Новый пласт угроз информационной безопасности – динамические техники обхода

В октябре этого года компания Stonesoft, ведущий разработчик продуктов в сфере сетевой безопасности и непрерывности бизнеса, объявила о своем открытии абсолютно новой категории угроз сетевой безопасности – динамических техниках обхода Advanced Evasion Techniques (AET), которые позволяют злоумышленникам получить доступ к любой информационной системе в обход существующих средств защиты.

Исследования, проведенные департаментом исследований и разработок Stonesoft, результаты лабораторных испытаний, а также анализ независимых экспертов наглядно показали, что новая угроза является глобальной и затрагивает все продукты безопасности определенного типа, независимо от производителя. О результатах проведенных исследований и сделанных выводах корпорация Stonesoft сообщила в национальный орган безопасности CERT (Финляндия) и другие ведомства, которые подтвердили, что обнаруженные динамические техники обхода могут привести к невосполнимым потерям корпоративных данных и иметь самые серьезные последствия для бизнеса.

Что же представляют собой AET?

Если вспомнить историю вопроса, техники обхода стали известны мировому сообществу информационной безопасности довольно давно – в конце 90-х гг. прошлого века: первая статья об атаках против сетевых систем обнаружения вторжений (IDS) появилась в 1997 г., а в 1998 г. было дано первое описание методик обхода IDS. По своей сути, техники обхода являются средством доставки любого вредоносного контента, эксплойта или атаки до уязвимой системы без ее обнаружения средствами сетевой защиты. Против техник обхода становятся бесполезными существующие технологии "виртуального патчинга" и им подобные, которые применяются в средствах сетевой защиты ведущих мировых производителей, поскольку доставка атаки до жертвы производится таким образом, чтобы она не детектировалась никаким средством сетевой защиты. Большинство техник обхода являются нормальными, повсеместно используемыми методами работы протокола, и обычно не нарушают стандартов RFC, поэтому модули разбора протоколов их также не распознают. Примером известных техник обхода являются: IP fragmentation, TCP segmentation, MSRPC fragmentation, SMB fragmentation, TCP TIME_WAIT, IP random options и др.

В отличие от "классических" техник обхода динамические, или AET, которые и были открыты департаментом исследований и разработок Stonesoft, могут комбинировать существующие техники в произвольном порядке, то есть являются динамическими, безусловными, имеющими виртуально бесконечное количество вариаций (поскольку их число экспоненциально растет вместе с числом самих техник обхода) и нераспознаваемыми традиционными методами детектирования. AET можно стекировать, они работают на всех уровнях стека TCP/IP, равно как для разных протоколов или их комбинаций одновременно. Естественно, "работающие" техники обхода зависят также от приложения (цели атаки), поскольку каждая информационная система поддерживает только определенные протоколы, но раз атаки не детектируются никакими средствами защиты, злоумышленник может с легкостью подбирать нужную комбинацию методик опробования или эксплойтов, пока его попытки не увенчаются успехом.

В отсутствие свободного доступного инструментария можно утверждать, что AET в первую очередь представляют интерес для организованных преступных группировок, имеющих широкий арсенал средств и сильную мотивацию, с целью организации изощренных атак, направленных против хорошо защищенных систем. С точки зрения хакеров, AET работает как универсальная отмычка ко всем замкам, позволяя спокойно, без страха быть пойманным, перебирать эксплойты до тех пор, пока они не получат доступа к системе.

Динамическим техникам обхода сложно противодействовать именно потому, что они комбинированные и имеют большую вероятность успешного использования, чем по отдельности. Кроме того, существующие методики тестирования, применяемые для опробования атак, или так называемых pen-test, не подходят для тестирования методик обхода.

Как бороться с динамическими угрозами?

По мнению Stonesoft, эффективно противостоять AET может только корректная нормализация протоколов на всех уровнях стека протоколов. Это позволяет легко детектировать эксплойты даже с помощью регулярных выражений – метода, который бесполезен для выявления AET или блокирования завуалированных с их помощью атак сам по себе. Кроме того, для защиты от техник обхода с динамической, постоянно меняющейся природой должны применяться гибкие программные решения по информационной безопасности с возможностями удаленного обновления и централизованного управления. Примером такого класса систем является сенсор StoneGate IPS с системой сетевой безопасности Stone-Gate (StoneGate Management Center) от компании Stonesoft. Системы защиты такого класса дают несомненное преимущество в борьбе с динамическими угрозами.

К сожалению, подавляющее большинство существующих решений по сетевой безопасности являются статическими аппаратными решениями, которые сложно или даже невозможно вовремя обновить, чтобы эффективно противостоять быстро эволюционирующим динамическим угрозам.