Согласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушения безопасности прошли полностью незамеченными в корпоративных сетях. Процент кажется завышенным, но дальнейшая статистика объясняют, почему это так. Среди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организациями. Они были выявлены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.
Кроме того, проводя "обратный анализ" атак типа zero-day,
лаборатория Symantec Research определила, что среднее время, которое требовалась для обнаружения угрозы после ее внедрения в сети организации, составляло 312 дней, самое длительное время при этом составляло 30 месяцев. Все это позволяет сделать вывод, что организации не используют интеллектуальных средств обнаружения угроз.
История систем наблюдения за сетью
Эволюция сетевой безопасности происходила необычным, извилистым путем, в результате которого мы оказались там, где мы есть. Между 2000 и 2005 годами у нас были годы любви с системами обнаружения вторжений (Intrusion Detection Systems, IDS). Эти системы были созданы для определения причин "плохого поведения" сетей. Основная проблема, заключенная в IDS, состояла в том, что ее использование требовало наличия команды опытных операторов, которые могли бы интерпретировать подозрительные факты в сети и правильно на них реагировать. Количество существующих талантов было значительно меньшим, чем требовалось, система их обучения только разрабатывалась и, что самое важное, бизнес решил не вкладывать деньги в создание своих собственных талантов в этой сфере.
Хакеры-тяжеловесы против защитников в весе пера
Решения класса IDS сумели остаться на рынке только потому, что они постепенно преобразовывались в системы предотвращения вторжений (Intrusion Prevention Systems, IPS), которые могли автоматически обнаруживать угрозы. Имея такие системы, которые автоматически блокировали угрозы, организациям не было никакого смысла держать дорогую команду специалистов в области сетевой безопасности. Работа существующих команд безопасников была низведена до обслуживания файерволов, IPS и других средств информационной безопасности, вместо того, чтобы сконцентрироваться на анализе сети и реагировании на инциденты. Тем временем интернет-преступники стали лучше финансироваться, их разработки стали более "умными" и сложными. Сейчас мы наблюдаем борьбу элитных хакеров против "героических" администраторов файерволов. Согласно статистике Gartner, шансы хакеров выиграть каждый "бой" без их обнаружения составляют 4 к 1.
Сбалансированная безопасность
Как результат таких бизнес-решений, львиная доля бюджета на безопасность и усилий направляется на создание политик и механизмов их применения, направленных на противодействие неправильному поведению в сети и смягчению последствий от таких нарушений. Все исследования и анализ сети сводятся к созданию статистических отчетов о запретительных действиях, осуществленных инфраструктурой безопасности.
Учиться у систем физической безопасности
Рассматривая историю человечества, мы постоянно сталкиваемся с фактами, подтверждающими важность баланса между надзором, принуждение к исполнению и реагированием на нарушения. Прежде, чем выросла Великая китайская стена, здесь жили крестьяне, которые приносили вести о силах и намерениях захватчиков с севера. Если я заходил в винный магазин, меня не останавливали пуленепробиваемое стекло, лазеры или проваливающиеся полы, просто за мной следили камеры наблюдения. Солдаты, прежде чем научиться стрелять из ружья, обучаются принципам караульной службы. Наблюдение - это фундаментальный элемент безопасности, как физической, так и сетевой.
Что вы имеете в виду, говоря, что меня ограбили?
В свете статистики, приведенной компанией Gartner, самое печальное заключается в том, что мы не можем определить, когда мы были ограблены. Древние крестьяне в северном Китае по крайней мере имели достаточное количество ситуационных предупреждений, чтобы знать, что они подвергаются нападению.
Самооценка
Существует несколько базовых вопросов для каждой организации, на которые должны быть получены ответы:
-
Какой объем P2P- или Onion Routing-трафика крутится в моей сети?
-
Какие хосты в моей сети подключены к известным серверам бот-сетей?
-
Какие пользователи моей сети пытаются получать доступ к информации, которой они не должны интересоваться?
-
Сколько информации покидает мою сеть и передается в сети конкурентов?
Если вы не можете ответить на эти вопросы, то у вас серьезная проблема. Впрочем, к сожалению, такая ситуация очень обычна. Для упрощения проверки мы должны ответить на более простой вопрос: Как я могу узнать, что нацеленная на меня атака прошла удачна и достигла моей сети?
Проверка исполнения правил
После того, как Великая китайская стена была построена, это не означало, что она могла теперь самостоятельно отражать атаки. На ней всегда находились часовые. Наблюдение является критичным фактором в определении того, как работает механизм соблюдения корпоративных правил безопасности. Очень часто в корпоративных сетях можно видеть трафик, который, по идее, должен был блокировать механизм, уже внедренный в сети. Иногда это результат плохой конфигурации, иногда это результат продвинутых технологий обхода корпоративных политик. Очень легко преодолеть любую стену, если никто не наблюдает и у вас есть для этого куча времени. Если не внедрить умную систему слежения, то любая таргетированная (направленная) атака рано или поздно добьется своей цели.
Информированная реакция
Работа исследователей инцидентов значительно более эффективна, когда они работают с "доказательствами", которые хорошо описаны и каталогизированы. Криминальный взлом магазина на глазах камер и свидетелей значительно быстрее завершится в суде, чем взлом несовершеннолетними хулиганами заброшенного склада. Когда сеть не снабжена системой умного слежения, вы не только не обнаружите современную атаку, пока кто-нибудь со стороны не скажет вам об этом, вы не сможете даже определить ущерб, который вам нанесли, или методы, использованные атакующими для проникновения в ваши сетевые закрома. В итоге вы не становитесь информирование после всего этого, да и уязвимость остается не устраненной. Т.е. проломанная дыра в вашей стене останется на месте и будет всегда привлекать следующих преступников.
Ищите странности
Основная техническая характеристика обычных систем класса IDS заключается в том, что они высматривают известный плохой трафик. В основном это делается путем сравнения с шаблонами (сигнатурное определение).
В инструкциях корпуса морской пехоты США сказано: "Всегда будь на посту подготовлен к бою, будь постоянно готов подать сигнал и следи за всем, что находится в твоем поле зрения или слуха" и "Связывайся с командиром патруля в каждом случае, который не предусмотрен инструкцией". В дополнение к необходимости сообщать о регистрации странных "плохих" фактов, патрульным необходимо всегда замечать вещи, которые находятся не на своем месте, и отправлять сообщение для расследования. В системе сетевого слежения также важно детектировать аномальное и подозрительное поведение, которое "не предусмотрено инструкцией".
Умная система слежения для того, чтобы быть эффективной, должна быть способна обнаруживать как аномальное, так и подозрительное поведение трафика. Главное то, что у вас, к сожалению, никогда не будет сигнатур (шаблонов) для новых атак. И кто-то должен следить за странностями.
Заключение
Без эффективной системы сетевого слежения хакеры будут продолжать безнаказанно грабить ваши "защищенные" ресурсы. Хотя механизмы принудительного соблюдения правил являются очень важными для здоровья сети, они не могут заменить бдительных и обученных "стражей", которые следят за современными продвинутыми и целевыми атаками. Это очень печально, когда в организации не могут даже ответить на самый фундаментальный вопрос:
"Как я могу узнать, когда моя инфраструктура была атакована?". Тренированный персонал, имеющий современные решения сетевого умного слежения и анализа, подобные
Lancope StealthWatch, является сегодня единственной защитой против растущего вала сложных и умных атак.
Согласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушения безопасности прошли полностью незамеченными в корпоративных сетях. Процент кажется завышенным, но дальнейшая статистика объясняют, почему это так. Среди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организациями. Они были выявлены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.
