NETASQ: najnowsze ataki na sieci firmowe stawiają nowe wymagania przed systemami IPS
Firma NETASQ, dostawca rozwiązań klasy UTM, służących do ochrony sieci firmowych, podkreśla, że klasyczne podejście do wykrywania ataków na sieci firmowe na podstawie sygnatur staje się coraz mniej wystarczające. Problem ilustrują najnowsze typy ataków, takie jak szeroko opisywany atak na protokół HTTP – "Slowloris", ujawniony przez Roberta "Rsnake" Hansena lub też atak na poziomie TCP opisany w Phrack Magazine.
Zarówno atak na TCP, jak i atak na HTTP oparte są na tym samym pomyśle,
różnią się jedynie warstwą modelu ISO/OSI, na której są dokonywane.
Atak na poziomie TCP znany już jako koncepcja od dłuższego czasu,
polega na sztucznym podtrzymywaniu równocześnie dużej ilości
równoległych połączeń. Wymusza to na serwerze zarezerwowanie dużej
ilości zasobów, których serwer nie zwalnia dopóki połączenie nie
zostanie zakończone. Gdy liczba nawiązanych połączeń z serwerem
przekroczy maksymalną możliwą do obsługi, serwer nie jest już w stanie
obsługiwać połączeń prawdziwych klientów.
Proste systemy intrusion prevention (IPS) bazują zwykle na
rozpoznawaniu ataku porównując badany pakiet z sygnaturą konkretnego
zagrożenia przygotowaną przez producenta. Drugą metodą jest
sprawdzanie, czy ruch jest zgodny ze standardem przesyłania danych
(RFC). Nowe typy ataków na protokół TCP pokazują, że coraz częściej
atak jest przeprowadzany z użyciem zupełnie zgodnego ze standardami
ruchu i co więcej, atakujące pakiety nie zawierają w sobie żadnej
charakterystycznej treści, a więc trudno dla nich stworzyć klasyczną
sygnaturę. NETASQ bada kolejne etapy wymiany danych z użyciem analizy
heurystycznej i reguł specyficznych dla danego protokołu. Przy tego
typu analizie możliwe staje się wykrycie ataku również w sytuacji, w
której w przesyłanych pakietach nie istnieje żaden powtarzalny złośliwy
kod.
NETASQ podkreśla, że jest pierwszym dostawcą, który integruje
firewall z systemem IPS już na poziomie jądra systemu, przez co jest w stanie analizować połączenie całościowo przy zachowaniu
wydajności niemożliwej do osiągnięcia przez innych dostawców.
– Wraz z powstawaniem coraz bardziej wysublimowanych rodzajów ataków
na sieci firmowe, spodziewamy się, że na rynku rozwiązań IPS dojdzie do
ewolucji podobnej jak na rynku antywirusów. Kilka lat temu większość
graczy branży antywirusowej uważała, że wystarczą regularnie
aktualizowane sygnatury, aby zapewnić pełne bezpieczeństwo. Dzisiaj
wszyscy liderzy rynku antywirusów rozwijają metody proaktywne. NETASQ,
jako jeden z liderów technologii IPS, rozpoczyna podobny proces na
rynku rozwiązań IPS chroniących sieci firmowe – komentuje Paweł
Rybczyk, inżynier systemowy w firmie DAGMA, dystrybuującej rozwiązania
NETASQ w Polsce.
