Средства обеспечения безопасности в корпоративной инфраструктуре могут быть нацелены на защиту от конкретной направленной угрозы или же представлять собой универсальное решение для целого ряда угроз.
Если рассматривать сетевые вторжения, решения безопасности предлагают несколько путей противодействия. Можно не допускать вредоносный трафик во всю сеть или до конкретного атакуемого узла. С другой стороны, можно использовать виртуальные патчи, которые позволяют разработчикам защиты собственными силами ставить временные «заплатки» для появляющихся уязвимостей до момента выхода официального патча. Злоумышленникам в таком случае приходится идти на уловку и не атаковать целевой сервер напрямую, а пытаться обмануть сетевую систему защиты.
При создании таких техник сетевого скрытия атак злоумышленники сталкиваются со вполне понятной проблемой: архитектура атак и программные средства для их реализации имеют собственные ограничения, связанные со стандартами ОС и стека TCP/IP. До недавнего времени в ходе воздействия на целевой сервер злоумышленник был вынужден играть по правилам, которые регламентировались жесткими требованиями используемых протоколов передачи и формирования данных (пакетов).
Одним из путей обхода этих ограничений стало использование низкоуровневых программных средств для работы со стеком TCP/IP, что значительно расширило возможности разработки новых атак. Созданные таким путем методы позволяют скрыть сам факт атаки от большинства инструментов противодействия вторжениям в сети. На сегодняшний день изучены возможности таких методов работы в протоколе IP и транспортных протоколах (TCP, UDP), в том числе и уровня приложений, не исключая SMB и RPC.
Техники обхода – первое знакомство
Использование динамических техник обхода позволяет злоумышленникам доставлять вредоносный код с высокой вероятностью сокрытия самого этого факта. Доставляемый код может представлять собой вирусы, трояны, исполняемый скрипт, руткиты и т.д.
Впервые техники обхода стали обсуждаться в мае 2010 г., после чего они передавались разработчикам решений ИБ. Большинство вендоров постарались в кратчайшие сроки включить в свои продукты элементы защиты от динамических техник обхода. Но, к сожалению, дальнейшие исследования специалистов показали, что те первые образцы AET, которые после их выявления обнаруживались средствами защиты, путем незначительных изменений в характере передачи (например, при сегментации или изменении размера пакетов) вновь становились полностью скрытыми от систем обеспечения безопасности и оставались ненайденными.
После описания новых методик атак появились скептические замечания о том, что не стоит рассматривать эту угрозу как реальную. Но в 2010 г. общественность столкнулась с трояном ZeuS, который был создан для кражи банковской информации. Кроме того, он использовался и для шпионажа на корпоративном и государственном уровнях. Вредоносное ПО инфицировало браузер в системе и перехватывало всю информацию, которую пользователь вводил в Web-форму для заполнения (имя пользователя, пароли, номера карт и т.д.). Сегодня аналитики по безопасности пришли к выводу, что способом доставки трояна Zeus как раз была техника динамического обхода.
Как выявить новый тип атак?
Классический подход к безопасности сети неспособен динамически выявить новые атаки. В статичных методах сигнатурного или шаблонного обнаружения уже недостаточно простого «отпечатка». Злоумышленники с легкостью видоизменяют архитектуру атаки, прежде всего оценивая средства защиты и подстраиваясь под них. Если же критерии выявления аномалии в трафике задать слишком жесткими, то слишком велико будет количество ложных срабатываний. Это связано с тем, что динамические методы обхода подстраиваются под легальные потоки данных согласно RFC и не имеют никаких «опознавательных знаков» вредоносного воздействия.
Сигнатурный анализ выявления вторжений направлен на вычленение трафика, доставляющего вредоносный код. При этом сама цель атаки и более того, уязвимости, на которые рассчитана атака, не выявляются. Здесь четко прослеживается дисбаланс между уровнем проверки и ее функциональными возможностями. Очевидно, что для реального комплексного подхода необходимо детектировать атаку по контентному содержанию пакетов и анализу используемых эксплойтов.
Проблема не так проста
Не стоит слепо полагаться на уверения разработчиков средств защиты, что их решения не требуют срочной доработки или обновлений баз в связи с появлением новых методов атак. Понимание того, что 100%-ной защиты достичь невозможно, наводит на определенные сомнения. А заявления о фиктивности проблемы угрозы динамических техник обхода показывают скорее непонимание ее масштабов. Заинтересованные разработчики средств защиты проводят собственные исследования и ищут подходящие решения, но такой подход требует глубокой и постоянной работы.
Сам термин «динамические техники обхода» (Advanced Evasion Techniques, AET) предложен компанией StoneSoft, которая своими силами ежеквартально выявляет все новые техники злоумышленников. По оценкам специалистов этой компании, уже найденные угрозы и возможности их использования — это только верхушка айсберга. Большинство средств защиты лишь приближается к тому, чтобы максимально быстро закрывать дыры. При этом доля разработчиков, кто готов действительно создавать «умное» решение для защиты, пока мала.
В ближайшее время устоявшееся представление о сетевой безопасности может резко измениться. Приоритетным направлением в защите сети становятся динамические методы обнаружения атак и возможности обновления функционала защиты в режиме реального времени.
Возможные решения
Для компаний, заинтересованных в безопасности, важнейшей становится задача оценки ИТ-рисков. Основополагающими элементами актуальной защиты становятся процессы идентификации всех элементов и устройств в сети, выявления угроз, уязвимостей и потенциальных последствий конкретных угроз для бизнеса компании. Чем выше возможное влияние на инфраструктуру, тем большим спектром превентивных мер необходимо обезопасить такой элемент.
Важно понимать, что не все вендоры ИБ, особенно крупные, готовы быстро изменить свои подходы к защите с учетом новых угроз. Ослабляет их энтузиазм и то, что изменения могут потребоваться в функционале решений для защиты.
Приоритетным подходом к защите от возникающих угроз для компаний становится тесный контакт администраторов безопасности с разработчиками решений по обеспечению безопасности. Администраторам необходимо знать о предлагаемых вендором шагах для обнаружения уже известных техник динамического обхода. Стоит также уделить время докладам независимых экспертов о появляющихся угрозах и возможностях защиты. Большинство общедоступных отчетов по динамическим методам обхода содержат полезные поэтапные планы для многоцелевой защиты компании вне зависимости от текущей ситуации с информационной безопасностью ее сети.
* * *
Динамические техники обхода – это новая для поставщиков решений информационной безопасности угроза, они пока только решают, как ее классифицировать е и как к ней отнестись. В качестве примеров успешных практик обеспечения безопасности можно рассматривать оценку рисков и поддержание средств безопасности в актуальном состоянии (up-to-date). Возможно, это поможет компаниям обеспечить защиту не только от большинства выявляемых AET, но и других угроз, которые возникнут в будущем.
Сетевая безопасность и защита от АЕТ – процесс или результат?
Дмитрий Ушаков, Stonesoft
Сетевые средства защиты используются в любой компании и предназначены для решения вполне определенных задач: фильтрация трафика, инспекция потоков, выявление атак, блокирование утечек и пр. Они могут устанавливаться на границе сети, охраняя периметр, или быть интегрированы с ядром, присутствовать на уровне распределения трафика, защищать вполне определенный сегмент. На таких обязательных средствах, как межсетевые экраны, строится первичная защита всех без исключения компаний, подключенных к публичным сетям.
Читать далее
AET – повод для волнений или нет?
Екатерина Сергеева, SafeLine
На сегодняшний день тема AET (Advanced Evasion Technique) – одновременно как одна из самых обсуждаемых в мире ИБ, так и одна из самых неоднозначных. С одной стороны, некоторые вендоры старательно отказываются признать существование данной угрозы, исходя в развитии своих решений из «принципа страуса» (мы игнорируем проблему, следовательно, проблемы нет). Так, из почти 60 опрошенных производителей систем обнаружения и предотвращения вторжений только шесть заявили о выпуске обновлений с учетом 23 первых динамических техник обхода.
Читать далее