Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

Stonesoft Corporation

Разработка комплексных решений по сетевой безопасности
Тел.: +7 (495) 787-9936
Сайт: www.stonesoft.com
E-mail: info.russia@stonesoft.com
Контактная информация: О компании
Регионы работы: Москва
Статья

Динамические техники обхода – защита и превентивные меры.

Динамические техники обхода – защита и превентивные меры

Актуальность угроз хакерских атак уже неоднократно поднималась в различных статьях экспертов рынка, но, пожалуй, атаки на защищаемые (если их кто-нибудь действительно защищает) ресурсы остаются одними из  самых недооцененных угроз на сегодняшний момент. Ни для кого  не секрет, что хакерские атаки давно вышли из области «попробуем сломать, это так увлекательно!» и превратились в инструмент конкурентной борьбы, промышленного шпионажа и способ причинения существенного материального ущерба. Совершенствование методов атак часто опережает возможности обороняющихся и вынуждает искать адекватные превентивные меры. Так, например, динамические техники обхода (Advanced evasion techniques или AET) дают возможность киберпреступникам использовать практически неограниченное количество вариантов, с помощью которых вредоносные программы  могут проникать в сети передачи данных незаметно. Сегодня рынок ИБ не предлагает каких-либо решений, обеспечивающих полную защиту от AET. Мы уже писали об истории открытия, эволюции  АЕТ и методах их исследования. Но как компании могут защитить себя от атак, использующих AET? В рамках данной статьи, мы расскажем о конкретных действиях, выполнение которых поможет минимизировать воздействие АЕТ.

 Принцип нормализации

 В настоящий момент общее число комбинаций AET, базирующихся на уже известных техниках, достигло  2 в 180 степени. Новые варианты динамических техник обнаруживаются постоянно. Однако, учитывая почти бесконечное количество уже известных возможных комбинаций, такие открытия представляют собой очередную каплю в море. Поэтому важно, чтобы компании использовали системы предотвращения атак (IPS), которые исследуют сетевой  трафик не только на основе характеристик известных вредоносных кодов или сигнатурного анализа.

Атаки, использующие динамические техники обхода, могут распознаваться системами безопасности, которые имеют дополнительные опции проверки сетевого трафика. Одним из примеров является многоуровневый процесс нормализации. При этом принимаются во внимание данные, которые не были получены оконечной системой, или протоколы, которые могут быть расшифрованы по-разному.

Системы IPS с такой функциональностью обладают способностью декодировать и собирать пакеты данных, так же, как это делают оконечные системы, которым эти данные предназначаются. Эта функция позволяет им легко обнаруживать замаскированный вредоносный код и блокировать его.

В отличие от многих аппаратно-ориентированных решений, такие средства защиты фокусируются не только  на TCP / IP уровне, но также могут анализировать другие уровни протокола для каждого соединения, включая HTTP. Это значительно снижает риск того, что пакеты данных, не соответствующие классическим правилам протоколов, могут проникнуть в сеть незамеченными. Кроме того, производительность сети может поддерживаться на высоком уровне, если функции нормализации  трафика работают отдельно от проверки  соединений и сигнатурного анализа.

Программно- или аппаратно-ориентированные средства защиты?

Только те технические средства защиты, которые имеют возможность быстрого реконфигурирования  и простого обновления, способны противостоять постоянно меняющимся  AET. Сегодня, большинство компаний, сугубо из экономических соображений используют аппаратно-ориентированные решения для защиты своих сетей, т.к. надеются, что решение «из коробки» проще интегрировать в имеющуюся систему. Однако такие решения имеют один недостаток, который нельзя игнорировать – они статичны.Обновление подобных решений всегда требует времени и зачастую невозможно из-за аппаратных ограничений. С учетом этого, аппаратные средства видятся мало подходящими для применения в системах, предназначенных для защиты от AET. С другой стороны, программно-ориентированные системы предотвращения вторжений   могут быть почти мгновенно приведены в обновленно состояние, соотвествующее актуальным угрозам, включая AET, причем применение обновлений  можт быть произведено с минимальными затратами и практически в любое время.

Централизованное управление

Возможность получения быстрого доступа к данным о текущем состоянии системы ИБ и происходящих событиях является, пожалуй, единственным способом для администратору быстро среагировать на атаку и принять превентивные меры для защиты системы. Именно поэтому так важна роль централизованного управления средствами безопасности, а способность быстрого и единообразного  распространения обновлений на все элементы защиты, включая удаленные узлы, позволяет, в случае необходимости, быстро реагировать на появление новых видов атак и поддерживать систему в актуальном состоянии.

Предлагаемые меры

Использование перечисленных мер позволит организациям добиться значительного улучшения уровня защиты своих информационных систем от атак, включая AET.

 

·         Узнайте больше о  AET. Динамические техники обхода развиваются весьма динамично, исследование комбинаций и методов противостояния- тоже. В результате, IT менеджеры должны постоянно уделять достаточно внимания вопросам актуальных угроз.

·         Проанализируйте риски: Не все компании подвержены рискам хакерских атак с применением AET. Однако, ландшафт угроз постоянно меняется, да и ценность защищаемой информации – субстанция изменчивая, и в любой момент ее значимость для потенциальных злоумышлеников может возрасти. Рекомендуем постоянно отслеживать окружающую среду и регулярно проводить переоценку рисков ИБ.

·         Установите патчи и обновления: Регулярное обновление защитных систем остается одним из наиболее эффективных методов противодействия разнообразным атакам на сетевую инфраструктуру. При помощи средств централизованного управления (SMC) обновления ПО, политик и сигнатур могут быть распространены на всю систему с высокой скоростью.

·         Используйте IPS: Всегда ищите лучшее решение по предотвращению атак. Ключевой фактор эффективной IPS – это способность быстро реагировать на изменения среды и появление новых угроз, что с большим успехом могут делать программно-ориентированные решения в силу своей большей гибкости.

Детальную информацию по защите от AET можно получить на http://www.antievasion.com/


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс