Atak i obrona |
Rodzaj ataku |
Reakcja antywirusa z HIPS |
Reakcja sieciowego IPS-a |
Sposób ochrony |
Ryzyko |
Atak dnia zerowego z zewnątrz |
Przeważnie tak, ale już po fakcie. |
Dość skuteczne, o ile sygnatury są aktualne. |
IPS oraz zapora sieciowa. |
Trudno ocenić, ataki są często losowe. |
Atak odmowy obsługi |
Brak |
Zależnie od ustawień, niektóre IPS-y posiadają moduły ochrony przed atakiem DDoS. |
Limity ilości połączeń, odpowiednie algorytmy sieciowych IPS-ów. |
Zależnie od branży, pełnionych usług i konfiguracji, w przypadku ISP - dość wysokie. |
Atak na stos serwera usługowego |
Brak, dopiero instalacja malware, o ile występuje. |
Dobra, w przypadku typowych stosów jest to skuteczne narzędzie. |
IPS, utwardzanie instalacji serwera oraz systemu operacyjnego, aktualizacja stosu. |
Dość wysokie, szczególnie przy publikowaniu informacji o wersji serwera wyszukiwalnej przez Google. |
SQL Injection oraz CSS |
Brak |
Skuteczne w przypadku typowych aplikacji, w miarę spadku popularności aplikacji i platformy, skuteczność ochrony spada. |
Prawidłowa konstrukcja aplikacji, frontend cache (np. squid), narzędzia ochrony aplikacji webowych (np. firmy F5 Networks). |
Wysokie, zwłaszcza że wiele testów da się wykonać automatycznie. |
Zewnętrzne nośniki USB |
Brak w przypadku kopiowania danych, być może alarm przy uruchomieniu malware. |
Brak |
Kontrola obsługi USB Storage, kontrola obcych nośników, ograniczenia uprawnień użytkownika. |
Bardzo wysokie, z racji na dostępność nośników i domyślnie włączoną opcję AutoRun. |
Wyciek danych przez Web i komunikator |
Brak |
Ograniczona, ale niekiedy występuje, zależnie od konfiguracji. |
Narzędzia kontroli utraty danych (DLP), blokada lub inspekcja ruchu webowego oraz komunikatorów. |
Wysokie, webmail jest bardzo popularny, komunikatory umożliwiają także wysyłanie plików. |
Robak sieciowy |
Tak, antywirus bazujący na reputacji plików zadziała przy próbie pobrania, HIPS przy uruchomieniu. |
Tak, ale bardzo późno, gdy malware już na dobre działa. |
Ograniczenia uprawnień użytkowników, zestaw oprogramowania ochronnego, blokada pobierania plików wykonywalnych na zaporze sieciowej, IPS. |
Wysokie, malware jest niezwykle popularne, niektóre z tych programów są szybkimi infektorami. |
Rootkit w systemie operacyjnym |
Być może, zależnie od stanu aktualności i zaawansowania technologii wykrywania rootkitów. |
Brak |
Ograniczenia uprawnień użytkowników, zestaw oprogramowania ochronnego, blokada pobierania plików wykonywalnych na zaporze sieciowej. |
Trudno ocenić, ze względu na brak wiarygodnych danych. |
Obcy komputer w sieci LAN |
Brak |
Być może, gdy stacja zażąda dostępu do sieci. |
Detekcja obcych komputerów, kontrola dostępu do sieci (NAC), restrykcje adresów sprzętowych na przełącznikach sieciowych, skanowanie za pomocą skanerów sieciowych. |
Wysokie, mało firm posiada zabezpieczenia przed obcymi komputerami. |
Manipulacje drukarkami sieciowymi |
Brak |
Być może, przy próbie transferu danych na zewnątrz. |
Blokada ruchu na zaporze sieciowej, wykrywanie ruchu charakterystycznego dla wydruków sieciowych. |
Niezbyt wysokie, takie ataki spotyka się raczej rzadko. |