Новые виды угроз требуют защиты в режиме реального времени. Radware готова такую защиту предоставить

Статья Михаила Суконника, регионального менеджера Radware по России и СНГ, в журнале "Information Security/ Информационная безопасность", №1, январь-февраль 2011

Новые тенденции в области атак

За последние годы значительно вырос круг потребителей, получающих онлайн-доступ к корпоративным сетевым ресурсам - это клиенты, партнеры, поставщики и вообще любые пользователи Интернета. Доступность сети превратилась в важный фактор, понятным образом являющийся целью злоумышленных атак. А защита сетевой инфраструктуры должна обеспечивать коммуникации, а не их ограничение.
Известные системы предотвращения вторжений (IPS) сличают сигнатуры, или образцы известных атак на разного рода уязвимости, с входящим сетевым трафиком и блокируют трафик, который выглядит нежелательным.
Лазейка, используемая хакерами, - это легитимные виды коммуникаций, отвечающие правилам приложений и незаметные для систем сетевой защиты, отслеживающих превышение пороговых объемов трафика или известные сигнатуры атак. Большое количество современных угроз сетевой безопасности имеет динамическую природу, и с ними нельзя справиться с помощью статических устройств IPS на основе сигнатур.
Эти угрозы в целом не связаны с необычно большим объемом трафика, не содержат нелегитимных запросов к приложению и не используют уязвимости в программном обеспечении (они обычно называются "атаками, не связанными с уязвимостями").
В попытке противостоять этим новым типам угроз администраторы сетей стараются реактивно просматривать журналы регистрации и вручную устанавливать фильтры и пороговые значения для трафика для сдерживания атак. Если слишком жестко установить эти ограничения, нормальные пользователи будут лишены доступа, а слишком мягкие ограничения не защитят корпоративную сеть от атак. Немногие предприятия готовы непрерывно заниматься такой тонкой настройкой.
Волны атак, предпринимаемых в последние годы, представляют собой новый способ вымогательства по отношению к предприятиям со стороны киберпреступников. Для того чтобы противостоять таким угрозам, необходимы новые технологии предотвращения вторжений, дополняющие существующие IPS на основе сигнатур.
Эффективная система IPS должна автоматически определять и отражать широкий спектр атак в режиме реального времени, не оказывая негативного влияния на обычных пользователей. Поскольку модели прохождения нормального сетевого трафика часто изменяются, эффективные системы должны быстро адаптироваться к происходящему без участия администратора.
Механизмы автоматического обнаружения, применяемые в IPS, должны различать нормальное и ненормальное поведение пользователя, даже если разница в поведении не очень большая.
На случай, если система IPS неправильно оценит какой-либо трафик, она должна включать механизм самокоррекции для сведения к минимуму ошибочного доступа к сети.
Более того, система должна выбрать оптимальный метод реагирования, чтобы остановить атаку с минимальным участием администратора. Реагирование должно динамически самостоятельно подстраиваться под изменяющиеся условия и параметры атаки.

Защита в реальном времени

Чтобы решить задачи определения и предотвращения текущих и будущих атак,  кроме детерминистского подхода защиты от известных атак с помощью проактивных обновлений сигнатур и ограничения трафика с аномальным объемом и использованием протоколов, в современных сетях применяется метод автоматической генерации так называемых «сигнатур в реальном времени» для предотвращения атак zero minute, не основанных на уязвимостях, без вмешательства персонала сети. «Сигнатуры в реальном времени» создаются для каждой отдельной атаки самообучающимся механизмом принятия решений, позволяющим точно определять и останавливать атаки за секунды. Механизм использует данные модулей поведенческого анализа, исследующих трафик на уровне клиента, сервера и сети и посылающих оповещения встроенной системе отражения атак при обнаружении аномальных моделей. Таким образом можно обнаружить и немедленно остановить без ущерба для производительности приложений ранее неизвестные виды атак и их различные комбинации.

Угрозы и риски на уровне сети

Угрозы на уровне сети включают атаки, приводящие к неправильному использованию сетевых ресурсов. Довольно старый, но до сих пор применяемый метод использования слабых мест в IP-инфраструктуре - это атака DDoS (распределенная атака типа "отказ в обслуживании").
Атаки DDoS обычно включают проникновение в сотни или тысячи компьютеров в сети Интернет. Такое проникновение может осуществляться или вручную, или автоматически с помощью, например, «червей» или других вредоностных программ, которые распространяются самостоятельно или могут быть сгружены пользователем по неосторожности. Любой уязвимый компьютер может быть инфицирован, и после успешного взлома на нем устанавливаются некоторые вредоносные средства для DDoS и бот, с помощью которого хакер контролирует все зараженные машины и координирует производимые с них атаки.
Боты превратились в большую проблему, приводящую к росту сетевых атак типа DDoS. Такие атаки обычно отнимают стековые ресурсы оперативной памяти, загружают маршрутизаторы и коммутаторы ненужной обработкой и/или потребляют пропускную способность, мешая нормальным коммуникациям в атакованной сети.
Кроме угроз переполнения, ведущего к DDoS, угрозы сетевого уровня включают и традиционные атаки против слабых мест в операционной системе. Каждый элемент в сети, будь то маршрутизатор, коммутатор или защитный экран, имеет известный набор уязвимостей. Если вредоносно используется любая из уязвимостей, функционирование соответствующего элемента сети может быть повреждено, вся IP-инфраструктура - подвергнута опасности, и целостность бизнес-процессов - нарушена.

Угрозы и риски на уровне сервера

Угрозы на уровне сервера четко подразделяются на две категории: использующие уязвимости в стеке TCP/IP и атаки на уровне приложений.
Атаки на уязвимости в стеке TCP/IP направлены на транспортные ресурсы сети, что создает помехи нормальному установлению соединений TCP и транзакциям приложений, для которых эти соединения используются (например, транзакции HTTP, загрузка файлов по FTP, почтовые сообщения и т.д.). Довольно просто задействовать полностью ресурсы TCP на сервере с помощью нескольких видов атак, например переполнения TCP Syn или установкой слишком большого числа соединений TCP. Последний вид атаки очень легко создается, и его нельзя эффективно отследить и предотвратить с помощью большинства существующих решений сетевой безопасности. Такая атака, потребляющая большое количество серверных TCP-ресурсов, может прервать или сильно затруднить работу серверов. Этот вид атак не обязательно имеет большие размеры, что затрудняет его обнаружение и предотвращение.
Так же как и в случае атак сетевого уровня, угрозы в стеке TCP/IP включают и более традиционные атаки на работу операционной системы. Каждая из общеупотребительных операционных систем имеет свои известные уязвимости, использование которых приводит к ухудшению работы сервера и опасности для приложения.

Атаки уровня серверных приложений

Уязвимости, связанные с этим видом угроз, подразделяются на два вида:
1) Угрозы для серверных приложений с использованием уязвимостей. Этот вид включает как заранее известные типы атак, так и атаки типа zero minute, не оставляющие времени на устранение уязвимости.
2) Угрозы, не связанные с уязвимостями серверных приложений.
Первый вид угроз представляет собой наиболее известный тип атак. Если атаки направлены на заранее известные уязвимости программного обеспечения приложений, они относятся к известным атакам. Но, когда в программном обеспечении обнаруживается новая уязвимость, хакер может использовать это слабое место прежде, чем производитель программы или разработчик средств безопасности сможет защититься от атаки, опознав ее сигнатуру, или успеет выпустить программную заплатку, исправляющую эту уязвимость. Атака, происходящая в течение этого опасного времени, пока разрабатываются средства защиты или заплатки, относится к типу zero minute.
Типичные категории известных атак и атак zero minute уровня серверных приложений включают:
Атаки на уязвимости, связанные с переполнением буфера
Такие уязвимости возникают из-за ошибки разработчиков при попытке сохранить данные процесса за пределами буфера фиксированной длины. В результате лишние данные записываются поверх соседних ячеек памяти. Наслоение записей может привести к непредсказуемому поведению программы, отказу в доступе к памяти, прерыванию программы, некорректным результатам или к взлому системы безопасности, особенно если речь идет о преднамеренных действиях злоумышленника.
Внедрение SQL-кода
Внедрение SQL-кода - это техника взлома, использующая уязвимость на уровне базы данных приложения. Уязвимость возникает, когда ввод информации пользователем некорректно отфильтрован на наличие знаков смены регистра в качестве константы символьной строки во встроенном операторе SQL или ее тип запроса определен нестрого и поэтому может выполняться произвольным образом. С помощью успешного внедрения SQL-кода можно получить доступ к информации в базе данных или привести базу данных в состояние отказа в обслуживании.
XSS - межсайтовый скриптинг
Это разновидность атаки на веб-приложения, которые уязвимы к внедрению злоумышленниками кода в веб-страницы, просматриваемые обычными пользователями. Внедрение может производиться в HTML и клиентских скриптах. Межсайтовый скриптинг может использоваться хакерами для обхода контроля доступа, например политики единого происхождения (SOP). Этот вид уязвимостей используется для фишинга и создания браузерных эксплойтов.
Руткиты
Руткит - это программа (или набор программ), которую взломщик нелегально устанавливает на взломанной системе без ведома ее владельцев или менеджеров. Руткит позволяет взломщику закрепиться во взломанной системе, овладеть ею и скрыть следы своей деятельности. Руткиты существуют для различных операционных систем: Microsoft Windows, Mac OS X [2] [3], Linux и Solaris.
"Черви"
"Червь" - это саморазмножающаяся программа, посылающая свои копии по сети на другие компьютеры, причем часто без участия пользователя. В отличие от вируса «червь» не проникает ни в какую другую программу. Вред от "червей" состоит в потреблении пропускной способности сети, тогда как вирус обычно повреждает или модифицирует файлы на атакуемом компьютере.
Угрозы серверным приложениям, не связанные с уязвимостями нацелены на слабые места в серверных приложениях, которые не подпадают под определение уязвимости. Для этих угроз характерна последовательность легитимных событий, с помощью которых взламывается сервер, точнее, механизмы аутентификации, и приложение сканируется на предмет обнаружения уязвимостей, которые в дальнейшем могут использоваться для получения контроля над работой приложения. Более сложные виды не связанных с уязвимостями атак состоят из специально подобранных повторяющихся комбинаций легитимных запросов к приложению, которые злоупотребляют ресурсами памяти и процессора сервера, приводя приложение в состояние частичного или полного отказа от обслуживания.
По мнению исследовательского агентства IDC, "хакеры продолжают искать способы злоупотребления чужим программным обеспечением. Когда-то они использовали уязвимости, но теперь найдены возможности получения контроля над ПО без уязвимостей".
Эти развивающиеся угрозы серверным приложениям, выглядящие как обычные запросы, не обязательно связаны с большим объемом трафика, что позволяет хакерам смешаться с потоком полностью легитимных коммуникаций, соответствующих правилам приложения, так что с точки зрения пороговых значений трафика или известных сигнатур атак существующие системы сетевой безопасности не опознают действия вредителей.
Такие атаки производят сканирование приложения, прямой подбор пароля и подбор по словарю, переполняют приложение сессионными запросами, а также устанавливают в зараженной системе боты, способные интегрировать разные средства атаки и угрожать приложениям.
Сеть современного предприятия можно эффективно обезопасить только с помощью высокотехнологичных решений, интеллектуально применяющих комплексные методы защиты, включая «сигнатуры в реальном времени», и не препятствующих легитимной работе корпоративных приложений.