O nouă abordare a protecției informațiilor - sisteme de detectare a amenințărilor informatice. Atacul computerizat

Introducere

Sistemele de detectare a intruziunilor în rețea și identificarea semnelor de atacuri informatice asupra sistemelor informaționale au fost folosite de mult timp ca una dintre liniile de apărare necesare pentru sistemele informaționale. Dezvoltatorii de sisteme de securitate a informațiilor și consultanții din acest domeniu folosesc în mod activ astfel de concepte (transferate din direcția asigurării securității fizice și industriale) ca protecție „perimetru”, protecție „staționară” și „dinamică” au început să apară; de exemplu, mijloace „proactive” de protecție.

Cercetările în domeniul detectării atacurilor asupra rețelelor și sistemelor de calculatoare sunt de fapt efectuate în străinătate de mai bine de un sfert de secol. Sunt studiate semnele atacurilor, sunt dezvoltate și utilizate metode și mijloace de detectare a tentativelor de pătrundere neautorizată prin sisteme de securitate, atât de interconectare, cât și locale - la nivel logic și chiar fizic. De fapt, aceasta poate include chiar și cercetări în domeniul PEMIN, deoarece manipularea electromagnetică își are analogii directi în mediul de rețea care a devenit deja obișnuit pentru utilizatorul obișnuit de computer. Sistemele comerciale de detectare a intruziunilor și atacurilor (IDA) de la companii străine (ISS RealSecure, NetPatrol, Snort, Cisco etc.) sunt larg reprezentate pe piața rusă și, în același timp, soluțiile complexe de la dezvoltatorii ruși practic nu sunt reprezentate. Acest lucru se datorează faptului că mulți cercetători și dezvoltatori autohtoni implementează SOA, menținând analogii ale arhitecturilor și soluțiilor standard ale sistemelor deja cunoscute, fără a încerca în special creșterea eficienței detectării preventive a atacurilor și a răspunsului la acestea. Avantajele competitive pe acest segment al pieței ruse sunt de obicei obținute printr-o reducere semnificativă a prețului și dependența de „sprijinul producătorilor autohtoni”.

Figura 2. Piramida informației

Partea superioară a piramidei informaționale o reprezintă riscurile și amenințările inerente sistemului în cauză. Mai jos sunt diverse opțiuni pentru implementarea amenințărilor (atacuri), iar cel mai scăzut nivel îl reprezintă semnele atacurilor. Utilizatorul final, precum și sistemul de detectare a atacurilor, au capacitatea de a înregistra doar procesul de dezvoltare a unui anumit atac sau fapta realizată a unui atac pe baza trăsăturilor caracteristice observate. Semnele unui atac sunt ceva pe care de fapt le putem înregistra și procesa folosind diverse mijloace tehnice și, prin urmare, avem nevoie de mijloace de înregistrare a semnelor de atac.

Dacă acest proces este luat în considerare în timp, atunci putem spune că anumite secvențe de semne observate dau naștere unor evenimente de securitate. Evenimentele de securitate pot transfera obiectele protejate ale unui sistem informatic într-o stare nesigură. Prin urmare, un sistem de detectare a atacurilor necesită o porțiune de informații suficient de completă, care să conțină toate evenimentele de securitate care au avut loc în sistemul informațional în perioada analizată. În plus, urcând piramida, pentru un eveniment de securitate poți specifica la ce tip de amenințări poate duce, pentru a prezice evoluția acestuia în timpul desfășurării unui atac și a lua măsuri pentru a contracara amenințările pe care le poate provoca acest atac.

Metodologia de prelucrare a datelor în sistemele informaționale moderne presupune utilizarea pe scară largă a multi-level. Pentru un nou tip de SOA, se pot distinge următoarele niveluri mari la care este posibil accesul la informațiile procesate:

1. Nivel de aplicație software, cu care lucrează utilizatorul final al sistemului informatic. Aplicația software are adesea vulnerabilități care pot fi folosite de atacatori pentru a obține acces la datele software care sunt procesate.
2. Nivel DBMS. Nivelul DBMS este un caz special al instrumentelor la nivel de aplicație, dar ar trebui să fie separat într-o clasă separată datorită specificului său. Un SGBD, de regulă, are propriul sistem de politici de securitate și acces de utilizator, care nu poate fi ignorat atunci când se organizează securitatea.
3. Nivel de sistem de operare. Sistemul de operare al computerelor IP-ului protejat este un element important de protecție, deoarece orice aplicație software folosește instrumentele oferite de sistemul de operare. Este inutil să îmbunătățim calitatea și fiabilitatea aplicației software dacă este operat pe un sistem de operare neprotejat.
4. Transmisie nivel mediu. Circuitele integrate moderne implică utilizarea diferitelor medii de transmisie a datelor pentru a interconecta componentele hardware care alcătuiesc CI. Mijloacele de transmisie a datelor sunt una dintre cele mai neprotejate componente IS astăzi. Controlul mediului de transmisie și al datelor transmise este una dintre componentele obligatorii ale mecanismelor de protecție a datelor.

În mod ilustrativ, nivelurile de procesare a fluxurilor de date în sistemul informațional sunt prezentate în.

Figura 3. Niveluri de procesare a informațiilor într-un sistem informațional

Pe baza celor de mai sus, putem concluziona că orice instrumente de securitate a informațiilor, inclusiv sistemele de detectare și prevenire a atacurilor, trebuie să fie capabile să analizeze datele procesate și transmise la fiecare dintre nivelurile selectate. Cerința prezenței unui sistem de detectare a atacurilor la fiecare nivel funcțional al sistemului informațional conduce la necesitatea separării subsistemului de înregistrare a evenimentelor de securitate într-un set separat de sonde de informații SOA, care asigură colectarea informațiilor în întreaga rețea a sistemului. sistem informatic. În același timp, eterogenitatea platformelor software și hardware și a sarcinilor rezolvate de diverse obiecte IS necesită utilizarea unei arhitecturi modulare a sondelor de informații pentru a asigura o adaptare maximă la condițiile specifice aplicației.

Utilizarea cunoștințelor despre amenințările la securitatea informațiilor pentru a detecta atacurile asupra unui sistem informațional

Amenințările la securitatea informațiilor sunt de obicei interconectate într-un fel. De exemplu, amenințarea de confiscare a unui server web vulnerabil al unui nod de rețea poate duce la amenințarea de preluare completă a controlului acestui nod, prin urmare, pentru a prezice și a evalua situația, este recomandabil să se țină cont de probabilitatea relația de amenințări.

Dacă luăm în considerare U - ansamblul de amenințări de securitate la adresa sistemului informațional luat în considerare, atunci u i O U este a i-a amenințare. Presupunând că setul de amenințări este finit, vom presupune că implementarea celei de-a i-a amenințări poate duce, cu o oarecare probabilitate, la posibilitatea implementării altor amenințări. În acest caz, apare sarcina de a calcula P(u|u i1 ,u i2 ,...,u ik) - probabilitatea ca amenințarea u să se realizeze, cu condiția ca amenințările u i1 ,u i2 ,..., u ik sunt realizate (vezi).

Figura 4. Vedere a graficului de dependență a amenințărilor la securitatea informațiilor

Cea mai fiabilă modalitate de a detecta un atac este de a avea cât mai multe informații despre evenimentul care a avut loc. După cum se poate observa din secțiunile anterioare, sistemele moderne detectează cel mai adesea atacurile pe baza prezenței unei anumite semnături, foarte specifice.

Prin extinderea acestei abordări, ne putem concentra asupra procesului de identificare a diferitelor etape (faze) de implementare a acestora în atacurile informatice. Identificarea fazelor de atac, în special a celor timpurii, este un proces important care permite în cele din urmă să detectăm un atac pe măsură ce se dezvoltă. Totuși, acest lucru se poate face doar prin determinarea adecvată a listei de amenințări la adresa sistemului informațional care poate fi implementată la fiecare fază a atacului și reflectând în mod corespunzător acest fapt în clasificare. La cea mai apropiată aproximare, există trei faze principale ale unui atac: recunoașterea rețelei, implementarea, consolidarea și ascunderea urmelor.

Analiza relației dintre amenințări și fazele de atac și prezicerea celor mai probabile amenințări care pot fi implementate de un atacator este o sarcină importantă în asigurarea securității informațiilor. Acest lucru este necesar pentru luarea în timp util a deciziilor pentru a bloca influențele rău intenționate.

Următorul element al conceptului de detectare a atacurilor este clasificarea. Clasificarea atacurilor informatice este încă în curs de cercetare. Sarcina principală a dezvoltării unei clasificări a atacurilor informatice este de a asigura ușurința de utilizare a acestei clasificări în practică. Cerințele de bază pentru clasificare sunt următoarele: clase care nu se suprapun, completitudine, aplicabilitate, obiectivitate, extensibilitate, finit. Sunt propuse abordări interesante pentru clasificarea atacurilor de rețea în. Clasificarea amenințărilor de securitate trebuie să țină cont de structura și fazele unui atac asupra sistemelor informatice, să determine atribute precum sursele și țintele atacului, caracteristicile suplimentare ale acestora și tipificarea pe mai multe niveluri. Modelul de detectare a intruziunilor ar trebui construit pe baza clasificării elaborate.

Astfel, în viitor, este necesar să se rezolve următoarele probleme - determinarea celei mai probabile implementări a amenințării la momentul actual pentru a avea o idee despre consecințele pe care sistemul informațional se poate aștepta în cel mai scurt timp posibil, ca precum și întocmirea unei prognoze a evoluției situației pentru a determina implementarea cea mai probabilă a amenințărilor în viitor.

Îmbunătățirea eficienței sistemelor de detectare a intruziunilor - o abordare integrată

În general, sistemele moderne de detectare a intruziunilor și atacurilor sunt încă departe de a fi soluții ergonomice și eficiente din punct de vedere al securității. Eficiența sporită ar trebui introdusă nu numai în domeniul detectării influențelor rău intenționate asupra infrastructurii obiectelor informaționale protejate, ci și din punctul de vedere al operațiunii zilnice de „combatere” a acestor fonduri, precum și economisirea resurselor de calcul și informații ale proprietarul acestui sistem de protectie.

Dacă vorbim direct despre modulele de procesare a datelor, atunci, urmând logica secțiunii anterioare, fiecare semnătură de atac din schema de procesare a informațiilor de atac prezentată este un element de bază pentru recunoașterea acțiunilor mai generale - recunoașterea fazei de atac (etapa implementării acesteia). Însuși conceptul de semnătură este generalizat la o regulă decisivă (de exemplu, prin căutarea unor anomalii în traficul de rețea sau la mișcările de la tastatură ale utilizatorului). Și fiecare atac, dimpotrivă, este împărțit într-un set de etape ale implementării sale. Cu cât atacul este mai simplu, cu atât este mai ușor de detectat și cu atât există mai multe oportunități de a-l analiza. Fiecare semnătură mapează un eveniment specific dintr-o rețea de calcul și un mediu local în spațiul de fază al atacurilor computerizate. Fazele pot fi definite liber, dar este mai bine să păstrați suficiente detalii pentru a putea descrie atacurile folosind scenarii detaliate de atac (o listă de faze de atac și tranziții între ele).

Scenariul de atac în acest caz este un grafic de tranziție similar cu graficul unui automat determinist finit. Iar fazele de atac pot fi descrise, de exemplu, după cum urmează:

• testarea porturilor;
• identificarea software-ului și hardware-ului;
• colecție de bannere;
• utilizarea exploit-urilor;
• întreruperea funcționalității rețelei folosind atacuri de tip denial of service;
• control prin ușile din spate;
• caută troieni instalați;
• căutarea de servere proxy;
• îndepărtarea urmelor de prezență;
• etc. (dacă este necesar cu diferite grade de detaliu).

Avantajele acestei abordări sunt evidente - în cazul prelucrării separate a diferitelor etape ale unui atac, devine posibilă recunoașterea unei amenințări în timpul procesului de pregătire și formare a acesteia și nu în stadiul implementării sale, așa cum se întâmplă în cazul existente. sisteme. În același timp, baza elementară pentru recunoaștere poate fi atât căutarea semnăturilor, cât și detectarea anomaliilor, utilizarea metodelor și sistemelor expert, relațiile de încredere și alte informații, deja cunoscute și implementate, primitive de rețea și locale pentru evaluarea fluxului de evenimente care au loc. în mediul de calcul.

O abordare generalizată a analizei permite, respectiv, identificarea amenințărilor distribuite (în toate sensurile), atât în ​​spațiul temporal, cât și în cel logic, și în spațiul fizic. sursele și proiectarea metadatelor despre incidentele cunoscute de-a lungul „perimetrului” protejat (vezi).

Figura 5. Circuit integrat de detectare a atacurilor computerizate

Atacurile distribuite sunt identificate prin agregarea datelor privind atacurile primite și activitățile suspecte și potrivirea modelelor și filtrarea statistică. Astfel, notificarea activităților suspecte în sistemele informatice are loc la mai multe niveluri:

• nivelul inferior raportează evenimentele primitive (potriviri de semnătură, detectarea anomaliilor);
• stratul mijlociu extrage informații din stratul inferior și le agregează folosind mașini de stări (scripturi de atac), analize statistice și mecanisme de filtrare a pragului;
• cel mai înalt nivel agregează informații din cele două anterioare și vă permite să identificați atacurile convenționale și distribuite, sursa lor reală și să preziceți comportamentul ulterioar pe baza analizei inteligente.

Miezul unui sistem de detectare a atacurilor computerizate trebuie să fie clar separat de sistemul de vizualizare și alarmă.

Pentru a căuta semnături în pachetele de rețea, se folosesc reguli care formează o listă de opțiuni (pașaport) prin care sunt verificate pachetele de rețea primite. Sistemele existente (cum ar fi Snort sau PreludeIDS, care utilizează regulile Snort) folosesc descrieri bazate pe linii ale unor astfel de reguli:

Alertă tcp $HOME_NET 1024:65535 ->
$EXTERNAL_NET 1024:65535
(msg:"TROIAN DE VERSIBILĂ Trojan.Win32.Qhost C&C Trafic de ieșire (cazul 1)";
flux:stabilit;
dimensiune:>1000;
continut:"|00 00 00 28 0a 00 00 02 0f|Service Pack 1|00|";
tip de clasă:activitate-troiană;
referință: url,/www.viruslist.com/en/viruses/encyclopedia?virusid=142254;
sid:2007578;
rev:1;
)

Acest tip este mai convenabil pentru prelucrarea rapidă a mașinii, dar mai puțin potrivit pentru oameni. În plus, îi lipsesc capabilitățile de extindere a funcționalității care sunt inerente implementărilor asemănătoare XML ale bazelor de date de semnături. De exemplu, o configurație simplă „aparentă” vă permite să scrieți o serie de variabile de control și să descrieți regulile într-o formă vizuală mult mai plăcută și mai ușor de înțeles, menținând în același timp capacitatea de a extinde cu ușurință funcționalitatea. Astfel, definirea fazelor atacurilor, obiectelor protejate și evenimentelor care au loc în rețea poate arăta astfel:

Type_defs(
alertă = 1;
avertizare = 2;
eșec = 4;
}
srcdst_defs(
HOME_NET = 195.208.245.212
localhost = 127.0.0.1
}
proto_defs(
tcp = 1;
udp = 2;
tcp-flow = 10;
}
phase_defs(
scanare_port = 1;
exploatare = 2;
icmp_sweeping = 3;
ftp_bouncing = 4;
shell_using = 5;
dir_listing = 6;
deschidere_fișier = 7;
}

Și secțiunea de identificare a amenințărilor de securitate a informațiilor poate avea poziții principale similare cu următoarele:

Treat_defs = (
trata (
nume = fișier-acces neautorizat;
id = FUAC;
msg = "mesaj în engleză";
}
}

Pe lângă amenințările, fazele de atac și obiectele protejate indicate într-o formă flexibilă, procesarea integrată a informațiilor asociată cu identificarea amenințărilor la adresa securității informațiilor face posibilă, de asemenea, introducerea unei abordări orientate spre servicii pentru detectarea atacurilor, generând automat sau manual descrieri ale rețelei și servicii locale, precum și prioritizarea importanței, din punctul de vedere al asigurării nivelului adecvat de securitate a informațiilor și a activității vitale a infrastructurii informaționale din rețea.

Service_defs = (
serviciu (
nume = pop3;
msg = "";
seturi de reguli = „uși din spate, pop3scanere”;
toleranță_securitate = 3
asigurare_viață = 5
}
}

Regulile în sine arată, de exemplu, după cum urmează:

set de reguli(
nume = ușile din spate;
regula (
id = 0x1000;
tip = alertă;
proto = tcp;
src = localhost;
dst = 195.208.245.0/24:2000;
msg = "service::ce este rău în această alertă";
opțiuni = AP, vice_versa;
conţine = "|0a0a0d03|";
fază = exploatare;
trata = fisier-acces-neautorizat;
revizuire = 1;
}
}

Aici sunt luate în considerare atât semnele clasice ale unui eveniment (tip de eveniment, protocol de detectare, sursa și ținta influenței, mesaj scurt), cât și altele suplimentare - faza de atac, tipul de amenințare la care se referă acest eveniment. În acest caz, regulile în sine pot fi grupate în seturi, care sunt apoi potrivite pentru a le conecta cu serviciile de rețea și locale instalate în sistemul protejat.

Dacă revenim la eficiența verificării regulilor în sistemele de detectare a atacurilor de rețea, ar trebui să reținem următorul fapt. În prezent, toate regulile din sistemele SOA sunt verificate după cum urmează (vezi). Regulile eterogene sunt verificate separat, regulă cu regulă, în timp ce operațiunile omogene pe pachete sunt efectuate separat tot timpul. Această abordare nu permite paralelizarea efectivă a procesării pachetelor de rețea, utilizarea pe deplin a capabilităților mai multor conducte pe procesoare moderne sau optimizarea căutării unor reguli de semnătură parțial similare.

Cu toate acestea, există și un dezavantaj al acestei abordări atunci când, de exemplu, modelele sunt legate între ele (iată un exemplu de astfel de model: găsiți prima apariție, apoi verificați prezența unei anumite secvențe binare în raport cu aceasta. după câţiva octeţi). Adevărat, astfel de reguli sunt o minoritate covârșitoare (chiar și judecând după regulile general acceptate ale popularului SOA Snort), ceea ce face posibilă plasarea lor într-o clasă separată de metode paralelizabile și utilizarea oricăror metode simple de verificare secvențială în ele.

Pe lângă avantajul paralelizării procesului de căutare a semnăturilor, devine posibil să se utilizeze metode pentru căutarea simultană a mai multor semnături într-un flux de rețea într-o singură trecere (puteți, de exemplu, construi o mașină de stat mare pentru majoritatea modelelor care participă la regulile sau folosiți o actualizare cu mai multe semnături a algoritmului Boyer-Moore).

Testele experimentale ale diferitelor opțiuni de implementare a metodelor de căutare simultană a mai multor semnături au arătat că cea mai rapidă este implementarea unei mașini mari cu stări finite, modificată în așa fel încât să permită „sărirea” erorilor omogene - omisiuni și inserții de lungime arbitrară, precum și erori de înlocuire (ca urmare a modificării semnăturii, care este o apariție destul de comună, pentru a o ascunde de SOA).

Regulile (șabloanele) care sunt cel mai greu de verificat pot fi pre-compilate în plug-in-uri binare (cum se face, de exemplu, în sistemul RealSecure IDS).

Concluzie

Abordarea modernă pentru construirea sistemelor de detectare a intruziunilor în rețea și identificarea semnelor de atacuri informatice asupra sistemelor informaționale este plină de deficiențe și vulnerabilități care, din păcate, permit influențelor rău intenționate să depășească cu succes sistemele de securitate a informațiilor. Trecerea de la căutarea semnăturilor de atac la identificarea premiselor pentru apariția amenințărilor la adresa securității informațiilor ar trebui să contribuie la schimbarea radicală a acestei situații, reducând decalajul în dezvoltarea sistemelor de protecție față de sistemele de depășire a acestora.

În plus, o astfel de tranziție ar trebui să contribuie la creșterea eficienței managementului securității informațiilor și, în sfârșit, la exemple mai specifice de aplicare a documentelor de reglementare și de orientare care au devenit deja standarde.

Orice metodă de atac este caracterizată de un anumit set de caracteristici. Semnele tipice ale atacurilor includ următoarele: :

1) Repetarea anumitor evenimente și acțiuni. De exemplu, accesarea porturilor (scanare), ghicirea unei parole, repetarea solicitărilor de stabilire a unei conexiuni, ceea ce duce la o coadă sau o depășire a memoriei tampon;

2) Parametrii neaștepți în pachetele de rețea

· atribute neașteptate ale adresei (de exemplu, adrese IP nerutabile sau rezervate, valoarea câmpului sursă sau destinație a portului este zero, cererea de servere nestandard);

· parametrii neaștepți ai steagurilor de pachete de rețea (de exemplu, când steag-ul ACK este setat, numărul de confirmare este zero; există două steaguri SYN+FIN care se exclud reciproc într-un pachet; prezența doar a steagului FIN; utilizarea unei combinații de steaguri SYN+RST și RST+FIN);

· atribute de oră sau dată neașteptate;

3) Parametrii de trafic de rețea neadecvați

· parametrii traficului de intrare (de exemplu, pachetele care intră în rețeaua locală din exterior care au o adresă sursă corespunzătoare domeniului de adrese a rețelei interne);

· parametrii traficului de ieșire (de exemplu, pachete de ieșire din rețeaua locală cu o adresă sursă corespunzătoare intervalului de adrese ale rețelei externe);

· comenzi care nu corespund situației curente (cereri sau răspunsuri incorecte);

· anomalii de trafic în rețea (de exemplu, modificări ale factorului de încărcare, dimensiunea pachetului, numărul mediu de pachete fragmentate);

4) Atribute necorespunzătoare de performanță a sistemului

· caracteristici anormale ale sistemului (încărcare mare a procesorului, acces intensiv la memoria RAM sau pe disc, fișiere);

· discrepanță între caracteristicile de performanță ale utilizatorului și profilurile acestora (abatere de la timpii de încărcare maxim și minim, de la durata unei sesiuni tipice de lucru, de la ora obișnuită de intrare și ieșire din sistem).

Principalele opțiuni pentru implementarea atacurilor informatice

Atacurile pot fi efectuate prin conectare directă sau în rețea la sistem. Prin urmare, există două opțiuni principale pentru implementarea atacurilor:

1) sistem -în care se presupune că atacatorul are deja un cont pe sistemul atacat cu unele privilegii (de obicei scăzute) sau că este posibil să te autentifici în sistem ca utilizator anonim. În acest caz, atacul este efectuat de către atacator care se conectează la sistem sub acest cont și obțin puteri administrative suplimentare. Ca urmare a atacului, se realizează accesul neautorizat la informații despre obiect (gazdă). În special, acest tip de atac poate fi efectuat folosind programul GetAdmin.

2) rețea– ceea ce implică faptul că intrusul încearcă să pătrundă de la distanță în sistem prin rețea. O astfel de penetrare este posibilă atunci când computerul intrusului este situat în același segment de rețea, în segmente diferite sau cu acces de la distanță la obiectul atacat (de exemplu, folosind conexiuni dial-up sau modem dedicate). Ca urmare a unor astfel de atacuri, atacatorul poate fi capabil să controleze de la distanță un computer printr-o rețea, să acceseze resursele de informații ale obiectului atacat, să-și schimbe modul de funcționare, inclusiv refuzul serviciului. Programele NetBus sau BackOrifice pot fi folosite ca programe care vă permit să implementați atacuri de rețea.

Pentru a implementa atacuri, anumite comenzi (secvențe de comenzi) pot fi folosite în interfața liniei de comandă, scripturi, programe sau agenți autonomi instalați pe unul sau distribuiti pe mai multe noduri (calculatoare) ale rețelei.

Introducere

Atac pe un sistem informatic este o acțiune întreprinsă de un atacator, care constă în căutarea și exploatarea unei anumite vulnerabilități. Astfel, un atac este implementarea unei amenințări. Rețineți că această interpretare a unui atac (care implică o persoană cu intenție rău intenționată) exclude elementul de șansă prezent în definiția unei amenințări, dar, după cum arată experiența, este adesea imposibil să se facă distincția între acțiunile intenționate și accidentale și o bună apărare. sistemul trebuie să răspundă în mod adecvat la oricare dintre ele.

Ameninţare dezvăluiri constă în faptul că informația devine cunoscută de cineva care nu ar trebui să o cunoască. În termeni de securitate informatică, o amenințare de dezvăluire apare ori de câte ori sunt accesate unele informații confidențiale stocate într-un sistem de calcul sau transmise de la un sistem la altul. Uneori, termenii „furt” sau „scurgere” sunt folosiți în locul cuvântului „dezvăluire”.

Ameninţare integritate include orice modificare intenționată (modificare sau chiar ștergere) a datelor stocate într-un sistem informatic sau transferate de la un sistem la altul. În general, se crede că entitățile guvernamentale sunt mai susceptibile la amenințarea dezvăluirii, în timp ce entitățile comerciale sau comerciale sunt mai susceptibile la amenințarea la adresa integrității.

Ameninţare refuzul serviciului apare ori de câte ori, ca urmare a unor acțiuni, accesul la o resursă a sistemului de calcul este blocat. În realitate, blocarea poate fi permanentă, astfel încât resursa solicitată nu este niciodată primită, sau poate cauza doar întârzierea resursei solicitate suficient de mult pentru a o face inutilă. În astfel de cazuri, se spune că resursa este epuizată.

Amenințările tipice de pe internet sunt:

· Defecțiunea uneia dintre componentele rețelei. Eșecul din cauza erorilor de proiectare sau a erorilor hardware sau software poate duce la refuzul serviciului sau la un compromis de securitate din cauza funcționării necorespunzătoare a uneia dintre componentele rețelei. Eșecurile firewall-ului sau refuzurile false de autorizare de către serverele de autentificare sunt exemple de eșecuri care au un impact asupra securității.

· Scanarea informațiilor. Vizualizarea neautorizată a informațiilor critice de către atacatori sau utilizatori autorizați poate avea loc folosind o varietate de mecanisme - un e-mail cu un destinatar greșit, o imprimare tipărită, liste de control al accesului configurate incorect, mai multe persoane care partajează același identificator etc.

· Utilizarea informațiilor în alte scopuri - utilizarea informațiilor în alte scopuri decât cele autorizate poate duce la refuzul serviciului, costuri inutile și pierderea reputației. Vinovații pentru acest lucru ar putea fi atât utilizatorii interni, cât și cei externi.

· Masquerade - încearcă să te deghizi ca utilizator autorizat pentru a fura servicii sau informații sau pentru a iniția tranzacții financiare care vor duce la pierderi financiare sau probleme pentru organizație.

1. Detectarea atacurilor

Din punct de vedere istoric, tehnologiile utilizate pentru construirea sistemelor de detectare a atacurilor au fost împărțite în mod convențional în două categorii: detectarea anomaliilor și detectarea utilizării greșite. Cu toate acestea, în practică, se folosește o altă clasificare care ține cont de principiile implementării practice a unor astfel de sisteme: detectarea atacurilor la nivel de rețea (bazat pe rețea) și la nivel de gazdă (bazat pe gazdă). Primele sisteme analizează traficul de rețea, în timp ce cele din urmă analizează jurnalele sistemului de operare sau ale aplicațiilor. Fiecare dintre clase are propriile sale avantaje și dezavantaje, dar mai multe despre asta mai târziu. Trebuie remarcat faptul că doar unele sisteme de detectare a atacurilor pot fi clasificate fără ambiguitate într-una dintre aceste clase. De obicei, acestea includ capabilități din mai multe categorii. Cu toate acestea, această clasificare reflectă capacitățile cheie care diferențiază un sistem de detectare a intruziunilor de altul.

În prezent, tehnologia de detectare a anomaliilor nu este utilizată pe scară largă și nici un sistem distribuit comercial nu o folosește. Acest lucru se datorează faptului că această tehnologie arată frumos în teorie, dar este foarte greu de implementat în practică. Acum, însă, a avut loc o revenire treptată la acesta (mai ales în Rusia) și se poate spera că în curând utilizatorii vor putea vedea primele sisteme comerciale de detectare a atacurilor care folosesc această tehnologie.

O altă abordare a detectării atacurilor este detectarea abuzului, care implică descrierea atacului ca model sau semnătură și căutarea acestui model în spațiul monitorizat (trafic de rețea sau jurnal). Sistemele antivirus sunt un prim exemplu de sistem de detectare a atacurilor care utilizează această tehnologie.

După cum sa menționat mai sus, există două clase de sisteme care detectează atacurile la nivel de rețea și operațional. Avantajul fundamental al sistemelor de detectare a atacurilor bazate pe rețea este că identifică atacurile înainte ca acestea să ajungă la gazda atacată. Aceste sisteme sunt mai ușor de implementat în rețele mari, deoarece nu necesită instalare pe diferitele platforme utilizate în organizație. În Rusia, cele mai utilizate sisteme de operare sunt MS-DOS, Windows 95, NetWare și Windows NT. Diferitele dialecte ale UNIX nu sunt încă la fel de răspândite aici ca în Occident. În plus, sistemele de detectare a intruziunilor la nivel de rețea nu au practic niciun impact asupra performanței rețelei.

Sistemele de detectare a intruziunilor bazate pe gazdă sunt proiectate să ruleze pe un anumit sistem de operare, ceea ce le impune anumite limitări. De exemplu, nu cunosc un singur sistem din această clasă care să funcționeze sub MS-DOS sau Windows for Workgroups (și aceste sisteme de operare sunt încă destul de comune în Rusia). Folosind cunoștințele despre cum ar trebui să se comporte sistemul de operare, instrumentele create cu această abordare pot detecta uneori intruziunile pe care instrumentele de detectare a intruziunilor în rețea le scapă. Cu toate acestea, acest lucru are adesea un cost, deoarece înregistrarea constantă necesară pentru a efectua acest tip de descoperire reduce semnificativ performanța gazdei protejate. Astfel de sisteme încarcă puternic procesorul și necesită cantități mari de spațiu pe disc pentru a stoca jurnalele și, în principiu, nu sunt aplicabile pentru sistemele extrem de critice care funcționează în timp real (de exemplu, sistemul de zi cu zi al unei bănci sau un sistem de control de supraveghere) . Indiferent, ambele abordări pot fi folosite pentru a vă proteja organizația. Dacă doriți să protejați una sau mai multe gazde, sistemele de detectare a intruziunilor la nivel de gazdă pot fi o alegere bună. Dar dacă doriți să protejați majoritatea nodurilor de rețea ale unei organizații, atunci sistemele de detectare a intruziunilor la nivel de rețea sunt probabil cea mai bună alegere, deoarece creșterea numărului de noduri din rețea nu va afecta nivelul de securitate atins de sistemul de detectare a intruziunilor. Acesta va putea proteja noduri suplimentare fără configurare suplimentară, în timp ce în cazul utilizării unui sistem care funcționează la nivel de gazdă, acesta va trebui să fie instalat și configurat pe fiecare gazdă protejată. Soluția ideală ar fi un sistem de detectare a atacurilor care combină ambele abordări.

Sistemele comerciale de detectare a intruziunilor (IDS) de pe piață folosesc astăzi fie o abordare de rețea, fie de sistem pentru a recunoaște și respinge atacurile. În orice caz, aceste produse sunt în căutarea semnături de atac, modele specifice care indică de obicei activitate ostilă sau suspectă. În cazul căutării acestor modele în traficul de rețea, IDS funcționează nivelul rețelei. Dacă IDS caută semnături de atac în jurnalele sistemului de operare sau al aplicațiilor, acesta nivel de sistem. Fiecare abordare are avantajele și dezavantajele sale, dar ambele se completează reciproc. Cel mai eficient este un sistem de detectare a atacurilor care utilizează ambele tehnologii în activitatea sa. Acest material discută diferențele dintre metodele de detectare a atacurilor la nivel de rețea și sistem pentru a le demonstra punctele forte și punctele slabe. De asemenea, descrie opțiuni pentru utilizarea fiecărei metode pentru a detecta cel mai eficient atacurile.

1.1. Detectarea atacurilor la nivel de rețea

Sistemele de detectare a atacurilor la nivel de rețea folosesc pachete brute de rețea ca sursă de date pentru analiză. De obicei, IDS-urile de nivel de rețea folosesc un adaptor de rețea care funcționează în mod promiscuu și analizează traficul în timp real pe măsură ce trece prin segmentul de rețea. Modulul de recunoaștere a atacurilor folosește patru metode binecunoscute pentru a recunoaște semnătura atacului:

o Conformitatea traficului cu un model (semnătură), expresie sau bytecode care indică un atac sau o acțiune suspectă;

o Monitorizarea frecvenței evenimentelor sau depășirea unui prag;

o Corelarea mai multor evenimente cu prioritate scăzută;

o Detectarea anomaliilor statistice.

Odată detectat un atac, modulul de răspuns oferă o gamă largă de opțiuni pentru notificare, alarmă și contramăsuri ca răspuns la atac. Aceste opțiuni variază de la sistem la sistem, dar includ de obicei: notificarea administratorului prin consolă sau e-mail, întreruperea conexiunii cu gazda atacatoare și/sau înregistrarea sesiunii pentru analiză ulterioară și colectare de dovezi.

1.2. Detectarea atacurilor la nivel de sistem

La începutul anilor 1980, înainte de lansarea rețelelor, cea mai comună practică de detectare a atacurilor era examinarea jurnalelor pentru evenimente care ar indica activitate suspectă. Sistemele moderne de detectare a atacurilor la nivel de sistem rămân un instrument puternic pentru înțelegerea atacurilor trecute și identificarea tehnicilor adecvate pentru a atenua exploatările viitoare. IDS-urile moderne la nivel de sistem încă folosesc jurnalele, dar au devenit mai automatizate și includ tehnici de detectare sofisticate bazate pe cele mai recente cercetări matematice. De obicei, IDS la nivel de sistem monitorizează sistemul, evenimentele și jurnalele de securitate (jurnalele de securitate sau jurnalele de sistem) pe rețelele care rulează Windows NT sau Unix. Când oricare dintre aceste fișiere se modifică, IDS compară noile intrări cu semnăturile de atac pentru a vedea dacă există o potrivire. Dacă se găsește o astfel de potrivire, sistemul trimite o alarmă administratorului sau activează alte mecanisme de răspuns specificate.

IDS la nivel de sistem evoluează constant, încorporând treptat tot mai multe metode noi de detectare. O astfel de metodă populară este verificarea sumelor de control ale sistemului cheie și fișierelor executabile la intervale regulate pentru a verifica dacă există modificări neautorizate. Promptitudinea răspunsului este direct legată de frecvența sondajului. Unele produse ascultă porturile active și notifică administratorul când cineva încearcă să le acceseze. Acest tip de detectare aduce un nivel rudimentar de detectare a atacurilor la nivel de rețea în mediul de operare.

1.3. Avantajele sistemelor de detectare a atacurilor la nivel de rețea

IDS-urile la nivel de rețea au multe avantaje pe care le lipsesc sistemele de detectare a intruziunilor la nivel de sistem. De fapt, mulți clienți folosesc sistemul de detectare a intruziunilor la nivel de rețea datorită costului scăzut și răspunsului în timp util. Mai jos sunt principalele motive care fac din detectarea atacurilor la nivel de rețea cea mai importantă componentă a implementării eficiente a politicii de securitate.

1. Cost redus de operare. IDS de nivel de rețea trebuie instalat în locații critice din rețea pentru a controla traficul care circulă între mai multe sisteme. Sistemele de nivel de rețea nu necesită instalarea unui software de detectare a intruziunilor pe fiecare gazdă. Deoarece numărul de locuri în care sunt instalate IDS pentru a monitoriza întreaga rețea este mic, costul de operare a acestora într-o rețea de întreprindere este mai mic decât costul de operare a sistemelor de detectare a atacurilor la nivel de sistem.

2. Detectează atacurile care sunt ratate la nivel de sistem. IDS-urile stratului de rețea examinează antetele pachetelor de rețea pentru activități suspecte sau ostile. IDS-urile la nivel de sistem nu se ocupă de anteturile pachetelor, prin urmare nu pot detecta aceste tipuri de atacuri. De exemplu, multe atacuri de rețea, cum ar fi denial-of-service și teardrop pot fi identificate numai prin analiza antetelor pachetelor pe măsură ce traversează rețeaua. Acest tip de atac poate fi identificat rapid folosind un IDS de nivel de rețea care vizualizează traficul în timp real. IDS-urile stratului de rețea pot examina conținutul corpului de date al unui pachet, căutând comenzi sau sintaxa specifică utilizată în anumite atacuri. De exemplu, atunci când un hacker încearcă să folosească programul Back Orifice pe sisteme care nu sunt încă afectate de acesta, acest fapt poate fi descoperit examinând conținutul corpului de date al pachetului. După cum sa discutat mai sus, sistemele la nivel de sistem nu funcționează la nivel de rețea și, prin urmare, nu sunt în măsură să recunoască astfel de atacuri.

3. Este mai dificil pentru un hacker să îndepărteze urmele prezenței sale. IDS de nivel de rețea utilizează traficul live pentru a detecta atacurile în timp real. Astfel, hackerul nu poate elimina urmele prezenței sale. Datele analizate includ nu numai informații despre metoda de atac, ci și informații care pot ajuta la identificarea atacatorului și la dovedirea acesteia în instanță. Deoarece mulți hackeri sunt intim familiarizați cu jurnalele, ei știu cum să manipuleze aceste fișiere pentru a ascunde urmele activităților lor, reducând eficacitatea sistemelor la nivel de sistem care necesită aceste informații pentru a detecta un atac.

4. Detectare și răspuns în timp real. ID-urile la nivel de rețea detectează atacurile suspecte și ostile pe măsură ce SE AU ÎNTÂMPL și, prin urmare, oferă notificare și răspuns mult mai rapid decât ID-urile la nivel de sistem. De exemplu, un hacker care lansează un atac de refuzare a serviciului pe stratul de rețea bazat pe TCP poate fi oprit de un IDS de nivel de rețea care trimite un indicator de resetare setat în antetul pachetului TCP pentru a termina conexiunea cu gazda atacatoare înainte ca atacul să provoace distrugerea sau deteriorarea ţinta IDS-urile la nivel de sistem de obicei nu recunosc atacurile până când atacul este înregistrat și răspund după ce atacul a fost înregistrat. În acest moment, este posibil ca sistemele sau resursele cele mai critice să fi fost deja compromise sau este posibil ca sistemul care rulează IDS la nivel de sistem să fi fost întrerupt. Notificarea în timp real vă permite să răspundeți rapid conform parametrilor predefiniți. Aceste reacții variază de la permiterea infiltrării într-un mod de supraveghere pentru a aduna informații despre atac și atacator, până la încheierea imediată a atacului.

5. Detectarea atacurilor eșuate sau a intențiilor suspecte. Un IDS de nivel de rețea instalat în exteriorul firewall-ului poate detecta atacuri care vizează resursele din spatele firewall-ului, chiar dacă firewall-ul poate respinge aceste încercări. Sistemele la nivel de sistem nu văd atacurile reflectate care nu ajung la gazda din spatele firewall-ului. Aceste informații pierdute pot fi cele mai importante atunci când se evaluează și se îmbunătățesc politicile de securitate.

6. Independența sistemului de operare. IDS-urile la nivel de rețea sunt independente de sistemele de operare instalate în rețeaua corporativă. Sistemele de detectare a intruziunilor la nivel de sistem necesită sisteme de operare specifice pentru a funcționa corect și pentru a genera rezultatele necesare.

1.4. Avantajele sistemelor de detectare a atacurilor la nivel de sistem

În timp ce sistemele de detectare a intruziunilor la nivel de sistem nu sunt la fel de rapide ca omologii lor la nivel de rețea, ele oferă avantaje pe care acestea din urmă nu le oferă. Aceste beneficii includ o analiză mai riguroasă, o atenție mai mare acordată datelor despre evenimente specifice gazdei și costuri mai mici de implementare.

1. Confirmă succesul sau eșecul atacului. Deoarece IDS la nivel de sistem utilizează jurnalele care conțin date despre evenimentele care au avut loc efectiv, IDS din această clasă poate determina cu mare precizie dacă un atac a avut succes sau nu. În acest sens, IDS-urile la nivel de sistem oferă o completare excelentă pentru sistemele de detectare a intruziunilor la nivel de rețea. Această combinație oferă avertizare timpurie prin componenta de rețea și „succesul” atacului prin componenta de sistem.

2. Controlează activitățile unui anumit nod. Un IDS la nivel de sistem monitorizează activitatea utilizatorului, accesul la fișiere, modificările permisiunilor de fișiere, încercările de a instala programe noi și/sau încercările de a obține acces la servicii privilegiate. De exemplu, un IDS la nivel de sistem poate monitoriza toate activitățile de conectare și deconectare ale unui utilizator, precum și acțiunile pe care fiecare utilizator le efectuează în timp ce este conectat la rețea. Este foarte dificil pentru un sistem de nivel de rețea să ofere acest nivel de detaliu al evenimentului. Tehnologia de detectare a intruziunilor la nivel de sistem poate monitoriza, de asemenea, activitățile care, în mod normal, ar fi efectuate numai de un administrator. Sistemele de operare înregistrează orice eveniment în care conturile de utilizator sunt adăugate, șterse sau modificate. IDS-urile la nivel de sistem pot detecta o modificare corespunzătoare imediat ce aceasta are loc. IDS-urile la nivel de sistem pot, de asemenea, audita modificările politicii de securitate care afectează modul în care sistemele își urmăresc jurnalele etc.

În cele din urmă, sistemele de detectare a intruziunilor la nivel de sistem pot monitoriza modificările la fișierele cheie ale sistemului sau fișierele executabile. Încercările de a suprascrie astfel de fișiere sau de a instala cai troieni pot fi detectate și oprite. Sistemele de nivel de rețea ratează uneori acest tip de activitate.

3. Detectează atacurile pe care sistemele de nivel de rețea le scapă. IDS-urile la nivel de sistem pot detecta atacuri care nu pot fi detectate de instrumentele la nivel de rețea. De exemplu, atacurile care provin de la serverul atacat în sine nu pot fi detectate de sistemele de detectare a atacurilor la nivel de rețea.

4. Potrivit pentru rețele criptate și comutate. Deoarece un IDS la nivel de sistem este instalat pe diverse gazde dintr-o rețea de întreprindere, poate depăși unele dintre provocările întâlnite atunci când operează sisteme la nivel de rețea pe rețele comutate și criptate.

Comutarea permite rețelelor la scară largă să fie gestionate ca mai multe segmente mici de rețea. Ca rezultat, poate fi dificil să se determine cea mai bună locație pentru a instala un IDS de nivel de rețea. Uneori, gestionarea porturilor și a porturilor în oglindă, span porturile de trafic pe switch-uri poate ajuta, dar aceste metode nu sunt întotdeauna aplicabile. Detectarea atacurilor la nivel de sistem asigură o funcționare mai eficientă în rețelele comutate, deoarece... vă permite să plasați ID-uri numai pe acele noduri unde este necesar.

Anumite tipuri de criptare reprezintă, de asemenea, provocări pentru sistemele de detectare a intruziunilor la nivel de rețea. În funcție de locul în care se realizează criptarea (link sau abonat), IDS-ul stratului de rețea poate rămâne „oarb” la anumite atacuri. IDS-urile la nivel de sistem nu au această limitare. În plus, sistemul de operare și, prin urmare, IDS-ul la nivel de sistem, analizează traficul de intrare decriptat.

5. Detectare și răspuns aproape în timp real. În timp ce detectarea atacurilor la nivel de sistem nu oferă un răspuns cu adevărat în timp real, poate fi realizată la scară aproape în timp real atunci când este implementată corect. Spre deosebire de sistemele vechi care verifică starea și conținutul jurnalelor la intervale predeterminate, multe IDS-uri moderne la nivel de sistem primesc o întrerupere de la sistemul de operare de îndată ce apare o nouă intrare de jurnal. Această nouă intrare poate fi procesată imediat, reducând semnificativ timpul dintre recunoașterea unui atac și răspunsul la acesta. Rămâne o întârziere între momentul în care sistemul de operare scrie un eveniment în jurnal și momentul în care sistemul de detectare a intruziunilor îl recunoaște, dar în multe cazuri atacatorul poate fi detectat și oprit înainte ca orice daune să fie făcută.

6. Nu necesită hardware suplimentar. Sistemele de detectare a intruziunilor la nivel de sistem sunt instalate pe infrastructura de rețea existentă, inclusiv servere de fișiere, servere web și alte resurse utilizate. Această capacitate poate face IDS-urile la nivel de sistem foarte rentabile, deoarece nu necesită un alt nod din rețea pentru a se ocupa, întreține și gestiona.

7. Pret mic. Deși sistemele de detectare a intruziunilor la nivel de rețea oferă analiza traficului întregii rețele, acestea sunt adesea destul de scumpe. Costul unui sistem de detectare a intruziunilor poate depăși 10.000 USD. Pe de altă parte, sistemele de detectare a intruziunilor la nivel de sistem costă sute de dolari per agent și pot fi achiziționate de către cumpărător dacă cumpărătorul trebuie să monitorizeze doar unele noduri ale întreprinderii, fără a monitoriza atacurile de rețea.

1.5. Necesitatea sistemelor de detectare a atacurilor la nivel de rețea și de sistem

Ambele soluții: IDS atât la nivel de rețea, cât și la nivel de sistem au propriile avantaje și beneficii care se completează reciproc în mod eficient. Următoarea generație de IDS trebuie, prin urmare, să includă sisteme integrate și componente de rețea. Combinarea acestor două tehnologii va îmbunătăți semnificativ rezistența rețelei la atacuri și abuzuri, va face posibilă înăsprirea politicilor de securitate și va introduce o mai mare flexibilitate în operarea resurselor rețelei.

Figura de mai jos ilustrează modul în care tehnicile de detectare a atacurilor la nivel de sistem și la nivel de rețea interacționează pentru a crea un sistem de apărare a rețelei mai eficient. Unele evenimente sunt detectate numai folosind sisteme de rețea. Altele - folosind doar cele de sistem. Unele necesită ambele tipuri de detecție a atacurilor pentru a obține o detecție fiabilă.

Fig.1. ÎN interacțiunea metodelor de detectare a atacurilor la nivel de sistem și rețea

1.6. Lista cerințelor pentru sistemele de detectare a atacurilor
generația următoare

Caracteristici pentru sistemele de detectare a intruziunilor de generație următoare:

1. Capabilitati de detectare a atacurilor la nivel de sistem si retea, integrate intr-un singur sistem.

2. O consolă de management partajată, cu o interfață consecventă pentru configurarea produsului, politica de gestionare și afișarea evenimentelor individuale din componentele de sistem și de rețea ale sistemului de detectare a intruziunilor.

3. Baza de date integrată de evenimente.

4. Sistem integrat de generare a rapoartelor.

5. Posibilitati de corelare a evenimentelor.

6. Asistență online integrată pentru răspunsul la incident.

7. Proceduri de instalare unificate și consecvente.

8. Adăugarea capacității de a vă controla propriile evenimente.

În al patrulea trimestru al anului 1998, a fost lansată RealSecureT versiunea 3.0, care îndeplinește toate aceste cerințe.

· RealSecure Tracking Module - detectează atacurile la nivel de rețea asupra rețelelor Ethernet, Fast Ethernet, FDDI și Token Ring.

· RealSecure Agent - detectează atacurile asupra serverelor și a altor dispozitive de sistem.

· RealSecure Manager - o consolă de management care oferă configurarea modulelor de urmărire și a agenților RealSecure și integrează analiza în timp real a traficului de rețea și a jurnalelor de sistem.

2. Întreaga lume este plină de atacuri

Pentru a vă proteja împotriva diferitelor tipuri de atacuri, puteți utiliza două strategii. Primul este să achiziționați cele mai apreciate (deși nu întotdeauna cele mai bune) sisteme pentru a vă proteja împotriva tuturor tipurilor posibile de atacuri. Această metodă este foarte simplă, dar necesită investiții financiare uriașe. Nici un singur utilizator casnic sau chiar șeful unei organizații nu va face acest lucru. Prin urmare, se utilizează de obicei a doua strategie, care constă într-o analiză preliminară a amenințărilor probabile și selectarea ulterioară a mijloacelor de protecție împotriva acestora.

Analiza amenințărilor sau analiza riscului poate fi efectuată și în două moduri. O modalitate complexă, dar mai eficientă este aceea că înainte de a selecta cele mai probabile amenințări să se efectueze o analiză a sistemului informațional, a informațiilor procesate în acesta, a software-ului și hardware-ului utilizat etc. Acest lucru va restrânge semnificativ gama de atacuri potențiale și, prin urmare, va crește eficiența investiției banilor în produse de securitate achiziționate. Cu toate acestea, o astfel de analiză necesită timp, bani și, cel mai important, specialiști cu înaltă calificare care realizează un inventar al rețelei analizate. Puține companii, ca să nu mai vorbim de utilizatorii casnici, își pot permite să meargă pe această cale. Ce să fac? Puteți alege instrumentele de protecție pe baza așa-numitelor amenințări standard, adică cele mai comune. În ciuda faptului că unele amenințări inerente la adresa sistemului protejat pot rămâne nesupravegheate, cele mai multe dintre ele se vor încadra în continuare în cadrul subliniat. Ce tipuri de amenințări și atacuri sunt cele mai frecvente? Acest articol este dedicat răspunsului la această întrebare. Pentru ca datele prezentate să fie mai exacte, voi folosi statistici obținute din diverse surse.

Numere, numere, numere...

Cine comite cel mai adesea infracțiuni informatice și comite diverse atacuri? Care sunt cele mai frecvente amenințări? Voi prezenta date obținute de cea mai autorizată sursă în acest domeniu - Institutul de Securitate Informatică (CSI) și grupul de atac informatic al biroului FBI din San Francisco. Aceste date au fost publicate în martie 2000 în raportul anual „2000 CSI/FBI Computer Crime and Security Survey”. Conform acestor date:

· 90% dintre respondenți (corporații mari și organizații guvernamentale) au înregistrat diverse atacuri asupra resurselor lor informaționale;

· 70% dintre respondenți au înregistrat încălcări grave ale politicilor de securitate, precum viruși, atacuri de denial of service, abuz de angajați etc.;

· 74% dintre respondenți au suferit pierderi financiare semnificative ca urmare a acestor încălcări.

Pierderile datorate încălcărilor politicii de securitate au crescut, de asemenea, în ultimii ani. Dacă în 1997 valoarea pierderilor a fost de 100 de milioane de dolari, în 1999 de 124 de milioane, atunci în 2000 această cifră a crescut la 266 de milioane de dolari. a atacurilor comune și mărimea pierderilor din acestea.

O altă sursă autorizată - centrul de coordonare CERT - confirmă și ele aceste date. În plus, conform datelor pe care le-a cules, creșterea numărului de incidente de securitate coincide cu răspândirea internetului.

Interesul pentru comerțul electronic va accelera această creștere în următorii ani. S-a remarcat și o altă tendință. În anii 80 și începutul anilor 90, atacatorii externi au atacat site-urile de internet din curiozitate sau pentru a-și demonstra abilitățile. Acum atacurile urmăresc cel mai adesea scopuri financiare sau politice. Potrivit multor analisti, numarul patrunderilor cu succes in sistemele informatice doar in 1999 sa dublat fata de anul precedent (de la 12 la 23%). Această tendință continuă atât în ​​2000, cât și în 2001.

Există și statistici rusești în acest domeniu. Și deși este incomplet și, potrivit multor experți, reprezintă doar vârful aisbergului, voi prezenta totuși aceste cifre. În anul 2000, conform Ministerului Afacerilor Interne, au fost înregistrate 1.375 infracţiuni informatice. Comparativ cu 1999, această cifră a crescut de peste 1,6 ori. Datele Departamentului pentru Combaterea Crimelor din Sfera Înalte Tehnologii al Ministerului Afacerilor Interne al Federației Ruse (Departamentul „R”) arată că majoritatea infracțiunilor - 584 din total - se referă la accesul ilegal la informații informatice; 258 de cazuri au implicat producerea de pagube materiale prin mijloace informatice; 172 de infracțiuni sunt asociate cu crearea și distribuirea diverșilor viruși, sau mai bine zis, „malware pentru computere”; 101 infracțiuni - din seria „producție sau achiziție ilegală în scopul vânzării de mijloace tehnice pentru obținerea ilegală de informații”, 210 - înșelăciune prin utilizarea rețelelor informatice și de telecomunicații; 44 - încălcarea regulilor de operare a calculatoarelor și a rețelelor acestora.

3. Cum să vă protejați de atacurile de la distanță pe Internet?

Particularitatea internetului de astăzi este că 99% din resursele de informații ale rețelei sunt disponibile publicului. Accesul de la distanță la aceste resurse poate fi făcut anonim de către orice utilizator neautorizat al rețelei. Un exemplu de astfel de acces neautorizat la resurse publice este conectarea la servere WWW sau FTP, dacă acest acces este permis.

După ce a decis ce resurse de Internet intenționează să acceseze utilizatorul, este necesar să răspundem la următoarea întrebare: utilizatorul va permite accesul de la distanță din rețea la resursele sale? Dacă nu, atunci este logic să utilizați un sistem de operare „pur client” ca sistem de operare de rețea (de exemplu, Windows „95 sau NT Workstation), care nu conține programe de server care oferă acces de la distanță și, prin urmare, acces de la distanță la acest lucru. sistem imposibil în principiu, deoarece pur și simplu nu este furnizat în software (de exemplu, Windows OS „95 sau NT, deși cu unul, dar: pentru aceste sisteme într-adevăr nu există servere FTP, TELNET, WWW etc., dar nu trebuie să uităm de cele construite -în capacitatea de a oferi acces de la distanță la sistemul de fișiere, așa-numitul împărtășește resurse. Și amintindu-ne de poziția cel puțin ciudată a Microsoft în ceea ce privește asigurarea securității sistemelor sale, trebuie să te gândești serios înainte de a alege produsele acestei companii. Cel mai recent exemplu: pe Internet a apărut un program care oferă unui atacator acces neautorizat de la distanță la sistemul de fișiere al sistemului de operare Windows NT 4.0!). Alegerea sistemului de operare client rezolvă în mare măsură problemele de securitate pentru un anumit utilizator (nu puteți obține acces la o resursă care pur și simplu nu există!). Cu toate acestea, în acest caz, funcționalitatea sistemului se deteriorează. Aici este oportun să formulăm, în opinia noastră, axioma de bază a securității:

Axioma sigurantei. Principiile accesibilității, confortului, vitezei și funcționalității unui sistem de calcul sunt antagoniste cu principiile securității acestuia.

Această axiomă, în principiu, este evidentă: cu cât o aeronavă este mai accesibilă, convenabilă, rapidă și multifuncțională, cu atât este mai puțin sigură. Se pot da o mulțime de exemple. De exemplu, serviciul DNS: convenabil, dar periculos.

Să revenim la alegerea utilizatorului pentru un sistem de operare al rețelei client. Acesta, apropo, este unul dintre pașii foarte sensibili care conduc la o politică de rețea a izolaționismului. Această politică de securitate a rețelei este de a izola sistemul dumneavoastră de computer de lumea exterioară cât mai complet posibil. De asemenea, unul dintre pașii pentru a asigura această politică este, de exemplu, utilizarea sistemelor Firewall, care vă permit să creați un segment protejat dedicat (de exemplu, o rețea privată), separat de rețeaua globală. Desigur, nimic nu vă împiedică să duceți această politică de izolare a rețelei până la absurd – pur și simplu deconectați cablul de rețea (izolare completă de lumea exterioară!). Nu uitați, aceasta este, de asemenea, o „soluție” la toate problemele cu atacurile de la distanță și securitatea rețelei (datorită absenței complete a acestora).

Așadar, lăsați un utilizator de Internet să decidă să folosească doar un sistem de operare al rețelei client pentru a accesa rețeaua și să îl folosească numai pentru a efectua acces neautorizat. Au fost rezolvate problemele de securitate? Deloc! Totul ar fi bine dacă n-ar fi atât de rău. Pentru un atac Denial of Service, nici tipul de acces folosit de utilizator și nici tipul de sistem de operare al rețelei nu contează deloc (deși sistemul de operare client este oarecum de preferat din punct de vedere al protecției împotriva atacului). Acest atac, exploatând defecte fundamentale de securitate în protocoalele și infrastructura Internet, atacă sistemul de operare al rețelei pe gazda utilizatorului cu un singur scop - de a perturba funcționalitatea acestuia. Pentru un atac de rută falsă ICMP care vizează refuzul serviciului, Windows 95 sau Windows NT sunt țintele cele mai tentante dorința de a provoca pur și simplu răutate.

3.1. Metode administrative de protecție împotriva atacurilor de la distanță pe Internet

Cel mai corect pas in aceasta directie ar fi sa invitati un specialist in securitatea informatiei care, impreuna cu dumneavoastra, va incerca sa rezolve intreaga gama de probleme pentru a asigura nivelul de securitate necesar aeronavei dumneavoastra distribuite. Aceasta este o sarcină complexă destul de complexă, pentru a cărei soluție este necesar să se determine ce (lista obiectelor și resurselor controlate ale RVS), din ce (analiza posibilelor amenințări la adresa acestui RVS) și cum (elaborarea cerințelor, definirea o politică de securitate și dezvoltarea măsurilor administrative și hardware și software pentru a asigura în practică, politica de securitate elaborată) protejează.

Poate că cele mai simple și mai ieftine sunt metodele administrative de protecție împotriva influențelor distructive ale informațiilor.

3.1.1. Cum să vă protejați de analiza traficului de rețea?

Există un atac care permite unui cracker să intercepteze orice informație schimbată între utilizatori la distanță, ascultând în mod programatic un canal de transmitere a mesajelor într-o rețea, dacă pe canal sunt transmise numai mesaje necriptate. De asemenea, se poate demonstra că protocoalele de bază ale aplicației de acces la distanță TELNET și FTP nu asigură protecția criptografică de bază chiar și a identificatorilor (nume) și a autentificatorilor (parole) de utilizator transmis prin rețea. Prin urmare, administratorii de rețea pot fi sfătuiți în mod evident să nu permită utilizarea acestor protocoale de bază pentru a furniza autorizat accesul la resursele sistemelor lor și consideră analiza traficului de rețea ca pe o amenințare permanentă care nu poate fi eliminată, dar implementarea sa poate deveni lipsită de sens prin utilizarea algoritmilor criptografici puternici pentru protejarea fluxului IP.

3.1.2. Cum să te protejezi de un server ARP fals?

Dacă sistemul de operare al rețelei nu are informații despre corespondența dintre adresele IP și Ethernet ale gazdelor dintr-un singur segment de rețea IP, acest protocol vă permite să trimiteți o solicitare ARP de difuzare pentru a căuta adresa Ethernet necesară, către care atacatorul poate trimite un mesaj fals. răspuns și, în viitor, tot traficul de la nivelul legăturii va fi interceptat de atacator și va trece printr-un server ARP fals. Evident, pentru a elimina acest atac, este necesar să se elimine motivul pentru care poate fi efectuat. Motivul principal pentru succesul acestui atac la distanță este lipsa informațiilor necesare din sistemul de operare al fiecărei gazde despre adresele IP și Ethernet corespunzătoare ale tuturor celorlalte gazde dintr-un anumit segment de rețea. Astfel, cea mai simplă soluție ar fi ca administratorul de rețea să creeze un tabel ARP static sub forma unui fișier (de obicei /etc/ethers în sistemul de operare UNIX), unde trebuie introduse informațiile relevante ale adresei. Acest fișier este instalat pe fiecare gazdă din segment și, prin urmare, sistemul de operare al rețelei nu mai trebuie să utilizeze căutarea ARP la distanță.

3.1.3. Cum să te protejezi de un server DNS fals?

Utilizarea serviciului DNS pe Internet în forma sa actuală poate permite unui cracker să obțină control global asupra conexiunilor prin impunerea unei rute false prin gazda crackerului - un server DNS fals. Acest atac de la distanță, bazat pe potențiale vulnerabilități ale serviciului DNS, ar putea duce la consecințe catastrofale pentru un număr mare de utilizatori de internet și ar putea provoca o încălcare masivă a securității informațiilor din această rețea globală. Următoarele două paragrafe sugerează posibile metode administrative pentru prevenirea sau împiedicarea acestui atac la distanță pentru administratorii și utilizatorii de rețea și pentru administratorii de servere DNS.

a) Cum se poate proteja un administrator de rețea de un server DNS fals?

Răspunsul scurt la această întrebare este nu. Nu există nicio apărare administrativă sau programatică împotriva unui atac asupra unei versiuni existente a serviciului DNS. Cea mai bună soluție din punct de vedere al securității ar fi să nu folosiți deloc serviciul DNS pe segmentul dvs. securizat! Desigur, abandonarea completă a utilizării numelor la accesarea gazdelor va fi foarte incomod pentru utilizatori. Prin urmare, putem propune următoarea soluție de compromis: folosiți nume, dar abandonați mecanismul de căutare DNS la distanță. Ai ghicit bine, aceasta este o întoarcere la designul pre-DNS cu servere DNS dedicate. Apoi, pe fiecare mașină din rețea exista gazde un fișier care conținea informații despre numele și adresele IP corespunzătoare ale tuturor gazdelor din rețea. Evident, astăzi un administrator poate introduce informații într-un astfel de fișier doar despre serverele de rețea vizitate cel mai frecvent de utilizatorii unui anumit segment. Prin urmare, folosirea acestei soluții în practică este extrem de dificilă și, aparent, nerealistă (ce ar trebui să facem, de exemplu, cu browserele care folosesc URL-uri cu nume?).

Pentru a face acest atac la distanță mai dificil, puteți sugera administratorilor să folosească protocolul TCP pentru serviciul DNS în loc de protocolul UDP, care este instalat implicit (deși este departe de a fi evident din documentație cum să-l schimbe). Acest lucru va face mult mai dificil pentru un atacator să trimită un răspuns DNS fals către gazdă fără a primi cererea DNS.

Concluzia generală dezamăgitoare este aceasta: pe Internet, atunci când se utilizează existent Versiuni de servicii DNS nu exista soluție acceptabilă pentru a vă proteja împotriva unui server DNS fals (și nu puteți refuza, ca în cazul ARP, și este periculos de utilizat)!

b) Cum se poate proteja un administrator de server DNS de un server DNS fals?

Răspunsul scurt la această întrebare este, din nou, în niciun caz. Singura modalitate de a face acest atac la distanță mai dificil este să utilizați numai TCP, mai degrabă decât UDP, pentru a comunica cu gazde și alte servere DNS. Cu toate acestea, acest lucru va face atacul mai dificil - nu uitați atât de posibila interceptare a cererii DNS, cât și de capacitatea de a prezice matematic valoarea inițială a ISN-ului TCP.

În concluzie, putem recomanda ca întregul Internet să treacă rapid fie la o versiune nouă, mai sigură a serviciului DNS, fie să adopte un singur standard pentru un protocol securizat. Este pur și simplu necesar să facem această tranziție, în ciuda tuturor costurilor colosale, altfel Internetul poate fi pur și simplu pus în genunchi în fața încercărilor de succes tot mai mari de a-și încălca securitatea folosind acest serviciu!

3.1.4. Cum să vă protejați de impunerea unei rute false atunci când utilizați protocolul ICMP?

Atacul, care a constat în trimiterea unui mesaj fals de redirecționare ICMP către gazdă despre schimbarea rutei inițiale, a dus atât la interceptarea informațiilor de către atacatori, cât și la perturbarea gazdei atacate. Pentru a vă proteja împotriva acestui atac de la distanță, trebuie fie să filtrați acest mesaj (folosind un firewall sau un router de filtrare) pentru a-l împiedica să ajungă la sistemul final, fie să selectați în mod corespunzător un sistem de operare de rețea care va ignora acest mesaj. Cu toate acestea, de obicei, nu există o modalitate administrativă de a influența sistemul de operare al rețelei pentru a-l împiedica să schimbe ruta și să răspundă la un anumit mesaj. Singura modalitate, de exemplu, în cazul Linux sau FreeBSD, este să schimbați codul sursă și să recompilați nucleul sistemului de operare. Evident, o astfel de metodă, exotică pentru mulți, este posibilă doar pentru sistemele de operare care sunt distribuite liber împreună cu codul sursă. De obicei, în practică, nu există altă modalitate de a afla reacția sistemului de operare pe care îl utilizați la un mesaj de redirecționare ICMP decât să trimiteți acest mesaj și să vedeți care va fi rezultatul. Experimentele au arătat că acest mesaj vă permite să schimbați rutarea pe Linux 1.2.8, Windows „95 și Windows NT 4.0. Trebuie remarcat faptul că produsele Microsoft nu sunt deosebit de sigure împotriva posibilelor atacuri de la distanță inerente rețelelor IP. Prin urmare, utilizați datele sistemului de operare. într-un segment de rețea IP protejat pare nedorit Aceasta va fi decizia administrativă de a proteja segmentul de rețea de acest atac de la distanță.

3.1.5. Cum să te protejezi de refuzul serviciului?

Nu există și nu pot fi metode acceptabile de protecție împotriva refuzului serviciului în standardul de internet IPv4 existent. Acest lucru se datorează faptului că în acest standard este imposibil să se controleze traseul mesajelor. Prin urmare, este imposibil să se asigure un control fiabil asupra conexiunilor de rețea, deoarece un subiect al interacțiunii cu rețea are posibilitatea de a ocupa un număr nelimitat de canale de comunicație cu un obiect la distanță și, în același timp, de a rămâne anonim. Din această cauză, orice server de pe Internet poate fi complet paralizat folosind un atac de la distanță.

Singurul lucru care poate fi sugerat pentru a crește fiabilitatea unui sistem supus acestui atac este utilizarea celor mai puternice computere posibile. Cu cât este mai mare numărul și frecvența procesoarelor, cu atât este mai mare cantitatea de RAM, cu atât funcționarea sistemului de operare al rețelei va fi mai fiabilă atunci când este lovit de o „furtună” direcționată de solicitări false de a crea o conexiune. În plus, trebuie să utilizați sisteme de operare care se potrivesc cu puterea dvs. de calcul cu o coadă internă care poate găzdui un număr mare de solicitări de conectare. La urma urmei, dacă, de exemplu, instalați un sistem de operare Linux sau Windows NT pe un supercomputer, în care lungimea cozii pentru cererile procesate simultan este de aproximativ 10, iar timpul de expirare de ștergere a cozii este de câteva minute, atunci, în ciuda puterii de calcul a computer, sistemul de operare va fi complet paralizat de atacator.

3.1.6. Cum să vă protejați de înlocuirea uneia dintre părți atunci când interacționați folosind protocoalele de bază ale familiei TCP/IP

După cum am menționat mai devreme, singurul de bază Protocolul familiei TCP/IP, care asigură inițial funcția de asigurare a securității conexiunii și a abonaților acesteia, este protocolul stratului de transport - protocolul TCP. În ceea ce privește protocoalele de bază la nivel de aplicație: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, niciunul dintre ele nu oferă securitate suplimentară a conexiunii la nivelul lor și lasă soluția tuturor problemelor de asigurare a securității conexiunii la nivelul inferior de transport. protocol - TCP. Cu toate acestea, amintindu-ne de posibilele atacuri asupra unei conexiuni TCP, discutate în paragraful 4.5, unde s-a remarcat că, dacă atacatorul se află în același segment în scopul atacului, este în principiu imposibil să se protejeze împotriva falsificării unuia dintre abonați. a conexiunii TCP, iar în cazul în care se află în segmente diferite, datorită posibilității de predicție matematică a identificatorului conexiunii TCP ISN, este posibilă și înlocuirea unuia dintre abonați, este ușor de concluzionat că atunci când se utilizează protocoale din familia TCP/IP, este aproape imposibil de asigurat securitatea conexiunii! Acest lucru se datorează faptului că, din păcate, toate protocoalele de bază ale Internetului sunt incredibil de depășite din punct de vedere al securității informațiilor.

Singurul lucru care poate fi recomandat administratorilor de rețea să îl protejeze numai de la atacuri intersegmentare asupra conexiunilor - utilizați protocolul TCP și sistemele de operare de rețea ca protocol „securizat” de bază, în care valoarea inițială a identificatorului de conexiune TCP este de fapt generată aleatoriu (un algoritm bun de generare pseudo-aleatorie este folosit în ultimele versiuni al sistemului de operare FreeBSD).

3.2. Metode software și hardware de protecție împotriva atacurilor de la distanță pe Internet

Software-ul și hardware-ul pentru asigurarea securității informaționale a comunicațiilor în rețelele de calculatoare includ:

• criptoare hardware ale traficului de rețea;
• Tehnica firewall, implementată pe baza de software și hardware;
• protocoale cripto securizate de rețea;
• Analizoare software și hardware de trafic de rețea;
• sisteme de operare de rețea securizate.

Există o cantitate imensă de literatură dedicată acestor instrumente de securitate destinate utilizării pe Internet (în ultimii doi ani, articole pe această temă pot fi găsite în aproape fiecare număr al oricărei reviste de computere).

În continuare, vom descrie, cât mai pe scurt, pentru a nu repeta tuturor informații cunoscute, aceste măsuri de securitate folosite pe internet. Procedând astfel, urmărim următoarele obiective: în primul rând, să revenim încă o dată la mitul „protecției absolute” pe care se presupune că o oferă sistemele Firewall, evident datorită eforturilor vânzătorilor lor; în al doilea rând, vom compara versiunile existente ale protocoalelor cripto utilizate pe Internet și vom oferi o evaluare, în esență, critic situația din acest domeniu; iar în al treilea rând, vom prezenta cititorilor posibilitatea protecției folosind un monitor de securitate al rețelei, conceput pentru a monitoriza dinamic situațiile care apar în segmentul de rețea IP protejată, indicând faptul că unul dintre atacurile de la distanță descrise în Capitolul 4 a fost efectuat pe acest segment. .

3.2.1. Tehnica firewall ca instrument principal hardware și software pentru implementarea politicii de securitate a rețelei într-un segment de rețea IP dedicat

În general, tehnica Firewall implementează următoarele trei funcții principale:

1. Filtrarea pe mai multe niveluri a traficului de rețea.

Filtrarea se face de obicei la trei straturi OSI:

rețea (IP);

transport (TCP, UDP);

aplicație (FTP, TELNET, HTTP, SMTP etc.).

Filtrarea traficului de rețea este funcția principală a sistemelor Firewall și permite administratorului de securitate a rețelei să implementeze în mod centralizat politica de securitate a rețelei necesară într-un segment de rețea IP dedicat, adică, prin configurarea Firewall-ului în mod corespunzător, puteți permite sau interzice accesul utilizatorilor din partea externă. rețeaua către serviciile gazdă corespunzătoare sau către gazdele situate în segmentul protejat, precum și accesul utilizatorilor din rețeaua internă la resursele corespunzătoare ale rețelei externe. Se poate face o analogie cu un administrator local de sistem de operare, care, pentru a implementa o politică de securitate în sistem, atribuie relațiile adecvate necesare între subiecți (utilizatori) și obiecte de sistem (fișiere, de exemplu), ceea ce face posibilă limitarea accesul subiecților sistemului la obiectele sale în conformitate cu drepturile de acces specificate de administrator. Același raționament este valabil și pentru filtrarea Firewall: subiectele de interacțiune vor fi adresele IP ale gazdelor utilizatorilor, iar obiectele la care accesul trebuie limitat vor fi adresele IP ale gazdelor, protocoalele de transport utilizate și serviciile de acces la distanță.

2. Schemă proxy cu identificarea și autentificarea suplimentară a utilizatorilor pe gazda Firewall.

Schema proxy permite, în primul rând, atunci când accesați un segment de rețea protejat de firewall, să efectuați identificarea și autentificarea suplimentară a unui utilizator de la distanță pe acesta și, în al doilea rând, este baza pentru crearea de rețele private cu adrese IP virtuale. Semnificația schemei proxy este de a crea o conexiune cu destinația finală printr-un server proxy intermediar (proxy din engleză autorizată) pe gazda Firewall. Identificarea suplimentară a abonatului poate fi efectuată pe acest server proxy.

3. Crearea de rețele private (Private Virtual Network - PVN) cu adrese IP „virtuale” (NAT - Network Address Translation).

Dacă un administrator de securitate a rețelei consideră că este recomandabil să ascundă adevărata topologie a rețelei sale IP interne, atunci i se poate recomanda să folosească sistemele Firewall pentru a crea o rețea privată (rețea PVN). Gazdele dintr-o rețea PVN primesc orice adrese IP „virtuale”. Pentru a vă adresa unei rețele externe (prin Firewall), este necesar fie să folosiți serverele proxy descrise mai sus pe gazda Firewall, fie să folosiți sisteme speciale de rutare, numai prin intermediul cărora este posibilă adresarea externă. Acest lucru se întâmplă deoarece adresa IP virtuală utilizată în rețeaua PVN internă nu este în mod evident potrivită pentru adresarea externă (adresarea externă este adresarea către abonații aflați în afara rețelei PVN). Prin urmare, serverul proxy sau instrumentul de rutare trebuie să comunice cu abonații din rețeaua externă de la adresa sa IP reală. Apropo, această schemă este convenabilă dacă vi s-a alocat un număr insuficient de adrese IP pentru a crea o rețea IP (în standardul IPv4 acest lucru se întâmplă tot timpul, așa că pentru a crea o rețea IP cu drepturi depline folosind o schemă proxy, numai un IP alocat este adrese suficiente pentru serverul proxy).

Deci, orice dispozitiv care implementează cel puțin una dintre aceste funcții ale tehnicii Firewall este un dispozitiv Firewall. De exemplu, nimic nu vă împiedică să utilizați un computer cu un sistem de operare FreeBSD sau Linux obișnuit ca gazdă Firewall, al cărui nucleu al sistemului de operare trebuie să fie compilat în consecință. Un firewall de acest tip va oferi doar filtrarea pe mai multe niveluri a traficului IP. Un alt lucru este că puternicele complexe Firewall oferite pe piață, realizate pe baza unui computer sau mini-computer, implementează de obicei toate funcțiile metodei Firewall și sunt sisteme Firewall complet funcționale. Următoarea figură arată un segment de rețea separat de rețeaua externă de o gazdă Firewall complet funcțională.

Orez. 2. Diagrama generalizată a unei gazde Firewall complet funcționale.

Cu toate acestea, administratorii de rețele IP, care au cedat publicității sistemelor Firewall, nu ar trebui să se înșele că Firewall este o garanție a protecției absolute împotriva atacurilor de la distanță pe Internet. Un firewall nu este atât un instrument de securitate, cât este o oportunitate de a implementa central o politică de rețea pentru limitarea accesului de la distanță la resursele disponibile în rețeaua dumneavoastră. Da, dacă, de exemplu, accesul la distanță TELNET la o anumită gazdă este interzis, atunci Firewall-ul va împiedica cu siguranță acest acces. Dar adevărul este că majoritatea atacurilor de la distanță au scopuri complet diferite (nu are rost să încerci să obții un anumit tip de acces dacă este interzis de sistemul Firewall). Care dintre atacurile de la distanță considerate poate preveni firewall-ul? Analiza traficului în rețea? Evident că nu! Server ARP fals? Da și nu (nu este deloc necesar să folosiți un Firewall pentru protecție). Server DNS fals? Nu, din păcate, firewall-ul nu este ajutorul tău aici. Forțați o rută falsă folosind ICMP? Da, firewall-ul poate respinge cu ușurință acest atac prin filtrarea mesajelor ICMP (deși un router de filtrare, cum ar fi Cisco, va fi suficient). Înlocuirea unuia dintre subiectele unei conexiuni TCP? Răspunsul este nu; Firewall nu are absolut nimic de-a face cu el. Întreruperea unei gazde prin crearea unei furtuni direcționate de solicitări false sau depășirea coadei de solicitări? În acest caz, utilizarea unui Firewall nu va face decât să înrăutățiți lucrurile. Pentru a dezactiva (deconectat de lumea exterioară) toate gazdele din interiorul unui segment protejat de un sistem Firewall, un atacator trebuie să atace doar un Firewall, și nu mai multe gazde (acest lucru se explică ușor prin faptul că comunicarea între gazdele interne și lumea exterioară este posibilă numai prin Firewall ).

deloc suficient

Din toate cele de mai sus, nu rezultă deloc că utilizarea sistemelor Firewall este absolut inutilă. Nu, momentan nu există alternativă la această tehnică (tocmai ca tehnică!). Cu toate acestea, trebuie să înțelegem clar și să ne amintim scopul său principal. Ni se pare că utilizarea tehnicii Firewall pentru a asigura securitatea rețelei este necesară, dar deloc suficient condiție și nu trebuie să presupuneți că, instalând un Firewall, veți rezolva imediat toate problemele legate de securitatea rețelei și veți scăpa de toate posibilele atacuri de la distanță de pe Internet. Internetul, care este putred din punct de vedere al securității, nu poate fi protejat de niciun singur Firewall!

3.2.2. Metode de protecție software utilizate pe Internet

Metodele software de protecție pe Internet includ, în primul rând, protocoale cripto securizate, cu ajutorul cărora devine posibilă protejarea fiabilă a conexiunii. Următorul paragraf va discuta despre abordările care există în prezent pe Internet și principalele protocoale cripto care au fost deja dezvoltate.

O altă clasă de metode software pentru protejarea împotriva atacurilor de la distanță include programele care există astăzi, al căror scop principal este să analizeze traficul de rețea pentru prezența unuia dintre atacurile active de la distanță cunoscute.

a) Tehnologia SKIP și protocoalele cripto SSL, S-HTTP ca principal mijloc de protecție a conexiunii și a datelor transmise pe Internet

Unul dintre principalele motive pentru succesul atacurilor de la distanță asupra aeronavelor distribuite constă în utilizarea protocoalelor de schimb de rețea care nu pot identifica în mod fiabil obiectele de la distanță sau nu pot proteja conexiunea și datele transmise prin aceasta. Prin urmare, este destul de firesc ca în timpul funcționării Internetului, diverse protocoale de rețea securizate au fost create folosind atât criptografia cu cheie privată, cât și cu cheie publică. Criptografia clasică cu algoritmi criptografici simetrici presupune că părțile de transmitere și de recepție au chei simetrice (identice) pentru criptarea și decriptarea mesajelor. Aceste chei ar trebui să fie distribuite în avans între un număr finit de abonați, ceea ce în criptografie este numită problema standard de distribuție a cheilor statice. Este evident că utilizarea criptografiei clasice cu chei simetrice este posibilă numai pe un set limitat de obiecte. Pe Internet, în mod evident, nu este posibil să se rezolve problema distribuției statice a cheilor pentru toți utilizatorii săi. Cu toate acestea, unul dintre primele protocoale de schimb securizat de pe Internet a fost protocolul Kerberos, bazat tocmai pe distribuția statică a cheilor pentru un număr finit de abonați. Serviciile noastre de informații sunt nevoite să urmeze aceeași cale, folosind criptografia simetrică clasică, atunci când își dezvoltă protocoalele cripto securizate pentru Internet. Acest lucru se explică prin faptul că din anumite motive nu există încă un algoritm criptografic aprobat cu o cheie publică. Peste tot în lume, standarde de criptare similare au fost adoptate și certificate de mult timp, dar noi, se pare, mergem din nou pe direcția inversă!

Deci, este clar că pentru a oferi posibilitatea de a proteja întregul set de utilizatori de Internet și nu un subset limitat al acestuia, este necesar să se utilizeze chei care sunt generate dinamic în procesul de creare a unei conexiuni virtuale atunci când se utilizează criptografia cu chei. În continuare, ne vom uita la principalele abordări și protocoale actuale care asigură securitatea conexiunii.

SARE Tehnologia (Secure Key Internet Protocol) este un standard pentru încapsularea pachetelor IP, care permite standardului IPv4 existent să protejeze conexiunea și datele transmise prin aceasta la nivel de rețea. Acest lucru se realizează după cum urmează: un pachet SKIP este un pachet IP obișnuit, al cărui câmp de date este un antet SKIP dintr-un format definit de specificație și o criptogramă (date criptate). Această structură a pachetului SKIP îi permite să fie redirecționat fără probleme către orice gazdă de pe Internet (adresarea internetwork are loc folosind antetul IP obișnuit din pachetul SKIP). Destinatarul final al pachetului SKIP, conform unui algoritm predeterminat de dezvoltatori, decriptează criptograma și formează un pachet obișnuit TCP sau UDP, care este transmis la modulul obișnuit corespunzător (TCP sau UDP) al nucleului sistemului de operare. În principiu, nimic nu îl împiedică pe dezvoltator să-și formeze propriul antet original, diferit de antetul SKIP, conform acestei scheme.

S-HTTP(Secure HTTP) este un protocol HTTP securizat dezvoltat de Enterprise Integration Technologies (EIT) special pentru Web. Protocolul S-HTTP permite o protecție criptografică fiabilă doar a documentelor HTTP ale serverului Web și funcționează la nivelul aplicației modelului OSI. Această caracteristică a protocolului S-HTTP îl face un mijloc absolut specializat de protejare a conexiunii și, ca urmare, este imposibil să îl utilizați pentru a proteja toate celelalte protocoale de aplicație (FTP, TELNET, SMTP etc.). În plus, niciunul dintre browserele web majore care există astăzi (nici Netscape Navigator 3.0, nici Microsoft Explorer 3.0) nu acceptă acest protocol.

SSL(Secure Socket Layer) - dezvoltat de Netscape - un protocol universal de securitate a conexiunii care funcționează la nivel de sesiune OSI. Acest protocol, folosind criptografia cu cheie publică, este astăzi, în opinia noastră, singurul instrument universal care vă permite să securizați dinamic orice conexiune folosind orice protocol de aplicație (DNS, FTP, TELNET, SMTP etc.). Acest lucru se datorează faptului că SSL, spre deosebire de S-HTTP, operează la nivelul intermediar de sesiune OSI (între transport - TCP, UDP - și aplicație - FTP, TELNET etc.). În acest caz, procesul de creare a unei conexiuni SSL virtuale are loc conform schemei Diffie și Hellman (clauza 6.2), care vă permite să dezvoltați o cheie de sesiune rezistentă la cripto, care este ulterior utilizată de abonații conexiunii SSL pentru a cripta transmisa. mesaje. Protocolul SSL astăzi a prins practic contur ca standard oficial de securitate pentru conexiunile HTTP, adică pentru protejarea serverelor Web. Este susținut, desigur, de Netscape Navigator 3.0 și, în mod ciudat, de Microsoft Explorer 3.0 (amintiți-vă că războiul aprig al browserului dintre Netscape și Microsoft). Desigur, pentru a stabili o conexiune SSL cu un server Web, trebuie să aveți și un server Web care acceptă SSL. Astfel de versiuni de servere Web există deja (SSL-Apache, de exemplu). În încheierea conversației despre protocolul SSL, nu se poate să nu rețină următorul fapt: legile SUA interziceau până de curând exportul de criptosisteme cu o lungime a cheii de peste 40 de biți (recent a fost mărită la 56 de biți). Prin urmare, versiunile existente de browsere folosesc chei pe 40 de biți. Criptanaliștii prin experimente au descoperit că, în versiunea actuală a protocolului SSL, criptarea folosind o cheie de 40 de biți nu reprezintă o protecție fiabilă pentru mesajele transmise prin rețea, deoarece prin căutare simplă (2-40 de combinații) această cheie este selectată într-un timp de 1.5 (per supercomputer Silicon Graphics) până la 7 zile (în procesul de calcul au fost utilizate 120 de stații de lucru și mai multe minicalculatoare).

Deci, este evident că utilizarea pe scară largă a acestor protocoale de schimb securizat, în special SSL (desigur, cu o lungime a cheii de peste 40 de biți), va pune o barieră de încredere în calea tuturor tipurilor de atacuri de la distanță și va complica serios viața biscuiților din întreaga lume. Cu toate acestea, întreaga tragedie a situației actuale cu asigurarea securității pe Internet este că până acum niciunul dintre protocoalele cripto existente (și există deja multe dintre ele) nu a prins contur ca un singur standard de securitate a conexiunii care ar fi susținut de toate rețelele. Producători de sisteme de operare! Protocolul SSL, disponibil astăzi, este cel mai potrivit pentru acest rol. Dacă toate sistemele de operare în rețea ar fi acceptat, atunci nu ar fi nevoie să creați servere speciale compatibile cu SSL pentru aplicații (DNS, FTP, TELNET, WWW etc.). Dacă nu suntem de acord cu adoptarea unui singur standard pentru un protocol de nivel de sesiune securizat, atunci va fi necesară adoptarea multor standarde pentru a proteja fiecare serviciu de aplicație individual. De exemplu, a fost deja dezvoltat un protocol DNS securizat experimental, neacceptat. Există, de asemenea, servere experimentale compatibile cu SSL Secure FTP și TELNET. Dar toate acestea fără adoptarea unui standard unic pentru un protocol sigur susținut de toți producătorii nu au absolut niciun sens. Și astăzi, producătorii de sisteme de operare de rețea nu pot conveni asupra unei singure poziții pe această temă și, astfel, transferă soluția la aceste probleme direct utilizatorilor de internet și îi invită să rezolve lor probleme cu securitatea informațiilor după bunul plac!

b) Monitor de securitate al rețelei IP Alert-1

Cercetările practice și teoretice ale autorilor în domeniul studiului securității aeronavelor distribuite, inclusiv internetul (două domenii polare de cercetare: încălcarea și asigurarea securității informației), au condus la următoarea idee: pe internet, ca în alte rețele (de exemplu, Novell NetWare, Windows NT), există o lipsă gravă de software de securitate care implementează complex controlul (monitorizarea) la nivel de legătură a întregului flux de informații transmis prin rețea pentru a detecta toate tipurile de influențe la distanță descrise în capitolul 4. Un studiu al pieței de software de securitate a rețelei pentru Internet a relevat faptul că, după cunoștințele noastre, astfel de instrumente cuprinzătoare pentru detectarea impacturilor de la distanță nu există, iar cele care există sunt concepute pentru a detecta impacturi de un anumit tip (de exemplu, ICMP Redirect sau ARP). Prin urmare, a fost începută dezvoltarea unui instrument de monitorizare pentru un segment de rețea IP, destinat utilizării pe Internet și a primit următorul nume: monitor de securitate a rețelei Alertă IP-1. Sarcina principală a acestui instrument, care analizează programatic traficul de rețea într-un canal de transmisie, nu este de a respinge atacurile de la distanță efectuate pe un canal de comunicare, ci de a le detecta și de a le înregistra (menținerea unui fișier de audit cu înregistrare într-o formă convenabilă pentru vizualizarea ulterioară). analiza tuturor evenimentelor asociate cu atacurile de la distanță pe un anumit segment de rețea) și alertarea imediată a administratorului de securitate dacă este detectat un atac de la distanță. Sarcina principală monitor de securitate a rețelei Alertă IP-1 este implementare controla pentru securitatea segmentului corespunzător al Internetului.

Monitor de securitate a rețelei Alertă IP-1 are următoarea funcționalitate și permite, prin analiza rețelei, să detecteze următoarele atacuri de la distanță asupra segmentului de Internet pe care îl controlează.

Funcționalitatea monitorului de securitate al rețelei IP Alert-1

1. Monitorizarea corespondenței adreselor IP și Ethernet în pachetele transmise de gazde situate în segmentul de rețea controlat.

Pe gazda IP Alert-1, administratorul de securitate creează un tabel ARP static, unde introduce informații despre adresele IP și Ethernet corespunzătoare ale gazdelor situate în segmentul de rețea controlat.

Această funcție vă permite să detectați modificări neautorizate ale adresei IP sau înlocuirea acesteia (IP Spoofing).

2. Monitorizarea utilizării corecte a mecanismului de căutare ARP la distanță.

Această caracteristică vă permite să detectați un atac de la distanță „False ARP Server” folosind un tabel ARP static.

3. Monitorizarea utilizării corecte a mecanismului de căutare DNS la distanță.

Această caracteristică vă permite să identificați toate tipurile posibile de atacuri de la distanță asupra serviciului DNS.

4. Monitorizarea prezenței mesajelor de redirecționare ICMP.

Această funcție vă anunță când este detectat un mesaj de redirecționare ICMP și este detectat atacul de la distanță corespunzător.

5. Monitorizarea corectitudinii încercărilor de conectare la distanță prin analiza cererilor transmise.

Această funcție vă permite să detectați, în primul rând, o încercare de a studia legea modificării valorii inițiale a identificatorului de conexiune TCP - ISN, în al doilea rând, un atac de refuz de serviciu la distanță efectuat prin depășirea cozii de solicitare a conexiunii și, în al treilea rând, un atac direcționat. „furtună” de cereri false de conexiune (atât TCP, cât și UDP), care duce și la refuzul serviciului.

Astfel, Network Security Monitor Alertă IP-1 vă permite să detectați, să notificați și să înregistrați toate tipurile de atacuri de la distanță descrise în Capitolul 4! Cu toate acestea, acest program nu este în niciun caz un concurent cu sistemele Firewall. Alertă IP-1, folosind caracteristicile atacurilor de la distanță pe Internet descrise și sistematizate în Capitolul 4, servește ca o completare necesară - de altfel, incomparabil mai ieftină - sistemelor Firewall. Fără un monitor de securitate, majoritatea încercărilor de a lansa atacuri de la distanță asupra segmentului de rețea vor rămâne ascunse ochilor tăi. Niciunul dintre firewall-urile cunoscute de autori nu este angajat într-o analiză atât de inteligentă a mesajelor care trec prin rețea pentru a identifica diferite tipuri de atacuri la distanță, limitându-se, în cel mai bun caz, la păstrarea unui jurnal, care înregistrează informații despre încercările de a ghici parolele pentru TELNET. și FTP, despre scanarea portului și scanarea rețelei folosind celebrul program de căutare de la distanță a vulnerabilităților cunoscute ale sistemului de operare al rețelei - SATAN. Prin urmare, dacă un administrator de rețea IP nu dorește să rămână indiferent și să se mulțumească cu rolul unui simplu statistic în timpul atacurilor de la distanță asupra rețelei sale, atunci este recomandabil să folosească un monitor de securitate a rețelei Alertă IP-1. Apropo, să ne amintim că Tsutomu Shimomura a reușit să înregistreze atacul lui Kevin Mitnick, aparent în mare parte datorită programului tcpdump, un simplu analizor de trafic IP.

Orez. 3. Monitor de securitate al rețelei IP Alert-1.

4. Piata sistemelor de securitate

4.1. Tendințe cheie ale pieței: statistici și previziuni

După cum știți, cel care deține informațiile deține lumea. Cu toate acestea, astăzi o altă afirmație, nu mai puțin relevantă, sună din ce în ce mai convingător: celor care dețin informații se tem în mod constant să nu le piardă sau să piardă controlul asupra lor.

Potrivit multor analiști, în 2001 natura hacking-ului s-a schimbat semnificativ: dacă anterior un hacker acționa în principal unu-la-unu cu ținta atacului (adică în esență apolitic), acum putem vorbi despre acțiuni de grup ale hackerilor, care în mediul în schimbare rapidă a lumii moderne a devenit un fenomen de referință. Un atac nu mai este doar un mod de auto-exprimare și nu o „performanță demonstrativă”, ci un instrument de lovire a unei ținte. Cercetările arată că Rețeaua de calculatoare (CN) este foarte vulnerabilă aproape peste tot, astfel încât intensificarea acestui tip de activitate comportă un pericol direct, mai ales într-un moment de tensiune în relațiile dintre diferitele grupuri politice și state. Experții notează că majoritatea resurselor mari ale rețelei sunt încă vulnerabile.

Pe baza cercetărilor privind tendințele generale în domeniul securității informațiilor în sectorul IT, putem concluziona că companiile sunt mai degrabă inerte în schimbarea politicilor lor informaționale în domeniul securității informaționale, că viziunea lor strategică rămâne constant în urmă în acoperirea viitorului și practicile lor. în manipularea datelor cu caracter personal și nivelul de securitate al infrastructurilor sunt de muncă pot fi numite satisfăcătoare. Cifre impresionante pot fi citate drept argumente în favoarea acestei afirmații. Astfel, majoritatea companiilor nu corelează în mod adecvat activitățile lor cu amenințările existente: de exemplu, doar o companie din 10 șterge/schimbă parole după ce un angajat este concediat, deși 80% dintre companii au reglementări adecvate. Rezultatele cercetării indică un angajament slab al organizațiilor față de auditurile de securitate a informațiilor (35%), eforturi minime pentru a stimula investigarea juridică a incidentelor (17%) și o înțelegere insuficientă a surselor amenințării (79% cred în continuare că pericolul vine din exterior). , deși statisticile dovedesc contrariul). Cercetările au arătat că 60% dintre managerii de top văd securitatea informațiilor corporative ca o problemă tehnologică și doar (40%) ca o problemă strategică de afaceri.

Cu toate acestea, în ciuda faptelor de mai sus, în prezent există o creștere clară a atenției societății față de problemele securității informațiilor, față de acea gamă de relații care se numesc de obicei Securitate Electronică. Acest lucru este confirmat de următoarele. Potrivit experților companiei de analiză IDC, cererea de sisteme de securitate pe internet va crește rapid în următorii ani, ceea ce va transforma acest sector de piață într-unul dintre cele mai profitabile. Conform calculelor IDC, creșterea medie anuală a pieței sistemelor de securitate pe Internet în următorii cinci ani va fi de 23%, iar până în 2005 piața va ajunge la 14 miliarde USD Potrivit experților IDC, potențialul principal se află în sectorul produselor software conceput pentru autentificare, autorizare și administrare securizată - în așa-numitul sector de produse din grupa 3A (Administrare, Autorizare, Autentificare). Potrivit IDC, software-ul de securitate a informațiilor 3A constă în implementări ale funcțiilor de administrare, autorizare și autentificare utilizate pentru administrarea securității pe sisteme de computer individuale sau într-un cadru de întreprindere și include procese pentru definirea, crearea, modificarea, ștergerea și auditarea utilizatorilor. Aceeași sursă estimează că sectorul va crește cu o rată anuală de 28% și va reprezenta 67% din piață până în 2005.

Se știe că unul dintre factorii care împiedică dezvoltarea comerțului electronic este problema securității. Potrivit unui studiu al Confederației Industriei Britanice (CBI), companiile au mai multă încredere în securitatea tranzacțiilor B2B. Mai mult de jumătate dintre companiile chestionate de CBI au spus că au încredere în comerțul B2B, în timp ce doar 32% au spus același lucru despre tranzacțiile B2C. Deși frauda cu cardurile bancare reprezintă aproximativ 4% din incidentele grave, analiștii CBI notează că teama de fraudă continuă să împiedice dezvoltarea e-business-ului, în special sectorul B2C.

Printre alte tendințe importante ale pieței, trebuie menționat faptul că companiile nu sunt încă pregătite să se protejeze și să ofere un serviciu securizat, deoarece le lipsește personal calificat (70,5%) și nu sunt în măsură strategic să calculeze cât de profitabilă va fi introducerea de noi practici de securitate. (45,9%). Rezultate atât de departe de a fi încurajatoare au fost relevate într-un studiu al Japoniei, care nu este deloc o țară înapoiată din punct de vedere tehnologic. Experții spun că în domeniul securității rețelei există o lipsă acută de personal capabil să rezolve eficient problemele relevante.

Unul dintre cele mai recente sondaje de anul trecut a documentat preocupările tot mai mari în rândul americanilor cu privire la problemele de confidențialitate și securitate online. Și deși accentul principal s-a pus pe evaluarea securității rețelelor corporative și guvernamentale, în contextul general al răspunsurilor, anxietatea poate fi urmărită în raport cu tot ceea ce înconjoară oamenii în această lume incertă: că 71% dintre respondenți au spus că sunt îngrijorați de problema de securitate din CS și 78% sunt îngrijorați de posibilitatea furtului sau a altor utilizări neautorizate a informațiilor lor personale în CC.

Securitatea operațiunilor wireless continuă să fie o preocupare atât pentru companii, cât și pentru utilizatori. Ambii se tem că hackerii vor putea intercepta informații din mers. În plus, pierderea utilizatorilor de dispozitive mobile care conțin informații confidențiale este o problemă potențială.

4.2. Structura pieței de securitate

Ceea ce se numea securitatea computerelor în anii 60 și securitatea datelor în anii 70 se numește acum mai exact securitatea informațiilor. Securitatea informațiilor include măsuri de protecție a proceselor de creare, intrare, procesare și ieșire a datelor. Scopul principal este de a proteja și garanta acuratețea și integritatea informațiilor, minimizând distrugerea care poate apărea dacă informațiile sunt modificate sau distruse. Securitatea informației necesită luarea în considerare a tuturor evenimentelor când informațiile sunt create, modificate, accesate și distribuite.

Securitatea informațiilor garantează atingerea următoarelor obiective:

· confidențialitatea informațiilor critice;

· integritatea informațiilor și a proceselor aferente (creare, intrare, procesare și ieșire);

Disponibilitatea informațiilor dacă este necesar;

· contabilizarea tuturor proceselor legate de informare.

În termeni generali, piața securității sistemelor informaționale poate fi împărțită în două zone neînrudite ideologic.

Prima direcție vizează protecția informațiilor rețelelor, adică protecția informațiilor care circulă în cadrul rețelelor informaționale. În prezent, acesta este cel mai solicitat și, prin urmare, este bine dezvoltat. Acestea includ diverse antivirusuri, firewall-uri, instrumente criptografice, protocoale de securitate, semnături digitale etc. Cea mai sigură metodă de astăzi este criptarea cu cheie publică.

Al doilea domeniu, care s-a dezvoltat rapid recent, este legat de protecția directă a obiectelor din rețea. Această direcție este reprezentată în principal de dispozitive mecanice care împiedică accesul la hardware, adică la servere, calculatoare personale etc. Sarcina principală a acestor dispozitive este să împiedice un intrus să deschidă computerul folosind diferite elemente de fixare, încuietori, capace de protecție etc. Arsenalul include și software care vă permite să găsiți computere furate după ce au fost conectate la rețeaua de telefonie sau la internet cel puțin o dată. Aceste programe constau din două părți: clientul și centrul de procesare a informațiilor. După ce clientul este instalat pe computer, acesta contactează periodic (la fiecare 15 minute) centrul și transmite informații disponibile despre starea curentă a computerului (adresa IP, numărul de telefon la care computerul este conectat în prezent etc.). Clientul este instalat astfel încât să fie protejat de formatarea hard disk-ului și să nu fie vizibil folosind instrumentele convenționale ale sistemului de operare (process viewer). O altă opțiune pentru implementarea celei de-a doua direcții este aceea că computerele, folosind cablaje suplimentare și senzori speciali atașați la panoul din spate al computerului, sunt combinate într-o rețea diferită de rețeaua de date și conectate la un dispozitiv hardware capabil să înregistreze accesul neautorizat și pornirea unei alarme.

Cel mai probabil, în viitorul apropiat vom asista la integrarea acestor două domenii, ceea ce este un pas firesc spre creșterea nivelului de securitate a informațiilor. Și ca urmare a unei astfel de integrări poate apărea un fel de sistem de securitate universal, iar administratorul de securitate va avea un singur loc de muncă din care poate controla ordinea prelucrării datelor și integritatea obiectelor. Instalarea unui astfel de sistem nu va necesita cablare suplimentară, iar funcționarea acestuia nu va afecta în niciun fel performanța rețelei de transmisie a datelor.

4.3. Lideri pe piata sistemelor de securitate

Symantec Corporation

Symantec Corporation, unul dintre liderii mondiali în sisteme de securitate pe internet, este un furnizor de top de sisteme de securitate de pe piață. Brandul Symantec Norton include o linie de produse de securitate a informațiilor care sunt lider mondial în comerț cu amănuntul și companie premiată în industrie. Sediul Symantec este situat în Cupertino, SUA. California. Corporația are reprezentanțe în 37 de țări.

Raportul Gartner Dataquest numește compania drept lider global în software-ul de securitate a informațiilor. Această estimare se bazează pe veniturile din vânzarea de noi licențe în anul 2000. Un raport Gartner Dataquest arată că creșterea Symantec depășește piața de securitate, cu o creștere a veniturilor Symantec de 40% de la an la an. „Ca urmare a fuziunii sale cu Axent, care a avut loc în decembrie 2000, Symantec Corporation a trecut de pe locul 4 pe locul 1 în listă, cucerind 14,7% din piața de securitate”, notează raportul. Software-ul de securitate Symantec, conform clasificării Gartner Dataquest, include: software antivirus, programe de criptare, instrumente de detectare a intruziunilor și alte instrumente de securitate a informațiilor - firewall-uri, programe de filtrare a resurselor Web, aplicații pentru controlul accesului la rețele externe. Symantec Corporation oferă protecție antivirus, firewall-uri, rețele private virtuale, detectarea vulnerabilităților de securitate și detectarea intruziunilor, programe de filtrare a internetului și a e-mailului, tehnologii de gestionare la distanță și servicii de securitate a informațiilor.

Network Associates, Inc.

Această companie, la fel ca Symantec, domină cu încredere piața sistemelor de securitate, controlând aproximativ 60% din piața globală de antivirus. Potrivit Network Associates, Inc. (NAI) are peste 60 de milioane de utilizatori în întreaga lume. NAI oferă una dintre cele mai cuprinzătoare și cuprinzătoare familii de programe care protejează, gestionează și monitorizează rețelele corporative. Funcționalitatea și amploarea soluțiilor oferite de Network Associates este completată de capabilitățile dobândite de la Pretty Good Privacy (PGP) și Magic Solutions, precum și de capabilitățile puternice ale instrumentelor antivirus ale Dr. Solomon, a căror primă versiune a fost lansată la începutul anului 1997 de către Software-ul Dr. Solomon. Potrivit McAfee (o divizie a Network Associates, Inc.), software-ul McAfee GroupShield Exchange a primit premiul Best Buy al Secure Computing Magazine pentru al treilea an consecutiv, câștigând testul de referință antivirus MS Exchange. Într-o analiză comparativă a antivirusurilor pentru Microsoft Exchange 2001, McAfee GroupShield a primit cele mai înalte evaluări, depășind produsele de la alți producători de antivirus, cum ar fi Symantec, Kaspersky Lab, Trend Micro, F-Secure, Panda, Computer Associates și alții.

Corporation Computer Associates International, Inc.

Raportul IDC a identificat Computer Associates International, Inc. (CA) ca furnizor lider de software de autentificare, autorizare și administrare (3A), cu o cotă de piață globală de 15,5%. În 2001, raportul IDC, International Internet Security Software Market Forecast and Analysis, 2001-2005, a identificat CA ca fiind cel mai important furnizor mondial de software de securitate Internet pentru al doilea an consecutiv. CA oferă soluții 3A prin familia de produse eTrust (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control și eTrust Intrusion Detection). „CA este liderul global clar în dezvoltarea de soluții de securitate a informațiilor atât în ​​ceea ce privește eficiența tehnologică, cât și volumul total al pieței”, a declarat vicepreședintele CA eTrust Solutions, Barry Keyes. „Beneficiile noului nostru model de afaceri de licențiere, serviciul tehnic cuprinzător și soluția de gestionare a e-business integrată și transparentă ne permit să oferim o propunere de valoare de neegalat managerilor și furnizorilor de servicii de securitate a informațiilor întreprinderii.” Familia de produse eTrust permite echipei de management să protejeze, să administreze accesul și să asigure controlul și securitatea unui sistem automat complex. Soluția eTrust este compatibilă cu standardele actuale de protecție a datelor, garantează capacitatea de a interopera cu mecanismele de securitate internă existente și cu aceleași mecanisme ale partenerilor de rețea.

În concluzie, aș dori să remarc încă o dată că problema securității informațiilor devine din ce în ce mai relevantă în fiecare an. Iar piața, răspunzând cererii în masă, va oferi cu siguranță, și într-adevăr oferă deja, soluții de securitate fiabile și destul de demne. Iar principalul lucru acum este să opriți prin orice mijloace declanșarea haosului informațional, care este provocat de cei cărora le place să se uite peste umeri sau să scormonească prin servietele electronice ale altora. Și pentru a face acest lucru, fiecare trebuie să aleagă un mijloc de încredere de securitate a informațiilor care să le ofere o securitate adecvată a informațiilor.

Concluzie

Inițial, rețeaua a fost creată ca un sistem deschis neprotejat destinat comunicării informaționale a unui număr din ce în ce mai mare de utilizatori.

În același timp, conectarea noilor utilizatori trebuia să fie cât se poate de simplă, iar accesul la informații ar trebui să fie cât mai convenabil. Toate acestea contrazic în mod clar principiile creării unui sistem securizat, a cărui securitate trebuie descrisă în toate etapele creării și funcționării sale, iar utilizatorilor trebuie să li se acorde o autoritate clară.

Creatorii rețelei nu s-au străduit pentru acest lucru, iar cerințele de securitate ar fi complicat atât de mult proiectul încât ar fi făcut cu greu posibilă crearea acestuia.

Concluzie: Internetul a fost creat ca un sistem nesigur care nu este destinat stocării și procesării informațiilor confidențiale. Mai mult, un internet sigur nu ar putea deveni sistemul care este acum și nu s-ar transforma într-o imagine informațională a culturii mondiale, a trecutului și prezentului ei. Aceasta este valoarea independentă a Rețelei și, poate, nesiguranța ei este prețul de plătit pentru un scop atât de mare.

Implicație: Există mulți utilizatori interesați ca Internetul să devină un sistem cu informații clasificate și drepturi de utilizator supuse politicilor de securitate stabilite.

Cu toate acestea, cele mai strălucitoare creații ale minții umane după un timp încep să trăiască o viață independentă, dezvoltându-se și depășind intențiile originale ale creatorilor. Prin urmare, securitatea slabă a rețelei a devenit o preocupare tot mai mare pentru utilizatorii săi de-a lungul timpului.

În opinia noastră, internetul nu ar trebui să conțină informații a căror dezvăluire ar duce la consecințe grave. Dimpotrivă, este necesar să postați informații pe Internet, a căror distribuție este de dorit pentru proprietarul său. Este întotdeauna necesar să se țină cont de faptul că în orice moment aceste informații pot fi interceptate, distorsionate sau pot deveni inaccesibile. În consecință, nu ar trebui să vorbim despre securitatea Internetului, ci despre asigurarea unei suficiențe rezonabile a securității informaționale a Rețelei.

Desigur, acest lucru nu anulează necesitatea de a familiariza utilizatorul cu arsenalul bogat și în continuă creștere de software și hardware pentru asigurarea securității informațiilor din rețea. Totuși, observăm că aceștia nu sunt capabili să transforme Internetul într-un mediu securizat, ceea ce ar însemna schimbarea naturii acestuia.

Va fi internetul sigur? Dezvoltarea instrumentelor de securitate pe Internet poate intra în conflict cu scopul său și poate distorsiona însăși ideea de Internet. Este mai legitim să punem problema creării unei infosfere globale securizate specializate, concepute pentru a gestiona producția globală, transportul și geopolitica. Aparent, progresul va duce la necesitatea creării unui astfel de sistem unificat. Un astfel de mediu de comunicare va avea o arhitectură de securitate și va garanta integritatea și confidențialitatea informațiilor. Este evident că creatorii acestui sistem trebuie să se asigure că interesele politice și economice ale subiecților globali sunt respectate, deoarece proprietatea multipolară a acestui sistem înseamnă control asupra lumii.

Este clar că un astfel de mediu nu poate fi Internetul în forma sa actuală. Principalul lucru, în opinia noastră, este să ne abținem de la dorința de a aduce internetul de astăzi mai aproape de un astfel de mediu de guvernare a lumii. Internetul este bun în felul său, așa cum este.

Care sunt perspectivele pentru protejarea sistemelor informaționale în era integrării mediului de procesare a informațiilor? În opinia noastră, ieșirea din această situație constă într-o distincție clară între informațiile care prezintă un interes vital pentru subiecți - utilizatori - și crearea unor sisteme specializate de prelucrare a acesteia. Astfel de sisteme trebuie să se poată integra în rețeaua globală, asigurând în același timp izolarea lor unidirecțională a informațiilor.

ComputerPress 8"1999

Lukatsky A.V. Sisteme de detectare a atacurilor//Tehnologii bancare. 1999. nr 2.

ComputerPress 10"2001

ComputerPress 3"2002

În noiembrie 2000, unele agenții de presă, în special Lenta.ru, au raportat că atacatorii au obținut acces neautorizat la rețeaua de calculatoare a Gazprom și au obținut temporar controlul deplin asupra fluxurilor de gaze. În rețelele de calculatoare ale Gazprom au fost introduse 24 de programe numite „cai troieni”, prin care au fost obținute datele relevante pentru un atac de hacker de succes. Ca urmare, punctul central de control al fluxurilor de gaz a devenit temporar controlat de utilizatori externi. Raportul oficial nu spune dacă a fost cauzat vreo pagubă reală, dar se poate presupune că era puțin probabil să se fi întâmplat fără el. La urma urmei, punctul central de control este principalul centru de informare de la care nu numai că poți controla fluxurile de gaze, ci și să te adâncești în bănci și baze de date masive; și puteți modifica și datele.

Nu există încă o definiție precisă a conceptului de „atac” (invazie, atac). Fiecare specialist în securitate îl interpretează diferit. De exemplu, „o intruziune este orice acțiune care mută un sistem dintr-o stare sigură într-o stare periculoasă”. Acest termen poate fi explicat și după cum urmează: „o intruziune este orice încălcare a unei politici de securitate” sau „orice acțiune care duce la o încălcare a integrității, confidențialității și disponibilității unui sistem și a informațiilor procesate în acesta”. Totuși, următoarea interpretare pare mai corectă, strâns legată de termenul „vulnerabilitate” folosit în articolul consacrat sistemelor de analiză a securității și publicat în ultimul număr al Network Journal. Un atac (atac, intruziune) asupra unui sistem informatic este o acțiune sau o secvență de acțiuni interconectate de către un intrus care duce la implementarea unei amenințări prin exploatarea vulnerabilităților acestui sistem informațional. Cu alte cuvinte, dacă ar fi posibilă eliminarea vulnerabilităților sistemelor informaționale, atunci ar fi eliminată și posibilitatea de a efectua atacuri.

Până în prezent, nu se știe câte metode de atac există. Acest lucru se datorează în primul rând faptului că încă nu există cercetări matematice serioase în acest domeniu. Printre studiile conexe se numără lucrarea scrisă în 1996 de Fred Cohen, care descrie bazele matematice ale tehnologiei virale. Ca unul dintre rezultatele acestei lucrări, este dată dovada infinitului numărului de viruși. Același lucru se poate spune despre atacuri, deoarece virușii sunt unul dintre subseturile atacurilor.

Modele de atac

Modelul tradițional de atac se bazează pe principiul „unu la unu” (Fig. 1.) sau „unu la mulți” (Fig. 2.), adică atacul provine dintr-o singură sursă. Dezvoltatorii de instrumente de securitate a rețelei (firewall-uri, sisteme de detectare a atacurilor etc.) se concentrează în mod special pe modelul tradițional de atac. Agenții (senzorii) sistemului de protecție sunt instalați în diferite puncte ale rețelei protejate, care transmit informații către consola centrală de management. Acest lucru facilitează scalarea sistemului, simplifică managementul de la distanță etc. Cu toate acestea, acest model nu poate face față unei amenințări descoperite relativ recent (în 1998) - atacuri distribuite.

Modelul de atac distribuit sau coordonat utilizează principii diferite. Spre deosebire de modelul tradițional unu-la-unu și unu-la-mulți, modelul distribuit utilizează principiile multi-la-unu și multi-la-mulți (Figurile 3 și, respectiv, 4).

Atacurile distribuite se bazează pe atacurile „clasice” de denial of service care vor fi discutate mai jos și, mai precis, pe un subset al acestora cunoscut sub numele de atacuri Flood sau Storm (acești termeni pot fi traduși ca „furtună”, „inundare” sau „inundare” „avalanșă”). Scopul acestor atacuri este de a trimite un număr mare de pachete către un anumit nod sau segment de rețea (ținta atacului), ceea ce poate duce la dezactivarea acestui nod sau segment, deoarece se va sufoca într-o avalanșă de pachete trimise. și nu va putea procesa solicitările de la utilizatori autorizați. Atacurile SYN-Flood, Smurf, UDP Flood, Targa3 etc. funcționează pe acest principiu. Cu toate acestea, dacă lățimea de bandă a canalului către ținta atacului depășește lățimea de bandă a atacatorului sau nodul țintă este configurat incorect. un atac nu va atinge „succesul” . Să spunem că cu ajutorul acestor atacuri este inutil să încerci să perturbi funcționalitatea furnizorului tău. În cazul unui atac distribuit, situația se schimbă radical. Atacul nu mai are loc dintr-un punct de pe Internet, ci din mai multe deodată, ceea ce duce la o creștere bruscă a traficului și dezactivează nodul atacat. De exemplu, potrivit Rossiya-Online, timp de două zile, începând cu ora 9 a.m. pe 28 decembrie 2000, cel mai mare furnizor de internet din Armenia, Arminco, a fost supus unui atac distribuit. În acest caz, peste 50 de aparate din diferite țări s-au alăturat atacului și au trimis mesaje fără sens la adresa Arminco. A fost imposibil de stabilit cine a organizat acest atac și în ce țară a fost localizat hackerul. Deși a fost atacat în principal Arminco, întreaga autostradă care leagă Armenia de World Wide Web a fost supraîncărcată. Pe 30 decembrie, datorită cooperării dintre Arminco și alt furnizor, ArmenTel, conexiunea a fost restabilită complet. Atacul computerizat a continuat însă, dar cu mai puțină intensitate.

Etapele implementării atacului

Se pot distinge următoarele etape de implementare a atacului: acțiuni preliminare, sau strângerea de informații, implementarea atacului (exploatarea) și finalizarea atacului. De obicei, când vorbesc despre un atac, se referă la a doua etapă, uitând de prima și ultima. Culegerea de informații și finalizarea unui atac („acoperirea pistelor”), la rândul lor, pot constitui, de asemenea, un atac și pot fi împărțite în trei etape (Fig. 5).

Etapa principală este colectarea informațiilor. Eficiența atacatorului în această etapă este cheia „succesului” atacului. În primul rând, se selectează ținta atacului și se colectează informații despre acesta (tipul și versiunea sistemului de operare, porturile deschise și serviciile de rețea care rulează, sistemul instalat și software-ul aplicației și configurarea acestuia etc.). Apoi sunt identificate cele mai vulnerabile puncte ale sistemului atacat, impactul cărora duce la rezultatul dorit pentru atacator.

În prima etapă, atacatorul încearcă să identifice toate canalele de interacțiune dintre ținta atacului și alte noduri. Acest lucru vă va permite să selectați nu numai tipul de atac care trebuie implementat, ci și sursa implementării acestuia. De exemplu, nodul atacat interacționează cu două servere care rulează Unix și Windows NT. Nodul atacat are o relație de „încredere” cu un server, dar nu și cu celălalt. Serverul prin care atacatorul va implementa atacul determină ce atac va fi folosit, ce mijloace de implementare vor fi alese etc. Apoi, în funcție de informațiile primite și de scopurile urmărite, se selectează atacul care dă cel mai mare efect. De exemplu, pentru a perturba funcționarea unui nod, puteți utiliza SYN Flood, Teardrop, UDP Bomb etc., iar pentru a pătrunde într-un nod și a fura informații, puteți utiliza un script PHF CGI pentru a fura un fișier cu parolă, ghicirea parolei de la distanță , etc. Apoi urmează a doua etapă -- implementarea atacului selectat.

Măsurile tradiționale de securitate, cum ar fi firewall-urile sau mecanismele de filtrare din routere, intră în joc în a doua etapă, „uitând” complet de prima și a treia. Acest lucru duce la faptul că atacul este adesea foarte greu de oprit, chiar și cu apărări puternice și costisitoare. Un exemplu în acest sens sunt atacurile distribuite. Ar fi logic ca măsurile de protecție să înceapă să funcționeze în prima etapă, adică pentru a preveni însăși posibilitatea de a colecta informații despre sistemul atacat, ceea ce ar putea complica semnificativ acțiunile unui atacator. Mijloacele tradiționale nu permit, de asemenea, detectarea atacurilor care au fost deja comise și evaluarea prejudiciului după implementarea lor (etapa a treia) și, prin urmare, determinarea măsurilor de prevenire a unor atacuri similare în viitor.

În funcție de rezultatul dorit, infractorul se concentrează pe una sau alta etapă. De exemplu, pentru refuzul serviciului, în primul rând analizează în detaliu rețeaua atacată și caută lacune și puncte slabe în ea pentru a le ataca și a dezactiva nodurile de rețea. Pentru a fura informații, atacatorul se concentrează pe pătrunderea furișă în nodurile analizate folosind vulnerabilitățile descoperite anterior.

Să luăm în considerare principalele mecanisme de implementare a atacurilor. Acest lucru este necesar pentru a înțelege cum să detectăm aceste atacuri. În plus, înțelegerea modului în care operează atacatorii este cheia pentru a-ți apăra cu succes rețeaua.

Colectarea de informații

Prima etapă a implementării atacurilor este colectarea de informații despre sistemul sau nodul atacat, adică determinarea topologiei rețelei, tipul și versiunea sistemului de operare a nodului atacat, precum și rețeaua disponibilă și alte servicii etc. Aceste acțiuni sunt implementate de către diverse metode.

Studierea mediului.În această etapă, atacatorul explorează mediul de rețea al țintei vizate a atacului, de exemplu, gazdele furnizorului de internet al companiei atacate sau gazdele biroului său la distanță. Un atacator poate încerca să determine adresele sistemelor „de încredere” (de exemplu, rețeaua unui partener) și nodurilor care sunt conectate direct la ținta atacului (de exemplu, un router ISP), etc. Astfel de acțiuni sunt dificil de detectat deoarece acestea se desfășoară pe o perioadă destul de lungă de timp, și în afara zonei controlate prin măsuri de securitate (firewall-uri, sisteme de detectare a intruziunilor etc.).

Identificarea topologiei rețelei. Există două metode de detectare a topologiei rețelei utilizate de atacatori: modularea TTL și ruta de înregistrare. Programele traceroute pentru Unix și tracert pentru Windows folosesc prima metodă pentru a determina topologia rețelei. Ei fac acest lucru folosind câmpul Time to Live din antetul pachetului IP, care variază în funcție de numărul de routere prin care a trecut pachetul de rețea. Utilitarul ping este potrivit pentru înregistrarea rutei unui pachet ICMP. Adesea, topologia rețelei poate fi determinată folosind protocolul SNMP instalat pe multe dispozitive de rețea a căror securitate nu este configurată corect. Folosind protocolul RIP, puteți încerca să obțineți informații despre tabelul de rutare din rețea etc.

Multe dintre aceste metode sunt folosite de sistemele moderne de management (de exemplu, HP OpenView, Cabletron SPECTRUM, MS Visio etc.) pentru a construi hărți de rețea. Și aceleași metode pot fi folosite cu succes de către atacatori pentru a construi o hartă a rețelei atacate.

Identificarea nodului. Detectarea gazdei este de obicei efectuată prin trimiterea comenzii ECHO_REQUEST ICMP folosind utilitarul ping. Mesajul de răspuns ECHO_REPLY indică faptul că nodul este accesibil. Există programe disponibile gratuit care automatizează și accelerează procesul de identificare paralelă a unui număr mare de noduri, de exemplu, fping sau nmap. Pericolul acestei metode este că cererile ECHO_REQUEST nu sunt înregistrate de instrumentele standard ale nodurilor. Acest lucru necesită instrumente de analiză a traficului, firewall-uri sau sisteme de detectare a atacurilor.

Aceasta este cea mai simplă metodă de identificare a nodurilor, dar are o serie de dezavantaje. În primul rând, multe dispozitive și programe de rețea blochează pachetele ICMP și nu le permit să intre în rețeaua internă (sau, dimpotrivă, nu le permit să treacă afară). De exemplu, MS Proxy Server 2.0 nu permite pachetelor să treacă prin protocolul ICMP. Ca urmare, imaginea completă nu este obținută. Pe de altă parte, blocarea unui pachet ICMP îi spune atacatorului despre prezența unei „primei linii de apărare” - routere, firewall-uri etc. În al doilea rând, utilizarea solicitărilor ICMP facilitează detectarea sursei acestora, ceea ce, desigur, atacatorul nu este interesat.

Există o altă metodă de identificare a nodurilor de rețea - folosind modul „mixt” („promiscu”) al plăcii de rețea, care vă permite să identificați diferite noduri din segmentul de rețea. Dar nu este aplicabil în cazurile în care traficul unui segment de rețea este inaccesibil unui atacator din propriul nod, adică această metodă este potrivită numai pentru rețelele locale. O altă modalitate de a identifica nodurile rețelei este așa-numita recunoaștere DNS, care vă permite să identificați nodurile rețelei corporative contactând serverul de servicii de nume.

Identificarea serviciului și scanarea portului. Identificarea serviciilor (detecția serviciului), de regulă, se realizează prin detectarea porturilor deschise (scanarea porturilor). Astfel de porturi sunt foarte des asociate cu servicii bazate pe protocoalele TCP sau UDP. De exemplu, portul deschis 80 implică prezența unui server Web, portul 25 - un server de e-mail SMTP, 31.337 - partea de server a calului troian BackOrifice, 12.345 sau 12.346 - partea de server „calul troian” NetBus etc. Pentru a identifica servicii și porturi de scanare, pot fi folosite diverse programe, inclusiv cele distribuite gratuit, de exemplu nmap sau netcat.

Identificarea sistemului de operare. Principalul mecanism pentru detectarea de la distanță a sistemului de operare este analiza răspunsurilor la solicitări, luând în considerare diferitele implementări ale stivei TCP/IP în diferite sisteme de operare. Stiva de protocoale TCP/IP este implementată diferit în fiecare sistem de operare, ceea ce face posibilă determinarea sistemului de operare care este instalat pe o gazdă la distanță folosind cereri și răspunsuri speciale la acestea.

Un alt mod, mai puțin eficient și extrem de limitat, de a identifica sistemele de operare gazdă este analiza serviciilor de rețea descoperite în etapa anterioară. De exemplu, un port deschis 139 ne permite să concluzionam că gazda la distanță rulează cel mai probabil un sistem de operare Windows. Pentru a determina sistemul de operare pot fi utilizate diverse programe, de exemplu nmap sau queso.

Definirea rolului nodului. Penultimul pas în etapa de colectare a informațiilor despre nodul atacator este de a determina rolul acestuia, să zicem, în îndeplinirea funcțiilor unui firewall sau server Web. Acest pas se face pe baza informațiilor deja colectate despre servicii active, nume de gazdă, topologia rețelei etc. De exemplu, un port deschis 80 poate indica prezența unui server Web, blocarea unui pachet ICMP poate indica prezența potențială a unui firewall, și Numele de gazdă DNS proxy.domain.ru sau fw.domain.ru vorbește de la sine.

Determinarea vulnerabilităților gazdei. Ultimul pas este căutarea vulnerabilităților. Atacatorul, folosind diverse mijloace automate sau manual, identifică vulnerabilități care pot fi folosite pentru a efectua un atac. ShadowSecurityScanner, nmap, Retina etc. pot fi folosite ca astfel de instrumente automate.

Punerea în aplicare a atacului

După toate cele de mai sus, se încearcă obținerea accesului la nodul atacat, atât direct (penetrarea nodului), cât și indirect, de exemplu, la implementarea unui atac de tip denial of service. Implementarea unui atac în cazul accesului direct mai poate fi împărțită în două etape: pătrundere și stabilire a controlului.

Penetrare presupune depășirea protecției perimetrale (firewall) în diverse moduri – folosind vulnerabilitatea unui serviciu informatic care „arata” în afară, sau transmiterea de informații ostile prin e-mail (macrovirusuri) sau prin applet-uri Java. Astfel de informații pot fi transmise prin așa-numitele tuneluri firewall (a nu se confunda cu tunelurile VPN), prin care atacatorul pătrunde apoi. Această etapă include și selectarea parolei unui administrator sau a altui utilizator folosind un utilitar specializat (L0phtCrack sau Crack).

Stabilirea controlului. După pătrundere, atacatorul stabilește controlul asupra nodului atacat. Acest lucru este posibil prin introducerea unui program troian (NetBus sau BackOrifice). După stabilirea controlului asupra nodului dorit și „acoperirea urmelor acestuia”, atacatorul poate efectua toate acțiunile neautorizate necesare de la distanță, fără știrea proprietarului computerului atacat. În acest caz, stabilirea controlului asupra unui nod al rețelei corporative ar trebui menținută chiar și după repornirea sistemului de operare - prin înlocuirea unuia dintre fișierele de pornire sau inserarea unui link către codul ostil în fișierele de pornire sau în registrul de sistem. Există un caz cunoscut în care un atacator a reușit să reprogrameze EEPROM-ul unei plăci de rețea și, chiar și după reinstalarea sistemului de operare, a repetat acțiuni neautorizate. O modificare mai simplă a acestui exemplu este de a încorpora codul sau fragmentul necesar într-un script de pornire în rețea (de exemplu, pentru sistemul de operare Novell NetWare).

Obiectivele atacurilor. De remarcat că atacantul din a doua etapă poate urmări două goluri. În primul rând, obținerea accesului neautorizat la nodul în sine și la informațiile conținute în acesta. În al doilea rând, obținerea accesului neautorizat la un nod pentru a efectua alte atacuri asupra altor noduri. Primul scop, de regulă, este realizat numai după ce al doilea este realizat. Adică, atacatorul creează mai întâi o bază pentru alte atacuri și abia după aceea pătrunde în alte noduri. Acest lucru este necesar pentru a ascunde sau a complica semnificativ găsirea sursei atacului.

Finalizarea atacului

Etapa finală a atacului este „acoperirea urmelor”. De obicei, un atacator face acest lucru ștergând intrările corespunzătoare din jurnalele gazdei și alte acțiuni care readuc sistemul atacat la starea inițială, „pre-atacat”.

Clasificarea atacurilor

Există diferite tipuri de clasificări de atac. De exemplu, împărțirea în atacuri pasive și active, externe și interne, intenționate și neintenționate. Cu toate acestea, pentru a nu confunda cititorul cu o mare varietate de clasificări care sunt de puțină folos în practică, aș dori să propun o clasificare mai „vială”:

Compania de internet Security Systems a redus numărul de categorii posibile la cinci:

Primele patru categorii se referă la atacuri la distanță, iar ultima - la cele locale, implementate pe nodul atacat. Se poate observa că această clasificare nu include o întreagă clasă de așa-numite atacuri „pasive”. Pe lângă traficul „sniffing”, atacuri precum „server DNS fals”, „spoofing server ARP”, etc. intră și ele în această categorie.

Clasificarea atacurilor implementate în multe sisteme de detectare a atacurilor nu poate fi categorică. De exemplu, un atac a cărui implementare pe sistemul de operare Unix (de exemplu, un buffer overflow de stat) este plin de consecințe cele mai grave (cel mai mare prioritate), pe sistemul de operare Windows NT poate fi complet inaplicabil sau are un grad foarte scăzut de risc.

Concluzie

Fără vulnerabilități în componentele sistemului informațional, multe atacuri nu ar fi posibile și, prin urmare, sistemele tradiționale de securitate ar fi destul de eficiente în a face față posibilelor atacuri. Dar programele sunt scrise de oameni care au tendința de a greși. Ca urmare, apar vulnerabilități care sunt folosite de atacatori pentru a efectua atacuri. Cu toate acestea, aceasta este doar jumătate din poveste. Dacă toate atacurile s-ar baza pe un model unu-la-unu, atunci ar fi puțin exagerat, dar și firewall-urile și alte sisteme de securitate le-ar putea rezista. Dar... au apărut atacuri coordonate împotriva cărora mijloacele tradiționale nu mai sunt atât de eficiente. Aici apar noile tehnologii de detectare a atacurilor, dar mai multe despre ele în articolul următor.

Baze de date de atac

În 1999, MITRE Corporation (http://cve.mitre.org) a propus o abordare de clasificare a atacurilor care a fost ulterior implementată în baza de date Common Vulnerabilities and Exposures (CVE). În ciuda unei inițiative atât de atractive, baza de date CVE nu a fost utilizată pe scară largă în rândul producătorilor de produse comerciale atunci când a fost creată. Cu toate acestea, la începutul anului 2000, Internet Security Systems (ISS) și-a adus baza de date de vulnerabilități, utilizată în sistemele de analiză a securității Internet Scanner și System Scanner, în conformitate cu CVE. Ea a fost prima care a făcut referire la coduri CVE unificate. Acest lucru a dat un impuls tuturor celorlalți producători. În iunie 2000, Cisco, Axent, BindView, IBM și alții și-au anunțat sprijinul pentru CVE.

ISS, lider în dezvoltarea instrumentelor de analiză a securității și de detectare a atacurilor, a fost fondată în 1994 de unul dintre organizatorii CERT, Christopher Klaus. ISS are un grup de cercetare numit X-Force, care reunește experți în domeniul securității informațiilor. Acest grup nu numai că monitorizează în mod constant toate mesajele despre vulnerabilitățile descoperite publicate de alte echipe de răspuns, dar efectuează și teste software și hardware. Rezultatele acestor studii sunt plasate în baza de date ISS X-Force amenințări și vulnerabilități.

Alexey Lukatsky - director adjunct de marketing al Întreprinderii științifice și de inginerie „Informzashchita”
Reţea

Motivul desfășurării unor astfel de activități infracționale este obținerea de profit. Cea mai simplă și, prin urmare, cea mai comună metodă este de a infecta gazdele rețelei cu programe malware, cum ar fi Ransomware. În ultimii 2 ani, popularitatea sa a crescut rapid:

• în 2016, numărul de tipuri (familii) cunoscute de troieni ransomware a crescut cu 752%: de la 29 de tipuri în 2015 la 247 până la sfârșitul lui 2016 (conform TrendLabs);
• datorită virușilor ransomware, atacatorii au „câștigat” 1 miliard de dolari în 2016 (conform CSO);
• În primul trimestru al anului 2017, au apărut 11 noi familii de troieni ransomware și 55.679 de modificări. Spre comparație, în trimestrul 2-4 din 2016 au apărut 70.837 de modificări (conform Kaspersky Lab).

• Ianuarie 2017. 70% dintre camerele de supraveghere a ordinii publice din Washington au fost infectate în ajunul învestirii prezidențiale. Pentru a elimina consecințele, camerele au fost demontate, refacate sau înlocuite cu altele;
• Februarie 2017 Dezactivarea tuturor serviciilor municipale din comitatul Ohio (SUA) pentru mai mult de o săptămână din cauza criptării masive a datelor de pe servere și stații de lucru ale utilizatorilor (peste 1000 de gazde);
• Martie 2017 Dezactivarea sistemelor Pennsylvania State Capitol (SUA) din cauza unui atac și blocarea accesului la datele sistemelor informatice;
• Mai 2017 Atacul pe scară largă al virusului ransomware WannaCry (WanaCrypt0r 2.0), care a afectat peste 546 de mii de computere și servere bazate pe sisteme de operare Windows în peste 150 de țări la 26 iunie 2017. În Rusia, computerele și serverele unor companii atât de mari precum Ministerul Sănătății, Ministerul Situațiilor de Urgență, Căile Ferate Ruse, Ministerul Afacerilor Interne, Megafon, Sberbank și Banca Rusiei au fost infectate. Încă nu există un decriptor universal de date (a fost publicat modul de decriptare a datelor pe Windows XP). Daunele totale cauzate de virus, conform experților, depășesc 1 miliard de dolari;
• Un atac pe scară largă al virusului ransomware XData în mai 2017 (la o săptămână după începerea atacului WannaCry), care a folosit o vulnerabilitate similară cu WannaCry (EternalBlue) în protocolul SMBv1 pentru infectare și a afectat în principal segmentul corporativ al Ucrainei ( 96% dintre computerele și serverele infectate sunt situate în Ucraina), a căror răspândire este de 4 ori mai rapidă decât WannaCry. În acest moment, cheia de criptare a fost publicată, au fost eliberate decriptoare pentru victimele ransomware-ului;
• Iunie 2017. Rețeaua uneia dintre cele mai mari universități din lume, Univercity College London, a fost supusă unui atac ransomware pe scară largă. Atacul a avut ca scop blocarea accesului la stocarea în rețea partajată și la sistemul de management automat al elevilor. Acest lucru s-a făcut în perioada pre-examinare și în perioada de absolvire, când studenții care își stochează tezele pe serverele de fișiere ale universității sunt cel mai probabil să plătească escrocii pentru a-și obține munca. Volumul datelor criptate și cele afectate nu sunt dezvăluite.

Odată cu dezvoltarea Ransomware-ului, există și mijloace de a le contracara. În primul rând, acesta este un proiect deschis No more Ransom! (www.nomoreransom.org), care oferă victimelor atacurilor mijloace de decriptare a datelor (în cazul în care cheia de criptare este compromisă) și, în al doilea rând, mijloace specializate open-source de protecție împotriva virușilor ransomware. Dar ei fie analizează comportamentul software-ului pe baza semnăturilor și nu sunt capabili să detecteze un virus necunoscut, fie blochează malware-ul după ce acesta afectează sistemul (criptând o parte din date). Soluțiile specializate Open-source sunt utilizate de utilizatorii de Internet pe dispozitive personale/casnice. Organizațiile mari care procesează volume mari de informații, inclusiv informații critice, trebuie să ofere o protecție proactivă cuprinzătoare împotriva atacurilor vizate.

Protecție proactivă împotriva atacurilor direcționate și a ransomware-ului

• Impactul asupra perimetrului unei rețele locale de calculatoare de la Internet este posibil prin:
• e-mail corporativ;
• trafic web, inclusiv e-mail web;
• router/firewall perimetru;
• gateway-uri de acces la Internet terțe (non-corporate) (modemuri, smartphone-uri etc.);
• sisteme securizate de acces la distanță.
• Impactul asupra serverelor și stațiilor de lucru ale utilizatorilor din rețea:
• descărcarea de programe malware către puncte finale/servere la cererea acestora;
• utilizarea capacităților (vulnerabilităților) nedocumentate ale software-ului de sistem/aplicație;
• descărcarea de programe malware pe un canal VPN criptat, necontrolat de serviciile IT și de securitate a informațiilor;
• conectarea la rețeaua locală de dispozitive nelegitime.
• Impact direct asupra informațiilor de pe servere și stațiile de lucru ale utilizatorilor:
• conectarea mediilor de stocare externe cu malware;
• dezvoltarea de programe malware direct pe endpoint/server.

Figura 1. Măsuri proactive de protecție împotriva atacurilor direcționate și a ransomware-ului

Măsuri organizaționale de protecție împotriva atacurilor direcționate și a ransomware-ului

• Creșterea gradului de conștientizare a angajaților în domeniul securității informațiilor.
  Este necesar să se instruiască în mod regulat angajații și să-i informeze despre posibile amenințări la securitatea informațiilor. Măsura minimă și necesară este formarea principiilor pentru lucrul cu fișiere și corespondență:
  o nu deschideți fișiere cu extensii duble: configurați afișarea extensiilor pentru ca utilizatorii să identifice fișierele rău intenționate cu extensii duble (de exemplu, 1СRecord.xlsx.scr);
  o nu activați macrocomenzi în documentele Microsoft Office care nu sunt de încredere;
  o verifica adresele expeditorilor de mesaje mail;
  o nu deschideți link-uri către pagini web sau atașamente de e-mail de la expeditori necunoscuți.
• Evaluarea eficacității protecției atât în ​​cadrul organizației, cât și cu implicarea specialiștilor externi.
  Este necesar să se evalueze eficacitatea pregătirii personalului prin modelarea atacurilor, atât interne, cât și cu participarea specialiștilor externi - efectuând teste de penetrare, inclusiv folosind metoda ingineriei sociale.
• Actualizări regulate ale software-ului de sistem (Patch Management).
  Pentru a preveni atacurile malware asupra sistemelor țintă prin vulnerabilități cunoscute, este necesar să se asigure testarea și instalarea în timp util a actualizărilor software de sistem și aplicații, ținând cont de prioritizarea criticității actualizărilor.
• Sistematizarea backup-ului datelor.
  Este necesar să se facă în mod regulat copii de siguranță ale datelor critice de pe serverele sistemului informatic, sistemele de stocare a datelor și stațiile de lucru ale utilizatorilor (dacă informațiile critice trebuie stocate). Copiile de rezervă ar trebui să fie stocate pe bibliotecile de bandă ale sistemului de stocare a datelor, pe medii de stocare înstrăinate (cu condiția ca mediul de stocare să nu fie conectat permanent la stația de lucru sau server), precum și în sistemele de backup de date din cloud și facilitățile de stocare.

Măsuri tehnice de protecție împotriva atacurilor direcționate și a ransomware-ului

Măsuri de protecție proactive la nivel de rețea

• Utilizarea sistemelor de filtrare a e-mailului, oferind analiză a traficului de e-mail pentru prezența literelor nedorite (spam), legături, atașamente, inclusiv cele rău intenționate (de exemplu, blocarea fișierelor JavaScript (JS) și Visual Basic (VBS), fișierele executabile (.exe), fișierele screensaver ( SCR), Android Package (.apk) și Windows Shortcut Files (.lnk)).
• Utilizarea sistemelor de filtrare a conținutului de trafic web, oferind diferențierea și controlul accesului utilizatorilor la Internet (inclusiv prin analizarea traficului SSL prin înlocuirea unui certificat de server), analiza traficului în flux pentru prezența programelor malware și restricționarea accesului utilizatorilor la conținutul paginilor web.
• Utilizarea sistemelor de protecție împotriva atacurilor țintite, atacuri zero-day (Sandbox, sandbox), care oferă analiză euristică și comportamentală a fișierelor potențial periculoase într-un mediu izolat înainte de a trimite fișierul către sistemele de informații protejate. Sistemele de protecție împotriva atacurilor direcționate trebuie să fie integrate cu sisteme de filtrare a conținutului pentru traficul web și filtrarea e-mailurilor pentru a bloca atașamentele rău intenționate. De asemenea, sistemele de protecție împotriva atacurilor direcționate sunt integrate cu sistemele informaționale din perimetrul rețelei pentru a detecta și bloca atacurile complexe asupra resurselor și serviciilor critice.
• Asigurarea controlului accesului la rețeaua corporativă la nivel de rețea cu fir și fără fir folosind tehnologia 802.1x. Această măsură previne conectarea neautorizată a dispozitivelor nelegitime la rețeaua corporativă și oferă posibilitatea de a verifica conformitatea cu politicile corporative atunci când accesați rețeaua organizației (disponibilitatea software-ului antivirus, bazele de date actuale de semnături, disponibilitatea actualizărilor Windows critice). Controlul accesului la rețeaua corporativă folosind 802.1x este asigurat de sistemele de clasă NAC (Network Access Control).
• Eliminarea interacțiunii directe utilizatori externi cu resurse ale sistemelor informaționale corporative care utilizează gateway-uri intermediare de acces cu instrumente de securitate a informațiilor corporative suprapuse (server terminal, sistem de virtualizare desktop VDI), inclusiv capacitatea de a înregistra acțiunile utilizatorilor externi folosind înregistrarea video sau text a sesiunii. Măsura este implementată folosind sisteme de acces terminale, sisteme de clasă PUM (Privileged User Management).
• Segmentarea rețelei bazat pe principiul suficienței necesare pentru a exclude permisiunile redundante pentru interacțiunea în rețea, limitând posibilitatea răspândirii de malware în rețeaua corporativă în cazul infectării unuia dintre serverele/stațiile de lucru ale utilizatorului/mașinile virtuale. Este posibilă implementarea unei astfel de măsuri utilizând sisteme de analiză a politicilor firewall (NCM / NCCM, Network Configuration (Change) Management), care asigură colectarea centralizată a politicilor firewall-ului, setărilor firewall-ului și procesarea ulterioară a acestora în scopul emiterii automate de recomandări pentru acestea. optimizare, control al schimbărilor de politică firewall.
• Detectarea anomaliilor la nivelul interacțiunilor rețelei folosind soluții specializate din clasa NBA & NBAD (Network Behavior Analysis, Network Behavior Anomaly Detection), care permit colectarea și analizarea informațiilor despre fluxurile de date, profilarea traficului pentru fiecare gazdă de rețea pentru a identifica abaterile de la profilul „normal”. Această clasă de soluții va dezvălui:

  O scanarea mediului gazdei infectate;
  o vector de infecție;
  o starea gazdei: „scanat”, „infectat și scanarea altora”;
  o fluxuri unidirecționale;
  o fluxuri anormale;
  o epidemii virale;
  o atacuri distribuite;
  o imagine a fluxurilor existente.

• Dezactivarea gazdelor infectate(stații de lucru automate, servere, mașini virtuale etc.) din rețea. Această măsură este aplicabilă dacă cel puțin una dintre gazdele din rețeaua corporativă este infectată, dar este necesară pentru a localiza și a preveni o epidemie virală. Stațiile de lucru pot fi deconectate de la rețea atât de către personalul IT, cât și de către personalul administrativ de securitate a informațiilor, și automat atunci când sunt detectate semne ale unei amenințări pe gazda protejată (prin corelarea evenimentelor de securitate, stabilirea de acțiuni automate pentru blocarea tuturor activităților de rețea de pe gazdă/deconectarea gazdă din rețea la nivel de comutare etc.).

Măsuri proactive de apărare la nivel de gazdă

• Asigurarea protecției împotriva accesului neautorizat stații de lucru, servere, mașini virtuale prin autentificarea îmbunătățită a utilizatorilor, monitorizarea integrității sistemului de operare, blocarea încărcării sistemului de pe medii externe pentru a preveni intrușii să infecteze rețeaua corporativă din perimetrul rețelei. Această măsură este implementată prin soluții din clasa SZI de la NSD / Endpoint Protection.
• Oferă protecție antivirus pe toate nodurile de rețea ale organizației. Software-ul antivirus trebuie să detecteze în timp real faptele de infectare cu virus a RAM, medii de stocare locale, volume, directoare, fișiere, precum și fișiere primite prin canale de comunicare, mesaje electronice pe stații de lucru, servere, mașini virtuale, să trateze, să elimine sau să izoleze amenintari. Bazele de date de semnături software antivirus trebuie să fie actualizate în mod regulat și menținute la zi.
• Asigurarea monitorizării și controlului acțiunilor software pe gazde protejate prin monitorizarea serviciilor lansate și analiza euristică a funcționării acestora. Această măsură este implementată prin soluții de clasă HIPS (Host Intrusion Prevention).
• Asigurarea controlului asupra conexiunii dispozitivelor externe, blocând porturile neutilizate pe gazde protejate pentru a preveni conectarea dispozitivelor neautorizate la gazde protejate: atât medii de stocare cu programe potențial rău intenționate, cât și gateway-uri externe de acces la Internet (de exemplu, un modem 4G), oferind un canal de acces la Internet necontrolat și neprotejat. Această măsură este implementată prin soluții din clasa SZI de la NSD / Endpoint Protection.
• Oferiți protecție avansată a gazdei folosind analiza comportamentală funcționarea proceselor pe gazde protejate, învățarea automată, analiza euristică a fișierelor, controlul aplicațiilor, protecția la exploatare pentru a identifica și bloca amenințările necunoscute (amenințări zero-day) în timp real. Această măsură este implementată de soluții de clasă NGEPP (Next Generation Endpoint Protection).
• Folosind soluții de protecție împotriva ransomware-ului bazate pe agenți, criptând datele de pe gazda infectată. Acestea includ:
  o Sisteme productive de protecție împotriva atacurilor direcționate și a atacurilor zero-day cu arhitectură client-server. Software-ul client este instalat pe gazda protejată, protejează în timp real de amenințările zero-day, virușii care criptează datele din sistem, decriptează datele criptate de malware (dacă există un agent, înainte de o tentativă de infecție), elimină ransomware-ul și protejează împotriva atacurilor de tip phishing. Software-ul client oferă controlul tuturor canalelor de acces la gazdă: trafic web, medii de stocare înstrăinate, e-mail, acces la rețeaua locală, malware în trafic criptat (VPN).
  o Sistemele de protecție a clienților împotriva amenințărilor zero-day (sandbox) sunt disponibile public (sandboxie, sandbox cuckoo, shadow defender etc.).
  o Sisteme client pentru protecție împotriva amenințărilor zero-day bazate pe microvirtualizare (Bromium vSentry), oferind analiza comportamentală a fișierelor potențial rău intenționate într-un mediu izolat hardware (infrastructură microvirtuală).
• Furnizarea de firewall-uri la nivel de gazdă utilizarea firewall-urilor software pentru a restricționa accesul la resursele rețelei corporative, a limita răspândirea malware-ului în cazul infectării gazdei, blocând porturile și protocoalele de rețea neutilizate.

Alte măsuri de protecție împotriva virușilor ransomware

• Asigurarea unei analize regulate a securității infrastructurii IT - scanarea nodurilor de rețea pentru a căuta vulnerabilități cunoscute în software-ul de sistem și aplicație. Această măsură asigură detectarea în timp util a vulnerabilităților și permite eliminarea acestora înainte de a fi exploatate de către atacatori. Sistemul de analiză a securității rezolvă și problemele de monitorizare a dispozitivelor de rețea și a dispozitivelor conectate la stațiile de lucru ale utilizatorilor (de exemplu, un modem 4G).
• Colectarea și corelarea evenimentelor permite o abordare cuprinzătoare pentru detectarea ransomware-ului în rețea bazată pe sisteme SIEM, deoarece această metodă oferă o imagine holistică a infrastructurii IT a companiei. Eficacitatea SIEM constă în procesarea evenimentelor care sunt trimise din diferite componente ale infrastructurii, inclusiv securitatea informațiilor, pe baza regulilor de corelare, care vă permite să identificați rapid potențialele incidente legate de răspândirea ransomware-ului.

Prioritizează măsurile de protecție împotriva ransomware

• Un set de bază de măsuri necesare pentru implementarea tuturor organizațiilor pentru a proteja împotriva atacurilor direcționate și a ransomware-ului.
• Un set extins de măsuri aplicabile organizațiilor mijlocii și mari cu costuri ridicate de procesare a informațiilor.
• Un set avansat de măsuri aplicabile organizațiilor mijlocii și mari cu infrastructură IT avansată și de securitate a informațiilor și costul ridicat al informațiilor procesate.

Figura 2. Prioritizarea măsurilor de protecție împotriva ransomware

Măsuri de protecție împotriva ransomware-ului pentru utilizatorii finali

• instalarea la timp a actualizărilor de software de sistem;
• utilizarea antivirusurilor;
• actualizarea în timp util a bazelor de date de semnături antivirus;
• folosind instrumente de protecție disponibile gratuit împotriva programelor malware care criptează datele de pe un computer: RansomFree, CryptoDrop, instrument AntiRansomware pentru afaceri, Cryptostalker etc. Instalarea instrumentelor de protecție din această clasă este aplicabilă dacă datele critice fără rezervare sunt stocate pe computer și instrumente de protecție antivirus fiabile sunt neinstalat.

Vulnerabilitatea dispozitivelor mobile (Android, iOS)

Măsuri de protecție pentru dispozitivele mobile:

• Pentru sectorul corporativ:
  o utilizarea sistemelor de clasă Mobile Device Management (MDM) care oferă control asupra instalării actualizărilor de software de sistem, instalărilor de aplicații și control asupra prezenței drepturilor de superutilizator;
  o pentru a proteja datele corporative de pe dispozitivele mobile ale utilizatorului - sisteme de clasă Mobile Information Management (MIM) care asigură stocarea datelor corporative într-un container criptat izolat de sistemul de operare al dispozitivului mobil;
  o utilizarea sistemelor de clasă Mobile Threat Prevention care asigură controlul permisiunilor acordate aplicațiilor și analiza comportamentală a aplicațiilor mobile.
• Pentru utilizatorii finali:
  o folosirea magazinelor oficiale pentru a instala aplicații;
  o actualizarea la timp a software-ului sistemului;
  o prevenirea navigării prin resurse nesigure și instalarea de aplicații și servicii neîncrezătoare.

Concluzii

Prin urmare, la Informzashita, ne concentrăm pe provocările moderne de securitate a informațiilor și asigurăm protecția infrastructurii clienților noștri de cele mai recente amenințări, inclusiv necunoscute. Prin crearea și implementarea unor modele adaptive complexe pentru contracararea amenințărilor la securitatea informațiilor, știm cum să anticipăm, să prevenim, să detectăm și să răspundem la amenințările cibernetice. Principalul lucru este să o faci în timp util.