Zagrożenia i ochrona sieci

Istnieje wiele sposobów atakowania sieci i ciągle ich przybywa. Są wśród nich technologie exploitów i ataki wykorzystujące socjotechnikę. Wszystkie mogą zagrażać danym, reputacji firmy czy bezpośrednio efektywnemu prowadzeniu biznesu. Coraz popularniejsze cele ataków na sieć przedsiębiorstwa to m.in. wirtualne serwery, publiczne witryny webowe i urządzenia mobilne.

Istnieje wiele sposobów atakowania sieci i ciągle ich przybywa. Są wśród nich technologie exploitów i ataki wykorzystujące socjotechnikę. Wszystkie mogą zagrażać danym, reputacji firmy czy bezpośrednio efektywnemu prowadzeniu biznesu. Coraz popularniejsze cele ataków na sieć przedsiębiorstwa to m.in. wirtualne serwery, publiczne witryny webowe i urządzenia mobilne.

Zagrożenia i ochrona sieci

Skumulowany wzrost luk związanych z wirtualizacją

W irtualizacja może pomóc w efektywniejszym wykorzystaniu sprzętu komputerowego, ale jednocześnie stwarza nowe zagrożenia. Dopuszcza zwłaszcza rezydowanie różnych wirtualnych hostów na tej samej maszynie fizycznej, gdzie ruch między nimi jest trudny do monitorowania i przesiewania. Problem się komplikuje, gdy hosty wirtualne są replikowane na inne maszyny fizyczne. W razie zagrożenia oprogramowania nadzorującego maszyny wirtualne na platformie sprzętowej (hypervisor), zagrożone są także wszystkie maszyny wirtualne, których dogląda hypervisor.

Kolejne poważne niebezpieczeństwo stwarzają botnety. Miliony maszyn zombie, wykorzystywanych bez wiedzy ich właścicieli, stwarzają potencjalne zagrożenie wyprowadzenia skoordynowanego ataku na sieć przedsiębiorstwa. Oprogramowanie botów staje się coraz wymyślniejsze - może przybierać różne formy, aby zmniejszyć możliwość wykrycia w systemach, nad którymi przejmuje kontrolę. Botnety są powszechnie używane do wysyłania spamu.

Według badań przeprowadzonych przez Symantec, aż 4% wszystkich komputerów zombie podłączonych do internetu we wrześniu 2008 r. pochodziło z Polski. Największą liczbę zombie zarejestrowano w tym czasie w Turcji (12%), Brazylii (9%) oraz Rosji (8%).

W ostatnim raporcie firmy Sophos podkreśla się, że cyberkryminaliści w coraz większym zakresie wykorzystują spam jako środek do infekowania komputerów. Obliczono, że wolumen spamu zawierającego niebezpieczne przesyłki wysyłany do organizacji biznesowych wzrósł ośmiokrotnie na przestrzeni lipca i września br. W III kwartale tego roku jedna na każde 416 przesyłek pocztowych zawierała niebezpieczny załącznik przeznaczony do zainfekowania komputera odbiorcy. W poprzednim kwartale taka niebezpieczna przesyłka pojawiała się raz na 3333 wiadomości poczty elektronicznej.

Zagrożenia związane z przeglądarką to publiczne witryny internetowe, które mogą być zarażone złośliwym kodem, kierującym atakiem lub przejmującym kontrolę nad maszyną łączącą się z taką witryną. Oprócz kradzieży historii przeglądarki i skanowania innych systemów na maszynie, takie ataki mogą zagnieżdżać własną obsługę stosu TCP i utworzyć punkt końcowy VPN w przeglądarce zaatakowanej maszyny. Tunel VPN do takiego punktu końcowego umożliwia napastnikowi dostęp do maszyny za zaporą ogniową, skąd może połączyć się z innymi systemami wewnątrz sieci.

Luki w urządzeniach mobilnych mogą być wykorzystywane do przejęcia nad nimi kontroli. Gdy użytkownik łączy się z przeglądarki ze złośliwą treścią na stronie WWW, zawartość taka może przejąć kontrolę nad urządzeniem i reagować na komendy pochodzące od zdalnego napastnika. Ponadto masowe rozprzestrzenianie się handheldów i smartfonów w środowiskach korporacyjnych oznacza, że coraz więcej danych może być kradzionych lub gubionych wraz z urządzeniem.

Dziurawe aplikacje webowe, których kody są podatne na ataki, stwarzają zagrożenie nie tylko dla nich samych i zawartości, do której mają dostęp, ale także dla sieci jako całości. Aplikacje są zazwyczaj projektowane z uwzględnieniem funkcji bezpieczeństwa, ale wiele starszych tworzono dla sieci zamkniętych. Są to np. aplikacje sterujące procesami produkcyjnymi czy specjalistyczne aplikacje tworzone do indywidualnych zastosowań.Inne nowe technologie, takie jak blogi czy aplikacje mashup do wizualizacji danych pochodzących z różnych źródeł, również stwarzają podobne kłopoty. Informacje wyciągane z różnych baz danych mogą często ujawniać poufne dane.

Podstawowe metody ochrony sieci

W miarę rozmywania się granic sieci, środki bezpieczeństwa skupia się w przełącznikach sieciowych. Do punktów końcowych sieci można wbudowywać szyfrowanie i ochronę przed kodami złośliwymi, zapewniając otwartość sieci.

Z punktu widzenia bezpieczeństwa są to rozwiązania optymalne. Jednak świat realny jest bardziej złożony - potrzebujemy bezpiecznej sieci, ale jednocześnie gwarancji dostępności i wydajności.

Obecnie urządzenia sieciowe mają wbudowywane różnorodne funkcje bezpieczeństwa. Jednakże skuteczne wykorzystanie sieciowych mechanizmów ochronnych nie jest łatwe, głównie z powodu czynników geograficznych i topologicznych - trudno jest ustanowić punkty kontrolne, z których cały ruch sieciowy może być monitorowany i kontrolowany.

Domeny zarządzania nie pokrywają się dokładnie z zakresem systemów aplikacyjnych, niemniej jednak urządzenia typu brama są wygodnymi punktami kontroli bezpieczeństwa dla centralnych baz danych. Ponadto pełne pokrycie sieci nie zawsze jest niezbędne do przeprowadzenia analizy bezpieczeństwa, ponieważ użyteczne informacje wywiadowcze można wywodzić na podstawie próbek ruchu.

Wyraźne korzyści można także uzyskać, umieszczając środki bezpieczeństwa wewnątrz sieci. Mogą wtedy dostarczyć szerszy obraz zachowań użytkowników, umożliwiając ocenę indywidualnych działań w kontekście większej społeczności. Zrozumienie kontekstu jest kluczem do efektywnej ochrony i zarządzania ryzykiem. Znaczenie i legalność działań użytkownika są zależne od kontekstu, zmieniającego się zgodnie z poziomem uwierzytelnienia użytkownika, znaczenia danych, lokalizacji źródła, używanych metod oraz pory dnia.

Jednym z największych problemów związanych z bezpieczeństwem sieci są obecnie zagrożenia wewnętrzne. Aby im przeciwdziałać, można wdrażać techniki wykrywania anomalii zachowań użytkowników. Wartościowy wywiad można uzyskać przez profilowanie łączące i eksplorujące zawartość oraz wzorce ruchu. Psychologiczne profilowanie i analiza lingwistyczna są nadal w stadium początkowym, ale oferują duży potencjał na przyszłość.

Innym problemem jest brak spójności w tworzeniu i egzekwowaniu reguł polityki. Często jest ona źle sformułowana, nieaktualna i źle komunikowana zainteresowanym. Ten ostatni problem można rozwiązać przy niewielkim wysiłku, ale egzekwowanie wymaga technologii identyfikowania, rejestrowania i blokowania niewłaściwych sposobów wykorzystywania usług. Można to osiągnąć na poziomie sieci jedynie w czasie rzeczywistym.

Bramy sieciowe są istotnym miejscem rozpoznawania zagrożeń - przy ich użyciu można obserwować wadliwe transakcje i próby ataku. Należy jednak pamiętać, że za każdym większym incydentem stoją tuziny mniejszych oraz setki większych uchybień. Mądra ochrona polega na wyciąganiu wniosków z małych zdarzeń, aby ostatecznie zapobiegać dużym. Bramy również mogą być punktem, gdzie nieautoryzowane transfery poufnej informacji będą wykrywane i blokowane. Ze względu na coraz częstsze incydenty naruszenia danych, ten obszar ochrony staje się kluczowym celem dla wielu organizacji.

Szyfrowanie można wdrażać w sieci lub w punktach końcowych. Chroni ono przekaz danych przez nieprzyjazne sieci, ale może być też barierą dla analizy zawartości. Chociaż wykorzystanie szyfrowania stale rośnie, zawsze będzie mnóstwo wyjątków, kiedy punkty końcowe i aplikacje będą musiały komunikować się jawnie.

Przyszłe systemy bezpieczeństwa mogą wymykać się wyraźnym podziałom, ale z pewnością będą bogatsze i bardziej wymyślne niż obecnie. Planowanie środowiska dla biznesu, w którym każdy jest połączony, a oczekiwania bezpieczeństwa wysokie, nie będzie więc zadaniem trywialnym.

Słabość zabezpieczeń w polskich MSP

Firma Symantec opublikowała wyniki badań dotyczące podejścia do problemu bezpieczeństwa w małych i średnich przedsiębiorstwach. Badania pokazały niezbyt optymistyczny obraz, choć brały w nich udział firmy świadome zagrożeń. Niezbyt korzystnie wypadły polskie firmy z sektora MSP - 18% respondentów przyznało, że w ciągu ostatniego roku doszło u nich do naruszenia zasad bezpieczeństwa, powodującego utratę potencjalnych przychodów (średni wynik w Europie to 8%).


TOP 200