Роберт Грехам основал компанию NetworkICE в 1998
году, а уже в 1999 выпустил первую IPS систему
BlackICE Guard. Позднее, в 2001, контора NetworkICE была
приобретена Internet Security Systems (ISS), которая
знаменита в области информационной
безопасности целым рядом проектов —
например за ними числится первый в мире
сканер уязвимостей и первая система
обнаружения вторжений. Сегодня Роберт —
главный по науке (Chief Scientist) в ISS, предлагаем
тебе его интервью с одной из азиатских
газет. 

Как изменились IPS (Intrusion Prevention System,
системы препятствования вторжению)
технологии с момента создания BlackICE Guard?

Самое главное изменение — в управлении и
развертывании. Сети стали гораздо более
сложными, с множеством разнообразных
соединений, так что IPS должна уметь
обрабатывать массу входящих и исходящих
связей. Например, в сети с многочисленными
роутерами соединение может приходить из
одной нычки, а второй пакет к нему из другой
и система должна видеть и понимать каждый
из них. В течении времени технологии
обнаружения вторжения медленно, но
улучшались. И главный тут прогресс за
последние несколько лет в методах
развертывания IPS, в возможности правильно и
быстро управлять системой. Именно поэтому
мы и видим, что IPS все больше проникают на
рынок, причем не столь за счет защиты,
сколько за счет простоты использования.

Какие отличия у ISS сегодня?

Главнейшая вещь, отличающая ISS — наша
исследовательская группа X-Force, широко
известная в комюнити. Иногда даже люди
знают X-Force, но не знают от ISS! Мы одни из
лидеров в области уязвимостей, выпускаем
регулярные бюллетени по ошибкам в
программах и сотрудничаем с вендорами над
их устранением. Часто сообщения о
уязвимостях приходят к нам из подполья
Интернета. Например, в веб-сервере Microsoft
обнаружился баг с chunked encoding. Это общая
функция у всех веб-серверов и на хакерских
форумах тут же повис вопрос — а не уязвим ли
и Apache? Нам пришлось срочно организовывать
экстренное исследование и выяснять — есть
ли в Apache такой баг или нет. Выяснилось, что
таки есть… Нами было выпущено advisory для
информирования пользователей о том, что Apache
не слишком отличается от продукции Microsoft, и
указания как эту ситуацию можно исправить.
Такое выступление не слишком обрадовало
хакеров, так как они тоже обнаружили баг и
уже с его использованием начали проникать
на сервера в Инете. Факт того, что мы так же
обнаружили дыру и закрыли ее их очень
огорчила. Была и обратная ситуация, с багом
в SSL — обнаружив уязвимость в Apache мы
протестировали программы M$ и выяснили, что
там ситуация такая же.

Сейчас складывается такая ситуация, что
производители софта в нашей области сами не
исследуют программы на уязвимости, а просто
ждут публикации информации от хакеров в баг-траках.
Затем идет анализ работы эксплоитов и
добавление шаблона в базу данных IPS. Что
отличает ISS так это то, что мы не ждем
публикации от взломщиков, мы сами исследуем
ошибки и уязвимости и создаем собственные
эксплоиты (конечно они приватные и никогда
общественности не предоставляются),
которые и используются в базах данных нашей
программы. Это позволяет нам работать
быстрее и эффективнее. Мы называем это
упреждающей безопасностью. Представьте
себя в замке в окружении варваров. Можно
сидеть и удивляться каждой атак, а можно
заслать шпиона и знать, где следующее
нападение произойдет. Именно так мы и
поступаем.

В дополнение к этому в наших продуктах
несколько отличается сама техника. Вместо
поиска некоего шаблона мы используем
анализ протокола для более полного
исследования пакетов. Возьмем для пример
переполнение буфера. Можно следить за неким
шаблоном или за самим содержанием буфера —
они ведь у каждой атаки как отпечатки
пальцев у человека. А можно
проанализировать его длину, при помощи
анализа протокола измерить длину
передающихся к буферу данных и в случае
превышения определенно порога включить
тревогу. Это возвращает нас к разговору о
поиске уязвимостей — ведь мы должны знать
как велик буфер. Например, разложив червь
Sasser мы выяснили, что размер буфера равен 824
байтам.

Где вы видите следующий рубеж обороны?

Следующий уровень скорее всего будет
заточен для пользовательских приложений. У
нас есть Voice Over IP и надо следить за
специфическими для него вещами. Множество
людей пользуется GPRS и надо следить за их
безопасностью. Целесообразно создавать
решения для защиты таких приложений и
сетей. Другой хороший пример — Web-приложения.
Люди выкладывают банковские приложения в
Интернет не заботясь о том, что хакеры могут
проникнуть в них и использовать.

Оставить мнение

Check Also

Внедрить в мобильное устройство вредоносный чип или подменить тачскрин не так сложно

Специалисты из израильского университета имени Бен-Гуриона доказали, что незаметно подмени…