System wczesnego ostrzegania

Subskrybuj RSS A A A
9 marca 2010
Marcin Marciniak

Niektóre organizacje korzystają z sieci specjalnych sensorów, które zbierają informacje o przygotowywanych atakach, tworząc system wczesnego ostrzegania. W Polsce takim systemem jest Arakis, którego rozwinięcie Arakis-gov wspiera zabezpieczenia sieciowe ponad 50 instytucji państwowych.



10 tys.
alarmów obsłużyli operatorzy systemu Arakis w pierwszym roku działalności.
System wczesnego ostrzegania formalnie nie służy do bezpośredniego zabezpieczenia sieci firmowej, ale bardzo dobrze uzupełnia standardowe narzędzia zabezpieczeń, takie jak zapory sieciowe, systemy IPS oraz ochronę antywirusową. Dzięki niemu administratorzy pozyskują wiedzę na temat anomalii ruchu sieciowego, co z kolei przekłada się na informacje o obecnych zagrożeniach.

W praktyce pracy systemów wczesnego ostrzegania istotną rolę pełnią statystyki ruchu. Zazwyczaj, gdy zmieniają się statystyki dotyczące portów, jest to już dość ważna informacja, która wskazuje na pojawianie się nowego celu ataków w przyszłości. Czasami, jeśli skanowany port nie jest standardowym (135 do 139, 445, 443, 22, 389, 21, 80), w ten sposób można określić, co będzie celem późniejszego ataku,. Chociaż takie informacje mogą pozyskać administratorzy samodzielnie, analizując logi z zapory sieciowej, nie dostaną danych skorelowanych z wielu sensorów. Ponadto, utworzenie syntetycznych raportów wymaga sporo pracy. Skanowanie nowych portów świadczy o przygotowaniach do ataku, polegających na ustaleniu obecności hostów z poszukiwanym oprogramowaniem, o którym włamywacze wiedzą, że posiada luki w bezpieczeństwie.

Drugim etapem jest przechwytywanie informacji o przygotowywanych atakach z użyciem już opracowanego eksploita. Nie każda zapora sieciowa posiada opcję przechwytywania pakietów, które są wykorzystywane do takiego ataku, ale potrafi to zrobić większość systemów IPS. Analiza kodu eksploita umożliwia wykrycie podatnej aplikacji, ale największe szanse na określenie celu mają te działania, które skutkują przejęciem eksploita wraz z dołączonym kodem uruchamianym (payload).

Z systemem wczesnego wykrywania można zintegrować logi wysyłane z modułów antywirusowych chroniących pocztę elektroniczną. W ten sposób można uzyskać informacje o propagacji i statystyce rozwoju złośliwego oprogramowania roznoszonego pocztą elektroniczną. Wprowadzenie geokodowania do takich analiz umożliwia znacznie łatwiejsze rozpoznawanie trendów.

Jak Arakis zbiera dane

Polskim systemem wczesnego ostrzegania jest Arakis, opracowany przez CERT Polska. Służy on do wykrywania i rozpoznawania zautomatyzowanych zagrożeń sieciowych, przy czym szczególną uwagę poświęcono detekcji i katalogowaniu eksploitów. W obecnej fazie system koncentruje się na zagrożeniach rozprzestrzeniających się w sposób automatyczny (robaki sieciowe, praca gotowych skryptów). Źródłem danych dla systemu jest rozproszona sieć honeypotów, logi z zapór sieciowych i systemów antywirusowych, a także raporty pochodzące z darknetów - bloków IP należących do operatorów telekomunikacyjnych, które są osiągalne z sieci, ale nie zostały przydzielone żadnemu podmiotowi.

Najważniejszym elementem sieci Arakis, odpowiedzialnym za wykrywanie nowych zagrożeń, są honeypoty. Za ich pomocą zbiera się tak dużo danych, że do ich analizy niezbędne było zastosowanie nowoczesnych algorytmów, które minimalizują zapotrzebowanie na moc obliczeniową przy porównywaniu i katalogowaniu pakietów. Tradycyjne algorytmy porównania nie mają sensu w przypadku takich zastosowań, dlatego ruch ten porównuje się za pomocą mechanizmu przesuwającego się okna. Na tych danych sekwencyjnie wykonuje się skrót, który następnie jest grupowany i porównywany z bazą. Do tego celu przeważnie używa się algorytmu Karpa-Rabina, który charakteryzuje się sprawnym porównywaniem szerokiego zbioru oraz funkcji haszującej, która efektywnie wylicza skrót danych. Dane pozyskane z honeypotów są grupowane pod względem podobieństwa zestawów skrótów, co umożliwia próbkowanie ruchu i wykrywanie często pojawiających się wzorców. Wzorce te są grupowane i wśród często powtarzających się, obliczany jest najdłuższy wspólny podciąg (LCS), i ta wartość staje się sygnaturą zagrożenia. Sygnatury te są wysyłane do centralnej bazy, gdzie odbywa się analiza zagrożenia. Skutkiem pracy systemu jest zestaw sygnatur opisujących dane zagrożenie, który można zastosować do popularnego pakietu detekcji intruzów - oprogramowania Snort.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 4 liczba ocen: 2
1  2  3  dalej »
Podziel się |

Komentarze (0)

+Dodaj komentarz

Najpopularniejsze

Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

MAC, czyli ministerstwo reformowania rządzenia
Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Nowe, unijne zamówienia publiczne
Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Bezpieczeństwo rządowych stron - analiza
Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?
Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Czy MSW chce unieważnienia przetargu na pl.ID?
Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Garść rad dla roztropnego szefa IT
Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Sprzeczne wizje e-dowodu
Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje

Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88