previous up next index search
Previous: 6.3.4 Что делать если вы атакованы?    UP: 6.3 Система Firewall
    Next: 6.3.6 Кибероружие и кибервойны

6.3.5 IPS нового поколения (HP)

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Сегодня предприятия и правительственные агентства столкнулись с угрозами типа APT (Advanced persistent threat) . Эти атаки часто используют социальную инженерию и другие методики, для того чтобы получить контроль над корпоративной сетью. Смотри RSA Releases SBIC Report Focused on Defense against Advanced Persistent Threats (HP). Рассмотренная ниже система является частью HP Enterprise Security Network Defense System (NDS - система обеспечения сетевой безопасности).

Конечно ISP нового поколения, описанный в рассматриваемой статье, не является панацеей и не может предотвратить все угрозы, но это шаг в правильном направлении.

IPS нового поколения, объединяет в себе знание о свойствах приложений, контекста и возможности высокоскоростного предотвращения вторжения, для того чтобы детектировать и остановить атаки типа APT.

Современные организованные киберпреступники берут на вооружение все новейшие технологии и техники атак, включая:

К сожалению, все это упрощает новым атакам преодоление традиционных средств информационной обороны.

Технологии, базирующиеся на сигнатурах, являются пока еще базовыми в системе обороны, но они уже никогда не смогут отразить всех современных атак.

В марте 2011 RSA, отделе безопасности корпорации EMC, было официально признано, что против корпоративной сети успешно осуществлена кибератака и извлечены данные, касающиеся программ двухфакторной аутентификации. Последствия для RSA были достаточно серьезными, включая $66 млн. потерь, связанных с заменой параметров доступа клиентов и пр. Понесла ущерб и репутация самой компании RSA.

Атака против RSA была осуществлена в три этапа. На начальном этапе вторжения была использована техника социальной инженерии, результатом этой операции была загрузка вредоносного кода во внутреннюю сеть.

  1. Атакер послал почтовое сообщение со строкой в поле subject “2011 Recruitment Plan” четырем сотрудникам EMC, родительской компании RSA (рис. 1). Сообщение выглядело, как посланное WEB-мастером сети Beyond.com, базовой сети корпоративного сайта.
  2. Рис. 1. Phishing email

  3. Один из сотрудников извлек это сообщение из каталога электронной почты и прочитал сообщение (“I forward this file to you for review. Please open and view it”), а также открыл файл-приложение (Microsoft Excel) “2011 Recruitment plan.xls.” Excel-файл был пустым за исключением небольшого символа в одной из ячеек (Рис. 2).
  4. Рис.2. Страница exel

  5. Когда файл электронной таблицы был открыт, встроенный flash-объект использовал уязвимость Adobe Flash (CVE-2011-0609), и загрузил в систему сотрудника троянского коня удаленного доступа (RAT), называемого Poison Ivy.


  6. Далее атакер выполняет следующее:

  7. Использует троянского коня, для того чтобы сформировать канал управления от компрометированной системы до машины хакера.
  8. Сканирует сеть и выявляет стратегические системы, содержащие нужные хакеру данные.
  9. Находит пользователей с высокими административными привилегиями и определяет их параметры доступа.
  10. Использует параметры доступа для извлечения нужной конфиденциальной информации (процесс называется "эскалацией привилегий").


  11. После этого хакер:

  12. Извлекает конфиденциальные данные из компрометированных систем (одновременно запускаются отвлекающие атаки на системы кадровой службы компании, чтобы отвлечь группу безопасности RSA и переправить данные на серверы, которые можно использовать для последующей передачи за пределы корпоративной сети).
  13. Файлы архивируются (RAR) и шифруются на промежуточных серверах, затем с помощью FTP файлы передаются внешней системе (good.mincesur.com), которая часто используется для кибератак.
  14. Полученные данные используются для уточнения технологии аутентификации RSA для последующих атак против клиентов RSA.

Существует несколько мест во много ступенчатой атаке, где теоретически можно предотвратить ущерб.

Итак, имеется защита от этого типа умного упорного атакера? Может быть детектирована и остановлена подобная атака?

Попытаемся сформулировать требования к IPS нового поколения.

Трехслойная модель защиты

Для того чтобы поднять безопасность в новых условиях, предлагается сделать систему обороны трехслойной (см. рис.3).

Рис.3. Трехслойная модель обороны

На верхнем уровне это не физическое устройство, а скорее сервис безопасности со встроенным интеллектом. Этот сервис предоставляет не только традиционные сигнатуры угроз и пэтчи, но также оперативно снабжает систему данными о трафике, и может использоваться для детектирования и блокировки новых угроз и новых их разновидностей.

На среднем уровне, размещаются основные функции IPS следующего поколения. Это IPS с очень высокими рабочими характеристиками и возможностью детектировать и блокировать сетевой трафик на основе анализа контекста или содержимого.

Нижний уровень (HP ArcSight SIEM) представляет собой продвинутый компонент управления, который использует информацию из IPS и системных журнальных файлов. Он может уведомлять администратора, когда происходит определенная комбинация событий, или когда число подозрительных событий превысит определенный порог.

Ниже поясняется как новая схема может парировать атаку, описанную выше.

Нет гарантии, что упорный атакер может быть всегда остановлен. Но мы можем показать, как IPS следующего поколения может блокировать уязвимость RSA. В действительности наличие контекстуальной информации и другие характеристики корректно сконфигурированного IPS нового поколения могут позволить детектировать и блокировать подозрительную активность на семи различных фазах атаки. Это проиллюстрировано в таблице 1.

NЭтап атакиКонтрмеры IPSКак эти меры могут предотвратить RSA-атаку
1Целевой phishingЗнание контекста: блокирует входной трафик от “известных плохих” WEB-сайтов, включая известные spam и phishing сайты и контроллеры botnet.
Знание содержимого: детектирует технику целевого phishing (напр., фальсификация адреса отправителя или связи, где отображенный текст не соответствует реальному URL), затем блокирует почтовые сообщения phishing.
Почтовые сообщения phishing не будут доставлены сотрудникам компании.
2Вредоносное приложение почтыЗнание содержимого: Использует фильтры содержимого, чтобы идентифицировать и блокировать почтовые сообщения с вредоносными приложениями.Почтовые сообщений с вредоносными приложениями не попадут к сотрудникам.
3Использует уязвимость приложения для установки троянского коняЗащита уязвимостей: использует фильтры для детектирования кодов, предназначенных для использование известных уязвимостей.Почтовые сообщений с вредоносными приложениями не попадут к сотрудникам.
4Троянский конь формирует управление со стороны внешней системыЗнание контекста: блокировать исходящий трафик, адресованный “известному плохому” WEB-сайту.
Знание содержимого: чтобы детектировать исходящий трафик, содержащий признаки хакерской активности по формированию управляющего канала, после чего этот трафик блокируется.
Атакер не сможет взаимодействовать с троянским конем.
5Атакер исследует и сканирует сетьЗнание контекста: Детектируется сканирование сети, изолируются система, инициировавшая сканирование, уведомляются администраторы и вовлеченные пользователи.
Знание контекста: Используется информация о географическом положении для регистрации момента переключения атаки снаружи на внутреннюю атаку, после чего внутренняя система изолируется.
Разведывательная активность атакера детектируется и останавливается.
8Извлекается информация из определенных подсистем и переносится в промежуточный сервер Корелляция событий: Устанавливается соотношение между сигналами тревоги и событиями, чтобы идентифицировать отклонение ситуации от нормальной (напр., передача данных во вне рабочие часы, данные перемещаются из отдела с конфиденциальной информацией в департамент, который не использует такие данные или сотрудники путаются получить доступ к ресурсам, которыми они обычно не пользуются), после чего уведомляются системные администраторы.Активность атакера будет детектирована до того, как информация будет похищена.
9Зашифрованные данные пересылаются на внешний серверЗнание контекста: Детектируется и блокируется исходящий трафик в направлении доменов, известных как “вредоносные”.Атакер не сможет извлечь конфиденциальные данные.

В контексте уязвимости RSA, системы HP TippingPoint способны сделать следующее (второй уровень, см. рис. 3):

Использование SMS (HP TippingPoint Security Management System) предоставляет возможности управления для поддержки окружения IPS нового поколения. Они дают администраторам безопасности цельную картину состояния системы, чтобы немедленно реагировать на кибератаку, выявить положение и идентификацию злоумышленника и минимизировать урон.

В контексте уязвимости RSA, системы SMS и ArcSight SIEM (Security Information & Event Management) могут использоваться для детектирования отклонения от нормального уровня активности, включая попытки доступа атакера к внутренним подсистемам, передачу данных от скомпрометированных рабочих станций к промежуточным серверам. Некоторые подробности можно получить по адресу http://www.hpenterprisesecurity.com/ngips.


Previous: 6.3.4 Что делать если вы атакованы?    UP: 6.3 Система Firewall
    Next: 6.3.6 Кибероружие и кибервойны