Producent: Sygate Technologies

Dystrybutor: Ascomp (http://www.ascomp.com.pl )

Zalety: dobrze łączy reguły aplikacyjne z sieciowymi, umożliwia tworzenie wykresów z analizy danych

Wady: brak wykrywania anomalii; brak pełnych możliwości raportowania

Producent: Symantec

Dystrybutor: ABC Data (http://www.abcdata.com.pl ); Softpoint (http://www.softpoint.com.pl ); Tech Data Polska (http://www.techdata.com.pl )

Zalety: pojedynczy produkt zapewnia funkcje antywirusowe i zapory ogniowej

Wady: możliwość fałszowania danych, ponieważ logi przechowywane są na klientach; brak wykrywania anomalii; oddzielne komponenty niezbyt dobrze zintegrowane

W celu sprawdzenia możliwości produktów ochrony punktów końcowych skupiono się na atakach, do których może dojść, jeżeli podstawowa ochrona sieci i maszyn działa nieprawidłowo. Wybrano te, na które komputer może być narażony, jeżeli komponent ochronny klienta staje się ostatnią linią obrony i musi podjąć próbę ochrony systemu i sieci przed dalszą destrukcją.

Systemy klienckie, zdefiniowane na użytek testów, to desktopy, które fizycznie rezydują w strukturze sieciowej przedsiębiorstwa, lub systemy mobilne wewnątrz i poza infrastrukturą przedsiębiorstwa. W każdym przypadku założono pewną liczbę szkodliwych działań, do których mogło już dojść. Na przykład napastnik już znalazł słaby punkt, który pozwolił mu wykonać kod na kliencie, w tym kod umożliwiający uzyskanie uprawnienia administratora. Nie zakładano, że takie zdarzenia są powszechne, ale przyjęto, że sytuacje podobne do tych mogą się wydarzyć i ochrona sieci powinna być przygotowana do radzenia sobie z nimi.

Założono także, że napastnik może mieć fizyczny dostęp do systemu i może zbierać dane z jego śledzenia. Jest to dość prawdopodobne: użytkownik mobilny korzystający z maszyny w kafejce internetowej może pozostawić ją bez nadzoru lub atakujący jest kimś, kto ma fizyczny dostęp do desktopa (np. pracownik sprzątający na nocnej zmianie).

Podstawowe cele testowania były proste:

• określenie, czy cel może być zaatakowany potajemnie;
• ocena wysiłku, jaki musi być podjęty do obrony maszyny;
• przełamanie ochrony;
• atak na maszynę.

Do rozpoznania celu użyto narzędzi śledzenia i skanowania sieci. Prześledzono także przypadek, w którym atakujący ma dostęp fizyczny do klienta, aby zobaczyć, co może on uzyskać nawet w krótkim czasie.

Ponieważ są to klienty sieci przedsiębiorstwa, tzn. jej punkty końcowe, przyjrzano się im nie tylko od strony klienckiej, ale także jako punktom wejścia do infrastruktury informatycznej firmy. Opierając się na tym założeniu, starano się "oszukać" serwer zarządzania, aby uniknąć wykrycia podczas przygotowywania potencjalnie czasochłonnego ataku. Przyjrzano się także temu, co można zrobić w celu wyłączenia ochrony i następnie użycia klienta do kolejnych ataków lub zyskania czasu na dalszą penetrację samego klienta.

Przyjęte podejście zakładało, że atakujący jest w sytuacji, w której może mieć przewagę: dostęp fizyczny, sieciowy lub uprawnienia administratora. Taka sytuacja może nie jest powszechna, ale nie należy zakładać, że maszyny są zawsze skutecznie zabezpieczone fizycznie. Nie można także z góry zakładać, że oprogramowanie legitymizowane regułami polityki nie zawiera luk, a sieć, do której klient jest podłączony, nie jest podsłuchiwana. Testowano więc, uwzględniając te raczej ekstremalne przypadki, mając na uwadze fakt, iż bezpieczeństwo klienta staje się coraz bardziej znaczącą inwestycją.

Każdy serwer/konsolę instalowano na serwerze Windows 2000, wyposażonym w najnowsze łatki. Wszystkie konsole pracowały na jednej maszynie, w indywidualnych instalacjach systemu operacyjnego, używając oprogramowania wirtualizującego VMware. Jako serwera użyto systemu z Pentium 4 3 GHz i 2 GB RAM. Klienty pracowały na maszynie Pentium 4 3 GHz z 2 GB RAM i Windows XP oraz VMware do obsługi oprogramowania klienckiego.

Dla każdego produktu instalowano centralną konsolę (serwer) zgodnie z instrukcją, a następnie wykonano instalacje klientów za pomocą przewidzianych do tego procesu narzędzi. Jeżeli produkt takich narzędzi nie zawierał, klientów instalowano z CD lub URL dostawcy.

Następnie każdy produkt konfigurowano do wysyłania alarmów za pośrednictwem poczty elektronicznej oraz tworzono grupy testowe komputerów klienckich w ramach kontrolowanej domeny.

W celu przetestowania funkcji polityki ochrony tworzono i rozprowadzano reguły, które powinny blokować cały wchodzący ruch z wyjątkiem zdalnych desktopów, ruch wychodzący na port 23 na zdalnych systemach, blokowanie Netcat przed połączeniem z portem 468 i blokowanie możliwości uruchomienia pasjansa (sol.exe).

W celu przetestowania jak poszczególne produkty radzą sobie z atakami, oceniano każdy z nich w czterech dziedzinach:

• Sterowanie aplikacjami - jak produkt powstrzymuje wykonywanie szkodliwych lub zabronionych aplikacji.
• Wykrywanie intruzów - jak produkt radzi sobie z wykrywaniem prób włamania do sieci.
• Zapobieganie włamaniom - jak produkt radzi sobie z wykrywaniem ataków sieciowych, używając metody wykrywania anomalii w ruchu.
• Odporność obrony - jak produkt zachowuje się, gdy sam zostanie zaatakowany.

Na końcu przeglądano dostępne alerty i logi. Podjęto także próby tworzenia raportów. Po pierwsze, starano się uzyskać raporty pokazujące klienty, które nie zgłosiły się do serwera w określonym czasie. Po drugie, próbowano generować raporty pokazujące statystyki alarmowe w określonym przedziale czasowym.