Previous: 6.3.4 Что делать если вы атакованы? UP: 6.3 Система Firewall
Next: 6.3.6 Кибероружие и кибервойны

6.3.5 IPS нового поколения (HP)

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Сегодня предприятия и правительственные агентства столкнулись с угрозами типа APT (Advanced persistent threat) . Эти атаки часто используют социальную инженерию и другие методики, для того чтобы получить контроль над корпоративной сетью. Смотри RSA Releases SBIC Report Focused on Defense against Advanced Persistent Threats (HP). Рассмотренная ниже система является частью HP Enterprise Security Network Defense System (NDS - система обеспечения сетевой безопасности).

Конечно ISP нового поколения, описанный в рассматриваемой статье, не является панацеей и не может предотвратить все угрозы, но это шаг в правильном направлении.

IPS нового поколения, объединяет в себе знание о свойствах приложений, контекста и возможности высокоскоростного предотвращения вторжения, для того чтобы детектировать и остановить атаки типа APT.

Современные организованные киберпреступники берут на вооружение все новейшие технологии и техники атак, включая:

Социальную среду, которая упрощает преступникам сбор персональных данных, которые могут быть использованы при сетевых атаках.
Мобильные устройства, которые могут упростить вторжения в корпоративные сети.
Технику атак нулевого дня, которая предоставляет пути для компрометации laptop и персональных компьютеров, прежде чем их программное обеспечение будет обновлено для противодействия таким вторжениям.
Узко специализированные атаки, которые осуществляются до того, как их сигнатуры станут известны.

К сожалению, все это упрощает новым атакам преодоление традиционных средств информационной обороны.

Технологии, базирующиеся на сигнатурах, являются пока еще базовыми в системе обороны, но они уже никогда не смогут отразить всех современных атак.

В марте 2011 RSA, отделе безопасности корпорации EMC, было официально признано, что против корпоративной сети успешно осуществлена кибератака и извлечены данные, касающиеся программ двухфакторной аутентификации. Последствия для RSA были достаточно серьезными, включая $66 млн. потерь, связанных с заменой параметров доступа клиентов и пр. Понесла ущерб и репутация самой компании RSA.

Атака против RSA была осуществлена в три этапа. На начальном этапе вторжения была использована техника социальной инженерии, результатом этой операции была загрузка вредоносного кода во внутреннюю сеть.

Атакер послал почтовое сообщение со строкой в поле subject “2011 Recruitment Plan” четырем сотрудникам EMC, родительской компании RSA (рис. 1). Сообщение выглядело, как посланное WEB-мастером сети Beyond.com, базовой сети корпоративного сайта.

Рис. 1. Phishing email

Один из сотрудников извлек это сообщение из каталога электронной почты и прочитал сообщение (“I forward this file to you for review. Please open and view it”), а также открыл файл-приложение (Microsoft Excel) “2011 Recruitment plan.xls.” Excel-файл был пустым за исключением небольшого символа в одной из ячеек (Рис. 2).

Рис.2. Страница exel

Когда файл электронной таблицы был открыт, встроенный flash-объект использовал уязвимость Adobe Flash (CVE-2011-0609), и загрузил в систему сотрудника троянского коня удаленного доступа (RAT), называемого Poison Ivy.

Далее атакер выполняет следующее:

Использует троянского коня, для того чтобы сформировать канал управления от компрометированной системы до машины хакера.
Сканирует сеть и выявляет стратегические системы, содержащие нужные хакеру данные.
Находит пользователей с высокими административными привилегиями и определяет их параметры доступа.
Использует параметры доступа для извлечения нужной конфиденциальной информации (процесс называется "эскалацией привилегий").

После этого хакер:

Извлекает конфиденциальные данные из компрометированных систем (одновременно запускаются отвлекающие атаки на системы кадровой службы компании, чтобы отвлечь группу безопасности RSA и переправить данные на серверы, которые можно использовать для последующей передачи за пределы корпоративной сети).
Файлы архивируются (RAR) и шифруются на промежуточных серверах, затем с помощью FTP файлы передаются внешней системе (good.mincesur.com), которая часто используется для кибератак.
Полученные данные используются для уточнения технологии аутентификации RSA для последующих атак против клиентов RSA.

Существует несколько мест во много ступенчатой атаке, где теоретически можно предотвратить ущерб.

Итак, имеется защита от этого типа умного упорного атакера? Может быть детектирована и остановлена подобная атака?

Попытаемся сформулировать требования к IPS нового поколения.

Стандартные возможности IPS первого поколения, такие как чтение сетевого трафика в реальном масштабе времени и блокировка атак, которые оказались распознаны по их сигнатурам.
Знание приложения и прозрачность всего стека, чтобы идентифицировать трафик специальных приложений и улучшить политику безопасности на прикладном уровне.
Знание контекста, чтобы использовать информацию из различных источников помимо IPS, для улучшения блокирующих решений — например, идентификационную информацию пользователя из каталогов, данные о положении, такие как адрес отправителя пакетов, а также репутационная информация, идентифицирующая подозрительные WEB-сайты IP-адреса.
Знание содержимого, чтобы инспектировать и классифицировать типы файлов во входящем и исходящем трафике.
Адаптивный процессор, который упрощает обновление с учетом поступления новых данных и разрабатываемых методик детектирования.

Трехслойная модель защиты

Для того чтобы поднять безопасность в новых условиях, предлагается сделать систему обороны трехслойной (см. рис.3).

Рис.3. Трехслойная модель обороны

На верхнем уровне это не физическое устройство, а скорее сервис безопасности со встроенным интеллектом. Этот сервис предоставляет не только традиционные сигнатуры угроз и пэтчи, но также оперативно снабжает систему данными о трафике, и может использоваться для детектирования и блокировки новых угроз и новых их разновидностей.

На среднем уровне, размещаются основные функции IPS следующего поколения. Это IPS с очень высокими рабочими характеристиками и возможностью детектировать и блокировать сетевой трафик на основе анализа контекста или содержимого.

Нижний уровень (HP ArcSight SIEM) представляет собой продвинутый компонент управления, который использует информацию из IPS и системных журнальных файлов. Он может уведомлять администратора, когда происходит определенная комбинация событий, или когда число подозрительных событий превысит определенный порог.

Ниже поясняется как новая схема может парировать атаку, описанную выше.

Нет гарантии, что упорный атакер может быть всегда остановлен. Но мы можем показать, как IPS следующего поколения может блокировать уязвимость RSA. В действительности наличие контекстуальной информации и другие характеристики корректно сконфигурированного IPS нового поколения могут позволить детектировать и блокировать подозрительную активность на семи различных фазах атаки. Это проиллюстрировано в таблице 1.

N	Этап атаки	Контрмеры IPS	Как эти меры могут предотвратить RSA-атаку
1	Целевой phishing	Знание контекста: блокирует входной трафик от “известных плохих” WEB-сайтов, включая известные spam и phishing сайты и контроллеры botnet. Знание содержимого: детектирует технику целевого phishing (напр., фальсификация адреса отправителя или связи, где отображенный текст не соответствует реальному URL), затем блокирует почтовые сообщения phishing.	Почтовые сообщения phishing не будут доставлены сотрудникам компании.
2	Вредоносное приложение почты	Знание содержимого: Использует фильтры содержимого, чтобы идентифицировать и блокировать почтовые сообщения с вредоносными приложениями.	Почтовые сообщений с вредоносными приложениями не попадут к сотрудникам.
3	Использует уязвимость приложения для установки троянского коня	Защита уязвимостей: использует фильтры для детектирования кодов, предназначенных для использование известных уязвимостей.	Почтовые сообщений с вредоносными приложениями не попадут к сотрудникам.
4	Троянский конь формирует управление со стороны внешней системы	Знание контекста: блокировать исходящий трафик, адресованный “известному плохому” WEB-сайту. Знание содержимого: чтобы детектировать исходящий трафик, содержащий признаки хакерской активности по формированию управляющего канала, после чего этот трафик блокируется.	Атакер не сможет взаимодействовать с троянским конем.
5	Атакер исследует и сканирует сеть	Знание контекста: Детектируется сканирование сети, изолируются система, инициировавшая сканирование, уведомляются администраторы и вовлеченные пользователи. Знание контекста: Используется информация о географическом положении для регистрации момента переключения атаки снаружи на внутреннюю атаку, после чего внутренняя система изолируется.	Разведывательная активность атакера детектируется и останавливается.
8	Извлекается информация из определенных подсистем и переносится в промежуточный сервер	Корелляция событий: Устанавливается соотношение между сигналами тревоги и событиями, чтобы идентифицировать отклонение ситуации от нормальной (напр., передача данных во вне рабочие часы, данные перемещаются из отдела с конфиденциальной информацией в департамент, который не использует такие данные или сотрудники путаются получить доступ к ресурсам, которыми они обычно не пользуются), после чего уведомляются системные администраторы.	Активность атакера будет детектирована до того, как информация будет похищена.
9	Зашифрованные данные пересылаются на внешний сервер	Знание контекста: Детектируется и блокируется исходящий трафик в направлении доменов, известных как “вредоносные”.	Атакер не сможет извлечь конфиденциальные данные.

В контексте уязвимости RSA, системы HP TippingPoint способны сделать следующее (второй уровень, см. рис. 3):

Идентифицировать почтовые сообщения, как приходящие из “известного плохого” WEB-сайта и блокировать их.
Идентифицировать phishing и блокировать почтовые сообщения.
Идентифицировать приложение, как содержащее троянского коня и/или идентифицировать приложение, как содержащее код, предназначенный для вторжения с использованием уязвимости Adobe Flash.
Детектировать трафик в или из центра управления и блокировать его.
Детектировать сканирования сети, и другие разведывательные действия, после чего уведомлять системных администраторов.
Детектировать переключение атаки снаружи на атаку изнутри и выдавать информацию системе SIEM для выявление корелляций и для анализа.
Детектировать трафик в направлении к “известному плохому” mincesure.com сайту и блокировать этот трафик.

Использование SMS (HP TippingPoint Security Management System) предоставляет возможности управления для поддержки окружения IPS нового поколения. Они дают администраторам безопасности цельную картину состояния системы, чтобы немедленно реагировать на кибератаку, выявить положение и идентификацию злоумышленника и минимизировать урон.

В контексте уязвимости RSA, системы SMS и ArcSight SIEM (Security Information & Event Management) могут использоваться для детектирования отклонения от нормального уровня активности, включая попытки доступа атакера к внутренним подсистемам, передачу данных от скомпрометированных рабочих станций к промежуточным серверам. Некоторые подробности можно получить по адресу http://www.hpenterprisesecurity.com/ngips.

Previous: 6.3.4 Что делать если вы атакованы? UP: 6.3 Система Firewall
Next: 6.3.6 Кибероружие и кибервойны

6.3.5 IPS нового поколения (HP)

Семенов Ю.А. (ИТЭФ-МФТИ)Yu. Semenov (ITEP-MIPT)

Трехслойная модель защиты

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)