Gdzie się kończy sieć?

Otwieranie sieci przedsiębiorstw dla partnerów biznesowych, klientów czy dostawców, a także zwiększanie mobilności użytkowników wewnętrznych, rozluźnia ochronę obwodową - pojęcie brzegu sieci staje się coraz bardziej rozmyte.

Otwieranie sieci przedsiębiorstw dla partnerów biznesowych, klientów czy dostawców, a także zwiększanie mobilności użytkowników wewnętrznych, rozluźnia ochronę obwodową - pojęcie brzegu sieci staje się coraz bardziej rozmyte.

Utrzymywanie sztywnej ochrony granic w dzisiejszych sieciach staje się nieefektywne. Zagrożenia hybrydowe łatwo przechodzą przez perymetr ochronny sieci i atakują sieci wewnętrzne.

Najbardziej popularną strategią odchodzenia od perymetru jest to, co specjaliści od ochrony nazywają "obroną przesuniętą w głąb sieci" (defense in depht). Jest to proces wspierania obrony obwodowej przez podział na warstwy i mocniejszą ochronę wewnętrzną. Stosuje się tu takie rozwiązania, jak zapory ogniowe poziomu aplikacyjnego, IPS-y w różnych punktach sieci i systemy zarządzania ochroną punktów końcowych sieci.

Po latach kupowania specjalizowanych produktów ochrony, użytkownicy coraz częściej są zainteresowani rozwiązaniami wielofun- kcyjnymi, integrującymi różne fun-kcje ochronne w jednym urządzeniu, oprogramowaniu lub kombinacji obu.

Nowe zagrożenia pojawiają się wraz z nowymi technologiami IT. W raporcie IBM Global Business Security Index, obejmującym pierwszą połowę br., odnotowano 50-proc. wzrost zawirusowanych wiadomości pocztowych oraz innych ataków internetowych. Szczególnie wzrosła liczba ataków skierowanych przeciwko agencjom rządowym, instytucjom finansowym oraz międzynarodowym korporacjom.

Według raportu w pierwszej połowie br. odnotowano ponad 237 mln różnego rodzaju ataków, z których 54 mln było skierowanych przeciwko instytucjom rządowym. Przedsiębiorstwa stały się przedmiotem 36 mln ataków, instytucje finansowe - 34 mln, a sektor ochrony zdrowia - 17 mln.

W raporcie odnotowano wzrost liczby ataków typu phishing: 35,7 mln wiadomości zawierało jakąś formę phishingu. Liczba ataków określanych jako spear phishing (ukierunkowanych) wzrosła od stycznia br. ponad dziesięciokrotnie - do ponad 600 tys. w czerwcu.

Z drugiej strony odnotowano spadek ilości spamu: liczba niepożądanych wiadomości poczty elektronicznej spadła z 83% wszystkich wiadomości w styczniu br. do 67% w czerwcu, co może mieć związek z coraz powszechniejszym stosowaniem filtrów antyspamowych.

Rynek napędzany zagrożeniami

Gdzie się kończy sieć?

Phishing: atak na centrum danych

Specjaliści przewidują wzrost liczby destrukcyjnych kodów dla urządzeń bezprzewodowych. Bardziej powszechne staną się ataki od strony punktów końcowych sieci (client-side attack) wykorzystujące robaki i wirusy jako sposób propagacji.

Oczekuje się także wzrostu liczby ataków ukrytych w treściach audiowizualnych i dalszego wzrostu zagrożeń ze strony programów szpiegujących.

Są to czynniki napędzające rozwój przemysłu związanego z bezpieczeństwem - w roku 2004 cały ten przemysł wygenerował przychód o wartości 12,9 mld USD (wg danych Yankee Group).

Z kolei firma analityczna Canalys podaje, że rynek korporacyjnych rozwiązań bezpieczeństwa w Europie (region EMEA) odnotował w roku 2004 wzrost obrotów o 32% - do 1,8 mld euro. Tylko w czwartym kwartale wartość obrotów wzrosła o 49% - do 536 mln euro.

Na pierwszym miejscu nadal jest Cisco - wzrost przychodów o 21% w IV kw., do 85 mln euro. Nokia podwoiła sprzedaż - do 57 mln euro. Dynamiczny wzrost - na poziomie 57% - zanotował także Juniper.

Analitycy podkreślają dużą wartość sprzedaży w podsumowanym kwartale - 536 mln euro. W kategorii sprzętowej Nokia i Juniper zmniejszyły trochę dystans do Cisco. W obszarze oprogramowania liderem jest Symantec, choć większy wzrost sprzedaży odnotowały CA, Trend Micro i McAfee. Wartość sprzedanego oprogramowania dla użytkowników końcowych wzrosła o 12% w porównaniu z IV kwartałem ubiegłego roku.

Catalyst prognozuje na rok 2005 dalszy wzrost obrotów na rynku bezpieczeństwa - o ponad 15% w porównaniu z rokiem 2004.

Szpiegowanie w sieci

Gdzie się kończy sieć?

Hostowy IPS

Spyware definiowane jest na ogół jako oprogramowanie przeznaczone do ukrytego infiltrowania komputerów desktopowych, instalujące się samo, bez przyzwo- lenia użytkownika, wykorzystując luki w oprogramowaniu.

Program wywiadowczy umożliwia kontrolę komputera bez wiedzy jego użytkowników. Gromadzi informacje o użytkowniku podczas jego połączenia z Internetem, rejestruje w tym czasie informacje o jego działaniach i konfiguracji komputera. Może przechwytywać znaki wprowadzane przez użytkownika za pośrednictwem klawiatury, m.in. hasła, numery kart płatniczych itp.

Dostawcy systemów antywirusowych starają się włączyć możliwości "kontrwywiadowcze" do swoich produktów (spyware mają wiele cech wspólnych z trojanami).

Z kolei dostawcy oprogramowania kontrwywiadowczego dla przedsiębiorstw często uzupełniają je skanerami antywirusowymi, oferując kompleksową ochronę przed tymi zagrożeniami.

Wydania dla przedsiębiorstw są zazwyczaj w pełni zautomatyzowane. Spyware mogą być usuwane automatycznie lub poddawane zdalnie kwarantannie. Produkty mogą być dostrajane przez definiowanie list bezpiecznych aplikacji, które mogą być instalowane lub uruchamiane przez użytkowników. Stosowane jest automatyczne blokowanie instalacji znanych spyware.

Rozwiązaniami wielofunkcyjnymi z funkcjami antyspyware są urządzenia do bezpiecznego zarządzania treścią (SCM - Secure Content Management) wprowadzone na rynek przez McAfee. Zapewniają one ochronę treści internetowych i poczty elektronicznej. Urządzenia te to: Secure Web Gateway (SWG) i Secure Messaging Gateway (SMG) dla dużych przedsiębiorstw oraz Secure Internet Gateway (SIG) dla małych i średnich firm.

Urządzenia chronią przed oprogramowaniem szpiegującym, nieodpowiednimi treściami, wyłudzaniem danych osobowych (phishing), spamem, znanymi wirusami, robakami i końmi trojańskimi. Można nimi zarządzać centralnie, wykorzystując McAfee ePolicy Orchestrator (ePO).

Phishing - atak na markę

Gdzie się kończy sieć?

Zakresy ochrony w warstwach OSI

Phishing stał się ostatnio jednym z poważniejszych zagrożeń, z powodu potencjalnych możliwości podważenia zaufania do biznesowej komunikacji online. "Wędkarze" uży- wają spamu do kierowania swoich ofiar na strony webowe przygotowane na wzór znanych, legalnych stron ośrodków. "Pilne" przesyłki poczty elektronicznej od phishera, podszywającego się pod reprezentanta banku lub innej instytucji, zawierają link do fałszywej strony logowania lub proszą o podanie poufnych informacji osobistych.

W styczniu 2004 r. znanych było 198 ośrodków phishingu, w lutym br. liczba ta wzrosła do 2625 (dane Anti-Phishing Working Group). Liczba unikatowych wiadomości pocztowych phishingu osiągnęła w lutym wielkość 13 141, a Symantec podaje, że jego filtry antyspamowe Brighmail blokowały średnio 33 mln przesyłek phishing w grudniu ubiegłego roku, w porównaniu z liczbą 9 mln w lipcu.

Szybki wzrost wolumenu ataków phishingu jest jedynie częścią problemu, groźne jest stosowanie technik służących do wyciągania informacji o kontach użytkowników bez wprowadzania przez użytkownika informacji osobistych na fałszywe strony webowe.

Eksperci od spraw bezpieczeństwa ostrzegają, że phishing może szybko skupić się na kradzieżach tożsamości dużej skali - z baz danych sieci przedsiębiorstw. Skradziona informacja może być wtedy używana jako przynęta dla ukierunkowanych schematów phishingu. Wykorzystywane są także nowe możliwości związane z technikami bezprzewodowymi.

Jeszcze bardziej kłopotliwy jest efekt psychologiczny phishingu. W badaniach przeprowadzonych przez firmę Cyota, zajmującą się ochroną przed nadużyciami, ponad połowa respondentów wyraziła obawy o bezpieczeństwo handlu online z powodu phishingu. Także studium Symantec pokazuje, że prawie jedna trzecia respondentów twierdzi, że nie używa bankowości online z powodu zagrożenia phishingiem.

Do walki z phishingiem można używać rozwiązań chroniących przed spamem, a także atakami typu "żniwa adresowe", w których phisherzy wyciągają adresy z serwerów pocztowych.

Efektywność produktów antyspamowych, poszerzonych o ochronę przed phishingiem, jest jednak często kwestionowana, ponieważ w większości ich działanie polega na blokowaniu wiadomości zawierających URL do znanych ośrodków phishingu lub uniemożliwianiu przeglądarkom wchodzenie na strony takich ośrodków. Większość ośrodków phishingu funkcjonuje jedynie w ciągu kilku godzin i czarne listy szybko się dezaktualizują.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200