Начиная с 1998 года, эксперты по безопасности неоднократно делают предупреждения о недостаточности граничной защиты, т.к. огромное количество сетей остаются уязвимыми при дискредитации межсетевой защиты, прокси-служб или защиты на физическом уровне. В настоящее время ситуация практически не изменилась. Большинство защитных стратегий концентрируется на межсетевых защитах и других граничных устройствах, а антивирусная политика остается единственной областью, в которой при защите каждого индивидуального клиента наблюдается низкий уровень защиты от взлома.
Том Вогт Перевод SecurityLab (c)
Начиная с 1998 года, эксперты по безопасности неоднократно делают предупреждения о недостаточности граничной защиты, т.к. огромное количество сетей остаются уязвимыми при дискредитации межсетевой защиты, прокси-служб или защиты на физическом уровне.
В настоящее время ситуация практически не изменилась. Большинство защитных стратегий концентрируется на межсетевых защитах и других граничных устройствах, а антивирусная политика остается единственной областью, в которой при защите каждого индивидуального клиента наблюдается низкий уровень защиты от взлома.
Я недавно обращал ваше внимание, что даже большая корпоративная сеть может быть разрушена за считанные минуты, если к ней был получен доступ и качественный злонамеренный код проник внутрь сети.
Это полностью указывает на то, что любой прорыв в граничной защите может быть фатальным, независимо от того насколько велик этот прорыв. В моем опыте, один дискредитированный компьютер менее чем за одну минуту разрушал 98 процентов сети класса В. В настоящее время, не существует защитных систем, которые смогли бы предотвратить подобного вида атаки. Наиболее важным является то, что при распространении "червя" в сети, любой централизованный защитный механизм будет замедляться самими атаками, с которыми он должен бороться.
Централизованная защита, направленная против грамотно написанного "червя" оптимизированного для приватных сетей будет просто разбита огромных числом атакующих систем, количество которых будет расти с огромной скоростью. Как и с любой эпидемией предотвращение является единственной действенной защитой.
Во всех этих сценариях существует два вида повреждений, причем каждый из них приводит к потере информации. Даже имея хорошую рабочую стратегию резервирования данных, работа будет потеряна. По крайней мере, будет потеряна работа между последней архивацией системы и временем атаки. В реальной жизни потери данных будут гораздо существеннее, т.к. реальные стратегии резервирования данных не совершенны и пользователи, несмотря на неоднократные предупреждения, резервируют данные локально.
Вторым и наиболее разрушительным типом угрозы является потеря всей сети. Все это было уже показано и доказано, но все равно много организаций не верят, что это может с ними произойти, и оказываются застигнутыми врасплох. Мало того, что это вызовет замешательство и деморализацию, но ведь существует очень мало организаций, которые подготовлены к такому катастрофическому развитию событий. Переинсталляция сотен или даже тысяч компьютеров займет значительное время, в течение которого будут значительно сокращена производительность предприятия, так как пользователи не смогут получить доступ к своим данным и не будут использоваться многие процессы относящиеся к ИТ-инфраструктуре.
Другие виды атак менее разрушительны и вместо уничтожения данных манипулируют ими. Например, управляемые вычисления могут показывать, что производимое изделие рентабельно, а компания при этом будет терять свои деньги. Манипулирование с бизнес предложениями могут привести компанию к неправильному выбору партнеров.
Сбой в работе - это побочный эффект многих атак, а также атаки самой по себе. Во втором случае это может чрезвычайно коварно. В то время как легко обнаружить неспособность обращения к сети (как побочный эффект деструктивной атаки) или сильное замедлений в сетевой инфраструктуре, то атаки рассчитанные на сбой с помощью злонамеренного программного обеспечения могут, например, модифицировать систему так, что она будет часто или с какой-то периодичностью перезагружаться или уничтожать нужные, но редко используемые данные. В большинстве из таких сбоев обвинят компьютеры или операционную систему и вирус может оставаться необнаруженным в течение длительного времени. Не каждый сетевой администратор в состоянии отличить и идентифицировать сбои в аппаратуре или в программном обеспечении от действий злонамеренного кода.
В настоящее время, в большинстве корпоративных сетей, серверы довольно неплохо защищены, в то время как клиентские машины открыты для нападений. Клиенты защищены устройствами межсетевой защиты, прокси-серверами, антивирусными программами, антивирусными сканерами на почтовых серверах и т.д. Однако, в моем опыте, сами клиентские машины практически никогда не защищены локальными брандмауэрами, системами обнаружения вторжений (IDS) или другими защитными системами.
Очевидно, что большинство администраторов поверят в то, что нападению подвергнутся сервера, т.к на них хранятся данные. Также, очевидно, что хакеры будут искать наиболее слабые и уязвимые места для атаки. Конечно, данные могут храниться на серверах, но клиенты работают с этими данными и очень часто имеют высокие уровни доступа к ним. Удаление данных с файлового сервера клиентом, имеющим необходимый уровень доступа также просто, как удаление непосредственно с самого сервера. Одинаково просто удалить или модифицировать базу данных, как с сервера базы данных, так и с рабочей станции.
С другой стороны, существует множество различных нападений, более эффективных при нападении на системы клиента. При таких атаках происходит как сбор информации (пароли, номера кредитных карточек и т.п), так и социотехника (модификация web-сайтов, входящей или исходящей электронной почты). Это очень творческие атаки, часто искусно выполненные и не открыто деструктивные, но при правильном подходе они могут привести к серьезным последствиям. Представьте себе вирус, который в исходящей почте удваивает любое число стоящее вместе со знаком доллара $, а во входящей почте делит такие же числа на два. Такой вид нападения привел бы к срыву огромного количества договоров, контрактов и т.д.
Другим, сложным для определения, видом сбоев во внутренней связи, является удаление случайных почтовых сообщений. Я не веду разговор о глобальном удалении всех почтовых сообщений, а к примеру всего 25%, т.е. из пяти отправленных писем к адресатам дойдут только 4.
Однако корпоративная сеть состоит не только из одних компьютеров. Было доказано, что своих целей хакеры могут использовать различные устройства, например принтеры. А поскольку в большинстве компаний такие устройства неусовершенствованы, то они являются слабым звеном и используются злоумышленниками для проведения атак.
Правда, большинство таких устройств не смогут стать объектом для качественной атаки. В зависимости от типа устройства, способность выполнения на нем злоумышленного кода очень ограничена. Однако некоторые устройства, типа современных принтеров компании HEWLETT-PACKARD, способны выполнять практически любой, требуемый хакеру, код. А к примеру, современные офисные копир/принтеры имеют жесткие диски достаточно большого объема, мощные процессоры, встроенные операционные системы (Unix или Windows) и при этом имеют минимальную защиту. Такие устройства часто подвергаются нападению, и после дискредитации превращаются в Warez-сервера или используются под другие злоумышленные цели. Кроме того, такие устройства будут проверять в самую последнюю очередь, если будут подозрение о проникновении.
Пронаблюдав за большим количеством коммутационных залов и вычислительных центров, можно с уверенностью сказать, что если у хакера будет физический доступ к любому из них, то достаточно 15 минут, чтобы сделать повреждения, на устранение которых уйдет не менее суток. Но к счастью физическая защита обычно хороша в большинстве компаний и для кражи информации или проведения атак, которые требуют физического доступа, требуется очень хороший социотехник.
Я не буду долго рассуждать о защите беспроводной сети или "Голубого зуба". Они включены в эту статью только для полноты и были описаны многими авторами гораздо более детально.
Доступ к корпоративной сети через порты Ethernet существует во многих организациях. То же верно и для прямого коммутированного (dialup) доступа к клиентским машинам. Но все это старые темы, так что мы не будем возвращаться к ним, а заострим свое внимание на более интересных и новых темах.
Firewalking - это старая методика, которая демонстрирует интересный подход, заключающийся в использовании защитной инфраструктуры как средства для атаки.
Этот метод, как и другие атакуют защитную инфраструктуру и факт что защитные системы сами становятся целями нападения и с их помощью происходит сбор информации или разрушение устройств. Т.е. другими словами, системы, которые призваны охранять сети, сами их атакуют. К примеру почтовый сервер был поврежден и почтовые потоки остановились, из-за того, что антивирус был заражен вирусом "bzip2". Без централизованного вирусного сканера это бы не произошло, но все же очень немногие производят получение почты без предварительной вирусной проверки на сервере. Существует много других примеров таких методов. Автоматические меры противодействия особенно восприимчивы к атакам такого типа. Каждый раз, когда устройство блокирует попытки несанкционированного доступа, хакер имеет возможность подделать или намеренно создавать эти блокировки. Примером может послужить защита портов или межсетевая защита, которая может блокировать IP адреса несоответствующие некоторым условиям. Спуфинг IP или MAC адресов позволяет хакеру блокировать нужные ему системы или наоборот разрешать доступ системам, которые должны быть заблокированы.
Все вышесказанное не повод для отказа от защитных систем. Конечно, антивирус обязательно требуется, если в вашей сети установлены Windows системы, а тем более никто говорит об отказе от межсетевой защиты. Однако присутствие защитных систем не всегда означает наличие защиты. Неграмотно установленные устройства межсетевой защиты, шлюзовые фильтры, системы обнаружения вторжений могут быть более опасны для организации, чем их отсутствие. Плохо сконфигурированные программы становятся легкой целью для злоумышленников. Настоящий хакер может использовать любую защитную систему как инструмент для взлома.
Данный вид атаки сам по себе является широким полем для деятельности. Слишком часто оказывается, что защита основана на предположениях, что, как известно, не всегда является правильным. Трансляция сетевых адресов (Network Address Ttranslation) - яркий пример этому. NAT - это не полноценный защитный механизм, но он часто используется именно в таком качестве, а NAT шлюзы часто используются вместо устройств межсетевой защиты, благодаря ошибочному мнению, что они защищают компьютеры внутри приватной сети.
Огромное количество компаний полагается на граничную защиту как на полноценный механизм защиты их сетей. Но однажды проникнув внутрь сети, хакер может в течение длительного времени использовать её по своему усмотрению.
Незащищенные клиентские компьютеры являются главными целями для нападений и соответственно они не могут быть защищены граничными брандмауэрами, почтовыми антивирусами. Клиентские машины практически всегда имеют уровни доступа выше, чем они того требуют.
Существующие технологии только уменьшают риск таких нападений, но все они комплексные, редкоиспользуемые и опираются на "пользовательский опыт". Другими словами все это затрудняет работу с компьютерными системами. Защита каждого клиента является нетривиальной задачей и требует от сетевых администраторов мастерства, которого, к сожалению, не всегда достаточно. Стены вокруг нашего города высоки и крепки, а внутри мы до сих пор живем в строящихся деревянных хижинах!
Чтобы иметь возможность уменьшения рисков, описанных в этой статье, компании должны переосмыслить стратегии их внутренней защиты, а во многих случаях заново их создавать. Существует несколько ключевых моментов, на которые требуется обратить ваше внимание:
Собираем и анализируем опыт профессионалов ИБ