Enhver angrepsmetode er preget av et visst sett med egenskaper. Typiske tegn på angrep inkluderer følgende: :

1) Gjentakelse av visse hendelser og handlinger. For eksempel tilgang til porter (skanning), gjette et passord, gjenta forespørsler om å opprette en tilkobling, noe som fører til en kø eller bufferoverflyt;

2) Uventede parametere i nettverkspakker

· uventede adresseattributter (for eksempel ikke-ruterbare eller reserverte IP-adresser, kilde- eller destinasjonsportfeltverdien er null, forespørsel fra ikke-standardservere);

· uventede parametere for nettverkspakkeflagg (for eksempel når ACK-flagget er satt, bekreftelsesnummeret lik null; pakken inneholder to gjensidig utelukkende flagg SYN+FIN; tilstedeværelsen av bare FIN-flagget; ved å bruke en kombinasjon av flagg SYN+RST og RST+FIN);

· uventede klokkeslett eller datoattributter;

3) Upassende parametere nettverkstrafikk

· alternativer innkommende trafikk(for eksempel pakker som kommer inn i det lokale nettverket utenfra og har en kildeadresse som tilsvarer adresseområdet til det interne nettverket);

Utgående trafikkparametere (for eksempel som kommer fra lokalt nettverk pakker som har en kildeadresse som tilsvarer rekkevidden av eksterne nettverksadresser);

· kommandoer som ikke samsvarer med den nåværende situasjonen (feil forespørsler eller svar);

· anomalier i nettverkstrafikk (for eksempel endringer i belastningsfaktor, pakkestørrelse, gjennomsnittlig antall fragmenterte pakker);

4) Upassende systemytelsesattributter

· unormale systemegenskaper (tung CPU-belastning, intensiv tilgang til RAM eller diskminne, filer);

· avvik mellom brukerytelseskarakteristikker og deres profiler (avvik fra topp- og minimumsbelastningstider, fra varigheten av en typisk arbeidsøkt, fra det vanlige tidspunktet for inn- og utgang fra systemet).

Hovedalternativer for implementering av dataangrep

Angrepene kan utføres via direkte eller nettverkspålogging til systemet. Derfor er det to hovedalternativer for å implementere angrep:

1) system – der det antas at angriperen allerede har en konto på det angrepne systemet med noen (vanligvis lave) privilegier eller at det er mulig å logge inn på systemet som en anonym bruker. I dette tilfellet utføres angrepet ved at angriperen logger på systemet under denne kontoen og mottar ytterligere administrative fullmakter. Som et resultat av angrepet oppnås uautorisert tilgang til informasjon om objektet (verten). Spesielt kan denne typen angrep utføres ved hjelp av GetAdmin-programmet.

2) Nettverk– som innebærer at inntrengeren prøver å eksternt trenge inn i systemet gjennom nettverket. Slik penetrering er mulig når inntrengerens datamaskin er plassert i samme nettverkssegment, i forskjellige segmenter, eller med ekstern tilgang til det angrepne objektet (for eksempel ved bruk av oppringt eller dedikert modemtilkoblinger). Som et resultat av slike angrep kan angriperen være i stand til å fjernstyre en datamaskin via et nettverk, få tilgang til informasjonsressursene til det angrepne objektet, endre driftsmodus, inkludert tjenestenekt. NetBus- eller BackOrifice-programmer kan brukes som programmer som lar deg implementere nettverksangrep.

For å implementere angrep kan visse kommandoer (sekvenser av kommandoer) brukes i kommandolinjegrensesnittet, skript, programmer eller frittstående agenter installert på en eller distribuert over flere noder (datamaskiner) i nettverket.

Forelesning 33 Typer og typer nettverksangrep

Forelesning 33

Emne: Typer og typer nettverksangrep

Et eksternt nettverksangrep er en informasjonsdestruktiv effekt på et distribuert datasystem, utført programmatisk via kommunikasjonskanaler.

Introduksjon

For å organisere kommunikasjon i et heterogent nettverksmiljø, brukes et sett med TCP/IP-protokoller, som sikrer kompatibilitet mellom datamaskiner av forskjellige typer. Dette settet med protokoller har vunnet popularitet på grunn av dets kompatibilitet og tilgang til ressursene til det globale Internett og har blitt en standard for internettarbeid. Imidlertid har allestedsnærværet til TCP/IP-protokollstabelen også avslørt svakhetene. Spesielt på grunn av dette er distribuerte systemer mottakelige for eksterne angrep, siden komponentene deres vanligvis bruker åpne dataoverføringskanaler, og en angriper kan ikke bare passivt avlytte den overførte informasjonen, men også endre den overførte trafikken.

Vanskeligheten med å oppdage et eksternt angrep og den relative enkle implementeringen (på grunn av den overflødige funksjonaliteten til moderne systemer) setter denne typen ulovlige handlinger på første plass når det gjelder graden av fare og forhindrer en rettidig respons på trusselen, som en resultat som angriperen øker sjansene for vellykket implementering av angrepet.

Klassifisering av angrep

Av påvirkningens art

Passiv

Aktiv

Passiv påvirkning på et distribuert datasystem (DCS) er en påvirkning som ikke direkte påvirker driften av systemet, men som samtidig kan bryte sikkerhetspolitikken. Mangelen på direkte påvirkning på driften av RVS fører nettopp til at passiv fjernpåvirkning (RPI) er vanskelig å oppdage. Et mulig eksempel på en typisk PUV i en DCS er å lytte til en kommunikasjonskanal i et nettverk.

Aktiv innvirkning på DCS - en påvirkning som har en direkte innvirkning på driften av selve systemet (svekkelse av funksjonalitet, endring i DCS-konfigurasjonen, etc.), som bryter med sikkerhetspolicyen som er vedtatt i den. Nesten alle typer fjernangrep er aktive påvirkninger. Dette skyldes det faktum at selve naturen til den skadelige effekten inkluderer et aktivt prinsipp. Den klare forskjellen mellom aktiv innflytelse og passiv innflytelse er den grunnleggende muligheten for dets deteksjon, siden det oppstår noen endringer i systemet som et resultat av implementeringen. Med en passiv innflytelse gjenstår absolutt ingen spor (på grunn av det faktum at angriperen ser på andres meldinger i systemet, vil ingenting endre seg i samme øyeblikk).

Av påvirkningsformål

Brudd på systemets funksjon (tilgang til systemet)

Brudd på integriteten til informasjonsressurser (IR)

Brudd på IR-konfidensialitet

Denne funksjonen, som klassifisering gjøres ved, er i hovedsak en direkte projeksjon av tre grunnleggende typer trusler - tjenestenekt, avsløring og brudd på integritet.

Hovedmålet som forfølges i nesten alle angrep er å få uautorisert tilgang til informasjon. Det er to grunnleggende alternativer for å innhente informasjon: forvrengning og avlytting. Muligheten for å avskjære informasjon betyr å få tilgang til den uten mulighet for å endre den. Avlytting av informasjon fører derfor til brudd på taushetsplikten. Å lytte til en kanal på et nettverk er et eksempel på å avskjære informasjon. I dette tilfellet er det illegitim tilgang til informasjon uten mulige alternativer for å erstatte den. Det er også åpenbart at brudd på konfidensialitet av informasjon refererer til passiv påvirkning.

Evnen til å erstatte informasjon bør forstås enten som fullstendig kontroll over informasjonsflyten mellom systemobjekter, eller evnen til å overføre ulike meldinger på andres vegne. Derfor er det klart at erstatning av informasjon fører til brudd på integriteten. Slik informasjonsdestruktiv påvirkning er et typisk eksempel på aktiv påvirkning. Et eksempel på et eksternt angrep designet for å krenke integriteten til informasjon er "False RVS object" remote attack (RA).

I henhold til tilgjengelighet tilbakemelding med den angrepne gjenstanden

Med tilbakemelding

Ingen tilbakemelding (enveis angrep)

Angriperen sender noen forespørsler til det angrepne objektet, som han forventer å få svar på. Følgelig vises tilbakemeldinger mellom angriperen og den angrepne, slik at førstnevnte kan reagere tilstrekkelig på alle slags endringer i det angrepne objektet. Dette er essensen av et eksternt angrep, utført i nærvær av tilbakemelding fra det angripende objektet. Slike angrep er mest typiske for RVS.

Open-loop-angrep kjennetegnes ved at de ikke trenger å reagere på endringer i det angrepne objektet. Slike angrep utføres vanligvis ved å sende enkeltforespørsler til det angrepne objektet. Angriperen trenger ikke svar på disse forespørslene. Slik UA kan også kalles ensrettet UA. Et eksempel på enveis angrep er et typisk DoS-angrep.

I henhold til tilstanden til begynnelsen av påvirkningen

Fjernpåvirkning, akkurat som alle andre, kan begynne å finne sted bare under visse forhold. Det er tre typer slike betingede angrep i RVS:

Angrep på forespørsel fra det angrepne objektet

Angrep ved forekomst av en forventet hendelse på det angrepne objektet

Ubetinget angrep

Påvirkningen fra angriperen vil begynne forutsatt at det potensielle målet for angrepet sender en forespørsel av en bestemt type. Et slikt angrep kan kalles et angrep på forespørsel fra det angrepne objektet. Denne typen UA er mest typisk for RVS. Et eksempel på slike forespørsler på Internett er DNS- og ARP-forespørsler, og i Novell NetWare - en SAP-forespørsel.

Et angrep på forekomsten av en forventet hendelse på det angrepne objektet. Angriperen overvåker kontinuerlig tilstanden til operativsystemet til det eksterne målet for angrepet og begynner å påvirke når en spesifikk hendelse inntreffer i dette systemet. Det angrepne objektet er selv initiativtakeren til angrepet. Et eksempel på en slik hendelse vil være når en brukers økt med serveren blir avbrutt uten å utstede LOGOUT-kommandoen i Novell NetWare.

Et ubetinget angrep utføres umiddelbart og uavhengig av tilstanden til operativsystemet og det angrepne objektet. Derfor er angriperen initiativtaker til angrepet i i dette tilfellet.

Hvis den normale driften av systemet forstyrres, forfølges andre mål og angriperen forventes ikke å få ulovlig tilgang til data. Målet er å deaktivere operativsystemet på det angrepne objektet og gjøre det umulig for andre systemobjekter å få tilgang til ressursene til dette objektet. Et eksempel på et angrep av denne typen er et DoS-angrep.

Etter plasseringen av angrepsobjektet i forhold til det angrepne objektet

Intrasegmental

Intersegmental

Noen definisjoner:

Kilden til angrepet (angrepets gjenstand) er programmet (eventuelt operatøren) som leder angrepet og har en direkte innvirkning.

Vert - en datamaskin som er en del av nettverket.

Ruter er en enhet som ruter pakker på et nettverk.

Et undernettverk er en gruppe verter som er en del av et globalt nettverk, som skiller seg ved at ruteren tildeler det samme undernettnummeret til dem. Vi kan også si at et subnett er en logisk sammenslutning av verter gjennom en ruter. Verter innenfor samme subnett kan kommunisere direkte med hverandre uten å bruke en ruter.

Et nettverkssegment er en kombinasjon av verter på fysisk nivå.

Fra et eksternt angreps synspunkt er den relative plasseringen av motivet og objektet for angrepet ekstremt viktig, det vil si om de er i forskjellige eller identiske segmenter. Under et intra-segment-angrep er motivet og målet for angrepet lokalisert i samme segment. Ved et intersegment-angrep er motivet og målet for angrepet plassert i forskjellige nettverkssegmenter. Denne klassifiseringsfunksjonen gjør det mulig å bedømme den såkalte "graden av fjernhet" av angrepet.

Det vil vises nedenfor at et intra-segment-angrep er mye lettere å gjennomføre enn et inter-segment-angrep. Vi legger også merke til at et fjernangrep mellom segmenter utgjør en mye større fare enn et intra-segment. Dette skyldes det faktum at ved et intersegment-angrep kan målet og angriperen være lokalisert i en avstand på mange tusen kilometer fra hverandre, noe som i betydelig grad kan hindre tiltak for å avvise angrepet.

I henhold til nivået til ISO/OSI-referansemodellen som påvirkningen utføres på

Fysisk

Kanal

Nettverk

Transportere

Økt

Representant

Anvendt

Den internasjonale organisasjonen for standardisering (ISO) tok i bruk ISO 7498-standarden, som beskriver sammenkobling av åpne systemer (OSI), som også RBC-er tilhører. Hver nettverksprotokoll utveksling, så vel som hvert nettverksprogram, kan projiseres på en eller annen måte på referanse-7-nivå OSI-modellen. Denne flernivåprojeksjonen gjør det mulig å beskrive funksjonene som brukes i en nettverksprotokoll eller et program i form av OSI-modellen. UA er et nettverksprogram, og det er logisk å vurdere det fra et projeksjonssynspunkt på ISO/OSI-referansemodellen.

Kort beskrivelse noen nettverksangrep

Datafragmentering

Når en IP-datapakke overføres over et nettverk, kan pakken deles inn i flere fragmenter. Deretter, når de når destinasjonen, blir pakken rekonstruert fra disse fragmentene. En angriper kan sette i gang en pakke stort nummer fragmenter, noe som fører til overløp av programvarebuffere på mottakersiden og, i noen tilfeller, til systemkrasj.

Ping flomangrep

Dette angrepet krever at angriperen har tilgang til raske Internett-kanaler.

Ping-programmet sender en ICMP-pakke av typen ECHO REQUEST, og angir tiden og dens identifikator i den. Den mottakende maskinens kjerne svarer på en slik forespørsel med en ICMP ECHO REPLY-pakke. Etter å ha mottatt den, viser ping hastigheten på pakken.

I standard driftsmodus sendes pakker med jevne mellomrom, med praktisk talt ingen belastning på nettverket. Men i "aggressiv" modus kan en flom av ICMP-ekkoforespørsels-/svarpakker forårsake overbelastning på en liten linje, og hindre den i å overføre nyttig informasjon.

Ikke-standard protokoller innkapslet i IP

IP-pakken inneholder et felt som spesifiserer protokollen til den innkapslede pakken (TCP, UDP, ICMP). Angripere kan bruke en ikke-standard verdi av dette feltet for å overføre data som ikke vil bli registrert av standard informasjonsflytkontrollverktøy.

Smurfeangrep

Smurfeangrepet innebærer å sende kringkastede ICMP-forespørsler til nettverket på vegne av offerets datamaskin.

Som et resultat reagerer datamaskiner som har mottatt slike kringkastingspakker på offerets datamaskin, noe som fører til en betydelig reduksjon i kommunikasjonskanalens gjennomstrømning og, i noen tilfeller, til fullstendig isolasjon av det angrepne nettverket. Smurfeangrepet er ekstremt effektivt og utbredt.

Motvirkning: for å gjenkjenne dette angrepet, er det nødvendig å analysere kanalbelastningen og bestemme årsakene til reduksjonen i gjennomstrømming.

DNS-spoofing-angrep

Resultatet av dette angrepet er introduksjonen av en tvungen korrespondanse mellom en IP-adresse og et domenenavn i DNS-serverbufferen. Som et resultat av et vellykket angrep vil alle brukere av DNS-serveren motta feil informasjon om domenenavn og IP-adresser. Dette angrepet er preget av et stort antall DNS-pakker med samme domenenavn. Dette er på grunn av behovet for å velge noen DNS-utvekslingsparametere.

Motvirkning: for å oppdage et slikt angrep, er det nødvendig å analysere innholdet i DNS-trafikk eller bruke DNSSEC.

IP spoofing angrep

Et stort antall angrep på Internett er forbundet med forfalskning av kildens IP-adresse. Slike angrep inkluderer også syslog-spoofing, som innebærer å sende en melding til offerets datamaskin på vegne av en annen datamaskin på det interne nettverket. Siden syslog-protokollen brukes til å vedlikeholde systemlogger, ved å sende falske meldinger til offerets datamaskin, kan du påtvinge informasjon eller dekke spor etter uautorisert tilgang.

Mottiltak: deteksjon av angrep relatert til IP-adresseforfalskning er mulig ved å overvåke kvitteringen på et av grensesnittene til en pakke med kildeadressen til samme grensesnitt eller ved å overvåke mottak av pakker med IP-adresser til det interne nettverket på det eksterne grensesnittet .

Pakkepålegg

Angriperen sender pakker med en falsk returadresse til nettverket. Med dette angrepet kan en angriper bytte forbindelser etablert mellom andre datamaskiner til sin egen datamaskin. I dette tilfellet blir angriperens tilgangsrettigheter lik rettighetene til brukeren hvis tilkobling til serveren ble byttet til angriperens datamaskin.

Sniffing - lytter til en kanal

Kun mulig i det lokale nettverkssegmentet.

Nesten alle nettverkskort støtter muligheten til å fange opp pakker som sendes over en felles lokal nettverkskanal. I dette tilfellet kan arbeidsstasjonen motta pakker adressert til andre datamaskiner på samme nettverkssegment. Dermed blir all informasjonsutveksling i nettverkssegmentet tilgjengelig for angriperen. For å kunne implementere dette angrepet, må angriperens datamaskin være plassert i samme lokale nettverkssegment som datamaskinen som blir angrepet.

Pakkeavlytting på ruteren

En ruters nettverksprogramvare har tilgang til alle nettverkspakker som sendes gjennom ruteren, noe som tillater pakkeavskjæring. For å utføre dette angrepet må angriperen ha privilegert tilgang til minst én ruter på nettverket. Siden så mange pakker vanligvis overføres gjennom en ruter, er total avlytting av dem nesten umulig. Imidlertid kan individuelle pakker godt bli fanget opp og lagret for senere analyse av en angriper. Den mest effektive avskjæringen av FTP-pakker som inneholder brukerpassord, samt e-post.

Tvinge en falsk rute på en vert ved hjelp av ICMP

På Internett er det en spesiell protokoll ICMP (Internet Control Message Protocol), en av funksjonene som er å informere verter om endring av gjeldende ruter. Denne kontrollmeldingen kalles omdirigering. Det er mulig å sende en falsk omdirigeringsmelding fra en hvilken som helst vert i nettverkssegmentet på vegne av ruteren til den angrepne verten. Som et resultat av dette endres vertens gjeldende rutingtabell, og i fremtiden vil all nettverkstrafikk til denne verten for eksempel gå gjennom verten som sendte den falske omdirigeringsmeldingen. På denne måten er det mulig å aktivt pålegge en falsk rute innenfor ett segment av Internett.

Sammen med vanlige data som sendes over en TCP-forbindelse, sørger standarden også for overføring av hastedata (Out Of Band). På nivået av TCP-pakkeformater uttrykkes dette som en ikke-null presserende peker. De fleste PC-er med Windows installert har NetBIOS-nettverksprotokollen, som bruker tre IP-porter for sine behov: 137, 138, 139. Hvis du kobler til en Windows-maskin via port 139 og sender flere byte med OutOfBand-data dit, vil NetBIOS-implementeringen uten å vite hva den skal gjøre med disse dataene, henger den bare eller starter maskinen på nytt. For Windows 95 ser dette vanligvis ut som en blå tekstskjerm som indikerer en feil i TCP/IP-driveren, og manglende evne til å jobbe med nettverket før operativsystemet startes på nytt. NT 4.0 uten oppdateringspakker starter på nytt, NT 4.0 med ServicePack 2-pakke krasjer inn i en blå skjerm. Etter informasjon fra nettverket å dømme, er både Windows NT 3.51 og Windows 3.11 for Workgroups mottakelige for et slikt angrep.

Sending av data til port 139 fører til en omstart av NT 4.0, eller en "blue screen of death" med installert Service Pack 2. En lignende sending av data til 135 og noen andre porter fører til en betydelig belastning på RPCSS.EXE-prosessen. På Windows NT WorkStation fører dette til en betydelig nedgang; Windows NT Server fryser praktisk talt.

Forfalskning av pålitelig vert

Vellykket implementering av fjernangrep av denne typen vil tillate angriperen å gjennomføre en økt med serveren på vegne av en pålitelig vert. (Trusted host - en stasjon som er lovlig koblet til serveren). Implementeringen av denne typen angrep består vanligvis av å sende utvekslingspakker fra angriperens stasjon på vegne av en klarert stasjon under hans kontroll.

Angrepsdeteksjonsteknologier

Nettverks- og informasjonsteknologier endrer seg så raskt at statiske beskyttelsesmekanismer, som inkluderer tilgangskontrollsystemer, brannmurer og autentiseringssystemer, i mange tilfeller ikke kan gi effektiv beskyttelse. Derfor kreves dynamiske metoder for raskt å oppdage og forhindre sikkerhetsbrudd. En teknologi som kan oppdage brudd som ikke kan identifiseres ved hjelp av tradisjonelle tilgangskontrollmodeller er teknologi for inntrengningsdeteksjon.

I hovedsak er angrepsdeteksjonsprosessen prosessen med å vurdere mistenkelige aktiviteter som skjer på et bedriftsnettverk. Med andre ord er inntrengningsdeteksjon prosessen med å identifisere og svare på mistenkelig aktivitet rettet mot databehandling eller nettverksressurser.

Metoder for å analysere nettverksinformasjon

Effektiviteten til et angrepsdeteksjonssystem avhenger i stor grad av metodene som brukes for å analysere den mottatte informasjonen. De første, utviklet på begynnelsen av 1980-tallet, brukte statistiske metoder for å oppdage angrep. For tiden er en rekke nye teknikker lagt til statistisk analyse, som starter med ekspertsystemer og uklar logikk og slutter med bruk av nevrale nettverk.

Statistisk metode

De viktigste fordelene med den statistiske tilnærmingen er bruken av et allerede utviklet og utprøvd apparat for matematisk statistikk og tilpasning til fagets oppførsel.

Først bestemmes profiler for alle emner i det analyserte systemet. Ethvert avvik fra den brukte profilen fra referanseprofilen anses som uautorisert aktivitet. Statistiske metoder er universelle fordi analysen ikke krever kunnskap om mulige angrep og sårbarhetene de utnytter. Men når du bruker disse teknikkene, oppstår det problemer:

"statistiske" systemer er ikke følsomme for hendelsesrekkefølgen; i noen tilfeller kan de samme hendelsene, avhengig av rekkefølgen de oppstår i, karakterisere unormal eller normal aktivitet;

Det er vanskelig å sette grenseverdiene (terskelverdiene) til egenskapene som overvåkes av inntrengningsdeteksjonssystemet for å kunne identifisere uregelmessig aktivitet tilstrekkelig;

"statistiske" systemer kan "trenes" av angripere over tid, slik at angrepshandlinger blir sett på som normale.

Det bør også tas i betraktning at statistiske metoder ikke er anvendelige i tilfeller der det ikke er noe typisk atferdsmønster for brukeren eller når uautoriserte handlinger er typiske for brukeren.

Ekspertsystemer

Ekspertsystemer består av et sett med regler som fanger kunnskapen til en menneskelig ekspert. Bruk av ekspertsystemer er en vanlig angrepsdeteksjonsmetode der angrepsinformasjon formuleres i form av regler. Disse reglene kan for eksempel skrives som en sekvens av handlinger eller som en signatur. Når noen av disse reglene er oppfylt, tas det en beslutning om tilstedeværelsen av uautorisert aktivitet. En viktig fordel med denne tilnærmingen er det nesten fullstendige fraværet av falske alarmer.

Ekspertsystemdatabasen bør inneholde skript for de fleste kjente angrep. For å holde seg konstant oppdatert krever ekspertsystemer konstant oppdatering av databasen. Selv om ekspertsystemer gir god innsyn i loggdata, kan nødvendige oppdateringer enten ignoreres eller utføres manuelt av administratoren. Dette resulterer i et minimum i et ekspertsystem med svekkede kapasiteter. I verste fall reduserer mangelen på riktig vedlikehold sikkerheten til hele nettverket, og villeder brukerne om det faktiske sikkerhetsnivået.

Den største ulempen er manglende evne til å avvise ukjente angrep. Dessuten kan selv en liten endring av et allerede kjent angrep bli en alvorlig hindring for funksjonen til angrepsdeteksjonssystemet.

Nevrale nettverk

De fleste moderne angrepsdeteksjonsmetoder bruker en form for kontrollert romanalyse, enten regelbasert eller statistisk tilnærming. Det kontrollerte rommet kan være logger eller nettverkstrafikk. Analysen er basert på et sett med forhåndsdefinerte regler som er opprettet av administratoren eller inntrengningsdeteksjonssystemet selv.

Enhver separasjon av et angrep over tid eller blant flere angripere er vanskelig å oppdage ved hjelp av ekspertsystemer. På grunn av det store utvalget av angrep og hackere, selv ad hoc, vil pågående oppdateringer av ekspertsystemregeldatabasen aldri garantere nøyaktig identifikasjon av hele spekteret av angrep.

Bruken av nevrale nettverk er en av måtene å overvinne disse problemene med ekspertsystemer. I motsetning til ekspertsystemer, som kan gi brukeren et klart svar om samsvar mellom egenskapene som vurderes med reglene som er innebygd i databasen, analyserer et nevralt nettverk informasjon og gir mulighet til å vurdere om dataene stemmer overens med egenskapene de er. trent til å gjenkjenne. Mens graden av korrespondanse til en nevrale nettverksrepresentasjon kan nå 100%, avhenger påliteligheten av valget helt av kvaliteten på systemet ved å analysere eksempler på oppgaven.

Først trenes det nevrale nettverket til å identifisere riktig ved å bruke et forhåndsvalgt utvalg av domeneeksempler. Responsen til det nevrale nettverket analyseres og systemet justeres på en slik måte at det oppnås tilfredsstillende resultater. I tillegg til den innledende treningsperioden, får det nevrale nettverket erfaring over tid når det analyserer domenespesifikke data.

En viktig fordel med nevrale nettverk for å oppdage misbruk er deres evne til å "lære" egenskapene til bevisste angrep og identifisere elementer som er ulikt de som tidligere er observert på nettverket.

Hver av de beskrevne metodene har en rekke fordeler og ulemper, så nå er det nesten vanskelig å finne et system som implementerer bare en av de beskrevne metodene. Som regel brukes disse metodene i kombinasjon.

Ved å bruke programmer som WinNuke, Papa Smurf og Teardrop kan angripere angripe datamaskinen din og forårsake skade. I følge en undersøkelse fra Computer Security Institute/FBI fra 1999 om datakriminalitet, rapporterte 57 prosent av de spurte organisasjonene at de betraktet deres nettverkstilkoblinger til Internett som et "hyppig sted for angrep." 30 prosent av de spurte rapporterte at nettverkene deres hadde blitt infiltrert, og 26 prosent sa at angrep resulterte i tyveri av konfidensiell informasjon. Federal Center for Combating Computer Crimes i USA - FedCIRC rapporterte at i 1998 ble rundt 130 000 statlige nettverk med 1 100 000 datamaskiner angrepet. Klassifisering av dataangrep Når vi sier "dataangrep", mener vi at folk starter programmer for å få uautorisert tilgang til en datamaskin. Formene for organisering av angrep er svært forskjellige, men generelt tilhører de alle en av følgende kategorier: Ekstern datamaskininntrenging: programmer som får uautorisert tilgang til en annen datamaskin via Internett (eller lokalt nettverk) Lokal datamaskininntrenging: programmer som får uautorisert tilgang til datamaskinen de kjører på. Ekstern datamaskinblokkering: programmer som via Internett (eller nettverk) blokkerer driften av en hel ekstern datamaskin eller eget program på den (for å gjenopprette funksjonalitet, oftest må datamaskinen startes på nytt) Lokal datamaskinblokkering: programmer som blokkerer datamaskinen de kjører på Nettverksskannere: Programmer som samler informasjon om et nettverk for å finne ut hvilke datamaskiner og programmene som kjører på dem som er potensielt sårbare for angrep. Skannere for programsårbarheter: programmer blir sjekket store grupper datamaskiner på Internett, på jakt etter datamaskiner som er sårbare for en bestemt type angrep. Passordknekkere: programmer som oppdager passord som er enkle å gjette i krypterte passordfiler. Datamaskiner kan nå gjette passord så raskt at tilsynelatende komplekse passord kan gjettes. Nettverksanalysatorer (sniffers): programmer som lytter til nettverkstrafikk. De har ofte muligheten til automatisk å fremheve brukernavn, passord og tall Kredittkort fra trafikken. Slik beskytter du deg mot de fleste dataangrepÅ beskytte nettverket ditt mot dataangrep er en konstant og ikke-triviell oppgave; men en rekke enkle sikkerhetstiltak kan stoppe de fleste forsøk på å penetrere nettverket. For eksempel kan en godt konfigurert brannmur og antivirusprogramvare installert på alle arbeidsstasjoner umuliggjøre de fleste dataangrep. Nedenfor beskriver vi kort 14 forskjellige sikkerhetstiltak som, når de er implementert, vil bidra til å beskytte nettverket ditt. Online patching av programmer (patching) Bedrifter slipper ofte programoppdateringer for å eliminere de negative effektene av feil i dem. Hvis du ikke fikser programmene, kan en angriper senere dra nytte av disse feilene og bryte seg inn på datamaskinen din. Systemadministratorer må beskytte sine mest kritiske systemer ved å umiddelbart lappe programmer på dem. Det er imidlertid vanskelig å lappe programmer på alle verter på et nettverk fordi oppdateringer kan dukke opp ofte. I dette tilfellet er det nødvendig å gjøre rettelser til programmene på de viktigste vertene, og i tillegg installere andre sikkerhetstiltak beskrevet nedenfor. Generelt bør patcher KUN skaffes fra programvareprodusenter. Oppdage virus og trojanske hester Gode antivirusprogrammer er et uunnværlig verktøy for å øke sikkerheten på ethvert nettverk. De overvåker driften av datamaskiner og oppdager skadelig programvare på dem. Det eneste problemet med dem er at for maksimal effektivitet må de installeres på alle datamaskiner på nettverket. For installasjon antivirusprogrammer på alle datamaskiner og jevnlig oppdatering av antivirusdatabasene i dem kan ta ganske mye tid - men ellers vil ikke dette verktøyet være effektivt. Brukere bør læres hvordan de gjør disse oppdateringene selv, men bør ikke stole helt på dem. I tillegg til å kjøre et vanlig antivirusprogram på hver datamaskin, anbefaler vi at organisasjoner skanner e-postvedlegg på e-postserveren. På denne måten kan de fleste virus oppdages før de når brukernes maskiner. Brannmurer Brannmurer er det viktigste middelet for å beskytte en organisasjons nettverk. De kontrollerer nettverkstrafikk som kommer inn og ut av nettverket. En brannmur kan blokkere visse typer trafikk fra å komme inn i nettverket eller utføre visse kontroller på andre typer trafikk. En godt konfigurert brannmur kan stoppe de fleste kjente dataangrep. Password Crackers Hackere utnytter ofte lite kjente sårbarheter i datamaskiner for å stjele krypterte passordfiler. De bruker da spesielle passordknekkingsprogrammer som kan oppdage svake passord i disse krypterte filene. Når et svakt passord er oppdaget, kan angriperen logge seg på datamaskinen som en vanlig bruker og bruke en rekke teknikker for å full tilgang til datamaskinen og nettverket. Selv om dette verktøyet brukes av angripere, vil det også være nyttig for systemadministratorer. De bør med jevne mellomrom kjøre disse programmene på sine krypterte passordfiler for å oppdage svake passord i tide. Kryptering Angripere trenger ofte inn i nettverk ved å lytte til nettverkstrafikk på sensitive steder og trekke ut brukernavn og passord fra den. Derfor er tilkoblinger til eksterne maskiner beskyttet av ved å bruke et passord, må være kryptert. Dette er spesielt viktig i tilfeller der tilkoblingen er via Internett eller til en viktig server. Det finnes en rekke kommersielle og gratis programmer for kryptering av TCP/IP-trafikk (SSH er den mest kjente). Sårbarhetsskannere Dette er programmer som skanner nettverket på jakt etter datamaskiner som er sårbare for visse typer angrep. Skannere har en stor database med sårbarheter, som de bruker når de sjekker en bestemt datamaskin for sårbarheter. Både kommersielle og gratis skannere er tilgjengelige. Riktig konfigurering av datamaskiner for sikkerhet Datamaskiner med nylig installerte operativsystemer er ofte sårbare for angrep. Grunnen til dette er at den første installasjonen av et operativsystem vanligvis tillater alle nettverksfunksjoner og ofte tillater dem på en usikker måte. Dette gjør at angriperen kan bruke mange metoder for å starte et angrep på maskinen. Alle unødvendige nettverksverktøy bør deaktiveres. War dialer Brukere omgår ofte organisatorisk nettverkssikkerhet ved å la datamaskinene deres motta innkommende telefonsamtaler. Før han forlater jobben, slår brukeren på modemet og konfigurerer programmene på datamaskinen deretter, hvoretter han kan ringe via modemet hjemmefra og bruke bedriftsnettverket. Angripere kan bruke kampoppringere til å ringe et stort antall telefonnumre, på jakt etter datamaskiner som behandler innkommende anrop. Fordi brukere vanligvis konfigurerer datamaskinene sine selv, ender de ofte opp med dårlig beskyttelse og gir en angriper en ny mulighet til å starte et angrep på nettverket. Systemadministratorer bør regelmessig bruke combat dialers for å bekrefte telefonnumrene til brukerne og oppdage datamaskiner som er konfigurert på denne måten. Både kommersielle og fritt tilgjengelige kampoppringere er tilgjengelige. Sikkerhetsråd Sikkerhetsråd er advarsler publisert av datakriminalitetsteam og programvareleverandører om nylig oppdagede sårbarheter. Rådgivningene dekker vanligvis de alvorligste truslene som disse sårbarhetene utgjør, og er derfor raske å lese, men svært nyttige. De beskriver trusselen generelt og gir ganske konkrete råd om hva som må gjøres for å eliminere denne sårbarheten. Du kan finne dem på en rekke steder, men to av de mest nyttige er de som er publisert av Computer Crime TeamCIACOgCERT Intrusion Detection Systemer for inntrengningsdeteksjon oppdager raskt dataangrep. De kan installeres bak en brannmur for å oppdage angrep som kommer fra nettverket. Eller de kan installeres foran brannmuren for å oppdage angrep på brannmuren. Verktøy av denne typen kan ha en rekke funksjoner. Tilgjengeligartikkel om deres bruk og typer angrepsdeteksjonssystemer Nettverkstopologideteksjonsverktøy og portskannere Disse programmene lar deg få et fullstendig bilde av hvordan nettverket ditt er strukturert og hvilke datamaskiner som fungerer på det, samt identifisere alle tjenestene som kjører på hver maskin. Angripere bruker disse verktøyene til å identifisere sårbare datamaskiner og programmer på dem. Systemadministratorer bør bruke disse verktøyene til å overvåke hvilke programmer som kjører på hvilke datamaskiner i nettverket deres. Med deres hjelp kan du oppdage feilkonfigurerte programmer på datamaskiner og installere reparasjoner på dem. Etterforskningsteam for sikkerhetshendelser Hvert nettverk, uansett hvor sikkert det er, opplever sikkerhetshendelser (kanskje til og med falske alarmer). Ansatte i organisasjonen må vite på forhånd hva som må gjøres i en bestemt sak. Det er viktig å bestemme på forhånd følgende punkter - når du skal ringe politi, når du skal ringe datakriminalitetsteamet, når du skal koble nettverket fra Internett, og hva du skal gjøre hvis en viktig server er kompromittert.CERTgir generell konsultasjon i USA. FedCIRC er ansvarlig for å gi råd til sivile myndighetsorganer i USA. Sikkerhetspolitikk System nettverksikkerhet hvor sterk den er, hvor sterkt dens svakeste punkt er beskyttet. Hvis det er flere nettverk innenfor samme organisasjon med ulike sikkerhetspolicyer, kan ett nettverk bli kompromittert på grunn av dårlig sikkerhet på et annet nettverk. Organisasjoner bør skrive en sikkerhetspolicy som definerer det forventede beskyttelsesnivået, som må implementeres konsekvent hele veien. Det viktigste med policyen er å etablere enhetlige krav til hvilken trafikk som skal gå gjennom nettverkets brannmurer. Policyen bør også definere hvordan og hvilke sikkerhetstiltak (for eksempel angrepsdeteksjonsverktøy eller sårbarhetsskannere) som skal brukes på nettverket. For å oppnå et enhetlig sikkerhetsnivå, bør policyen definere standard sikre konfigurasjoner for ulike typer datamaskiner. Testing av brannmurer og WWW-servere for motstand mot forsøk på å blokkere dem Angrep for å blokkere en datamaskin er vanlig på Internett. Angripere krasjer stadig WWW-sider, overbelaster datamaskiner eller oversvømmer nettverk med meningsløse pakker. Denne typen angrep kan være svært alvorlig, spesielt hvis angriperen er så smart at han starter et vedvarende angrep som ikke kan spores til kilden. Sikkerhetsbevisste nettverk kan starte angrep mot seg selv for å finne ut hvor mye skade som kan gjøres på dem. Vi anbefaler at denne typen sårbarhetsanalyse kun utføres av erfarne systemadministratorer eller dedikerte konsulenter.

Med et væpnet bankran er det gjennomsnittlige tapet 19 tusen dollar, og med en datakriminalitet - allerede 560 tusen. Ifølge amerikanske eksperter har skadene fra datakriminalitet økt årlig med gjennomsnittlig 35 % de siste ti årene. I dette tilfellet avdekkes i gjennomsnitt 1 % av datakriminalitet, og sannsynligheten for at en kriminell går i fengsel for oppdaget datasvindel er ikke mer enn 10 %.

Selvfølgelig bidrar målrettet bruk av tradisjonelle sikkerhetskontroller som antivirusprogramvare, brannmurer, kryptografi og så videre til å forhindre uautorisert tilgang til informasjon. Men i dette tilfellet spiller den menneskelige faktoren inn. Personen, sluttbrukeren, viser seg å være det svakeste leddet i informasjonssikkerhetssystemet, og hackere, vel vitende om dette, bruker dyktige sosiale ingeniørmetoder. Uansett hvilke multi-level identifikasjonssystemer det finnes, har de ingen effekt hvis brukere for eksempel bruker passord som er enkle å knekke. Med en profesjonell tilnærming til sikkerhetsspørsmål løser bedrifter slike problemer ved sentralt å utstede unike og komplekse passord eller installasjon av hardt bedriftsregler for ansatte og tilstrekkelige straffer for manglende overholdelse. Situasjonen kompliseres imidlertid av det faktum at i I det siste Datakriminelles rolle er i økende grad ikke "eksterne" hackere, men sluttbrukerne selv. I følge en amerikansk er "Den typiske datakriminelle i dag en ansatt som har tilgang til et system som han er en ikke-teknisk bruker av." I USA står datakriminalitet begått av funksjonærer for 70–80 % av de årlige datarelaterte tapene. moderne teknologier. Dessuten involverte bare 3 % av svindelene og 8 % av overgrepene spesiell ødeleggelse av utstyr, programmer eller data. I andre tilfeller manipulerte angriperne bare informasjonen - de stjal den, modifiserte den eller opprettet en ny, falsk. I disse dager lar den stadig mer utbredte bruken av Internett hackere utveksle informasjon på globalt plan. En slags "hacker internasjonal" har lenge blitt dannet - tross alt er Internett som ingen andre tekniske midler sletter grenser mellom stater og til og med hele kontinenter. Legg til dette det nesten fullstendige anarkiet på Internett. Alle i dag kan finne instruksjoner for hacking av datamaskiner og alle nødvendige programvareverktøy ved å søke søkeord som "hacker", "hacking", "hack", "crack" eller "phreak". En annen faktor som øker sårbarheten til datasystemer betydelig er den utbredte bruken av standardiserte, brukervennlige operativsystemer og utviklingsmiljøer. Dette lar hackere lage universelle verktøy for hacking, og en potensiell angriper trenger ikke lenger, som før, å ha gode programmeringsevner - det er nok å vite IP-adressen til nettstedet som blir angrepet, og for å utføre et angrep er det nok for å starte et program funnet på Internett. Den evige konfrontasjonen mellom rustning og prosjektil fortsetter. Inhar allerede innsett at det er meningsløst å alltid ta igjen hackerteknologier; dataangripere er alltid et skritt foran. Derfor er nye teknikker i økende grad basert på forebyggende oppdagelse av brudd i informasjonssystemerÅh. Men over tid oppstår nye problemer, først og fremst knyttet til utviklingen trådløs kommunikasjon. Derfor må selskaper som spesialiserer seg på informasjonssikkerhet være mer og mer oppmerksomme på å beskytte data som overføres ved hjelp av nye trådløse standarder.

Klassifisering

Nettverksangrep er like varierte som systemene de retter seg mot. Rent teknologisk bruker de fleste nettverksangrep en rekke begrensninger som ligger i TCP/IP-protokollen. Tross alt, på en gang ble Internett opprettet for kommunikasjon mellom offentlige etater og universiteter å støtte pedagogisk prosess og vitenskapelig forskning. På den tiden hadde skaperne av nettverket ingen anelse om hvor vidt det ville spre seg. På grunn av dette manglet spesifikasjonene til tidlige versjoner av Internet Protocol (IP) sikkerhetskrav, og derfor er mange IP-implementeringer iboende sårbare. Først mange år senere, da den raske utviklingen startet e-handel og det var en rekke alvorlige hendelser med hackere, verktøy for Internett-protokoller begynte endelig å bli implementert bredt. Siden IP-sikkerhet ikke opprinnelig ble utviklet, begynte implementeringen å bli supplert med ulike nettverksprosedyrer, tjenester og produkter designet for å redusere den iboende risikoen ved denne protokollen.

Postbombing

E-postbombing (såkalt mailbombing) er en av de eldste og mest primitive typene Internett-angrep. Det ville være mer riktig å til og med kalle det datahærverk (eller ganske enkelt hooliganisme, avhengig av alvorlighetsgraden av konsekvensene). Essensen av postbombing er å tette postkassen med "søppelpost" eller til og med deaktivere Internett-leverandørens e-postserver. Til dette formål brukes spesielle programmer - postbombere. De bombarderer ganske enkelt postkassen som er angitt som et mål med et enormt antall bokstaver, samtidig som de indikerer falsk avsenderinformasjon – helt ned til IP-adressen. Alt en angriper som bruker et slikt program trenger er å angi e-posten til målet for angrepet, antall meldinger, skrive teksten i brevet (vanligvis noe støtende), angi falske avsenderdata hvis programmet ikke gjør dette seg selv, og trykk på "start"-knappen. . De fleste Internett-leverandører har imidlertid egne systemer beskytte klienter mot postbombing. Når antallet identiske brev fra samme kilde begynner å overskride visse rimelige grenser, blir all innkommende korrespondanse av denne typen ganske enkelt ødelagt. Så i dag er det ikke lenger noen alvorlig frykt for postbombing.

Passord gjette angrep

En hacker som angriper et system begynner ofte sine handlinger ved å prøve å få tak i passordet til en administrator eller en av brukerne. For å finne ut passordet finnes det mange forskjellige metoder. Her er de viktigste: IP-spoofing og packet sniffing - vi skal se på dem nedenfor. Å introdusere en "trojansk hest" i et system er en av de vanligste teknikkene i hackerpraksis; vi vil også snakke om det mer detaljert senere. Brutalt styrkeangrep Ren styrke"). Det er mange programmer som utfører et enkelt søk etter passordalternativer over Internett eller direkte på den angrepne datamaskinen. Noen programmer søker etter passord ved hjelp av en spesifikk ordbok, andre genererer ganske enkelt ulike sekvenser av tegn tilfeldig. Logisk søk ​​etter passordalternativer. En angriper som bruker denne metoden søker ganske enkelt gjennom sannsynlige kombinasjoner av tegn som kan brukes av brukeren som passord. Denne tilnærmingen viser seg vanligvis å være overraskende effektiv. Datasikkerhetsspesialister slutter aldri å bli overrasket over hvor ofte brukere bruker slike "kryptiske" kombinasjoner som passord som 1234, qwerty eller fornavn, skrevet baklengs. Seriøse hackere kan, når de velger et verdsatt passord, studere personen som bruker dette passordet grundig. Navn på familiemedlemmer og andre slektninger, favoritt hund/katt; hvilke lag og idretter «objektet» støtter; hvilke bøker og filmer liker han; hvilken avis han leser om morgenen - alle disse dataene og kombinasjonene deres går i gang. Du kan bare unnslippe slike angrep ved å bruke en tilfeldig kombinasjon av bokstaver og tall som passord, fortrinnsvis generert av et spesielt program. Og selvfølgelig er det nødvendig å endre passordet regelmessig - systemadministratoren er ansvarlig for å overvåke dette. Sosial ingeniørkunst. Dette er hackerbruk psykologiske teknikker"jobbe" med brukeren. Et typisk (og enkleste) eksempel er en telefonsamtale fra en antatt "systemadministrator" med en uttalelse som "Vi har hatt en systemfeil her og brukerinformasjon har gått tapt. Kan du oppgi brukernavn og passord igjen?" Så offeret selv gir passordet i hendene på hackeren. I tillegg til regelmessig årvåkenhet, hjelper et system med "engangspassord" å beskytte mot slike angrep. På grunn av kompleksiteten har den imidlertid ennå ikke fått bred distribusjon.

Virus, e-postormer og trojanske hester

Disse plagene rammer hovedsakelig ikke leverandører eller bedriftskommunikasjon, men sluttbrukerdatamaskiner. Omfanget av nederlaget er rett og slett imponerende - globale dataepidemier som bryter ut stadig oftere, forårsaker tap på flere milliarder dollar. Forfatterne av "ondsinnede" programmer blir mer og mer sofistikerte, og legemliggjør den mest avanserte programvaren og psykologiske teknologiene i moderne virus. Virus og trojanske hester er forskjellige klasser av "fiendtlige" programkode. Virus er innebygd i andre programmer for å utføre sin ondsinnede funksjon på sluttbrukerens arbeidsstasjon. Dette kan for eksempel være ødeleggelse av alle eller bare enkelte filer på harddisken (oftest), skade på utstyr (eksotisk for nå) eller andre operasjoner. Virus er ofte programmert til å utløses på en bestemt dato (et typisk eksempel er den berømte WinChih, aka "Chernobyl"), og også til å sende kopier av seg selv via e-post til alle adresser som finnes i brukerens adressebok. En trojansk hest, i motsetning til et virus, er det uavhengig program, oftest ikke fokusert på grov ødeleggelse av informasjon som er karakteristisk for virus. Vanligvis er hensikten med å introdusere en trojansk hest å få en skjult fjernkontroll over en datamaskin for å manipulere informasjonen på den. "Trojanske hester" lykkes med å forkle seg som forskjellige spill eller nyttige programmer, hvorav mange distribueres gratis på Internett. Dessuten legger hackere noen ganger inn trojanske hester i fullstendig "uskyldige" og anerkjente programmer. En gang på en datamaskin, annonserer den trojanske hesten vanligvis ikke sin tilstedeværelse, og utfører funksjonene sine så hemmelig som mulig. Et slikt program kan for eksempel stille og rolig sende sin hacker-eier et passord og pålogging for å få tilgang til Internett fra denne spesifikk datamaskin; lage og sende visse filer til adressen som er innebygd i den; spore alt som legges inn fra tastaturet osv. Mer sofistikerte versjoner av trojanske hester, tilpasset for å angripe spesifikke datamaskiner til spesifikke brukere, kan, etter eiers anvisning, erstatte visse data med andre forberedt på forhånd, eller endre data lagret i filer, og dermed villede datamaskineieren. Forresten, dette er en ganske vanlig teknikk fra arsenalet av industriell spionasje og provokasjoner. Kampen mot virus og trojanske hester utføres ved hjelp av spesialisert programvare, og godt bygget beskyttelse gir dobbel kontroll: på nivået til en spesifikk datamaskin og på lokalt nettverksnivå. Moderne midler til å bekjempe ondsinnet kode er ganske effektive, og praksis viser at regelmessige globale epidemier av datavirus oppstår hovedsakelig på grunn av den "menneskelige faktoren" - de fleste brukere og mange systemadministratorer (!) er rett og slett for late til å regelmessig oppdatere antivirusprogramdatabaser og sjekke innkommende e-post for virus før du leser den (selv om dette nå i økende grad gjøres av Internett-leverandører selv).

Nettverksintelligens

Strengt tatt kan nettverksrekognosering ikke kalles et angrep på et datasystem - tross alt utfører ikke hackeren noen "ondsinnede" handlinger. Nettverksrekognosering går imidlertid alltid foran selve angrepet, siden angripere må samle inn all tilgjengelig informasjon om systemet når de forbereder det. I dette tilfellet samles informasjon inn ved hjelp av et stort sett med offentlig tilgjengelige data og applikasjoner – fordi hackeren prøver å få så mye nyttig informasjon som mulig. Dette involverer portskanning, DNS-spørringer, pinging av adresser avslørt ved bruk av DNS, etc. Dette gjør det spesielt mulig å finne ut hvem som eier dette eller det domenet og hvilke adresser som er tildelt dette domenet. Ping-feiende adresser avslørt av DNS lar deg se hvilke verter som faktisk kjører på et gitt nettverk, og portskanneverktøy lar deg finne ut full liste tjenester som støttes av disse vertene. Når man gjennomfører nettverksrekognosering, analyseres også egenskapene til applikasjoner som kjører på verter – kort fortalt innhentes informasjon som i ettertid kan brukes til å hacke eller utføre et DoS-angrep. Det er umulig å bli fullstendig kvitt nettverksrekognosering, først og fremst fordi formelt fiendtlige handlinger ikke utføres. Hvis du for eksempel deaktiverer ICMP-ekko og ekkosvar på perifere rutere, kan du bli kvitt ping-testing, men du vil miste data som er nødvendig for å diagnostisere nettverksfeil. I tillegg kan angripere skanne porter uten forutgående ping-testing. Sikkerhets- og overvåkingssystemer på nettverks- og vertsnivå gjør vanligvis en god jobb med å varsle systemadministratoren om pågående nettverksrekognosering. Hvis administratoren er pliktoppfyllende, kan han forberede seg bedre på et kommende angrep og til og med ta proaktive tiltak, for eksempel ved å varsle leverandøren hvis nettverk noen viser overdreven nysgjerrighet.

Pakkesnusing

En pakkesniffer er et applikasjonsprogram som bruker et nettverkskort som opererer i promiskuøs modus (i denne modusen sender nettverksadapteren alle pakker som mottas over fysiske kanaler til applikasjonen for behandling). I dette tilfellet avskjærer snifferen ("snifferen") alle nettverkspakker som sendes gjennom det angrepne domenet. Det særegne ved situasjonen i denne saken er at nå i mange tilfeller jobber sniffere i nettverk på helt lovlig grunnlag – de brukes til å diagnostisere feil og analysere trafikk. Derfor er det ikke alltid mulig å avgjøre pålitelig om et spesifikt snifferprogram brukes av angripere, og om programmet ganske enkelt er erstattet med et lignende, men med "avanserte" funksjoner. Ved hjelp av en sniffer kan angripere finne ut diverse konfidensiell informasjon, for eksempel brukernavn og passord. Dette skyldes det faktum at en rekke mye brukt nettverksapplikasjoner overfører data i tekstformat (telnet, FTP, SMTP, POP3, etc.). Siden brukere ofte bruker samme pålogging og passord for flere applikasjoner og systemer, utgjør selv en engangsavlytting av denne informasjonen en alvorlig trussel mot informasjonssikkerheten til en bedrift. Etter å ha skaffet seg påloggingsinformasjonen og passordet til en spesifikk ansatt, kan en utspekulert hacker få tilgang til en brukerressurs på systemnivå og, med dens hjelp, opprette en ny, falsk bruker, som kan brukes når som helst for å få tilgang til nettverket og informasjonsressurser. Ved å bruke et visst sett med verktøy kan du imidlertid redusere trusselen om pakkesniffing betydelig. For det første er dette ganske sterke autentiseringsmidler som er vanskelige å omgå, selv ved å bruke den "menneskelige faktoren". For eksempel engangspassord. Dette er en to-faktor autentiseringsteknologi som kombinerer det du har med det du vet. I dette tilfellet genererer maskinvaren eller programvaren tilfeldig et unikt engangspassord. Hvis en hacker finner ut dette passordet ved hjelp av en sniffer, vil denne informasjonen være ubrukelig fordi på det tidspunktet vil passordet allerede ha blitt brukt og trukket tilbake. Men dette gjelder bare passord – for eksempel forblir e-postmeldinger fortsatt ubeskyttet. En annen måte å bekjempe sniffing på er å bruke anti-sniffer. Dette er maskinvare eller programvare som opererer på Internett som sniffere kjenner igjen. De måler vertsresponstider og avgjør om verter må håndtere "ekstra" trafikk. Denne typen verktøy kan ikke helt eliminere trusselen om snusing, men er avgjørende når du bygger et omfattende beskyttelsessystem. Imidlertid vil det mest effektive tiltaket, ifølge noen eksperter, være å ganske enkelt gjøre arbeidet til sniffere meningsløst. For å gjøre dette er det nok å beskytte dataene som overføres over kommunikasjonskanalen ved hjelp av moderne kryptografimetoder. Som et resultat vil hackeren ikke fange opp meldingen, men den krypterte teksten, det vil si en sekvens av biter som er uforståelig for ham. I dag er de vanligste kryptografiske protokollene IPSec fra Cisco Corporation, samt SSH-protokoller ( Sikkert skall) og SSL (Secure Socket Layer).

IP-spoofing

Spoofing er en type angrep der en hacker i eller utenfor en organisasjon utgir seg for å være en autorisert bruker. For dette er det ulike måter. En hacker kan for eksempel bruke en IP-adresse som er innenfor rekkevidden av IP-adresser som er autorisert for bruk i organisasjonens nettverk, eller en autorisert ekstern adresse hvis han får tilgang til visse nettverksressurser. Forresten, IP-spoofing brukes ofte som komponent mer komplekst, komplekst angrep. Et typisk eksempel er et DDoS-angrep, der en hacker vanligvis er vert for et program på andres IP-adresse for å skjule deres sanne identitet. Imidlertid brukes oftest IP-spoofing for å deaktivere et system ved hjelp av falske kommandoer, samt for å stjele spesifikke filer eller omvendt sette inn falsk informasjon i databaser. Det er nesten umulig å fullstendig eliminere trusselen om spoofing, men den kan reduseres betydelig. For eksempel er det fornuftig å konfigurere sikkerhetssystemer til å avvise all trafikk som kommer fra et eksternt nettverk med en kildeadresse som faktisk skal være på det interne nettverket. Dette bidrar imidlertid til å bekjempe IP-spoofing bare når bare interne adresser er autorisert. Hvis noen eksterne adresser er slike, blir det meningsløst å bruke denne metoden. Det er også en god idé, for sikkerhets skyld, å stoppe på forhånd forsøk på å forfalske andres nettverk fra brukere av nettverket ditt - dette tiltaket kan hjelpe deg å unngå en hel rekke problemer hvis en angriper eller bare en datahooligan dukker opp i organisasjonen. For å gjøre dette, må du bruke all utgående trafikk hvis kildeadressen ikke tilhører det interne området av IP-adresser til organisasjonen. Om nødvendig kan denne prosedyren også utføres av Internett-leverandøren. Denne typen filtrering er kjent som "RFC 2827". Igjen, som med packet sniffing, er det beste forsvaret å gjøre angrepet helt ineffektivt. IP-spoofing kan bare implementeres hvis brukerautentisering er basert på IP-adresser. Derfor gjør kryptering av autentisering denne typen angrep ubrukelig. Men i stedet for kryptering kan du like godt bruke tilfeldig genererte engangspassord.

Denial of service angrep

I dag er en av de vanligste formene for hackerangrep i verden et tjenestenektangrep (DoS). I mellomtiden er dette en av de yngste teknologiene - implementeringen ble bare mulig i forbindelse med den virkelig utbredte spredningen av Internett. Det er ingen tilfeldighet at DoS-angrep ble mye diskutert først etter i desember 1999, ved hjelp av denne teknologien, ble nettsidene til så velkjente selskaper som Amazon, Yahoo, CNN, eBay og E-Trade "oversvømmet". Selv om de første rapportene om noe lignende dukket opp i 1996, frem til "juleoverraskelsen" i 1999, ble ikke DoS-angrep oppfattet som en alvorlig trussel mot Internett-sikkerheten. Et år senere, i desember 2000, skjedde imidlertid alt igjen: nettstedene til de største selskapene ble angrepet ved hjelp av DoS-teknologi, og systemadministratorene deres klarte ikke å gjøre noe for å motarbeide angriperne. Vel, i 2001 ble DoS-angrep vanlig. Strengt tatt utføres ikke DoS-angrep for å stjele informasjon eller manipulere den. Hovedmålet deres er å lamme arbeidet til det angrepne nettstedet. I hovedsak er dette bare nettterrorisme. Det er ingen tilfeldighet at amerikanske etterretningsbyråer mistenker at bak mange DoS-angrep på servere store selskaper det er de beryktede anti-globalistene. Det er faktisk én ting å kaste en murstein på et McDonalds-vindu et sted i Madrid eller Praha, og en helt annen å krasje nettstedet til dette superselskapet, som lenge har blitt et slags symbol på globaliseringen av verdensøkonomien. DoS-angrep er også farlige fordi for å distribuere dem, trenger ikke netterrorister å ha noen spesiell kunnskap og ferdigheter - all nødvendig programvare, sammen med beskrivelser av selve teknologien, er helt fritt tilgjengelig på Internett. I tillegg er det svært vanskelig å forsvare seg mot denne typen angrep. Generelt ser DoS-angrepsteknologien slik ut: et nettsted valgt som et mål blir bombardert med en mengde falske forespørsler fra mange datamaskiner rundt om i verden. Som et resultat blir serverne som betjener noden lammet og kan ikke betjene forespørsler fra vanlige brukere. Samtidig mistenker ikke brukere av datamaskiner som det sendes falske forespørsler fra at maskinen deres i all hemmelighet blir brukt av angripere. Denne fordelingen av "arbeidsmengden" øker ikke bare den destruktive effekten av angrepet, men kompliserer også i stor grad tiltak for å avvise det, noe som gjør det umulig å identifisere den sanne adressen til angrepskoordinatoren. I dag er de mest brukte typene DoS-angrep:

Smurf - ping ber om ICMP (Internet Control Message Protocol) til en rettet kringkastingsadresse. Den falske kildeadressen som brukes i pakkene til denne forespørselen ender opp med å bli målet for et angrep. Systemer som mottar en rettet kringkastingsping-forespørsel svarer på den og "oversvømmer" nettverket der målserveren er plassert.

• ICMP-flom er et angrep som ligner på Smurf, men uten forsterkningen skapt av forespørsler til en rettet kringkastingsadresse.
• UDP-flom - sending av mange UDP-pakker (User Datagram Protocol) til adressen til målsystemet, noe som fører til "binding" av nettverksressurser.
• TCP-flom - sending av mange TCP-pakker til adressen til målsystemet, noe som også fører til "binding" av nettverksressurser.
• TCP SYN-flom - når man utfører denne typen angrep, sendes det ut et stort antall forespørsler for å initialisere TCP-forbindelser med målverten, som som et resultat må bruke alle ressursene sine på å spore opp disse delvis åpne forbindelsene.

I tilfelle et angrep må trafikk som er ment å overvelde det angrepne nettverket "avbrytes" hos Internett-leverandøren, fordi det ved inngangen til nettverket ikke lenger vil være mulig å gjøre dette - hele båndbredden vil være okkupert. Når denne typen angrep utføres samtidig på flere enheter, refereres det til som et DDoS-angrep (Distributed Denial of Service). Trusselen om DoS-angrep kan dempes på flere måter. Først må du konfigurere anti-spoofing-funksjonene på ruterne og brannmurene dine. Disse funksjonene må som et minimum inkludere RFC 2827-filtrering. Hvis en hacker ikke klarer å skjule sin sanne identitet, er det usannsynlig at han vil utføre et angrep. For det andre må du aktivere og riktig konfigurere anti-DoS-funksjoner på rutere og brannmurer. Disse funksjonene begrenser antallet halvåpne kanaler, og forhindrer overbelastning av systemet. Det anbefales også, hvis det er en trussel om et DoS-angrep, å begrense volumet av ikke-kritisk trafikk som går gjennom nettverket. Du må forhandle dette med Internett-leverandøren din. Dette begrenser vanligvis mengden ICMP-trafikk, siden den brukes utelukkende til diagnostiske formål.

Man-in-the-Middle angrep

Denne typen angrep er veldig typisk for industrispionasje. I et Man-in-the-Middle-angrep må hackeren få tilgang til pakker som sendes over nettverket, og derfor er angripernes rolle i dette tilfellet ofte de ansatte i bedriften selv eller for eksempel en ansatt hos leverandøren. selskap. Man-in-the-Middle-angrep bruker ofte pakkesniffer, transportprotokoller og rutingprotokoller. Hensikten med et slikt angrep er henholdsvis å stjele eller forfalske overført informasjon eller få tilgang til nettverksressurser. Det er ekstremt vanskelig å beskytte seg mot slike angrep, siden de vanligvis er angrep fra en "føflekk" i selve organisasjonen. Derfor, rent teknisk sett, kan du kun beskytte deg selv ved å kryptere de overførte dataene. Da vil hackeren, i stedet for dataene han trenger, motta et virvar av symboler, som rett og slett er umulig å forstå uten å ha en superdatamaskin for hånden. Men hvis angriperen er heldig og er i stand til å fange opp informasjon om den kryptografiske økten, vil datakryptering automatisk miste all mening. Så i dette tilfellet bør "i forkant" av kampen ikke være "teknikere", men personalavdelingen og sikkerhetstjenesten til bedriften.

Bruke "hull" og "bugs" i programvare

En veldig, veldig vanlig type hackerangrep er bruk av sårbarheter (oftest banale feil) i mye brukt programvare, først og fremst for servere. Spesielt "kjent" for sin upålitelighet og svake sikkerhet for programvare fra Microsoft. Vanligvis utvikler situasjonen seg som følger: noen oppdager et "hull" eller "feil" i serverprogramvaren og publiserer denne informasjonen på Internett i det aktuelle forumet. Produsenten av denne programvaren gir ut en patch ("patch") som eliminerer dette problemet, og publiserer den på sin webserver. Problemet er at ikke alle administratorer, på grunn av enkel latskap, konstant overvåker oppdagelsen og utseendet til lapper, og det går også litt tid mellom oppdagelsen av et "hull" og skrivingen av en "patch": Hackere leser også tematiske konferanser og , Vi må gi dem det de trenger, de anvender informasjonen som er mottatt meget dyktig i praksis. Det er ingen tilfeldighet at de fleste av verdens ledende informasjonssikkerhetseksperter er tidligere hackere.

Hovedmålet med et slikt angrep er å få tilgang til serveren på vegne av brukeren som kjører applikasjonen, vanligvis med systemadministratorrettigheter og riktig tilgangsnivå. Det er ganske vanskelig å beskytte seg mot denne typen angrep. En av grunnene, i tillegg til programvare av lav kvalitet, er at når de utfører slike angrep, bruker angripere ofte porter som får passere gjennom brannmuren og som ikke kan lukkes av rent teknologiske årsaker. Så den beste beskyttelsen i dette tilfellet er en kompetent og samvittighetsfull systemadministrator.

Det er bare begynnelsen...

Sammen med utvidelsen av avlingene til enhver landbruksavling, øker alltid antallet skadeinsekter av denne avlingen. Slik er det med utviklingen av informasjonsteknologier og deres penetrasjon på alle områder moderne liv Antallet angripere som aktivt bruker disse teknologiene vokser. Derfor vil spørsmål om beskyttelse av datanettverk i overskuelig fremtid bli stadig mer aktuelle. Forsvaret vil dessuten bli utført på to hovedområder: teknologisk og konsulentvirksomhet. Når det gjelder hovedtrendene i utviklingen av, ifølge eksperter fra det velkjente selskapet The Yankee Group, vil de i de kommende årene være som følger:

1. Vekten når man bygger beskyttende systemer vil gradvis flytte seg – fra å motvirke «eksterne» hackerangrep til å beskytte mot angrep «innenfra».

2. Maskinvarebeskyttelse mot hackerangrep vil bli utviklet og forbedret. En ny klasse nettverksutstyr vil dukke opp på markedet - "beskyttende tjenestebrytere". De vil være i stand til å gi omfattende beskyttelse for datanettverk, mens moderne enheter vanligvis utfører et ganske begrenset sett med spesifikke funksjoner, og hovedbyrden fortsatt faller på spesialisert programvare.

3. Rask utvikling sikres av markedet for tjenester for sikker levering av digitalt innhold og beskyttelse av selve innholdet mot ulovlig kopiering og uautorisert bruk. Parallelt med utviklingen av det sikre leveringsmarkedet vil også tilsvarende teknologier utvikles. Eksperter fra The Yankee Group anslår volumet av dette markedet til 200 millioner dollar basert på resultatene fra 2001 og spår vekst til 2 milliarder dollar innen 2005.

4. Biometriske autentiseringssystemer (netthinne, fingeravtrykk, stemme osv.), inkludert komplekse, vil bli brukt mye mer. Mye av det som nå kun kan sees i actionfylte filmer vil bli innlemmet i bedriftshverdagen.

5. Innen 2005 vil Internett-leverandører tilby brorparten av sikkerhetstjenester til sine klienter. Dessuten vil hovedkundene deres være selskaper hvis virksomhet er bygget spesifikt på Internett-teknologier, det vil si aktive forbrukere av webhotelltjenester, e-handelssystemer, etc.

6. Markedet for intelligente nettverkssikkerhetstjenester forventes å vokse raskt. Dette skyldes det faktum at nye konsepter for å beskytte IT-systemer mot hackere ikke fokuserer så mye på å svare på hendelser/angrep som allerede har skjedd, men på å forutsi dem, forhindre dem og ta proaktive og forebyggende tiltak.

7. Etterspørselen etter kommersielle kryptografiske krypteringssystemer for overførte data vil øke betydelig, inkludert "tilpasset" utvikling for spesifikke selskaper, tatt i betraktning deres aktivitetsområder.

8. I markedet for IT-sikkerhetsløsninger vil det skje en gradvis dreining bort fra «standardsystemer», og derfor vil det være en økning i etterspørselen etter konsulenttjenester for utvikling av informasjonssikkerhetskonsepter og bygging av styringssystemer for informasjonssikkerhet. for spesifikke kunder.

Markedet for informasjonssikkerhetssystemer og tjenester utvikler seg også i det "post-sovjetiske rommet" - men ikke i samme tempo og ikke i samme skala som i Vesten. Som avisen Kommersant rapporterte, bruker organisasjoner i Russland fra 1 % (metallurgi) til 30 % (finansiell sektor) av budsjettene sine på utvikling av informasjonsinfrastruktur av ulike typer. Samtidig utgjør forsvarskostnadene så langt kun om lag 0,1-0,2 % av kostnadsdelen av budsjetter. Dermed er det totale volumet av markedet for informasjonssikkerhetssystemer i Russland i 2001 av eksperter anslått til 40-80 millioner dollar. I 2002, ifølge dataene som er inkludert i forslaget til statsbudsjett, skulle de beløpe seg til 60-120 millioner dollar. Til sammenligning: Som vist av nyere IDC-undersøkelser, forventes størrelsen på det europeiske markedet for informasjonssikkerhetsprodukter (programvare og maskinvare) alene å øke fra 1,8 milliarder dollar i 2000 til 6,2 milliarder dollar i 2005.

I løpet av de siste årene har spørsmålet om beskyttelse mot automatiserte målrettede angrep blitt et presserende tema i informasjonssikkerhetsmarkedet, men i den generelle forståelsen ble et målrettet angrep først presentert som et resultat av langsiktig og profesjonelt arbeid. organisert gruppe nettkriminelle for å skaffe dyre kritiske data. For tiden, på bakgrunn av utviklingen av teknologi, populariseringen av åpen kildekode-fora (f.eks. Github, Reddit) og Darknet, som gir kildekoder for skadelig programvare og trinnvise beskrivelser av trinnene for å endre den (slik at den ikke kan oppdages ved signaturanalyse) og infiserer verter, er implementeringen av cyberangrep betydelig forenklet. For å gjennomføre et vellykket angrep, ledsaget av skadelige konsekvenser for eierne av automatiserte og informasjonssystemer, er alt som trengs en ufaglært bruker og entusiasme i å analysere materialet som tilbys på Internett / Darknet.

Motivet for å utføre slike kriminelle aktiviteter er å tjene penger. Den enkleste, og derfor vanligste, metoden er å infisere nettverksverter med skadelig programvare som Ransomware. I løpet av de siste 2 årene har populariteten vokst raskt:

• i 2016 økte antallet kjente typer (familier) av løsepenge-trojanere med 752 %: fra 29 typer i 2015 til 247 innen utgangen av 2016 (ifølge TrendLabs);
• takket være løsepengevirus, "tjente" angripere 1 milliard dollar i 2016 (ifølge CSO);
• I første kvartal av 2017 dukket det opp 11 nye familier med løsepengevare-trojanere og 55 679 modifikasjoner. Til sammenligning, i 2.-4. kvartal 2016 dukket det opp 70 837 modifikasjoner (iht. Kaspersky Lab).

I begynnelsen av 2017 kalte ledende produsenter av informasjonssikkerhetsverktøy (Kaspersky Lab, McAfee Labs, SophosLabs, Malwarebytes Labs, TrendMicro, etc.) Ransomware for en av hovedtruslene mot informasjonssikkerhet for offentlige og kommersielle organisasjoner av ulike felt og størrelser. Og som historien viser, tok de ikke feil:

• januar 2017. 70 % av overvåkingskameraene for offentlig orden i Washington ble infisert på tampen av presidentinnsettelsen. For å eliminere konsekvensene ble kameraene demontert, replashet eller erstattet med andre;
• Februar 2017 Deaktivering av alle kommunale tjenester i Ohio County (USA) i mer enn én uke på grunn av massiv kryptering av data på servere og brukerarbeidsstasjoner (over 1000 verter);
• Mars 2017 Deaktivering av Pennsylvania State Capitol-systemene (USA) på grunn av et angrep og blokkering av tilgang til informasjonssystemdata;
• Mai 2017 Storskala angrep av WannaCry løsepengevirus (WanaCrypt0r 2.0), som påvirket mer enn 546 tusen datamaskiner og servere basert på Windows-operativsystemer i mer enn 150 land per 26. juni 2017. I Russland ble datamaskiner og servere til så store selskaper som helsedepartementet, departementet for beredskapssituasjoner, russiske jernbaner, innenriksdepartementet, Megafon, Sberbank og Bank of Russia infisert. Det er fortsatt ingen universell datadekryptering (hvordan dekrypteres data på Windows XP har blitt publisert). Den totale skaden fra viruset, ifølge eksperter, overstiger 1 milliard dollar;
• Et storstilt angrep av XData løsepengeviruset i mai 2017 (en uke etter starten av WannaCry-angrepet), som brukte en sårbarhet som ligner på WannaCry (EternalBlue) i SMBv1-protokollen for infeksjon og rammet hovedsakelig bedriftssegmentet i Ukraina ( 96% av infiserte datamaskiner og servere er lokalisert i Ukraina), spredningen av disse er 4 ganger raskere enn WannaCry. For øyeblikket har krypteringsnøkkelen blitt publisert og dekrypteringer er utgitt for ofre for løsepengevaren;
• juni 2017. Nettverket til et av de største universitetene i verden, Univercity College London, ble utsatt for et utbredt Ransomware-angrep. Angrepet var rettet mot å blokkere tilgang til publikum nettverkslagring, et automatisert studentadministrasjonssystem. Dette ble gjort i foreksamen- og konfirmasjonsperiodene, da studentene beholdt sine avhandlinger på universitetets filservere vil mest sannsynlig betale svindlere for å få jobben deres. Volumet av krypterte data og de som er berørt avsløres ikke.

Det er mange tilfeller av målrettede angrep rettet mot å infisere Ransomware. Hovedmålene for angripere er systemer basert på Windows-operativsystemer, men det finnes ulike versjoner av Ransomware for UNIX/Linux, MacOS-operativsystemer, samt iOS- og Android-mobilplattformer.

Med utviklingen av Ransomware er det også midler for å motvirke dem. Først av alt er dette et åpent prosjekt No more Ransom! (www.nomoreransom.org), som gir ofre for angrep midler til å dekryptere data (i tilfelle krypteringsnøkkelen er kompromittert), og for det andre spesialiserte åpen kildekode-midler for beskyttelse mot løsepengevirus. Men de analyserer enten oppførselen til programvaren basert på signaturer og er ikke i stand til å oppdage et ukjent virus, eller de blokkerer skadevaren etter at den påvirker systemet (krypterer deler av dataene). Spesialiserte åpen kildekode-løsninger brukes av Internett-brukere på personlige/hjemmeenheter; store organisasjoner som behandler store mengder informasjon, inkludert kritisk informasjon, må gi omfattende proaktiv beskyttelse mot målrettede angrep.

Proaktiv beskyttelse mot målrettede angrep og løsepengeprogramvare

La oss vurdere mulige vektorer for tilgang til beskyttet informasjon plassert på en server eller automatisert brukerarbeidsstasjon:

• Innvirkning på omkretsen av den lokale datanettverk fra Internett er mulig via:
• bedriftens e-post;
• nettrafikk, inkludert nettpost;
• perimeterruter/brannmur;
• tredjeparts (ikke-bedrift) Internett-tilgangsporter (modemer, smarttelefoner, etc.);
• sikre fjerntilgangssystemer.
• Innvirkning på servere og brukerarbeidsstasjoner over nettverket:
• lasting skadevare til endepunkter/servere på forespørsel fra dem;
• bruk udokumenterte funksjoner(sårbarheter) av system/applikasjonsprogramvare;
• nedlasting av skadelig programvare over en kryptert VPN-kanal, ukontrollert av IT- og informasjonssikkerhetstjenester;
• tilkobling til det lokale nettverket av illegitime enheter.
• Direkte innvirkning på informasjon på servere og brukerarbeidsstasjoner:
• forbindelse eksterne medier informasjon som inneholder skadelig programvare;
• utvikle skadevare direkte på endepunktet/serveren.

For å redusere sannsynligheten for at en trussel blir realisert for hver type tilgang til beskyttet informasjon, er det nødvendig å sikre implementering av et sett med organisatoriske og tekniske tiltak for å beskytte informasjon, listen over disse er vist i figuren (se figur 1) )

Figur 1. Proaktive tiltak for å beskytte mot målrettede angrep og løsepengeprogramvare

Organisatoriske tiltak for å beskytte mot målrettede angrep og løsepengeprogramvare

Til det viktigste organisatoriske tiltak Proaktiv beskyttelse mot målrettede angrep og ransomware inkluderer:

• Øke medarbeidernes bevissthet innen informasjonssikkerhet.
  Det er nødvendig å trene ansatte regelmessig og informere dem om mulige trusler mot informasjonssikkerhet. Det minste og nødvendige tiltaket er dannelsen av prinsipper for arbeid med filer og post:
  o ikke åpne filer med doble utvidelser: konfigurer visningen av utvidelser slik at brukere kan identifisere ondsinnede filer med doble utvidelser (for eksempel 1СRecord.xlsx.scr);
  o ikke aktiver makroer i uklarerte dokumenter Microsoft Office;
  o sjekke adressene til avsendere av e-postmeldinger;
  o ikke åpne lenker til nettsider eller e-postvedlegg fra ukjente avsendere.
• Vurdere effektiviteten av beskyttelse både i organisasjonen og med involvering av eksterne spesialister.
  Det er nødvendig å evaluere effektiviteten av personellopplæring ved å modellere angrep, både interne og med deltakelse av eksterne spesialister - gjennomføring av penetrasjonstester, inkludert bruk av metoden for sosial ingeniørkunst.
• Regelmessige oppdateringer av systemprogramvare (Patch Management).
  For å forhindre malware-angrep på målsystemer gjennom kjente sårbarheter, er det nødvendig å sikre rettidig testing og installasjon av system- ognger, tatt i betraktning prioriteringen av oppdateringenes kritikkverdighet.
• Systematisering av sikkerhetskopiering av data.
  Det er nødvendig å regelmessig sikkerhetskopiere kritiske data på informasjonssystemservere, datalagringssystemer og brukerarbeidsstasjoner (hvis kritisk informasjon skal lagres). Sikkerhetskopier bør lagres på båndbibliotekene til datalagringssystemet, på flyttbare lagringsmedier (forutsatt at lagringsmediet ikke er permanent koblet til arbeidsstasjonen eller serveren), samt i skysystemer sikkerhetskopiering av data, lagring.

Tekniske tiltak for å beskytte mot målrettede angrep og løsepengeprogramvare

Tekniske tiltak for proaktiv beskyttelse mot målrettede angrep og Ransomware tas på nettverksnivå og på vertsnivå.

Proaktive beskyttelsestiltak på nettverksnivå

• Bruke e-postfiltreringssystemer som gir analyse av e-posttrafikk for tilstedeværelsen av uønskede brev (spam), lenker, vedlegg, inkludert ondsinnede (for eksempel blokkering JavaScript-filer(JS) og Visual Basic (VBS), kjørbare filer(.exe), skjermsparerfiler (SCR), Android-pakke(.apk) og filer Windows-snarveier(.lnk)).
• Bruk av filtreringssystemer for nettrafikkinnhold, gir differensiering og kontroll av brukertilgang til Internett (inkludert ved å analysere SSL-trafikk ved å erstatte et serversertifikat), streaming-trafikkanalyse for tilstedeværelse av skadelig programvare og begrense brukertilgang til innholdet på nettsider.
• Bruke beskyttelsessystemer mot målrettede angrep, zero-day angrep (Sandbox, Sandbox), som gir heuristisk og atferdsanalyse av potensielt farlige filer i isolert miljø før du sender filen til beskyttede informasjonssystemer. Systemer for å beskytte mot målrettede angrep må integreres med innholdsfiltreringssystemer for nettrafikk og e-postfiltrering for å blokkere ondsinnede vedlegg. I tillegg er beskyttelsessystemer mot målrettede angrep integrert med informasjonssystemer innenfor nettverkets perimeter for å oppdage og blokkere komplekse angrep på kritiske ressurser og tjenester.
• Sikre tilgangskontroll til bedriftsnettverket på kablet nivå og trådløst nettverk bruker 802.1x-teknologi. Dette tiltaket forhindrer uautorisert tilkobling av illegitime enheter til bedriftsnettverket og gir muligheten til å sjekke samsvar med bedriftens retningslinjer ved tilgang til organisasjonens nettverk (tilgjengelighet av antivirusprogramvare, gjeldende signaturdatabaser, tilgjengelighet av kritiske Windows-oppdateringer). Tilgangskontroll til bedriftsnettverket ved hjelp av 802.1x leveres av klassesystemer NAC (Network Access Control).
• Eliminering av direkte interaksjon eksterne brukere med ressurser til bedriftsinformasjonssystemer som bruker mellomliggende tilgangsporter med overlagrederktøy (terminalserver, VDI desktop virtualiseringssystem), inkludert muligheten til å registrere handlingene til eksterne brukere ved hjelp av video- eller tekstopptak av økten. Tiltaket gjennomføres ved bruk av terminaltilgangssystemer, klassesystemer PUM (Privileged User Management).
• Nettverkssegmentering basert på prinsippet om nødvendig tilstrekkelighet for å utelukke redundante tillatelser for nettverksinteraksjon, begrense muligheten for å spre skadelig programvare i bedriftsnettverket i tilfelle infeksjon av en av serverne/brukerarbeidsstasjonene/virtuelle maskiner. Det er mulig å implementere et slikt tiltak ved å bruke brannmurpolicyanalysesystemer (NCM / NCCM, Network Configuration (Change) Management), som gir sentralisert innsamling av brannmurpolicyer, brannmurinnstillinger og deres videre behandling med det formål å automatisk utstede anbefalinger for deres optimalisering, kontroll av policyendringer brannmur.
• Påvisning av anomalier på nivået av nettverksinteraksjoner ved hjelp av spesialiserte løsninger av NBA & NBAD-klassen (Network Behavior Analysis, Network Behavior Anomaly Detection), som tillater innsamling og analyse av informasjon om datastrømmer, profilering av trafikk for hver nettverksvert for å identifisere avvik fra den "normale" profilen. Denne klassen av løsninger vil avsløre:

  O skanning av den infiserte vertens miljø;
  o infeksjonsvektor;
  o vertsstatus: "skannet", "infisert og skanner andre";
  o ensrettede strømmer;
  o unormale strømninger;
  o virale epidemier;
  o distribuerte angrep;
  o et bilde av eksisterende strømmer.

• Deaktiverer infiserte verter(automatiserte arbeidsstasjoner, servere, virtuelle maskiner osv.) fra nettverket. Dette tiltaket gjelder hvis minst én av vertene på bedriftsnettverket er infisert, men er nødvendig for å lokalisere og forhindre en viral epidemi. Arbeidsstasjoner kan kobles fra nettverket både av IT- og infopersonell, og automatisk når tegn på en trussel oppdages på den beskyttede verten (ved å korrelere sikkerhetshendelser, innstilling automatiserte handlinger ved å blokkere alle nettverksaktiviteter på verten / koble verten fra nettverket på svitsjnivå osv.).

Proaktive forsvarstiltak på vertsnivå

• Sikre beskyttelse mot uautorisert tilgang arbeidsstasjoner, servere, virtuelle maskiner gjennom forbedret brukerautentisering, overvåking av integriteten til operativsystemet, blokkering av systemlasting fra eksterne medier for å hindre inntrengere i å infisere bedriftsnettverket innenfor nettverkets perimeter. Dette tiltaket er implementert av løsninger i SZI-klassen fra NSD / Endpoint Protection.
• Gir antivirusbeskyttelse på alle nettverksnoder i organisasjonen. Antivirusprogramvare må oppdage tilfeller av virusinfeksjon tilfeldig tilgang minne, lokale lagringsmedier, volumer, kataloger, filer, samt filer mottatt via kommunikasjonskanaler, e-poster på arbeidsstasjoner, servere, virtuelle maskiner i sanntid, behandle, fjerne eller isolere trusler. Signaturdatabaser for antivirusprogramvare må oppdateres regelmessig og holdes oppdatert.
• Sikre overvåking og kontroll av programvarehandlinger på beskyttede verter ved å overvåke lanserte tjenester og heuristisk analyse av deres funksjon. Dette tiltaket er implementert av HIPS (Host Intrusion Prevention) klasseløsninger.
• Gir kontroll over tilkobling av eksterne enheter, blokkerer ubrukte porter på beskyttede verter for å forhindre at uautoriserte enheter kobler seg til beskyttede verter: både lagringsmedier med potensielt skadelige programmer og eksterne Internett-tilgangsporter (for eksempel et 4G-modem), som gir en ukontrollert og ubeskyttet Internett-tilgangskanal. Dette tiltaket er implementert av løsninger i SZI-klassen fra NSD / Endpoint Protection.
• Gi avansert vertsbeskyttelse ved hjelp av atferdsanalyse funksjon av prosesser på beskyttede verter, maskinlæring, heuristisk filanalyse, applikasjonskontroll, utnyttelsesbeskyttelse for å identifisere og blokkere ukjente trusler (nulldagstrusler) i sanntid. Dette tiltaket er implementert av NGEPP (Next Generation Endpoint Protection) klasseløsninger.
• Bruker agentbaserte løsepengevarebeskyttelsesløsninger, krypterer data på den infiserte verten. Disse inkluderer:
  o Produktive beskyttelsessystemer mot målrettede angrep og zero-day angrep med klient-server-arkitektur. Klientprogramvare er installert på den beskyttede verten, beskytter i sanntid mot nulldagstrusler, virus som krypterer data i systemet, dekrypterer data kryptert med skadelig programvare (hvis det er en agent, før et infeksjonsforsøk), fjerner løsepengeprogramvare og beskytter mot phishing-angrep. Klientprogramvare gir kontroll over alle tilgangskanaler til verten: nettrafikk, fremmedgjorte lagringsmedier, e-post, lokal nettverkstilgang, skadelig programvare i kryptert trafikk (VPN).
  o Klientbeskyttelsessystemer mot nulldagstrusler (sandkasser) i åpen tilgang(sandboxie, cuckoo sandbox, shadow forsvarer, etc.).
  o Klientsystemer for beskyttelse mot nulldagstrusler basert på mikrovirtualisering (Bromium vSentry), som gir atferdsanalyse av potensielt skadelige filer i et maskinvareisolert miljø (mikrovirtuell infrastruktur).
• Tilbyr brannmur på vertsnivå bruke programvarebrannmurer for å begrense tilgangen til bedriftens nettverksressurser, begrense spredningen av skadelig programvare i tilfelle infeksjon av verten, blokkere ubrukte nettverksporter og protokoller.

Andre beskyttelsestiltak mot løsepengevirus

I tillegg til tiltakene ovenfor, vil følgende bidra til å forhindre et målrettet angrep på et bedriftsnettverk:

• Sikkerhet regelmessig analyse IT-infrastruktursikkerhet - skanning av nettverksnoder for å søke etter kjente sårbarheter i system- og applikasjonsprogramvare. Dette tiltaket sikrer rettidig oppdagelse av sårbarheter og lar dem elimineres før de utnyttes av angripere. Sikkerhetsanalysesystemet løser også problemer med å overvåke nettverksenheter og enheter koblet til brukerarbeidsstasjoner (for eksempel et 4G-modem).
• Innsamling og korrelasjon av hendelser gir mulighet for en omfattende tilnærming til å oppdage løsepengevare på nettverket basert på SIEM-systemer, siden denne metoden gir et helhetlig bilde av selskapets IT-infrastruktur. Effektiviteten til SIEM ligger i behandlingen av hendelser som sendes fra ulike infrastrukturkomponenter, inkludert informasjonssikkerhet, basert på korrelasjonsregler, som lar deg raskt identifisere potensielle hendelser knyttet til spredning av løsepengevare.

Prioriter løsepengevarebeskyttelsestiltak

Pålitelig omfattende beskyttelse mot målrettede angrep er gitt av et sett med organisatoriske og tekniske tiltak, som er rangert i følgende grupper:

• Et grunnleggende sett med tiltak som kreves for alle organisasjoner å implementere for å beskytte mot målrettede angrep og løsepengeprogramvare.
• Et utvidet sett med tiltak som gjelder mellomstore og store organisasjoner med høye.
• Et avansert sett med tiltak som gjelder for mellomstore og store organisasjoner med avansert IT- og infog høye kostnader for behandlet informasjon.

Figur 2. Prioritering av beskyttelsestiltak mot løsepengevare

Tiltak for ransomware-beskyttelse for sluttbrukere

Trusselen om infeksjon med et løsepengevirus er også relevant for sluttbrukere av Internett, for hvem visse tiltak for å forhindre infeksjon også gjelder:

• rettidig installasjon av systemprogramvareoppdateringer;
• bruk av antivirus;
• rettidig oppdatering antivirussignaturdatabaser;
• bruk av tilgjengelig i fri tilgang beskyttelse mot skadelig programvare som krypterer data på en datamaskin: RansomFree, CryptoDrop, AntiRansomware-verktøy for bedrifter, Cryptostalker, etc. Installering av beskyttelsesverktøy av denne klassen er aktuelt hvis kritiske, uforbeholdne data er lagret på datamaskinen og pålitelige antivirusverktøy ikke er det. installert.

Sårbarhet for mobile enheter (Android, iOS)

"Smarte" mobile enheter (smarttelefoner, nettbrett) har blitt en integrert del av livet: antall aktiverte mobile enheter øker hvert år, mobilapplikasjoner og volumet av mobiltrafikk. Hvis tidligere mobiltelefoner bare lagret en database med kontakter, er de nå depoter av kritiske data for brukeren: bilder, videoer, kalendere, dokumenter osv. Mobile enheter brukes i økende grad i bedriftssektoren (årlig vekst på 20-30%) . Og derfor øker interessen til angripere for mobile plattformer, spesielt fra synspunktet om å presse penger ved hjelp av trojanere. Ifølge Kaspersky Lab utgjorde løsepengevare i 1. kvartal 2017 16 % av det totale antallet skadelig programvare (i 4. kvartal 2016 oversteg ikke denne verdien 5 %). Den største prosentandelen av trojanere for mobile plattformer er skrevet for det mest populære mobiloperativsystemet - Android, men lignende finnes også for iOS.

Beskyttelsestiltak for mobile enheter:

• For bedriftssektoren:
  o bruk av klassesystemer for Mobile Device Management (MDM) som gir kontroll over installasjon av systemprogramvareoppdateringer, installasjon av applikasjoner og kontroll over tilgjengeligheten av superbrukerrettigheter;
  o å beskytte bedriftsdata på brukerens mobile enheter - Mobile Information Management (MIM) klassesystemer som gir lagring av bedriftsdata i en kryptert beholder isolert fra operativsystemet til den mobile enheten;
  o bruk av Mobile Threat Prevention-klassesystemer som gir kontroll over tillatelser gitt til applikasjoner og atferdsanalyse av mobilapplikasjoner.
• For sluttbrukere:
  o bruke offisielle butikker for å installere applikasjoner;
  o rettidig oppdatering av systemprogramvare;
  o hindre navigering gjennom ikke-klarerte ressurser og installasjon av ikke-klarerte applikasjoner og tjenester.

konklusjoner

Den enkle implementeringen og lave kostnadene ved å organisere cyberangrep (Ransomware, DDoS, angrep på nettapplikasjoner, etc.) fører til en økning i antall cyberkriminelle samtidig som det reduserer det gjennomsnittlige nivået av teknisk bevissthet til angriperen. I denne forbindelse øker sannsynligheten for trusler mot informasjonssikkerheten i bedriftssektoren og behovet for omfattende beskyttelse kraftig.

Derfor, hos Informzashita, fokuserer vi på moderne inog sikrer beskyttelse av våre kunders infrastruktur mot de siste, inkludert ukjente, truslene. Ved å lage og implementere komplekse adaptive modeller for å motvirke informasjonssikkerhetstrusler, vet vi hvordan vi skal forutsi, forebygge, oppdage og svare på cybertrusler. Det viktigste er å gjøre det i tide.