Enhver angrebsmetode er karakteriseret ved et bestemt sæt karakteristika. Typiske tegn på angreb omfatter følgende: :

1) Gentagelse af visse begivenheder og handlinger. For eksempel adgang til porte (scanning), gætte en adgangskode, gentage anmodninger om at etablere en forbindelse, hvilket fører til en kø eller bufferoverløb;

2) Uventede parametre i netværkspakker

· uventede adresseattributter (f.eks. ikke-routbare eller reserverede IP-adresser, kilde- eller destinationsportfeltværdien er nul, anmodning fra ikke-standardservere);

· uventede parametre for netværkspakkeflag (f.eks. når ACK-flaget er indstillet, bekræftelsesnummeret lig med nul; pakken indeholder to gensidigt udelukkende flag SYN+FIN; kun tilstedeværelsen af ​​FIN-flaget; ved at bruge en kombination af flag SYN+RST og RST+FIN);

· uventede tidspunkt eller dato attributter;

3) Uhensigtsmæssige parametre netværkstrafik

· muligheder indgående trafik(for eksempel pakker, der kommer ind i det lokale netværk udefra og har en kildeadresse svarende til adresseområdet for det interne netværk);

Udgående trafikparametre (f.eks. stammende fra lokale netværk pakker med en kildeadresse svarende til rækken af ​​eksterne netværksadresser);

· kommandoer, der ikke svarer til den aktuelle situation (forkerte anmodninger eller svar);

· anomalier i netværkstrafik (f.eks. ændringer i belastningsfaktor, pakkestørrelse, gennemsnitligt antal fragmenterede pakker);

4) Upassende systemydelsesattributter

· unormale systemkarakteristika (tung CPU-belastning, intensiv adgang til RAM eller diskhukommelse, filer);

· uoverensstemmelse mellem brugerpræstationskarakteristika og deres profiler (afvigelse fra spidsbelastnings- og minimumsbelastningstider, fra varigheden af ​​en typisk arbejdssession, fra det sædvanlige tidspunkt for ind- og udgang fra systemet).

Vigtigste muligheder for at implementere computerangreb

Angrebene kan udføres via direkte eller netværkslogin til systemet. Derfor er der to hovedmuligheder for at implementere angreb:

1) system – hvor det antages, at angriberen allerede har en konto på det angrebne system med nogle (normalt lave) privilegier, eller at det er muligt at logge på systemet som en anonym bruger. I dette tilfælde udføres angrebet ved, at angriberen logger ind på systemet under denne konto og modtager yderligere administrative beføjelser. Som følge af angrebet opnås uautoriseret adgang til information om objektet (værten). Især denne type angreb kan udføres ved hjælp af GetAdmin-programmet.

2) netværk– hvilket indebærer, at den ubudne gæst forsøger at eksternt trænge ind i systemet gennem netværket. En sådan penetration er mulig, når den ubudne gæsts computer er placeret i det samme netværkssegment, i forskellige segmenter eller med fjernadgang til det angrebne objekt (f.eks. ved hjælp af opkald eller dedikeret modemforbindelser). Som et resultat af sådanne angreb kan angriberen muligvis fjernstyre en computer via et netværk, få adgang til informationsressourcerne for det angrebne objekt, ændre dets driftstilstand, herunder lammelsesangreb. NetBus eller BackOrifice programmer kan bruges som programmer, der giver dig mulighed for at implementere netværksangreb.

For at implementere angreb kan visse kommandoer (kommandosekvenser) bruges i kommandolinjegrænsefladen, scripts, programmer eller selvstændige agenter installeret på en eller fordelt over flere noder (computere) på netværket.

Forelæsning 33 Typer og typer af netværksangreb

Foredrag 33

Emne: Typer og typer af netværksangreb

Et fjernnetværksangreb er en informationsdestruktiv effekt på et distribueret computersystem, der udføres programmatisk via kommunikationskanaler.

Introduktion

For at organisere kommunikation i et heterogent netværksmiljø bruges et sæt TCP/IP-protokoller, der sikrer kompatibilitet mellem computere af forskellige typer. Dette sæt protokoller har vundet popularitet på grund af dets kompatibilitet og adgang til ressourcerne på det globale internet og er blevet en standard for internetarbejde. Almindeligheden af ​​TCP/IP-protokolstakken har dog også afsløret dens svagheder. Især på grund af dette er distribuerede systemer modtagelige for fjernangreb, da deres komponenter normalt bruger åbne datatransmissionskanaler, og en angriber kan ikke kun passivt aflytte den transmitterede information, men også ændre den transmitterede trafik.

Vanskeligheden ved at opdage et fjernangreb og den relative lette implementering (på grund af moderne systemers redundante funktionalitet) sætter denne type ulovlige handlinger på førstepladsen med hensyn til graden af ​​fare og forhindrer en rettidig reaktion på truslen, som en resultatet, hvorved angriberen øger chancerne for at gennemføre angrebet.

Klassificering af angreb

Af påvirkningens art

Passiv

Aktiv

Passiv påvirkning af et distribueret computersystem (DCS) er en påvirkning, der ikke direkte påvirker systemets drift, men som samtidig kan overtræde dets sikkerhedspolitik. Manglen på direkte indflydelse på driften af ​​RVS fører netop til, at passiv fjernpåvirkning (RPI) er svær at opdage. Et muligt eksempel på en typisk PUV i en DCS er at lytte til en kommunikationskanal i et netværk.

Aktiv indvirkning på DCS - en påvirkning, der har en direkte indvirkning på driften af ​​selve systemet (forringelse af funktionalitet, ændring i DCS-konfigurationen osv.), som overtræder den sikkerhedspolitik, der er vedtaget i den. Næsten alle typer fjernangreb er aktive påvirkninger. Dette skyldes, at selve arten af ​​den skadelige virkning omfatter et aktivt princip. Den klare forskel mellem aktiv påvirkning og passiv påvirkning er den grundlæggende mulighed for dets påvisning, da der som følge af dens implementering sker nogle ændringer i systemet. Med en passiv indflydelse er der absolut ingen spor tilbage (på grund af det faktum, at angriberen ser en andens besked i systemet, vil intet ændre sig i samme øjeblik).

Af indflydelsesformål

Overtrædelse af systemets funktion (adgang til systemet)

Krænkelse af informationsressourcernes integritet (IR)

Overtrædelse af IR-fortrolighed

Denne funktion, hvorved klassificering foretages, er i det væsentlige en direkte projektion af tre grundlæggende typer trusler - lammelsesangreb, afsløring og krænkelse af integritet.

Hovedmålet for næsten ethvert angreb er at få uautoriseret adgang til information. Der er to grundlæggende muligheder for at indhente information: forvrængning og aflytning. Muligheden for at opsnappe information betyder at få adgang til dem uden mulighed for at ændre dem. Aflytning af oplysninger fører derfor til en krænkelse af fortroligheden. At lytte til en kanal på et netværk er et eksempel på at opsnappe information. I dette tilfælde er der illegitim adgang til oplysninger uden mulige muligheder for at erstatte dem. Det er også indlysende, at krænkelse af fortroligheden af ​​oplysninger refererer til passiv påvirkning.

Evnen til at erstatte information skal enten forstås som fuldstændig kontrol over informationsstrømmen mellem systemobjekter eller evnen til at transmittere forskellige meddelelser på andres vegne. Derfor er det klart, at substitution af information fører til en krænkelse af dens integritet. Sådan informationsdestruktiv indflydelse er et typisk eksempel på aktiv indflydelse. Et eksempel på et fjernangreb designet til at krænke informationsintegriteten er "False RVS object" remote attack (RA).

Alt efter tilgængelighed feedback med den angrebne genstand

Med feedback

Ingen feedback (envejsangreb)

Angriberen sender nogle anmodninger til det angrebne objekt, som han forventer at modtage et svar på. Som følge heraf opstår der feedback mellem angriberen og den angrebne, hvilket giver førstnævnte mulighed for at reagere tilstrækkeligt på alle mulige ændringer i det angrebne objekt. Dette er essensen af ​​et fjernangreb, udført i nærvær af feedback fra det angribende objekt. Sådanne angreb er mest typiske for RVS.

Open-loop angreb er kendetegnet ved, at de ikke behøver at reagere på ændringer i det angrebne objekt. Sådanne angreb udføres normalt ved at sende enkelte anmodninger til det angrebne objekt. Angriberen behøver ikke svar på disse anmodninger. Sådanne UA kan også kaldes ensrettet UA. Et eksempel på ensrettede angreb er et typisk DoS-angreb.

Ifølge tilstanden af ​​begyndelsen af ​​påvirkningen

Fjernpåvirkning kan, ligesom enhver anden, kun begynde at finde sted under visse betingelser. Der er tre typer af sådanne betingede angreb i RVS:

Angreb på anmodning fra det angrebne objekt

Angreb ved forekomsten af ​​en forventet hændelse på det angrebne objekt

Ubetinget angreb

Påvirkningen fra angriberen vil begynde, forudsat at det potentielle mål for angrebet sender en anmodning af en bestemt type. Et sådant angreb kan kaldes et angreb på anmodning fra det angrebne objekt. Denne type UA er mest typisk for RVS. Et eksempel på sådanne anmodninger på internettet er DNS- og ARP-anmodninger, og i Novell NetWare - en SAP-anmodning.

Et angreb på forekomsten af ​​en forventet hændelse på det angrebne objekt. Angriberen overvåger løbende tilstanden af ​​operativsystemet for det eksterne mål for angrebet og begynder at påvirke, hvornår en specifik hændelse opstår i dette system. Det angrebne objekt er selv initiativtageren til angrebet. Et eksempel på en sådan hændelse ville være, når en brugers session med serveren afbrydes uden at udstede kommandoen LOGOUT i Novell NetWare.

Et ubetinget angreb udføres med det samme og uanset tilstanden af ​​operativsystemet og det angrebne objekt. Derfor er angriberen initiativtager til angrebet i I dette tilfælde.

Hvis den normale drift af systemet afbrydes, forfølges andre mål, og angriberen forventes ikke at få ulovlig adgang til data. Dens mål er at deaktivere OS på det angrebne objekt og gøre det umuligt for andre systemobjekter at få adgang til ressourcerne i dette objekt. Et eksempel på et angreb af denne type er et DoS-angreb.

Efter placering af angrebsobjektet i forhold til det angrebne objekt

Intrasegmental

Intersegmental

Nogle definitioner:

Kilden til angrebet (genstand for angrebet) er det program (eventuelt operatøren), der leder angrebet og har en direkte indvirkning.

Host - en computer, der er en del af netværket.

Router er en enhed, der dirigerer pakker på et netværk.

Et undernetværk er en gruppe værter, der er en del af et globalt netværk, der adskiller sig ved, at routeren tildeler det samme undernetnummer til dem. Vi kan også sige, at et undernet er en logisk sammenslutning af værter gennem en router. Værter inden for det samme undernet kan kommunikere direkte med hinanden uden at bruge en router.

Et netværkssegment er en kombination af værter på det fysiske niveau.

Fra et fjernangrebs synspunkt er den relative placering af emnet og objektet for angrebet ekstremt vigtigt, det vil sige om de er i forskellige eller identiske segmenter. Under et intra-segment-angreb er motivet og målet for angrebet placeret i samme segment. I tilfælde af et intersegment-angreb er emnet og målet for angrebet placeret i forskellige netværkssegmenter. Denne klassifikationsfunktion gør det muligt at bedømme angrebets såkaldte "fjernhedsgrad".

Det vil blive vist nedenfor, at et intra-segment-angreb er meget lettere at udføre end et inter-segment-angreb. Vi bemærker også, at et fjernangreb mellem segmenter udgør en meget større fare end et intra-segment. Dette skyldes, at i tilfælde af et intersegment-angreb kan målet og angriberen være placeret i en afstand af mange tusinde kilometer fra hinanden, hvilket væsentligt kan hindre foranstaltninger til at afvise angrebet.

I henhold til niveauet for ISO/OSI-referencemodellen, hvor påvirkningen udføres

Fysisk

Kanal

Netværk

Transportere

Session

Repræsentant

Anvendt

Den Internationale Standardiseringsorganisation (ISO) har vedtaget ISO 7498-standarden, som beskriver åbne systemer sammenkobling (OSI), som RBC'er også hører til. Hver netværksprotokol udveksling, såvel som ethvert netværksprogram, kan projiceres på den ene eller anden måde på reference 7-niveau OSI-modellen. Denne multi-level projektion gør det muligt at beskrive de funktioner, der bruges i en netværksprotokol eller et program i forhold til OSI-modellen. UA er et netværksprogram, og det er logisk at betragte det ud fra et projektionssynspunkt på ISO/OSI-referencemodellen.

Kort beskrivelse nogle netværksangreb

Datafragmentering

Når en IP-datapakke transmitteres over et netværk, kan pakken opdeles i flere fragmenter. Efterfølgende, når man når destinationen, rekonstrueres pakken fra disse fragmenter. En angriber kan starte en pakke stort antal fragmenter, hvilket fører til overløb af softwarebuffere på modtagersiden og i nogle tilfælde til et systemnedbrud.

Ping-oversvømmelsesangreb

Dette angreb kræver, at angriberen har adgang til hurtige internetkanaler.

Ping-programmet sender en ICMP-pakke af typen ECHO REQUEST og indstiller tiden og dens identifikator i den. Den modtagende maskines kerne svarer på en sådan anmodning med en ICMP ECHO REPLY-pakke. Efter at have modtaget den, viser ping pakkens hastighed.

I standarddriftstilstanden sendes pakker med jævne mellemrum, næsten uden belastning på netværket. Men i "aggressiv" tilstand kan en strøm af ICMP-ekkoanmodnings-/svarpakker forårsage overbelastning på en lille linje, hvilket forhindrer den i at transmittere nyttig information.

Ikke-standard protokoller indkapslet i IP

IP-pakken indeholder et felt, der specificerer protokollen for den indkapslede pakke (TCP, UDP, ICMP). Angribere kan bruge en ikke-standardværdi af dette felt til at overføre data, som ikke vil blive registreret af standardværktøjer til kontrol af informationsflow.

Smølfeangreb

Smølfeangrebet involverer at sende ICMP-udsendelsesanmodninger til netværket på vegne af offerets computer.

Som følge heraf reagerer computere, der har modtaget sådanne udsendelsespakker, på offerets computer, hvilket fører til en betydelig reduktion i kommunikationskanalens gennemstrømning og i nogle tilfælde fuldstændig isolering af det angrebne netværk. Smølfeangrebet er ekstremt effektivt og udbredt.

Modvirkning: For at genkende dette angreb er det nødvendigt at analysere kanalbelastningen og bestemme årsagerne til faldet i gennemløbet.

DNS spoofing angreb

Resultatet af dette angreb er indførelsen af ​​en tvungen korrespondance mellem en IP-adresse og et domænenavn i DNS-serverens cache. Som følge af et vellykket angreb vil alle brugere af DNS-serveren modtage forkerte oplysninger om domænenavne og IP-adresser. Dette angreb er karakteriseret ved et stort antal DNS-pakker med samme domænenavn. Dette skyldes behovet for at vælge nogle DNS-udvekslingsparametre.

Modvirkning: For at opdage et sådant angreb er det nødvendigt at analysere indholdet af DNS-trafik eller bruge DNSSEC.

IP spoofing angreb

Et stort antal angreb på internettet er forbundet med spoofing af kildens IP-adresse. Sådanne angreb omfatter også syslog-spoofing, som involverer at sende en besked til offerets computer på vegne af en anden computer på det interne netværk. Da syslog-protokollen bruges til at vedligeholde systemlogfiler, ved at sende falske meddelelser til ofrets computer, kan du påtvinge oplysninger eller dække over spor af uautoriseret adgang.

Modforanstaltninger: påvisning af angreb relateret til IP-adresse spoofing er mulig ved at overvåge modtagelsen på en af ​​grænsefladerne på en pakke med kildeadressen til den samme grænseflade eller ved at overvåge modtagelsen af ​​pakker med IP-adresser på det interne netværk på den eksterne grænseflade .

Pakkepålæggelse

Angriberen sender pakker med en falsk returadresse til netværket. Med dette angreb kan en angriber skifte forbindelser etableret mellem andre computere til sin egen computer. I dette tilfælde bliver angriberens adgangsrettigheder lig med rettighederne for den bruger, hvis forbindelse til serveren blev skiftet til hackerens computer.

Sniffing - lytter til en kanal

Kun muligt i det lokale netværkssegment.

Næsten alle netværkskort understøtter muligheden for at opsnappe pakker, der sendes over en fælles lokal netværkskanal. I dette tilfælde kan arbejdsstationen modtage pakker adresseret til andre computere på samme netværkssegment. Dermed bliver al informationsudveksling i netværkssegmentet tilgængelig for angriberen. For at implementere dette angreb skal angriberens computer være placeret i det samme lokale netværkssegment som den computer, der angribes.

Pakkeaflytning på routeren

En routers netværkssoftware har adgang til alle netværkspakker, der sendes gennem routeren, hvilket tillader pakkeaflytning. For at udføre dette angreb skal angriberen have privilegeret adgang til mindst én router på netværket. Da så mange pakker normalt transmitteres gennem en router, er total aflytning af dem næsten umulig. Individuelle pakker kan dog godt blive opsnappet og gemt til senere analyse af en angriber. Den mest effektive aflytning af FTP-pakker, der indeholder brugeradgangskoder, såvel som e-mail.

Tvinge en falsk rute på en vært ved hjælp af ICMP

På internettet er der en speciel protokol ICMP (Internet Control Message Protocol), en af ​​funktionerne er at informere værter om ændring af den aktuelle router. Denne kontrolmeddelelse kaldes omdirigering. Det er muligt at sende en falsk omdirigeringsmeddelelse fra enhver vært i netværkssegmentet på vegne af routeren til den angrebne vært. Som følge heraf ændres værtens nuværende routingtabel, og i fremtiden vil al netværkstrafik på denne vært passere for eksempel gennem værten, der sendte den falske omdirigeringsmeddelelse. På denne måde er det muligt aktivt at pålægge en falsk rute inden for et segment af internettet.

Sammen med almindelige data, der sendes over en TCP-forbindelse, sørger standarden også for transmission af presserende (Out Of Band) data. På niveau med TCP-pakkeformater udtrykkes dette som en ikke-nul presserende pointer. De fleste pc'er med Windows installeret har NetBIOS-netværksprotokollen, som bruger tre IP-porte til sine behov: 137, 138, 139. Hvis du opretter forbindelse til en Windows-maskine via port 139 og sender flere bytes OutOfBand-data dertil, så vil NetBIOS-implementeringen uden at vide, hvad den skal gøre med disse data, hænger den simpelthen eller genstarter maskinen. For Windows 95 ser dette normalt ud som en blå tekstskærm, der indikerer en fejl i TCP/IP-driveren og manglende evne til at arbejde med netværket, indtil operativsystemet genstartes. NT 4.0 uden servicepakker genstarter, NT 4.0 med ServicePack 2-pakke går ned i en blå skærm. At dømme efter information fra netværket er både Windows NT 3.51 og Windows 3.11 for Workgroups modtagelige for et sådant angreb.

Afsendelse af data til port 139 fører til en genstart af NT 4.0 eller en "blue screen of death" med installeret Service Pack 2. En lignende afsendelse af data til 135 og nogle andre porte fører til en betydelig belastning af RPCSS.EXE-processen. På Windows NT WorkStation fører dette til en betydelig afmatning; Windows NT Server fryser praktisk talt.

Betroet vært spoofing

Vellykket implementering af fjernangreb af denne type vil give angriberen mulighed for at udføre en session med serveren på vegne af en betroet vært. (Trusted host - en station, der lovligt har forbindelse til serveren). Implementeringen af ​​denne type angreb består normalt i at sende udvekslingspakker fra angriberens station på vegne af en betroet station under hans kontrol.

Angrebsdetektionsteknologier

Netværks- og informationsteknologier ændrer sig så hurtigt, at statiske beskyttelsesmekanismer, som omfatter adgangskontrolsystemer, firewalls og autentificeringssystemer, i mange tilfælde ikke kan yde effektiv beskyttelse. Derfor kræves dynamiske metoder til hurtigt at opdage og forhindre sikkerhedsbrud. En teknologi, der kan opdage overtrædelser, der ikke kan identificeres ved hjælp af traditionelle adgangskontrolmodeller, er indtrængningsdetektionsteknologi.

Grundlæggende er angrebsdetekteringsprocessen processen med at vurdere mistænkelige aktiviteter, der forekommer på et virksomhedsnetværk. Med andre ord er intrusion detection processen med at identificere og reagere på mistænkelig aktivitet rettet mod computer- eller netværksressourcer.

Metoder til analyse af netværksinformation

Effektiviteten af ​​et angrebsdetekteringssystem afhænger i høj grad af de metoder, der bruges til at analysere den modtagne information. De første systemer til registrering af indtrængen, udviklet i begyndelsen af ​​1980'erne, brugte statistiske metoder til at opdage angreb. I øjeblikket er en række nye teknikker blevet tilføjet til statistisk analyse, startende med ekspertsystemer og fuzzy logik og slutter med brugen af ​​neurale netværk.

Statistisk metode

De vigtigste fordele ved den statistiske tilgang er brugen af ​​et allerede udviklet og gennemprøvet apparat til matematisk statistik og tilpasning til fagets adfærd.

Først bestemmes profiler for alle emner i det analyserede system. Enhver afvigelse af den anvendte profil fra referencen betragtes som uautoriseret aktivitet. Statistiske metoder er universelle, fordi analysen ikke kræver viden om mulige angreb og de sårbarheder, de udnytter. Men når du bruger disse teknikker, opstår der problemer:

"statistiske" systemer er ikke følsomme over for rækkefølgen af ​​begivenheder; i nogle tilfælde kan de samme hændelser, afhængigt af den rækkefølge, de forekommer i, karakterisere unormal eller normal aktivitet;

Det er vanskeligt at indstille grænseværdierne (tærskelværdier) for de egenskaber, der overvåges af indtrængningsdetektionssystemet, for på passende vis at identificere unormal aktivitet;

"statistiske" systemer kan "trænes" af angribere over tid, så angrebshandlinger ses som normale.

Det bør også tages i betragtning, at statistiske metoder ikke er anvendelige i tilfælde, hvor der ikke er noget typisk adfærdsmønster for brugeren, eller når uautoriserede handlinger er typiske for brugeren.

Ekspertsystemer

Ekspertsystemer består af et sæt regler, der fanger en menneskelig eksperts viden. Brugen af ​​ekspertsystemer er en almindelig angrebsdetektionsmetode, hvor angrebsinformation formuleres i form af regler. Disse regler kan for eksempel skrives som en sekvens af handlinger eller som en signatur. Når nogen af ​​disse regler er opfyldt, træffes der en beslutning om tilstedeværelsen af ​​uautoriseret aktivitet. En vigtig fordel ved denne tilgang er det næsten fuldstændige fravær af falske alarmer.

Ekspertsystemdatabasen bør indeholde scripts til de fleste kendte angreb. For at forblive konstant up-to-date kræver ekspertsystemer konstant opdatering af databasen. Selvom ekspertsystemer giver god synlighed i logdata, kan nødvendige opdateringer enten ignoreres eller udføres manuelt af administratoren. Dette resulterer som minimum i et ekspertsystem med svækkede kapaciteter. I værste fald reducerer manglen på ordentlig vedligeholdelse sikkerheden på hele netværket, hvilket vildleder brugerne om det faktiske sikkerhedsniveau.

Den største ulempe er manglende evne til at afvise ukendte angreb. Desuden kan selv en lille ændring af et allerede kendt angreb blive en alvorlig hindring for angrebsdetekteringssystemets funktion.

Neurale netværk

De fleste moderne angrebsdetekteringsmetoder bruger en form for kontrolleret rumanalyse, enten regelbaseret eller statistisk tilgang. Det kontrollerede rum kan være logfiler eller netværkstrafik. Analysen er baseret på et sæt foruddefinerede regler, som er oprettet af administratoren eller selve systemet til registrering af indtrængen.

Enhver adskillelse af et angreb over tid eller blandt flere angribere er vanskelig at opdage ved hjælp af ekspertsystemer. På grund af det store udvalg af angreb og hackere, selv ad hoc, vil løbende opdateringer af ekspertsystemregeldatabasen aldrig garantere nøjagtig identifikation af hele spektret af angreb.

Brugen af ​​neurale netværk er en af ​​måderne til at overvinde disse problemer med ekspertsystemer. I modsætning til ekspertsystemer, som kan give brugeren et entydigt svar på, om de karakteristika, der overvejes, er i overensstemmelse med reglerne, der er indlejret i databasen, analyserer et neuralt netværk information og giver mulighed for at vurdere, om dataene stemmer overens med de karakteristika, som de er. trænet til at genkende. Mens graden af ​​korrespondance af en neural netværksrepræsentation kan nå 100%, afhænger valgets pålidelighed helt af systemets kvalitet ved analyse af eksempler på opgaven.

For det første trænes det neurale netværk til at identificere korrekt ved hjælp af en forudvalgt prøve af domæneeksempler. Det neurale netværks respons analyseres, og systemet justeres på en sådan måde, at der opnås tilfredsstillende resultater. Ud over den indledende træningsperiode får det neurale netværk erfaring med tiden, da det analyserer domænespecifikke data.

En vigtig fordel ved neurale netværk til at opdage misbrug er deres evne til at "lære" egenskaberne ved bevidste angreb og identificere elementer, der er ulig dem, der tidligere er observeret på netværket.

Hver af de beskrevne metoder har en række fordele og ulemper, så nu er det næsten svært at finde et system, der implementerer kun én af de beskrevne metoder. Som regel bruges disse metoder i kombination.

Ved at bruge programmer som WinNuke, Papa Smurf og Teardrop kan angribere angribe din computer og forvolde dig skade. Ifølge en undersøgelse fra 1999 fra Computer Security Institute/FBI om computerkriminalitet rapporterede 57 procent af de adspurgte organisationer, at de anså deres netværksforbindelser til internettet for at være et "hyppigt sted for angreb." 30 procent af de adspurgte rapporterede, at deres netværk var blevet infiltreret, og 26 procent sagde, at angreb resulterede i tyveri af fortrolig information. Federal Center for Combating Computer Crimes i USA - FedCIRC rapporterede, at i 1998 blev omkring 130.000 regeringsnetværk med 1.100.000 computere angrebet. Klassificering af computerangreb Når vi siger "computerangreb", mener vi, at folk starter programmer for at få uautoriseret adgang til en computer. Formerne for organisering af angreb er meget forskellige, men generelt hører de alle til en af ​​følgende kategorier: Fjerncomputerindtrængen: programmer, der får uautoriseret adgang til en anden computer via internettet (eller lokalt netværk) Lokal computerindtrængen: programmer, der får uautoriseret adgang til den computer, de kører på. Fjerncomputerblokering: programmer, der via internettet (eller netværk) blokerer driften af ​​en hel fjerncomputer eller separat program på den (for at gendanne funktionalitet skal computeren oftest genstartes) Lokal computerblokering: programmer, der blokerer den computer, de kører på Netværksscannere: Programmer, der indsamler oplysninger om et netværk for at bestemme, hvilke computere og de programmer, der kører på dem, der er potentielt sårbare over for angreb. Scannere for programmers sårbarheder: programmer kontrolleres store grupper computere på internettet, der leder efter computere, der er sårbare over for en bestemt type angreb. Kodeordsknækkere: programmer, der registrerer adgangskoder, der er lette at gætte, i krypterede adgangskodefiler. Computere kan nu gætte adgangskoder så hurtigt, at tilsyneladende komplekse adgangskoder kan gættes. Netværksanalysatorer (sniffere): programmer, der lytter til netværkstrafik. De har ofte mulighed for automatisk at fremhæve brugernavne, adgangskoder og numre kreditkort fra trafikken. Sådan beskytter du dig selv mod de fleste computerangreb At beskytte dit netværk mod computerangreb er en konstant og ikke-triviel opgave; men en række simple sikkerhedsforanstaltninger kan stoppe de fleste forsøg på at trænge ind i netværket. For eksempel kan en velkonfigureret firewall og antivirussoftware installeret på alle arbejdsstationer umuliggøre de fleste computerangreb. Nedenfor beskriver vi kort 14 forskellige sikkerhedsforanstaltninger, der, når de er implementeret, vil hjælpe med at beskytte dit netværk. Online patching af programmer (patching) Virksomheder udgiver ofte programrettelser for at eliminere de negative virkninger af fejl i dem. Hvis du ikke retter programmerne, kan en hacker senere drage fordel af disse fejl og bryde ind på din computer. Systemadministratorer skal beskytte deres mest kritiske systemer ved omgående at patche programmer på dem. Det er dog svært at patche programmer på alle værter på et netværk, fordi patches kan forekomme ofte. I dette tilfælde er det nødvendigt at foretage rettelser til programmerne på de vigtigste værter og ud over at installere andre sikkerhedsforanstaltninger, der er beskrevet nedenfor. Generelt bør patches KUN anskaffes fra softwareproducenter. Opdagelse af virus og trojanske heste Gode antivirusprogrammer er et uundværligt værktøj til at øge sikkerheden på ethvert netværk. De overvåger driften af ​​computere og opdager malware på dem. Det eneste problem med dem er, at for maksimal effektivitet skal de installeres på alle computere på netværket. Til installation antivirus programmer på alle computere og jævnlig opdatering af antivirusdatabaserne i dem kan tage ret lang tid - men ellers vil dette værktøj ikke være effektivt. Brugere bør lære at lave disse opdateringer selv, men bør ikke stole helt på dem. Ud over at køre et almindeligt antivirusprogram på hver computer, anbefaler vi, at organisationer scanner vedhæftede filer i mails på mailserveren. På denne måde kan de fleste vira opdages, før de når brugernes maskiner. Firewalls Firewalls er det vigtigste middel til at beskytte en organisations netværk. De styrer netværkstrafik, der kommer ind og forlader netværket. En firewall kan blokere visse typer trafik fra at komme ind på netværket eller udføre visse kontroller på andre typer trafik. En velkonfigureret firewall kan stoppe de fleste kendte computerangreb. Password Crackers Hackere udnytter ofte lidt kendte sårbarheder i computere til at stjæle krypterede adgangskodefiler. De bruger derefter specielle programmer til at knække adgangskoder, der kan registrere svage adgangskoder i disse krypterede filer. Når en svag adgangskode er opdaget, kan angriberen logge ind på computeren som en normal bruger og bruge en række forskellige teknikker til at opnå fuld adgang til din computer og dit netværk. Selvom dette værktøj bruges af angribere, vil det også være nyttigt for systemadministratorer. De bør med jævne mellemrum køre disse programmer på deres krypterede adgangskodefiler for at opdage svage adgangskoder rettidigt. Kryptering Angribere trænger ofte ind i netværk ved at lytte til netværkstrafik på følsomme steder og udtrække brugernavne og adgangskoder fra den. Derfor er forbindelser til fjernmaskiner beskyttet af ved hjælp af en adgangskode, skal være krypteret. Dette er især vigtigt i tilfælde, hvor forbindelsen er via internettet eller til en vigtig server. Der er en række kommercielle og gratis programmer til kryptering af TCP/IP-trafik (SSH er den bedst kendte). Sårbarhedsscannere Disse er programmer, der scanner netværket og leder efter computere, der er sårbare over for visse typer angreb. Scannere har en stor database med sårbarheder, som de bruger, når de tjekker en bestemt computer for sårbarheder. Både kommercielle og gratis scannere er tilgængelige. Konfigurer computere korrekt til sikkerhed Computere med nyligt installerede operativsystemer er ofte sårbare over for angreb. Grunden til dette er, at den indledende installation af et operativsystem typisk tillader alle netværksfunktioner og ofte tillader dem på en usikker måde. Dette giver angriberen mulighed for at bruge mange metoder til at starte et angreb på maskinen. Alle unødvendige netværksværktøjer bør deaktiveres. War dialer Brugere omgår ofte organisatorisk netværkssikkerhed ved at tillade deres computere at modtage indgående telefonopkald. Før han forlader arbejdet, tænder brugeren modemet og konfigurerer programmerne på computeren derefter, hvorefter han kan foretage opkald via modemmet hjemmefra og bruge virksomhedens netværk. Angribere kan bruge combat dialers til at ringe til et stort antal telefonnumre og lede efter computere, der behandler indgående opkald. Fordi brugere typisk selv konfigurerer deres computere, ender de ofte dårligt beskyttet og giver en angriber endnu en mulighed for at starte et angreb på netværket. Systemadministratorer bør regelmæssigt bruge combat dialers til at bekræfte deres brugeres telefonnumre og finde computere, der er konfigureret på denne måde. Både kommercielle og frit tilgængelige combat dialers er tilgængelige. Sikkerhedsrådgivning Sikkerhedsrådgivning er advarsler udgivet af computerkriminalitetsteams og softwareleverandører om nyligt opdagede sårbarheder. Rådgivningerne dækker typisk de mest alvorlige trusler fra disse sårbarheder og er derfor hurtige at læse, men meget nyttige. De beskriver truslen generelt og giver ret specifikke råd om, hvad der skal gøres for at fjerne denne sårbarhed. Du kan finde dem en række steder, men to af de mest nyttige er dem, der er udgivet af Computer Crime TeamCIACOgCERT Intrusion Detection Systemer til registrering af indtrængen registrerer hurtigt computerangreb. De kan installeres bag en firewall for at registrere angreb, der stammer fra netværket. Eller de kan installeres foran firewallen for at registrere angreb på firewallen. Værktøjer af denne type kan have en række funktioner. Ledigartikel om deres brug og typer af angrebsdetekteringssystemer Værktøjer til registrering af netværkstopologi og portscannere Disse programmer giver dig mulighed for at få et komplet billede af, hvordan dit netværk er opbygget, og hvilke computere der arbejder på det, samt identificere alle de tjenester, der kører på hver maskine. Angribere bruger disse værktøjer til at identificere sårbare computere og programmer på dem. Systemadministratorer bør bruge disse værktøjer til at overvåge, hvilke programmer der kører på hvilke computere på deres netværk. Med deres hjælp kan du opdage forkert konfigurerede programmer på computere og installere rettelser på dem. Sikkerhedshændelsesundersøgelsesteam Ethvert netværk, uanset hvor sikkert det er, oplever sikkerhedshændelser (måske endda falske alarmer). Medarbejdere i organisationen skal på forhånd vide, hvad der skal gøres i en bestemt sag. Det er vigtigt på forhånd at bestemme følgende punkter - hvornår man skal ringe til retshåndhævelsen, hvornår man skal ringe til computerkriminalitetsteamet, hvornår man skal afbryde netværket fra internettet, og hvad man skal gøre, hvis en vigtig server er kompromitteret.CERTgiver generel høring i USA. FedCIRC er ansvarlig for at rådgive civile regeringsagenturer i USA. SikkerhedspolitikkerSystem netværkssikkerhed hvor stærk den er, hvor stærkt dens svageste punkt er beskyttet. Hvis der er flere netværk inden for den samme organisation med forskellige sikkerhedspolitikker, kan ét netværk blive kompromitteret på grund af dårlig sikkerhed på et andet netværk. Organisationer bør skrive en sikkerhedspolitik, der definerer det forventede beskyttelsesniveau, som skal implementeres konsekvent hele vejen igennem. Det vigtigste i politikken er at etablere ensartede krav til, hvilken trafik der skal passere gennem netværkets firewalls. Politikken bør også definere, hvordan og hvilke sikkerhedsforanstaltninger (f.eks. angrebsdetekteringsværktøjer eller sårbarhedsscannere) skal bruges på netværket. For at opnå et ensartet sikkerhedsniveau bør politikken definere sikre standardkonfigurationer for forskellige typer computere. Test af firewalls og WWW-servere for modstand mod forsøg på at blokere dem Angreb for at blokere en computer er almindelige på internettet. Angribere crasher konstant WWW-websteder, overbelaster computere eller oversvømmer netværk med meningsløse pakker. Denne type angreb kan være meget alvorlige, især hvis angriberen er så klog, at han lancerer et vedvarende angreb, der ikke kan spores til dets kilde. Sikkerhedsbevidste netværk kan iværksætte angreb mod sig selv for at bestemme, hvor meget skade der kan gøres på dem. Vi anbefaler, at denne type sårbarhedsanalyse kun udføres af erfarne systemadministratorer eller dedikerede konsulenter.

Med et væbnet bankrøveri er det gennemsnitlige tab 19 tusind dollars, og med en computerkriminalitet - allerede 560 tusind. Ifølge amerikanske eksperter er skaderne fra computerkriminalitet årligt steget med gennemsnitligt 35 % over de seneste ti år. I dette tilfælde bliver der i gennemsnit opdaget 1 % af computerforbrydelserne, og sandsynligheden for, at en kriminel kommer i fængsel for opdaget computersvindel, er ikke mere end 10 %.

Selvfølgelig hjælper den målrettede brug af traditionelle sikkerhedskontroller såsom antivirussoftware, firewalls, kryptografi og så videre med at forhindre uautoriseret adgang til information. Men i dette tilfælde spiller den menneskelige faktor ind. Personen, slutbrugeren, viser sig at være det svageste led i informationssikkerhedssystemet, og hackere, der ved dette, bruger dygtigt social engineering-metoder. Uanset hvilke multi-level identifikationssystemer der er, har de ingen effekt, hvis brugere for eksempel bruger adgangskoder, der er nemme at knække. Med en professionel tilgang til sikkerhedsspørgsmål løser virksomheder sådanne problemer ved centralt at udstede unikke og komplekse adgangskoder eller installation af hårdt virksomhedsregler for ansatte og passende sanktioner for manglende overholdelse. Situationen kompliceres dog af, at der i På det sidste Computerkriminelles rolle er i stigende grad ikke "eksterne" hackere, men slutbrugerne selv. Ifølge en amerikansk er "Den typiske computerkriminelle i dag en medarbejder, som har adgang til et system, som han er en ikke-teknisk bruger af." I USA tegner computerforbrydelser begået af funktionærer sig for 70-80 % af de årlige computerrelaterede tab. moderne teknologier. Desuden involverede kun 3 % af svig og 8 % af misbrug særlig ødelæggelse af udstyr, programmer eller data. I andre tilfælde manipulerede angriberne kun informationen - de stjal den, ændrede den eller oprettede en ny, falsk. I disse dage giver den stadig mere udbredte brug af internettet hackere mulighed for at udveksle information på globalt plan. En slags "hacker international" er længe blevet dannet - trods alt er internettet som ingen anden tekniske midler sletter grænser mellem stater og endda hele kontinenter. Hertil kommer internettets næsten fuldstændige anarki. Enhver i dag kan finde computerhacking instruktioner og alle de nødvendige softwareværktøjer ved blot at søge søgeord såsom "hacker", "hacking", "hack", "crack" eller "phreak". En anden faktor, der markant øger computersystemernes sårbarhed, er den udbredte brug af standardiserede, brugervenlige operativsystemer og udviklingsmiljøer. Dette giver hackere mulighed for at skabe universelle værktøjer til hacking, og en potentiel angriber behøver ikke længere, som før, at have gode programmeringsevner - det er nok at kende IP-adressen på det websted, der angribes, og for at udføre et angreb er det nok at starte et program fundet på internettet. Den evige konfrontation mellem rustning og projektil fortsætter. Inhar allerede indset, at det er meningsløst altid at indhente hackerteknologier; computerangribere er altid et skridt foran. Derfor er nye teknikker i stigende grad baseret på forebyggende opdagelse af krænkelser i informationssystemerÅh. Men med tiden opstår der nye problemer, primært relateret til udviklingen trådløs kommunikation. Derfor skal virksomheder med speciale i informationssikkerhed være mere og mere opmærksomme på at beskytte data, der transmitteres ved hjælp af nye trådløse standarder.

Klassifikation

Netværksangreb er lige så forskellige som de systemer, de er rettet mod. Rent teknologisk bruger de fleste netværksangreb en række begrænsninger, der ligger i TCP/IP-protokollen. På et tidspunkt blev internettet jo skabt til kommunikation mellem regerings kontorer og universiteter at støtte pædagogisk proces og videnskabelig forskning. Dengang havde skaberne af netværket ingen idé om, hvor vidt det ville sprede sig. På grund af dette manglede specifikationerne for tidlige versioner af Internet Protocol (IP) sikkerhedskrav, og derfor er mange IP-implementeringer i sagens natur sårbare. Først mange år senere, da den rivende udvikling begyndte e-handel og der var en række alvorlige hændelser med hackere, begyndte internetprotokolsikkerhedsværktøjer endelig at blive bredt implementeret. Men da IP-sikkerhed ikke oprindeligt blev udviklet, begyndte dens implementeringer at blive suppleret med forskellige netværksprocedurer, tjenester og produkter designet til at reducere de iboende risici ved denne protokol.

Postbombning

Email bombning (såkaldt mailbombing) er en af ​​de ældste og mest primitive typer internetangreb. Det ville være mere korrekt endda at kalde det computerhærværk (eller blot hooliganisme, afhængigt af alvorligheden af ​​konsekvenserne). Essensen af ​​mailbombing er at tilstoppe postkassen med "junk" korrespondance eller endda deaktivere internetudbyderens mailserver. Til dette formål bruges specielle programmer - postbombere. De bombarderer simpelthen den postkasse, der er angivet som et mål, med et enormt antal bogstaver, mens de angiver falsk afsenderinformation – helt ned til IP-adressen. Alt hvad en angriber, der bruger et sådant program behøver, er at angive e-mailen til målet for angrebet, antallet af beskeder, skrive teksten i brevet (normalt noget stødende), angive falske afsenderdata, hvis programmet ikke gør dette selv, og tryk på "start"-knappen. . Det har de fleste internetudbydere dog egne systemer beskytte klienter mod postbombning. Når antallet af identiske breve fra samme kilde begynder at overskride visse rimelige grænser, bliver al indgående korrespondance af denne art simpelthen ødelagt. Så i dag er der ikke længere nogen alvorlig frygt for postbombning.

Gættet adgangskodeangreb

En hacker, der angriber et system, begynder ofte sine handlinger ved at forsøge at få adgangskoden til en administrator eller en af ​​brugerne. For at finde ud af adgangskoden er der rigtig mange forskellige metoder. Her er de vigtigste: IP-spoofing og packet sniffing - vi vil se på dem nedenfor. At introducere en "trojansk hest" i et system er en af ​​de mest almindelige teknikker i hackerpraksis; vi vil også tale mere om det senere. Brude kraftangreb råstyrke"). Der er mange programmer, der udfører en simpel søgning af adgangskodeindstillinger over internettet eller direkte på den angrebne computer. Nogle programmer søger efter adgangskoder ved hjælp af en specifik ordbog, andre genererer blot tilfældigt forskellige sekvenser af tegn. Logisk søgning af adgangskodeindstillinger. En angriber, der bruger denne metode, søger simpelthen gennem sandsynlige kombinationer af tegn, der kan bruges af brugeren som adgangskode. Denne tilgang viser sig normalt at være overraskende effektiv. Computersikkerhedsspecialister holder aldrig op med at blive overrasket over, hvor ofte brugere bruger sådanne "kryptiske" kombinationer som adgangskoder såsom 1234, qwerty eller givet navn, skrevet baglæns. Seriøse hackere kan, når de vælger en skattet adgangskode, grundigt studere den person, der bruger denne adgangskode. Navne på familiemedlemmer og andre slægtninge, yndlingshund/kat; hvilke hold og sportsgrene "objektet" støtter; hvilke bøger og film kan han lide; hvilken avis han læser om morgenen - alle disse data og deres kombinationer går i gang. Du kan kun undslippe sådanne angreb ved at bruge en tilfældig kombination af bogstaver og tal som adgangskode, helst genereret af et specielt program. Og selvfølgelig er det nødvendigt at ændre adgangskoden regelmæssigt - systemadministratoren er ansvarlig for at overvåge dette. Social ingeniørkunst. Dette er hackerbrug psykologiske teknikker"arbejde" med brugeren. Et typisk (og enkleste) eksempel er et telefonopkald fra en angiveligt "systemadministrator" med en erklæring som "Vi har haft en systemfejl her, og brugeroplysninger er gået tabt. Kan du venligst oplyse dit brugernavn og din adgangskode igen?" Så offeret selv giver adgangskoden i hænderne på hackeren. Ud over regelmæssig årvågenhed hjælper et system med "engangsadgangskoder" med at beskytte mod sådanne angreb. Men på grund af dens kompleksitet har den endnu ikke fået bred distribution.

Virus, e-mail-orme og trojanske heste

Disse plager rammer hovedsageligt ikke udbydere eller virksomhedskommunikation, men slutbrugercomputere. Omfanget af nederlaget er ganske enkelt imponerende - globale computerepidemier, der bryder ud hyppigere og hyppigere, forårsager tab på flere milliarder dollar. Forfatterne af "ondsindede" programmer bliver mere og mere sofistikerede og inkorporerer den mest avancerede software og psykologiske teknologier i moderne vira. Virus og trojanske heste er forskellige klasser af "fjendtlige" programkode. Virus er indlejret i andre programmer for at udføre deres ondsindede funktion på slutbrugerens arbejdsstation. Dette kan for eksempel være ødelæggelse af alle eller kun visse filer på harddisken (oftest), beskadigelse af udstyr (eksotisk for nu) eller andre operationer. Virus er ofte programmeret til at udløses på en bestemt dato (et typisk eksempel er den berømte WinChih, aka "Chernobyl") og også til at sende kopier af sig selv via e-mail til alle adresser, der findes i brugerens adressebog. Det er en trojansk hest, i modsætning til en virus selvstændigt program, oftest ikke fokuseret på den grove ødelæggelse af information karakteristisk for vira. Normalt er formålet med at introducere en trojansk hest at opnå en skjult fjernbetjening over en computer for at manipulere informationen på den. "Trojanske heste" forklæder sig med succes som forskellige spil eller nyttige programmer, hvoraf rigtig mange distribueres gratis på internettet. Desuden indlejrer hackere nogle gange trojanske heste i fuldstændig "uskyldige" og velrenommerede programmer. Når den først er på en computer, reklamerer den trojanske hest normalt ikke for sin tilstedeværelse og udfører sine funktioner så hemmeligt som muligt. Et sådant program kan for eksempel stille og roligt sende sin hacker-ejer en adgangskode og login for at få adgang til internettet fra denne specifik computer; lave og sende visse filer til den adresse, der er indlejret i den; spore alt der indtastes fra tastaturet osv. Mere sofistikerede versioner af trojanske heste, tilpasset til at angribe specifikke computere hos bestemte brugere, kan efter ejerens anvisning erstatte visse data med andre, der er forberedt på forhånd, eller ændre data gemt i filer og derved vildlede computerejeren. Forresten er dette en ret almindelig teknik fra arsenalet af industriel spionage og provokationer. Kampen mod virus og trojanske heste udføres ved hjælp af specialiseret software, og velbygget beskyttelse giver dobbelt kontrol: på niveauet af en specifik computer og på det lokale netværksniveau. Moderne midler til bekæmpelse ondsindet kode er ret effektive, og praksis viser, at jævnligt udbredende globale epidemier af computervirus i høj grad opstår på grund af den "menneskelige faktor" - de fleste brugere og mange systemadministratorer (!) er simpelthen for dovne til regelmæssigt at opdatere antivirusprogramdatabaser og tjekke indgående e-mail for virus, før du læser den (selvom dette nu i stigende grad gøres af internetudbyderne selv).

Netværks intelligens

Strengt taget kan netværksrekognoscering ikke kaldes et angreb på et computersystem - hackeren udfører trods alt ingen "ondsindede" handlinger. Netværksrekognoscering går dog altid forud for selve angrebet, da angribere, når de forbereder det, skal indsamle alle tilgængelige oplysninger om systemet. Samtidig indsamles information ved hjælp af et stort sæt offentligt tilgængelige data og applikationer – fordi hackeren forsøger at få så meget nyttig information som muligt. Dette involverer portscanning, DNS-forespørgsler, ping af adresser afsløret ved hjælp af DNS osv. Dette gør det især muligt at finde ud af, hvem der ejer dette eller hint domæne, og hvilke adresser der er tildelt dette domæne. Ping-sweeping-adresser afsløret af DNS giver dig mulighed for at se, hvilke værter der rent faktisk kører på et givet netværk, og portscanningsværktøjer giver dig mulighed for at bestemme fuld liste tjenester understøttet af disse værter. Når man foretager netværksrekognoscering, analyseres også karakteristika ved applikationer, der kører på hosts – kort sagt indhentes information, som efterfølgende kan bruges til at hacke eller udføre et DoS-angreb. Det er umuligt helt at slippe af med netværksrekognoscering, primært fordi der ikke udføres formelt fjendtlige handlinger. Hvis du for eksempel deaktiverer ICMP ekko og ekkosvar på perifere routere, kan du slippe af med ping-test, men du vil miste data, der er nødvendige for at diagnosticere netværksfejl. Derudover kan angribere scanne porte uden forudgående ping-test. Sikkerheds- og overvågningssystemer på netværks- og værtsniveau gør normalt et godt stykke arbejde med at underrette systemadministratoren om igangværende netværksrekognoscering. Hvis administratoren er samvittighedsfuld omkring sit ansvar, giver dette ham mulighed for bedre at forberede sig på et kommende angreb og endda tage proaktive foranstaltninger, for eksempel ved at underrette den udbyder fra hvis netværk nogen viser overdreven nysgerrighed.

Pakkesnusning

En packet sniffer er et applikationsprogram, der bruger et netværkskort, der fungerer i promiskuøs tilstand (i denne tilstand sender netværksadapteren alle pakker modtaget over fysiske kanaler til applikationen til behandling). I dette tilfælde opsnapper snifferen ("sniffer") alle netværkspakker, der transmitteres gennem det angrebne domæne. Det særlige ved situationen i denne sag er, at nu i mange tilfælde arbejder sniffere i netværk på et helt lovligt grundlag - de bruges til at diagnosticere fejl og analysere trafik. Derfor er det ikke altid muligt pålideligt at afgøre, om et specifikt snifferprogram bruges af angribere, og om programmet blot er blevet erstattet med et lignende, men med "avancerede" funktioner. Ved hjælp af en sniffer kan angribere finde ud af forskellige fortrolige oplysninger, såsom brugernavne og adgangskoder. Dette skyldes, at en række meget anvendte netværksapplikationer transmitterer data i tekstformat (telnet, FTP, SMTP, POP3 osv.). Da brugere ofte bruger det samme login og kodeord til flere applikationer og systemer, udgør selv en engangsopsnapning af disse oplysninger en alvorlig trussel mod en virksomheds informationssikkerhed. Efter at have erhvervet login og adgangskode for en specifik medarbejder, kan en snedig hacker få adgang til en brugerressource på systemniveau og med dens hjælp oprette en ny, falsk bruger, som til enhver tid kan bruges til at få adgang til netværket og informationsressourcer. Men ved at bruge et bestemt sæt værktøjer kan du markant mindske truslen om pakkesniffning. For det første er disse ret stærke autentificeringsmidler, der er svære at omgå, selv ved at bruge den "menneskelige faktor". For eksempel engangsadgangskoder. Dette er en to-faktor autentificeringsteknologi, der kombinerer det, du har, med det, du kender. I dette tilfælde genererer hardwaren eller softwaren tilfældigt en unik engangsadgangskode. Hvis en hacker finder ud af denne adgangskode ved hjælp af en sniffer, vil denne information være ubrugelig, fordi adgangskoden på det tidspunkt allerede er blevet brugt og trukket tilbage. Men dette gælder kun for adgangskoder – for eksempel forbliver e-mail-beskeder stadig ubeskyttede. En anden måde at bekæmpe sniffning på er at bruge anti-sniffere. Disse er hardware eller software, der opererer på internettet, som sniffere genkender. De måler værtssvartider og afgør, om værter skal håndtere "ekstra" trafik. Disse typer værktøjer kan ikke helt eliminere truslen om at sniffe, men er afgørende, når man bygger et omfattende beskyttelsessystem. Men den mest effektive foranstaltning ville ifølge nogle eksperter være blot at gøre sniffernes arbejde meningsløst. For at gøre dette er det nok at beskytte de data, der transmitteres over kommunikationskanalen ved hjælp af moderne kryptografimetoder. Som et resultat vil hackeren ikke opsnappe beskeden, men den krypterede tekst, det vil sige en sekvens af bits, der er uforståelig for ham. I dag er de mest almindelige kryptografiske protokoller IPSec fra Cisco Corporation, såvel som SSH-protokoller ( Sikker Shell) og SSL (Secure Socket Layer).

IP-spoofing

Spoofing er en type angreb, hvor en hacker i eller uden for en organisation udgiver sig for at være en autoriseret bruger. For dette er der forskellige måder. For eksempel kan en hacker bruge en IP-adresse, der er inden for rækkevidden af ​​IP-adresser, der er godkendt til brug inden for organisationens netværk, eller en autoriseret ekstern adresse, hvis han får adgang til bestemte netværksressourcer. I øvrigt bruges IP-spoofing ofte som komponent mere komplekse, komplekse angreb. Et typisk eksempel er et DDoS-angreb, hvor en hacker typisk hoster et program på en andens IP-adresse for at skjule deres sande identitet. Men oftest bruges IP-spoofing til at deaktivere et system ved hjælp af falske kommandoer, samt til at stjæle specifikke filer eller omvendt indsætte falsk information i databaser. Det er næsten umuligt helt at eliminere truslen om spoofing, men den kan afbødes betydeligt. For eksempel giver det mening at konfigurere sikkerhedssystemer til at afvise enhver trafik, der kommer fra et eksternt netværk med en kildeadresse, der faktisk burde være på det interne netværk. Dette hjælper dog kun med at bekæmpe IP-spoofing, når kun interne adresser er godkendt. Hvis nogle eksterne adresser er sådanne, bliver det meningsløst at bruge denne metode. Det er også en god idé, for en sikkerheds skyld, at stoppe på forhånd forsøg på at forfalske andres netværk fra brugere af dit netværk - denne foranstaltning kan hjælpe dig med at undgå en hel række problemer, hvis en hacker eller bare en computerhooligan dukker op i organisationen. For at gøre dette skal du bruge enhver udgående trafik, hvis dens kildeadresse ikke tilhører organisationens interne IP-adresseområde. Om nødvendigt kan denne procedure også udføres af din internetudbyder. Denne type filtrering er kendt som "RFC 2827". Igen, som med packet sniffing, er det bedste forsvar at gøre angrebet fuldstændig ineffektivt. IP-spoofing kan kun implementeres, hvis brugergodkendelse er baseret på IP-adresser. Derfor gør kryptering af autentificering denne type angreb ubrugelig. I stedet for kryptering kan du dog lige så godt bruge tilfældigt genererede engangskodeord.

Denial of service angreb

I dag er en af ​​de mest almindelige former for hackerangreb i verden et denial of service (DoS) angreb. I mellemtiden er dette en af ​​de yngste teknologier - dens implementering blev kun mulig i forbindelse med den virkelig udbredte spredning af internettet. Det er ikke tilfældigt, at DoS-angreb først blev diskuteret bredt, efter i december 1999, ved hjælp af denne teknologi, blev webstederne for så velkendte virksomheder som Amazon, Yahoo, CNN, eBay og E-Trade "oversvømmet". Selvom de første rapporter om noget lignende dukkede op i 1996, indtil "juleoverraskelsen" i 1999, blev DoS-angreb ikke opfattet som en alvorlig trussel mod internetsikkerheden. Men et år senere, i december 2000, skete alt igen: De største virksomheders hjemmesider blev angrebet ved hjælp af DoS-teknologi, og deres systemadministratorer var igen ude af stand til at gøre noget for at imødegå angriberne. Nå, i 2001 blev DoS-angreb almindelige. Strengt taget udføres DoS-angreb ikke for at stjæle information eller manipulere den. Deres hovedmål er at lamme arbejdet på den angrebne hjemmeside. I bund og grund er dette bare online terrorisme. Det er ikke tilfældigt, at amerikanske efterretningstjenester har mistanke om, at bag mange DoS-angreb på servere store virksomheder der er de berygtede anti-globalister. Faktisk er det én ting at smide en mursten mod et McDonald's-vindue et sted i Madrid eller Prag, og noget helt andet at crashe hjemmesiden for dette superselskab, som længe er blevet en slags symbol på globaliseringen af ​​verdensøkonomien. DoS-angreb er også farlige, fordi cyberterrorister ikke behøver at have nogen særlig viden og færdigheder for at implementere dem – al den nødvendige software, sammen med beskrivelser af selve teknologien, er fuldstændig frit tilgængelige på internettet. Derudover er det meget svært at forsvare sig mod denne type angreb. Generelt ser DoS-angrebsteknologien sådan ud: et websted, der er valgt som et mål, bliver bombarderet med en byge af falske anmodninger fra mange computere rundt om i verden. Som følge heraf er serverne, der betjener noden, lammet og kan ikke betjene almindelige brugeres anmodninger. Samtidig har brugere af computere, hvorfra der sendes falske anmodninger, ikke engang mistanke om, at deres maskine hemmeligt bliver brugt af angribere. Denne fordeling af "arbejdsbyrden" øger ikke kun den destruktive effekt af angrebet, men komplicerer også i høj grad foranstaltninger til at afvise det, hvilket gør det umuligt at identificere den sande adresse på angrebskoordinatoren. I dag er de mest almindeligt anvendte typer DoS-angreb:

Smurf - ping anmoder ICMP (Internet Control Message Protocol) til en rettet broadcast-adresse. Den falske kildeadresse, der bruges i pakkerne i denne anmodning, ender med at blive målet for et angreb. Systemer, der modtager en rettet broadcast-ping-anmodning, reagerer på den og "oversvømmer" netværket, hvor målserveren er placeret.

• ICMP flood er et angreb, der ligner Smurf, men uden forstærkningen skabt af anmodninger til en rettet udsendelsesadresse.
• UDP flood - afsendelse af mange UDP (User Datagram Protocol) pakker til adressen på målsystemet, hvilket fører til "binding" af netværksressourcer.
• TCP-flod - at sende mange TCP-pakker til målsystemets adresse, hvilket også fører til "binding" af netværksressourcer.
• TCP SYN flood - når man udfører denne type angreb, udsendes et stort antal anmodninger om at initialisere TCP-forbindelser med målværten, som som følge heraf skal bruge alle sine ressourcer på at spore disse delvist åbne forbindelser.

I tilfælde af et angreb skal trafik, der skal overvælde det angrebne netværk, "afbrydes" hos internetudbyderen, fordi det ved indgangen til Netværket ikke længere vil være muligt at gøre dette - hele båndbredden vil være optaget. Når denne type angreb udføres samtidigt på tværs af flere enheder, omtales det som et DDoS-angreb (Distributed Denial of Service). Truslen om DoS-angreb kan afbødes på flere måder. Først skal du korrekt konfigurere anti-spoofing-funktionerne på dine routere og firewalls. Disse funktioner skal som minimum omfatte RFC 2827-filtrering. Hvis en hacker ikke er i stand til at skjule sin sande identitet, er det usandsynligt, at han vil udføre et angreb. For det andet skal du aktivere og korrekt konfigurere anti-DoS-funktioner på routere og firewalls. Disse funktioner begrænser antallet af halvåbne kanaler, hvilket forhindrer systemoverbelastning. Det anbefales også, hvis der er en trussel om et DoS-angreb, at begrænse mængden af ​​ikke-kritisk trafik, der passerer gennem netværket. Du skal forhandle dette med din internetudbyder. Dette begrænser normalt mængden af ​​ICMP-trafik, da det udelukkende bruges til diagnostiske formål.

Man-in-the-Middle angreb

Denne type angreb er meget typisk for industrispionage. I et Man-in-the-Middle-angreb skal hackeren få adgang til pakker, der sendes over netværket, og derfor er angribernes rolle i dette tilfælde ofte virksomhedens ansatte selv eller f.eks. en ansat hos udbyderen. Selskab. Man-in-the-Middle-angreb bruger ofte pakkesniffer, transportprotokoller og routingprotokoller. Formålet med et sådant angreb er henholdsvis at stjæle eller forfalske overført information eller få adgang til netværksressourcer. Det er ekstremt svært at beskytte sig mod sådanne angreb, da de normalt er angreb fra en "muldvarp" i selve organisationen. Derfor kan du rent teknisk set kun beskytte dig selv ved at kryptere de overførte data. Så vil hackeren i stedet for de data, han har brug for, modtage et virvar af symboler, som simpelthen er umuligt at forstå uden at have en supercomputer ved hånden. Men hvis angriberen er heldig og er i stand til at opsnappe information om den kryptografiske session, vil datakryptering automatisk miste al mening. Så i dette tilfælde bør "i forkant" af kampen ikke være "teknikere", men personaleafdelingen og virksomhedens sikkerhedstjeneste.

Brug af "huller" og "bugs" i software

En meget, meget almindelig type hackerangreb er brugen af ​​sårbarheder (oftest banale fejl) i meget brugt software, primært til servere. Især "berømt" for sin upålidelighed og svage sikkerhed af software fra Microsoft. Typisk udvikler situationen sig som følger: nogen opdager et "hul" eller "fejl" i serversoftwaren og offentliggør disse oplysninger på internettet i det relevante forum. Producenten af ​​denne software frigiver en patch ("patch"), der eliminerer dette problem, og udgiver den på sin webserver. Problemet er, at ikke alle administratorer på grund af simpel dovenskab konstant overvåger opdagelsen og udseendet af patches, og der går også noget tid mellem opdagelsen af ​​et "hul" og skrivningen af ​​et "patch": Hackere læser også tematiske konferencer og , Vi skal give dem deres ret, de anvender meget dygtigt den modtagne information i praksis. Det er ikke tilfældigt, at de fleste af verdens førende informationssikkerhedseksperter er tidligere hackere.

Hovedmålet med et sådant angreb er at få adgang til serveren på vegne af den bruger, der kører applikationen, normalt med systemadministratorrettigheder og det passende adgangsniveau. Det er ret svært at beskytte sig mod denne type angreb. En af årsagerne er, udover software af lav kvalitet, at angribere, når de udfører sådanne angreb, ofte bruger porte, der må passere gennem firewallen, og som ikke kan lukkes af rent teknologiske årsager. Så det bedste forsvar i dette tilfælde er en kompetent og samvittighedsfuld systemadministrator.

Det er kun begyndelsen…

Sammen med udvidelsen af ​​afgrøderne af enhver landbrugsafgrøde stiger antallet af skadedyr af denne afgrøde altid. Sådan er det med udviklingen af ​​informationsteknologier og deres indtrængen på alle områder moderne liv Antallet af angribere, der aktivt bruger disse teknologier, vokser. Derfor vil spørgsmål om beskyttelse af computernetværk i en overskuelig fremtid blive stadig mere relevante. Desuden vil forsvaret blive udført på to hovedområder: teknologisk og rådgivning. Hvad angår de vigtigste tendenser i udviklingen af ​​informationssikkerhedsindustrien, vil de ifølge eksperter fra det velkendte firma The Yankee Group i de kommende år være som følger:

1. Vægten ved opbygning af beskyttende systemer vil gradvist flytte sig - fra at imødegå "eksterne" hackerangreb til at beskytte mod angreb "indefra."

2. Hardwarebeskyttelse mod hackerangreb vil blive udviklet og forbedret. En ny klasse af netværksudstyr vil dukke op på markedet - "beskyttende serviceswitche". De vil være i stand til at yde omfattende beskyttelse til computernetværk, hvorimod moderne enheder normalt udfører et ret begrænset sæt specifikke funktioner, og hovedbyrden ligger stadig på specialiseret software.

3. Den hurtige udvikling sikres af markedet for tjenester til sikker levering af digitalt indhold og beskyttelse af selve indholdet mod ulovlig kopiering og uautoriseret brug. Sideløbende med udviklingen af ​​markedet for sikker levering vil tilsvarende teknologier også udvikle sig. Eksperter fra The Yankee Group anslår volumen af ​​dette marked til $200 millioner baseret på resultaterne fra 2001 og forudser vækst til $2 milliarder i 2005.

4. Biometriske autentificeringssystemer (nethinde, fingeraftryk, stemme osv.), herunder komplekse systemer, vil blive brugt meget mere udbredt. Meget af det, der nu kun kan ses i actionfyldte film, vil blive inkorporeret i hverdagen.

5. I 2005 vil internetudbydere levere størstedelen af ​​sikkerhedstjenesterne til deres kunder. Desuden vil deres hovedkunder være virksomheder, hvis forretning er bygget specifikt på internetteknologier, det vil sige aktive forbrugere af webhostingtjenester, e-handelssystemer osv.

6. Markedet for intelligente netværkssikkerhedstjenester forventes at vokse hurtigt. Det skyldes, at nye koncepter til beskyttelse af it-systemer mod hackere ikke så meget fokuserer på at reagere på allerede indtrådte hændelser/angreb, men på at forudsige dem, forhindre dem og tage proaktive og forebyggende foranstaltninger.

7. Efterspørgslen efter kommercielle kryptografiske krypteringssystemer til transmitterede data vil stige betydeligt, herunder "tilpasset" udvikling for specifikke virksomheder, under hensyntagen til deres aktivitetsområder.

8. På markedet for it-sikkerhedsløsninger vil der gradvist ske et skift væk fra ”standardsystemer”, og derfor vil der være en øget efterspørgsel efter konsulentydelser til udvikling af informationssikkerhedskoncepter og opbygning af informfor specifikke kunder.

Markedet for informationssikkerhedssystemer og -tjenester udvikler sig også i det "postsovjetiske rum" - dog ikke i samme tempo og ikke i samme skala som i Vesten. Som avisen Kommersant rapporterede, bruger organisationer i Rusland fra 1% (metallurgi) til 30% (finansiel sektor) af deres budgetter på udvikling af informationsinfrastruktur af forskellige typer. Samtidig udgør forsvarsomkostningerne indtil videre kun omkring 0,1-0,2 % af omkostningsdelen af ​​budgetterne. Således er det samlede volumen af ​​markedet for informationssikkerhedssystemer i Rusland i 2001 af eksperter anslået til $40-80 millioner. I 2002 skulle de ifølge dataene i forslaget til statsbudget beløbe sig til 60-120 millioner dollars. Til sammenligning: Som påvist af nyere IDC-undersøgelser forventes størrelsen af ​​det europæiske marked for informationssikkerhedsprodukter (software og hardware) alene at stige fra 1,8 milliarder USD i 2000 til 6,2 milliarder USD i 2005.

I løbet af de seneste par år er spørgsmålet om beskyttelse mod automatiserede målrettede angreb blevet et presserende emne på informationssikkerhedsmarkedet, men i den generelle forståelse blev et målrettet angreb først præsenteret som et resultat af langsigtet og professionelt arbejde organiseret gruppe cyberkriminelle for at få dyre kritiske data. I øjeblikket, på baggrund af udviklingen af ​​teknologi, populariseringen af ​​open source-fora (f.eks. Github, Reddit) og Darknet, som leverer kildekoder til malware og trin-for-trin beskrivelser af trinene til at ændre det (så det ikke kan detekteres ved signaturanalyse) og inficerer værter, er implementeringen af ​​cyberangreb væsentligt forenklet. For at udføre et vellykket angreb, ledsaget af skadelige konsekvenser for ejerne af automatiserede systemer og informationssystemer, kræver det blot en ufaglært bruger og entusiasme i at analysere det materiale, der leveres på internettet / Darknet.

Motivet for at udføre sådanne kriminelle aktiviteter er at tjene penge. Den enkleste og derfor mest almindelige metode er at inficere netværksværter med malware såsom Ransomware. I løbet af de sidste 2 år er dens popularitet vokset hurtigt:

• i 2016 steg antallet af kendte typer (familier) af ransomware-trojanske heste med 752 %: fra 29 typer i 2015 til 247 ved udgangen af ​​2016 (ifølge TrendLabs);
• takket være ransomware-virus, "tjente" angribere 1 milliard dollars i 2016 (ifølge CSO);
• I første kvartal af 2017 dukkede 11 nye familier af ransomware-trojanske heste og 55.679 modifikationer op. Til sammenligning er der i 2.-4. kvartal 2016 dukket 70.837 modifikationer op (iflg. Kaspersky Lab).

I begyndelsen af ​​2017 kaldte førende producenter af informationssikkerhedsværktøjer (Kaspersky Lab, McAfee Labs, SophosLabs, Malwarebytes Labs, TrendMicro osv.) Ransomware for en af ​​de største trusler mod informationssikkerheden for offentlige og kommercielle organisationer af forskellige felter og størrelser. Og som historien viser, tog de ikke fejl:

• januar 2017. 70 % af den offentlige ordens overvågningskameraer i Washington blev inficeret på tærsklen til præsidentens indsættelse. For at eliminere konsekvenserne blev kameraerne demonteret, genoprettet eller erstattet med andre;
• Februar 2017 Deaktivering af alle kommunale tjenester i Ohio County (USA) i mere end en uge på grund af massiv kryptering af data på servere og brugerarbejdsstationer (over 1000 værter);
• Marts 2017 Deaktivering af Pennsylvania State Capitol-systemerne (USA) på grund af et angreb og blokering af adgang til informationssystemdata;
• Maj 2017 Storstilet angreb af WannaCry ransomware-virussen (WanaCrypt0r 2.0), som påvirkede mere end 546 tusinde computere og servere baseret på Windows-operativsystemer i mere end 150 lande pr. 26. juni 2017. I Rusland blev computere og servere fra så store virksomheder som sundhedsministeriet, ministeriet for nødsituationer, russiske jernbaner, indenrigsministeriet, Megafon, Sberbank og Bank of Russia inficeret. Der er stadig ingen universel datadekryptering (hvordan man dekrypterer data på Windows XP er blevet offentliggjort). Den samlede skade fra virussen overstiger ifølge eksperter 1 milliard dollars;
• Et storstilet angreb fra XData ransomware-virussen i maj 2017 (en uge efter starten af ​​WannaCry-angrebet), som brugte en sårbarhed svarende til WannaCry (EternalBlue) i SMBv1-protokollen til infektion og ramte hovedsageligt erhvervssegmentet i Ukraine ( 96% af inficerede computere og servere er placeret i Ukraine), hvis spredning er 4 gange hurtigere end WannaCry. I øjeblikket er krypteringsnøglen blevet offentliggjort, og dekrypteringer er blevet frigivet til ofre for ransomware;
• juni 2017. Netværket af et af de største universiteter i verden, Univercity College London, blev udsat for et udbredt Ransomware-angreb. Angrebet havde til formål at blokere adgang for offentligheden netværkslagring, et automatiseret elevadministrationssystem. Dette blev gjort i foreksamen og eksamensperioder, hvor de studerende holdt deres afhandlinger på universitetets filservere vil højst sandsynligt betale svindlere for at få deres arbejde. Mængden af ​​krypterede data og de berørte data oplyses ikke.

Der er mange tilfælde af målrettede angreb rettet mod at inficere Ransomware. Hovedmålene for angribere er systemer baseret på Windows-operativsystemer, men der findes forskellige versioner af Ransomware til UNIX/Linux, MacOS-operativsystemer samt iOS- og Android-mobilplatforme.

Med udviklingen af ​​Ransomware er der også midler til at imødegå dem. Først og fremmest er dette et åbent projekt No more Ransom! (www.nomoreransom.org), som giver ofre for angreb midler til at dekryptere data (i tilfælde af at krypteringsnøglen er kompromitteret), og for det andet specialiserede open source-midler til beskyttelse mod ransomware-virus. Men de analyserer enten softwarens adfærd baseret på signaturer og er ikke i stand til at opdage en ukendt virus, eller de blokerer malwaren, efter at den har påvirket systemet (krypterer en del af dataene). Specialiserede Open source-løsninger bruges af internetbrugere på personlige/hjemmeenheder; store organisationer, der behandler store mængder information, herunder kritisk information, skal yde omfattende proaktiv beskyttelse mod målrettede angreb.

Proaktiv beskyttelse mod målrettede angreb og Ransomware

Lad os overveje mulige vektorer for adgang til beskyttet information placeret på en server eller en automatiseret brugerarbejdsstation:

• Indvirkning på omkredsen af ​​det lokale computer netværk fra internettet er muligt via:
• virksomhedens e-mail;
• webtrafik, inklusive webmail;
• perimeter router/firewall;
• tredjeparts (ikke-virksomheds-) internetadgangsgateways (modemmer, smartphones osv.);
• sikre fjernadgangssystemer.
• Indvirkning på servere og brugerarbejdsstationer over netværket:
• Indlæser malware til slutpunkter/servere efter anmodning fra dem;
• brug udokumenterede funktioner(sårbarheder) af system/applikationssoftware;
• downloading af malware over en krypteret VPN-kanal, ukontrolleret af IT- og informationssikkerhedstjenester;
• forbindelse til det lokale netværk af illegitime enheder.
• Direkte indvirkning på information på servere og brugerarbejdsstationer:
• forbindelse eksterne medier information indeholdende malware;
• udvikling af malware direkte på slutpunktet/serveren.

For at reducere sandsynligheden for, at en trussel realiseres for hver type adgang til beskyttet information, er det nødvendigt at sikre implementeringen af ​​et sæt organisatoriske og tekniske foranstaltninger til beskyttelse af information, hvis liste er vist i figuren (se figur 1) )

Figur 1. Proaktive foranstaltninger til beskyttelse mod målrettede angreb og Ransomware

Organisatoriske foranstaltninger til beskyttelse mod målrettede angreb og Ransomware

Til det vigtigste organisatoriske tiltag Proaktiv beskyttelse mod målrettede angreb og Ransomware omfatter:

• Øge medarbejdernes bevidsthed inden for informationssikkerhed.
  Det er nødvendigt regelmæssigt at uddanne medarbejderne og informere dem om mulige informationssikkerhedstrusler. Den mindste og nødvendige foranstaltning er dannelsen af ​​principper for at arbejde med filer og post:
  o Åbn ikke filer med dobbelte udvidelser: konfigurer visningen af ​​udvidelser, så brugere kan identificere ondsindede filer med dobbelte udvidelser (f.eks. 1СRecord.xlsx.scr);
  o aktivér ikke makroer i upålidelige dokumenter Microsoft Office;
  o kontrollere adresserne på afsendere af postmeddelelser;
  o Åbn ikke links til websider eller vedhæftede filer fra ukendte afsendere.
• Vurdering af effektiviteten af ​​beskyttelse både i organisationen og med inddragelse af eksterne specialister.
  Det er nødvendigt at evaluere effektiviteten af ​​personaletræning ved at modellere angreb, både interne og med deltagelse af eksterne specialister - udførelse af penetrationstest, herunder ved hjælp af metoden til social engineering.
• Regelmæssige systemsoftwareopdateringer (Patch Management).
  For at forhindre malware-angreb på målsystemer gennem kendte sårbarheder, er det nødvendigt at sikre rettidig test og installation af system- og under hensyntagen til prioriteringen af ​​opdateringernes kritikalitet.
• Systematisering af data backup.
  Det er nødvendigt regelmæssigt at sikkerhedskopiere kritiske data på informationssystemservere, datalagringssystemer og brugerarbejdsstationer (hvis kritisk information skal lagres). Sikkerhedskopier skal opbevares på datalagringssystemets båndbiblioteker, på flytbare lagermedier (forudsat at lagermediet ikke er permanent forbundet til arbejdsstationen eller serveren), samt i skysystemer data backup, opbevaring.

Tekniske foranstaltninger til beskyttelse mod målrettede angreb og Ransomware

Tekniske foranstaltninger til proaktiv beskyttelse mod målrettede angreb og Ransomware træffes på netværksniveau og på værtsniveau.

Proaktive beskyttelsesforanstaltninger på netværksniveau

• Brug af e-mail-filtreringssystemer der giver analyse af mailtrafik for tilstedeværelsen af ​​uønskede breve (spam), links, vedhæftede filer, herunder ondsindede breve (f.eks. blokering JavaScript-filer(JS) og Visual Basic (VBS), eksekverbare filer(.exe), pauseskærmsfiler (SCR), Android-pakke(.apk) og filer Windows-genveje(.lnk)).
• Brug af filtreringssystemer til webtrafikindhold, tilvejebringelse af differentiering og kontrol af brugeradgang til internettet (herunder ved at parse SSL-trafik ved at erstatte et servercertifikat), streaming-trafikanalyse for tilstedeværelsen af ​​malware og begrænsning af brugeradgang til indholdet af websider.
• Brug af beskyttelsessystemer mod målrettede angreb, zero-day angreb (Sandbox, Sandbox), der giver heuristisk og adfærdsmæssig analyse af potentielt farlige filer i isoleret miljø før du sender filen til beskyttede informationssystemer. Systemer til beskyttelse mod målrettede angreb skal integreres med indholdsfiltreringssystemer til webtrafik og e-mailfiltrering for at blokere ondsindede vedhæftede filer. Også beskyttelsessystemer mod målrettede angreb er integreret med informationssystemer inden for netværkets perimeter for at opdage og blokere komplekse angreb på kritiske ressourcer og tjenester.
• Sikring af adgangskontrol til virksomhedens netværk på kablet niveau og trådløst netværk ved hjælp af 802.1x-teknologi. Denne foranstaltning forhindrer uautoriseret tilslutning af illegitime enheder til virksomhedens netværk og giver mulighed for at kontrollere, om virksomhedens politikker overholdes, når man får adgang til organisationens netværk (tilgængelighed af antivirussoftware, aktuelle signaturdatabaser, tilgængelighed af kritiske Windows-opdateringer). Adgangskontrol til virksomhedens netværk ved hjælp af 802.1x leveres af NAC (Network Access Control) klassesystemer.
• Eliminering af direkte interaktion eksterne brugere med ressourcer fra virksomhedsinformationssystemer ved hjælp af mellemliggende adgangsgateways med overlejredesværktøjer (terminalserver, VDI desktop-virtualiseringssystem), herunder evnen til at optage eksterne brugeres handlinger ved hjælp af video- eller tekstoptagelse af sessionen. Foranstaltningen implementeres ved hjælp af terminaladgangssystemer, klassesystemer PUM (Privileged User Management).
• Netværkssegmentering baseret på princippet om nødvendig tilstrækkelighed til at udelukke redundante tilladelser til netværksinteraktion, hvilket begrænser muligheden for at sprede malware i virksomhedens netværk i tilfælde af infektion af en af ​​serverne / brugerens arbejdsstationer / virtuelle maskiner. Det er muligt at implementere en sådan foranstaltning ved hjælp af firewall-politikanalysesystemer (NCM / NCCM, Network Configuration (Change) Management), som giver centraliseret indsamling af firewall-politikker, firewall-indstillinger og deres videre behandling med henblik på automatiseret udstedelse af anbefalinger til deres optimering, kontrol af politikændringer firewall.
• Påvisning af anomalier på niveauet af netværksinteraktioner ved hjælp af specialiserede løsninger af NBA & NBAD-klassen (Network Behavior Analysis, Network Behavior Anomaly Detection), som tillader indsamling og analyse af information om datastrømme, profilering af trafik for hver netværksvært for at identificere afvigelser fra den "normale" profil. Denne klasse af løsninger vil afsløre:

  O scanning af den inficerede værts miljø;
  o infektionsvektor;
  o værtsstatus: "scannet", "inficeret og scanner andre";
  o ensrettede strømninger;
  o unormale strømninger;
  o virale epidemier;
  o distribuerede angreb;
  o et billede af eksisterende strømme.

• Deaktivering af inficerede værter(automatiserede arbejdsstationer, servere, virtuelle maskiner osv.) fra netværket. Denne foranstaltning er anvendelig, hvis mindst én af værterne på virksomhedens netværk er inficeret, men er nødvendig for at lokalisere og forhindre en viral epidemi. Arbejdsstationer kan afbrydes fra netværket både af IT- og infopersonale og automatisk, når tegn på en trussel opdages på den beskyttede vært (ved at korrelere sikkerhedshændelser, indstilling automatiserede handlinger ved at blokere alle netværksaktiviteter på værten / afbryde værten fra netværket på switch-niveau osv.).

Proaktive forsvarsforanstaltninger på værtsniveau

• Sikring af beskyttelse mod uautoriseret adgang arbejdsstationer, servere, virtuelle maskiner gennem forbedret brugergodkendelse, overvågning af operativsystemets integritet, blokering af systemindlæsning fra eksterne medier for at forhindre ubudne gæster i at inficere virksomhedens netværk inden for netværkets perimeter. Denne foranstaltning er implementeret af løsninger af SZI-klassen fra NSD / Endpoint Protection.
• Giver anti-virus beskyttelse på alle netværksknuder i organisationen. Antivirussoftware skal opdage tilfælde af virusinfektion Random Access Memory, lokale lagermedier, mængder, mapper, filer samt filer modtaget via kommunikationskanaler, e-mails på arbejdsstationer, servere, virtuelle maskiner i realtid, behandle, fjerne eller isolere trusler. Antivirussoftware signaturdatabaser skal opdateres regelmæssigt og holdes ajour.
• Sikring af overvågning og kontrol af softwarehandlinger på beskyttede værter ved at overvåge lancerede tjenester og heuristisk analyse af deres funktion. Denne foranstaltning er implementeret af HIPS-klasseløsninger (Host Intrusion Prevention).
• Giver kontrol over tilslutningen af ​​eksterne enheder, blokering af ubrugte porte på beskyttede værter for at forhindre uautoriserede enheder i at oprette forbindelse til beskyttede værter: både lagermedier med potentielt ondsindede programmer og eksterne internetadgangsgateways (for eksempel et 4G-modem), der giver en ukontrolleret og ubeskyttet internetadgangskanal. Denne foranstaltning er implementeret af løsninger af SZI-klassen fra NSD / Endpoint Protection.
• Giv avanceret værtsbeskyttelse ved hjælp af adfærdsanalyse funktion af processer på beskyttede værter, maskinlæring, heuristisk filanalyse, applikationskontrol, udnyttelsesbeskyttelse til at identificere og blokere ukendte trusler (nuldagstrusler) i realtid. Denne foranstaltning er implementeret af NGEPP (Next Generation Endpoint Protection) klasseløsninger.
• Brug af agentbaserede ransomware-beskyttelsesløsninger, kryptering af data på den inficerede vært. Disse omfatter:
  o Produktive beskyttelsessystemer mod målrettede angreb og zero-day angreb med klient-server-arkitektur. Klientsoftware er installeret på den beskyttede vært, beskytter i realtid mod nul-dagstrusler, vira, der krypterer data i systemet, dekrypterer data krypteret med malware (hvis der er en agent, før et infektionsforsøg), fjerner ransomware og beskytter mod phishing-angreb. Klientsoftware giver kontrol over alle adgangskanaler til værten: webtrafik, fremmedgjorte lagermedier, e-mail, lokal netværksadgang, malware i krypteret trafik (VPN).
  o Klientbeskyttelsessystemer mod zero-day-trusler (sandkasser) i Åben adgang(sandboxie, gøgesandkasse, skyggeforsvarer osv.).
  o Klientsystemer til beskyttelse mod nul-dagstrusler baseret på mikrovirtualisering (Bromium vSentry), der giver adfærdsanalyse af potentielt ondsindede filer i et hardware-isoleret miljø (mikrovirtuel infrastruktur).
• Tilvejebringelse af firewalling på værtsniveau bruge software firewalls til at begrænse adgangen til virksomhedens netværksressourcer, begrænse spredningen af ​​malware i tilfælde af infektion af værten, blokere ubrugte netværksporte og protokoller.

Andre beskyttelsesforanstaltninger mod ransomware-virus

Ud over ovenstående foranstaltninger vil følgende hjælpe med at forhindre et målrettet angreb på et virksomhedsnetværk:

• Sikkerhed regelmæssig analyse IT-infrastruktursikkerhed - scanning af netværksknuder for at søge efter kendte sårbarheder i system- og applikationssoftware. Denne foranstaltning sikrer rettidig opdagelse af sårbarheder og tillader dem at blive elimineret, før de udnyttes af angribere. Sikkerhedsanalysesystemet løser også problemer med overvågning af netværksenheder og enheder forbundet til brugerarbejdsstationer (for eksempel et 4G-modem).
• Indsamling og korrelation af hændelser giver mulighed for en omfattende tilgang til at opdage ransomware på netværket baseret på SIEM-systemer, da denne metode giver et holistisk billede af virksomhedens it-infrastruktur. Effektiviteten af ​​SIEM ligger i behandlingen af ​​hændelser, der sendes fra forskellige infrastrukturkomponenter, herunder informationssikkerhed, baseret på korrelationsregler, som giver dig mulighed for hurtigt at identificere potentielle hændelser relateret til spredningen af ​​ransomware.

Prioriter foranstaltninger til beskyttelse af ransomware

Pålidelig omfattende beskyttelse mod målrettede angreb leveres af en række organisatoriske og tekniske foranstaltninger, som er rangeret i følgende grupper:

• Et grundlæggende sæt foranstaltninger, som alle organisationer skal implementere for at beskytte mod målrettede angreb og ransomware.
• Et udvidet sæt foranstaltninger gældende for mellemstore og store organisationer med høje omkostninger til informationsbehandling.
• Et avanceret sæt foranstaltninger gældende for mellemstore og store organisationer med avanceret IT- og infog de høje omkostninger ved behandlet information.

Figur 2. Prioritering af beskyttelsesforanstaltninger mod ransomware

Ransomware beskyttelsesforanstaltninger for slutbrugere

Truslen om infektion med en ransomware-virus er også relevant for slutbrugere af internettet, for hvem visse foranstaltninger til at forhindre infektion også gælder:

• rettidig installation af systemsoftwareopdateringer;
• brug af antivirus;
• rettidig opdatering antivirus signaturdatabaser;
• brug af tilgængelig i fri adgang beskyttelse mod malware, der krypterer data på en computer: RansomFree, CryptoDrop, AntiRansomware-værktøj til virksomheder, Cryptostalker osv. Installation af beskyttelsesværktøjer af denne klasse er anvendelig, hvis kritiske, uforbeholdne data er gemt på computeren, og pålidelige anti-virus-beskyttelsesværktøjer ikke er installeret.

Sårbarhed af mobile enheder (Android, iOS)

"Smarte" mobile enheder (smartphones, tablet-computere) er blevet en integreret del af livet: antallet af aktiverede mobile enheder stiger hvert år, mobile applikationer og mængden af ​​mobiltrafik. Hvis tidligere mobiltelefoner kun lagrede en database med kontakter, er de nu arkiver af kritiske data for brugeren: fotos, videoer, kalendere, dokumenter osv. Mobile enheder bruges i stigende grad i erhvervssektoren (årlig vækst på 20-30%) . Og derfor vokser angribernes interesse for mobile platforme, især ud fra synspunktet om at afpresse penge ved hjælp af trojanske heste. Ifølge Kaspersky Lab udgjorde ransomware i 1. kvartal 2017 16 % af det samlede antal malware (i 4. kvartal 2016 oversteg denne værdi ikke 5 %). Den største procentdel af trojanske heste til mobile platforme er skrevet til det mest populære mobile operativsystem - Android, men lignende findes også til iOS.

Beskyttelsesforanstaltninger for mobile enheder:

• For erhvervslivet:
  o brugen af ​​Mobile Device Management (MDM) klassesystemer, der giver kontrol over installationen af ​​systemsoftwareopdateringer, installation af applikationer og kontrol over tilgængeligheden af ​​superbrugerrettigheder;
  o at beskytte virksomhedsdata på brugerens mobile enheder - Mobile Information Management (MIM) klassesystemer, der giver lagring af virksomhedsdata i en krypteret beholder isoleret fra mobilenhedens operativsystem;
  o brug af Mobile Threat Prevention-klassesystemer, der giver kontrol over tilladelser givet til applikationer og adfærdsanalyse af mobile applikationer.
• Til slutbrugere:
  o bruge officielle butikker til at installere applikationer;
  o rettidig opdatering af systemsoftware;
  o forhindre navigation gennem ikke-pålidelige ressourcer og installation af upålidelige applikationer og tjenester.

konklusioner

Den lette implementering og lave omkostninger ved at organisere cyberangreb (Ransomware, DDoS, angreb på webapplikationer osv.) fører til en stigning i antallet af cyberkriminelle og reducerer samtidig det gennemsnitlige niveau af teknisk bevidsthed hos angriberen. I denne forbindelse er sandsynligheden for trusler mod informationssikkerheden i erhvervssektoren og behovet for omfattende beskyttelse stærkt stigende.

Derfor fokuserer vi hos Informzashita på moderne inog sikrer beskyttelsen af ​​vores kunders infrastruktur mod de seneste, inklusive ukendte, trusler. Ved at skabe og implementere komplekse adaptive modeller til imødegåelse af informationssikkerhedstrusler ved vi, hvordan vi forudsiger, forebygger, opdager og reagerer på cybertrusler. Det vigtigste er at gøre det rettidigt.