Nowy IPS, wróg czai się wewnątrz sieci

Problem wewnątrz sieci

Ponieważ nie wszystkie zagrożenia są zewnętrzne, oznacza to, że większość tradycyjnych rozwiązań ochrony obwodowej jest bezużyteczna w przypadku zagrożeń wewnętrznych. Kradzieże tożsamości i innej wrażliwej informacji są jednym z poważniejszych zagrożeń, bez względu na jego pochodzenie, ponieważ dokonują zniszczeń od środka. Poradzić z nimi sobie może jedynie wewnętrzny IPS.

Niektóre zagrożenia, np. wirusy, robaki, trojany lub twory hybrydowe, mogą pochodzić z zewnątrz i podejmować próby dostosowywania się do działań wewnętrznych. Są to te, które prześlizgują się przez obwodowy IPS. Wiele innych zagrożeń pochodzi z wewnątrz i ochrona obwodowa nie ma sposobności, aby się nim zająć.

Telepracownicy czy pracownicy mobilni łączą się z sieciami korporacyjnymi za pośrednictwem VPN i tym sposobem pracują wewnątrz sieci. Pracownicy stacjonarni, pracujący przy własnych desktopach, już są wewnątrz perymetru sieci.

Firmy i różne agencje rządowe dopuszczają nawet osoby trzecie - partnerów biznesowych, konsultantów - do łączenia się z siecią w pomieszczeniach instytucji. Jakiekolwiek zagrożenie znajdujące się na ich laptopach - niewykryte wirusy czy robaki - mogą wykorzystać łącze LAN jako znakomitą sposobność przeniesienia się do sieci.

Przykładem napastników wewnętrznych, dokonujących ataków poza perymetrem sieci, są sfrustrowani administratorzy, mogący planować bomby logiczne usuwające pliki krytycznych aplikacji z serwera, czy projektant aplikacji zwalniany z pracy z powodu redukcji zatrudnienia i wbudowujący w aplikacje kod wyprowadzający na zewnątrz wrażliwe dane.

Ochrona wielokierunkowa

Nowy IPS, wróg czai się wewnątrz sieci

Macierz poziomów ochrony

Ochrona sieci przed zagrożeniami zewnętrznymi jest relatywnie prosta. Prawidłowo zaprojektowana sieć ma niewiele punktów wejściowych. Mała liczba takich punktów jest łatwa do obrony i czyni to zadanie łatwiejszym. Wyzwaniem dla obwodowych urządzeń IPS jest obsługa ruchu, który przez nie przechodzi, bez tworzenia wąskiego gardła, a także utrzymywanie na aktualnym poziomie bazy danych sygnatur.

Wewnętrzny IPS wykonuje dużo więcej: sieć wewnętrzna jest zazwyczaj duża i często geograficznie rozproszona, obejmując pewną liczbę oddziałów zamiejscowych. Zadanie rozpoczyna się z chwilą wykrycia nieznanego zagrożenia rozprzestrzeniającego się przez LAN.

Określa się je często jako "zagrożenia dnia zerowego", ponieważ wykorzystują lukę jeszcze w tym samym dniu, w którym została wykryta. Stanowią one problem dla urządzeń obwodowych, zdolnych do reagowania na znane zagrożenia - dla wewnętrznych IPS takie zagrożenie jest mniejszym problemem. Dzieje się tak dlatego, iż wewnętrzne rozwiązania ochronne przygotowane są do wyszukiwania zmian we wzorcach zachowań w sieci i porównywania ich z pewnym wzorcem odniesienia, zamiast wyszukiwania sygnatur zagrożeń w bazie danych. Rozpoznają także różne modele ataków poprzez identyfikowanie zachowań, które są wykorzystywane przez ataki wewnętrzne.

Nowy IPS, wróg czai się wewnątrz sieci

VPN - przykład ruchu omijającego ochronę obwodową

Ponieważ wewnętrzne IPS nie są nastawione na specyficzne zagrożenia bezpieczeństwa - wykrywają jedynie działania nieodpowiadające przyjętym normom - to takie działania mogą być praktycznie dowolnej natury. Tak więc wewnętrzny IPS może sygnalizować aplikacje P2P, sprowadzanie plików muzycznych, strumienie stacji radiowych i inne anomalie, które, chociaż nie stanowią zagrożenia bezpieczeństwa, konsumują pasmo sieciowe i mają negatywny wpływ na wydajność pracowników.

Przy tak dużej liczbie zagrożeń wewnętrznych, pochodzących z różnych źródeł, istotnym jest, że wewnętrzny IPS zapewnia ochronę na wielu frontach. Aby zapewnić wyczerpującą ochronę wielowarstwową, do wykrywania wewnętrznych zagrożeń bezpieczeństwa sieci IPS musi wykorzystywać duży repertuar algorytmów. Algorytmy te dotyczą różnych kategorii zagrożeń:

  • Nadużycie zaufania
  • Do tej kategorii zalicza się szeroki zakres działań. Niektóre, np. pracownik helpdesku uzyskujący dostęp do aplikacji listy płac, czy też programista umieszczający w programie "bombę czasową", stwarzają prawdziwe zagrożenie dla bezpieczeństwa. Inne, takie jak słuchanie radia przez Internet czy wykorzystywanie komunikatora do celów prywatnych, może po prostu nie być w zgodzie z obowiązująca polityką. Algorytmy wykrywają zachowania naruszające określone reguły polityki bezpieczeństwa.

  • Anomalne zachowania w sieci
  • W wielu środowiskach, a zwłaszcza takich, które opierają się na transakcjach, ustalenie codziennej normy zdarzeń czy zachowań, sprowadzonej nawet do poszczególnych przedziałów czasowych, jest relatywnie proste. Jakiekolwiek odchylenie od tych przyjętych wzorców może oznaczać takie zagrożenia, jak DoS czy wirus konsumujący pasmo w celu autopropagacji.

  • Anormalne poziomy ruchu
  • W czasie normalnych operacji sieciowych oczekiwane są określone poziomy ruchu. Normy te mogą zmieniać się znacząco w ciągu dnia, pod koniec miesiąca czy sezonu. Specjalne algorytmy mogą wykrywać statystycznie istotne zmiany ruchu na krytycznych serwerach i połączeniach, niemające związku z normalnymi okresami wzmożonego ruchu.

  • Robaki sieciowe
  • Algorytmy z tym związane skupiają się na wykrywaniu anomalnych propagacji ruchu. Przykładem jest robak SQL Slammer. Atakując systemy pracujące na SQL Server, ten samopropagujący się kod wykorzystuje lukę, która pozwala na wykonanie dowolnego kodu w systemie SQL Server w wyniku przepełnienia bufora. Robak przygotowuje pakiety i wysyła je pod losowo wybrane adresy IP. Jeżeli taki pakiet dosięgnie niepołataną maszynę, to zostanie ona zainfekowana i stanie się nowym źródłem propagacji.

  • Robaki zwiadowcze
  • Są to szkodliwe programy (tzw. recon worm) dokonujące oceny podatności systemów. Taki robak jest wysyłany na misję zdalnego rekonesansu, skanując komputery w poszukiwaniu różnorodnych nieszczelności i powiadamiający o nich autora, często pocztą elektroniczną. W celu uniknięcia wykrycia programy takie są niewielkie, poszukując także niewielkiego zakresu nieszczelności. Po pewnym czasie modyfikują się, aby poszukiwać innych nieszczelności.

    Podstawowa różnica pomiędzy ochroną zewnętrzną a wewnętrzną polega na tym, że zapewniając ochronę przed wtargnięciami na perymetrze, trzeba mieć zdolność reagowania na zagrożenia natychmiast - w czasie rzeczywistym. To wymaganie jest w dużym stopniu odpowiedzialne za wysokie koszty takich rozwiązań. Zagrożenia wewnętrzne są innego rodzaju: rozwijają się w dłuższym okresie czasu, tak więc celem wewnętrznego IPS jest raczej ustanowienie systemu wczesnego ostrzegania niż systemu szybkiego reagowania.

    Rozproszone punkty kontrolne

    Do wykrywania obecności anomalii sieciowych wewnątrz perymetru konieczne jest rozprowadzenia sensorów w różnych punktach węzłowych sieci. Takie sensory kontrolują i monitorują ruch, który jest w ich zasięgu. Zaprojektowane jako urządzenia pasywne, które są przyłączane do przełączników, a nie bezpośrednio do sieci, nie tworzą wąskich gardeł, co jest kluczową różnicą miedzy nimi a urządzeniami obwodowymi IPS - systemami włączanymi do sieci, przez które musi przechodzić cały ruch.

    Wykrywanie anomalii wymaga w pierwszym kroku ustalenia poziomu odniesienia - tzn. wszechstronnego rozpoznania aktywności sieciowej w różnych punktach i różnym czasie. Prosta migawka nie załatwia problemu. Działania sieciowe w poniedziałek rano znacznie odbiegają od aktywności o północy w środę. W konsekwencji prawidłowe ustalenie poziomu odniesienia wymaga analiz z co najmniej pewnego okresu. Często taki poziom jest zmienny w czasie, zwłaszcza w sieciach doświadczających comiesięcznych albo sezonowych szczytów użytkowania. Ciągłe monitorowanie, jako uzupełnienie identyfikacji anomalii, pozwala na dobre dostrojenie poziomu odniesienia, ustalanego przez każde urządzenie sensorowe.

    Sensory przekazują dane do urządzenia zbierającego, które jest w istocie skrzynką agregującą całą obserwowaną aktywność. Agregacja na konsoli zarządzania jest istotnym krokiem w lokalizacji nadzwyczajnej aktywności - sensor, który skupia się na jednym segmencie sieci, może znaleźć aktywność odbiegającą od normy, która w kontekście całej sieci nie musi być anomalna. Bezpośrednia agregacja danych pozwala złożyć obraz w jedną całość i przeanalizować go, identyfikując trendy sieciowe i przekazać raporty do administratora sieci.

    Analizy są generalnie natury behawioralnej i nie opierają się na sygnaturach znanych wirusów czy innych zagrożeń. Analiza behawioralna pokazuje, co jest właściwą aktywnością sieciową i rozpoznaje działania odbiegające od normy.

    Tak więc rozprowadzenie dostatecznej liczby sensorów jest bardzo istotne. Bez zebrania całościowego obrazu, z dużym prawdopodobieństwem można przeoczyć anomalie lub niepoprawnie je zinterpretować - jedna odchyłka od normy nie czyni jeszcze trendu.

    Anomalie to jeszcze nie zagrożenia. Chociaż zadaniem wewnętrznego IPS jest raportowanie aktywności odbiegającej od ustalonych norm, to jednak nie każda taka aktywność jest szkodliwa. Jest to do rozstrzygnięcia przez tego, kto sprawdza zagregowane informacje w celu określenia, która anomalna działalność jest akceptowalna, a która podejrzana lub w oczywisty sposób złośliwa.

    Wnioski

    W starożytnej Troi obrona murów okazała się nieskuteczna. Tak jak w wypadku współczesnych zagrożeń, system obronny miasta nie uwzględniał nowego typu zagrożenia i dlatego nie potrafił go powstrzymać. Tak samo bez wewnętrznego systemu ochrony sieci przedsiębiorstw narażone są na ataki od wewnątrz.

    Chociaż główne inwestycje IT w ochronę dotyczą zewnętrznego perymetru sieci korporacyjnej, niebezpieczeństwo ze strony zagrożeń zewnętrznych nie jest już dzisiaj sprawą kluczową. Zagrożenia pochodzące od wewnątrz stwarzają większe niebezpieczeństwo. Zdolne do propagacji z setek lub tysięcy stacji roboczych wewnątrz perymetru sieci lub z komputerów przynoszonych przez zewnętrznych współpracowników, zagrożenia te mogą być tworzone przez robaki, wirusy czy trojany pochodzące z zainfekowanych maszyn, złośliwe makro związane z aplikacjami lub programy pisane specjalnie pod kątem konkretnych danych, aplikacji czy portów komunikacyjnych w konkretnym ośrodku.

    Jest więc oczywiste, że tradycyjne obwodowe IPS, bez względu na stopień ich zaawansowania, nie mogą chronić przed zagrożeniami, których nie rejestrują. Co więcej zewnętrzny IPS po prostu nie jest zaprojektowany do walki z zagrożeniami, które pochodzą od wewnątrz. A ponieważ przez te urządzenia przechodzi cały ruch sieciowy, to musza one reagować z bardzo dużą szybkością, co sprowadza się do bardzo kosztownych rozwiązań.

    Wewnętrzny IPS, wdrożony do specyficznych zadań związanych z zagrożeniami wewnętrznymi, może wykrywać i raportować anomalne zachowania, nawet jeżeli zagrożenie nie było do tej pory znane. Widać więc wyraźnie, że środek ciężkości w zabezpieczeniach musi dzisiaj przesuwać się szybko w stronę ochrony wewnętrznej.

    W roku 2006 technologia IPS będzie prawdopodobnie kontynuować swój mariaż z komponentami infrastruktury sieciowej, zwłaszcza zaporami ogniowymi i przełącznikami. Check Point, Cisco i Juniper oferują takie zintegrowane urządzenia. Jest to wyraźny trend i dla wielu sieci jest to najlepszy sposób dołączenia IPS do istniejącej sieci. Wczesne rozwiązania IPS były powolne i niezbyt dokładne, jednak dzisiejsze rozwiązania łączące techniki oparte na sygnaturach i wykrywania anomalii mogą zabezpieczać zarówno małe, jak i duże sieci.

    IPS pierwszej generacji niewiele odbiegały od IDS w zakresie możliwości blokowania ataków. Jednak ich dostawcy znacznie ulepszyli ich dokładność działania, wydajność i zarządzanie.


    TOP 200