-Поиск по дневнику

Поиск сообщений в Web_Control

 -Подписка по e-mail

 

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 02.07.2010
Записей:
Комментариев:
Написано: 84

Средства защиты уже не справляются с DDoS. Есть ли лекарство?

Дневник

Суббота, 23 Марта 2013 г. 23:06 + в цитатник

Распределенные атаки типа "отказ от обслуживания" (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Проблемы обороны от DDoS

Защититься от DDoS сложно по следующим трем основным причинам.

  • Врожденные уязвимости сети
    Во-первых, в этом случае нет уязвимостей сети, которая используется преступниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы - все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.
  • Невозможность заблокировать толпу
    DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.
  • Поиск виновных
    Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты "хорошие", а какие "плохие". Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.

Когда все меры не помогают

Современные DDoS-атаки заставили специалистов задуматься, почему их обычные механизмы предотвращения таких атак не работают. Суть в том, какой бы механизм защиты не использовался, если у атакующих есть масса времени для его исследования, то он будет преодолен.
Сейчас преступники стали лучше финансироваться и создают более сложные инструменты атак, чем раньше. Они могут купить точно такие же механизмы защиты, которые используются внутри корпорация, и начать разрабатывать методику для их преодоления. Распределенные каналы и ботнеты позволяют очень быстро начать такую продвинутую DDoS-атаку. Роль постоянного наблюдения за поведением сети становится в этих условиях особенно критичной, когда понимаешь, как атакующие проводят свои атаки.
Сетевое обнаружение аномалий
Подобных систем не так уж и много на рынке, и одной из наиболее продвинутых является Lancope StealthWatch. Это устройство создает "снимок" (базовую отметку) нормального трафика для каждого сетевого хоста, группы хостов и определяет взаимоотношения между хостами. Подобный подход позволяет StealthWatch сигнализировать при следующих условиях, ассоциирующихся с DDoS:


  • Высокий индекс мишени. Каждому хосту присваивается значение, соответствующее уровню подозрительной активности, которая направлена на него. Это позволяет получить список приоритетных активов, которые находятся в максимальной опасности.

  • Время отклика сервера. Используя устройства FlowSensor и FlowSensor VE, система StealthWatch может сигнализировать, когда веб-сервер или сервер баз данных начинает захлебываться.

  • Количество пакетов в секунду. StealthWatch может отображать чрезмерное количество трафика, направленное на сетевые ресурсы.

  • Закупорка интерфейса. Метрики уровня производительности интерфейса постоянно контролируются, обеспечивая просмотр атаки на физическом уровне.

  • Максимальное количество обслуживаемых потоков. Каждый сервер создает базовые параметры нормального объема соединений. Когда этот порог преодолевается, оператор StealthWatch получает соответствующий сигнал.

  • Максимальное количество получаемых SYN. Когда сервер начинает получать "нездоровое" количество пакетов TCP SYN, можно использовать раннее предупреждение об этом.

  • Высокий общий трафик взаимосвязей. Когда создается такое количество HTTP-запросов, которое превышает возможности сервера баз данных, то появляется сигнал о несоответствии взаимного количества запросов-ответов, показывающий проблемы на таком уровне, на котором другие системы борьбы с DDoS не работают.

  • Активность нового хоста. Легитимные пользователи веб-сервисов имеют тенденцию к регулярности своих визитов. Атакующие хосты не имеют привычки задерживаться или возвращаться на "место преступления". StealthWatch может различать эти два типа пользователей.

  • High Concern Index. Это собственная методика Lancope, которая заключается в том, что такой индекс (показатель) опасности позволяет определять приоритет подозрительной или аномальной активности, проистекающей от хоста. Внешние "агрессоры" вызывают появления сигнала от High Concern Index, когда компьютеры, к которым они хотят подключиться, будут иметь низкий индекс.

  • Максимальное количество инициируемых потоков. Зная количество потоков в минуту, которое создает легитимный пользователь при доступе к сервису, StealthWatch будет сигнализировать о хостах, которые будут показывать превышение такой нормы.

Заключение

DDoS - это один из видов атак, которые организация может обнаружить, даже не имея соответствующей сетевой системы наблюдения за трафиком. Но без надежного и интеллектуального мониторинга сети практически невозможно противостоять такому событию. DDoS - это тот тип атак, который все еще продолжает наносить вред компаниям и организациям. Продолжающаяся эволюция инструментов DDoS и широкое распространение этих угроз среди хакеров и компьютеров в масштабных ботнетах требует использования не только решений, способных уменьшить их воздействие, но и решений, обеспечивающих визуализацию сети, что, в свою очередь, облегчает пробраться через туман, который поднимается при атаке класса "отказ от обслуживания".


Метки:  

Lancope предлагает по подписке собственную аналитику о современных сетевых угрозах

Дневник

Суббота, 16 Февраля 2013 г. 13:13 + в цитатник
Компания Lancope объявила, что начинает предлагать подписку на обновление списка и характеристик сетевых угроз - StealthWatch Labs Intelligence Center™ (SLIC) Threat Feed, что может помочь потребителям усилить возможности обнаружения ботнетов и современного вредоносного ПО (malware). SLIC Threat Feed создается на базе данных глобального анализа угроз, получаемых при постоянно проводимом мониторинге сетей клиентов компании. StealthWatch проводит сравнение этих данных с информацией о подозрительной сетевой активности для того, чтобы улучшить эффективность отклика на инциденты и уменьшить риск для предприятий.
"Используя скрытые методы управления и контроля, преступники используют инфицированные внутренние системы как базу для проведения разведывательного исследования сети, распространения вредоносного ПО и кражи данных, т.е. нанесения вреда всему предприятию-владельцу сети, - говорит Джо Ягер (Joe Yeager), директор по управлению продуктами компании Lancope. - C помощью StealthWatch, получив возможность в реальном времени сравнивать подозрительную сетевую активность с аналитическими данными нашего списка угроз, предприятия теперь могут иметь более полную картину происходящего для раннего обнаружения угроз и быстрого реагирования на них".
StealthWatch Labs Intelligence Center (SLIC) - это исследовательская инициатива Lancope, благодаря которой глобальная аналитическая информация об основных интернет-угрозах предоставляется для публичного использования, а также применяется внутри компании для расширения возможностей StealthWatch. Исследовательская команда StealthWatch Labs проводит как свои внутренние исследования, так и использует данные широкого круга внешних экспертов и партнеров, чтобы консолидировать у себя всю имеющуюся информацию об угрозах в разных частях света.
На SLIC Threat Feed можно подписаться уже сейчас. Более подробно читайте здесь: http://www.lancope.com/products/slic-threat-feed/.

Метки:  

Отчет Gartner 2012 г. говорит о катастрофическом состоянии сетевой безопасности в мире

Дневник

Вторник, 29 Января 2013 г. 12:33 + в цитатник

Великая китайская стена/3867803_greatwall1 (600x450, 102Kb)Согласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушения безопасности прошли полностью незамеченными в корпоративных сетях. Процент кажется завышенным, но дальнейшая статистика объясняют, почему это так. Среди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организациями. Они были выявлены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.

Кроме того, проводя "обратный анализ" атак типа zero-day, лаборатория Symantec Research определила, что среднее время, которое требовалась для обнаружения угрозы после ее внедрения в сети организации, составляло 312 дней, самое длительное время при этом составляло 30 месяцев. Все это позволяет сделать вывод, что организации не используют интеллектуальных средств обнаружения угроз.

 

История систем наблюдения за сетью

Эволюция сетевой безопасности происходила необычным, извилистым путем, в результате которого мы оказались там, где мы есть. Между 2000 и 2005 годами у нас были годы любви с системами обнаружения вторжений (Intrusion Detection Systems, IDS). Эти системы были созданы для определения причин "плохого поведения" сетей. Основная проблема, заключенная в IDS, состояла в том, что ее использование требовало наличия команды опытных операторов, которые могли бы интерпретировать подозрительные факты в сети и правильно на них реагировать. Количество существующих талантов было значительно меньшим, чем требовалось, система их обучения только разрабатывалась и, что самое важное, бизнес решил не вкладывать деньги в создание своих собственных талантов в этой сфере.

Хакеры/3867803_anonimous (640x480, 26Kb)

Хакеры-тяжеловесы против защитников в весе пера

Решения класса IDS сумели остаться на рынке только потому, что они постепенно преобразовывались в системы предотвращения вторжений (Intrusion Prevention Systems, IPS), которые могли автоматически обнаруживать угрозы. Имея такие системы, которые автоматически блокировали угрозы, организациям не было никакого смысла держать дорогую команду специалистов в области сетевой безопасности. Работа существующих команд безопасников была низведена до обслуживания файерволов, IPS и других средств информационной безопасности, вместо того, чтобы сконцентрироваться на анализе сети и реагировании на инциденты. Тем временем интернет-преступники стали лучше финансироваться, их разработки стали более "умными" и сложными. Сейчас мы наблюдаем борьбу элитных хакеров против "героических" администраторов файерволов. Согласно статистике Gartner, шансы хакеров выиграть каждый "бой" без их обнаружения составляют 4 к 1.

 

Сбалансированная безопасность

Как результат таких бизнес-решений, львиная доля бюджета на безопасность и усилий направляется на создание политик и механизмов их применения, направленных на противодействие неправильному поведению в сети и смягчению последствий от таких нарушений. Все исследования и анализ сети сводятся к созданию статистических отчетов о запретительных действиях, осуществленных инфраструктурой безопасности.

 

Учиться у систем физической безопасности

Рассматривая историю человечества, мы постоянно сталкиваемся с фактами, подтверждающими важность баланса между надзором, принуждение к исполнению и реагированием на нарушения. Прежде, чем выросла Великая китайская стена, здесь жили крестьяне, которые приносили вести о силах и намерениях захватчиков с севера. Если я заходил в винный магазин, меня не останавливали пуленепробиваемое стекло, лазеры или проваливающиеся полы, просто за мной следили камеры наблюдения. Солдаты, прежде чем научиться стрелять из ружья, обучаются принципам караульной службы. Наблюдение - это фундаментальный элемент безопасности, как физической, так и сетевой.

 

Что вы имеете в виду, говоря, что меня ограбили?

В свете статистики, приведенной компанией Gartner, самое печальное заключается в том, что мы не можем определить, когда мы были ограблены. Древние крестьяне в северном Китае по крайней мере имели достаточное количество ситуационных предупреждений, чтобы знать, что они подвергаются нападению.

 

Самооценка

Существует несколько базовых вопросов для каждой организации, на которые должны быть получены ответы:
  • Какой объем P2P- или Onion Routing-трафика крутится в моей сети?
  • Какие хосты в моей сети подключены к известным серверам бот-сетей?
  • Какие пользователи моей сети пытаются получать доступ к информации, которой они не должны интересоваться?
  • Сколько информации покидает мою сеть и передается в сети конкурентов?
Если вы не можете ответить на эти вопросы, то у вас серьезная проблема. Впрочем, к сожалению, такая ситуация очень обычна. Для упрощения проверки мы должны ответить на более простой вопрос: Как я могу узнать, что нацеленная на меня атака прошла удачна и достигла моей сети?

 

Проверка исполнения правил

После того, как Великая китайская стена была построена, это не означало, что она могла теперь самостоятельно отражать атаки. На ней всегда находились часовые. Наблюдение является критичным фактором в определении того, как работает механизм соблюдения корпоративных правил безопасности. Очень часто в корпоративных сетях можно видеть трафик, который, по идее, должен был блокировать механизм, уже внедренный в сети. Иногда это результат плохой конфигурации, иногда это результат продвинутых технологий обхода корпоративных политик. Очень легко преодолеть любую стену, если никто не наблюдает и у вас есть для этого куча времени. Если не внедрить умную систему слежения, то любая таргетированная (направленная) атака рано или поздно добьется своей цели.

 

Информированная реакция

Работа исследователей инцидентов значительно более эффективна, когда они работают с "доказательствами", которые хорошо описаны и каталогизированы. Криминальный взлом магазина на глазах камер и свидетелей значительно быстрее завершится в суде, чем взлом несовершеннолетними хулиганами заброшенного склада. Когда сеть не снабжена системой умного слежения, вы не только не обнаружите современную атаку, пока кто-нибудь со стороны не скажет вам об этом, вы не сможете даже определить ущерб, который вам нанесли, или методы, использованные атакующими для проникновения в ваши сетевые закрома. В итоге вы не становитесь информирование после всего этого, да и уязвимость остается не устраненной. Т.е. проломанная дыра в вашей стене останется на месте и будет всегда привлекать следующих преступников.

 

Ищите странности

Основная техническая характеристика обычных систем класса IDS заключается в том, что они высматривают известный плохой трафик. В основном это делается путем сравнения с шаблонами (сигнатурное определение).
В инструкциях корпуса морской пехоты США сказано: "Всегда будь на посту подготовлен к бою, будь постоянно готов подать сигнал и следи за всем, что находится в твоем поле зрения или слуха" и "Связывайся с командиром патруля в каждом случае, который не предусмотрен инструкцией". В дополнение к необходимости сообщать о регистрации странных "плохих" фактов, патрульным необходимо всегда замечать вещи, которые находятся не на своем месте, и отправлять сообщение для расследования. В системе сетевого слежения также важно детектировать аномальное и подозрительное поведение, которое "не предусмотрено инструкцией".
Умная система слежения для того, чтобы быть эффективной, должна быть способна обнаруживать как аномальное, так и подозрительное поведение трафика. Главное то, что у вас, к сожалению, никогда не будет сигнатур (шаблонов) для новых атак. И кто-то должен следить за странностями.

 

Заключение

Без эффективной системы сетевого слежения хакеры будут продолжать безнаказанно грабить ваши "защищенные" ресурсы. Хотя механизмы принудительного соблюдения правил являются очень важными для здоровья сети, они не могут заменить бдительных и обученных "стражей", которые следят за современными продвинутыми и целевыми атаками. Это очень печально, когда в организации не могут даже ответить на самый фундаментальный вопрос: "Как я могу узнать, когда моя инфраструктура была атакована?". Тренированный персонал, имеющий современные решения сетевого умного слежения и анализа, подобные Lancope StealthWatch, является сегодня единственной защитой против растущего вала сложных и умных атак.

Метки:  

 Страницы: [1]