Hola de nuevo En previsión del inicio del curso de "Ingeniería inversa", decidimos compartir con ustedes un pequeño artículo sobre seguridad de la información que, aunque tiene una relación bastante indirecta con la ingeniería inversa, puede ser material útil para muchos.
El mercado global de productos de seguridad de la información se está desarrollando bajo la influencia de una variedad cada vez mayor de amenazas complejas y complejas, lo que lleva a un impacto directo en el negocio, y se está demandando no solo para las grandes y medianas empresas, sino también para las pequeñas organizaciones. Actualmente, este es el caso cuando las herramientas de seguridad tradicionales, como un firewall y antivirus, no pueden proporcionar un nivel adecuado de protección para la red interna de la organización, porque el malware puede "enmascarar" y enviar paquetes que se ven completamente desde el punto de vista del firewall legítimo Existen muchas soluciones comerciales que pueden proporcionar un nivel adecuado de protección para la red interna de una organización, sin embargo, hoy nos centraremos en una clase de soluciones como los sistemas de detección de intrusos y los sistemas de prevención de intrusos. En la literatura inglesa, se trata de Sistemas de detección de intrusiones (IDS) y Sistemas de prevención de intrusiones (IPS).
Las diferencias entre ellos son solo que uno puede bloquear automáticamente los ataques, y el otro solo advierte al respecto.
Las soluciones de esta clase pueden ser comerciales (propietarias) o de código abierto, y en las manos adecuadas puede ser una excelente adición al sistema general de protección de la organización. Esta clase de características de seguridad se relaciona con un método de seguimiento de intentos no autorizados para obtener acceso a los recursos protegidos de una organización, llamado monitoreo de control de acceso. Su objetivo es identificar y registrar fallas de seguridad en la infraestructura interna: ataques de red, intentos de acceso no autorizado o escalada de privilegios, la operación de software malicioso, etc. Por lo tanto, en comparación con un firewall que controla solo los parámetros de sesión, IDS e IPS analizan los flujos de datos internos transmitidos, encontrando en ellos una secuencia de bits que pueden ser acciones o eventos maliciosos. Además, pueden monitorear los registros del sistema y otros archivos de registro de actividad del usuario.
Pero lo primero es lo primero. Por lo tanto,
IDS es un sistema de detección de intrusos diseñado para registrar actividades sospechosas en la red y notifica al empleado responsable de la seguridad de la información enviando un mensaje a la consola de administración, enviando un correo electrónico, un mensaje SMS a un teléfono móvil, etc.
El IDS tradicional consiste en sensores que escanean el tráfico o los registros de la red y los transmiten a los analizadores, los analizadores buscan datos maliciosos en los datos recibidos y, si tienen éxito, envían los resultados a la interfaz administrativa. Dependiendo de la ubicación, los IDS se dividen en
red (IDS basados en
red , NIDS) y
host (basado en host, HIDS). Por su nombre, está claro que uno monitorea todo el tráfico de red del segmento donde está instalado, y el otro dentro de una sola computadora. Para una clasificación más comprensible de IDS, es necesario distinguir dos subconjuntos más que se dividen por el tipo de tráfico que se analiza: IDS basado en protocolo (PIDS), que analiza protocolos de comunicación con sistemas o usuarios asociados, e IDS, basado en protocolos de aplicación (IDS basado en el protocolo de aplicación, APIDS), diseñado para analizar los datos transmitidos utilizando protocolos específicos de la aplicación.
Naturalmente, la actividad maliciosa en el tráfico analizado se puede detectar de varias maneras. Por lo tanto, las siguientes características existen en IDS que distinguen diferentes tipos de tecnologías IDS entre sí y se pueden describir de la siguiente manera:
- IDS de firma . Rastree patrones específicos en el tráfico y trabaje como un software antivirus. Las desventajas de este enfoque: las firmas deben estar actualizadas y los IDS de este tipo no pueden detectar ataques desconocidos. Esta categoría también se puede dividir en dos tipos: IDS de firma, plantillas de seguimiento: compare paquetes de red con firmas y seguimiento de estado: compare acciones con plantillas. Estoy seguro de que el principio de la firma NIDS que rastrea las plantillas es conocido y comprensible. En cuanto a los IDS de firma que monitorean el estado, aquí debemos entender el concepto del estado con el que opera IDS. Cualquier cambio en el funcionamiento del sistema (lanzamiento de software, ingreso de datos, interacción entre aplicaciones, etc.) conduce a un cambio de estado. En cuanto a IDS, el estado inicial es antes del ataque, y el estado comprometido es después del ataque, es decir. infección exitosa
- IDS basados en anomalías . Este tipo de IDS no usa firmas. Se basa en el comportamiento del sistema y antes de comenzar a trabajar, se produce la etapa de aprendizaje de la actividad del sistema "normal". Por lo tanto, es capaz de detectar ataques desconocidos. Las anomalías, a su vez, en esta categoría se dividen en tres tipos: estadísticas: IDS crea un perfil de las actividades regulares del sistema y compara todo el tráfico que pasa y las actividades con este perfil; anomalías de protocolo: IDS analiza el tráfico para identificar fragmentos de uso ilegítimo de protocolos; anomalías de tráfico: IDS detecta actividades ilegítimas en el tráfico de red.
- IDS basados en reglas . Los datos IDS utilizan la programación basada en reglas "SI la situación ENTONCES acción ". Los IDS basados en reglas son similares a los sistemas expertos, como El sistema experto es un trabajo conjunto de una base de conocimiento, conclusiones lógicas y programación basada en reglas. En este caso, el conocimiento son las reglas, y los datos analizados pueden denominarse hechos a los que se aplican las reglas. Por ejemplo: "SI el usuario administrador inició sesión en System1 Y realizó un cambio en File2, ENTONCES lanzó" Utility3 "ENTONCES envíe una notificación", es decir si el usuario inició sesión en el sistema 1 e hizo un cambio en el archivo 2, y luego ejecutó la utilidad 3, envíe una notificación.
Por lo tanto, nuestros IDS pueden advertir sobre actividades maliciosas, pero a menudo la tarea es precisamente prevenir actividades maliciosas en una etapa temprana.
IPS , que se mencionó anteriormente, puede ayudar con esto. Los métodos de su trabajo son oportunos (preventivos) y proactivos, en contraste con IDS, que realiza funciones de detective. Vale la pena señalar que IPS es una subclase de IDS, por lo que se basa en sus métodos de detección de ataques. IPS puede operar tanto a nivel de host (HIPS) como a nivel de red (NIPS). La capacidad de prevenir ataques se implementa debido al hecho de que el IPS de red, como regla, está integrado en la red y pasa todo el tráfico a través de ella, así como una interfaz externa que recibe tráfico y una interfaz interna que pasa más tráfico si se reconoce seguro También existe la posibilidad de trabajar con una copia del tráfico en modo de monitoreo, pero luego perdemos la funcionalidad principal de este sistema.
Globalmente, IPS se puede dividir en aquellos que analizan el tráfico y se comparan con firmas conocidas y aquellos que, en base al análisis de protocolo, buscan tráfico ilegítimo basado en el conocimiento de vulnerabilidades encontradas previamente. La segunda clase proporciona protección contra un tipo desconocido de ataque. En cuanto a los métodos para responder a los ataques, se ha acumulado una gran cantidad de ellos, pero se pueden distinguir los siguientes de los principales: bloquear la conexión mediante un paquete TCP con un indicador RST o mediante un firewall, reconfigurar equipos de comunicación y también bloquear registros de usuarios o un host específico en la infraestructura .
En última instancia, la idea más efectiva para proteger la infraestructura es usar IDS e IPS juntos en un solo producto: un firewall que, a través del análisis en profundidad de los paquetes de red, detecta ataques y los bloquea. Vale la pena señalar que estamos hablando solo de una línea de defensa, que, por regla general, se encuentra detrás del firewall. Y para lograr una protección integral de la red, es necesario utilizar todo el arsenal de herramientas de protección, por ejemplo, UTM (Unified Threat Management), un firewall que funciona conjuntamente, VPN, IPS, antivirus, herramientas de filtrado y herramientas antispam.
Frente a una serie de problemas arquitectónicos, la siguiente ronda de desarrollo de dichos sistemas para proveedores mundiales fue el firewall de próxima generación (NGFW, Next Generation Firewall), que gana por análisis paralelo del mismo tráfico con todas las herramientas de protección, analizando el tráfico para verificar el antivirus en la memoria, no después de que se guarde en el disco duro, sino también debido al análisis de los protocolos de nivel 7 de OSI, que le permite analizar el funcionamiento de aplicaciones específicas.