Защита от хакеров корпоративных сетей
Шрифт:
Уклонение при помощи морфизма кода
· Обычно всегда существует более одного способа что-либо сделать. Когда обнаружение зависит от идентификации прикладного кода, то есть много способов генерации кода атаки.
· Большинство атак изменяют свой код от хоста к хосту. Код может изменяться даже при наложении ограничений на длину или тип возможных кодов.
Часто задаваемые вопросы
Вопрос: Сколько нужно систем обнаружения вторжения для повышения эффективности их работы?
Ответ: Все сети различны, и поэтому необходимые для них
Вопрос: Разве описанные способы уклонения об обнаружения не слишком совершенны для большинства атакующих? Ответ: Точно так же, как и большинство других технологий, методы и способы нападения в конечном счете реализованы в виде шаблонов приложений, которыми может воспользоваться любой. Обстановка на виртуальном поле битвы меняется мгновенно. Очередной опасный саморазмножающийся вирус может воспользоваться этими методами, тем самым резко изменив расстановку сил на рынке систем обнаружения вторжения.
Вопрос: Откуда можно почерпнуть сведения о новых способах уклонения от обнаружения?
Ответ: Компьютерное подполье является типичным катализатором развития технологий защиты. Нередкие публикации актуального материала в сети по этой теме помогут найти источники полезной информации. Нет единого источника распространения всех новых материалов по этой теме.
Для начала просмотрите следующие сайты:
• antisec ;
• Phrack (www.phrack.org);
• PacketStorm ;
• Technotronic (www.technotronic.com).Вопрос: Что следует предпринять, если меня наводнили предупреждения системы обнаружения вторжения? Ответ: Чтобы сдержать злоумышленника, системы безопасности полагаются на обособление программ и информационных файлов для защиты от несанкционированного доступа и дробление защищенных данных на мелкие изолированные блоки с целью минимизации риска несанкционированного доступа. Если видно, что атаки следуют одна за другой в отличающемся от нормы темпе, то следует изолировать и отделить друг от друга подозрительные системы, а затем попробовать определить существование некоторых хостов с известными уязвимостями или дефектами. Свяжите зарегистрированную в журналах информацию с отмеченными системами обнаружения вторжения событиями. Это поможет получить более ясную картину происходящего в сети. Не полагайтесь на авторитеты и сетевых администраторов атакующих вас систем. Обычно у них хватает своей работы или они не заинтересованы в предоставлении вам достаточной помощи.
Вопрос: Как можно узнать о работоспособности своей системы обнаружения вторжения? Ответ: Следует позаботиться о непрерывном аудите и тестировании сетевых систем, чтобы убедиться в их правильном использовании. Независимые рецензенты всегда должны рассматриваться как неотъемлемая часть системы безопасности.
Глава 17 Обзор автоматизированных средств оценки безопасности
В этой главе обсуждаются следующие темы:
• Краткие сведения об автоматизированных средствах оценки безопасности
• Применение автоматизированных инструментальных средств для тестирования на проникновение
• Случаи, когда инструментальных средств недостаточно
· Резюме
· Конспект
· Часто задаваемые вопросы
Введение
На приобретение и настройку собственного набора сканеров безопасности может потребоваться время. Даже если читатель потратит достаточно много времени, то все равно может оказаться, что сканеры будут работать не так, как ему хотелось бы, и не предоставят ему всех возможностей, в которых он нуждается. Этот недостаток могут устранить интегрированные инструментальные средства. Некоторые из них относятся к классу коммерческих, а некоторые – распространяются свободно.
Автоматизированные инструментальные средства оценки безопасности делятся на две категории. Инструментальные средства первой категории пытаются идентифицировать уязвимости систем без их фактического использования, обрабатывая список известных уязвимостей, который иногда называют контрольным, или сигнатурным. Инструментальные средства первой категории имеют длительную историю использования. Многие производители программного обеспечения защиты информации предлагают такие средства. Обычно они называются инструментальными средствами оценки уязвимости, или удаленными сканерами уязвимости. Инструментальные средства второй категории предпринимают попытки воспользоваться прорехами в системе безопасности систем. В некоторых случаях для дальнейшего проникновения в сеть используется недавно скомпрометированная жертва. Это более новая категория инструментальных средств. Фактически об инструментальных средствах второй категории мало что известно. О них заявлено, но широким массам они пока не доступны. Инструментальные средства первой категории главным образом предназначены для администраторов безопасности, позволяя им оценить уязвимости своих сетей. Инструментальные средства, относящиеся ко второй категории, в основном предназначены для лиц, занимающихся тестированием на проникновение.
Подобные автоматизированные средства могут оказаться чрезвычайно полезными, особенно в случае необходимости проверить большое число хостов на наличие в них уязвимости. Конечно, рассматриваемые инструментальные средства не всесильны, и для интерпретации результатов их работы в конечном счете потребуется хорошо осведомленный человек. Как и любые другие системы, основанные на сравнении сигнатур, инструментальные средства первой категории подвержены как ложным срабатываниям (false positives), так и упущениям (false negatives). Во время выполнения теста на проникновение особенно неприятны ложные срабатывания. Умные действия тестировщика, его опыт, знание возможностей используемых инструментальных средств и правильная интерпретация результатов их работы могут стать решающими факторами для принятия правильного решения.