Статья только в электронной версии журнала
По мере роста числа уязвимых с точки зрения безопасности мест в программном обеспечении - о чем свидетельствуют, например, сообщения о дефектах протокола SNMP - все больше производителей обращаются к так называемым технологиям предотвращения вторжения, предназначенным для выявления и устранения брешей контура безопасности прежде, чем ими воспользуется какой-нибудь злоумышленник.
Среди фирм, дополнивших новыми средствами обнаружения атак и уязвимых мест продукты для традиционного реагирования на нарушения безопасности, можно назвать Recourse Technologies (Редвуд-Сити, шт. Калифорния), Foundstone (Мишн-Вьехо, шт. Калифорния) и SecurityFocus (Сан-Матео, шт. Калифорния). Благодаря им администраторы могут теперь более надежно защищать свои сети от комбинированных угроз.
“Профилактика намного лучше лечения, - утверждает Уилл Танг, консультант по вопросам компьютерной безопасности из корпорации Southern California Edison (Роузмид, шт. Калифорния). - Знакомство с потенциальной угрозой до первого реального столкновения с ней делает ваше положение значительно прочнее”.
Взять для примера дефекты протокола SNMP, о которых стало известно в начале февраля. Поскольку дело заключается в особенностях обработки и декодирования сообщений SNMP-менеджеров и агентских компонентов, эти дефекты затрагивают продукты десятков различных производителей. Атаки, основанные на их использовании, не обнаруживались традиционными IDS (intrusion detection system - система обнаружения вторжений).
В середине февраля Recourse представила очередную версию своего ПО контроля угроз ManHunt, сочетающего в себе функции обнаружения вторжения и выявления аномалий в протоколе с целью предотвращения новых атак.
Традиционные IDS-системы для обнаружения атак используют базы данных известных признаков и нуждаются в регулярном обновлении сигнатур. ManHunt 2.0 опирается на более широкую схему обнаружения аномальных проявлений на основе мониторинга протоколов HTTP, SNMP и TCP/IP и БД признаков опасности входит в нее лишь как составная часть.
Датчики ManHunt способны принимать сигналы от широкого спектра сетевых устройств, включая IDS-датчики других производителей, брандмауэры и маршрутизаторы, а также анализировать эти данные и устанавливать корреляцию между ними с целью обнаружения атак новых типов и эшелонированных атак. В случае обнаружения такой атаки менеджер может самостоятельно составить и ввести в БД ManHunt сигнатуру ее признаков. В основу этой системы, запланированной к выпуску в марте, положена БД дефектов безопасности, которую ведет фирма SecurityFocus.
Foundstone, известная больше как поставщик высококачественных администрируемых услуг обеспечения безопасности, также выходит на рынок средств предотвращения вторжений, выпустив ПО FoundScan Vulnerability Management Software.
Новый продукт основан на известной технологии FoundScan и представляет собой систему выявления уязвимых мест и выдачи уведомлений. Он проводит ежедневные проверки сети и предоставляет администратору полный реестр установленного в ней аппаратного и программного обеспечения.
По получении уведомления об обнаруженном дефекте администратор может обратиться к последнему моментальному снимку сети и посмотреть, какие системы находятся под угрозой. Когда будет установлено уязвимое место, функция VulnTrack нового ПО автоматически сгенерирует задание на проведение необходимых работ.
В дальнейшем менеджер может передать это задание аналитику по безопасности для устранения дефекта и занесения сведений о нем в систему Foundstone. В завершение цикла ПО проведет целевую проверку действенности всех мероприятий.
SecurityFocus анонсировала в середине февраля систему контроля угроз Aris 3.0. Этот продукт позволяет устанавливать пороговые значения контролируемых параметров, при превышении которых выдаются уведомления, а также выполнять настройку уведомлений с учетом особенностей установленных в обслуживаемой сети продуктов. Aris использует не только поддерживаемую SecurityFocus БД дефектов безопасности, но и данные, извлекаемые из 9200 с лишним регистрационных журналов систем IDS, эксплуатируемых клиентами этой компании по всему миру.
Анализ и синтез информации из всех перечисленных источников позволяет системе Aris своевременно выдавать уведомления о приближении тех или иных угроз безопасности. Например, по словам представителей производителя, ранние версии червя Code Red были обнаружены таким образом еще за две недели до первой эпидемической вспышки.
Подобно ManHunt, система Aris 3.0, выпущенная 4 марта, способна осуществлять корреляцию данных, получаемых от продуктов других производителей, и приводить их к единой системе показателей.