Zasady walki z zagrożeniami
30 kwietnia 2008 09:50
NetWorld
Wirtualne serwery, strony internetowe, telefony komórkowe, PDA stają się coraz popularniejsze. Dzięki nim nasza praca jest łatwiejsza. Niestety, istnieje także druga strona medalu. Nowe technologie to nowe cele ataku! Na szczęście, w większości przedsiębiorstw z branży IT są osoby odpowiedzialne za bezpieczeństwo. Z czym przyjdzie im się zmierzyć w nadchodzącym czasie? Jak wygrać kolejne bitwy? Co zdaniem analityków będzie naszym problemem?
Istnieje wiele sposobów ataków i stale powstają nowe metody włamań. Firmowe dane, reputacja, zdolność działania może ucierpieć w wyniku wykorzystania błędów w oprogramowaniu, czy technik socjologicznych. Przedstawiamy poniżej 10 istotnych zagrożeń i problemów oraz wskazówki jak ich się ustrzec.
1. Serwery wirtualne
Wirtualizacja ma wiele zalet, z których największą jest efektywniejsze wykorzystanie sprzętu. Należy się jednak liczyć z nowymi problemami. Ruch sieciowy, który jest generowany na przykład przez dwa wirtualne serwery w obrębie jednej fizycznej maszyny, jest trudny do monitorowania. Sytuacja staje się bardziej skomplikowana, jeśli zachodzi konieczność (choćby ze względu na wzrost obciążenia) replikacji na kolejny fizyczny serwer. Dostęp do maszyn (fizycznej i wirtualnej) powinien być ściśle kontrolowany i zgodny z zasadami obowiązującymi w korporacji.
Może się zdarzyć, że standardy wewnętrzne (lub zewnętrzne) dokładnie określają, jakie serwery nie mogą się ze sobą komunikować. Jeśli mamy do czynienia z poufnymi danymi klientów, to serwer je przechowujący powinien zostać należycie odizolowany od pozostałych. W wirtualnym środowisku nie jest to proste zadanie. Rozważyć należy trzy wyjścia:
a) Kierowanie całego ruchu poza fizyczny serwer zawierający wirtualne maszyny, sprawdzenie i przesłanie z powrotem w kierunku jednego z wirtualnych serwerów.
Minus: Znaczące obciążenie operacji I/O.
b) Instalacja programowych zapór ogniowych (np. CheckPoint) na każdej z wirtualnych maszyn.
Minus: Instalacja, licencje i zarządzanie może być trudne, gdyż rozwiązania takie nie zostały stworzone z myślą o środowiskach wirtualnych.
c) Produkty dedykowane dla środowisk wirtualnych, takie jak np. Altor Networks, Reflex Security lub Stonesoft. Należy wziąć pod uwagę skalowalność, sposób licencjonowania, propagację zasad na obrazy nowych maszyn wirtualnych.
Oczywiście, należy pamiętać, aby w projektach wirtualizacji serwerów brały czynny udział osoby odpowiedzialne za konfigurację sieci firmowej. Pomogą one w tradycyjnym zabezpieczeniu nowych fizycznych maszyn.
Dekalog bezpieczeństwa wg amerykańskiej Agencji Bezpieczeństwa Narodowego
2. Ochrona warstwy nadzorcy wirtualizacji (hypervisor)
Wirtualne maszyny istniejące na jednym fizycznym serwerze są utrzymywane przez warstwę nadzorcy (hypervisor). Zdaniem Forrester Research przejęcie kontroli nad tą specjalną warstwą może skutkować pełnym dostępem do wirtualnych systemów. Analitycy uspokajają, że dotychczas nie wykryto skutecznego ataku, który bazowałby na słabościach nadzorcy. Z drugiej strony to zapewne tylko kwestia czasu. Dlatego bardzo ważne jest chronienie sprzętu przy pomocy dostępnych zapór ogniowych i systemów IPS. Należy starać się ustrzec przed wszystkimi znanymi atakami, gdyż nie istnieje rozwiązanie ochronne dedykowane dla warstwy nadzorcy.
Przy wyborze platformy wirtualizacji można kierować się logiką, która mówi, że proste i zawierające mniej kodu oprogramowanie jest trudniejsze do naruszenia, gdyż zazwyczaj zawiera mniej luk i słabych punktów. Idąc tym tropem najbezpieczniejsze wydają się rozwiązania osadzone, które są dostarczane wraz ze sprzętem (embedded hypervisors).
3. Sieci botów - "botnety"
Botnety - sieć setek, tysięcy a nawet milionów maszyn posłusznie wykonująca zdalnie wydawane polecenia. Jest to broń, która użyta z premedytacją może praktycznie zniszczyć cel (sieć, serwer, www). Złośliwe oprogramowanie z tej kategorii stale ewoluuje. Jest coraz trudniej wykrywalne na komputerach zombie (pojedynczy kontrolowany komputer). Istnieją także przypadki, które są zdolne do mutacji lub przeistoczenia opanowanego serwera w kolejne centrum sterowania.
Atak komputerów zainfekowanych złośliwym oprogramowaniem może sparaliżować sieć firmową (typ napaści DoS - Denial of Service). Według Gartnera dobrą metodą obrony jest właściwa umowa z dostawcą usług. Zazwyczaj ma on lepsze możliwości rozpoznania ruchu przychodzącego, który wskazuje na atak botów. Wówczas ISP może zablokować pakiety zanim dotrą one do korporacyjnej sieci.
Oczywiście, użytkownicy także nie powinny pozostawać bezczynni i bezbronni. Atak może nastąpić z wewnątrz organizacji! Dlatego konieczne jest należyte zabezpieczanie stacji końcowych (oprogramowanie antywirusowe, osobista zapora itp.).
4. Ataki wymierzone w konkretne organizacje/serwery
Z badań Gartnera wynika, że ten typ zagrożeń może być jednym z najgroźniejszych. Ataki są bowiem planowane i projektowane z myślą o danej firmie lub jej pracownikach. Często celem jest pozyskanie wartościowych informacji. Użyte metody mogą być miksturą ataku botów, phishingu, wykorzystania błędów w przeglądarkach www. Najczęściej wymagana jest jednak akcja ze strony użytkownika. Może to być na przykład kliknięcie w odpowiednio spreparowany adres URL, który jest niczym innym jak zapalnikiem.
Powody napaści są różne. Najczęściej jest to chęć kradzieży danych ze względu na ich wartość rynkową (dane personalne), szpiegostwo przemysłowe (poufne materiały firmowe). Zdarzają się ataki, które mają zademonstrować jak słaba jest infrastruktura i ją unieruchomić. Napastnicy mogą szantażować ofiarę i żądać okupu w zamian za odstąpienie od dalszego atakowania. Takie postępowanie mogliśmy zobaczyć w najnowszej części Szklanej Pułapki.
Trzy wskazówki, których nie można lekceważyć to:
a) Ochrona przed wrogiem wewnętrznym. Dział zasobów ludzkich powinien monitorować niezadowolonych pracowników, gdyż mogą oni współpracować z atakującymi lub nawet sami działać przeciw przedsiębiorstwu.
b) Ochrona przed atakami DoS dzięki umowie z ISP.
c) Edukacja pracowników! To jedyna skuteczna metoda walki z atakami socjotechnicznymi.
5. Wirtualne światy = prawdziwe zagrożenia
Ed Skoudis, konsultant ds. bezpieczeństwa w Inteleguardians, twierdzi, że nawet w grach sieciowych można umieszczać złośliwe oprogramowanie. Kod zostaje uruchomiony, gdy wizerunek "złego" gracza pokaże się na komputerze ofiary. Dalsza forma ataku przypomina klasyczne zarażenie robakiem i przemianę w komputer zombie.
Skoudis twierdzi, że niebezpieczeństwo jest całkowicie realne i będzie szybko rosło. Zagrożenie może być poważne, jeśli weźmiemy pod uwagę istniejące wirtualne rynki (jak na przykład Second Life), na których przeprowadza się różnego rodzaju transakcje mające odzwierciedlenie w rzeczywistym świecie.
6. Przeglądarka internetowa pozostaje słabym punktem systemu operacyjnego
Strony internetowe, które są podatne na ataki, mogą posłużyć do dystrybucji złośliwego oprogramowania. Wystarczy wówczas, że ofiara odwiedzi zainfekowaną stronę. Zarażona maszyna to niebezpieczeństwo dla całej sieci, do której jest ona podłączona. Atakujący może uzyskać w ten sposób dostęp nie tylko do historii przeglądanych stron czy dysku twardego komputera. Robak może pozwolić nawet na rozpięcie tunelu VPN, który ominie korporacyjne zapory ogniowe i stworzy możliwość dalszej penetracji.
Odpowiedź:
a) Regularne uaktualnianie systemu operacyjnego i oprogramowania antywirusowego.
b) Systemy IDS/IPS
...i oczywiście lepsza edukacja pracowników.
7. Telefon komórkowy, czy komputer z funkcją telefonu
Błędy w oprogramowaniu telefonów i urządzeń przenośnych mogą umożliwić przejęcie nad nimi kontroli. Użytkownicy coraz częściej wykorzystują je do przeglądania Internetu. W związku z tym zagrożeniem jest odpowiednio spreparowana (lub zainfekowana) strona.
Nie ma znaczenia, czy jest to telefon, czy komputer stacjonarny. Przeglądarki to potencjalna furtka dla atakującego. Zamknąć ją można w podobny sposób jak opisany powyżej.
8. Nieuczciwy znalazca
Personalizacja urządzeń przenośnych, dostosowywanie profilu do właściciela ma nie tylko plusy. Utrata sprzętu (w wyniku kradzieży lub zguby) może oznaczać, że nasze poufne dane dostaną się w niepowołane ręce. Szczególnie jest to istotne w środowisku korporacyjnym, ze względu chociażby na informacje potrzebne do synchronizacji poczty.
Wyjściem jest szyfrowanie, blokada lub zdalne skasowanie danych w przypadku kradzieży. Odpowiednie oprogramowanie powinno zostać zainstalowane na przenośnym urządzeniu.
9. Źle zabezpieczone aplikacje
Nie wszystkie aplikacje są odpowiednio testowane. Część oprogramowania zawiera luki lub błędy, które mogą zostać wykorzystane w celu uzyskania dostępu do firmowej sieci. Oczywiście, w dzisiejszych czasach świadomość niebezpieczeństw jest lepsza. Niemniej jednak, nadal istnieją programy i rozwiązania, które zostały stworzone z myślą o działaniu w zamkniętej sieci i nie weryfikowano należycie ich zabezpieczeń. Przykładem mogą być aplikacje używane w fabrykach (do kontroli zachodzących procesów) lub rozwiązanie wewnątrz firmowe ściśle związane z prowadzonym biznesem.
O zabezpieczeniach należy pamiętać już na etapie projektowania aplikacji. Analitycy zalecają używanie otwartych platform lub rozwiązań, gdyż w ich przygotowanie zaangażowanych jest więcej osób, które mogą udoskonalić dany program lub protokół.
Naturalnie, należy mieć na uwadze badanie jakości kodu i testowanie przed wprowadzeniem do środowiska produkcyjnego. Pomocne mogą być produkty takich firm, jak IBM, White Hat Security, SPI Dynamics i innych, które umożliwiają dokładane zbadanie aplikacji i jej podatności na ataki zanim zostanie ona wdrożona.
10. Brak rewizji zagrożeń
Nie wolno stracić "wroga" z pola widzenia. Skupienie się jedynie na inwestowaniu w zabezpieczenia i ich uaktualnianiu może po pewnym czasie stać się poważnym problemem. Jeśli nie będziemy śledzić potencjalnych zagrożeń, to może się okazać, że nasz system, na który wydaliśmy olbrzymie kwoty, nie jest w stanie ochronić nas przed najnowszymi niebezpieczeństwami. Rozwiązanie, które było najlepsze dwa lata temu, wcale nie musi być odpowiednie dzisiaj. Być może to, co nam zagraża wymaga podjęcia zupełnie nowych kroków i zakupów. Dlatego należy regularnie weryfikować posiadane zabezpieczenia i sprawdzać, czy nie "zardzewiały".
Musimy pamiętać, do czego służy dane rozwiązanie i jakie ma możliwości. Zapora ogniowa nie jest lekarstwem na wszystkie zagrożenia z zewnątrz. Firewall może jedynie stwierdzić, kto jest źródłem i przeznaczeniem ruchu. Nie jest w stanie zinterpretować informacji zawartych w pakietach. W tym celu konieczne jest wykorzystanie innych produktów (IDS, IPS...).
Luki w oprogramowaniu i nowe wirusy są wykrywane każdego dnia. Pamiętajmy, że najważniejsza jest świadomość zagrożeń. Informacje o nich można znaleźć m.in. na stronach zaprezentowanych w materiale "Światowe poradniki bezpieczeństwa".
***
Opracował Marcin Suszkiewicz na podstawie materiałów Tim Greene (NetworkWorld, USA).
wydrukuj
wyślij do znajomego