Хакер #305. Многошаговые SQL-инъекции
Если злоумышленники захотят пробраться внутрь системы - вероятно они найдут способ. Эксперты по безопасности дают советы о том, как обнаружить вторжение.
Заметные атаки, направленные против крупных промышленных компаний, показали, что хорошая система защиты может усложнить проникновение в систему для злоумышленника, но достаточно настойчивый хакер найдет способ проникнуть внутрь.
В этом году увеличилось количество атак, приведших к утечке корпоративной информации: компания по обеспечению информационной безопасности RSA, маркетинговая фирма Epsilon и развлекательный гигант Sony подтвердили факт проникновения в их системы безопасности в 2011 году. Не удивительно, что если раньше концепция глубокой защиты (defense-in-depth) оставалась мантрой индустрии информационной безопасности, то сейчас поставщики и консультанты более активно рекомендуют компаниям улучшать их способности в обнаружении успешно проведенных атак.
"Когда все другие способы защиты не работают, и есть хоть небольшой шанс, что злоумышленники могут проникнуть в систему, встает вопрос, сможем ли мы обнаружить их", - считает Брет Хартман главный директор по технологиям RSA, а также EMC.
В отличие от обычных кибер-преступников, злоумышленники, специализирующиеся на целенаправленных, долговременных атаках, имеют тенденцию сосредотачиваться на тайной разведке и проникновении в тыл своих жертв, что сильно усложняет обнаружение угроз.
"Теперь они не "взрываются" внутри вашей сети — времена Nimda и Slammer уже прошли", - говорит Джим Уолтер, менеджер службы по предотвращению угроз компании McAfee (MTIS).
Чтобы быть готовым к тому, что злоумышленники уже находятся внутри корпоративной сети, менеджеры по безопасности должны предпринять несколько шагов, говорят эксперты.
1. Знай свою сеть
Самый важный инструмент для поиска — твердое базовое знание сети. Понимание конфигурации систем, того как они взаимодействуют между собой, и какие порты и сервисы разрешены для каждого участника сети — необходимый шаг для выявления вредоносных изменений, советует Джим Уолтер, менеджер службы по предотвращению угроз компании McAfee (MTIS).
"Если ты точно не знаешь сколько машин в твоей сети, где они, что они делают и как они взаимосвязаны, то ты абсолютно беззащитен", - написал Уолтер.
Компании должны постоянно обновлять свои знания о сети и соединенных с ней системах для внесения и регистрации изменений. Проверка целостности файлов — это ключевой инструмент, но и уверенность в том, что конфигурации достаточно защищены и соответствуют политике компании также важна, говорит Дуэйн Меланкон, главный технический директор компании по информационной безопасности Tripwire.
"Стоит им однажды попасть внутрь - они остаются внутри, но знание того, как все выглядело до того, как они попали внутрь системы, дает тебе преимущество при выяснении того, что именно произошло и как это остановить", - отмечает Мелакон.
2. Огради информацию
В добавок к всеобъемлющим знаниям о сети компаниям также стоит поместить свою секретную информацию в хорошо контролируемые цифровые "хранилища". Когда доступ к важной информации ограничен, любые вредоносные попытки скопировать или выкрасть данные становятся более заметными, считает Джо Стюарт, директор исследования вредоносного ПО в SecureWorks Dell.
"Тебе нужно заранее иметь план", - говорит он. "И хранить твою секретную информацию в отдельном анклаве, где применяется строгая политика безопасностия".
Кроме того, компании могут позаимствовать технологии из обороны от инсайдеров, создавая хонейпоты или файлы-приманки, привлекающие внимание, но поднимающие тревогу если их просмотрят или попытаются скопировать.
"Это действительно эквивалент выявления инсайдерских атак, поскольку злоумышленник уже действует изнутри", - считает Хартман из RSA.
3. Отслеживай хосты, регистрацию в сети и сетевой трафик
Как только защитники получат базовые знания о своей сети, угрозы можно будет легко отследить, найдя аномальное поведение в лог-файлах, хостах и сетевом трафике.
Компании, которые нерегулярно проверяют свои лог-файлы, скорее всего не обнаружат брешь в своей системе безопасности. Например, в последнем выпуске Отчета об исследованиях по утечке данных (Data Breach Investigations Report) компания Verizon показала, что 69% утечек, зарегистрированных за год, могли быть обнаружены путем анализа логов. Вместо этого, почти 7 из восьми утечек были раскрыты не самими жертвами, а сторонними фирмами — и тенденция в том, что это вряд ли произойдет в случае кражи интеллектуальной собственности.
Мониторинг сетевого трафика также может привести к обнаружению атаки. Кроме того, системы, записывающие данные для последующего анализа, могут помочь компании проанализировать потенциальные угрозы, говорит Хартман из RSA.
"Ты можешь увидеть в логах, что файл XYZ был похищен", - поясняет он. "Но хороший атакующий удалит файл так, что ты даже не узнаешь, что он был украден. С помощью анализа пакетов ты сможете понять, что именно было попало в руки взломщика".
Наконец, host-based системы обнаружения вторжений, которые стоят на ступень выше, чем антивирус и реактивное обнаружение сигнатур, также являются ключевыми факторами для выявления причин аномалий в системе — действия ли это злоумышленника или неправильная работа программы.
"Логи — это отлично, сетевой трафик — отлично, но они оба не дают вам полного представления о том, что на самом деле делает программа", - подводит итог Брет Хартман из компании RSA.