IPS czy antywirus?
-
- 24.03.2009
Rootkit w systemie operacyjnym
Tradycyjny antywirus w ogóle nie widzi dobrze napisanych rootkitów. Nowoczesne oprogramowanie ochronne potrafi rozpoznać charakterystyczne cechy niektórych rootkitów (ukrycie katalogów przed Windows API, dodatkowe elementy kodu w jądrze systemu, podmienione lub naruszone biblioteki systemowe, niedostępność pewnych obszarów pamięci lub fragmentów Rejestru Windows, niektóre niezgodności zawartości obrazu pamięci z odpowiednimi plikami), ale nie zawsze da radę rootkita usunąć. Bardzo ważne są regularnie zaprogramowane skany całego systemu, by program antywirusowy mógł wykryć za pomocą nowych sygnatur starszego, działającego rootkita. Ze względu na brak istotnej komunikacji z siecią, rootkity pozostają niezauważalne dla sieciowych IPS-ów.
Obcy komputer w firmowej sieci
Faktu dołączenia nowego komputera do sieci firmowej nie wykryje ani antywirus, ani sieciowy IPS, dopóki maszyna ta nie zażąda dostępu do Internetu lub nie zacznie łączyć się z innymi komputerami w sieci. Skopiowanie danych tą drogą może pozostać niezauważone. Aby ochronić firmę przed utratą danych tą drogą, należy wprowadzić dodatkowe zabezpieczenia, takie jak restrykcje adresów sprzętowych na przełącznikach sieciowych albo system kontroli dostępu do sieci (NAC, zarówno komercyjny, jak i darmowy, np. PacketFence). Obcy komputer może być także wektorem infekcji w firmie, a takie działania powinny już wywołać alarm oprogramowania antywirusowego. Należy bardzo dokładnie pilnować komputerów dołączanych do sieci lokalnej. Opinie administratorów sieci dotyczące stanu polskich przedsiębiorstw są zgodne i dowodzą, że większość firm jest bardzo słabo zabezpieczona przed atakami od wewnątrz.
Manipulacje drukarkami
Jednym z niedocenianych ataków jest modyfikacja oprogramowania sieciowych drukarek lub routingu sieciowego, skutkująca przekazywaniem danych poza firmę. Wbrew pozorom, bardzo dobrą ochronę da zwykła zapora sieciowa, blokująca połączenia od drukarki sieciowej do Internetu. Pomocny będzie także IPS, który wykryje dane przepływające na zewnątrz z protokołem drukarki sieciowej, czyli charakterystyczne dla ruchu LAN.
