AET – повод для волнений или нет?
На сегодняшний день тема (Advanced Evasion Technique, AET) – одновременно как одна из самых обсуждаемых в мире ИБ, так и одна из самых неоднозначных. С одной стороны, некоторые вендоры старательно отказываются признать существование данной угрозы, исходя в развитии своих решений из «принципа страуса» (мы игнорируем проблему, следовательно, проблемы нет). Так, из почти 60 опрошенных производителей систем обнаружения и предотвращения вторжения, только шесть заявили о выпуске обновлений с учетом 23 первых динамических техник обхода. Часть вендоров также объявила о закрытии указанных уязвимостей, основываясь на специфических параметрах, используемых в образцах. Однако по сути были закрыты только несколько «лазеек», позволяющих реализовать именно данные AET. Стоит ли говорить, что после открытия новых 124 экземпляров данного вида угроз волна сообщений о решении проблемы значительно поутихла. При этом, учитывая огромное количество потенциально возможных AET, становится очевидно, что проблему невозможно решить с помощью выпуска патчей.
С другой стороны, сегодня, после того, как компания Stonesoft самостоятельно разработала и предоставила общественности сервис для оценки способности систем сетевой защиты противостоять динамическим техникам обхода АЕТ, любой может убедиться в том, что данная угроза не только не является надуманной, но и представляет собой реальную опасность для критически важных активов организаций.
На ежегодной выставке-конференции SC Congress Canada 2011 был продемонстрирован инструмент, позволяющий генерировать произвольное множество вариаций АЕТ, для проведения беспристрастного тестирования различных средств сетевой безопасности уже не в лабораториях NSS и ICSA, но непосредственно на площадке заказчика.
На Black Hat-брифинге компания Stonesoft доказала, что при достаточном знании предмета и наличии необходимого набора инструментов (в их число входит и пользовательский TCP/IP-стек) злоумышленники могут обойти лучшие средства защиты.
Как уже упоминалось выше, широко используемый метод «пропатчивания» и сигнатурный анализ не работают против конгломерата постоянно меняющихся AET. Используемые средства защиты должны обеспечивать многоуровневый процесс нормализации трафика, а также декодирование различных видов протоколов (аналогично тому, как это происходит на целевых хостах).
Платформа StoneGate IPS, а также межсетевые экраны StoneGate Firewall с возможностью глубокой инспекции трафика проводят нормализацию сетевого трафика на всех уровнях, при этом обладают возможностью полноценного удаленного обновления и не привязаны к специфическим аппаратным конфигурациям, что делает их достаточно гибкими для успешного противостояния новым угрозам.
Для компании SafeLine как для дистрибьютора решений информационной безопасности важную роль играет репутация вендора, его инновационность и соответствие современным требованиям в сфере ИБ. Финская корпорация Stonesoft – ведущий разработчик продуктов в сфере сетевой безопасности и непрерывности бизнеса – полностью соответствует всем этим критериям. Подтверждением тому служит множество патентов и международных сертификатов, полученных от признанных мировых экспертов в сфере защиты информации: Common Criteria Consortium, Common Event Format (CEF), ICSA Labs, NSS Labs, RSA Security, VPN Consortium и др. В настоящее время все продукты компании Stonesoft успешно прошли процедуру сертификации по требованиям безопасности информации ФСТЭК России, что позволяет применять их для защиты конфиденциальной информации информационных систем персональных данных до 1 класса и АС до класса 1Г включительно.