijke dreigingen die door een aanvaller kunnen worden geïmplementeerd, is een belangrijke taak bij het waarborgen van informatiebeveiliging. Dit is nodig voor tijdige besluitvorming over het blokkeren van kwaadwillende invloeden.
Het volgende element van het concept van inbraakdetectie is classificatie. De problemen met de classificatie van computeraanvallen worden nog steeds actief bestudeerd. De belangrijkste taak van het ontwikkelen van een classificatie van computeraanvallen is het gemak van het gebruik van deze classificatie in de praktijk. De belangrijkste vereisten voor classificatie zijn als volgt: niet-overlappende klassen, volledigheid, toepasbaarheid, objectiviteit, uitbreidbaarheid, eindigheid. Interessante benaderingen voor de classificatie van netwerkaanvallen worden voorgesteld in. Bij de classificatie van veiligheidsbedreigingen moet rekening worden gehouden met de structuur en fasen van de aanval op computersystemen, kenmerken als de bronnen en doelen van de aanval, hun aanvullende kenmerken en typering op meerdere niveaus. Het inbraakdetectiemodel moet gebaseerd zijn op de ontwikkelde classificatie.
In de toekomst is het dus noodzakelijk om de volgende taken op te lossen - het bepalen van de meest waarschijnlijke implementatie van de dreiging op dit moment om een idee te hebben van welke gevolgen het informatiesysteem in de kortst mogelijke tijd kan verwachten, zoals evenals het maken van een prognose van de ontwikkeling van de situatie om de meest waarschijnlijke implementatie van dreigingen in de toekomst te bepalen.
De efficiëntie van inbraakdetectiesystemen verhogen - een integrale aanpak
Over het algemeen zijn moderne inbraak- en aanvalsdetectiesystemen nog verre van ergonomische en effectieve oplossingen op het gebied van beveiliging. Er moet een verhoging van de efficiëntie worden ingevoerd, niet alleen op het gebied van het detecteren van kwaadaardige effecten op de infrastructuur van beschermde informatiseringsobjecten, maar ook in termen van de dagelijkse "gevechts" -werking van deze tools, evenals het besparen van computer- en informatiebronnen van de eigenaar van dit beveiligingssysteem.
Als we het rechtstreeks hebben over gegevensverwerkingsmodules, dan is, volgens de logica van de vorige sectie, elke aanvalssignatuur in het gepresenteerde aaeen basiselement voor het herkennen van meer algemene acties - het herkennen van de aanvalsfase (de fase van de implementatie ervan) . Het concept van een handtekening wordt veralgemeend tot een of andere beslissende regel (bijvoorbeeld door te zoeken naar anomalieën in netwerkverkeer of het handschrift van een gebruiker op het toetsenbord). En elke aanval is integendeel verdeeld in een reeks fasen van implementatie. Hoe eenvoudiger de aanval, hoe gemakkelijker deze is te detecteren en hoe meer mogelijkheden er zijn voor analyse. Elke handtekening brengt een bepaalde gebeurtenis in het computernetwerk en de lokale omgeving in kaart in de faseruimte van computeraanvallen. De fasen kunnen vrij worden gedefinieerd, maar het is beter om voldoende details te bewaren om aanvallen te kunnen beschrijven met behulp van gedetailleerde aanvalsscenario's (een lijst met aanvalsfasen en overgangen daartussen).
Het aanvalsscenario is in dit geval een grafiek van overgangen, vergelijkbaar met de grafiek van een eindige deterministische automaat. En de aanvalsfasen kunnen bijvoorbeeld als volgt worden beschreven:
- poort testen;
- identificatie van software en hardware;
- verzameling spandoeken;
- gebruik van exploits;
- verstoring van netwerkfunctionaliteit door denial-of-service-aanvallen;
- beheer via achterdeurtjes;
- zoeken naar geïnstalleerde trojans;
- zoeken naar proxyservers;
- verwijdering van sporen van aanwezigheid;
- enzovoort. (eventueel met verschillende mate van detail).
De voordelen van deze aanpak liggen voor de hand: in het geval van afzonderlijke verwerking van de verschillende stadia van de aanval, wordt het mogelijk om de dreiging te herkennen, zelfs in het proces van voorbereiding en vorming, en niet in het stadium van de uitvoering, zoals is het geval is in bestaande systemen. Tegelijkertijd kan de basis voor herkenning zowel het zoeken naar handtekeningen als het detecteren van anomalie zijn, het gebruik van deskundige methoden en systemen, vertrouwensrelaties en andere informatie, die al bekend en geïmplementeerd is, netwerk- en lokale primitieven voor het beoordelen van de stroom van gebeurtenissen die plaatsvinden in de computeromgeving.
Een algemene benadering van analyse maakt het mogelijk om gedistribueerde (in alle opzichten) bedreigingen te bepalen, zowel in tijd als in logische en fysieke ruimte. Het algemene schema voor het verwerken van inkomende gebeurtenissen stelt u ook in staat om gedistribueerde aanvallen te zoeken - door daaropvolgende aggregatie van gegevens van verschillende bronnen en bouwmetagegevens over bekende incidenten op de beschermde "perimeter" (zie ).
Figuur 5. Schema van geïntegreerde detectie van computeraanvallen
Gedistribueerde aanvallen worden gedetecteerd door gegevens over inkomende aanvallen en verdachte activiteiten, patroonherkenning en statistische filtering te verzamelen. Melding van verdachte activiteiten in computersystemen vindt dus op verschillende niveaus plaats:
- het lagere niveau rapporteert primitieve gebeurtenissen (toevalligheid van handtekeningen, detectie van anomalieën);
- het middelste niveau haalt informatie uit het lagere niveau en aggregeert deze met behulp van eindige automaten (aanvalscenario's), statistische analyse en drempelfiltermechanismen;
- het hoogste niveau verzamelt informatie van de twee vorige en stelt u in staat om conventionele en gedistribueerde aanvallen te identificeren, hun echte bron en het verdere gedrag ervan te voorspellen op basis van intellectuele analyse.
De kern van het computerinbraakdetectiesysteem moet duidelijk gescheiden zijn van het visualisatie- en signaleringssysteem.
Voor het zoeken naar handtekeningen in netwerkpakketten worden regels gebruikt die een lijst met opties (paspoort) vormen, volgens welke inkomende netwerkpakketten worden gecontroleerd. Bestaande systemen (zoals Snort of PreludeIDS, die Snort-regels gebruiken) gebruiken inline-formulieren voor de beschrijvingen van dergelijke regels:
Waarschuwing tcp $HOME_NET 1024:65535 ->
$EXTERNAL_NET 1024:65535
(msg:"BLEEDING-EDGE TROJAN Trojan.Win32.Qhost C&C Verkeer uitgaand (case1)";
stroom:gevestigd;
maat:>1000;
inhoud:"|00 00 00 28 0a 00 00 02 0f|Service Pack 1|00|";
classtype:trojan-activiteit;
referentie: url,/www.viruslist.com/en/viruses/encyclopedia?virusid=142254;
sid: 2007578;
rev:1;
)
Dit type is handiger voor snelle machinale verwerking, maar minder geschikt voor mensen. Bovendien mist het de mogelijkheden om de functionaliteit uit te breiden die inherent is aan XML-achtige implementaties van handtekeningbases. Met een eenvoudige "bracket" (van de Engelse accolade-achtige) configuratie kunt u bijvoorbeeld een aantal controlevariabelen schrijven en de regels in een veel aangenamere en begrijpelijker visuele vorm beschrijven, terwijl u de mogelijkheid behoudt om de functionaliteit eenvoudig uit te breiden. De definitie van aanvalsfasen, beschermde objecten en gebeurtenissen die in het netwerk plaatsvinden, kan er dus als volgt uitzien:
type_defs(
waarschuwing = 1;
waarschuwing = 2;
mislukken = 4;
}
srcdst_defs (
HOME_NET = 195.208.245.212
localhost = 127.0.0.1
}
proto_defs(
tcp=1;
udp=2;
tcp-stroom = 10;
}
phase_defs(
port_scanning = 1;
exploitatie = 2;
icmp_sweeping=3;
ftp_bouncing = 4;
shell_using = 5;
dir_listing = 6;
file_opening = 7;
}
En de sectie Definitie van bedreigingen voor informatiebeveiliging kan de volgende hoofdposities hebben:
Treat_defs = (
traktatie(
naam = bestand-ongeautoriseerde-toegang;
id=FUAC;
msg = "bericht in het Engels";
}
}
Naast de bedreigingen, aanvalsfasen en beschermde objecten die in de flexibele vorm zijn gespecificeerd, stelt geïntegreerde informatieverwerking met betrekking tot de identificatie van inu ook in staat een servicegerichte benadering van aanvalsdetectie te introduceren, waarbij automatisch of handmatig beschrijvingen van netwerk- en lokale diensten, evenals het prioriteren van het belang , vanuit het oogpunt van het waarborgen van het juiste niveau, de informatiebeveiliging en de vitale activiteit van de informatie-infrastructuur van het netwerk.
Service_defs = (
dienst(
naam=pop3;
msg="";
regelsets = "achterdeuren, pop3scanners";
security_tolerance = 3
levensverzekering = 5
}
}
De regels zelf zien er als volgt uit:
regelset(
naam = achterdeuren;
regel(
id = 0x1000;
type = waarschuwing;
proto=tcp;
src=lokale host;
dst = 195.208.245.0/24:2000;
msg = "service::wat is er slecht in deze waarschuwing";
opties = AP, vice_versa;
bevat = "|0a0a0d03|";
fase = exploiteren;
behandelen = bestand-ongeautoriseerde-toegang;
revisie = 1;
}
}
Het houdt rekening met zowel de klassieke tekens van een gebeurtenis (gebeurtenistype, detectieprotocol, bron en object van invloed, een kort bericht), als aanvullende - de aanvalsfase, het type dreiging waartoe de gebeurtenis behoort. In dit geval kunnen de regels zelf worden gegroepeerd in sets die vervolgens geschikt zijn om ze te koppelen aan netwerk- en lokale services die in het beveiligde systeem zijn geïnstalleerd.
Als we terugkomen op de effectiviteit van het controleren van regels in systemen voor het detecteren van netwerkaanvallen, dan moet het volgende worden opgemerkt. Momenteel worden alle regels in SOA-systemen als volgt gecontroleerd (zie ). Heterogene regels worden afzonderlijk, regel voor regel, gecontroleerd, terwijl homogene bewerkingen op pakketten altijd afzonderlijk worden uitgevoerd. Deze benadering maakt een efficiënte parallellisatie van netwerkpakketverwerking, volledig gebruik van de mogelijkheden van verschillende pijplijnen op moderne processors en optimalisatie van het zoeken naar gedeeltelijk vergelijkbare handtekeningregels niet mogelijk.
Er is echter een keerzijde aan deze benadering, wanneer bijvoorbeeld sjablonen aan elkaar worden gekoppeld (hier is een voorbeeld van zo'n sjabloon: zoek de eerste instantie, controleer dan na een paar bytes op een bepaalde binaire reeks ten opzichte daarvan ). Het is waar dat dergelijke regels een overweldigende minderheid vormen (zelfs te oordelen naar de algemeen aanvaarde regels van de populaire SOA Snort), waardoor ze in een aparte klasse van parallelliseerbare methoden kunnen worden geplaatst en alle eenvoudige methoden van sequentiële verificatie kunnen daarin worden gebruikt.
Naast het voordeel dat het zoeken naar handtekeningen parallel loopt, wordt het mogelijk om methoden toe te passen voor het gelijktijdig zoeken naar veel handtekeningen in een netwerkstroom in één keer (men kan bijvoorbeeld één grote statusmachine bouwen voor de meeste betrokken sjablonen in de regels, of gebruik de modernisering van meerdere handtekeningen van het Boyer-Moore-algoritme).
Experimentele tests van verschillende implementaties van methoden voor het gelijktijdig zoeken naar veel handtekeningen hebben aangetoond dat de snelste de implementatie is van een grote eindige automaat die zodanig is gewijzigd dat het homogene fouten "overslaat" - ook gaten en invoegingen van willekeurige lengte als vervangingsfouten (als gevolg van het wijzigen van de handtekening, wat vrij gebruikelijk is, om het voor SOA te verbergen).
De moeilijkste regels (sjablonen) om te controleren kunnen vooraf worden gecompileerd in binaire plug-ins (zoals bijvoorbeeld wordt gedaan in het RealSecure IDS-systeem).
Gevolgtrekking
De moderne benadering voor het bouwen van systemen voor het detecteren van netwerkintrusies en het identificeren van tekenen van computeraanvallen op informatiesystemen zit vol tekortkomingen en kwetsbaarheden, waardoor kwaadwillende invloeden helaas met succes informatiebeveiligingssystemen kunnen overwinnen. De overgang van het zoeken naar handtekeningen voor aanvallen naar het identificeren van de voorwaarden voor het ontstaan van inzou moeten helpen om deze situatie radicaal te veranderen door de afstand tussen de ontwikkeling van beveiligingssystemen en systemen om ze te overwinnen te verkleinen.
Daarnaast moet een dergelijke transitie bijdragen aan een vergroting van de effectiviteit van en tot slot meer specifieke voorbeelden van de toepassing van normatieve en sturende documenten die inmiddels standaard zijn geworden.
Elke aanvalsmethode wordt gekenmerkt door een bepaalde reeks functies. Typische tekenen van aanvallen zijn de volgende: :
1) Herhaling van bepaalde gebeurtenissen, acties. Bijvoorbeeld toegang tot poorten (scannen), wachtwoord raden, herhaalde verzoeken om een verbinding tot stand te brengen, wat leidt tot een wachtrij of bufferoverloop;
2) Onverwachte parameters in netwerkpakketten
· Onverwachte adreskenmerken (bijvoorbeeld niet-routeerbare of gereserveerde IP-adressen, waarde in het bron- of bestemmingspoortveld is nul, verzoeken om niet-standaard servers);
Onvoorziene parameters van netwerkpakketvlaggen (bijvoorbeeld wanneer de ACK-vlag is ingesteld, is het bevestigingsnummer nul; er zijn twee elkaar uitsluitende SYN + FIN-vlaggen in het pakket; de aanwezigheid van alleen de FIN-vlag; het gebruik van een combinatie van SYN + RST en RST + FIN vlaggen);
· onverwachte tijd- of datumkenmerken;
3) Ongepaste parameters voor netwerkverkeer
parameters van inkomend verkeer (bijvoorbeeld pakketten die van buitenaf het lokale netwerk binnenkomen, met een bronadres dat overeenkomt met het adresbereik van het interne netwerk);
Parameters voor uitgaand verkeer (bijvoorbeeld uitgaande pakketten van het lokale netwerk met een bronadres dat overeenkomt met het adresbereik van het externe netwerk);
Commando's die niet overeenkomen met de huidige situatie (onjuiste verzoeken of antwoorden);
• anomalieën in het netwerkverkeer (bijv. verandering in belastingsfactor, pakketgrootte, gemiddeld aantal gefragmenteerde pakketten);
4) Ongepaste prestatiekenmerken van het systeem
Abnormale systeemkenmerken (verhoogde CPU-belasting, intensieve toegang tot RAM- of schijfgeheugen, bestanden);
· Mismatch tussen gebruikersprestaties en gebruikersprofielen (afwijking van piek- en minimale laadtijden, van typische sessieduur, van normale in- en uitlogtijden).
De belangrijkste opties voor het uitvoeren van computeraanvallen
De implementatie van aanvallen kan worden uitgevoerd met directe of netwerkaanmelding. Daarom zijn er twee hoofdopties voor het implementeren van aanvallen:
1) systeem - waarin wordt aangenomen dat de overtreder al een account op het aangevallen systeem heeft met enkele (meestal lage) privileges, of de mogelijkheid bestaat om in te loggen als anonieme gebruiker. In dit geval wordt de aanval uitgevoerd door in te loggen op het systeem onder dit account en aanvullende administratieve bevoegdheden te verkrijgen. Als gevolg van de aanval wordt ongeautoriseerde toegang tot informatie op het object (host) uitgevoerd. Een dergelijke variant van aanvallen kan met name worden uitgevoerd met behulp van het GetAdmin-programma.
2) netwerk- wat inhoudt dat de indringer via het netwerk op afstand het systeem probeert binnen te dringen. Een dergelijke penetratie is mogelijk wanneer de computer van de dader zich in hetzelfde netwerksegment bevindt, in verschillende segmenten, met toegang op afstand tot het aangevallen object (bijvoorbeeld via inbel- of speciale modemverbindingen). Als gevolg van dergelijke aanvallen kan de indringer in staat zijn om op afstand een computer via een netwerk te besturen, toegang te krijgen tot de informatiebronnen van het aangevallen object en de werkingsmodus ervan te wijzigen, inclusief denial of service. NetBus- of BackOrifice-programma's kunnen worden gebruikt als programma's waarmee u een netwerkversie van aanvallen kunt implementeren.
Om aanvallen uit te voeren, kunnen bepaalde opdrachten (commandoreeksen) in de opdrachtregelinterface, scripts, programma's of stand-alone agents die op één of verspreid over meerdere knooppunten (computers) van het netwerk zijn geïnstalleerd, worden gebruikt.
Invoering
Aanval op een computersysteem is een actie van een aanvaller, die bestaat uit het vinden en exploiteren van een bepaalde kwetsbaarheid. Een aanval is dus een realisatie van een dreiging. Merk op dat een dergelijke interpretatie van de aanval (met deelname van een persoon met kwade bedoelingen) het toevalselement uitsluit dat aanwezig is in de dreigingsdefinitie, maar, zoals de ervaring leert, is het vaak onmogelijk om onderscheid te maken tussen opzettelijke en onopzettelijke acties, en een een goed afweersysteem zou op elk van hen adequaat moeten reageren.
Bedreiging openbaring is dat informatie bekend wordt bij iemand die het niet zou moeten weten. In termen van computerbeveiliging doet zich een onthullingsdreiging voor wanneer toegang wordt verkregen tot gevoelige informatie, hetzij opgeslagen op een computersysteem, hetzij overgedragen van het ene systeem naar het andere. Soms worden de termen "diefstal" of "lekkage" gebruikt in plaats van het woord "openbaarmaking".
Bedreiging integriteit omvat elke opzettelijke wijziging (wijziging of zelfs verwijdering) van gegevens die zijn opgeslagen in een computersysteem of zijn overgedragen van het ene systeem naar het andere. Over het algemeen wordt aangenomen dat overheidsstructuren vatbaarder zijn voor de dreiging van openbaarmaking en dat zakelijke of commerciële structuren vatbaarder zijn voor de bedreiging van de integriteit.
Bedreiging denial of service treedt op wanneer, als gevolg van een actie, de toegang tot een bron van het computersysteem wordt geblokkeerd. In werkelijkheid kan de blokkering permanent zijn, zodat de gevraagde bron nooit wordt verkregen, of het kan er alleen voor zorgen dat de gevraagde bron lang genoeg wordt vertraagd om onbruikbaar te worden. In dergelijke gevallen wordt gezegd dat de bron is uitgeput.
Typische bedreigingen in de internetomgeving zijn:
· Storing van een van de netwerkcomponenten. Falen als gevolg van ontwerpfouten of hardware- of softwarefouten kan leiden tot een denial of service of beveiligingsrisico's als gevolg van een storing in een van de netwerkcomponenten. Firewallstoringen of valse autorisatieweigeringen door authenticatieservers zijn voorbeelden van storingen die van invloed zijn op de beveiliging.
· Informatie scannen. Ongeoorloofde weergave van kritieke informatie door indringers of geautoriseerde gebruikers kan plaatsvinden met behulp van verschillende mechanismen - e-mail naar de verkeerde ontvanger, printerafdruk, verkeerd geconfigureerde toegangscontrolelijsten, meerdere mensen die dezelfde ID delen, enz.
· Misbruik van informatie - Gebruik van informatie voor andere dan de toegestane doeleinden kan leiden tot denial of service, onnodige kosten, reputatieverlies. De boosdoeners hiervoor kunnen zowel interne als externe gebruikers zijn.
· Maskerade - pogingen om zichzelf te vermommen als een geautoriseerde gebruiker om diensten of informatie te stelen, of om financiële transacties te initiëren die zullen leiden tot financieel verlies of problemen voor de organisatie.
1. Aanvalsdetectie
Historisch gezien zijn de technologieën die worden gebruikt om inbraakdetectiesystemen te bouwen conventioneel verdeeld in twee categorieën: detectie van abnormaal gedrag (abnormale detectie) en misbruikdetectie (misbruikdetectie). In de praktijk wordt echter een andere classificatie gebruikt, rekening houdend met de principes van de praktische implementatie van dergelijke systemen: aanvalsdetectie op netwerkniveau (netwerkgebaseerd) en op hostniveau (hostgebaseerd). De eerstgenoemde systemen analyseren netwerkverkeer, terwijl de laatstgenoemde besturingssysteem- of applicatielogboeken analyseren. Elk van de klassen heeft zijn voor- en nadelen, maar daarover later meer. Opgemerkt moet worden dat slechts enkele inbraakdetectiesystemen ondubbelzinnig kunnen worden toegewezen aan een van deze klassen. In de regel bevatten ze de mogelijkheden van meerdere categorieën. Deze classificatie weerspiegelt echter de belangrijkste kenmerken die het ene inbraakdetectiesysteem van het andere onderscheiden.
Op dit moment wordt anomaliedetectietechnologie niet veel gebruikt en wordt deze niet gebruikt in een commercieel gedistribueerd systeem. Dit komt doordat deze technologie er in theorie mooi uitziet, maar in de praktijk erg lastig te implementeren is. Nu is er echter een geleidelijke terugkeer naar (vooral in Rusland), en het is te hopen dat gebruikers binnenkort de eerste commerciële inbraakdetectiesystemen op basis van deze technologie kunnen zien.
Een andere benadering van aanvalsdetectie is misbruikdetectie, wat erin bestaat een aanval te beschrijven als een patroon (patroon) of handtekening (handtekening) en naar dit patroon te zoeken in een gecontroleerde ruimte (netwerkverkeer of logboek). Antivirussystemen zijn een goed voorbeeld van een inbraakdetectiesysteem op basis van deze technologie.
Zoals hierboven vermeld, zijn er twee soorten systemen die aanvallen op netwerk- en operationeel niveau detecteren. Het belangrijkste voordeel van netwerkgebaseerde inbraakdetectiesystemen is dat ze aanvallen identificeren voordat ze de aangevallen host bereiken. Deze systemen zijn gemakkelijker te implementeren in grote netwerken omdat ze niet hoeven te worden geïnstalleerd op de verschillende platforms die in de organisatie worden gebruikt. In Rusland zijn MS-DOS, Windows 95, NetWare en Windows NT de meest gebruikte besturingssystemen. Verschillende dialecten van UNIX zijn in ons land nog niet zo wijdverbreid als in het Westen. Bovendien hebben inbraakdetectiesystemen op netwerkniveau weinig tot geen invloed op de netwerkprestaties.
Inbraakdetectiesystemen op hostniveau zijn ontworpen om op een specifiek besturingssysteem te draaien, wat bepaalde beperkingen oplegt. Ik ken bijvoorbeeld geen enkel systeem van deze klasse dat werkt onder MS-DOS of Windows for Workgroups (en deze besturingssystemen zijn nog steeds vrij gebruikelijk in Rusland). Gebruikmakend van kennis over hoe het besturingssysteem zich zou moeten gedragen, kunnen hulpprogramma's die met deze aanpak in gedachten zijn gebouwd, soms indringers detecteren die worden gemist door hulpprogramma's voor het detecteren van netwerkindringers. Dit wordt echter vaak tegen hoge kosten bereikt, omdat de constante logboekregistratie die nodig is om dit soort ontdekkingen uit te voeren, de prestaties van de beschermde host aanzienlijk vermindert. Dergelijke systemen belasten de processor zwaar en vereisen grote hoeveelheden schijfruimte voor het opslaan van logs en zijn in principe niet toepasbaar op zeer kritieke systemen die in realtime werken (bijvoorbeeld het Operational Day-systeem van de Bank of het toezichtcontrolesysteem). Hoe dan ook, beide benaderingen kunnen worden toegepast om uw organisatie te beschermen. Als u een of meer hosts wilt beschermen, kunnen inbraakdetectiesystemen op hostniveau een goede keuze zijn. Maar als u het merendeel van de netwerkknooppunten van uw organisatie wilt beschermen, dan zijn inbraakdetectiesystemen op netwerkniveau waarschijnlijk de beste keuze, aangezien het verhogen van het aantal knooppunten in het netwerk geen invloed heeft op het beveiligingsniveau dat wordt bereikt met het inbraakdetectiesysteem. Het zal in staat zijn om extra knooppunten te beschermen zonder extra configuratie, terwijl in het geval van gebruik van een systeem dat op hostniveau werkt, het op elke beschermde host moet worden geïnstalleerd en geconfigureerd. De ideale oplossing zou een inbraakdetectiesysteem zijn dat beide benaderingen combineert.
Commerciële inbraakdetectiesystemen (IDS) die momenteel op de markt zijn, gebruiken een netwerk- of systeembenadering om aanvallen te herkennen en af te weren. Deze producten zijn in ieder geval op zoek naar aanval handtekeningen, specifieke patronen die gewoonlijk wijzen op vijandige of verdachte activiteiten. In het geval van het zoeken naar deze patronen in netwerkverkeer, werkt IDS aan netwerk niveau. Als IDS naar aanvalssignaturen zoekt in logboeken van besturingssystemen of toepassingen, dan systeem niveau. Elke aanpak heeft zijn eigen voor- en nadelen, maar beide vullen elkaar aan. Het meest effectief is het inbraakdetectiesysteem, dat beide technologieën in zijn werk gebruikt. Dit artikel bespreekt de verschillen in methoden voor het detecteren van aanvallen op netwerk- en systeemniveau om hun sterke en zwakke punten aan te tonen. Het beschrijft ook de opties voor het gebruik van elk van de methoden voor de meest effectieve detectie van aanvallen.
1.1. Detectie van netwerklaagaanvallen
Detectiesystemen voor netwerklaagaanvallen gebruiken onbewerkte netwerkpakketten als gegevensbron voor analyse. Doorgaans gebruiken netwerklaag-IDS's een netwerkadapter die in "luisterende" (promiscue) modus werkt en verkeer in realtime analyseren terwijl het door een netwerksegment gaat. De aanvalsdetectiemodule gebruikt vier bekende methoden om de aanvalssignatuur te herkennen:
o Naleving van verkeer met een sjabloon (handtekening), uitdrukking of bytecode die een aanval of verdachte activiteit kenmerkt;
o Monitoring van de frequentie van gebeurtenissen of drempeloverschrijdingen;
o Correlatie van verschillende gebeurtenissen met een lage prioriteit;
o Detectie van statistische anomalieën.
Zodra een aanval is gedetecteerd, biedt de responsmodule een breed scala aan opties voor het melden, waarschuwen en implementeren van tegenmaatregelen als reactie op de aanval. Deze opties variëren van systeem tot systeem, maar omvatten doorgaans: de beheerder op de hoogte stellen via console of e-mail, de verbinding met de aanvallende host beëindigen en/of de sessie opnemen voor latere analyse en het verzamelen van bewijsmateriaal.
1.2. Aanvaldetectie op systeemniveau
In het begin van de jaren tachtig, voordat netwerken werden ontwikkeld, was de meest gebruikelijke methode voor het detecteren van aanvallen het bekijken van logboeken voor gebeurtenissen die duidden op verdachte activiteit. Moderne aanvalsdetectiesystemen op systeemniveau blijven een krachtig hulpmiddel voor het begrijpen van aanvallen die al zijn uitgevoerd en het identificeren van geschikte methoden om de mogelijkheid van toekomstig gebruik uit te sluiten. Moderne IDS'en op systeemniveau gebruiken nog steeds logboeken, maar ze zijn meer geautomatiseerd en bevatten de meest geavanceerde detectiemethoden op basis van het nieuwste onderzoek in de wiskunde. Doorgaans bewaken IDS op systeemniveau het systeem, gebeurtenissen en beveiligingslogboeken (beveiligingslogboek of syslog) op netwerken met Windows NT of Unix. Wanneer een van deze bestanden verandert, vergelijkt IDS de nieuwe vermeldingen met aanvalssignaturen om te zien of er een overeenkomst is. Als een dergelijke overeenkomst wordt gevonden, stuurt het systeem een alarm naar de beheerder of activeert het andere gespecificeerde reactiemechanismen.
IDS'en op systeemniveau evolueren voortdurend, en bevatten geleidelijk steeds meer nieuwe detectiemethoden. Een van die populaire methoden is om de controlesommen van de belangrijkste systeem- en uitvoerbare bestanden met regelmatige tussenpozen te controleren op ongeoorloofde wijzigingen. De tijdigheid van de respons is direct gerelateerd aan de frequentie van de enquête. Sommige producten luisteren op actieve poorten en stellen de beheerder op de hoogte wanneer iemand toegang probeert te krijgen. Dit type detectie brengt een elementair niveau van detectie van aanvallen op netwerkniveau in de besturingsomgeving.
1.3. Voordelen van inbraakdetectiesystemen op netwerkniveau
Netwerklaag-IDS's hebben veel voordelen die niet beschikbaar zijn in inbraakdetectiesystemen op systeemniveau. In feite gebruiken veel kopers het Network Layer Intrusion Detection System vanwege de lage kosten en tijdige reactie. Hieronder volgen de belangrijkste redenen waarom detectie van indringing op de netwerklaag het belangrijkste onderdeel is van een effectieve implementatie van het beveiligingsbeleid.
1. Lage exploitatiekosten. Netwerklaag-IDS's moeten op kritieke locaties op het netwerk worden geïnstalleerd om het verkeer dat tussen meerdere systemen circuleert, te regelen. Netwerklaagsystemen vereisen niet dat systeemsoftware voor inbraakdetectie op elke host wordt geïnstalleerd. Aangezien het aantal locaties waar IDS is geïnstalleerd klein is om het hele netwerk te bewaken, zijn de kosten van het gebruik ervan in een bedrijfsnetwerk lager dan de kosten van het bedienen van inbraakdetectiesystemen op systeemniveau.
2. Detectie van aanvallen die op systeemniveau worden gemist. Netwerklaag-IDS'en onderzoeken netwerkpakketheaders op verdachte of vijandige activiteiten. IDS'en op systeemniveau werken niet met pakketheaders, daarom kunnen ze dit soort aanvallen niet detecteren. Veel netwerkaanvallen zoals "denial-of-service" en "gefragmenteerd pakket" (TearDrop) kunnen bijvoorbeeld alleen worden geïdentificeerd door de pakketheaders te analyseren terwijl ze door het netwerk gaan. Dit type aanval kan snel worden geïdentificeerd met behulp van een netwerklaag-IDS die in realtime naar het verkeer kijkt. Netwerklaag-IDS's kunnen de inhoud van de databody van een pakket onderzoeken, op zoek naar opdrachten of specifieke syntaxis die bij specifieke aanvallen worden gebruikt. Als een hacker bijvoorbeeld het Back Orifice-programma probeert te gebruiken op systemen die er nog niet door zijn getroffen, kan dit worden ontdekt door de inhoud van de databody van het pakket te onderzoeken. Zoals hierboven besproken, werken systemen op systeemniveau niet op netwerkniveau en zijn ze daarom niet in staat om dergelijke aanvallen te herkennen.
3. Voor een hacker is het moeilijker om sporen van zijn aanwezigheid te verwijderen. Netwerklaag-IDS's gebruiken "live" verkeer om aanvallen in realtime te detecteren. De hacker kan dus geen sporen van zijn aanwezigheid verwijderen. De geanalyseerde gegevens bevatten niet alleen informatie over de aanvalsmethode, maar ook informatie die kan helpen de aanvaller te identificeren en voor de rechtbank te bewijzen. Omdat veel hackers zeer goed bekend zijn met logbestanden, weten ze hoe ze deze bestanden moeten manipuleren om hun sporen van hun activiteiten te verbergen, waardoor de systemen op systeemniveau worden ondermijnd die deze informatie nodig hebben om een aanval te detecteren.
4. Realtime detectie en reactie. Netwerklaag-ID's detecteren verdachte en vijandige aanvallen ALS ZE GEBEUREN en bieden daarom veel snellere meldingen en reacties dan systeemlaag-ID's. Een hacker die bijvoorbeeld een denial-of-service-aanval op een netwerklaag op basis van TCP initieert, kan worden gestopt door een netwerklaag-IDS die een ingestelde reset-vlag in de TCP-header verzendt om de verbinding met de aanvallende host te beëindigen voordat de aanval vernietiging of schade aan de aangevallen gastheer. gastheer. IDS'en op systeemniveau herkennen aanvallen doorgaans pas als het bijbehorende logboek is geschreven en ondernemen actie nadat het logboek is geschreven. Op dit punt zijn kritieke systemen of bronnen mogelijk al aangetast of is het systeem waarop de IDS op systeemniveau wordt uitgevoerd, mogelijk aangetast. Dankzij realtime notificaties kunt u snel reageren volgens vooraf gedefinieerde parameters. Het bereik van deze reacties varieert van het toestaan van inbraak in de bewakingsmodus om informatie over de aanval en de aanvaller te verzamelen, tot het onmiddellijk beëindigen van de aanval.
5. Detecteer mislukte aanvallen of verdachte bedoelingen. Een netwerklaag-IDS die buiten een firewall (ITU) is geïnstalleerd, kan aanvallen detecteren die zijn gericht op bronnen achter de ITU, ook al zal de ITU deze pogingen afslaan. Systemen op systeemniveau zien geen gereflecteerde aanvallen die de host achter de firewall niet bereiken. Deze verloren informatie kan het belangrijkste zijn bij het evalueren en verbeteren van het beveiligingsbeleid.
6. OS-onafhankelijk. Netwerklaag-IDS's zijn onafhankelijk van de besturingssystemen die op het bedrijfsnetwerk zijn geïnstalleerd. Inbraakdetectiesystemen op systeemniveau vereisen specifieke besturingssystemen om correct te functioneren en de vereiste resultaten te genereren.
1.4. Voordelen van inbraakdetectiesystemen op systeemniveau
En hoewel inbraakdetectiesystemen op systeemniveau niet zo snel zijn als hun tegenhangers op netwerkniveau, bieden ze voordelen die deze laatste niet hebben. Deze voordelen zijn onder meer een meer rigoureuze analyse, veel aandacht voor hostspecifieke evenementgegevens en lagere implementatiekosten.
1. Bevestig het succes of falen van een aanval. Omdat IDS op systeemniveau logs gebruikt die gegevens bevatten over gebeurtenissen die daadwerkelijk hebben plaatsgevonden, kunnen IDS van deze klasse met hoge nauwkeurigheid bepalen of een aanval echt succesvol was of niet. In dit opzicht vormen IDS'en op systeemniveau een uitstekende aanvulling op inbraakdetectiesystemen op netwerkniveau. Deze combinatie zorgt voor vroegtijdige waarschuwing via de netwerkcomponent en 'succes' van de aanval via de systeemcomponent.
2. Regelt de activiteit van een bepaald knooppunt. Een IDS op systeemniveau bewaakt gebruikersactiviteit, bestandstoegang, wijzigingen in bestandsrechten, pogingen om nieuwe programma's te installeren en/of pogingen om toegang te krijgen tot geprivilegieerde services. Een IDS op systeemniveau kan bijvoorbeeld alle aan- en afmeldingsactiviteiten van gebruikers beheren, evenals de acties die elke gebruiker onderneemt wanneer deze is aangesloten op het netwerk. Het is erg moeilijk voor een netwerklaagsysteem om dit niveau van gebeurtenisdetails te bieden. Inbraakdetectietechnologie op systeemniveau kan ook activiteiten bewaken die normaal gesproken alleen door een beheerder worden uitgevoerd. Besturingssystemen registreren elke gebeurtenis die gebruikersaccounts toevoegt, verwijdert of wijzigt. IDS'en op systeemniveau kunnen een overeenkomstige wijziging detecteren zodra deze zich voordoet. IDS'en op systeemniveau kunnen ook wijzigingen in het beveiligingsbeleid controleren die van invloed zijn op de manier waarop systemen hun logboeken bijhouden, enzovoort.
Uiteindelijk kunnen inbraakdetectiesystemen op systeemniveau wijzigingen in belangrijke systeembestanden of uitvoerbare bestanden bewaken. Pogingen om dergelijke bestanden te overschrijven of Trojaanse paarden te installeren, kunnen worden gedetecteerd en gestopt. Netwerklaagsystemen missen dit soort activiteiten soms.
3. Detecteer aanvallen die netwerklaagsystemen missen. IDS'en op systeemniveau kunnen aanvallen detecteren die niet kunnen worden gedetecteerd door tools op netwerkniveau. Aanvallen die vanaf de aangevallen server zelf worden gelanceerd, kunnen bijvoorbeeld niet worden gedetecteerd door detectiesystemen voor netwerklaagaanvallen.
4. Zeer geschikt voor netwerken met encryptie en switching. Omdat de IDS op systeemniveau op verschillende hosts in een bedrijfsnetwerk is geïnstalleerd, kan het enkele van de problemen oplossen die optreden bij het bedienen van netwerklaagsystemen in geschakelde en versleutelde netwerken.
Door te switchen kunt u grootschalige netwerken beheren alsof het meerdere kleine netwerksegmenten zijn. Als gevolg hiervan kan het moeilijk zijn om de beste plaats te bepalen om een netwerklaag-IDS te installeren. Soms kunnen beheerde poorten en spiegelpoorten (spanpoorten) van verkeer op switches helpen, maar deze methoden zijn niet altijd van toepassing. Inbraakdetectie op systeemniveau zorgt voor een efficiëntere werking in geschakelde netwerken, zoals: stelt u in staat om IDS alleen op die knooppunten te plaatsen waarop dit nodig is.
Bepaalde typen versleuteling leveren ook problemen op voor detectiesystemen voor netwerklaagaanvallen. Afhankelijk van waar de codering wordt uitgevoerd (link of abonnee), kan de netwerklaag-IDS "blind" blijven voor bepaalde aanvallen. IDS'en op systeemniveau hebben deze beperking niet. Bovendien analyseert het besturingssysteem, en dus de IDS op systeemniveau, gedecodeerd inkomend verkeer.
5. Bijna realtime detectie en respons. Hoewel inbraakdetectie op systeemniveau geen echte realtime respons biedt, kan deze, indien correct geïmplementeerd, bijna realtime zijn. In tegenstelling tot oudere systemen die de status en inhoud van de logboeken met vooraf bepaalde tussenpozen controleren, ontvangen veel moderne IDS'en op systeemniveau een onderbreking van het besturingssysteem zodra een nieuwe logboekinvoer verschijnt. Dit nieuwe record kan onmiddellijk worden verwerkt, waardoor de tijd tussen het herkennen van een aanval en het reageren erop aanzienlijk wordt verkort. Er is een vertraging tussen het moment waarop het besturingssysteem de gebeurtenis naar het gebeurtenislogboek schrijft en wanneer deze wordt herkend door het inbraakdetectiesysteem, maar in veel gevallen kan een aanvaller worden gedetecteerd en gestopt voordat er schade is aangericht.
6. Vereist geen extra hardware. Inbraakdetectiesystemen op systeemniveau worden geïnstalleerd op bestaande netwerkinfrastructuur, inclusief bestandsservers, webservers en andere bronnen die in gebruik zijn. Deze mogelijkheid kan IDS'en op systeemniveau zeer kosteneffectief maken omdat er geen ander knooppunt op het netwerk nodig is om te worden verzorgd, onderhouden en beheerd.
7. Lage prijs. Hoewel inbraakdetectiesystemen op een netwerklaag een netwerkbrede verkeersanalyse bieden, zijn ze vaak vrij duur. De kosten van één inbraakdetectiesysteem kunnen meer dan $ 10.000 bedragen. Aan de andere kant kosten inbraakdetectiesystemen op systeemniveau honderden dollars per agent en kunnen ze door de koper worden gekocht als het nodig is om slechts enkele knooppunten van de onderneming te controleren, zonder netwerkaanvallen te bewaken.
1.5. De behoefte aan aanvalsdetectiesystemen op zowel netwerk- als systeemniveau
Beide oplossingen: IDS en netwerk- en systeemniveaus hebben hun eigen voor- en nadelen, die elkaar effectief aanvullen. De volgende generatie IDS moet daarom geïntegreerde systeem- en netwerkcomponenten bevatten. De combinatie van deze twee technologieën zal de weerstand van het netwerk tegen aanvallen en misbruik aanzienlijk verbeteren, het beveiligingsbeleid aanscherpen en meer flexibiliteit introduceren in de werking van netwerkbronnen.
De onderstaande afbeelding illustreert hoe inbraakdetectiemethoden op systeem- en netwerkniveau samenwerken om een effectiever netwerkbeveiligingssysteem te creëren. Sommige gebeurtenissen worden alleen door netwerksystemen gedetecteerd. Anderen - alleen met behulp van het systeem. Sommige vereisen beide soorten inbraakdetectie voor betrouwbare detectie.
Figuur 1. V interactie van aanvalsdetectiemethoden op systeem- en netwerkniveau
1.6. Lijst met vereisten voor inbraakdetectiesystemen
volgende generatie
Kenmerken voor inbraakdetectiesystemen van de volgende generatie:
1. Mogelijkheid om aanvallen op systeem- en netwerkniveau te detecteren, geïntegreerd in één systeem.
2. Gedeelde beheerconsole met een consistente interface voor productconfiguratie, beheerbeleid en weergave van individuele gebeurtenissen van zowel systeem- als netwerkcomponenten van het inbraakdetectiesysteem.
3. Geïntegreerde gebeurtenisdatabase.
4. Geïntegreerd rapportagesysteem.
5. Mogelijkheden voor gebeurteniscorrelatie.
6. Geïntegreerde online hulp voor incidentrespons.
7. Uniforme en consistente installatieprocedures.
8. De mogelijkheid toevoegen om uw eigen evenementen te beheren.
In het vierde kwartaal van 1998 kwam RealSecureT versie 3.0 uit, die aan al deze eisen voldoet.
· RealSecure snooping-module - detecteert netwerklaagaanvallen op Ethernet-, Fast Ethernet-, FDDI- en Token Ring-netwerken.
· RealSecure Agent - detecteert aanvallen op servers en andere systeemapparaten.
· RealSecure Manager - een beheerconsole die de configuratie van RealSecure-monitors en agents biedt en realtime analyse van netwerkverkeer en systeemlogboeken integreert.
2. De hele wereld zit vol met aanvallen
Er kunnen twee strategieën worden toegepast om te beschermen tegen verschillende soorten aanvallen. De eerste is het verkrijgen van de meest aangeprezen (maar niet altijd de beste) beveiligingssystemen tegen alle mogelijke soorten aanvallen. Deze methode is heel eenvoudig, maar vereist enorme financiële investeringen. Geen enkele thuisgebruiker of zelfs het hoofd van een organisatie zou ervoor gaan. Daarom wordt meestal de tweede strategie gebruikt, die bestaat uit een voorlopige analyse van waarschijnlijke dreigingen en de daaropvolgende keuze van beschermingsmiddelen.
Dreigingsanalyse, of risicoanalyse, kan ook op twee manieren worden uitgevoerd. Een ingewikkelde, maar effectievere manier is dat voordat de meest waarschijnlijke bedreigingen worden gekozen, een analyse wordt uitgevoerd van het informatiesysteem, de daarin verwerkte informatie, de gebruikte software en hardware, enz. Dit zal het bereik van potentiële aanvallen aanzienlijk verkleinen en zo de efficiëntie van investeringen in gekochte beschermingstools verhogen. Een dergelijke analyse vereist echter tijd, geld en vooral hooggekwalificeerde specialisten die een inventarisatie van het geanalyseerde netwerk uitvoeren. Er zijn maar weinig bedrijven, laat staan thuisgebruikers, die het zich kunnen veroorloven deze weg in te slaan. Wat te doen? U kunt een keuze maken uit beveiligingstools op basis van de zogenaamde standaardbedreigingen, dat wil zeggen de meest voorkomende. Ondanks het feit dat sommige van de dreigingen die inherent zijn aan het beschermde systeem genegeerd kunnen worden, zullen de meeste toch binnen het geschetste kader vallen. Welke soorten bedreigingen en aanvallen komen het meest voor? Dit artikel is gewijd aan het antwoord op deze vraag. Om de gepresenteerde gegevens nauwkeuriger te maken, zal ik statistieken gebruiken die uit verschillende bronnen zijn verkregen.
Cijfers, cijfers, cijfers...
Wie pleegt het vaakst computercriminaliteit en voert verschillende aanvallen uit? Wat zijn de meest voorkomende bedreigingen? Ik zal de gegevens citeren die zijn verkregen door de meest gezaghebbende bron op dit gebied - het Computer Security Institute (CSI) en de computeraanvalsgroep van het FBI-kantoor in San Francisco. Deze gegevens werden in maart 2000 gepubliceerd in de jaarlijkse 2000 CSI/FBI Computer Crime and Security Survey. Volgens deze gegevens:
· 90% van de respondenten (grote bedrijven en overheidsorganisaties) registreerde verschillende aanvallen op hun informatiebronnen;
· 70% van de respondenten meldde ernstige schendingen van het beveiligingsbeleid, zoals virussen, denial-of-service-aanvallen, misbruik door werknemers, enz.;
· 74% van de respondenten heeft als gevolg van deze overtredingen aanzienlijke financiële verliezen geleden.
Ook de verliezen als gevolg van beveiligingsinbreuken zijn de afgelopen jaren toegenomen. Als in 1997 het bedrag aan verliezen 100 miljoen dollar was, in 1999 124 miljoen, dan steeg dit cijfer in 2000 tot 266 miljoen dollar. De omvang van de verliezen door denial-of-service-aanvallen bereikte 8,2 miljoen dollar. Andere interessante gegevens zijn onder meer bronnen van aanvallen, soorten veelvoorkomende aanvallen en de hoeveelheid verliezen ervan.
Een andere gezaghebbende bron - het CERT-coördinatiecentrum - bevestigt deze gegevens ook. Bovendien valt volgens de gegevens die hij verzamelde de toename van het aantal beveiligingsincidenten samen met de verspreiding van internet.
De belangstelling voor e-commerce zal deze groei de komende jaren aanwakkeren. Er is ook een andere trend opgemerkt. In de jaren 80 en vroege jaren 90 vielen externe aanvallers internethosts aan uit nieuwsgierigheid of om hun vaardigheden te demonstreren. Aanvallen hebben nu meestal financiële of politieke doelen. Volgens veel analisten is het aantal succesvolle penetraties in informatiesystemen alleen al in 1999 verdubbeld ten opzichte van het voorgaande jaar (van 12 naar 23%). Deze trend zet zich voort in 2000 en 2001.
Er zijn ook Russische statistieken op dit gebied. En hoewel het onvolledig is en volgens veel experts slechts het topje van de ijsberg is, zal ik toch deze cijfers geven. In 2000 werden volgens het ministerie van Binnenlandse Zaken 1375 computercriminaliteit geregistreerd. In vergelijking met 1999 is dit cijfer meer dan 1,6 keer zo groot geworden. Uit de gegevens van de afdeling voor de bestrijding van misdrijven op het gebied van geavanceerde technologieën van het ministerie van Binnenlandse Zaken van de Russische Federatie (afdeling "R") blijkt dat de meeste van alle misdaden - 584 van het totaal - verband houden met illegale toegang tot computerinformatie; 258 gevallen - dit is het toebrengen van materiële schade met behulp van computerhulpmiddelen; 172 misdaden houden verband met het creëren en verspreiden van verschillende virussen, of liever, "kwaadaardige programma's voor computers"; 101 misdrijven - uit de serie "illegale productie of verwerving met het oog op de verkoop van technische middelen voor het illegaal verkrijgen van informatie", 210 - fraude met behulp van computer- en telecommunicatienetwerken; 44 - schending van de regels voor de werking van computers en hun netwerken.
3. Hoe kunt u uzelf beschermen tegen aanvallen vanop afstand op internet?
Een kenmerk van het internet van tegenwoordig is dat 99% van de informatiebronnen van het netwerk openbaar beschikbaar zijn. Toegang op afstand tot deze bronnen kan anoniem worden gedaan door elke onbevoegde netwerkgebruiker. Een voorbeeld van dergelijke ongeautoriseerde toegang tot openbare bronnen is een verbinding met WWW- of FTP-servers, als dergelijke toegang is toegestaan.
Nadat besloten is tot welke internetbronnen de gebruiker toegang wil hebben, is het noodzakelijk om de volgende vraag te beantwoorden: gaat de gebruiker externe toegang van het netwerk tot zijn bronnen toestaan? Zo niet, dan is het logisch om een "pure client"-besturingssysteem (bijvoorbeeld Windows "95 of NT Workstation) als netwerk-besturingssysteem te gebruiken, dat geen serverprogramma's bevat die externe toegang bieden, en dus externe toegang tot dit besturingssysteem. systeem eigenlijk onmogelijk, omdat het simpelweg niet programmatisch wordt aangeboden (bijvoorbeeld Windows "95 of NT, hoewel met één maar: er zijn echt geen FTP-, TELNET-, WWW-, enz.-servers voor deze systemen, maar we moeten de ingebouwde mogelijkheid om op afstand toegang te verlenen tot het bestandssysteem, de zogenaamde verdeling (aandeel) bronnen. En als u zich tenminste de vreemde positie van Microsoft herinnert met betrekking tot het waarborgen van de beveiliging van zijn systemen, moet u serieus nadenken voordat u de producten van dit bedrijf kiest. Laatste voorbeeld: er is een programma op internet verschenen dat een aanvaller op afstand onbevoegde toegang geeft tot het Windows NT 4.0-bestandssysteem!). Het kiezen van een clientbesturingssysteem lost grotendeels de beveiligingsproblemen op voor een bepaalde gebruiker (je hebt geen toegang tot een bron die gewoon niet bestaat!). In dit geval gaat de functionaliteit van het systeem echter achteruit. Hier is het tijd om, naar onze mening, het belangrijkste axioma van veiligheid te formuleren:
Axioma van veiligheid. De principes van toegankelijkheid, gemak, snelheid en functionaliteit van een computersysteem staan haaks op de principes van beveiliging.
Dit axioma ligt in principe voor de hand: hoe toegankelijker, handiger, sneller en multifunctioneler het vliegtuig, hoe minder veilig het is. Er zijn veel voorbeelden. Bijvoorbeeld de DNS-service: handig, maar gevaarlijk.
Laten we terugkeren naar de keuze van de gebruiker voor een clientnetwerk-besturingssysteem. Dit is trouwens een van de meest verstandige stappen die leiden tot een netwerkbeleid van isolationisme. Dit netwerkbeveiligingsbeleid is bedoeld om de meest volledige isolatie van zijn computersysteem van de buitenwereld te implementeren. Een van de stappen om dit beleid te waarborgen, is bijvoorbeeld het gebruik van firewall-systemen waarmee u een speciaal beveiligd segment kunt maken (bijvoorbeeld een particulier netwerk) dat is gescheiden van het wereldwijde netwerk. Niets belet natuurlijk om dit beleid van netwerk isolationisme tot op het punt van absurditeit te brengen - trek gewoon de netwerkkabel eruit (volledige isolatie van de buitenwereld!). Vergeet niet dat dit ook een "oplossing" is voor alle problemen met aanvallen op afstand en netwerkbeveiliging (vanwege de volledige afwezigheid ervan).
Laat een internetgebruiker dus beslissen om alleen het besturingssysteem van het clientnetwerk te gebruiken om toegang te krijgen tot het netwerk en het alleen te gebruiken voor ongeautoriseerde toegang. Zijn beveiligingsproblemen opgelost? Helemaal niet! Alles zou goed zijn als het niet zo erg was. Voor een Denial of Service-aanval is noch het type toegang dat door de gebruiker wordt gebruikt, noch het type netwerk-besturingssysteem absoluut belangrijk (hoewel het client-besturingssysteem enigszins de voorkeur verdient vanuit het oogpunt van bescherming tegen aanvallen). Deze aanval, waarbij gebruik wordt gemaakt van fundamentele beveiligingslekken in de protocollen en infrastructuur van internet, valt het netwerkbesturingssysteem op de host van de gebruiker aan met als enig doel de prestaties ervan te verstoren. Voor een ICMP denial of service-aanval is Windows 95 of Windows NT het meest wenselijke doelwit. In dit geval kan de gebruiker alleen maar hopen dat zijn bescheiden host niet interessant is voor een aanvaller die de prestaties kan verstoren, behalve misschien uit een verlangen om gewoon kattenkwaad uit te halen.
3.1. Administratieve beschermingsmethoden tegen aanvallen op internet op internet
De meest juiste stap in deze richting zou zijn om een uit te nodigen die samen met u het hele scala aan taken zal proberen op te lossen om het vereiste vereiste beveiligingsniveau voor uw gedistribueerde CS te garanderen. Dit is een nogal gecompliceerde complexe opgave, voor de oplossing waarvan moet worden bepaald wat (de lijst van gecontroleerde objecten en middelen van de RCS), van wat (analyse van mogelijke bedreigingen voor deze RCS) en hoe (ontwikkeling van eisen, definitie van beveiligingsbeleid en ontwikkeling van administratieve en software- en hardwaremaatregelen om ervoor te zorgen dat het ontwikkelde beveiligingsbeleid in de praktijk wordt beschermd.
Misschien wel de eenvoudigste en goedkoopste zijn administratieve beschermingsmethoden tegen informatievernietigende invloeden.
3.1.1. Hoe kunt u uzelf beschermen tegen analyse van netwerkverkeer?
Er is een aanval waarbij een cracker alle informatie die wordt uitgewisseld tussen externe gebruikers kan onderscheppen door programmatisch rond te snuffelen op het berichtenkanaal van een netwerk als alleen niet-versleutelde berichten via het kanaal worden verzonden. Er kan ook worden aangetoond dat de basisprotocollen voor externe toegang van de toepassing TELNET en FTP niet voorzien in elementaire cryptobescherming van zelfs gebruikersidentificaties (namen) en authenticators (wachtwoorden) die via het netwerk worden verzonden. Daarom kunnen netwerkbeheerders uiteraard worden geadviseerd om het gebruik van deze onderliggende protocollen om remote geautoriseerd toegang hebben tot de bronnen van hun systemen en de analyse van netwerkverkeer beschouwen als een constant aanwezige bedreiging die niet kan worden geëlimineerd, maar de implementatie ervan in wezen zinloos kan worden gemaakt door sterke cryptografische algoritmen te gebruiken voor het beschermen van de IP-stroom.
3.1.2. Hoe bescherm je jezelf tegen een nep-ARP-server?
In het geval dat het netwerk-besturingssysteem geen informatie heeft over de correspondentie tussen de IP- en Ethernet-adressen van hosts binnen hetzelfde IP-netwerksegment, kunt u met dit protocol een broadcast-ARP-verzoek verzenden om het benodigde Ethernet-adres te vinden, waarnaar een aanvaller kan een valse reactie sturen, en in de toekomst zal al het verkeer op de datalinklaag worden onderschept door de aanvaller en via een nep-ARP-server gaan. Het is duidelijk dat om deze aanval te elimineren, het noodzakelijk is om de reden te elimineren waarom het mogelijk is om het uit te voeren. De belangrijkste reden voor het succes van deze aanval op afstand is het ontbreken van de benodigde informatie van het besturingssysteem van elke host over de corresponderende IP- en Ethernet-adressen van alle andere hosts binnen dit netwerksegment. De eenvoudigste oplossing is dus dat de netwerkbeheerder een statische ARP-tabel maakt in de vorm van een bestand (meestal /etc/ethers op UNIX OS) waarin de juiste adresinformatie moet worden ingevoerd. Dit bestand wordt op elke host binnen het segment geïnstalleerd en daarom hoeft het netwerk-besturingssysteem geen externe ARP-lookups te gebruiken.
3.1.3. Hoe bescherm je jezelf tegen een nep-DNS-server?
Door DNS in zijn huidige vorm op internet te gebruiken, kan een cracker wereldwijde controle krijgen over verbindingen door een lokroute op te leggen via de host van de kraker, een lokmiddel-DNS-server. Op basis van mogelijke kwetsbaarheden in de DNS-service zou deze aanval op afstand catastrofale gevolgen kunnen hebben voor een groot aantal internetgebruikers en een enorme inbreuk op de informatiebeveiliging van dit wereldwijde netwerk veroorzaken. De volgende twee paragrafen suggereren mogelijke administratieve methoden om deze aanval op afstand te voorkomen of te belemmeren voor beheerders en gebruikers van het netwerk en voor beheerders van DNS-servers.
a) Hoe kan een netwerkbeheerder zich beschermen tegen een valse DNS-server?
Het korte antwoord op deze vraag is nee. Noch administratief noch programmatisch kan bescherming bieden tegen een aanval op een bestaande versie van de DNS-service. De beste oplossing vanuit veiligheidsoogpunt zou zijn om volledig te stoppen met het gebruik van de DNS-service in uw beschermde segment! Het zou natuurlijk erg onhandig zijn voor gebruikers om het gebruik van namen bij het verwijzen naar hosts volledig te verlaten. Daarom kunnen we de volgende compromisoplossing aanbieden: gebruik namen, maar verlaat het externe DNS-opzoekmechanisme. Je raadt het goed, dit is een terugkeer naar het pre-DNS-schema met speciale DNS-servers. Toen was er op elke machine in het netwerk: gastheren een bestand met informatie over de bijbehorende namen en IP-adressen van alle hosts op het netwerk. Het is duidelijk dat de beheerder tegenwoordig informatie in een dergelijk bestand kan invoeren over alleen de meest bezochte gebruikers van netwerkservers in dit segment. Daarom is het gebruik van deze oplossing in de praktijk uiterst moeilijk en blijkbaar onrealistisch (wat bijvoorbeeld te doen met browsers die URL's met namen gebruiken?).
Om deze aanval op afstand moeilijker te maken, kun je beheerders voorstellen om TCP te gebruiken in plaats van het standaard UDP-protocol voor de DNS-service (hoewel het verre van duidelijk is uit de documentatie hoe dit te veranderen). Dit maakt het voor een aanvaller veel moeilijker om een nep DNS-antwoord naar de host te sturen zonder de DNS-query te ontvangen.
De algemene teleurstellende conclusie is als volgt: op internet, bij gebruik bestaande DNS-serviceversies bestaat niet een acceptabele oplossing om te beschermen tegen een valse DNS-server (en je kunt niet weigeren, zoals in het geval van ARP, en het is gevaarlijk om te gebruiken)!
b) Hoe kan een DNS-serverbeheerder zich beschermen tegen een nep-DNS-server?
Het korte antwoord op deze vraag is, nogmaals, op geen enkele manier. De enige manier om deze aanval op afstand moeilijker te maken, is door alleen TCP te gebruiken in plaats van UDP om te communiceren met hosts en andere DNS-servers. Dit zal de aanval echter alleen maar moeilijker maken - vergeet niet zowel de mogelijke onderschepping van het DNS-verzoek als de mogelijkheid om de initiële waarde van het TCP ISN wiskundig te voorspellen.
Kortom, we kunnen het hele internet aanbevelen om snel over te stappen op een nieuwe, veiligere versie van de DNS-service, of om een enkele standaard voor een veilig protocol in te voeren. Om deze overgang te maken, ondanks alle kolossale kosten, is gewoon noodzakelijk, anders kan het internet gewoon op de knieën worden gebracht voor de steeds groter wordende succesvolle pogingen om de veiligheid te schenden met behulp van deze service!
3.1.4. Hoe kunt u uzelf beschermen tegen het opleggen van een valse route bij gebruik van het ICMP-protocol?
De aanval, die bestond uit het verzenden van een vals ICMP Redirect-bericht naar de host over het wijzigen van de oorspronkelijke route, leidde tot zowel onderschepping van informatie door de aanvaller als verstoring van de aangevallen host. Om je tegen deze aanval op afstand te beschermen, moet je dit bericht filteren (met een firewall of een filterrouter) om te voorkomen dat het het eindsysteem bereikt, of een netwerkbesturingssysteem selecteren dat dit bericht negeert. Er is echter meestal geen administratieve manier om het netwerkbesturingssysteem te beïnvloeden om te voorkomen dat het de route wijzigt en op dit bericht reageert. De enige manier, bijvoorbeeld in het geval van Linux of FreeBSD, is om de bronnen te wijzigen en de OS-kernel opnieuw te compileren. Het is duidelijk dat een dergelijke exotische methode voor velen alleen mogelijk is voor besturingssystemen die vrij worden verspreid samen met de bronteksten. Meestal is er in de praktijk geen andere manier om erachter te komen wat de reactie van uw besturingssysteem is op een ICMP Redirect-bericht, hoe u dit bericht kunt verzenden en wat het resultaat zal zijn. Experimenten hebben aangetoond dat u met dit bericht de routering op Linux 1.2.8, Windows "95 en Windows NT 4.0 kunt wijzigen. Opgemerkt moet worden dat Microsoft-producten niet bijzonder veilig zijn tegen mogelijke aanvallen op afstand die inherent zijn aan IP-netwerken. Gebruik daarom deze OS in een beschermd segment van het IP-netwerk lijkt ongewenst. Dit zal de administratieve beslissing zijn om het netwerksegment te beschermen tegen deze aanval op afstand.
3.1.5. Hoe kunt u uzelf beschermen tegen denial of service?
Er is en kan geen acceptabele manier zijn om te beschermen tegen denial of service in de bestaande IPv4-standaard van internet. Dit komt doordat het in deze standaard onmogelijk is om de route van berichten te controleren. Daarom is het onmogelijk om betrouwbare controle over netwerkverbindingen te bieden, aangezien een subject van netwerkinteractie de mogelijkheid heeft om een onbeperkt aantal communicatiekanalen te bezetten met een object op afstand en anoniem te blijven. Hierdoor kan elke server op internet volledig worden verlamd door een aanval op afstand.
Het enige dat kan worden voorgesteld om de betrouwbaarheid van het systeem bij deze aanval te verbeteren, is het gebruik van de krachtigste computers die mogelijk zijn. Hoe groter het aantal en de frequentie van processors, hoe groter de hoeveelheid RAM, hoe betrouwbaarder de werking van het netwerk-besturingssysteem zal zijn wanneer het wordt getroffen door een gerichte "storm" van valse verzoeken om een verbinding tot stand te brengen. Daarnaast moet u besturingssystemen gebruiken die passen bij uw rekenkracht met een interne wachtrij die een groot aantal verbindingsverzoeken kan verwerken. Immers, uit het feit dat je bijvoorbeeld een Linux- of Windows NT-besturingssysteem op een supercomputer installeert, die een wachtrijlengte voor gelijktijdig verwerkte verzoeken hebben van ongeveer 10, en een wachttijd voor het wissen van de wachtrij van enkele minuten, dan, ondanks alle Door de rekenkracht van de computer wordt het besturingssysteem volledig lamgelegd door de aanvaller.
3.1.6. Hoe te beschermen tegen de vervanging van een van de partijen bij interactie met behulp van de basisprotocollen van de TCP / IP-familie?
Zoals eerder opgemerkt, de enige basis Het protocol van de TCP / IP-familie, dat in eerste instantie zorgt voor de beveiliging van de verbinding en zijn abonnees, is een transportlaagprotocol - het TCP-protocol. Wat betreft de basisprotocollen voor de applicatielaag: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, geen van hen biedt extra verbindingsbescherming op hun niveau en laat de oplossing van alle over aan het protocol van een lager transport laag - TCP. Echter, herinnerend aan de mogelijke aanvallen op een TCP-verbinding, besproken in Paragraaf 4.5, waar werd opgemerkt dat wanneer een aanvaller zich in één segment bevindt met het oog op een aanval, het in principe onmogelijk is om zich te beschermen tegen de vervanging van een van de abonnees van een TCP-verbinding en segmenten, vanwege de mogelijkheid van wiskundige voorspelling van de TCP-verbindingsidentificatie ISN, de vervanging van een van de abonnees is ook echt, het is gemakkelijk te concluderen dat bij gebruik van de basisprotocollen van de TCP / IP-familie , is het bijna onmogelijk om de veiligheid van de verbinding te garanderen! Dit komt door het feit dat helaas alle basisprotocollen van internet ongelooflijk verouderd zijn op het gebied van informatiebeveiliging.
Het enige dat kan worden aanbevolen aan netwerkbeheerders voor bescherming alleen van aanvallen tussen segmenten op verbindingen - gebruik het TCP-protocol en netwerkbesturingssystemen als het "veilige" basisprotocol, waarbij de initiële waarde van de TCP-verbindings-ID echt willekeurig wordt gegenereerd (een goed pseudo-willekeurig generatie-algoritme wordt gebruikt in de laatste versies van FreeBSD OS).
3.2. Software- en hardwaremethoden voor bescherming tegen aanvallen op afstand op internet
Software en hardware voor het waarborgen van informatiebeveiliging van communicatiefaciliteiten in computernetwerken zijn onder meer:
- hardware-encoders van netwerkverkeer;
- Firewall techniek geïmplementeerd op basis van software en hardware;
- veilige netwerkcryptoprotocollen;
- software- en hardware-analysatoren van netwerkverkeer;
- veilige netwerkbesturingssystemen.
Er is een enorme hoeveelheid literatuur gewijd aan deze beveiligingshulpmiddelen die zijn ontworpen voor gebruik op internet (in de afgelopen twee jaar zijn in bijna elke uitgave van elk computertijdschrift artikelen over dit onderwerp te vinden).
In wat volgt, zullen we, zo kort mogelijk, om bekende informatie niet voor iedereen te herhalen, deze beveiligingen beschrijven die op internet worden gebruikt. Tegelijkertijd streven we de volgende doelen na: laten we eerst nog eens terugkeren naar de mythe van "absolute bescherming" die Firewall-systemen zouden bieden, blijkbaar dankzij de inspanningen van hun verkopers; ten tweede, laten we de bestaande versies van cryptoprotocollen die op internet worden gebruikt vergelijken, en in feite een beoordeling geven, kritisch positie in dit gebied; en ten derde zullen we de lezers kennis laten maken met de mogelijkheid van bescherming met behulp van een netwerkbeveiligingsmonitor die is ontworpen om dynamisch toezicht te houden op situaties die zich voordoen in het beschermde segment van het IP-netwerk, wat aangeeft dat een van de in hoofdstuk 4 beschreven aanvallen op afstand wordt uitgevoerd op dit segment.
3.2.1. Firewall-techniek als de belangrijkste hardware- en softwaretool voor het implementeren van netwerkbeveiligingsbeleid in een specifiek segment van een IP-netwerk
Over het algemeen implementeert de Firewall-techniek de volgende drie hoofdfuncties:
1. Filtering op meerdere niveaus van netwerkverkeer.
Filteren gebeurt meestal op drie OSI-lagen:
netwerk (IP);
vervoer (TCP, UDP);
applicatie (FTP, TELNET, HTTP, SMTP, enz.).
Het filteren van netwerkverkeer is de belangrijkste functie van firewallsystemen en stelt de netwerkbeveiligingsbeheerder in staat om centraal het noodzakelijke netwerkbeveiligingsbeleid te implementeren in een specifiek segment van het IP-netwerk, dat wil zeggen, door de firewall dienovereenkomstig te configureren, kunt u gebruikers toegang verlenen of weigeren vanaf het externe netwerk naar de overeenkomstige hostservices of naar hosts die zich in het beschermde segment bevinden, evenals de toegang van gebruikers van het interne netwerk tot de overeenkomstige bronnen van het externe netwerk. Het is mogelijk om een analogie te trekken met de lokale beheerder van het besturingssysteem, die, om het beveiligingsbeleid in het systeem te implementeren, de juiste relaties tussen de onderwerpen (gebruikers) en systeemobjecten (bijvoorbeeld bestanden) toewijst, die stelt u in staat om de toegang van systeemsubjecten tot zijn objecten te differentiëren in overeenstemming met de toegangsrechten die door de beheerder zijn ingesteld. Dezelfde redenering is van toepassing op Firewall-filtering: de onderwerpen van interactie zijn de IP-adressen van gebruikershosts en de objecten waartoe de toegang moet worden beperkt, zijn de IP-adressen van de hosts, de gebruikte transportprotocollen en externe toegangsservices.
2. Proxyschema met extra identificatie en authenticatie van gebruikers op de Firewall-host.
Het proxyschema maakt het ten eerste mogelijk om bij toegang tot een met firewall beveiligd netwerksegment aanvullende identificatie en authenticatie van een externe gebruiker uit te voeren, en ten tweede vormt het de basis voor het creëren van privénetwerken met virtuele IP-adressen. De betekenis van het proxy-schema is om een verbinding tot stand te brengen met de eindbestemming via een tussenliggende proxyserver (proxy van Engels gezaghebbend) op de Firewall-host. Op deze proxyserver kan een aanvullende identificatie van de abonnee worden uitgevoerd.
3. Creatie van privénetwerken (Private Virtual Network - PVN) met "virtuele" IP-adressen (NAT - Network Address Translation).
In het geval dat een netwerkbeveiligingsbeheerder het gepast acht om de echte topologie van zijn interne IP-netwerk te verbergen, kan hem worden aangeraden om Firewall-systemen te gebruiken om een particulier netwerk (PVN-netwerk) te creëren. Hosts in een PVC-netwerk krijgen "virtuele" IP-adressen toegewezen. Voor adressering naar een extern netwerk (via de Firewall) is het noodzakelijk om ofwel de hierboven beschreven proxyservers op de Firewall-host te gebruiken, ofwel speciale routeringssystemen (routing) te gebruiken, alleen via welke externe adressering mogelijk is. Dit komt doordat het virtuele IP-adres dat in de interne PVN wordt gebruikt duidelijk niet geschikt is voor externe adressering (externe adressering is adressering aan abonnees buiten het PVN-netwerk). Daarom moet de proxyserver of routeringstool vanaf zijn echte IP-adres communiceren met abonnees van het externe netwerk. Overigens is dit schema handig als je een onvoldoende aantal IP-adressen hebt gekregen om een IP-netwerk te creëren (in de IPv4-standaard gebeurt dit de hele tijd, dus om een volwaardig IP-netwerk te creëren met behulp van een proxy-schema, slechts één toegewezen IP-adres is voldoende) adressen voor de proxyserver).
Dus elk apparaat dat ten minste één van deze functies van de Firewall-techniek implementeert, is een Firewall-apparaat. Niets weerhoudt u er bijvoorbeeld van om een computer met een normaal FreeBSD- of Linux-besturingssysteem als Firewall-host te gebruiken, waarvoor u de OS-kernel dienovereenkomstig moet compileren. Een firewall van dit type biedt alleen filtering op meerdere niveaus van IP-verkeer. Een ander ding is dat de krachtige Firewall-complexen die op de markt worden aangeboden, gemaakt op basis van een computer of minicomputer, meestal alle functies van de Firewall-methode implementeren en volledig uitgeruste Firewall-systemen zijn. De volgende afbeelding toont een netwerksegment dat van het externe netwerk is gescheiden door een volledig functionele Firewall-host.
Rijst. 2. Algemeen diagram van een volledig functionele Firewall-host.
IP-netwerkbeheerders, die zijn bezweken voor advertenties van Firewall-systemen, mogen zich echter niet laten misleiden door het feit dat Firewall een garantie is voor absolute bescherming tegen aanvallen op afstand op internet. Firewall is niet zozeer een beveiligingshulpmiddel als wel de mogelijkheid om centraal een netwerkbeleid te implementeren voor het afbakenen van externe toegang tot beschikbare bronnen op uw netwerk. Ja, in het geval dat bijvoorbeeld externe TELNET-toegang tot deze host is verboden, zal de Firewall de mogelijkheid van deze toegang ondubbelzinnig voorkomen. Maar het feit is dat de meeste aanvallen op afstand totaal verschillende doelen hebben (het heeft geen zin om te proberen een bepaald type toegang te krijgen als dit door het firewallsysteem wordt verboden). Welke van de overwogen aanvallen op afstand kan de firewall voorkomen? Analyse van netwerkverkeer? Duidelijk niet! Valse ARP-server? Ja en nee (het is niet nodig om Firewall te gebruiken voor bescherming). Valse DNS-server? Nee, helaas helpt Firewall hier niet. Een valse route opleggen met het ICMP-protocol? Ja, de Firewall zal deze aanval gemakkelijk afslaan door ICMP-berichten te filteren (hoewel een filterende router, zoals Cisco, voldoende zal zijn). Vervanging van een van de onderwerpen van een TCP-verbinding? Het antwoord is negatief; Firewall heeft er absoluut niets mee te maken. De gezondheid van de host verstoren door een gerichte onechte aanvraagstorm te creëren of de aanvraagwachtrij te laten overlopen? In dit geval zal het gebruik van Firewall het geheel alleen maar verergeren. Om alle hosts binnen het door het Firewall-systeem beschermde segment uit te schakelen (af te sluiten van de buitenwereld), volstaat het voor een aanvaller om slechts één Firewall aan te vallen, en niet meerdere hosts (dit is gemakkelijk te verklaren door het feit dat communicatie tussen interne hosts en de buitenwereld is alleen mogelijk via de Firewall).
in geen geval voldoende
Uit al het bovenstaande volgt helemaal niet dat het gebruik van Firewall-systemen absoluut zinloos is. Nee, op dit moment is er geen alternatief voor deze methode (alleen als methode!) Men moet echter het hoofddoel ervan duidelijk begrijpen en onthouden. Het lijkt ons dat het gebruik van de Firewall-techniek om de netwerkbeveiliging te waarborgen noodzakelijk is, maar in geen geval voldoende een voorwaarde, en je moet er niet vanuit gaan dat je door het installeren van een firewall onmiddellijk alle problemen met netwerkbeveiliging oplost en alle mogelijke aanvallen op afstand van internet verlost. Het internet, dat rot is vanuit het oogpunt van veiligheid, kan niet worden beschermd door een enkele firewall!
3.2.2. Softwarebeveiligingsmethoden die op internet worden gebruikt
De softwaremethoden voor bescherming op internet omvatten in de eerste plaats veilige cryptoprotocollen, waarmee het mogelijk wordt om de verbinding betrouwbaar te beschermen. In de volgende paragraaf zullen we het hebben over de huidige benaderingen op internet en de belangrijkste, reeds ontwikkelde, cryptoprotocollen.
Een andere klasse van softwaremethoden voor bescherming tegen aanvallen op afstand omvat momenteel bestaande programma's, waarvan het belangrijkste doel is om het netwerkverkeer te analyseren op de aanwezigheid van een van de bekende actieve invloeden op afstand.
a) SKIP-technologie en crypto-protocollen SSL, S-HTTP als het belangrijkste middel om de verbinding en verzonden gegevens op internet te beschermen
Een van de belangrijkste redenen voor het succes van aanvallen op afstand op gedistribueerde vliegtuigen ligt in het gebruik van netwerkuitwisselingsprotocollen die niet op betrouwbare wijze objecten op afstand kunnen identificeren, de verbinding en de gegevens die erover worden verzonden, kunnen beschermen. Daarom is het heel natuurlijk dat tijdens het functioneren van internet verschillende veilige netwerkprotocollen zijn gemaakt die zowel private als public key cryptografie gebruiken. Klassieke cryptografie met symmetrische crypto-algoritmen gaat ervan uit dat de verzendende en ontvangende partijen symmetrische (identieke) sleutels hebben voor het versleutelen en ontsleutelen van berichten. Deze sleutels worden verondersteld vooraf te worden verdeeld onder een eindig aantal abonnees, wat in cryptografie het standaardprobleem van statische sleuteldistributie wordt genoemd. Het is duidelijk dat het gebruik van klassieke cryptografie met symmetrische sleutels alleen mogelijk is op een beperkt aantal objecten. Op internet is het natuurlijk niet mogelijk om het probleem van de distributie van statische sleutels voor al zijn gebruikers op te lossen. Een van de eerste veilige uitwisselingsprotocollen op internet was echter het Kerberos-protocol, precies gebaseerd op de statische distributie van sleutels voor een eindig aantal abonnees. Op dezelfde manier worden onze speciale diensten, met behulp van klassieke symmetrische cryptografie, gedwongen om hun veilige cryptoprotocollen voor internet te ontwikkelen. Dit komt door het feit dat er om de een of andere reden nog steeds geen gastcrypto-algoritme met een openbare sleutel is. Overal ter wereld zijn dergelijke encryptiestandaarden al lang geaccepteerd en gecertificeerd, en blijkbaar gaan we weer de andere kant op!
Het is dus duidelijk dat om bescherming voor de hele set internetgebruikers mogelijk te maken, en niet een beperkte subset daarvan, het noodzakelijk is om sleutels te gebruiken die dynamisch worden gegenereerd tijdens het maken van een virtuele verbinding bij het gebruik van cryptografie met openbare sleutels. Vervolgens zullen we de belangrijkste benaderingen en protocollen tot nu toe bekijken die verbindingsbeveiliging bieden.
OVERSLAAN(Secure Key Internet Protocol)-technologie is een standaard voor het inkapselen van IP-pakketten, waardoor de bestaande IPv4-standaard op netwerkniveau de bescherming van de verbinding en de gegevens die erover worden verzonden, kan garanderen. Dit wordt als volgt bereikt: Een SKIP-pakket is een normaal IP-pakket waarvan het gegevensveld een SKIP-header van een gespecificeerd formaat en een cryptogram (gecodeerde gegevens) is. Dankzij deze structuur van het SKIP-pakket kan het naadloos worden gerouteerd naar elke host op internet (netwerkadressering vindt plaats met behulp van de normale IP-header in het SKIP-pakket). De uiteindelijke ontvanger van het SKIP-pakket decodeert het cryptogram met behulp van een algoritme dat vooraf is bepaald door de ontwikkelaars en vormt een normaal TCP- of UDP-pakket, dat vervolgens wordt verzonden naar de overeenkomstige reguliere module (TCP of UDP) van de kernel van het besturingssysteem. In principe belet niets de ontwikkelaar om zijn eigen originele header te vormen volgens dit schema, dat verschilt van de SKIP-header.
S-HTTP(Secure HTTP) is een webspecifiek beveiligd HTTP-protocol ontwikkeld door Enterprise Integration Technologies (EIT). Met het S-HTTP-protocol kunt u alleen betrouwbare cryptografische bescherming bieden voor HTTP-documenten van de webserver en werkt het op de applicatielaag van het OSI-model. Deze eigenschap van het S-HTTP-protocol maakt het tot een absoluut gespecialiseerd hulpmiddel voor verbindingsbeveiliging en als gevolg daarvan kan het niet worden gebruikt om alle andere toepassingsprotocollen (FTP, TELNET, SMTP, enz.) te beschermen. Ook ondersteunt geen van de huidige grote webbrowsers (noch Netscape Navigator 3.0 noch Microsoft Explorer 3.0) dit protocol.
SSL(Secure Socket Layer) - ontwikkeld door Netscape - een universeel verbindingsbeveiligingsprotocol dat werkt op de OSI-sessielaag. Dit protocol, dat cryptografie met openbare sleutels gebruikt, is momenteel naar onze mening het enige universele hulpmiddel waarmee u elke verbinding dynamisch kunt beveiligen met elk toepassingsprotocol (DNS, FTP, TELNET, SMTP, enz.). Dit komt door het feit dat SSL, in tegenstelling tot S-HTTP, werkt op de tussenliggende OSI-sessielaag (tussen transport - TCP, UDP - en applicatie - FTP, TELNET, enz.). In dit geval vindt het proces van het maken van een virtuele SSL-verbinding plaats volgens het Diffie en Hellman-schema (paragraaf 6.2), waarmee u een crypto-resistente sessiesleutel kunt ontwikkelen, die verder wordt gebruikt door abonnees van de SSL-verbinding om verzonden berichten. Het SSL-protocol heeft tegenwoordig bijna vorm gekregen als de officiële beveiligingsstandaard voor HTTP-verbindingen, dat wil zeggen om webservers te beveiligen. Het wordt natuurlijk ondersteund door Netscape Navigator 3.0 en, vreemd genoeg, Microsoft Explorer 3.0 (onthoud die felle browseroorlog tussen Netscape en Microsoft). Om een SSL-verbinding met een webserver tot stand te brengen, hebt u natuurlijk ook een webserver nodig die SSL ondersteunt. Dergelijke versies van webservers bestaan al (bijvoorbeeld SSL-Apache). Ter afsluiting van het gesprek over het SSL-protocol kan het volgende feit niet worden genegeerd: tot voor kort verbood Amerikaanse wetgeving de export van cryptosystemen met een sleutellengte van meer dan 40 bits (recentelijk werd deze verhoogd tot 56 bits). Daarom worden in bestaande versies van browsers 40-bits sleutels gebruikt. Door experimenten kwamen cryptanalisten erachter dat in de huidige versie van het SSL-protocol encryptie met een 40-bits sleutel geen betrouwbare bescherming is voor berichten die via het netwerk worden verzonden, omdat door eenvoudige opsomming (240 combinaties) deze sleutel wordt geselecteerd in een tijd van 1,5 (door Silicon Graphics supercomputer) tot 7 dagen (in het proces van berekeningen werden 120 werkstations en verschillende minicomputers gebruikt).
Het is dus duidelijk dat het wijdverbreide gebruik van deze veilige uitwisselingsprotocollen, met name SSL (uiteraard met een sleutellengte van meer dan 40 bits), een betrouwbare barrière zal opwerpen tegen allerlei soorten aanvallen op afstand en het leven van crackers over de hele wereld. De hele tragedie van de huidige veiligheidssituatie op internet is echter dat tot nu toe geen van de bestaande cryptoprotocollen (en er zijn er al heel wat) vorm hebben gekregen als een enkele die zou worden ondersteund door alle netwerk-besturingssystemen fabrikanten! Het momenteel beschikbare SSL-protocol is het meest geschikt voor deze rol. Als het door alle netwerkbesturingssystemen zou worden ondersteund, zou het niet nodig zijn om speciaal toegepaste SSL-compatibele servers (DNS, FTP, TELNET, WWW, enz.) te maken. Als er geen overeenstemming is over de goedkeuring van één enkele standaard voor een protocol voor veilige sessielaag, dan is de goedkeuring van vele normen voor de bescherming van elke afzonderlijke toepassingsservice vereist. Zo is er al een experimenteel, niet ondersteund Secure DNS-protocol ontwikkeld. Er zijn ook experimentele SSL-compatibele Secure FTP- en TELNET-servers. Maar dit alles zonder de goedkeuring van één enkele standaard voor een veilig protocol dat door alle fabrikanten wordt ondersteund, heeft geen enkele zin. En vandaag kunnen fabrikanten van netwerkbesturingssystemen het niet eens worden over een eensgezind standpunt over dit onderwerp en daardoor de oplossing van deze problemen rechtstreeks naar internetgebruikers verschuiven en hen aanbieden om op te lossen hun informatiebeveiligingsproblemen zoals ze willen!
b) Netwerkbeveiligingsmonitor IP-waarschuwing-1
Praktisch en theoretisch onderzoek van de auteurs, in de richting van de studie van de veiligheid van gedistribueerde CS, inclusief internet (twee poolgebieden van onderzoek: schending en informatiebeveiliging), leidde tot het volgende idee: op internet, zoals in andere netwerken (bijv. Novell NetWare, Windows NT), is er een ernstig gebrek aan beveiligingssoftware die: complex controle (monitoring) op verbindingsniveau over de gehele informatiestroom die over het netwerk wordt verzonden om alle soorten invloeden op afstand te detecteren die in hoofdstuk 4 worden beschreven. Een onderzoek naar de markt voor internetbeveiligingssoftware heeft uitgewezen dat er voor zover wij weten niet zulke uitgebreide tools voor het detecteren van externe impact zijn, en dat de tools die er wel zijn, zijn ontworpen om aanvallen van een specifiek type te detecteren (bijvoorbeeld ICMP Redirect of ARP). Daarom werd gestart met de ontwikkeling van een tool voor het monitoren van het IP-netwerksegment, ontworpen voor gebruik op internet en kreeg de volgende naam: netwerkbeveiligingsmonitor. IP-waarschuwing-1. De belangrijkste taak van deze tool, die het netwerkverkeer in het transmissiekanaal programmatisch analyseert, is niet om aanvallen op afstand weer te geven die via het communicatiekanaal worden uitgevoerd, maar om ze te detecteren, te loggen (een auditbestand bij te houden met logboekregistratie in een formulier dat handig is voor latere visuele analyse van alle gebeurtenissen die verband houden met aanvallen op afstand op dit netwerksegment) en onmiddellijke signalering naar de beveiligingsbeheerder in geval van detectie van een aanval op afstand. Hoofdtaak netwerkbeveiligingsmonitor IP-waarschuwing-1 is een implementatie controle voor de beveiliging van het overeenkomstige segment van internet.
Netwerkbeveiligingsmonitor IP-waarschuwing-1 heeft de volgende functionaliteit en maakt het mogelijk om, door middel van netwerkanalyse, de volgende aanvallen op afstand op het internetsegment dat erdoor wordt beheerd te detecteren.
Functionaliteit van netwerkbeveiligingsmonitor IP Alert-1
1. Controle over de correspondentie van IP- en Ethernet-adressen in pakketten die worden verzonden door hosts die zich binnen het gecontroleerde netwerksegment bevinden.
Op de IP Alert-1-host maakt de beveiligingsbeheerder een statische ARP-tabel waarin hij informatie invoert over de corresponderende IP- en Ethernet-adressen van hosts die zich binnen het gecontroleerde netwerksegment bevinden.
Met deze functie kunt u ongeoorloofde wijzigingen aan het IP-adres of de vervanging ervan detecteren (IP-spoofing).
2. Controle over het juiste gebruik van het externe ARP-opzoekmechanisme.
Met deze functie kan met behulp van een statische ARP-tabel een externe "Rogue ARP-server"-aanval worden bepaald.
3. Controle over het juiste gebruik van het externe DNS-opzoekmechanisme.
Met deze functie kunt u alle mogelijke soorten aanvallen op afstand op de DNS-service identificeren.
4. Controle op de aanwezigheid van een ICMP Redirect-bericht.
Deze functie meldt de detectie van een ICMP Redirect-bericht en een bijbehorende aanval op afstand.
5. Controle over de juistheid van verbindingspogingen op afstand door verzonden verzoeken te analyseren.
Met deze functie kunt u ten eerste een poging detecteren om de wet te onderzoeken van het wijzigen van de initiële waarde van de TCP-verbindingsidentificatie - ISN, ten tweede een externe "denial of service" -aanval die wordt uitgevoerd door de wachtrij voor verbindingsverzoeken te overlopen, en ten derde , leidde een "storm" van valse verbindingsverzoeken (zowel TCP als UDP) die ook tot een denial of service leidden.
Dus netwerkbeveiligingsmonitor IP-waarschuwing-1 stelt u in staat om alle soorten aanvallen op afstand die in hoofdstuk 4 worden beschreven, te detecteren, te melden en te loggen! Tegelijkertijd is dit programma op geen enkele manier een concurrent van Firewall-systemen. IP-waarschuwing-1, dat gebruikmaakt van de kenmerken van externe aanvallen op internet die zijn beschreven en gesystematiseerd in hoofdstuk 4, dient als een noodzakelijke toevoeging - overigens onvergelijkbaar goedkoper - aan Firewall-systemen. Zonder een beveiligingsmonitor blijven de meeste pogingen om op afstand aanvallen op uw netwerksegment uit te voeren voor uw ogen verborgen. Geen van de bij de auteurs bekende firewalls houdt zich bezig met een dergelijke intellectuele analyse van berichten die door het netwerk gaan om verschillende soorten aanvallen op afstand te detecteren, op zijn best beperkt tot logging, die informatie registreert over pogingen om wachtwoorden te raden voor TELNET en FTP, over het scannen van poorten en over netwerkscannen met behulp van het beroemde externe zoekprogramma voor bekende kwetsbaarheden in netwerkbesturingssystemen - SATAN. Daarom, als de IP-netwerkbeheerder niet onverschillig wil blijven en tevreden wil zijn met de rol van een eenvoudige extra tijdens aanvallen op afstand op zijn netwerk, dan is het raadzaam dat hij een netwerkbeveiligingsmonitor gebruikt IP-waarschuwing-1. Trouwens, we herinneren ons dat Tsutomu Shimomura in veel opzichten de aanval van Kevin Mitnick kon loggen, blijkbaar dankzij het tcpdump-programma, de eenvoudigste IP-verkeersanalysator.
Rijst. 3. Netwerkbeveiligingsmonitor IP Alert-1.
4. Markt van beveiligingssystemen
4.1. Belangrijkste markttrends: statistieken en prognoses
Zoals je weet, bezit degene die de informatie bezit de wereld. Tegenwoordig klinkt echter een andere, niet minder relevante uitspraak steeds overtuigender: degene die eigenaar is van de informatie is constant bang om deze te verliezen of de controle erover te verliezen.
Volgens veel analisten veranderde in 2001 de aard van hacking aanzienlijk: als een hacker vroeger vooral één op één handelde met het doelwit van een aanval (dat wil zeggen, in feite apolitiek), dan kunnen we nu praten over groepsacties van hackers, die in de snel veranderende omgeving van de moderne wereld is een mijlpaalverschijnsel geworden. Een aanval is niet langer alleen een manier van zelfexpressie en geen "demonstratieprestatie", maar een hulpmiddel om een doelwit te raken. Studies tonen aan dat het computernetwerk (CN) bijna overal zeer kwetsbaar is, dus de activering van dit soort activiteiten brengt een direct gevaar met zich mee, vooral in een tijd van spanning in de betrekkingen tussen verschillende politieke groeperingen en staten. Experts merken op dat de meeste grote netwerkbronnen nog steeds kwetsbaar zijn.
Op basis van onderzoek naar algemene trends in informatiebeveiliging in de IT-sector kan worden geconcludeerd dat bedrijven nogal inert zijn in het wijzigen van hun informatiebeleid op het gebied van informatiebeveiliging, dat hun strategische visie voortdurend te laat is met het afdekken van de prospects, en hun persoonlijke gegevensverwerkingspraktijken en het niveau van infrastructuurbeveiliging zijn arbeid bevredigend te noemen. Indrukwekkende cijfers kunnen als argumenten voor deze stelling worden aangevoerd. Zo correleren de meeste bedrijven hun activiteiten niet adequaat met bestaande bedreigingen: bijvoorbeeld, slechts één op de 10 bedrijven verwijdert/wijzigt wachtwoorden nadat een werknemer is ontslagen, hoewel 80% van de bedrijven relevante regelgeving heeft. De resultaten van het onderzoek wijzen op een zwakke betrokkenheid van organisaties bij informatiebeveiligingsaudits (35%), minimale inspanningen om het juridisch onderzoek van incidenten te stimuleren (17%), een gebrek aan begrip van dreigingsbronnen (79% gelooft nog steeds dat het gevaar komt van buitenaf, hoewel de statistieken het tegendeel bewijzen. Studies hebben aangetoond dat 60% van de topmanagers bedrijfsinformatiebeveiliging beschouwt als een technologisch probleem (een technologieprobleem) en slechts (40%) als een strategische zakelijke kwestie voor het bedrijf.
Ondanks bovenstaande feiten is er op dit moment echter een duidelijke toename van de publieke aandacht voor de problemen van informatiebeveiliging, voor het spectrum van relaties dat gewoonlijk Elektronische Beveiliging wordt genoemd. Dit wordt bevestigd door het volgende. Volgens specialisten van het analytische bedrijf IDC zal de vraag naar internetbeveiligingssystemen de komende jaren snel groeien, waardoor deze marktsector een van de meest winstgevende zal worden. Volgens berekeningen van IDC zal de markt voor internetbeveiliging de komende vijf jaar met 23% CAGR groeien en in 2005 een marktwaarde van $ 14 miljard bereiken. Volgens IDC ligt het grootste potentieel in de sector van veilige authenticatiesoftware. , autorisatie en administratie - in de zogenaamde sector van producten van groep 3A (Administratie, Autorisatie, Authenticatie). Volgens IDC bestaat 3A-software voor informatiebeveiliging uit implementaties van beheer-, autorisatie- en authenticatiefuncties die worden gebruikt om de beveiliging op individuele computersystemen of binnen bedrijfskaders te beheren, en omvat het processen voor het definiëren, maken, wijzigen, verwijderen en controleren van gebruikers. Volgens dezelfde bron zal deze sector jaarlijks met 28% groeien en in 2005 67% van de markt innemen.
Het is bekend dat een van de factoren die de ontwikkeling van e-commerce belemmeren, het veiligheidsprobleem is. Volgens een onderzoek van de Confederation of British Industry (CBI) hebben bedrijven meer vertrouwen in de veiligheid van B2B-transacties. Meer dan de helft van de door het CBI ondervraagde bedrijven zei dat ze B2B-handel vertrouwen, terwijl slechts 32% dit zei over B2C-activiteiten. Hoewel creditcardfraude ongeveer 4% van de ernstige incidenten uitmaakt, merken CBI-analisten op dat de angst voor fraude de ontwikkeling van e-business, met name de B2C-sector, nog steeds tegenhoudt.
Naast andere belangrijke markttrends moet worden opgemerkt dat bedrijven nog niet klaar zijn om zichzelf te beschermen en een veilige service te bieden, aangezien ze een gebrek hebben aan gekwalificeerd personeel (70,5%) en ze strategisch niet in staat zijn om te berekenen hoe gunstig de introductie van nieuwe beveiligingspraktijken zal zijn. zijn (45,9%). Deze verre van bemoedigende resultaten werden gevonden in een studie van Japan, dat geenszins een technologisch achterlijk land is. Experts zeggen dat er op het gebied van netwerkbeveiliging een nijpend tekort is aan personeel dat in staat is om de relevante taken effectief op te lossen.
Een van de laatste peilingen van vorig jaar registreerde de groeiende bezorgdheid van Amerikanen in verband met privacy- en netwerkbeveiligingskwesties. En hoewel de nadruk vooral lag op het beoordelen van de veiligheid van bedrijfs- en overheidsnetwerken, kan in de algemene context van de reacties angst worden opgespoord met betrekking tot alles wat mensen omringt in deze onzekere wereld: dat 71% van de respondenten zei dat ze bezorgd over het beveiligingsprobleem in de CS, en 78% maakt zich zorgen over de mogelijkheid van diefstal of ander ongeoorloofd gebruik van hun persoonlijke informatie in de CS.
De veiligheid van draadloze operaties blijft een punt van zorg voor zowel bedrijven als gebruikers. Beiden zijn bang dat hackers informatie on-the-fly kunnen onderscheppen. Bovendien lijkt het verlies van mobiele apparaten met vertrouwelijke informatie door gebruikers een potentieel probleem te zijn.
4.2. Structuur van de beveiligingsmarkt
Wat in de jaren 60 computerbeveiliging en in de jaren 70 gegevensbeveiliging werd genoemd, wordt nu beter informatiebeveiliging genoemd. Informatiebeveiliging omvat maatregelen om de processen van gegevenscreatie, hun invoer, verwerking en uitvoer te beschermen. Het belangrijkste doel is het beschermen en waarborgen van de nauwkeurigheid en integriteit van de informatie, en het minimaliseren van de verstoring die kan optreden als de informatie wordt gewijzigd of vernietigd. Informatiebeveiliging vereist dat er rekening wordt gehouden met alle gebeurtenissen wanneer informatie wordt gemaakt, gewijzigd, beschikbaar wordt gesteld en wanneer deze wordt verspreid.
Informatiebeveiliging garandeert het behalen van de volgende doelen:
vertrouwelijkheid van kritieke informatie;
de integriteit van informatie en gerelateerde processen (creatie, input, verwerking en output);
beschikbaarheid van informatie wanneer nodig;
Verzorgen van alle processen die met informatie te maken hebben.
In het algemeen kan de beveiligingsmarkt voor informatiesystemen worden onderverdeeld in twee ideologisch niet-gerelateerde gebieden.
De eerste richting stelt als doel de informatiebescherming van netwerken, dat wil zeggen de bescherming van informatie die binnen informatienetwerken circuleert. Momenteel is het het meest gevraagd en daarom goed ontwikkeld. Dit omvat verschillende antivirussen, firewalls, cryptografische tools, beveiligingsprotocollen, digitale handtekeningen, enz. Het veiligste middel van vandaag is versleuteling met openbare sleutels.
De tweede richting, die zich de laatste jaren snel ontwikkelt, heeft betrekking op de directe beveiliging van netwerkobjecten. Deze richting wordt voornamelijk vertegenwoordigd door mechanische apparaten die toegang tot hardware voorkomen, dat wil zeggen tot servers, personal computers, enz. De belangrijkste taak van deze apparaten is om verschillende bevestigingsmiddelen, sloten, beschermkappen, enz. te gebruiken om te voorkomen dat de indringer de computer opent. In het arsenaal bevinden zich ook softwaretools waarmee je gestolen computers kunt vinden nadat ze minimaal één keer zijn aangesloten op het telefoonnetwerk of op internet. Deze programma's bestaan uit twee delen: de cliënt en het informatieverwerkingscentrum. Nadat de client op een computer is geïnstalleerd, neemt deze periodiek (elke 15 minuten) contact op met het centrum en verzendt het beschikbare informatie over de huidige status van de computer (IP-adres, telefoonnummer waarmee de computer momenteel is verbonden, enz.). De client is zo geïnstalleerd dat deze wordt beschermd tegen formattering van de harde schijf en niet zichtbaar is met de gebruikelijke hulpprogramma's van het besturingssysteem (procesviewers). Een andere optie voor het implementeren van de tweede richting is dat computers, met behulp van extra bedrading en speciale sensoren die aan de achterkant van de computer zijn bevestigd, worden gecombineerd in een ander netwerk dan een netwerk voor gegevensoverdracht en worden aangesloten op een hardwareapparaat dat in staat is onbevoegde toegang te registreren en alarm afgaan..
Hoogstwaarschijnlijk zullen we in de nabije toekomst getuige zijn van de integratie van deze twee gebieden, wat een natuurlijke stap is naar een hoger niveau van informatiebescherming. En als gevolg van een dergelijke integratie kan een bepaald universeel beveiligingssysteem ontstaan en heeft de beveiligingsbeheerder één werkplek van waaruit hij de volgorde van gegevensverwerking en de integriteit van objecten kan controleren. De installatie van een dergelijk systeem vereist geen extra bekabeling en de werking ervan heeft op geen enkele manier invloed op de prestaties van het datanetwerk.
4.3. Leiders in de markt voor beveiligingssystemen
Symantec Corporation
Symantec Corporation, een van 's werelds toonaangevende leveranciers van internetbeveiligingssystemen, is een toonaangevende leverancier van beveiligingsoplossingen op de markt. Het Norton-merk van Symantec is een lijn van informatiebeveiligingsproducten die wereldwijd toonaangevend is op het gebied van zowel detailhandelsverkopen als brancheonderscheidingen. Het hoofdkantoor van Symantec is gevestigd in Cupertino, pc. Californië. Het bedrijf heeft kantoren in 37 landen.
Het Gartner Dataquest-rapport noemde het bedrijf 's werelds toonaangevende leverancier van beveiligingssoftware. Deze schatting is gebaseerd op de inkomsten uit de verkoop van nieuwe licenties in 2000. Uit het Gartner Dataquest-rapport blijkt dat de groei van Symantec de beveiligingsmarkt overtreft, waarbij de omzet van Symantec in een jaar tijd met 40% groeit. "Als gevolg van de fusie van december 2000 met Axent, is Symantec van de vierde naar de nummer één op de lijst gestegen en heeft 14,7% van de beveiligingsmarkt veroverd", aldus het rapport. De beveiligingssoftware van Symantec, zoals geclassificeerd door Gartner Dataquest, omvat: antivirussoftware, coderingssoftware, inbraakdetectietools en andere informatiebeveiligingstools - firewalls, programma's voor het filteren van webbronnen, toepassingen voor het regelen van toegang tot externe netwerken. Symantec biedt antivirusbescherming, firewalls, virtuele privénetwerken, zwakke plekken in de beveiliging en inbraakdetectie, filtering van internet- en e-mailinhoud, technologieën voor beheer op afstand en beveiligingsservices.
Netwerk Associates, Inc.
Dit bedrijf domineert, net als Symantec, vol vertrouwen de markt voor beveiligingssystemen en controleert ongeveer 60% van de wereldwijde antivirusmarkt. Volgens Network Associates, Inc. (NAI) heeft wereldwijd meer dan 60 miljoen gebruikers. NAI biedt een van de meest feature- en consumentenprogramma's voor het beveiligen, beheren en bewaken van bedrijfsnetwerken. De functionaliteit en breedte van de oplossingen die worden aangeboden door Network Associates wordt aangevuld met mogelijkheden die zijn verkregen van Pretty Good Privacy (PGP) en Magic Solutions, evenals de krachtige functies van de antivirusprogramma's van Dr.Solomon, waarvan de eerste versie begin 1997 werd uitgebracht door De software van Dr.Solomon. McAfee, een divisie van Network Associates, Inc., heeft gemeld dat McAfee GroupShield Exchange-software voor het derde jaar op rij de Best Buy-prijs heeft ontvangen van Secure Computing Magazine en de MS Exchange Antivirus Comparison Test heeft gewonnen. In de Microsoft Exchange 2001 Antivirus Comparison Review kreeg McAfee GroupShield de hoogste cijfers en presteerde het beter dan producten van andere antivirusleveranciers zoals Symantec, Kaspersky Lab, Trend Micro, F-Secure, Panda, Computer Associates en anderen.
bedrijf Computer Associates International Inc.
Een IDC-rapport identificeerde Computer Associates International, Inc. (CA) als toonaangevende leverancier van software voor authenticatie, autorisatie en administratie (3A), die 15,5% van de wereldmarkt bezit. In 2001 noemde een IDC-rapport met de titel "Forecast and Analysis of the International Internet Security Software Market 2001-2005" CA voor het tweede achtereenvolgende jaar als 's werelds toonaangevende leverancier van internetbeveiligingssoftware. CA biedt 3A-oplossingen via de eTrust-productfamilie (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control en eTrust Intrusion Detection). "CA is de duidelijke wereldleider op het gebied vann, zowel wat betreft technologie-efficiëntie als het totale marktvolume", aldus CA Vice President, eTrust Solutions, Barry Keyes. "De voordelen van ons nieuwe licentie-bedrijfsmodel, uitgebreide technische service en transparante geïntegreerde e-business managementoplossing hebben ons in staat gesteld een ongeëvenaarde waardepropositie te maken voor informatiebeveiligingsmanagers van ondernemingen en dienstverleners." De eTrust-productfamilie stelt het managementteam in staat om de toegang te beveiligen, te beheren en het beheer en de beveiliging van een end-to-end geautomatiseerd systeem te waarborgen. De eTrust-oplossing voldoet aan de huidige normen voor gegevensbescherming en garandeert de mogelijkheid om samen te werken met bestaande interne beveiligingsmechanismen en met dezelfde mechanismen van netwerkpartners.
Tot slot wil ik nogmaals opmerken dat het probleem van informatiebeveiliging elk jaar urgenter wordt. En de markt, die inspeelt op de massale vraag, zal zeker betrouwbare en behoorlijk waardige beveiligingsoplossingen aanbieden, en die biedt trouwens al. En het belangrijkste is nu om op welke manier dan ook het begin van de informatiechaos te stoppen, die wordt veroorzaakt door degenen die graag over hun schouder meekijken of in andermans elektronische portefeuilles snuffelen. En daarvoor moet iedereen voor zichzelf een betrouwbaar middel voor informatiebeveiliging kiezen dat hen een goede informatiebeveiliging biedt.
Gevolgtrekking
Aanvankelijk werd het netwerk gecreëerd als een onbeschermd open systeem ontworpen voor informatiecommunicatie van een steeds groter aantal gebruikers.
Tegelijkertijd moest de verbinding van nieuwe gebruikers zo eenvoudig mogelijk zijn en toegang tot informatie het handigst. Dit alles is duidelijk in tegenspraak met de principes van het creëren van een veilig systeem, waarvan de beveiliging in alle stadia van de oprichting en werking moet worden beschreven en gebruikers duidelijke bevoegdheden moeten krijgen.
De makers van het netwerk hebben hier niet naar gestreefd en de vereisten van bescherming zouden het project zo ingewikkeld maken dat het nauwelijks mogelijk zou zijn om het te creëren.
Conclusie: internet is gemaakt als een onveilig systeem, niet ontworpen om vertrouwelijke informatie op te slaan en te verwerken. Bovendien kan het beveiligde internet niet het systeem worden dat het nu is en zou het ook niet veranderen in een informatiebeeld van de wereldcultuur, haar verleden en heden. Dit is de onafhankelijke waarde van het netwerk en misschien is de onzekerheid ervan de prijs voor zo'n hoog doel.
Gevolg: er zijn veel gebruikers die geïnteresseerd zijn in het internet om een systeem te worden met gecategoriseerde informatie en gebruikersrechten die onderworpen zijn aan een vastgesteld veiligheidsbeleid.
De helderste creaties van de menselijke geest beginnen echter na een tijdje een onafhankelijk leven te leiden, zich ontwikkelend en verder gaand dan de oorspronkelijke bedoelingen van de makers. Daarom is de zwakke beveiliging van het netwerk in de loop van de tijd steeds meer een punt van zorg geworden voor de gebruikers.
Naar onze mening mag het netwerk geen informatie bevatten waarvan de openbaarmaking ernstige gevolgen zal hebben. Integendeel, het is noodzakelijk om informatie op het web te plaatsen waarvan de verspreiding wenselijk is voor de eigenaar. Tegelijkertijd moet er altijd rekening mee worden gehouden dat deze informatie op elk moment kan worden onderschept, vervormd of ontoegankelijk kan worden. Het moet daarom niet gaan om de veiligheid van het internet, maar om het waarborgen van een redelijke toereikendheid van de informatiebeveiliging van het Netwerk.
Dit neemt natuurlijk niet weg dat het nodig is de gebruiker vertrouwd te maken met een rijk en alsmaar groeiend arsenaal aan software en hardware om de netwerkinformatiebeveiliging te waarborgen. We merken echter op dat ze niet in staat zijn om van internet een veilige omgeving te maken, wat een verandering van aard zou betekenen.
Zal het internet veilig zijn? De ontwikkeling van internetbeveiligingstools kan in strijd zijn met het doel ervan en het idee van internet vervormen. Het is legitiemer om de kwestie aan de orde te stellen van het creëren van een gespecialiseerde veilige wereldwijde infosfeer die is ontworpen om de wereldwijde productie, transport en geopolitiek te beheren. Blijkbaar zal vooruitgang leiden tot de noodzaak om zo'n uniform systeem te creëren. Een dergelijke communicatieomgeving zal een beveiligingsarchitectuur hebben en de integriteit en vertrouwelijkheid van informatie garanderen. Het is duidelijk dat de makers van dit systeem ervoor moeten zorgen dat de politieke en economische belangen van wereldactoren worden nageleefd, aangezien multi-field eigendom van dit systeem controle over de wereld betekent.
Het is duidelijk dat zo'n medium niet het internet kan zijn zoals het nu is. Het belangrijkste is, naar onze mening, om af te zien van het streven om het internet van vandaag dichter bij een dergelijke omgeving voor het beheer van de wereld te brengen. Het internet is op zijn eigen manier goed zoals het is.
Wat is het vooruitzicht van de bescherming van informatiesystemen in het tijdperk van integratie van de informatieverwerkingsomgeving? Naar onze mening ligt de uitweg uit de huidige situatie in een duidelijk onderscheid tussen informatie die van vitaal belang is voor de proefpersonen - gebruikers - en het creëren van gespecialiseerde systemen voor de verwerking ervan. Dergelijke systemen moeten in het wereldwijde netwerk kunnen worden geïntegreerd en tegelijkertijd hun informatie-isolatie in één richting kunnen garanderen.
ComputerPress 8 "1999"
Lukatsky AV Aanvaldetectiesystemen//Banktechnologieën. 1999. Nr. 2.
ComputerPers 10 "2001
ComputerDruk 3 "2002
In november 2000 meldden enkele persbureaus, met name Lenta.ru, dat aanvallers ongeoorloofde toegang hadden verkregen tot het computernetwerk van Gazprom en tijdelijk volledige controle hadden gekregen over de gasstromen. 24 programma's genaamd "Trojaanse paarden" werden geïntroduceerd in de computernetwerken van Gazprom, waarmee de relevante gegevens voor een succesvolle hackeraanval werden verkregen. Hierdoor werd het centrale regelpunt voor gasstromen tijdelijk aangestuurd door externe gebruikers. Of er daadwerkelijke schade is aangericht, zegt de officiële verklaring niet, maar aangenomen kan worden dat er nauwelijks schade was. Het centrale controlepunt is immers het belangrijkste informatiecentrum van waaruit men niet alleen de gasstromen kan beheren, maar ook kan graven in enorme banken en databases; en om de gegevens te wijzigen - ook het is mogelijk.
Tot nu toe is er geen exacte definitie van het begrip "aanval" (invasie, aanval). Elke beveiligingsprofessional interpreteert het anders. Bijvoorbeeld: "een inbraak is elke handeling die een systeem van een veilige toestand naar een gevaarlijke toestand brengt." Deze term kan ook als volgt worden uitgelegd: "een inbraak is elke schending van een beveiligingsbeleid" of "elke handeling die leidt tot een schending van de integriteit, vertrouwelijkheid en beschikbaarheid van een systeem en de daarin verwerkte informatie." De volgende interpretatie lijkt echter correcter, nauw verbonden met de term 'kwetsbaarheid' die wordt gebruikt in een artikel dat is gewijd aan systemen voor beveiligingsanalyse en dat is gepubliceerd in het laatste nummer van Network Journal. Aanval (aanval, inbraak) op een informatiesysteem is een actie of een reeks onderling verbonden acties van een indringer die leidt tot de realisatie van een dreiging door misbruik te maken van de kwetsbaarheden van dit informatiesysteem. Met andere woorden, als het mogelijk zou zijn om de kwetsbaarheden van informatiesystemen te elimineren, dan zou ook de mogelijkheid om aanvallen uit te voeren worden geëlimineerd.
Tot op heden is het niet bekend hoeveel aanvalsmethoden er bestaan. Dit komt vooral doordat er nog geen serieuze wiskundige studies op dit gebied zijn. Onder verwante studies kunnen we het werk noemen dat in 1996 is geschreven door Fred Cohen, dat de wiskundige grondslagen van virustechnologie beschrijft. Als een van de resultaten van dit werk wordt een bewijs gegeven van de oneindigheid van het aantal virussen. Hetzelfde kan gezegd worden over aanvallen, aangezien virussen een van de subsets van aanvallen zijn.
Aanvalsmodellen
Het traditionele aanvalsmodel is gebaseerd op het principe van "één op één" (Fig. 1.) of "One to Many" (Fig. 2), d.w.z. de aanval komt uit één bron. Ontwikkelaars van netwerkbeveiligingstools (firewalls, inbraakdetectiesystemen, enz.) zijn gericht op het traditionele aanvalsmodel. Op verschillende punten van het beveiligde netwerk zijn agents (sensoren) van het beveiligingssysteem geïnstalleerd, die informatie doorgeven aan de centrale beheerconsole. Dit vergemakkelijkt het opschalen van het systeem, vereenvoudigt de bediening op afstand, enz. Een dergelijk model kan echter niet omgaan met een relatief recent (in 1998) ontdekte dreiging: gedistribueerde aanvallen.
Het gedistribueerde of gecoördineerde aanvalsmodel maakt gebruik van verschillende principes. In tegenstelling tot de traditionele één-op-één- en één-op-veel-modellen, gebruikt het gedistribueerde model de veel-op-één- en veel-op-veel-principes (respectievelijk afbeeldingen 3 en 4).
Gedistribueerde aanvallen zijn gebaseerd op de "klassieke" denial-of-service-aanvallen, die hieronder zullen worden besproken, of beter gezegd, op hun subset, bekend als overstromings- of stormaanvallen (deze termen kunnen worden vertaald als "storm", "overstroming" of "lawine "). De bedoeling van deze aanvallen is om een groot aantal pakketten naar een bepaald knooppunt of netwerksegment (het doelwit van de aanval) te sturen, wat kan leiden tot het uitschakelen van dit knooppunt of segment, omdat het zal verdrinken in een lawine van verzonden pakketten en kunnen verzoeken van geautoriseerde gebruikers niet verwerken. SYN-Flood, Smurf, UDP Flood, Targa3, enz. Aanvallen werken volgens dit principe. Als de kanaalbandbreedte naar het aanvalsdoel echter de bandbreedte van de aanvaller overschrijdt of het doelknooppunt onjuist is geconfigureerd, zal een dergelijke aanval niet slagen " succes". Laten we zeggen dat het nutteloos is om te proberen je ISP te breken met deze aanvallen. Bij een verspreide aanval verandert de situatie radicaal. De aanval vindt niet langer plaats vanaf één punt op internet, maar vanaf meerdere tegelijk, wat leidt tot een sterke toename van het verkeer en het uitschakelen van de aangevallen node. Bijvoorbeeld, volgens "Rossiya-Online" werd de grootste internetprovider in Armenië "Arminco" gedurende twee dagen, beginnend op 28 december 2000 om 9.00 uur, onderworpen aan een verspreide aanval. In dit geval deden meer dan 50 machines uit verschillende landen mee aan de aanval en stuurden betekenisloze berichten naar het adres van Arminco. Het was niet vast te stellen wie deze aanval organiseerde en in welk land de hacker zich bevond. Hoewel Arminco voornamelijk werd aangevallen, bleek de hele snelweg die Armenië met het World Wide Web verbindt overbelast te zijn. Op 30 december werd de verbinding dankzij de medewerking van "Arminco" en een andere provider - "ArmenTel" volledig hersteld. De computeraanval ging echter door, maar met minder intensiteit.
Stadia van aanvalsimplementatie
De volgende stadia van aanvalsimplementatie kunnen worden onderscheiden: voorbereidende acties of informatievergaring (informatievergaring), aanvalsimplementatie (exploitatie) en aanvalsvoltooiing. Als ze het over een aanval hebben, bedoelen ze meestal precies de tweede fase, waarbij ze de eerste en de laatste vergeten. Het verzamelen van informatie en het voltooien van de aanval ("de sporen verbergen") kan op zijn beurt ook een aanval zijn en kan in drie fasen worden verdeeld (Fig. 5).
De belangrijkste fase is het verzamelen van informatie. Het is de effectiviteit van de aanvaller in dit stadium die de sleutel is tot het "succes" van de aanval. Allereerst wordt het doelwit van de aanval geselecteerd en wordt er informatie over verzameld (type en versie van het besturingssysteem, open poorten en actieve netwerkdiensten, geïnstalleerde systeem- en applicatiesoftware en de configuratie ervan, enz.). Vervolgens worden de meest kwetsbare plekken van het aangevallen systeem geïdentificeerd, waarvan de impact leidt tot het door de aanvaller gewenste resultaat.
| Firewalls zijn niet effectief tegen veel aanvallen. |
In de eerste fase probeert de aanvaller alle interactiekanalen tussen het doelwit van de aanval en andere knooppunten te identificeren. Hiermee kunt u niet alleen het type aanval kiezen dat wordt uitgevoerd, maar ook de bron van de implementatie. Het aangevallen knooppunt werkt bijvoorbeeld samen met twee servers waarop Unix en Windows NT draaien. Het aangevallen knooppunt heeft een "vertrouwens"-relatie met de ene server, maar niet met een andere. Via welke server de aanvaller de aanval zal uitvoeren, hangt af van welke aanval zal worden gebruikt, welke implementatiemethode zal worden gekozen, enz. Vervolgens wordt, afhankelijk van de ontvangen informatie en de nagestreefde doelen, de aanval geselecteerd die het meeste effect heeft. SYN Flood, Teardrop, UDP Bomb, enz. kunnen bijvoorbeeld worden gebruikt om de werking van een knooppunt te verstoren, en PHF CGI-script om een wachtwoordbestand te stelen, wachtwoorden op afstand te raden, enz., om een knooppunt binnen te dringen en informatie te stelen. komt de tweede fase is de uitvoering van de gekozen aanval.
Traditionele beveiligingsmaatregelen, zoals firewalls of filtermechanismen in routers, spelen een rol in de tweede fase, waarbij de eerste en derde fase volledig worden "vergeten". Dit leidt ertoe dat de vaak gepleegde aanval zelfs met krachtige en dure beschermingsmiddelen zeer moeilijk te stoppen is. Een voorbeeld hiervan zijn gedistribueerde aanvallen. Het zou logisch zijn als de beveiligingshulpmiddelen in de eerste fase zouden beginnen te werken, d.w.z. ze zouden de mogelijkheid om informatie over het aangevallen systeem te verzamelen, voorkomen, wat de acties van de aanvaller aanzienlijk zou kunnen compliceren. Met traditionele tools is het evenmin mogelijk om reeds gepleegde aanvallen te detecteren en de schade na hun implementatie te beoordelen (de derde fase) en dus maatregelen te bepalen om dergelijke aanvallen in de toekomst te voorkomen.
Afhankelijk van het gewenste resultaat concentreert de overtreder zich op een of ander stadium. Voor een denial of service analyseert het bijvoorbeeld eerst het aangevallen netwerk in detail en zoekt het naar mazen en zwakke punten erin om deze aan te vallen en de netwerkknooppunten uit te schakelen. Om informatie te stelen, richt de aanvaller zich op onmerkbare penetratie in de geanalyseerde nodes met behulp van eerder ontdekte kwetsbaarheden.
Overweeg de belangrijkste mechanismen voor het uitvoeren van aanvallen. Dit is nodig om de methoden voor het detecteren van deze aanvallen te begrijpen. Bovendien is het begrijpen van de principes van de acties van aanvallers de sleutel tot een succesvolle verdediging van uw netwerk.
Verzameling van informatie
De eerste fase van de aanvalsimplementatie is het verzamelen van informatie over het aangevallen systeem of de aangevallen host, dwz het bepalen van de netwerktopologie, het type en de versie van het besturingssysteem van de aangevallen host, evenals beschikbare netwerk- en andere diensten, enz. Deze acties worden op verschillende manieren uitgevoerd.
Studie van de omgeving. In dit stadium onderzoekt de aanvaller de netwerkomgeving van het vermeende doelwit van de aanval, zoals de hosts van de ISP van het aangevallen bedrijf of de hosts van zijn externe kantoor. Een aanvaller probeert mogelijk de adressen te achterhalen van "vertrouwde" systemen (bijvoorbeeld het netwerk van een partner) en hosts die rechtstreeks zijn verbonden met het doelwit van de aanval (bijv. een ISP-router), enz. Dergelijke acties zijn moeilijk te detecteren omdat ze vrij lang duren, en buiten het gebied dat wordt gecontroleerd door beveiligingsmaatregelen (firewalls, inbraakdetectiesystemen, enz.).
Identificatie van netwerktopologie. Er zijn twee methoden voor netwerktopologiedetectie die door aanvallers worden gebruikt: het wijzigen van de TTL (TTL-modulatie) en het vastleggen van de route (record route). De programma's traceroute voor Unix en tracert voor Windows gebruiken de eerste manier om de netwerktopologie te bepalen. Ze gebruiken hiervoor het veld Time to Live in de IP-pakketheader, dat verandert afhankelijk van het aantal routers dat door het netwerkpakket wordt doorgegeven. Het ping-hulpprogramma is geschikt voor het vastleggen van de route van een ICMP-pakket. Vaak kan de netwerktopologie worden achterhaald met behulp van het SNMP-protocol dat op veel netwerkapparaten is geïnstalleerd en waarvan de beveiliging onjuist is geconfigureerd. Met behulp van het RIP-protocol kunt u proberen informatie te krijgen over de routeringstabel op het netwerk, enz.
| De verscheidenheid aan aanvallen is grenzeloos. |
Veel van deze methoden worden gebruikt door moderne besturingssystemen (bijv. HP OpenView, Cabletron SPECTRUM, MS Visio, enz.) om netwerkkaarten te bouwen. En dezelfde methoden kunnen met succes door aanvallers worden gebruikt om een kaart van het aangevallen netwerk te maken.
Identificatie van het knooppunt. Identificatie van een host (hostdetectie) wordt in de regel uitgevoerd door het ECHO_REQUEST-commando van het ICMP-protocol te verzenden met behulp van het ping-hulpprogramma. Het ECHO_REPLY-antwoordbericht geeft aan dat het knooppunt beschikbaar is. Er zijn gratis programma's die het proces van het parallel identificeren van een groot aantal knooppunten automatiseren en versnellen, zoals fping of nmap. Het gevaar van deze methode is dat ECHO_REQUEST-verzoeken niet worden opgelost door de standaardmiddelen van het knooppunt. Hiervoor zijn verkeersanalysetools, firewalls of inbraakdetectiesystemen nodig.
Dit is de eenvoudigste methode om knooppunten te identificeren, maar heeft een aantal nadelen. Ten eerste blokkeren veel netwerkapparaten en programma's ICMP-pakketten en laten ze niet toe in het interne netwerk (of, omgekeerd, laten ze er niet uit). MS Proxy Server 2.0 staat bijvoorbeeld niet toe dat pakketten het ICMP-protocol passeren. Het resultaat is geen compleet beeld. Aan de andere kant vertelt het blokkeren van een ICMP-pakket de aanvaller over de aanwezigheid van de "eerste verdedigingslinie" - routers, firewalls, enz. Ten tweede maakt het gebruik van ICMP-verzoeken het gemakkelijk om hun bron te detecteren, wat natuurlijk de aanvaller is niet geïnteresseerd.
Er is een andere methode om netwerkknooppunten te definiëren - met behulp van de "gemengde" ("promiscue") modus van de netwerkkaart, waarmee u verschillende knooppunten in een netwerksegment kunt definiëren. Maar het is niet van toepassing in gevallen waarin het verkeer van het netwerksegment niet beschikbaar is voor de aanvaller vanaf zijn host, d.w.z. deze methode is alleen geschikt voor lokale netwerken. Een andere manier om hosts op een netwerk te identificeren, is de zogenaamde DNS-verkenning, waarmee u hosts op een bedrijfsnetwerk kunt identificeren door toegang te krijgen tot een naamserviceserver.
Service-identificatie en poortscanning. Identificatie van services (servicedetectie) wordt in de regel uitgevoerd door open poorten te detecteren (poortscanning). Dergelijke poorten worden vaak geassocieerd met services die zijn gebaseerd op de TCP- of UDP-protocollen. Open poort 80 impliceert bijvoorbeeld de aanwezigheid van een webserver, poort 25 - een SMTP-mailserver, 31337e - het servergedeelte van de "Trojaanse paard" BackOrifice, 12345e of 12346e - het servergedeelte "Trojaanse paard" NetBus, enz. Er kunnen verschillende programma's worden gebruikt om services te identificeren en poorten te scannen, inclusief gratis gedistribueerde, zoals nmap of netcat.
Identificatie van het besturingssysteem. Het belangrijkste mechanisme voor detectie van besturingssystemen op afstand is de analyse van reacties op verzoeken die rekening houden met verschillende implementaties van de TCP / IP-stack in verschillende besturingssystemen. De TCP / IP-protocolstack in elk besturingssysteem is op zijn eigen manier geïmplementeerd, waardoor met behulp van speciale verzoeken en reacties daarop kan worden bepaald welk besturingssysteem op een externe host is geïnstalleerd.
Een andere, minder effectieve en extreem beperkte manier om OS-knooppunten te identificeren, is door de netwerkservices te analyseren die in de vorige stap zijn ontdekt. Als we bijvoorbeeld poort 139 openen, kunnen we concluderen dat de externe host hoogstwaarschijnlijk een besturingssysteem van de Windows-familie draait. Er kunnen verschillende programma's worden gebruikt om het besturingssysteem te bepalen, zoals nmap of queso.
Bepalen van de rol van het knooppunt. De voorlaatste stap bij het verzamelen van informatie over de aanvallende host is het bepalen van zijn rol, bijvoorbeeld bij het uitvoeren van de functies van een firewall of een webserver. Deze stap wordt gedaan op basis van reeds verzamelde informatie over actieve services, hostnamen, netwerktopologie, enz. Laten we zeggen dat een open poort 80 de aanwezigheid van een webserver kan aangeven, het blokkeren van een ICMP-pakket kan wijzen op een mogelijke firewall, en De DNS-hostnaam proxy.domain.ru of fw.domain.ru spreekt voor zich.
Bepaling van kwetsbaarheden van de host. De laatste stap is het zoeken naar kwetsbaarheden. Een aanvaller die verschillende geautomatiseerde tools gebruikt of handmatig bepaalt welke kwetsbaarheden kunnen worden gebruikt om een aanval uit te voeren. ShadowSecurityScanner, nmap, Retina, enz. kunnen als dergelijke geautomatiseerde tools worden gebruikt.
Uitvoering van de aanval
Na al het bovenstaande wordt geprobeerd toegang te krijgen tot de aangevallen host, zowel direct (de host binnendringend) als indirect, bijvoorbeeld bij het uitvoeren van een denial of service-aanval. Het uitvoeren van een aanval bij directe toegang kan ook worden onderverdeeld in twee fasen: penetratie en controle.
penetratie omvat het op verschillende manieren overwinnen van de perimeterbeveiliging (firewall) - met behulp van een kwetsbaarheid in de computerservice die naar buiten "kijkt", of het verzenden van vijandige informatie via e-mail (macrovirussen) of via Java-applets. Dergelijke informatie kan worden verzonden via zogenaamde tunnels in de firewall (niet te verwarren met VPN-tunnels), waar de aanvaller vervolgens doorheen dringt. De selectie van het wachtwoord van een beheerder of een andere gebruiker met behulp van een gespecialiseerd hulpprogramma (L0phtCrack of Crack) kan ook aan deze fase worden toegeschreven.
Controle opzetten. Na penetratie vestigt de aanvaller de controle over het aangevallen knooppunt. Dit kan door het introduceren van een Trojaans paard programma (NetBus of BackOrifice). Nadat de aanvaller de controle over het gewenste knooppunt heeft verkregen en "de sporen heeft bedekt", kan de aanvaller op afstand alle noodzakelijke ongeautoriseerde acties uitvoeren zonder medeweten van de eigenaar van de aangevallen computer. Tegelijkertijd moet de controle over het bedrijfsnetwerkknooppunt worden gehandhaafd, zelfs nadat het besturingssysteem opnieuw is opgestart - door een van de opstartbestanden te vervangen of door een link naar een vijandige code in opstartbestanden of het systeemregister in te voegen. Er is een geval bekend waarin een aanvaller erin slaagde de EEPROM van een netwerkkaart te herprogrammeren en, zelfs na het opnieuw installeren van het besturingssysteem, ongeoorloofde acties opnieuw te implementeren. Een eenvoudigere wijziging van dit voorbeeld is om de vereiste code of snippet in een netwerkopstartscript te injecteren (bijvoorbeeld voor Novell NetWare OS).
Doelen aanvallen. Opgemerkt moet worden dat de aanvaller in de tweede fase twee doelen kan nastreven. Ten eerste het verkrijgen van ongeautoriseerde toegang tot de site zelf en de informatie die erop staat. Ten tweede het ongeautoriseerd toegang verkrijgen tot een node om verdere aanvallen op andere nodes uit te voeren. Het eerste doel wordt in de regel pas gerealiseerd na de realisatie van het tweede. Dat wil zeggen dat de aanvaller eerst een basis voor zichzelf creëert voor verdere aanvallen en pas daarna doordringt tot andere knooppunten. Dit is nodig om het vinden van de bron van de aanval te verbergen of aanzienlijk te compliceren.
Voltooiing van de aanval
De laatste fase van de aanval is "het bedekken van de sporen". Meestal doet de aanvaller dit door relevante vermeldingen te verwijderen uit de logbestanden van de host en andere acties die het aangevallen systeem terugbrengen naar de oorspronkelijke, "vooraf aangevallen" staat.
Classificatie van aanvallen
Er zijn verschillende soorten aanvalsclassificaties. Bijvoorbeeld de indeling in passieve en actieve, externe en interne aanvallen, opzettelijke en onopzettelijke aanvallen. Om de lezer echter niet te verwarren met een grote verscheidenheid aan classificaties die in de praktijk niet erg toepasbaar zijn, zou ik een meer "vitale" classificatie willen aanbieden:
Internetbedrijf Security Systems heeft het aantal mogelijke categorieën teruggebracht tot vijf:
De eerste vier categorieën verwijzen naar aanvallen op afstand en de laatste naar lokale aanvallen die zijn uitgevoerd op de aangevallen host. Opgemerkt kan worden dat een hele klasse van zogenaamde "passieve" aanvallen niet in deze classificatie viel. Naast het "luisteren" naar verkeer, omvat deze categorie ook aanvallen zoals "false DNS-server", "ARP-serverspoofing", enz.
De classificatie van aanvallen die in veel inbraakdetectiesystemen zijn geïmplementeerd, kan niet categorisch zijn. Zo kan een aanval waarvan de implementatie voor Unix OS (bijvoorbeeld statd buffer overflow) de meest rampzalige gevolgen heeft (hoogste prioriteit), voor Windows NT OS totaal niet toepasbaar blijken of een zeer laag risiconiveau hebben.
Gevolgtrekking
Als er geen kwetsbaarheden in de componenten van informatiesystemen zouden zijn, zouden veel aanvallen niet mogelijk zijn en daarom zouden traditionele beveiligingssystemen behoorlijk effectief zijn in het omgaan met mogelijke aanvallen. Maar programma's worden geschreven door mensen die fouten maken. Hierdoor ontstaan er kwetsbaarheden die door aanvallers worden gebruikt om aanvallen uit te voeren. Dit is echter slechts de helft van de moeite. Als alle aanvallen volgens het één-op-één-model zouden zijn gebouwd, dan met enige inspanning, maar firewalls en andere verdedigingssystemen zouden ze ook kunnen weerstaan. Maar... er zijn gecoördineerde aanvallen verschenen, waartegen traditionele middelen niet meer zo effectief zijn. Dit is waar nieuwe technologieën voor het detecteren van aanvallen op het toneel verschijnen, maar over hen - in het volgende artikel.
Aanval databases
In 1999 stelde de MITER Corporation (http://cve.mitre.org) een aanvalsclassificatiemethode voor, die vervolgens werd geïmplementeerd in de Common Vulnerabilities and Exposures (CVE)-database. Ondanks zo'n aantrekkelijk initiatief, werd de CVE-database op het moment van oprichting niet op grote schaal gebruikt door fabrikanten van commerciële producten. Begin 2000 heeft Internet Security Systems (ISS) echter zijn database met kwetsbaarheden die in de beveiligingsanalysesystemen van Internet Scanner en System Scanner worden gebruikt, in overeenstemming gebracht met CVE. Zij was de eerste die verwees naar de uniforme CVE-codes. Dit gaf een impuls aan alle andere fabrikanten. In juni 2000 kondigden Cisco, Axent, BindView, IBM en anderen hun steun aan CVE aan.
Het ISS-bedrijf, dat toonaangevend is in de ontwikkeling van tools voor beveiligingsanalyse en inbraakdetectie, werd in 1994 opgericht door Christopher Klaus, een van de organisatoren van CERT. ISS heeft een onderzoeksgroep X-Force, waarin experts op het gebied van informatiebeveiliging samenkomen. Deze groep monitort niet alleen constant alle meldingen van ontdekte kwetsbaarheden die door andere responsgroepen worden gepubliceerd, maar voert ook zelf software- en hardwaretests uit. De resultaten van deze onderzoeken worden geplaatst in de database van kwetsbaarheden en bedreigingen (ISS X-Force Threat and Vulnerability Database).
Alexey Lukatsky - plaatsvervangend marketingdirecteur van de wetenschappelijke en technische onderneming "Informzashchita"
netwerk
Het motief voor dergelijke criminele activiteiten is het maken van winst. De eenvoudigste en daarom de meest gebruikelijke manier is om netwerkhosts te infecteren met malware van het ransomware-type. In de afgelopen 2 jaar is zijn populariteit snel gegroeid:
- in 2016 steeg het aantal bekende typen (families) ransomware-trojans met 752%: van 29 typen in 2015 tot 247 eind 2016 (volgens TrendLabs);
- dankzij ransomware-virussen "verdienden" cybercriminelen in 2016 $ 1 miljard (volgens CSO);
- in het eerste kwartaal van 2017 verschenen 11 nieuwe ransomware-trojan-families en 55.679 modificaties. Ter vergelijking: in Q2-Q4 2016 verschenen 70.837 modificaties (volgens Kaspersky Lab).
- Januari 2017 Infectie van 70% van de beveiligingscamera's voor de openbare orde in Washington aan de vooravond van de presidentiële inauguratie. Om de gevolgen te elimineren, werden de camera's gedemonteerd, opnieuw geflitst of vervangen door andere;
- Februari 2017 Alle gemeentelijke diensten in Ohio County (VS) gedurende meer dan een week uitschakelen vanwege massale gegevensversleuteling op servers en gebruikerswerkstations (meer dan 1000 hosts);
- maart 2017 Het uitschakelen van de systemen van het Pennsylvania State Capitol (VS) door een aanval en het blokkeren van toegang tot gegevens van informatiesystemen;
- Mei 2017 Een grootschalige aanval door het WannaCry ransomware-virus (WanaCrypt0r 2.0), dat op 26 juni 2017 meer dan 546.000 computers en servers trof op basis van besturingssystemen van de Windows-familie in meer dan 150 landen. In Rusland zijn computers en servers van grote bedrijven als het Ministerie van Volksgezondheid, het Ministerie van Noodsituaties, de Russische Spoorwegen, het Ministerie van Binnenlandse Zaken, Megafon, Sberbank en de Bank of Russia besmet. Er is nog steeds geen universele gegevensdecryptor (methoden om gegevens op Windows XP te decoderen zijn gepubliceerd). De totale schade van het virus bedraagt volgens deskundigen meer dan 1 miljard dollar;
- Grootschalige aanval van het XData-coderingsvirus in mei 2017 (een week na de start van de WannaCry-aanval), waarbij een vergelijkbare WannaCry-kwetsbaarheid (EternalBlue) in het SMBv1-protocol wordt gebruikt om te infecteren, en die voornamelijk het zakelijke segment van Oekraïne treft (96% van geïnfecteerde computers en servers bevinden zich op het grondgebied van Oekraïne), die zich 4 keer sneller verspreidt dan WannaCry. Op dit moment is de encryptiesleutel gepubliceerd, zijn decryptors vrijgegeven voor ransomwareslachtoffers;
- Juni 2017 Een uitgebreide ransomware-aanval trof het netwerk van een van de grootste universiteiten ter wereld, Univercity College London. De aanval was gericht op het blokkeren van de toegang tot gedeelde netwerkopslag, een geautomatiseerd leerlingbeheersysteem. Dit werd gedaan tijdens de pre-examen- en afstudeerperiode, wanneer studenten die hun scripties opslaan op universitaire bestandsservers, meer kans hebben om oplichters te betalen om hun papieren te krijgen. De hoeveelheid versleutelde gegevens en slachtoffers wordt niet bekendgemaakt.
Met de ontwikkeling van ransomware zijn er ook middelen om deze tegen te gaan. Allereerst is dit een open project Geen losgeld meer! (www.nomoreransom.org), die slachtoffers van aanvallen voorziet van gegevensdecodering (in het geval dat de coderingssleutel wordt vrijgegeven), en ten tweede, gespecialiseerde open-source middelen voor bescherming tegen coderingsvirussen. Maar ze analyseren het gedrag van software door middel van handtekeningen en zijn niet in staat om een onbekend virus te detecteren, of ze blokkeren malware nadat deze het systeem heeft aangetast (een deel van de gegevens versleutelen). Gespecialiseerde open-sourceoplossingen zijn van toepassing op internetgebruikers op persoonlijke apparaten / thuisapparaten. Grote organisaties die grote hoeveelheden informatie verwerken, inclusief kritieke, moeten uitgebreide proactieve bescherming bieden tegen gerichte aanvallen.
Proactieve bescherming tegen gerichte aanvallen en ransomware
Overweeg de mogelijke vectoren van toegang tot beschermde informatie die zich op de server of het gebruikerswerkstation bevindt:- Impact op de perimeter van het lokale netwerk van internet is mogelijk door:
- zakelijke e-mail;
- webverkeer, waaronder webmail;
- perimeterrouter / firewall;
- internettoegangsgateways van derden (niet-zakelijke) (modems, smartphones, enz.);
- beveiligde systemen voor toegang op afstand.
- Impact op servers, gebruikerswerkstations via het netwerk:
- het downloaden van malware naar eindpunten/servers op verzoek van hen;
- gebruik van ongedocumenteerde functies (kwetsbaarheden) van systeem-/applicatiesoftware;
- het downloaden van malware via een versleuteld VPN-kanaal dat niet wordt gecontroleerd door IT- en IS-services;
- verbinding met het lokale netwerk van illegale apparaten.
- Directe impact op informatie op servers, gebruikerswerkstations:
- externe opslagmedia verbinden met malware;
- ontwikkeling van malware direct op het eindpunt/server.
Figuur 1. Proactieve verdediging tegen gerichte aanvallen en ransomware
Organisatorische maatregelen ter bescherming tegen gerichte aanvallen en ransomware
De belangrijkste organisatorische maatregelen voor proactieve bescherming tegen gerichte aanvallen en ransomware zijn:- Het vergroten van het bewustzijn van medewerkers op het gebied van informatiebeveiliging.
Het is noodzakelijk om medewerkers regelmatig te trainen en te informeren over mogelijke bedreigingen voor de informatiebeveiliging. De minimale en noodzakelijke maatregel is de vorming van principes voor het werken met bestanden en post:
o Open geen bestanden met dubbele extensies: configureer de weergave van extensies zodat gebruikers kwaadaardige bestanden met dubbele extensies kunnen identificeren (bijvoorbeeld 1СRecord.xlsx.scr);
o neem geen macro's op in niet-vertrouwde Microsoft Office-documenten;
o e-mail afzenderadressen controleren;
o Open geen links naar webpagina's, e-mailbijlagen van onbekende afzenders. - Evaluatie van de effectiviteit van bescherming zowel binnen de organisatie als met inschakeling van externe deskundigen.
Het is noodzakelijk om de effectiviteit van personeelstraining te evalueren door het modelleren van aanvallen, zowel intern als met de deelname van externe specialisten - om penetratietests uit te voeren, inclusief het gebruik van de social engineering-methode. - Regelmatige update van systeemsoftware (Patch Management).
Om malware-aanvallen op doelsystemen door bekende kwetsbaarheden te voorkomen, is het noodzakelijk om te zorgen voor tijdige testen en installatie van systeem- en applicatiesoftware-updates, rekening houdend met de prioriteitstelling door de mate van kritiekheid van updates. - Systematisering van gegevensback-up.
Het is noodzakelijk om regelmatig een back-up te maken van kritieke gegevens van informatiesysteemservers, gegevensopslagsystemen, gebruikerswerkstations (als kritieke informatie moet worden opgeslagen). Back-upkopieën moeten worden opgeslagen op tapebibliotheken van het gegevensopslagsysteem, op vervreemde opslagmedia (op voorwaarde dat de opslagmedia niet permanent verbonden zijn met het werkstation of de server), evenals in cloudgegevensback-upsystemen, opslagplaatsen.
Technische maatregelen ter bescherming tegen gerichte aanvallen en ransomware
Technische maatregelen voor proactieve bescherming tegen gerichte aanvallen en ransomware worden op netwerkniveau en op hostniveau genomen.Proactieve beveiligingsmaatregelen op netwerkniveau
- E-mailfiltersystemen gebruiken, analyse van e-mailverkeer voor ongewenste berichten (spam), koppelingen, bijlagen, inclusief schadelijke (bijvoorbeeld blokkeren van JavaScript- (JS) en Visual Basic (VBS)-bestanden, uitvoerbare bestanden (.exe), splash-bestanden (SCR), Android Package (.apk) en Windows-snelkoppelingsbestanden (.lnk)).
- Filtersystemen voor webverkeer gebruiken die differentiatie en controle van gebruikerstoegang tot internet bieden (inclusief door SSL-verkeer te ontleden door het servercertificaat te vervangen), analyse van streamingverkeer op malware en differentiatie van gebruikerstoegang tot de inhoud van webpagina's.
- Beschermingssystemen gebruiken tegen gerichte aanvallen, zero-day-aanvallen (Sandbox, sandbox), die heuristische en gedragsanalyse van potentieel gevaarlijke bestanden in een geïsoleerde omgeving bieden voordat het bestand naar beveiligde informatiesystemen wordt verzonden. Beveiligingssystemen voor gerichte aanvallen moeten worden geïntegreerd met filtersystemen voor inhoud van het webverkeer, en e-mailfiltering om kwaadaardige bijlagen te blokkeren. Ook zijn beveiligingssystemen tegen gerichte aanvallen geïntegreerd met informatiesystemen binnen de netwerkperimeter om complexe aanvallen op kritieke bronnen en services te detecteren en te blokkeren.
- Zorgen voor toegangscontrole tot het bedrijfsnetwerk op het niveau van bekabelde en draadloze netwerken met behulp van 802.1x-technologie. Deze maatregel sluit ongeautoriseerde aansluiting van onwettige apparaten op het bedrijfsnetwerk uit, biedt de mogelijkheid om te controleren op naleving van het bedrijfsbeleid bij toegang tot het netwerk van de organisatie (beschikbaarheid van antivirussoftware, up-to-date handtekeningdatabases, beschikbaarheid van kritieke Windows-updates) . Toegangscontrole tot het bedrijfsnetwerk met 802.1x wordt verzorgd door NAC-klassen (Network Access Control).
- Uitsluiting van directe interactie externe gebruikers met middelen van bedrijfsinformatiesystemen met behulp van tussenliggende toegangsgateways met daarbovenop geplaatste bed(terminalserver, VDI-desktopvirtualisatiesysteem), inclusief de mogelijkheid om acties van externe gebruikers op te nemen met behulp van video- of tekstopname van de sessie. De maatregel wordt geïmplementeerd met behulp van terminaltoegangssystemen, systemen van de PUM-klasse (Privileged User Management).
- Netwerksegmentatie volgens het principe van noodzakelijke toereikendheid om overbodige toestemmingen voor netwerkinteractie uit te sluiten, beperk de mogelijkheid van verspreiding van kwaadaardige programma's in het bedrijfsnetwerk in geval van infectie van een van de servers / gebruikerswerkstations / virtuele machines. Het is mogelijk om een dergelijke maatregel te implementeren met behulp van analysesystemen voor firewallbeleid (NCM / NCCM, Network Configuration (Change) Management), die een gecentraliseerde verzameling van firewallbeleid, firewallinstellingen en hun verdere verwerking bieden om automatisch aanbevelingen te doen voor hun optimalisatie , controlebeleid verandert firewall.
- Anomaliedetectie op het niveau van netwerkinteracties met behulp van gespecialiseerde oplossingen van de NBA & NBAD-klasse (Network Behaviour Analysis, Network Behaviour Anomaly Detection), waarmee informatie over gegevensstromen kan worden verzameld en geanalyseerd, en verkeersprofilering voor elke netwerkhost om afwijkingen van het "normale" profiel te identificeren. Deze klasse van oplossingen zal onthullen:
O Scannen door een geïnfecteerde host van zijn omgeving;
o infectievector;
o hoststatus: "gescand", "geïnfecteerd en anderen gescand";
o unidirectionele stromen;
o abnormale stromen;
o virale epidemieën;
o verspreide aanvallen;
o een beeld van bestaande stromen. - Geïnfecteerde hosts uitschakelen(geautomatiseerde werkstations, servers, virtuele machines, enz.) vanaf het netwerk. Deze maatregel is van toepassing als ten minste één van de hosts in het bedrijfsnetwerk is geïnfecteerd, maar het is noodzakelijk om een virusuitbraak in te dammen en te voorkomen. Werkplekken kunnen worden losgekoppeld van het netwerk door zowel IT- als IS-administratief personeel, en automatisch wanneer tekenen van een bedreiging worden gedetecteerd op de beschermde host (door correlatie van beveiligingsgebeurtenissen, het opzetten van geautomatiseerde acties om alle netwerkactiviteiten op de host te blokkeren / de verbinding met de host te verbreken host van het netwerk op switchniveau, enz.).
Proactieve beveiligingsmaatregelen op hostniveau
- Zorgen voor bescherming tegen onbevoegde toegang werkstations, servers, virtuele machines door middel van verbeterde gebruikersauthenticatie, controle van de integriteit van het besturingssysteem, het blokkeren van het opstarten van het systeem vanaf externe media om infectie van het bedrijfsnetwerk door indringers binnen de netwerkperimeter te voorkomen. Deze maatregel wordt geïmplementeerd door NSD / Endpoint Protection class-oplossingen.
- Zorgen voor antivirusbescherming op alle netwerkknooppunten van de organisatie. Antivirussoftware moet de feiten van virusinfectie van RAM, lokale opslagmedia, volumes, mappen, bestanden, evenals bestanden die zijn ontvangen via communicatiekanalen, elektronische berichten op werkplekken, servers, virtuele machines in realtime detecteren, behandelen, verwijderen of dreigingen isoleren. Handtekeningdatabases met antivirussoftware moeten regelmatig worden bijgewerkt en up-to-date worden gehouden.
- Zorgen voor monitoring en controle van softwareacties op beschermde hosts door het monitoren van actieve services en services, heuristische analyse van hun functioneren. Een dergelijke maatregel wordt geïmplementeerd door oplossingen van de HIPS-klasse (Host Intrusion Prevention).
- Zorgen voor controle over de aansluiting van externe apparaten, het blokkeren van ongebruikte poorten op beveiligde hosts om te voorkomen dat onbevoegde apparaten verbinding maken met beveiligde hosts: zowel opslagmedia met potentieel schadelijke programma's als externe internettoegangsgateways (bijvoorbeeld een 4G-modem) die een ongecontroleerd en onbeschermd internettoegangskanaal bieden. Deze maatregel wordt geïmplementeerd door NSD / Endpoint Protection class-oplossingen.
- Bied geavanceerde hostbescherming met gedragsanalyse het functioneren van processen op beschermde hosts, machine learning, heuristische bestandsanalyse, applicatiecontrole, exploitbescherming om onbekende bedreigingen (zero-day-bedreigingen) in realtime te detecteren en te blokkeren. Deze maatregel wordt geïmplementeerd door oplossingen van de NGEPP-klasse (Next Generation Endpoint Protection).
- Anti-ransomware-oplossingen van bureaus gebruiken die gegevens op de geïnfecteerde host versleutelen. Deze omvatten:
o Productieve beveiligingssystemen tegen gerichte aanvallen, zero-day-aanvallen met een client-server-architectuur. De clientsoftware wordt geïnstalleerd op de beveiligde host, beschermt in realtime tegen zero-day-bedreigingen, virussen die gegevens in het systeem versleutelen, ontsleutelt gegevens die zijn versleuteld door malware (als een agent aanwezig is, vóór infectiepogingen), verwijdert ransomware en beschermt tegen phishing-aanvallen. De clientsoftware biedt controle over alle toegangskanalen tot de host: webverkeer, vervreemde opslagmedia, e-mail, toegang via een lokaal netwerk, malware in versleuteld verkeer (VPN).
o Zero-day beschermingssystemen tegen bedreigingen (sandboxen) aan de clientzijde in het publieke domein (sandboxie, koekoeksandbox, schaduwverdediger, enz.).
o Op microvirtualisatie gebaseerde zero-day-clientsystemen voor bescherming tegen bedreigingen (Bromium vSentry) die gedragsanalyse bieden van potentieel schadelijke bestanden in een hardware-geïsoleerde omgeving (microvirtuele infrastructuur). - Firewalls bieden op hostniveau softwarefirewalls gebruiken om de toegang tot bedrijfsnetwerkbronnen te beperken, de verspreiding van malware in het geval van een hostinfectie te beperken, ongebruikte netwerkpoorten en protocollen te blokkeren.
Andere beschermingsmaatregelen tegen ransomware-virussen
Naast bovenstaande maatregelen helpt het volgende een gerichte aanval op een bedrijfsnetwerk te voorkomen:- Zorgen voor regelmatige beveiligingsanalyses van de IT-infrastructuur - het scannen van netwerkknooppunten om bekende kwetsbaarheden in systeem- en applicatiesoftware te vinden. Deze maatregel zorgt voor tijdige detectie van kwetsbaarheden en zorgt ervoor dat ze kunnen worden geëlimineerd voordat ze door aanvallers worden uitgebuit. Het beveiligingsanalysesysteem lost ook de taken op van het bewaken van netwerkapparaten en apparaten die zijn aangesloten op gebruikerswerkstations (bijvoorbeeld een 4G-modem).
- De verzameling en correlatie van gebeurtenissen maakt een alomvattende aanpak mogelijk voor het detecteren van ransomware in een netwerk op basis van SIEM-systemen, aangezien deze methode een compleet beeld geeft van de IT-infrastructuur van het bedrijf. De effectiviteit van SIEM ligt in het verwerken van gebeurtenissen die worden verzonden vanuit verschillende infrastructuurcomponenten, waaronder informatiebeveiliging, op basis van correlatieregels, waarmee u snel potentiële incidenten kunt identificeren die verband houden met de verspreiding van ransomware.
Geef prioriteit aan anti-ransomwaremaatregelen
Betrouwbare uitgebreide bescherming tegen gerichte aanvallen wordt geboden door een reeks organisatorische en technische maatregelen, die in de volgende groepen zijn gerangschikt:- Een basispakket aan maatregelen die alle organisaties moeten toepassen om zich te beschermen tegen gerichte aanvallen en ransomware.
- Een uitgebreid pakket aan maatregelen voor middelgrote en grote organisaties met hoge verwerkingskosten.
- Een geavanceerde reeks maatregelen die van toepassing zijn op middelgrote en grote organisaties met een geavanceerde IT- en infoen hoge kosten van verwerkte informatie.
Figuur 2. Prioritering van beschermingsmaatregelen tegen ransomware
Ransomware-beveiligingsmaatregelen voor eindgebruikers
De dreiging van ransomware-infectie is ook relevant voor interneteindgebruikers, voor wie ook aparte maatregelen om infectie te voorkomen van toepassing zijn:- tijdige installatie van systeemsoftware-updates;
- gebruik van antivirusprogramma's;
- het tijdig bijwerken van databases met antivirushandtekeningen;
- gebruik van gratis beschikbare anti-malwaretools die gegevens op de computer versleutelen: RansomFree, CryptoDrop, AntiRansomware-tool voor bedrijven, Cryptostalker, enz. Het installeren van beveiligingstools van deze klasse is van toepassing als kritieke niet-geback-upte gegevens op de computer en een betrouwbare antivirus zijn opgeslagen beschermingstools zijn niet geïnstalleerd.
Kwetsbaarheid van mobiele apparaten (Android, iOS)
"Slimme" mobiele apparaten (smartphones, tabletcomputers) zijn niet meer weg te denken uit het leven: elk jaar neemt het aantal geactiveerde mobiele apparaten, mobiele applicaties en het volume aan mobiel verkeer toe. Waar vroeger mobiele telefoons alleen een database met contacten opsloegen, zijn het nu opslagplaatsen van kritieke gegevens voor de gebruiker: foto's, video's, agenda's, documenten, enz. Mobiele apparaten worden steeds vaker gebruikt in het bedrijfsleven (jaarlijkse groei van 20-30%) . Daarom groeit ook de interesse van kwaadwillenden in mobiele platforms, met name als het gaat om het afpersen van geld met behulp van trojans. Volgens Kaspersky Lab was ransomware in het eerste kwartaal van 2017 goed voor 16% van het totale aantal malware (in het vierde kwartaal van 2016 was dit niet meer dan 5%). Het grootste percentage Trojaanse paarden voor mobiele platforms is geschreven voor het populairste mobiele besturingssysteem, Android, maar er zijn ook vergelijkbare voor iOS.Beschermende maatregelen voor mobiele apparaten:
- Voor de zakelijke sector:
o het gebruik van Mobile Device Management (MDM) class-systemen die controle bieden over de installatie van systeemsoftware-updates, de installatie van applicaties en controle over de beschikbaarheid van superuser-rechten;
o bedrijfsgegevens op de mobiele apparaten van de gebruiker te beschermen - Mobile Information Management (MIM)-klassesystemen die bedrijfsgegevens opslaan in een versleutelde container die is geïsoleerd van het besturingssysteem van het mobiele apparaat;
o gebruik van Mobile Threat Prevention-klassesystemen die controle bieden over de aan applicaties verleende machtigingen, gedragsanalyse van mobiele applicaties. - Voor eindgebruikers:
o officiële winkels gebruiken om applicaties te installeren;
o tijdig updaten van systeemsoftware;
o uitsluiting van navigatie door niet-vertrouwde bronnen, installatie van niet-vertrouwde applicaties en diensten.
conclusies
Eenvoudige implementatie en lage kosten voor het organiseren van cyberaanvallen (ransomware, DDoS, aanvallen op webapplicaties, enz.) leiden tot een toename van het aantal cybercriminelen terwijl het gemiddelde niveau van technisch bewustzijn van de aanvaller afneemt. In dit opzicht nemen de kans op inin het bedrijfsleven en de noodzaak om uitgebreide bescherming te bieden sterk toe.Daarom richten we ons bij Informzashchita op moderne uitdagingen op het gebied van informatiebeveiliging en beschermen we de infrastructuur van onze klanten tegen de nieuwste, inclusief onbekende bedreigingen. Door het creëren en implementeren van complexe adaptieve modellen voor het tegengaan vanen, weten we hoe we cyberbedreigingen kunnen voorspellen, voorkomen, detecteren en erop reageren. Het belangrijkste is om het op tijd te doen.
