Открыты 124 новых динамических техник обхода

28-02-2011

Многие производители средств сетевой защиты заявили об “устранении” уязвимостей, связанных с 23 первыми динамическими техниками обхода, выявленными осенью прошлого года. Однако реальные тесты в исследовательской лаборатории Stonesoft подтверждают, что динамические техники обхода до сих пор позволяют пройти сквозь многие из этих систем защиты без обнаружения. В других случаях, первоначальные образцы AET распознаются средствами защиты, но незначительные видоизменения АЕT, например, изменение размера пакетов или сегментация, вновь позволяют обойти системы безопасности. Это показывает, что большинство поставщиков предоставили только временные статические исправления для своих средств защиты, которые неэффективны для противостояния растущему числу AET, а не исследовали этот вопрос более детально на архитектурном уровне, что более соответствует специфике этих уязвимостей.

  "Очевидно, что те, кто утверждает, что имеет 100 % защиту от динамических техник обхода, в действительности не понимают ни масштаба этой проблемы, либо недостаточно исследовали этот вопрос. Открытия, которые были сделаны до сих пор, являются только верхушкой айсберга", - говорит Joona Airamo, директор по информационной безопасности Stonesoft.

  Bob Walder, Директор по исследованиям Gartner, Inc., который рассуждал на тему AET в своем ноябрьском отчете, озаглавленном “Advanced Evasion Techniques (AET): оружие массового поражения или неразорвавшаяся боеголовка”, комментирует: "Техники обхода не являются новыми, но они до сих пор составляют серьезную угрозу для систем сетевой защиты, которые обеспечивают информационную безопасность правительств, бизнеса и информационного обмена во всем мире. Последние исследования опять осветили эту важную проблему, и производителям средств сетевой безопасности следует уделить ей пристальное внимание и выделить ресурсы, чтобы найти решение”.

  Тема традиционных и динамических техник обхода (АЕТ) нашла широкий отклик в мировом сообществе информационной безопасности. При независимом тестировании сетевых IPS в 4 квартале 2010 года тестовая лаборатория NSS Labs выделила техники обхода IP фрагментацию и TCP сегментацию, как серьезные угрозы, заявив, что "если злоумышленник сможет избежать обнаружения, разбивая сетевые пакеты на фрагменты или сегментируя TCP потоки, система предотвращения вторжений (IPS) будет полностью слепа к ЛЮБЫМ атакам".

  "Пропустить техники обхода - значит дать хакеру возможность использовать целый класс эксплойтов, что делает системы защиты практически бесполезными", - отметил Рик Мой, президент NSS Labs. "Сочетание определенных техник обхода в дальнейшем увеличивает вероятность успеха для злоумышленников и повышает риск для организаций".

  Хотя пока не существует единого решения для устранения угрозы AET, организации могут снизить риски и уменьшить уязвимость своих систем. Один из таких путей - убедиться, что используемые средства защиты осуществляют корректный многоуровневый процесс нормализации, работающий на всех уровнях протоколов и для каждого соединения. Централизованное управление системой защиты также имеет важное значение, поскольку позволяет постоянно осуществлять обновления и необходимую модернизацию средств защиты по всей инфраструктуре. К сожалению, технологии fingerprint и сигнатурный анализ - типичные ответы систем информационной безопасности на появляющиеся эксплойты – не работают против динамических, комбинированных и постоянно меняющихся AET.

  Stonesoft также выпустил детальные технические спецификации нескольких AET, о которых было объявлено CERT-FI в 2010 году, и которые можно посмотреть здесь. Для получения информации о том, как защититься против AET, пожалуйста, посетите www.antievasion.com или www.stonesoft.com

Источник: https://www.safe-line.ru