Новые виды угроз требуют защиты в режиме реального времени

Михаил Суконник
региональный менеджер Radware no России и СНГ

Известные системы предотвращения вторжений (IPS) сличают сигнатуры, или образцы известных атак на разного рода уязвимости, с входящим сетевым трафиком и блокируют трафик, который выглядит нежелательным.

Лазейка, используемая хакерами, – это легитимные виды коммуникаций, отвечающие правилам приложений и незаметные для систем сетевой защиты, отслеживающих превышение пороговых объемов трафика или известные сигнатуры атак. Большое количество современных угроз сетевой безопасности имеет динамическую природу, и с ними нельзя справиться с помощью статических устройств IPS на основе сигнатур.

Эти угрозы в целом не связаны с необычно большим объемом трафика, не содержат нелегитимных запросов к приложению и не используют уязвимости в программном обеспечении (они обычно называются "атаками, не связанными с уязвимостями").

Волны атак, предпринимаемых в последние годы, представляют собой новый способ вымогательства по отношению к предприятиям со стороны киберпреступников. Для того чтобы противостоять таким угрозам, необходимы новые технологии предотвращения вторжений, дополняющие существующие IPS на основе сигнатур. Эффективная система IPS должна автоматически определять и отражать широкий спектр атак в режиме реального времени, не оказывая негативного влияния на обычных пользователей. Поскольку модели прохождения нормального сетевого трафика часто изменяются, эффективные системы должны быстро адаптироваться к происходящему без участия администратора.

Механизмы автоматического обнаружения, применяемые в IPS, должны различать нормальное и ненормальное поведение пользователя, даже если разница в поведении не очень большая.

На случай, если система IPS неправильно оценит какой-либо трафик, она должна включать механизм самокоррекции для сведения к минимуму ошибочного доступа к сети.

Более того, система должна выбрать оптимальный метод реагирования, чтобы остановить атаку с минимальным участием администратора. Реагирование должно динамически самостоятельно подстраиваться под изменяющиеся условия и параметры атаки.

Защита в реальном времени

Чтобы решить задачи определения и предотвращения текущих и будущих атак, кроме детерминистского подхода защиты от известных атак с помощью проактивных обновлений сигнатур и ограничения трафика с аномальным объемом и использованием протоколов, в современных сетях применяется метод автоматической генерации так называемых "сигнатур в реальном времени" для предотвращения атак zero minute, не основанных на уязвимостях, без вмешательства персонала сети. "Сигнатуры в реальном времени" создаются для каждой отдельной атаки самообучающимся механизмом принятия решений, позволяющим точно определять и останавливать атаки за секунды. Механизм использует данные модулей поведенческого анализа, исследующих трафик на уровне клиента, сервера и сети и посылающих оповещения встроенной системе отражения атак при обнаружении аномальных моделей. Таким образом можно обнаружить и немедленно остановить без ущерба для производительности приложений ранее неизвестные виды атак и их различные комбинации.

Угрозы и риски на уровне сети

Угрозы на уровне сети включают атаки, приводящие к неправильному использованию сетевых ресурсов. Довольно старый, но до сих пор применяемый метод использования слабых мест в IP-инфраструктуре – это атака DDoS (распределенная атака типа "отказ в обслуживании").

Атаки DDoS обычно включают проникновение в сотни или тысячи компьютеров в сети Интернет. Такое проникновение может осуществляться или вручную, или автоматически с помощью, например, "червей" или других вредоносных программ, которые распространяются самостоятельно или могут быть сгружены пользователем по неосторожности. Любой уязвимый компьютер может быть инфицирован, и после успешного взлома на нем устанавливаются некоторые вредоносные средства для DDoS и бот, с помощью которого хакер контролирует все зараженные машины и координирует производимые с них атаки.

Боты превратились в большую проблему, приводящую к росту сетевых атак типа DDoS. Такие атаки обычно отнимают стековые ресурсы оперативной памяти, загружают маршрутизаторы и коммутаторы ненужной обработкой и/или потребляют пропускную способность, мешая нормальным коммуникациям в атакованной сети.

Кроме угроз переполнения, ведущего к DDoS, угрозы сетевого уровня включают и традиционные атаки против слабых мест в операционной системе. Каждый элемент в сети, будь то маршрутизатор, коммутатор или защитный экран, имеет известный набор уязвимостей. Если вредоносно используется любая из уязвимостей, функционирование соответствующего элемента сети может быть повреждено, вся IP-инфраструктура – подвергнута опасности, и целостность бизнес-процессов – нарушена.

Угрозы и риски на уровне сервера

Угрозы на уровне сервера четко подразделяются на две категории: использующие уязвимости в стеке TCP/IP и атаки на уровне приложений.

Атаки на уязвимости в стеке TCP/IP направлены на транспортные ресурсы сети, что создает помехи нормальному установлению соединений TCP и транзакциям приложений, для которых эти соединения используются (например, транзакции HTTP, загрузка файлов по FTP, почтовые сообщения и т.д.). Довольно просто задействовать полностью ресурсы TCP на сервере с помощью нескольких видов атак, например переполнения TCP Syn или установкой слишком большого числа соединений TCP. Последний вид атаки очень легко создается, и его нельзя эффективно отследить и предотвратить с помощью большинства существующих решений сетевой безопасности. Такая атака, потребляющая большое количество серверных TCP-ресурсов, может прервать или сильно затруднить работу серверов. Этот вид атак не обязательно имеет большие размеры, что затрудняет его обнаружение и предотвращение.

Так же как и в случае атак сетевого уровня, угрозы в стеке TCP/IP включают и более традиционные атаки на работу операционной системы. Каждая из общеупотребительных операционных систем имеет свои известные уязвимости, использование которых приводит к ухудшению работы сервера и опасности для приложения.

Атаки уровня серверных приложений

Уязвимости, связанные с этим типом угроз, подразделяются на два вида:

1. Угрозы для серверных приложений с использованием уязвимостей. Этот вид включает как заранее известные типы атак, так и атаки типа zero minute, не оставляющие времени на устранение уязвимости.
2. Угрозы, не связанные с уязвимостями серверных приложений.

Первый вид угроз представляет собой наиболее известный тип атак. Если атаки направлены на заранее известные уязвимости программного обеспечения приложений, они относятся к известным атакам. Но, когда в программном обеспечении обнаруживается новая уязвимость, хакер может использовать это слабое место прежде, чем производитель программы или разработчик средств безопасности сможет защититься от атаки, опознав ее сигнатуру, или успеет выпустить программную заплатку, исправляющую эту уязвимость. Атака, происходящая в течение этого опасного времени, пока разрабатываются средства защиты или заплатки, относится к типу zero minute.

Типичные категории известных атак и атак zero minute уровня серверных приложений включают:

• Атаки на уязвимости, связанные с переполнением буфера.
• Внедрение SQL-кода.
• XSS – межсайтовый скриптинг. (Это разновидность атаки на веб-приложения, которые уязвимы к внедрению злоумышленниками кода в вебстраницы, просматриваемые обычными пользователями. Внедрение может производиться в HTML и клиентских скриптах. Межсайтовый скриптинг может использоваться хакерами для обхода контроля доступа, например политики единого происхождения (SOP). Этот вид уязвимостей используется для фишинга и создания браузерных эксплойтов.)
• Руткиты.
• Черви.

Угрозы серверным приложениям, не связанные с уязвимо-стями, нацелены на слабые места в серверных приложениях, которые не подпадают под определение уязвимости. Для этих угроз характерна последовательность легитимных событий, с помощью которых взламывается сервер, точнее механизмы аутентификации, и приложение сканируется на предмет обнаружения уязвимостей, которые в дальнейшем могут использоваться для получения контроля над работой приложения. Более сложные виды не связанных с уязвимостями атак состоят из специально подобранных повторяющихся комбинаций легитимных запросов к приложению, которые злоупотребляют ресурсами памяти и процессора сервера, приводя приложение в состояние частичного или полного отказа от обслуживания.

Эти развивающиеся угрозы серверным приложениям, выглядящие как обычные запросы, не обязательно связаны с большим объемом трафика, что позволяет хакерам смешаться с потоком полностью легитимных коммуникаций, соответствующих правилам приложения, так что с точки зрения пороговых значений трафика или известных сигнатур атак существующие системы сетевой безопасности не опознают действия вредителей.

Такие атаки производят сканирование приложения, прямой подбор пароля и подбор по словарю, переполняют приложение сессионными запросами, а также устанавливают в зараженной системе боты, способные интегрировать разные средства атаки и угрожать приложениям.

Сеть современного предприятия можно эффективно обезопасить только с помощью высокотехнологичных решений, интеллектуально применяющих комплексные методы защиты, включая "сигнатуры в реальном времени", и не препятствующих легитимной работе корпоративных приложений.