Mit Programmen wie WinNuke, Papa Smurf und Teardrop können Angreifer Ihren Computer angreifen und Ihnen Schaden zufügen. Laut einer Umfrage des Computer Security Institute/FBI zu Computerkriminalität aus dem Jahr 1999 gaben 57 Prozent der befragten Organisationen an, dass sie ihre Netzwerkverbindungen zum Internet als „häufigen Ort für Angriffe“ betrachten. 30 Prozent der Befragten gaben an, dass ihre Netzwerke infiltriert worden seien, und 26 Prozent gaben an, dass Angriffe zum Diebstahl vertraulicher Informationen geführt hätten. Das Bundeszentrum zur Bekämpfung von Computerkriminalität in den Vereinigten Staaten (FedCIRC) berichtete, dass im Jahr 1998 etwa 130.000 Regierungsnetzwerke mit 1.100.000 Computern angegriffen wurden. Einstufung Computerangriffe Wenn wir „Computerangriff“ sagen, meinen wir, dass Menschen Programme starten, um sich unbefugten Zugriff auf einen Computer zu verschaffen. Die Organisationsformen von Angriffen sind sehr vielfältig, im Allgemeinen gehören sie jedoch alle zu einer der folgenden Kategorien: Eindringen in einen Remote-Computer: Programme, die sich über das Internet (oder ein lokales Netzwerk) unbefugten Zugriff auf einen anderen Computer verschaffen. Eindringen in den lokalen Computer: Programme, die sich unbefugten Zugriff auf den Computer verschaffen, auf dem sie ausgeführt werden. Blockierung von Remote-Computern: Programme, die über das Internet (oder Netzwerk) den Betrieb eines gesamten Remote-Computers blockieren separates Programm darauf (um die Funktionalität wiederherzustellen, muss der Computer meistens neu gestartet werden) Blockierung lokaler Computer: Programme, die den Computer blockieren, auf dem sie ausgeführt werden Netzwerkscanner: Programme, die Informationen über ein Netzwerk sammeln, um festzustellen, welche Computer und die darauf ausgeführten Programme potenziell anfällig für Angriffe sind. Scanner auf Programmschwachstellen: Programme werden überprüft große Gruppen Computer im Internet in auf der Suche nach Computern, anfällig für die eine oder andere spezifische Art von Angriff. Passwort-Cracker: Programme, die leicht zu erratende Passwörter in verschlüsselten Passwortdateien erkennen. Computer können Passwörter inzwischen so schnell erraten, dass scheinbar komplexe Passwörter erraten werden können. Netzwerkanalysatoren (Sniffer): Programme, die den Netzwerkverkehr abhören. Sie verfügen häufig über die Möglichkeit, Benutzernamen, Passwörter und Kreditkartennummern automatisch aus dem Datenverkehr zu extrahieren. So schützen Sie sich vor den meisten Computerangriffen Der Schutz Ihres Netzwerks vor Computerangriffen ist eine ständige und nicht triviale Aufgabe; sondern eine Zahl einfache Mittel Der Schutz kann die meisten Versuche, in das Netzwerk einzudringen, stoppen. Beispielsweise können eine gut konfigurierte Firewall und eine auf allen Arbeitsplätzen installierte Antivirensoftware die meisten Computerangriffe unmöglich machen. Im Folgenden beschreiben wir kurz 14 verschiedene Sicherheitsmaßnahmen, die bei Implementierung zum Schutz Ihres Netzwerks beitragen. Online-Patching von Programmen (Patching) Unternehmen veröffentlichen häufig Programmpatches, um die nachteiligen Auswirkungen von darin enthaltenen Fehlern zu beseitigen. Wenn Sie die Programme nicht reparieren, kann ein Angreifer diese Fehler später ausnutzen und in Ihren Computer eindringen. Systemadministratoren müssen ihre kritischsten Systeme schützen, indem sie Programme umgehend darauf installieren. Es ist jedoch schwierig, Programme auf allen Hosts in einem Netzwerk zu patchen, da Patches möglicherweise häufig erscheinen. In diesem Fall ist es erforderlich, Korrekturen an den Programmen auf den wichtigsten Hosts vorzunehmen und darüber hinaus weitere nachfolgend beschriebene Sicherheitsmaßnahmen auf diesen zu installieren. Generell sollten Patches NUR von Softwareherstellern bezogen werden. Viren und Trojanische Pferde erkennen Gute Antivirenprogramme sind ein unverzichtbares Werkzeug, um die Sicherheit in jedem Netzwerk zu erhöhen. Sie überwachen den Betrieb von Computern und erkennen darauf befindliche Schadsoftware. Das einzige Problem bei ihnen besteht darin, dass sie für maximale Wirksamkeit auf allen Computern im Netzwerk installiert werden müssen. Die Installation von Antivirenprogrammen auf allen Computern und die regelmäßige Aktualisierung der darin enthaltenen Antivirendatenbanken kann ziemlich viel Zeit in Anspruch nehmen – andernfalls ist dieses Tool jedoch nicht effektiv. Den Benutzern sollte beigebracht werden, wie sie diese Aktualisierungen selbst durchführen können, sie sollten sich jedoch nicht ausschließlich darauf verlassen. Zusätzlich zum Üblichen Antivirus Programm Auf jedem Computer empfehlen wir Unternehmen, Anwendungen zu scannen E-Mails auf dem Mailserver. Auf diese Weise können die meisten Viren erkannt werden, bevor sie die Computer der Benutzer erreichen. Firewalls Firewalls sind das wichtigste Mittel zum Schutz des Netzwerks eines Unternehmens. Sie steuern den Netzwerkverkehr, der in das Netzwerk eindringt und es verlässt. Eine Firewall kann bestimmte Arten von Datenverkehr daran hindern, in das Netzwerk einzudringen, oder bestimmte Überprüfungen bei anderen Arten von Datenverkehr durchführen. Eine gut konfigurierte Firewall kann die meisten bekannten Computerangriffe stoppen. Passwort-Cracker Hacker nutzen häufig wenig bekannte Schwachstellen in Computern aus, um verschlüsselte Passwortdateien zu stehlen. Anschließend verwenden sie spezielle Programme zum Knacken von Passwörtern, die schwache Passwörter in diesen verschlüsselten Dateien erkennen können. Sobald ein schwaches Passwort entdeckt wird, kann sich ein Angreifer als normaler Benutzer bei Ihrem Computer anmelden und verschiedene Techniken anwenden, um vollständigen Zugriff auf Ihren Computer und Ihr Netzwerk zu erhalten. Obwohl dieses Tool von Angreifern verwendet wird, ist es auch für Systemadministratoren nützlich. Sie sollten diese Programme regelmäßig auf ihren verschlüsselten Passwortdateien ausführen, um schwache Passwörter rechtzeitig zu erkennen. Verschlüsselungsangreifer dringen oft in Netzwerke ein, indem sie den Netzwerkverkehr an sensiblen Orten abhören und daraus Benutzernamen und Passwörter extrahieren. Daher werden Verbindungen zu Remote-Maschinen durch geschützt mit einem Passwort, muss verschlüsselt sein. Dies ist besonders wichtig, wenn die Verbindung über das Internet oder zu einem wichtigen Server erfolgt. Es gibt eine Reihe kommerzieller und kostenlose Programme zur Verschlüsselung des TCP/IP-Verkehrs (am bekanntesten ist SSH). Schwachstellenscanner Hierbei handelt es sich um Programme, die das Netzwerk nach Computern durchsuchen, die für bestimmte Arten von Angriffen anfällig sind. Scanner verfügen über eine große Datenbank mit Schwachstellen, die sie verwenden, wenn sie einen bestimmten Computer auf Schwachstellen überprüfen. Es stehen sowohl kommerzielle als auch kostenlose Scanner zur Verfügung. Konfigurieren Sie Computer ordnungsgemäß für die Sicherheit. Computer mit neu installierten Betriebssystemen sind häufig anfällig für Angriffe. Der Grund dafür ist, dass die Erstinstallation eines Betriebssystems normalerweise alle Netzwerkfunktionen zulässt, oft jedoch auf unsichere Weise. Dadurch stehen dem Angreifer viele Methoden zur Verfügung, um einen Angriff auf die Maschine zu starten. Alle unnötigen Netzwerktools sollten deaktiviert werden. War-Dialer-Benutzer umgehen häufig die Sicherheit des Unternehmensnetzwerks, indem sie ihren Computern erlauben, eingehende Telefonanrufe zu empfangen. Vor dem Verlassen der Arbeit schaltet der Benutzer das Modem ein und konfiguriert die Programme auf dem Computer entsprechend. Anschließend kann er von zu Hause aus über das Modem telefonieren und das Firmennetzwerk nutzen. Angreifer können Combat-Dialer-Programme verwenden, um große Mengen anzurufen Telefonnummern auf der Suche nach Computern, die eingehende Anrufe verarbeiten. Da Benutzer ihre Computer in der Regel selbst konfigurieren, sind sie häufig schlecht geschützt und bieten einem Angreifer eine weitere Gelegenheit, einen Angriff auf das Netzwerk zu starten. Systemadministratoren sollten regelmäßig Kampfdialer verwenden, um die Telefonnummern ihrer Benutzer zu überprüfen und auf diese Weise konfigurierte Computer zu erkennen. Es stehen sowohl kommerzielle als auch frei verfügbare Kampfdialer zur Verfügung. Sicherheitshinweise Sicherheitshinweise sind Warnungen, die von Computerkriminalitätsteams und Softwareanbietern vor neu entdeckten Schwachstellen veröffentlicht werden. Die Hinweise decken in der Regel die schwerwiegendsten Bedrohungen ab, die von diesen Schwachstellen ausgehen, und sind daher schnell zu lesen, aber sehr nützlich. Sie beschreiben die Bedrohung im Allgemeinen und geben ziemlich konkrete Ratschläge dazu, was getan werden muss, um diese Schwachstelle zu beseitigen. Sie können sie an vielen Stellen finden, aber zwei der nützlichsten sind diejenigen, die vom Computer Crime Team veröffentlicht wurdenCIACUndZERTIFIZIERT Intrusion Detection Intrusion Detection-Systeme erkennen Computerangriffe schnell. Sie können hinter einer Firewall installiert werden, um Angriffe aus dem Netzwerk zu erkennen. Oder sie werden vor der Firewall installiert, um Angriffe auf die Firewall zu erkennen. Werkzeuge dieser Art können über unterschiedliche Fähigkeiten verfügen. VerfügbarArtikel über deren Verwendung und Arten von Angriffserkennungssystemen Tools zur Netzwerktopologie-Erkennung und Port-Scanner. Mit diesen Programmen können Sie sich einen vollständigen Überblick über die Struktur Ihres Netzwerks und die darauf arbeitenden Computer verschaffen und alle Dienste identifizieren, die auf jedem Computer ausgeführt werden. Angreifer nutzen diese Tools, um anfällige Computer und darauf befindliche Programme zu identifizieren. Systemadministratoren sollten diese Tools verwenden, um zu überwachen, welche Programme auf welchen Computern in ihrem Netzwerk ausgeführt werden. Mit ihrer Hilfe können Sie falsch konfigurierte Programme auf Computern erkennen und Korrekturen darauf installieren. Team zur Untersuchung von Sicherheitsvorfällen In jedem Netzwerk, egal wie sicher es ist, kommt es zu Sicherheitsereignissen (vielleicht sogar zu Fehlalarmen). Mitarbeiter der Organisation müssen im Voraus wissen, was im Einzelfall zu tun ist. Es ist wichtig, dies im Voraus zu bestimmen die folgenden Punkte- wann Sie die Strafverfolgungsbehörden anrufen sollten, wann Sie die Computerkriminalitätseinheit rufen sollten, wann Sie Ihr Netzwerk vom Internet trennen sollten und was zu tun ist, wenn ein wichtiger Server kompromittiert wird.ZERTIFIZIERTBietet allgemeine Beratung innerhalb der Vereinigten Staaten. FedCIRC ist für die Beratung ziviler Regierungsbehörden in den Vereinigten Staaten verantwortlich. Sicherheitsrichtlinien Ein Netzwerksicherheitssystem ist nur so stark wie sein schwächster Punkt. Wenn es innerhalb derselben Organisation mehrere Netzwerke mit unterschiedlichen Sicherheitsrichtlinien gibt, kann es sein, dass ein Netzwerk aufgrund mangelnder Sicherheit in einem anderen Netzwerk gefährdet ist. Organisationen sollten eine Sicherheitsrichtlinie verfassen, die das erwartete Schutzniveau definiert, das durchgehend konsequent umgesetzt werden muss. Der wichtigste Aspekt der Richtlinie besteht darin, einheitliche Anforderungen dafür festzulegen, welcher Datenverkehr die Firewalls des Netzwerks passieren soll. Die Richtlinie sollte auch festlegen, wie und welche Sicherheitsmaßnahmen (z. B. Tools zur Angriffserkennung oder Schwachstellenscanner) im Netzwerk verwendet werden sollen. Um ein einheitliches Sicherheitsniveau zu erreichen, sollte die Richtlinie standardmäßige sichere Konfigurationen für verschiedene Computertypen definieren. Testen von Firewalls und WWW-Servern auf Widerstandsfähigkeit gegen Blockierungsversuche. Angriffe zur Blockierung eines Computers kommen im Internet häufig vor. Angreifer bringen ständig WWW-Seiten zum Absturz, überlasten Computer oder überfluten Netzwerke mit bedeutungslosen Paketen. Diese Art von Angriff kann sehr schwerwiegend sein, insbesondere wenn der Angreifer so clever ist, dass er einen anhaltenden Angriff startet, der nicht auf seinen Ursprung zurückgeführt werden kann. Sicherheitsbewusste Netzwerke können Angriffe gegen sich selbst starten, um herauszufinden, wie viel Schaden ihnen zugefügt werden kann. Wir empfehlen, diese Art der Schwachstellenanalyse nur von erfahrenen Personen durchführen zu lassen Systemadministratoren oder spezielle Berater.
Im November 2000 berichteten einige Nachrichtenagenturen, insbesondere Lenta.ru, dass Angreifer sich unbefugten Zugriff auf das Computernetzwerk von Gazprom verschafft und vorübergehend die volle Kontrolle über die Gasflüsse erlangt hatten. IN Computernetzwerke Gazprom führte 24 Programme namens „Trojanische Pferde“ ein, durch die relevante Daten für den Erfolg genutzt werden konnten Hackerangriff. Dadurch wurde der zentrale Kontrollpunkt für die Gasströme vorübergehend von externen Nutzern kontrolliert. Ob tatsächlich ein Schaden entstanden ist, lässt sich aus dem offiziellen Bericht nicht sagen, man kann aber davon ausgehen, dass es ohne ihn wohl kaum zu einem Schaden gekommen wäre. Schließlich ist der zentrale Kontrollpunkt das Hauptinformationszentrum, von dem aus Sie nicht nur die Gasströme steuern, sondern auch in riesige Banken und Datenbanken eintauchen können; und Sie können die Daten auch ändern.
Es gibt noch keine genaue Definition des Begriffs „Angriff“ (Invasion, Angriff). Jeder Sicherheitsspezialist interpretiert es anders. Beispiel: „Ein Einbruch ist jede Aktion, die ein System von einem sicheren Zustand in einen gefährlichen Zustand versetzt.“ Dieser Begriff lässt sich auch wie folgt erklären: „Ein Eindringen ist jeder Verstoß gegen eine Sicherheitsrichtlinie“ oder „jede Handlung, die zu einer Verletzung der Integrität, Vertraulichkeit und Verfügbarkeit eines Systems und der darin verarbeiteten Informationen führt.“ Die folgende Interpretation erscheint jedoch korrekter und steht in engem Zusammenhang mit dem Begriff „Schwachstelle“, der im Artikel über Sicherheitsanalysesysteme verwendet und in der letzten Ausgabe des Network Magazine veröffentlicht wurde. Ein Angriff (Angriff, Einbruch) auf ein Informationssystem ist eine Aktion oder eine Folge miteinander verbundener Aktionen eines Eindringlings, die zur Umsetzung einer Bedrohung durch Ausnutzung der Schwachstellen dieses Informationssystems führt. Mit anderen Worten: Wenn es gelingt, die Schwachstellen von Informationssystemen zu beseitigen, dann wäre auch die Möglichkeit, Angriffe durchzuführen, ausgeschlossen.
Bisher ist nicht bekannt, wie viele Angriffsmethoden es gibt. Dies liegt vor allem daran, dass es auf diesem Gebiet noch keine ernsthafte mathematische Forschung gibt. Zu den verwandten Studien gehört das 1996 von Fred Cohen verfasste Werk, das die mathematischen Grundlagen der Virustechnologie beschreibt. Als eines der Ergebnisse dieser Arbeit wird der Beweis für die Unendlichkeit der Anzahl von Viren erbracht. Das Gleiche gilt für Angriffe, da Viren eine Untergruppe von Angriffen darstellen.
Angriffsmodelle
Das traditionelle Angriffsmodell basiert auf dem „Eins-zu-Eins“- (Abb. 1.) oder „Eins-zu-Viele“-Prinzip (Abb. 2.), d. h. der Angriff kommt von einer einzigen Quelle. Entwickler von Netzwerksicherheitstools (Firewalls, Angriffserkennungssysteme usw.) konzentrieren sich speziell auf das traditionelle Angriffsmodell. An verschiedenen Stellen des geschützten Netzwerks sind Agenten (Sensoren) des Schutzsystems installiert, die Informationen an die zentrale Managementkonsole übermitteln. Dies erleichtert die Skalierung des Systems und vereinfacht es Fernbedienung usw. Ein solches Modell kann jedoch einer relativ kürzlich (1998) entdeckten Bedrohung – verteilten Angriffen – nicht gerecht werden.
Das verteilte oder koordinierte Angriffsmodell verwendet unterschiedliche Prinzipien. Im Gegensatz zum herkömmlichen Eins-zu-Eins- und Eins-zu-Viele-Modell verwendet das verteilte Modell das Viele-zu-eins- und das Viele-zu-viele-Prinzip (Abbildungen 3 bzw. 4).
Verteilte Angriffe basieren auf den „klassischen“ Denial-of-Service-Angriffen, die im Folgenden besprochen werden, und genauer auf einer Untergruppe davon, die als Flood- oder Storm-Angriffe bekannt sind (diese Begriffe können mit „Sturm“, „Flut“ oder „Flut“ übersetzt werden). "). Lawine"). Der Zweck dieser Angriffe besteht darin, eine große Anzahl von Paketen an einen bestimmten Knoten oder ein Netzwerksegment (das Ziel des Angriffs) zu senden, was zur Deaktivierung dieses Knotens oder Segments führen kann, da er in einer Lawine gesendeter Pakete erstickt und kann keine Anfragen von autorisierten Benutzern bearbeiten. Die Angriffe SYN-Flood, Smurf, UDP Flood, Targa3 usw. funktionieren nach diesem Prinzip. Allerdings wird die Kanalkapazität zum Angriffsziel überschritten Durchsatz Wenn der Angreifer oder der Zielknoten falsch konfiguriert ist, wird ein solcher Angriff keinen „Erfolg“ erzielen. Nehmen wir an, dass es mit Hilfe dieser Angriffe sinnlos ist, die Funktionalität Ihres Anbieters zu beeinträchtigen. Bei einem verteilten Angriff ändert sich die Situation radikal. Der Angriff erfolgt nicht mehr von einem Punkt im Internet, sondern von mehreren gleichzeitig, was zu einem starken Anstieg des Datenverkehrs führt und den angegriffenen Knoten lahmlegt. Laut Rossiya-Online war beispielsweise der größte Internetprovider Armeniens, Arminco, am 28. Dezember 2000 ab 9 Uhr zwei Tage lang einem verteilten Angriff ausgesetzt. In diesem Fall mehr als 50 Maschinen aus verschiedene Länder der bedeutungslose Nachrichten an die Arminko-Adresse geschickt hat. Wer diesen Angriff organisierte und in welchem Land sich der Hacker befand, konnte nicht ermittelt werden. Obwohl hauptsächlich Arminco angegriffen wurde, war die gesamte Autobahn, die Armenien mit dem World Wide Web verbindet, überlastet. Am 30. Dezember konnte die Verbindung dank der Zusammenarbeit von Arminco und einem anderen Anbieter, ArmenTel, vollständig wiederhergestellt werden. Der Computerangriff ging jedoch weiter, allerdings mit geringerer Intensität.
Phasen der Angriffsumsetzung
Die folgenden Phasen der Angriffsdurchführung können unterschieden werden: vorbereitende Maßnahmen bzw. Informationsbeschaffung, Durchführung des Angriffs (Exploitation) und Abschluss des Angriffs. Wenn sie von einem Angriff sprechen, meinen sie normalerweise die zweite Phase und vergessen die erste und letzte. Das Sammeln von Informationen und der Abschluss eines Angriffs („Spuren verwischen“) wiederum können ebenfalls einen Angriff darstellen und in drei Phasen unterteilt werden (Abb. 5).
Die Hauptphase ist das Sammeln von Informationen. Die Effizienz des Angreifers in dieser Phase ist der Schlüssel zum „Erfolg“ des Angriffs. Zunächst wird das Angriffsziel ausgewählt und Informationen darüber gesammelt (Typ und Version des Betriebssystems, offene Ports und Ausführen von Netzwerkdiensten, installierten Systemen und Anwendungen Software und seine Konfiguration usw.). Anschließend werden die angreifbarsten Stellen des angegriffenen Systems identifiziert, deren Auswirkungen zum gewünschten Ergebnis für den Angreifer führen.
| Gegen viele Angriffe sind Firewalls wirkungslos. |
In der ersten Phase versucht der Angreifer, alle Interaktionskanäle zwischen dem Angriffsziel und anderen Knoten zu identifizieren. Auf diese Weise können Sie nicht nur die Art des umzusetzenden Angriffs auswählen, sondern auch die Quelle seiner Umsetzung. Beispielsweise interagiert der angegriffene Knoten mit zwei Servern, auf denen Unix und Windows NT ausgeführt werden. Der angegriffene Knoten hat eine „Vertrauensbeziehung“ zu einem Server, nicht jedoch zu dem anderen. Der Server, über den der Angreifer den Angriff umsetzt, bestimmt, welcher Angriff verwendet wird, welche Umsetzungsmittel gewählt werden usw. Anschließend wird abhängig von den erhaltenen Informationen und den verfolgten Zielen der Angriff ausgewählt, der die größte Wirkung erzielt. Um beispielsweise die Funktion eines Knotens zu stören, können Sie SYN Flood, Teardrop, UDP Bomb usw. verwenden, und um in einen Knoten einzudringen und Informationen zu stehlen, können Sie ein PHF-CGI-Skript verwenden, um eine Passwortdatei zu stehlen und das Passwort aus der Ferne zu erraten usw. Dann kommt die zweite Stufe – die Umsetzung des ausgewählten Angriffs.
Auf der zweiten Stufe kommen herkömmliche Sicherheitsmaßnahmen wie Firewalls oder Filtermechanismen in Routern ins Spiel, während die erste und dritte Stufe völlig „vergessen“ werden. Dies führt dazu, dass der Angriff selbst mit leistungsstarken und teuren Abwehrmaßnahmen oft nur sehr schwer zu stoppen ist. Ein Beispiel hierfür sind verteilte Angriffe. Es wäre logisch, dass Schutzmaßnahmen bereits in der ersten Phase wirken, d. h. verhindern, dass Informationen über das angegriffene System gesammelt werden, was die Aktionen eines Angreifers erheblich erschweren könnte. Mit herkömmlichen Mitteln ist es auch nicht möglich, bereits begangene Angriffe zu erkennen und den Schaden nach deren Durchführung einzuschätzen (dritte Stufe) und somit Maßnahmen zur Verhinderung ähnlicher Angriffe in der Zukunft festzulegen.
Je nach gewünschtem Ergebnis konzentriert sich der Täter auf die eine oder andere Phase. Beim Denial-of-Service wird beispielsweise zunächst das angegriffene Netzwerk im Detail analysiert und darin nach Lücken und Schwachstellen gesucht, um diese anzugreifen und Netzwerkknoten lahmzulegen. Um Informationen zu stehlen, konzentriert sich der Angreifer darauf, heimlich in die analysierten Knoten einzudringen und dabei zuvor entdeckte Schwachstellen auszunutzen.
Betrachten wir die wichtigsten Mechanismen zur Durchführung von Angriffen. Dies ist notwendig, um zu verstehen, wie diese Angriffe erkannt werden können. Darüber hinaus ist das Verständnis der Vorgehensweise von Angreifern der Schlüssel zur erfolgreichen Verteidigung Ihres Netzwerks.
Sammlung von Informationen
Der erste Schritt bei der Umsetzung von Angriffen besteht darin, Informationen über das angegriffene System oder den angegriffenen Knoten zu sammeln, d. h. die Netzwerktopologie, den Typ und die Version des Betriebssystems des angegriffenen Knotens sowie verfügbare Netzwerk- und andere Dienste usw. zu bestimmen. Diese Aktionen werden umgesetzt durch verschiedene Methoden.
Studieren der Umwelt. In dieser Phase erkundet der Angreifer Netzwerk Das beabsichtigte Ziel des Angriffs sind beispielsweise die Hosts des Internetproviders des angegriffenen Unternehmens oder die Hosts dessen Remote-Büro. Ein Angreifer versucht möglicherweise, die Adressen „vertrauenswürdiger“ Systeme (z. B. das Netzwerk eines Partners) und Knoten zu ermitteln, die direkt mit dem Angriffsziel (z. B. einem ISP-Router) usw. verbunden sind. Solche Aktionen sind aus diesem Grund schwer zu erkennen Sie werden über einen längeren Zeitraum und außerhalb des durch Sicherheitsmaßnahmen (Firewalls, Einbruchmeldesysteme usw.) kontrollierten Bereichs durchgeführt.
Identifizierung der Netzwerktopologie. Angreifer nutzen zwei Methoden zur Erkennung der Netzwerktopologie: TTL-Modulation und Record Route. Die Traceroute-Programme für Unix und Tracert für Windows verwenden die erste Methode zur Ermittlung der Netzwerktopologie. Dazu verwenden sie das Feld „Time to Live“ im IP-Paket-Header, das je nach Anzahl der Router variiert, die das Netzwerkpaket durchlaufen hat. Das Dienstprogramm Ping eignet sich zum Aufzeichnen der Route eines ICMP-Pakets. Oft lässt sich die Netzwerktopologie mit bestimmen SNMP-Protokoll auf vielen installiert Netzwerkgeräte Ah, dessen Sicherheit falsch konfiguriert ist. Mithilfe des RIP-Protokolls können Sie versuchen, Informationen über die Routing-Tabelle im Netzwerk usw. zu erhalten.
| Die Vielfalt der Angriffe ist grenzenlos. |
Viele dieser Methoden werden von modernen Verwaltungssystemen (z. B. HP OpenView, Cabletron SPECTRUM, MS Visio usw.) zum Erstellen von Netzwerkkarten verwendet. Und dieselben Methoden können von Angreifern erfolgreich eingesetzt werden, um eine Karte des angegriffenen Netzwerks zu erstellen.
Knotenidentifikation. Die Hosterkennung erfolgt normalerweise durch Senden des ICMP-Befehls ECHO_REQUEST mithilfe des Ping-Dienstprogramms. Die ECHO_REPLY-Antwortnachricht zeigt an, dass auf den Knoten zugegriffen werden kann. Es gibt frei verfügbare Programme, die den Prozess der parallelen Identifizierung einer großen Anzahl von Knoten automatisieren und beschleunigen, beispielsweise fping oder nmap. Gefahr diese Methode ist das Standardmittel Host-ECHO_REQUEST-Anfragen werden nicht aufgezeichnet. Dafür sind Traffic-Analysetools, Firewalls oder Angriffserkennungssysteme erforderlich.
Dies ist die einfachste Methode zur Knotenidentifizierung, weist jedoch eine Reihe von Nachteilen auf. Erstens blockieren viele Netzwerkgeräte und -programme ICMP-Pakete und lassen sie nicht in das interne Netzwerk gelangen (oder lassen sie umgekehrt nicht nach außen gelangen). Beispielsweise lässt MS Proxy Server 2.0 nicht zu, dass Pakete das ICMP-Protokoll passieren. Dadurch erhält man kein vollständiges Bild. Andererseits informiert das Blockieren eines ICMP-Pakets den Angreifer über das Vorhandensein einer „ersten Verteidigungslinie“ – Router, Firewalls usw. Zweitens erleichtert die Verwendung von ICMP-Anfragen die Erkennung ihrer Quelle, was natürlich Der Angreifer hat kein Interesse.
Es gibt eine andere Methode zur Identifizierung von Netzwerkknoten – den „gemischten“ („promiskuitiven“) Modus Netzwerkkarte, mit dem Sie die verschiedenen Knoten in einem Netzwerksegment identifizieren können. Sie ist jedoch nicht anwendbar, wenn der Verkehr eines Netzwerksegments für einen Angreifer von seinem eigenen Knoten aus nicht zugänglich ist, d. h. diese Methode ist nur für lokale Netzwerke geeignet. Eine weitere Möglichkeit, Netzwerkknoten zu identifizieren, ist die sogenannte DNS-Reconnaissance, die es ermöglicht, Unternehmensnetzwerkknoten durch Kontaktaufnahme mit dem Name-Service-Server zu identifizieren.
Dienstidentifikation und Port-Scanning. Die Identifizierung von Diensten (Service Detection) erfolgt in der Regel durch die Erkennung offener Ports (Port-Scanning). Solche Ports sind sehr oft mit Diensten verbunden, die auf den Protokollen TCP oder UDP basieren. Offener Port 80 impliziert beispielsweise das Vorhandensein eines Webservers, Port 25 – ein SMTP-Mailserver, 31.337 – der Serverteil des BackOrifice-Trojaners, 12.345 oder 12.346 – der Serverteil „Trojaner“ NetBus usw. Kann sein Wird zur Identifizierung von Diensten und zum Scannen von Ports verwendet verschiedene Programme, einschließlich frei verteilter Versionen wie nmap oder netcat.
Identifizierung des Betriebssystems. Der Hauptmechanismus für die Remote-OS-Erkennung ist die Analyse der Antworten auf Anfragen unter Berücksichtigung unterschiedlicher Implementierungen des TCP/IP-Stacks in verschiedenen Betriebssystemen. Der TCP/IP-Protokollstapel ist in jedem Betriebssystem anders implementiert, sodass Sie anhand spezieller Anfragen und Antworten darauf bestimmen können, welches Betriebssystem auf einem Remote-Host installiert ist.
Eine andere, weniger effektive und äußerst eingeschränkte Möglichkeit zur Identifizierung von Host-Betriebssystemen besteht darin, die in der vorherigen Phase entdeckten Netzwerkdienste zu analysieren. Beispielsweise lässt ein offener Port 139 den Schluss zu, dass auf dem Remote-Host höchstwahrscheinlich ein Windows-Betriebssystem ausgeführt wird. Zur Ermittlung des Betriebssystems können verschiedene Programme verwendet werden, zum Beispiel nmap oder queso.
Definieren der Rolle des Knotens. Der vorletzte Schritt beim Sammeln von Informationen über den angreifenden Knoten besteht darin, seine Rolle zu bestimmen, beispielsweise bei der Ausführung der Funktionen einer Firewall oder eines Webservers. Dieser Schritt erfolgt auf der Grundlage bereits gesammelter Informationen über aktive Dienste, Hostnamen, Netzwerktopologie usw. Beispielsweise kann ein offener Port 80 auf die Anwesenheit eines Webservers hinweisen, das Blockieren eines ICMP-Pakets kann auf die potenzielle Anwesenheit einer Firewall hinweisen. und Der DNS-Hostname „proxy.domain.ru“ oder „fw.domain.ru“ spricht für sich.
Ermittlung von Host-Schwachstellen. Der letzte Schritt ist die Suche nach Schwachstellen. Der Angreifer identifiziert mithilfe verschiedener automatisierter Mittel oder manuell Schwachstellen, die für einen Angriff genutzt werden können. Als solche automatisierten Tools können ShadowSecurityScanner, nmap, Retina usw. verwendet werden.
Umsetzung des Angriffs
Nach alledem wird versucht, sich Zugriff auf den angegriffenen Knoten zu verschaffen, sowohl direkt (Eindringung des Knotens) als auch indirekt, beispielsweise bei der Durchführung eines Denial-of-Service-Angriffs. Auch die Durchführung eines Angriffs beim Direktzugriff kann in zwei Phasen unterteilt werden: Durchdringung und Kontrollaufbau.
Penetration Dabei geht es um die Überwindung des Perimeterschutzes (Firewall) auf verschiedene Weise – durch Ausnutzung der Schwachstelle eines Computerdienstes, der nach außen „schaut“, oder durch die Übertragung feindlicher Informationen per E-Mail (Makroviren) oder über Java-Applets. Solche Informationen können über sogenannte Firewall-Tunnel (nicht zu verwechseln mit VPN-Tunneln) übermittelt werden, durch die der Angreifer dann eindringt. In dieser Phase wird auch das Passwort eines Administrators oder eines anderen Benutzers mithilfe eines speziellen Dienstprogramms (L0phtCrack oder Crack) ausgewählt.
Kontrolle herstellen. Nach dem Eindringen erlangt der Angreifer die Kontrolle über den angegriffenen Knoten. Dies ist durch die Einführung eines Trojaner-Programms (NetBus oder BackOrifice) möglich. Nachdem der Angreifer die Kontrolle über den gewünschten Knoten erlangt und „seine Spuren verwischt“ hat, kann er alle erforderlichen unbefugten Aktionen aus der Ferne durchführen, ohne dass der Besitzer des angegriffenen Computers davon weiß. In diesem Fall sollte die Etablierung der Kontrolle über den Unternehmensnetzwerkknoten auch nach einem Neustart des Betriebssystems – durch Austausch eines der Knoten – aufrechterhalten bleiben Boot-Dateien oder Einfügen eines Links zu feindlichem Code in Startdateien oder Systemregistrierung. Es ist ein Fall bekannt, in dem es einem Angreifer gelang, das EEPROM einer Netzwerkkarte neu zu programmieren und auch nach der Neuinstallation des Betriebssystems wiederholte unbefugte Aktionen durchführte. Eine einfachere Modifikation dieses Beispiels besteht darin, den erforderlichen Code oder Snippet in ein Netzwerk-Boot-Skript einzubetten (z. B. für Novell NetWare OS).
Ziele von Angriffen. Es ist zu beachten, dass der Angreifer in der zweiten Phase zwei Ziele verfolgen kann. Erstens, sich unbefugten Zugriff auf den Knoten selbst und die darauf enthaltenen Informationen zu verschaffen. Zweitens, sich unbefugten Zugriff auf einen Knoten zu verschaffen, um weitere Angriffe auf andere Knoten durchzuführen. Das erste Ziel wird in der Regel erst erreicht, nachdem das zweite erreicht ist. Das heißt, der Angreifer schafft zunächst eine Basis für weitere Angriffe und dringt erst danach in andere Knoten ein. Dies ist notwendig, um die Quelle des Angriffs zu verschleiern oder das Auffinden erheblich zu erschweren.
Abschluss des Angriffs
Die letzte Phase des Angriffs besteht darin, „Spuren zu verwischen“. Typischerweise tut ein Angreifer dies, indem er entsprechende Einträge aus den Protokollen des Hosts löscht und andere Aktionen durchführt, die das angegriffene System in seinen ursprünglichen Zustand „vor dem Angriff“ zurückversetzen.
Klassifizierung von Angriffen
Existieren verschiedene Arten Angriffsklassifizierungen. Beispielsweise die Einteilung in passive und aktive, externe und interne Angriffe, beabsichtigte und unbeabsichtigte. Um den Leser jedoch nicht mit einer Vielzahl von Klassifizierungen zu verwirren, die in der Praxis wenig brauchbar sind, möchte ich eine „lebensnahere“ Klassifizierung vorschlagen:
Das Internetunternehmen Security Systems hat die Anzahl der möglichen Kategorien auf fünf reduziert:
Die ersten vier Kategorien beziehen sich auf Remote-Angriffe und die letzte auf lokale Angriffe, die auf dem angegriffenen Knoten ausgeführt werden. Es ist anzumerken, dass diese Klassifizierung nicht eine ganze Klasse sogenannter „passiver“ Angriffe umfasst. Neben dem „Sniffing“ des Datenverkehrs fallen auch Angriffe wie „falscher DNS-Server“, „ARP-Server-Spoofing“ usw. in diese Kategorie.
Die in vielen Angriffserkennungssystemen implementierte Klassifizierung von Angriffen kann nicht kategorisch sein. Beispielsweise ist ein Angriff, dessen Implementierung auf dem Unix-Betriebssystem (z. B. ein Statd-Pufferüberlauf) mit den schlimmsten Folgen verbunden ist (höchste Priorität), auf dem Windows NT-Betriebssystem möglicherweise völlig unanwendbar oder weist ein sehr geringes Risiko auf.
Abschluss
Ohne Schwachstellen in Informationssystemkomponenten wären viele Angriffe nicht möglich und daher wären herkömmliche Sicherheitssysteme bei der Bewältigung möglicher Angriffe recht effektiv. Aber Programme werden von Leuten geschrieben, die dazu neigen, Fehler zu machen. Dadurch tauchen Schwachstellen auf, die von Angreifern für Angriffe genutzt werden. Dies ist jedoch nur die halbe Wahrheit. Wenn alle Angriffe auf einem Eins-zu-Eins-Modell basieren würden, wäre das zwar etwas aufwändig, aber auch Firewalls und andere Sicherheitssysteme könnten ihnen standhalten. Aber... es sind koordinierte Angriffe entstanden, gegen die herkömmliche Mittel nicht mehr so wirksam sind. Hier treten neue Technologien zur Angriffserkennung auf den Plan, aber mehr dazu im nächsten Artikel.
Angriffsdatenbanken
Im Jahr 1999 schlug MITRE Corporation (http://cve.mitre.org) einen Ansatz zur Angriffsklassifizierung vor, der anschließend in der Common Vulnerabilities and Exposures (CVE)-Datenbank implementiert wurde. Trotz dieser attraktiven Initiative war die CVE-Datenbank zum Zeitpunkt ihrer Erstellung bei kommerziellen Produktherstellern nicht weit verbreitet. Anfang 2000 stellte das Unternehmen jedoch seine Schwachstellendatenbank, die in den Internet-Sicherheitsanalysesystemen Scanner und System Scanner verwendet wird, auf CVE-Konformität Internet sicherheit Systeme (ISS). Sie war die erste, die auf einheitliche CVE-Codes verwies. Dies gab allen anderen Herstellern Auftrieb. Im Juni 2000 gaben Cisco, Axent, BindView, IBM und andere ihre Unterstützung für CVE bekannt.
ISS, ein führendes Unternehmen in der Entwicklung von Sicherheitsanalyse- und Angriffserkennungstools, wurde 1994 von einem der Organisatoren von CERT, Christopher Klaus, gegründet. ISS verfügt über eine Forschungsgruppe namens X-Force, die Experten auf dem Gebiet der Informationssicherheit zusammenbringt. Diese Gruppe überwacht nicht nur ständig alle von anderen Reaktionsteams veröffentlichten Meldungen über entdeckte Schwachstellen, sondern führt auch selbst Software- und Hardwaretests durch. Die Ergebnisse dieser Studien werden in die ISS X-Force Threat and Vulnerability Database aufgenommen.
Alexey Lukatsky – Stellvertretender Marketingdirektor des Wissenschafts- und Ingenieurunternehmens „Informzashchita“
Netzwerk
Das Motiv für die Durchführung solcher kriminellen Aktivitäten ist die Erzielung von Gewinn. Die einfachste und daher häufigste Methode besteht darin, Netzwerkhosts mit Malware wie Ransomware zu infizieren. In den letzten 2 Jahren hat seine Popularität rasant zugenommen:
- Im Jahr 2016 stieg die Anzahl bekannter Typen (Familien) von Ransomware-Trojanern um 752 %: von 29 Typen im Jahr 2015 auf 247 Ende 2016 (laut TrendLabs);
- Dank Ransomware-Viren „verdienten“ Angreifer im Jahr 2016 1 Milliarde US-Dollar (laut CSO);
- Im ersten Quartal 2017 erschienen 11 neue Familien von Ransomware-Trojanern und 55.679 Modifikationen. Zum Vergleich: Im 2. bis 4. Quartal 2016 erschienen 70.837 Modifikationen (laut Kaspersky Lab).
- Januar 2017. 70 % der Überwachungskameras für die öffentliche Ordnung in Washington waren am Vorabend der Amtseinführung des Präsidenten infiziert. Um die Folgen zu beseitigen, wurden die Kameras demontiert, neu geblitzt oder durch andere ersetzt;
- Februar 2017 Ausfall aller kommunalen Dienste im Ohio County (USA) für mehr als eine Woche aufgrund massiver Datenverschlüsselung auf Servern und Benutzerarbeitsplätzen (über 1000 Hosts);
- März 2017: Abschaltung der Systeme des Pennsylvania State Capitol (USA) aufgrund eines Angriffs und Blockierung des Zugriffs auf Daten der Informationssysteme;
- Mai 2017 Groß angelegter Angriff des Ransomware-Virus WannaCry (WanaCrypt0r 2.0), der bis zum 26. Juni 2017 mehr als 546.000 Computer und Server mit Windows-Betriebssystemen in mehr als 150 Ländern betraf. In Russland wurden Computer und Server so großer Unternehmen wie des Gesundheitsministeriums, des Ministeriums für Notsituationen, der Russischen Eisenbahn, des Innenministeriums, Megafon, der Sberbank und der Bank of Russia infiziert. Es gibt immer noch keinen universellen Datenentschlüsseler (wie man Daten unter Windows XP entschlüsselt, wurde veröffentlicht). Der Gesamtschaden durch das Virus beläuft sich Experten zufolge auf über 1 Milliarde US-Dollar;
- Ein groß angelegter Angriff durch den Ransomware-Virus 96 % der infizierten Computer und Server befinden sich in der Ukraine), dessen Verbreitung viermal schneller ist als bei WannaCry. Derzeit wurde der Verschlüsselungsschlüssel veröffentlicht und Entschlüsselungsprogramme für Opfer der Ransomware freigegeben;
- Juni 2017. Das Netzwerk einer der größten Universitäten der Welt, des Univercity College London, wurde einem weit verbreiteten Ransomware-Angriff ausgesetzt. Der Angriff zielte darauf ab, den Zugriff auf den gemeinsamen Netzwerkspeicher und das automatisierte Studentenverwaltungssystem zu blockieren. Dies geschah während der Vorprüfungs- und Abschlussphase, in der die Studierenden ihre Abschlussarbeiten hinterlegten Dateiserver Universität, werden höchstwahrscheinlich Betrüger bezahlen, um an ihre Arbeit zu kommen. Der Umfang der verschlüsselten Daten und die Betroffenen werden nicht bekannt gegeben.
Mit der Entwicklung von Ransomware gibt es auch Möglichkeiten, ihnen entgegenzuwirken. Zunächst einmal ist dies ein offenes Projekt. Kein Lösegeld mehr! (www.nomoreransom.org), das Opfern von Angriffen Mittel zur Entschlüsselung von Daten bietet (für den Fall, dass der Verschlüsselungsschlüssel kompromittiert wird), und zweitens spezielle Open-Source-Mittel zum Schutz vor Ransomware-Viren. Aber entweder analysieren sie das Verhalten der Software anhand von Signaturen und können einen unbekannten Virus nicht erkennen, oder sie blockieren die Schadsoftware, nachdem sie das System befallen hat (durch Verschlüsselung eines Teils der Daten). Spezialisierte Open-Source-Lösungen werden von Internetnutzern auf Privat-/Heimgeräten genutzt; große Organisationen, die große Informationsmengen, darunter auch kritische Informationen, verarbeiten, müssen einen umfassenden proaktiven Schutz vor gezielten Angriffen bieten.
Proaktiver Schutz vor gezielten Angriffen und Ransomware
Betrachten wir mögliche Zugriffsvektoren auf geschützte Informationen, die sich auf einem Server oder einer automatisierten Benutzer-Workstation befinden:- Auswirkungen auf den Umkreis des Lokals Computernetzwerk aus dem Internet ist möglich über:
- Firmen-E-Mail;
- Webverkehr, einschließlich Webmail;
- Perimeter-Router/Firewall;
- Internetzugangs-Gateways von Drittanbietern (nicht unternehmensintern) (Modems, Smartphones usw.);
- sichere Fernzugriffssysteme.
- Auswirkungen auf Server und Benutzerarbeitsplätze im Netzwerk:
- Wird geladen Schadsoftware an Endpunkte/Server auf deren Anfrage;
- Nutzung undokumentierter Fähigkeiten (Schwachstellen) von System-/Anwendungssoftware;
- Herunterladen von Malware über einen verschlüsselten VPN-Kanal, der nicht von IT- und Informationssicherheitsdiensten kontrolliert wird;
- Verbindung zum lokalen Netzwerk illegaler Geräte.
- Direkte Auswirkung auf Informationen auf Servern und Benutzerarbeitsplätzen:
- Verbindung externe Medien Informationen, die Malware enthalten;
- Entwicklung von Malware direkt auf dem Endpunkt/Server.
Abbildung 1. Proaktive Maßnahmen zum Schutz vor gezielten Angriffen und Ransomware
Organisatorische Maßnahmen zum Schutz vor gezielten Angriffen und Ransomware
Zu den wesentlichen organisatorischen Maßnahmen zum proaktiven Schutz vor gezielten Angriffen und Ransomware gehören:- Sensibilisierung der Mitarbeiter im Bereich Informationssicherheit.
Es ist notwendig, Mitarbeiter regelmäßig zu schulen und über mögliche Bedrohungen der Informationssicherheit zu informieren. Die minimale und notwendige Maßnahme ist die Bildung von Grundsätzen für die Arbeit mit Dateien und E-Mails:
o Öffnen Sie keine Dateien mit doppelten Erweiterungen: Konfigurieren Sie die Anzeige von Erweiterungen, damit Benutzer schädliche Dateien mit doppelten Erweiterungen identifizieren können (z. B. 1СRecord.xlsx.scr);
o Aktivieren Sie keine Makros im nicht vertrauenswürdigen Zustand Microsoft-Dokumente Büro;
o Überprüfen Sie die Adressen der Absender von E-Mail-Nachrichten.
o Öffnen Sie keine Links zu Webseiten oder E-Mail-Anhänge von unbekannten Absendern. - Beurteilung der Wirksamkeit des Schutzes sowohl innerhalb der Organisation als auch unter Einbeziehung externer Spezialisten.
Es ist notwendig, die Wirksamkeit der Personalschulung durch die Modellierung von Angriffen, sowohl intern als auch unter Beteiligung externer Spezialisten, zu bewerten – durch die Durchführung von Penetrationstests, einschließlich der Verwendung der Methode des Social Engineering. - Regelmäßige Systemsoftware-Updates (Patch Management).
Um Malware-Angriffe auf Zielsysteme durch bekannte Schwachstellen zu verhindern, ist es notwendig, eine zeitnahe Prüfung und Installation von System- und Anwendungssoftware-Updates unter Berücksichtigung der Priorisierung der Kritikalität der Updates sicherzustellen. - Systematisierung der Datensicherung.
Muss regelmäßig durchgeführt werden Sicherung Kritische Daten von Informationssystemservern, Datenspeichersystemen und Benutzerarbeitsplätzen (sofern kritische Informationen gespeichert werden sollen). Backups müssen auf Bandbibliotheken des Datenspeichersystems, auf übertragbaren Speichermedien (sofern die Speichermedien nicht dauerhaft mit der Arbeitsstation oder dem Server verbunden sind) sowie in gespeichert werden Cloud-Systeme Datensicherung, Speicherung.
Technische Maßnahmen zum Schutz vor gezielten Angriffen und Ransomware
Technische Maßnahmen zum proaktiven Schutz vor gezielten Angriffen und Ransomware werden auf Netzwerkebene und auf Hostebene ergriffen.Proaktive Schutzmaßnahmen auf Netzwerkebene
- Verwendung von E-Mail-Filtersystemen, Analyse des E-Mail-Verkehrs auf das Vorhandensein unerwünschter Briefe (Spam), Links und Anhänge, einschließlich bösartiger Anhänge (z. B. Blockierung von JavaScript- (JS) und Visual Basic-Dateien (VBS), ausführbaren Dateien (.exe), Bildschirmschonerdateien ( SCR), Android-Paket (.apk) und Windows-Verknüpfungsdateien (.lnk)).
- Verwendung von Inhaltsfiltersystemen für den Webverkehr, Bereitstellung von Differenzierung und Kontrolle des Benutzerzugriffs auf das Internet (einschließlich durch Analyse des SSL-Verkehrs durch Ersetzen eines Serverzertifikats), Analyse des Streaming-Verkehrs auf das Vorhandensein von Malware und Beschränkung des Benutzerzugriffs auf den Inhalt von Webseiten.
- Einsatz von Schutzsystemen gegen gezielte Angriffe, Zero-Day-Angriffe (Sandbox, Sandbox), die eine heuristische und Verhaltensanalyse potenziell gefährlicher Dateien in einer isolierten Umgebung ermöglichen, bevor die Datei an den geschützten Ort gesendet wird Informationssysteme. Systeme zum Schutz vor gezielten Angriffen müssen in Content-Filtersysteme für den Webverkehr und E-Mail-Filter integriert werden, um bösartige Anhänge zu blockieren. Darüber hinaus sind Schutzsysteme gegen gezielte Angriffe in Informationssysteme innerhalb des Netzwerkperimeters integriert, um komplexe Angriffe auf kritische Ressourcen und Dienste zu erkennen und zu blockieren.
- Sicherstellung der Zugangskontrolle zum Unternehmensnetzwerk auf verdrahteter Ebene und drahtloses Netzwerk mit 802.1x-Technologie. Diese Maßnahme verhindert die unbefugte Verbindung unzulässiger Geräte mit dem Unternehmensnetzwerk und bietet die Möglichkeit, beim Zugriff auf das Unternehmensnetzwerk die Einhaltung von Unternehmensrichtlinien zu überprüfen (Verfügbarkeit von Antivirensoftware, aktuelle Signaturdatenbanken, Vorhandensein kritischer Windows-Updates). Die Zugriffskontrolle auf das Unternehmensnetzwerk mithilfe von 802.1x erfolgt durch Systeme der NAC-Klasse (Network Access Control).
- Eliminierung der direkten Interaktion externe Benutzer mit Ressourcen von Unternehmensinformationssystemen über Zwischenzugriffsgateways mit überlagerten Unterneh(Terminalserver, VDI-Desktop-Virtualisierungssystem), einschließlich der Möglichkeit, die Aktionen externer Benutzer mithilfe von Video- oder Textaufzeichnung der Sitzung aufzuzeichnen. Die Umsetzung der Maßnahme erfolgt über Terminalzugriffssysteme, Systeme der Klasse PUM (Privileged User Management).
- Netzwerksegmentierung basierend auf dem Grundsatz der notwendigen Angemessenheit, um redundante Berechtigungen für die Netzwerkinteraktion auszuschließen und die Möglichkeit der Verbreitung von Malware im Unternehmensnetzwerk im Falle einer Infektion eines der Server / Benutzerarbeitsplätze zu begrenzen / virtuelle Maschinen. Die Umsetzung einer solchen Maßnahme ist durch Firewall-Policy-Analysesysteme (NCM/NCCM, Network Configuration (Change) Management) möglich, die eine zentrale Erfassung von Firewall-Richtlinien, Firewall-Einstellungen und deren Weiterverarbeitung zum Zweck der automatisierten Ausgabe von Empfehlungen für diese ermöglichen Optimierung, Kontrolle von Richtlinienänderungen, Firewall.
- Erkennung von Füllstandsanomalien Netzwerkinteraktionen
Verwendung spezieller Lösungen der NBA- und NBAD-Klasse (Network Behavior Analysis, Network Behavior Anomaly Detection), die das Sammeln und Analysieren von Informationen über Datenflüsse sowie die Profilierung des Datenverkehrs für jeden Netzwerkhost ermöglichen, um Abweichungen vom „normalen“ Profil zu identifizieren. Diese Klasse von Lösungen wird Folgendes offenbaren:
O Scannen der Umgebung des infizierten Hosts;
o Infektionsvektor;
o Host-Status: „gescannt“, „infiziert und scannt andere“;
o unidirektionale Strömungen;
o abnormale Flüsse;
o Virusepidemien;
o verteilte Angriffe;
o ein Bild der bestehenden Flüsse. - Infizierte Hosts deaktivieren(automatisierte Arbeitsplätze, Server, virtuelle Maschinen usw.) aus dem Netzwerk. Diese Maßnahme ist anwendbar, wenn mindestens einer der Hosts im Unternehmensnetzwerk infiziert ist, ist aber notwendig, um eine Virusepidemie zu lokalisieren und zu verhindern. Workstations können entweder durch IT- und Informatiovom Netzwerk getrennt werden oder automatisch, wenn Anzeichen einer Bedrohung auf dem geschützten Host erkannt werden (durch Korrelation von Sicherheitsereignissen, Einrichten automatisierter Aktionen zum Blockieren aller Netzwerkaktivitäten auf dem Host/Trennen der Verbindung). Host aus dem Netzwerk auf Switch-Ebene usw.).
Proaktive Verteidigungsmaßnahmen auf Host-Ebene
- Gewährleistung des Schutzes vor unbefugtem Zugriff Workstations, Server und virtuelle Maschinen durch verbesserte Benutzerauthentifizierung, Überwachung der Integrität des Betriebssystems, Blockierung des Systemladens von externen Medien, um Eindringlinge daran zu hindern, das Unternehmensnetzwerk innerhalb des Netzwerkperimeters zu infizieren. Umgesetzt wird diese Maßnahme durch Lösungen der SZI-Klasse von NSD / Endpoint Protection.
- Sicherheit Virenschutz auf allen Netzwerkknoten der Organisation. Antivirensoftware muss Fakten erkennen Virusinfektion Arbeitsspeicher, lokale Speichermedien, Datenträger, Verzeichnisse, Dateien sowie über Kommunikationskanäle empfangene Dateien, elektronische Nachrichten an Arbeitsplätzen, Server, virtuelle Maschinen Behandeln, entfernen oder isolieren Sie Bedrohungen in Echtzeit. Signaturdatenbanken von Antivirensoftware müssen regelmäßig aktualisiert und auf dem neuesten Stand gehalten werden.
- Sicherstellung der Überwachung und Steuerung von Softwareaktionen auf geschützten Hosts durch Überwachung gestarteter Dienste und heuristische Analyse ihrer Funktionsweise. Diese Maßnahme wird durch Lösungen der HIPS-Klasse (Host Intrusion Prevention) umgesetzt.
- Bereitstellung der Kontrolle über den Anschluss externer Geräte, Blockierung ungenutzter Ports auf geschützten Hosts, um zu verhindern, dass nicht autorisierte Geräte eine Verbindung zu geschützten Hosts herstellen: sowohl Speichermedien mit potenziell schädlichen Programmen als auch externe Internet-Zugangs-Gateways (z. B. ein 4G-Modem), wodurch ein unkontrollierter und ungeschützter Internet-Zugangskanal bereitgestellt wird. Umgesetzt wird diese Maßnahme durch Lösungen der SZI-Klasse von NSD / Endpoint Protection.
- Bieten Sie erweiterten Host-Schutz mithilfe von Verhaltensanalysen Funktionsweise von Prozessen auf geschützten Hosts, maschinelles Lernen, heuristische Dateianalyse, Anwendungskontrolle, Exploit-Schutz zur Identifizierung und Blockierung unbekannter Bedrohungen (Zero-Day-Bedrohungen) in Echtzeit. Diese Maßnahme wird durch Lösungen der NGEPP-Klasse (Next Generation Endpoint Protection) umgesetzt.
- Verwendung agentenbasierter Ransomware-Schutzlösungen, wodurch Daten auf dem infizierten Host verschlüsselt werden. Diese beinhalten:
o Produktive Schutzsysteme gegen gezielte Angriffe und Zero-Day-Angriffe mit Client-Server-Architektur. Die Client-Software wird auf dem geschützten Host installiert, schützt in Echtzeit vor Zero-Day-Bedrohungen und Viren, die Daten im System verschlüsseln, entschlüsselt durch Malware verschlüsselte Daten (sofern ein Agent vorhanden ist, vor einem Infektionsversuch), entfernt Ransomware und schützt gegen Phishing-Angriffe. Die Client-Software ermöglicht die Kontrolle aller Zugriffskanäle zum Host: Webverkehr, entfremdete Speichermedien, E-Mail, lokaler Netzwerkzugriff, Malware im verschlüsselten Datenverkehr (VPN).
o Client-Schutzsysteme gegen Zero-Day-Bedrohungen (Sandboxen) in offener Zugang(Sandboxie, Kuckuckssandbox, Schattenverteidiger usw.).
o Client-Systeme zum Schutz vor Zero-Day-Bedrohungen basierend auf Mikrovirtualisierung (Bromium vSentry), die eine Verhaltensanalyse potenziell schädlicher Dateien in einer hardwareisolierten Umgebung (mikrovirtuelle Infrastruktur) ermöglichen. - Bereitstellung einer Firewall auf Hostebene Verwenden Sie Software-Firewalls, um den Zugriff auf Unternehmensnetzwerkressourcen einzuschränken, die Ausbreitung von Malware im Falle einer Infektion des Hosts zu begrenzen und ungenutzte Netzwerkports und -protokolle zu blockieren.
Weitere Schutzmaßnahmen gegen Ransomware-Viren
Zusätzlich zu den oben genannten Maßnahmen helfen folgende Maßnahmen, einen gezielten Angriff auf ein Unternehmensnetzwerk zu verhindern:- Regelmäßige Analyse der Sicherheit der IT-Infrastruktur – Scannen von Netzwerkknoten, um nach bekannten Schwachstellen in System- und Anwendungssoftware zu suchen. Diese Maßnahme gewährleistet die rechtzeitige Erkennung von Schwachstellen und ermöglicht deren Beseitigung, bevor sie von Angreifern ausgenutzt werden. Das Sicherheitsanalysesystem löst auch Probleme bei der Überwachung von Netzwerkgeräten und Geräten, die an Benutzerarbeitsplätze angeschlossen sind (z. B. ein 4G-Modem).
- Die Erfassung und Korrelation von Ereignissen ermöglicht einen umfassenden Ansatz zur Erkennung von Ransomware im Netzwerk auf Basis von SIEM-Systemen, da diese Methode ein ganzheitliches Bild der IT-Infrastruktur des Unternehmens liefert. Die Wirksamkeit von SIEM liegt in der Verarbeitung von Ereignissen, die von verschiedenen Infrastrukturkomponenten, einschließlich der Informationssicherheit, gesendet werden, basierend auf Korrelationsregeln, wodurch Sie potenzielle Vorfälle im Zusammenhang mit der Verbreitung von Ransomware schnell identifizieren können.
Priorisieren Sie Ransomware-Schutzmaßnahmen
Zuverlässiger und umfassender Schutz vor gezielten Angriffen wird durch eine Reihe organisatorischer und technischer Maßnahmen gewährleistet, die in die folgenden Gruppen eingeteilt werden:- Eine Reihe grundlegender Maßnahmen, die alle Organisationen zum Schutz vor gezielten Angriffen und Ransomware umsetzen müssen.
- Ein erweitertes Maßnahmenpaket für mittlere und große Organisationen mit hohen Informationsverarbeitungskosten.
- Eine fortschrittliche Reihe von Maßnahmen, die für mittlere und große Organisationen mit einer fortschrittlichen IT- und Infound hohen Kosten für verarbeitete Informationen anwendbar sind.
Abbildung 2. Priorisierung von Schutzmaßnahmen gegen Ransomware
Ransomware-Schutzmaßnahmen für Endbenutzer
Die Gefahr einer Infektion durch einen Ransomware-Virus ist auch für Endnutzer des Internets relevant, für die ebenfalls bestimmte Maßnahmen zur Infektionsprävention gelten:- rechtzeitige Installation von Systemsoftware-Updates;
- Verwendung von Antivirenprogrammen;
- rechtzeitige Aktualisierung der Antiviren-Signaturdatenbanken;
- Verwendung frei verfügbarer Schutztools gegen Malware, die Daten auf einem Computer verschlüsselt: RansomFree, CryptoDrop, AntiRansomware-Tool für Unternehmen, Cryptostalker usw. Die Installation von Schutztools dieser Klasse ist anwendbar, wenn kritische, nicht reservierte Daten auf dem Computer gespeichert sind und ein zuverlässiger Virenschutz vorhanden ist Tools sind nicht installiert.
Sicherheitslücke mobiler Geräte (Android, iOS)
„Intelligente“ Mobilgeräte (Smartphones, Tablet-Computer) sind aus dem Leben nicht mehr wegzudenken: Die Zahl der aktivierten Mobilgeräte steigt jedes Jahr, mobile Anwendungen und das Volumen des mobilen Datenverkehrs. Speicherten Mobiltelefone früher nur eine Datenbank mit Kontakten, sind sie heute Speicher für wichtige Daten des Benutzers: Fotos, Videos, Kalender, Dokumente usw. Mobile Geräte werden zunehmend im Unternehmenssektor eingesetzt (jährliches Wachstum von 20–30 %). . Daher wächst das Interesse von Angreifern an mobilen Plattformen, insbesondere unter dem Gesichtspunkt der Gelderpressung mithilfe von Trojanern. Laut Kaspersky Lab machte Ransomware im 1. Quartal 2017 16 % der Gesamtzahl der Malware aus (im 4. Quartal 2016 lag dieser Wert nicht über 5 %). Der größte Prozentsatz der Trojaner für mobile Plattformen ist für das beliebteste mobile Betriebssystem – Android – geschrieben, aber ähnliche Trojaner gibt es auch für iOS.Schutzmaßnahmen für mobile Geräte:
- Für den Unternehmensbereich:
o die Verwendung von Systemen der Klasse „Mobile Device Management“ (MDM), die die Kontrolle über die Installation von Systemsoftware-Updates, die Installation von Anwendungen und die Kontrolle der Verfügbarkeit von Superuser-Rechten ermöglichen;
o zum Schutz von Unternehmensdaten mobile Geräte Benutzer – Systeme der Mobile Information Management (MIM)-Klasse, die die Speicherung von Unternehmensdaten in einem verschlüsselten Container ermöglichen, der vom Betriebssystem des mobilen Geräts isoliert ist;
o Verwendung von Mobile Threat Prevention-Klassensystemen, die eine Kontrolle der für Anwendungen gewährten Berechtigungen und eine Verhaltensanalyse mobiler Anwendungen ermöglichen. - Für Endbenutzer:
o Nutzung offizieller Stores zur Installation von Anwendungen;
o rechtzeitige Aktualisierung der Systemsoftware;
o Verhinderung der Navigation durch nicht vertrauenswürdige Ressourcen und der Installation nicht vertrauenswürdiger Anwendungen und Dienste.
Schlussfolgerungen
Die einfache Implementierung und die geringen Kosten für die Organisation von Cyberangriffen (Ransomware, DDoS, Angriffe auf Webanwendungen usw.) führen zu einem Anstieg der Zahl von Cyberkriminellen und verringern gleichzeitig das durchschnittliche technische Bewusstsein des Angreifers. In diesem Zusammenhang nehmen die Wahrscheinlichkeit von Bedrohungen der Informationssicherheit im Unternehmensbereich und das Bedürfnis nach umfassendem Schutz stark zu.Deshalb konzentrieren wir uns bei Informzashita auf moderne Herausforderungen der Informationssicherheit und stellen den Schutz der Infrastruktur unserer Kunden vor den neuesten, auch unbekannten Bedrohungen sicher. Durch die Erstellung und Implementierung komplexer adaptiver Modelle zur Abwehr von Bedrohungen der Informationssicherheit wissen wir, wie wir Cyber-Bedrohungen vorhersagen, verhindern, erkennen und darauf reagieren können. Die Hauptsache ist, es rechtzeitig zu tun.
Computerangriff
„...Computerangriff: gezielter Angriff auf eine Ressource eines automatisierten Informationssystems oder Erlangung unbefugten Zugriffs darauf mithilfe von Software oder Hardware …“
Quelle:
„INFORMATIONSSCHUTZ. GEGENSTAND DER INFORMATION. FAKTOREN, DIE INFORMATIONEN BEEINFLUSSEN. ALLGEMEINE BESTIMMUNGEN. GOST R 51275-2006“
(genehmigt durch die Verordnung von Rostekhregulirovaniya vom 27. Dezember 2006 N 374-st)
Offizielle Terminologie. Akademik.ru. 2012.
Sehen Sie in anderen Wörterbüchern, was „Computerangriff“ ist:
Computerangriff- Gezielte unbefugte Einflussnahme auf Informationen, auf eine Informationssystemressource oder die Erlangung unbefugten Zugriffs darauf mithilfe von Software oder Hardware. [R 50.1.056 2005] Themen der Verteidigung... ... Leitfaden für technische Übersetzer
Computerangriff- 3.11 Computerangriff: Gezielte unbefugte Einflussnahme auf Informationen, auf die Ressourcen eines automatisierten Informationssystems oder die Erlangung unbefugten Zugriffs darauf mithilfe von Software oder Hardware... ...
Netzwerkangriff- 3.12 Netzwerkangriff: Computerangriff unter Verwendung von Internetworking-Protokollen. Quelle: GOST R 51275 2006: Informationsschutz. Informationsobjekt. Faktoren, die Informationen beeinflussen. Allgemeine Bestimmungen... Wörterbuch-Nachschlagewerk mit Begriffen der normativen und technischen Dokumentation
Netzwerkangriff: Computerangriff unter Verwendung von Internetworking-Protokollen... Quelle: INFORMATIONSSCHUTZ. INFORMATIONSOBJEKT. FAKTOREN, DIE INFORMATIONEN BEEINFLUSSEN. ALLGEMEINE BESTIMMUNGEN. GOST R 51275 2006 (genehmigt durch Verordnung... ... Offizielle Terminologie
Chapaev (Computerspiel)- Computerspiel Chapaev 3D „Chapaev“ oder „Chapaevtsy“ ist ein sowjetisches Brettspiel, benannt nach dem Helden des Bürgerkriegs Wassili Iwanowitsch Chapaev. Dieses Spiel ist mit Billard verwandt und steht besonders Spielen wie Carrom, Crokinole, ... ... Wikipedia nahe
StarCraft (Computerspiel)- StarCraft Original-CD-Cover Entwickler Blizzard Entertainment Herausgeber Blizzard Entertainment, Sierra Entertainment, Soft Club Localizer ... Wikipedia
Krieg und Frieden (Computerspiel)
Second Crown (Computerspiel)- Knights and Merchants: The Shattered Kingdom Entwickler Joymania Entertainment Herausgeber TopWare Interactive ... Wikipedia
Einführung
Systeme zur Erkennung von Netzwerkeinbrüchen und zur Identifizierung von Anzeichen von Computerangriffen auf Informationssysteme werden seit langem als eine der notwendigen Verteidigungslinien für Informationssysteme eingesetzt. Entwickler von Informationssicherheitssystemen und Berater in diesem Bereich verwenden aktiv Konzepte (übertragen aus der Richtung der Gewährleistung der physischen und industriellen Sicherheit) wie „Perimeterschutz“, „stationärer“ und „dynamischer“ Schutz; eigene Begriffe tauchen auf, zum Beispiel „proaktive“ Abhilfemaßnahmen.
Tatsächlich wird im Ausland seit mehr als einem Vierteljahrhundert geforscht, um Angriffe auf Computernetzwerke und -systeme zu erkennen. Anzeichen von Angriffen werden untersucht, Methoden und Mittel zur Erkennung unbefugter Eindringversuche durch Sicherheitssysteme, sowohl vernetzte als auch lokale, entwickelt und eingesetzt – auf logischer und sogar physischer Ebene. Tatsächlich kann dies sogar Forschung im Bereich PEMIN umfassen, da elektromagnetische Manipulationen ihre direkten Analogien in der Netzwerkumgebung haben, die für den durchschnittlichen Computerbenutzer bereits alltäglich geworden ist. Kommerzielle Intrusion- und Attack-Detection-Systeme (IDAs) ausländischer Unternehmen (ISS RealSecure, NetPatrol, Snort, Cisco usw.) sind auf dem russischen Markt weit verbreitet, gleichzeitig sind komplexe Lösungen russischer Entwickler praktisch nicht vertreten. Dies ist auf die Tatsache zurückzuführen, dass viele inländische Forscher und Entwickler SOA implementieren und dabei Analogien von Architekturen und Standardlösungen bereits bekannter Systeme beibehalten, ohne besonders zu versuchen, die Effizienz der präventiven Erkennung von Angriffen und der Reaktion darauf zu steigern. Wettbewerbsvorteile in diesem Segment des russischen Marktes werden in der Regel durch eine deutliche Preissenkung und den Rückgriff auf „Unterstützung inländischer Produzenten“ erreicht.
Abbildung 2. Informationspyramide
Der oberste Teil der Informationspyramide sind die Risiken und Bedrohungen, die dem jeweiligen System innewohnen. Im Folgenden sind verschiedene Optionen zur Umsetzung von Bedrohungen (Angriffen) aufgeführt. Die unterste Ebene sind die Anzeichen von Angriffen. Der Endbenutzer sowie das Angriffserkennungssystem haben die Möglichkeit, anhand der beobachteten charakteristischen Merkmale nur den Entwicklungsprozess eines bestimmten Angriffs oder die abgeschlossene Tatsache eines Angriffs zu registrieren. Anzeichen eines Angriffs sind das, was wir tatsächlich erfassen und auf verschiedene Weise verarbeiten können. technische Mittel Daher sind Mittel zur Aufzeichnung von Angriffszeichen erforderlich.
Betrachtet man diesen Prozess über die Zeit, so lässt sich sagen, dass bestimmte Abfolgen beobachteter Zeichen zu Sicherheitsereignissen führen. Sicherheitsereignisse können geschützte Objekte eines Informationssystems in einen unsicheren Zustand versetzen. Daher benötigt ein Angriffserkennungssystem einen ausreichend vollständigen Informationsausschnitt, der alle Sicherheitsereignisse enthält, die im betrachteten Zeitraum im Informationssystem aufgetreten sind. Darüber hinaus können Sie in der Pyramide nach oben für ein Sicherheitsereignis angeben, zu welcher Art von Bedrohung es führen kann, um dessen Entwicklung während der Entwicklung eines Angriffs vorherzusagen und Maßnahmen zu ergreifen, um den Bedrohungen entgegenzuwirken, die dieser Angriff verursachen kann.
Die Methodik der Datenverarbeitung in modernen Informationssystemen impliziert den weit verbreiteten Einsatz mehrstufiger Systeme. Für einen neuen SOA-Typ lassen sich folgende große Ebenen unterscheiden, auf denen ein Zugriff auf die verarbeiteten Informationen möglich ist:
- Ebene der Anwendungssoftware, mit dem der Endbenutzer des Informationssystems arbeitet. Anwendungssoftware weist häufig Schwachstellen auf, die von Angreifern ausgenutzt werden können, um Zugriff auf die verarbeiteten Softwaredaten zu erhalten.
- DBMS-Ebene. Die DBMS-Ebene ist ein Sonderfall von Tools auf Anwendungsebene, sollte jedoch aufgrund ihrer Besonderheiten in eine separate Klasse unterteilt werden. Ein DBMS verfügt in der Regel über ein eigenes System von Sicherheitsrichtlinien und Benutzerzugriffen, das bei der Organisation der Sicherheit nicht außer Acht gelassen werden darf.
- Betriebssystemebene. Das Betriebssystem der Computer der geschützten IP ist ein wichtiges Schutzelement, da jede Anwendungssoftware die vom Betriebssystem bereitgestellten Tools verwendet. Es ist sinnlos, die Qualität und Zuverlässigkeit von Anwendungssoftware zu verbessern, wenn diese auf einem ungeschützten Betriebssystem betrieben wird.
- Übertragungsmittelniveau. Moderne ICs nutzen verschiedene Datenübertragungsmedien, um die Hardwarekomponenten, aus denen der IC besteht, miteinander zu verbinden. Datenübertragungsmedien gehören heute zu den ungeschütztesten IS-Komponenten. Die Kontrolle des Übertragungsmediums und der übermittelten Daten ist einer der zwingenden Bestandteile von Datenschutzmechanismen.
Anschaulich werden die Ebenen der Verarbeitung von Datenflüssen im Informationssystem dargestellt.
Abbildung 3. Ebenen der Informationsverarbeitung in einem Informationssystem
Auf der Grundlage des Vorstehenden können wir den Schluss ziehen, dass alle Informationssicherheitstools, einschließlich Angriffserkennungs- und -präventionssystemen, in der Lage sein müssen, die verarbeiteten und übertragenen Daten auf jeder der ausgewählten Ebenen zu analysieren. Die Anforderung an das Vorhandensein eines Angriffserkennungssystems auf jeder Funktionsebene des Informationssystems führt dazu, dass das Subsystem zur Aufzeichnung von Sicherheitsereignissen in einen separaten Satz von SOA-Informationssonden aufgeteilt werden muss, die die Sammlung von Informationen innerhalb des gesamten Netzwerks des Informationssystems sicherstellen Informationssystem. Gleichzeitig erfordert die Heterogenität der Software- und Hardwareplattformen und der von verschiedenen IS-Objekten gelösten Aufgaben den Einsatz einer modularen Architektur von Informationssonden, um eine maximale Anpassung an spezifische Anwendungsbedingungen zu gewährleisten.
Nutzung von Wissen über Bedrohungen der Informationssicherheit, um Angriffe auf ein Informationssystem zu erkennen
Bedrohungen der Informationssicherheit hängen normalerweise in irgendeiner Weise miteinander zusammen. Beispielsweise kann die drohende Beschlagnahme eines anfälligen Webservers eines Netzwerkknotens zur Gefahr einer vollständigen Übernahme der Kontrolle über diesen Knoten führen. Um die Situation vorherzusagen und einzuschätzen, ist es daher ratsam, die Wahrscheinlichkeitstheorie zu berücksichtigen Beziehung der Bedrohungen.
Wenn wir U betrachten – die Menge der Sicherheitsbedrohungen für das betrachtete Informationssystem, dann u i O U – i-te Bedrohung. Unter der Annahme, dass die Menge der Bedrohungen endlich ist, gehen wir davon aus, dass die Umsetzung der i-ten Bedrohung mit einiger Wahrscheinlichkeit zur Möglichkeit der Umsetzung anderer Bedrohungen führen kann. In diesem Fall stellt sich die Aufgabe, P(u|u i1 ,u i2 ,...,u ik) zu berechnen – die Wahrscheinlichkeit, dass die Bedrohung u realisiert wird, vorausgesetzt, dass die Bedrohungen u i1 ,u i2 ,..., Du bist realisiert (siehe).
Abbildung 4. Ansicht des Abhängigkeitsdiagramms von Bedrohungen der Informationssicherheit
Ein Angriff kann am zuverlässigsten erkannt werden, wenn so viele vorhanden sind volle Informationüber das Ereignis, das passiert ist. Wie aus den vorherigen Abschnitten hervorgeht, erkennen moderne Systeme Angriffe meist anhand des Vorhandenseins einer bestimmten, ganz spezifischen Signatur.
Durch die Erweiterung dieses Ansatzes können wir uns auf den Prozess der Identifizierung verschiedener Phasen (Phasen) ihrer Umsetzung bei Computerangriffen konzentrieren. Das Isolieren von Angriffsphasen, insbesondere der frühen, ist wichtiger Prozess, was es letztendlich ermöglicht, einen Angriff bereits im Verlauf zu erkennen. Dies kann jedoch nur dadurch erreicht werden, dass die Liste der Bedrohungen für das Informationssystem, die in jeder Phase des Angriffs umgesetzt werden können, angemessen ermittelt und dieser Tatsache in der Klassifizierung angemessen Rechnung getragen wird. In der nächsten Näherung gibt es drei Hauptphasen eines Angriffs: Netzwerkaufklärung, Implementierung, Konsolidierung und Verstecken von Spuren.
Die Analyse der Beziehung zwischen Bedrohungen und Angriffsphasen und die Vorhersage der wahrscheinlichsten Bedrohungen, die ein Angreifer umsetzen kann, ist eine wichtige Aufgabe bei der Gewährleistung der Informationssicherheit. Dies ist für eine rechtzeitige Entscheidungsfindung zur Blockierung böswilliger Einflüsse erforderlich.
Das nächste Element des Angriffserkennungskonzepts ist die Klassifizierung. Die Klassifizierung von Computerangriffen wird noch intensiv erforscht. Die Hauptaufgabe bei der Entwicklung einer Klassifizierung von Computerangriffen besteht darin, die praktische Anwendbarkeit dieser Klassifizierung sicherzustellen. Die Grundvoraussetzungen für die Klassifizierung lauten wie folgt: nicht überlappende Klassen, Vollständigkeit, Anwendbarkeit, Objektivität, Erweiterbarkeit, Endlichkeit. Interessante Ansätze zur Klassifizierung Netzwerkangriffe vorgeschlagen in. Die Klassifizierung von Sicherheitsbedrohungen sollte die Struktur und Phasen eines Angriffs auf Computersysteme berücksichtigen und Attribute wie die Quellen und Ziele des Angriffs sowie deren Merkmale bestimmen zusätzliche Eigenschaften, mehrstufiges Tippen. Das Intrusion-Detection-Modell sollte auf der Grundlage der entwickelten Klassifizierung erstellt werden.
Daher müssen in Zukunft folgende Aufgaben gelöst werden: Ermittlung der wahrscheinlichsten Umsetzung einer Bedrohung zum aktuellen Zeitpunkt, um eine Vorstellung davon zu haben, mit welchen Konsequenzen das Informationssystem in kürzester Zeit rechnen kann sowie die Erstellung einer Prognose zur Lageentwicklung, um die wahrscheinlichste Umsetzung von Drohungen in der Zukunft zu ermitteln.
Verbesserung der Wirksamkeit von Einbruchmeldesystemen – ein integrierter Ansatz
Generell sind moderne Einbruch- und Angriffserkennungssysteme aus sicherheitstechnischer Sicht noch weit von ergonomischen und effektiven Lösungen entfernt. Eine erhöhte Effizienz sollte nicht nur im Bereich der Erkennung böswilliger Einflüsse auf die Infrastruktur geschützter Informationsobjekte eingeführt werden, sondern auch im Hinblick auf den täglichen „Kampf“-Einsatz dieser Mittel sowie die Einsparung von Rechenaufwand und Informationsressourcen der Besitzer dieses Schutzsystems.
Wenn wir direkt über Datenverarbeitungsmodule sprechen, dann ist, der Logik des vorherigen Abschnitts folgend, jede Angriffssignatur im vorgestellten Schema zur Verarbeitung von Angriffsinformationen ein Grundelement für die Erkennung allgemeinerer Aktionen – die Erkennung der Angriffsphase (Stufe ihrer Implementierung). Das eigentliche Konzept einer Signatur wird auf eine entscheidende Regel verallgemeinert (zum Beispiel durch die Suche nach Anomalien im Netzwerkverkehr oder den Tastatureingaben des Benutzers). Und im Gegenteil, jeder Angriff ist in eine Reihe von Phasen seiner Umsetzung unterteilt. Je einfacher der Angriff, desto einfacher ist er zu erkennen und desto mehr Möglichkeiten gibt es, ihn zu analysieren. Jede Signatur ordnet ein bestimmtes Ereignis in einem Computernetzwerk und einer lokalen Umgebung dem Phasenraum von Computerangriffen zu. Die Phasen können frei definiert werden, es ist jedoch besser, genügend Details beizubehalten, um Angriffe anhand detaillierter Angriffsszenarien (eine Liste von Angriffsphasen und Übergängen zwischen ihnen) beschreiben zu können.
Das Angriffsszenario ist in diesem Fall ein Übergangsgraph ähnlich dem Graphen eines endlichen deterministischen Automaten. Und die Angriffsphasen lassen sich beispielsweise wie folgt beschreiben:
- Porttests;
- Identifizierung von Software und Hardware;
- Sammlung von Bannern;
- Nutzung von Exploits;
- Störung der Netzwerkfunktionalität durch Denial-of-Service-Angriffe;
- Kontrolle durch Hintertüren;
- Suche nach installierten Trojanern;
- Suche nach Proxyservern;
- Entfernen von Präsenzspuren;
- usw. (ggf. mit unterschiedlichem Detaillierungsgrad).
Die Vorteile dieses Ansatzes liegen auf der Hand: Bei der getrennten Bearbeitung verschiedener Phasen eines Angriffs wird es möglich, eine Bedrohung bereits im Prozess ihrer Vorbereitung und Entstehung zu erkennen und nicht erst in der Phase ihrer Umsetzung, wie es bei bestehenden Angriffen der Fall ist Systeme. Gleichzeitig kann die elementare Grundlage für die Erkennung sowohl die Suche nach Signaturen als auch die Identifizierung von Anomalien, der Einsatz von Expertenmethoden und -systemen, Vertrauensbeziehungen und anderen bereits bekannten und implementierten Informationen sowie Netzwerk- und lokale Grundelemente zur Bewertung des Flusses auftretender Ereignisse sein in der Computerumgebung.
Ein verallgemeinerter Analyseansatz ermöglicht es, verteilte (in jeder Hinsicht) Bedrohungen sowohl im zeitlichen, logischen als auch im physischen Raum zu identifizieren. Das allgemeine Schema zur Verarbeitung eingehender Ereignisse ermöglicht auch die Suche nach verteilten Angriffen – durch anschließende Aggregation von Daten aus verschiedenen Quellen und Design-Metadaten über bekannte Vorfälle entlang des geschützten „Perimeters“ (siehe).
Abbildung 5. Integrierte Schaltung zur Erkennung von Computerangriffen
Verteilte Angriffe werden durch die Aggregation von Daten zu eingehenden Angriffen und verdächtigen Aktivitäten sowie durch Mustervergleich und statistische Filterung identifiziert. Die Meldung verdächtiger Aktivitäten in Computersystemen erfolgt daher auf mehreren Ebenen:
- die untere Ebene meldet primitive Ereignisse (Signaturübereinstimmungen, Anomalieerkennung);
- Die mittlere Schicht extrahiert Informationen aus der unteren Schicht und aggregiert sie mithilfe endlicher Zustandsmaschinen (Angriffsskripte), statistischer Analysen und Schwellenwertfiltermechanismen.
- Die höchste Ebene aggregiert Informationen aus den beiden vorherigen und ermöglicht es Ihnen, konventionelle und verteilte Angriffe sowie ihre wahre Quelle zu identifizieren und ihr weiteres Verhalten auf der Grundlage intelligenter Analysen vorherzusagen.
Der Kern eines Systems zur Erkennung von Computerangriffen muss klar vom Visualisierungs- und Alarmsystem getrennt sein.
Um nach Signaturen in Netzwerkpaketen zu suchen, werden Regeln verwendet, die eine Liste von Optionen (Pass) bilden, anhand derer eingehende Netzwerkpakete überprüft werden. Bestehende Systeme(wie Snort oder PreludeIDS, das Snort-Regeln verwendet) verwenden zeilenbasierte Beschreibungen solcher Regeln:
Alarm tcp $HOME_NET 1024:65535 ->
$EXTERNAL_NET 1024:65535
(msg:"BLEEDING-EDGE TROJAN Trojan.Win32.Qhost C&C Traffic Outbound (case1)";
Fluss: etabliert;
dsize:>1000;
Inhalt:"|00 00 00 28 0a 00 00 02 0f|Service Pack 1|00|";
Klassentyp:Trojaner-Aktivität;
Referenz: URL,/www.viruslist.com/en/viruses/encyclopedia?virusid=142254;
Sid:2007578;
rev:1;
)
Dieser Typ ist für eine schnelle maschinelle Verarbeitung bequemer, für den Menschen jedoch weniger geeignet. Darüber hinaus fehlen die Möglichkeiten zur Erweiterung der Funktionalität, die XML-ähnlichen Implementierungen von Signaturdatenbanken eigen sind. Mit einer einfachen „klammerartigen“ Konfiguration können Sie beispielsweise eine Reihe von Steuervariablen schreiben und die Regeln in einer viel angenehmeren und verständlicheren visuellen Form beschreiben, während Sie gleichzeitig die Möglichkeit behalten, die Funktionalität einfach zu erweitern. Daher kann die Definition der Phasen von Angriffen, geschützten Objekten und Ereignissen im Netzwerk wie folgt aussehen:
Type_defs(
Warnung = 1;
Warnung = 2;
scheitern = 4;
}
srcdst_defs(
HOME_NET = 195.208.245.212
localhost = 127.0.0.1
}
proto_defs(
tcp = 1;
udp = 2;
TCP-Flow = 10;
}
phase_defs(
port_scanning = 1;
ausnutzen = 2;
icmp_sweeping = 3;
ftp_bounce = 4;
shell_using = 5;
dir_listing = 6;
file_opening = 7;
}
Und der Abschnitt zur Identifizierung von Inkann Hauptpositionen wie die folgenden haben:
Treat_defs = (
behandeln(
name = Datei-unautorisierter-Zugriff;
id = FUAC;
msg = "Nachricht auf Englisch";
}
}
Neben der flexiblen Anzeige von Bedrohungen, Angriffsphasen und Schutzobjekten ermöglicht die integrierte Informationsverarbeitung zur Erkennung von Bedrohungen der Informationssicherheit auch die Einführung eines serviceorientierten Ansatzes zur Angriffserkennung, der automatisch oder manuell Beschreibungen von Netzwerk- und Netzwerkdaten generiert lokale Dienste sowie die Priorisierung der Bedeutung im Hinblick auf die Gewährleistung des angemessenen Niveaus der Informationssicherheit und der lebenswichtigen Aktivität der Netzwerkinformationsinfrastruktur.
Service_defs = (
Service (
name = pop3;
msg = "";
Rulesets = "Backdoors, Pop3scanners";
security_tolerance = 3
life_insurance = 5
}
}
Die Regeln selbst sehen beispielsweise wie folgt aus:
Regelsatz(
Name = Hintertüren;
Regel(
id = 0x1000;
Typ = Warnung;
proto = tcp;
src = localhost;
dst = 195.208.245.0/24:2000;
msg = "service::was ist an dieser Warnung schlecht";
Optionen = AP,vice_versa;
enthält = "|0a0a0d03|";
Phase = Ausbeutung;
treat = file-unauthorized-access;
Revision = 1;
}
}
Hierbei werden sowohl klassische Anzeichen eines Ereignisses berücksichtigt (Art des Ereignisses, Erkennungsprotokoll, Quelle und Ziel der Einflussnahme, Kurznachricht) als auch zusätzliche – die Angriffsphase, die Art der Bedrohung, auf die sich das Ereignis bezieht. In diesem Fall können die Regeln selbst in Gruppen zusammengefasst werden, die dann geeignet sind, sie mit im geschützten System installierten Netzwerk- und lokalen Diensten zu verknüpfen.
Wenn wir auf die Wirksamkeit der Regelprüfung in Systemen zur Erkennung von Netzwerkangriffen zurückkommen, sollten wir die folgende Tatsache beachten. Derzeit werden alle Regeln in SOA-Systemen wie folgt überprüft (siehe). Heterogene Regeln werden Regel für Regel separat überprüft, während homogene Operationen an Paketen stets separat ausgeführt werden. Dieser Ansatz ermöglicht es nicht, die Verarbeitung von Netzwerkpaketen effektiv zu parallelisieren, die Fähigkeiten mehrerer Pipelines auf modernen Prozessoren vollständig zu nutzen oder die Suche nach teilweise ähnlichen Signaturregeln zu optimieren.
Dieser Ansatz hat jedoch auch einen Nachteil, wenn beispielsweise Muster miteinander in Beziehung stehen (hier ist ein Beispiel für ein solches Muster: Suchen Sie das erste Vorkommen und prüfen Sie anschließend, ob eine bestimmte Binärsequenz relativ dazu vorhanden ist). ein paar Bytes). Zwar gibt es eine überwältigende Minderheit solcher Regeln (selbst nach den allgemein anerkannten Regeln des beliebten SOA Snort zu urteilen), was es ermöglicht, sie in eine separate Klasse parallelisierbarer Methoden einzuordnen und beliebige zu verwenden einfache Methoden sequentielle Kontrolle.
Zusätzlich zum Vorteil der Parallelisierung des Signatursuchprozesses wird es möglich, Methoden zur gleichzeitigen Suche nach vielen Signaturen in einem Netzwerkstrom in einem Durchgang zu verwenden (Sie können beispielsweise eine große Zustandsmaschine für die meisten beteiligten Muster erstellen). die Regeln oder verwenden Sie ein Multi-Signatur-Upgrade des Boyer-Moore-Algorithmus).
Experimentelle Tests verschiedener Implementierungsmöglichkeiten für Methoden zur gleichzeitigen Suche nach vielen Signaturen haben gezeigt, dass die Implementierung einer großen endlichen Zustandsmaschine am schnellsten ist, die so modifiziert ist, dass homogene Fehler „übersprungen“ werden können – Auslassungen und Einfügungen beliebiger Länge. sowie Ersetzungsfehler (aufgrund einer recht häufig vorkommenden Änderung der Signatur, um sie vor der SOA zu verbergen).
Die Regeln (Vorlagen), die am schwierigsten zu überprüfen sind, können in binären Plug-Ins vorkompiliert werden (wie dies beispielsweise im RealSecure IDS-System der Fall ist).
Abschluss
Der moderne Ansatz zum Aufbau von Netzwerk-Intrusion-Detection-Systemen und zur Identifizierung von Anzeichen von Computerangriffen auf Informationssysteme ist voller Mängel und Schwachstellen, die es leider böswilligen Einflüssen ermöglichen, Informationssicherheitssysteme erfolgreich zu überwinden. Der Übergang von der Suche nach Angriffssignaturen zur Ermittlung der Voraussetzungen für die Entstehung von Bedrohungen der Informationssicherheit dürfte zu einer radikalen Veränderung beitragen diese Situation, wodurch die Lücke in der Entwicklung von Schutzsystemen gegenüber Systemen zu ihrer Überwindung verringert wird.
Darüber hinaus sollte ein solcher Übergang zu einer höheren Effizienz des Inund schließlich zu konkreteren Beispielen für die Anwendung von Regulierungs- und Leitliniendokumenten beitragen, die bereits zu Standards geworden sind.