Новые решения выявляют проникновения с внутренней стороны сетевого периметра
Деннис Фишер
После десятилетия разработок в области обороны внешних границ сети производители средств безопасности начали наконец уделять больше внимания последнему рубежу цифровой безопасности - уязвимой сердцевине корпоративных сетей.
Главная задача нового направления состоит не в отпоре попыткам взлома - за это отвечают поставщики брандмауэров и IDS (систем обнаружения вторжений). Вместо этого все больше производителей ПО и аппаратуры, например фирмы Sanctum, Kavado, Application Security и Intrusic, занимается ограничением ущерба от взломщиков, сумевших проскочить через внешние укрепления.
Подходы разных компаний к данной проблеме весьма индивидуальны, и хорошим примером многообразия являются два решения, показанные на недавней конференции RSA Conference фирмами Intrusic и Application Security.
Intrusic представила свою систему Zephon, заполняющую один из пробелов в технологиях безопасности. Она не пытается засечь и заблокировать сканирования, атаки или интрузии. Ее функция - внимательное прочесывание сетей, обнаружение признаков действий взломщиков и предоставление детальной статистики с рекомендациями по исправлению дефектов. Идея состоит в устранении реальной проблемы, а не только ее симптомов.
"Выявляя факты проникновения, мы предлагаем не одноразовые меры борьбы с ними, а стремимся поставить им окончательный заслон, - говорит исполнительный директор Intrusic Брюс Линтон. - Если хакер уже проник в сеть, то с какой стати ему нужны повторные атаки? Значит, с помощью стандартных средств безопасности мы его действий уже не заметим".
Фирма Intrusic создана по замыслу Джастина и Джонатана Бингамов. Однако компания известна тем, что там работает Мадж, или Пейтер Затко, - один из членов первого состава организаций L0pht и @Stake. Два года назад Мадж покинул @Stake и с тех пор поубавил в активности. Сегодня он главный научный сотрудник Intrusic.
Решение Intrusic пассивно прослушивает сеть и регистрирует каждый пакет, перемещающийся между пользователями и различными узлами сети. В начале работы система делает снимок сети, чтобы зафиксировать текущее состояние ее безопасности. Zephon копирует все пакеты и анализирует трафик на трех разных уровнях: исследует пакет в поисках внутренних признаков компрометации, просматривает трафик на сеансовом уровне и, наконец, на уровне безопасности приложений. При этом каждое обследование осуществляется независимо от других. Любые данные, свидетельствующие о признаках взлома, направляются в подсистему Master Confidence Table - базу данных, где производится вторичный анализ.
Все итоги анализов попадают в ГИП, и сетевые администраторы могут видеть статистику общего числа скомпрометированных узлов, вторжений и другие важные данные.
Zephon имеет три уровня отчетов, от общих сводок для начальства до детальных описаний на уровне узлов для администраторов. Вместе с тем продукт достаточно прост для пользователей без специальной подготовки по безопасности.
Фирма Application Security представила новую версию своего ПО AppDetective, осуществляющего непрерывную оценку сетевого риска. Решение включает коллекторы на различных узлах сети, вбирающие данные брандмауэров, маршрутизаторов, IDS и тому подобных устройств, расположенных по периметру сети. Коллекторы пересылают информацию на главный сервер AppDetective, который формирует модель сети и может моделировать атаки на внутренние узлы для выявления уязвимых точек. Результаты моделирования атак далее поступают в пользовательский интерфейс ПО.
Помимо этого компания только что выпустила решение под названием AppRadar, действующее наподобие внутренней IDS для защиты баз данных. Система может выявлять наиболее типичные атаки против СУБД, включая переполнение буфера, атаки для раскрытия паролей и попытки расширения привилегий.
Между тем Application Security и Kavado в содружестве с фирмами Sanctum, SPI Dyna-mics и WhiteHat Security образовали консорциум, призванный способствовать формированию и продвижению стандартов безопасности приложений.
Его исходная цель - создание классификационной системы для уязвимостей, атак и других угроз безопасности приложений. Многие виды атак, направленных против Web-приложений, довольно сложны, и связанные с ними термины выходят за рамки обычных знаний большинства специалистов по безопасности. Группа надеется упростить объяснение ряда таких понятий, как, скажем, "cross-site scripting".