Шесть советов от Stonesoft

07.04.2011

Техники обхода - это способ «обойти» сетевые системы предотвращения вторжений (IPS) или любые другие устройства защиты систем безопасности, которым «предписано» инспектировать сетевой трафик. Сами техники обхода были известны уже давно, но в прошлом году специалистами компании Stonesoft была выявлена новая их разновидность - динамические техники обхода (Advanced Evasion Techniques или АЕТ), которые на момент открытия не могла обнаружить ни одна из существующих систем сетевой безопасности. Информация об открытии и первые 23 образца АЕТ были оперативно доставлены в Центр реагирования на компьютерные инциденты (Computer Emergency Response Team CERT-FI), а затем об этом было объявлено общественности. В феврале 2011 года Stonesoft отправил в CERT-FI еще 124 образца вновь открытых АЕТ. Однако, это всего лишь верхушка айсберга.

«Как правило, все сервисы имеют плановые периоды обслуживания и обновления, системы предотвращения вторжений IPS призваны защитить критичные информационные активы при появлении уязвимостей до выхода соответствующего патча. Именно незакрытые уязвимости и перерывы в обслуживании послужили причиной “нападения” червя Stuxnet в промышленных сетях SCADA в 2010 году. Однако, используя динамические техники обхода АЕТ, злоумышленник способен обойти установленные средства защиты и доставить вредоносный контент (вирус или эксплойт) до целевой информационной системы без обнаружения даже такими “продвинутыми” средствами, как сетевые IPS. Это значит, что любая уязвимость критичной информационной системы может быть использована в любой момент, – объясняет Tomi Kononow, менеджер по продукту StoneGate IPS. – Чтобы защитить свои критичные информационные активы от AET, организации должны действовать на опережение, протестировать установленные решения по защите систем безопасности и при необходимости искать альтернативные варианты в борьбе с этой новой серьезной угрозой. Мы живем в эпоху изменения рынка сетевой безопасности, и старые испытанные методы больше не работают».

Чтобы повысить уровень защиты своих систем безопасности от АЕТ, организациям следует придерживаться 6 советов, перечисленных ниже:

1. Узнайте больше о динамических техниках обхода. АЕТ во многом отличаются от традиционных техник обхода, и важно понимать, что они не являются атаками как таковыми, а только методами доставки вируса/эксплойта в уязвимую цель, причем “безопасными” для злоумышленника, поскольку не детектируются ни межсетевыми экранами, ни IPS устройствами. Таким образом, нет «пуленепробиваемого» решения. Вы можете только свести к минимуму риск внешней атаки при помощи AET, используя решения по сетевой защите, которые способны к многоуровневой нормализации трафика, и снабжены централизованным управлением для быстрой установки обновлений.

2. Проанализируйте риски. Регулярно проводите аудит свой критической инфраструктуры и анализ рисков для наиболее значимых информационных активов (на каких серверах находятся, как и кем осуществляется доступ к важным данным, как часто производится их резервное копирование и т.п.) Установите приоритеты. Для начала убедитесь, что все критически важные активы и публичные сервисы защищены от AET самым лучшим способом из возможных.

3. Пересмотрите свою систему управления обновлениями (патчами). В случае, когда это возможно, установка обновлений для уязвимых систем дает максимальную защиту от сетевых атак, независимо от того, были ли они «усилены» динамическими техниками обхода. Техники обхода могут только помочь злоумышленнику обойти системы предотвращения вторжений (IPS) или межсетевые экраны, но они не помогут ему провести атаку, направленную на конкретную уязвимость, если она уже была «запатчена». Необходимо отметить, правда, что тестирование и развертывание патча потребует определенного времени даже при самых благоприятных обстоятельствах, а до установки обновления следует применять системы предотвращения вторжений (IPS).

4. Протестируйте свое решение по предотвращению вторжений. Критически оцените установленные у Вас решения по предотвращению вторжений и межсетевому экранированию на предмет их возможностей по защите Вашей сети от AET. Рассмотрите критически различные варианты. Динамические техники обхода AET изменили «ландшафт» безопасности навсегда: если средство сетевой защиты не способно противостоять техникам обхода, оно практически бесполезно - независимо от того, имеет ли оно хорошую производительность, много сертификатов, наград и т.п.

5. Пересмотрите свою систему управления безопасностью. Централизованное управление играет важную роль в вопросах защиты от AET. Нужно, чтобы можно было без особых усилий удаленно получать обновления по мере их выпуска производителем, таким образом, Вы будете иметь максимально возможную защиту от техник обхода.

6. Протестируйте установленные у Вас средства защиты с ее текущими политиками и конфигурациями на способность противостоять АЕТ. Многие производители систем безопасности знают, как бороться с обычными техниками обхода, которые смоделированы в лабораторных условиях, и которые отличаются от динамических своей стабильностью и предсказуемостью.. Однако, сталкиваясь с динамическими AET, эти системы сетевой защиты «слепнут» и оказываются не в состоянии защитить информационные системы. Если Вы действительно хотите знать уровень защиты ваших активов от AET, проведите тестирование ваших средств сетевой защиты.