Hallo nochmal. Im Vorgriff auf den Beginn des Kurses „Reverse Engineering“ haben wir uns entschlossen, Ihnen einen kleinen Artikel über Informationssicherheit mitzuteilen, der zwar einen ziemlich indirekten Bezug zum Reverse Engineering hat, für viele jedoch nützliches Material sein kann.
Der globale Markt für Informationssicherheitsprodukte entwickelt sich unter dem Einfluss einer schnell wachsenden Vielfalt komplexer und komplexer Bedrohungen, was zu direkten Auswirkungen auf das Unternehmen führt und nicht nur für große und mittlere Unternehmen, sondern auch für kleine Unternehmen nachgefragt wird. Derzeit ist dies der Fall, wenn herkömmliche Sicherheitstools wie eine Firewall und ein Antivirenprogramm nicht in der Lage sind, das interne Netzwerk des Unternehmens angemessen zu schützen, da Malware Pakete „maskieren“ und senden kann, die vollständig aus Sicht der Firewall aussehen legitim. Es gibt viele kommerzielle Lösungen, die ein angemessenes Schutzniveau für das interne Netzwerk eines Unternehmens bieten. Heute konzentrieren wir uns jedoch auf eine Reihe von Lösungen, wie z. B. Intrusion Detection Systeme und Intrusion Prevention Systeme. In der englischen Literatur sind dies Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS).
Der Unterschied zwischen ihnen besteht nur darin, dass einer Angriffe automatisch blockieren kann und der andere nur davor warnt.
Lösungen dieser Klasse können entweder kommerziell (proprietär) oder Open Source sein und in den richtigen Händen eine hervorragende Ergänzung des allgemeinen Systems des Organisationsschutzes sein. Diese Klasse von Sicherheitsfunktionen bezieht sich auf die Methode zum Verfolgen nicht autorisierter Versuche, auf die geschützten Ressourcen einer Organisation zuzugreifen, die als Zugriffssteuerungsüberwachung bezeichnet wird. Ziel ist es, Sicherheitsmängel in der internen Infrastruktur zu identifizieren und aufzuzeichnen - Netzwerkangriffe, unbefugte Zugriffe oder Eskalationsversuche von Berechtigungen, bösartige Software usw. Im Vergleich zu einer Firewall, die nur Sitzungsparameter steuert, analysieren IDS und IPS übertragene interne Datenströme und finden in ihnen eine Folge von Bits, die böswillige Aktionen oder Ereignisse sein können. Darüber hinaus können sie Systemprotokolle und andere Benutzeraktivitätsprotokolldateien überwachen.
Aber das Wichtigste zuerst.
IDS ist ein Intrusion Detection-System, mit dem verdächtige Aktionen im Netzwerk registriert und der für die Informationssicherheit verantwortliche Mitarbeiter benachrichtigt werden kann, indem eine Nachricht an die Verwaltungskonsole gesendet, eine E-Mail oder eine SMS-Nachricht an ein Mobiltelefon gesendet wird.
Das herkömmliche IDS besteht aus Sensoren, die den Netzwerkverkehr oder die Protokolle scannen und an Analysatoren senden. Analysatoren suchen in den empfangenen Daten nach schädlichen Daten und senden die Ergebnisse bei Erfolg an die Verwaltungsschnittstelle. Je nach Standort werden IDS in
Netzwerk (netzwerkbasierte IDS, NIDS) und
Host (hostbasiert, HIDS) unterteilt. Mit dem Namen ist klar, dass einer den gesamten Netzwerkverkehr des Segments überwacht, in dem er installiert ist, und der andere innerhalb eines einzelnen Computers. Für eine verständlichere Klassifizierung von IDS müssen zwei weitere Untergruppen unterschieden werden, die nach der Art des zu analysierenden Verkehrs unterteilt sind: Protocol-based IDS (PIDS), das Kommunikationsprotokolle mit zugeordneten Systemen oder Benutzern analysiert, und IDS, basierend auf Anwendungsprotokollen (Application Protocol-based IDS, APIDS) zur Analyse von Daten, die mit anwendungsspezifischen Protokollen übertragen werden.
Selbstverständlich können böswillige Aktivitäten im analysierten Verkehr auf verschiedene Arten erkannt werden. Daher gibt es in IDS die folgenden Merkmale, die verschiedene Arten von IDS-Technologien voneinander unterscheiden und wie folgt beschrieben werden können:
- Unterschrift IDS . Verfolgen Sie bestimmte Muster im Datenverkehr und arbeiten Sie wie eine Antivirensoftware. Die Nachteile dieses Ansatzes: Signaturen müssen aktuell sein und IDS dieses Typs können keine unbekannten Angriffe erkennen. Diese Kategorie kann auch in zwei Typen unterteilt werden: Signatur-IDS, Nachverfolgungsvorlagen - Vergleichen von Netzwerkpaketen mit Signaturen und Statusnachverfolgung - Vergleichen von Aktionen mit Vorlagen. Ich bin sicher, dass das Prinzip der Signatur-NIDS, mit der Vorlagen verfolgt werden, bekannt und verständlich ist. In Bezug auf die Signatur-IDSs, die den Status überwachen, sollten wir hier das Konzept des Status verstehen, mit dem IDS arbeitet. Jede Änderung des Systembetriebs (Starten der Software, Eingeben von Daten, Interaktion zwischen Anwendungen usw.) führt zu einer Änderung des Status. Was IDS betrifft, so ist der Anfangszustand vor dem Angriff und der gefährdete Zustand nach dem Angriff, d.h. erfolgreiche Infektion.
- Anomaliebasiertes IDS . Dieser IDS-Typ verwendet keine Signaturen. Es basiert auf dem Verhalten des Systems und vor Beginn der Arbeit tritt das Stadium des Lernens der "normalen" Aktivität des Systems auf. Daher kann es unbekannte Angriffe erkennen. Anomalien wiederum werden in diese Kategorie in drei Typen unterteilt: Statistisch - IDS erstellt ein Profil der regulären Aktivitäten des Systems und vergleicht den gesamten durchlaufenden Verkehr und die Aktivitäten mit diesem Profil. Protokollanomalien - IDS analysiert den Datenverkehr, um Fragmente einer unzulässigen Verwendung von Protokollen zu identifizieren. Verkehrsanomalien - IDS erkennt unzulässige Aktivitäten im Netzwerkverkehr.
- Regelbasiertes IDS . IDS-Daten verwenden die regelbasierte Programmierung "WENN Situation DANN Aktion ". Regelbasierte IDS ähneln Expertensystemen wie Das Expertensystem ist eine gemeinsame Arbeit einer Wissensbasis, logischer Schlussfolgerungen und regelbasierter Programmierung. In diesem Fall ist Wissen die Regel, und die analysierten Daten können als Fakten bezeichnet werden, für die die Regeln gelten. Zum Beispiel: "WENN der Administrator sich bei System1 angemeldet UND eine Änderung an Datei2 vorgenommen hat, DANN" Utility3 "gestartet UND DANN eine Benachrichtigung gesendet", d. H. Wenn sich der Benutzer bei System 1 angemeldet und eine Änderung an Datei 2 vorgenommen hat und dann Dienstprogramm 3 ausgeführt hat, senden Sie eine Benachrichtigung.
So kann unser IDS vor böswilligen Aktivitäten warnen, aber häufig ist es gerade die Aufgabe, böswillige Aktivitäten frühzeitig zu verhindern.
IPS , das bereits erwähnt wurde, kann dabei helfen. Die Methoden ihrer Arbeit sind zeitnah (präventiv) und proaktiv, im Gegensatz zu IDS, das Detektivfunktionen ausführt. Es ist erwähnenswert, dass IPS eine Unterklasse von IDS ist und auf seinen Angriffserkennungsmethoden basiert. IPS kann sowohl auf Hostebene (HIPS) als auch auf Netzwerkebene (NIPS) ausgeführt werden. Die Fähigkeit, Angriffe zu verhindern, wird dadurch implementiert, dass Netzwerk-IPS in der Regel in das Netzwerk integriert ist und den gesamten Datenverkehr durchläuft, sowie eine externe Schnittstelle, die den Datenverkehr empfängt, und eine interne Schnittstelle, die den Datenverkehr weiterleitet, wenn er erkannt wird sicher. Es besteht auch die Möglichkeit, mit einer Kopie des Datenverkehrs im Überwachungsmodus zu arbeiten, aber dann verlieren wir die Hauptfunktionalität dieses Systems.
IPS kann global in diejenigen unterteilt werden, die den Datenverkehr analysieren und mit bekannten Signaturen vergleichen, und in diejenigen, die auf der Grundlage der Protokollanalyse auf der Grundlage der Kenntnis zuvor gefundener Sicherheitsanfälligkeiten nach unzulässigem Datenverkehr suchen. Die zweite Klasse bietet Schutz vor einer unbekannten Angriffsart. Bei den Methoden zur Reaktion auf Angriffe hat sich eine große Anzahl von ihnen angesammelt, aber die folgenden unterscheiden sich von den Hauptmethoden: Blockieren der Verbindung mithilfe eines TCP-Pakets mit einem RST-Flag oder über eine Firewall, Neukonfiguration der Kommunikationsausrüstung sowie Blockieren von Benutzerdatensätzen oder eines bestimmten Hosts in der Infrastruktur .
Letztendlich besteht die effektivste Idee zum Schutz der Infrastruktur darin, IDS und IPS zusammen in einem Produkt zu verwenden - einer Firewall, die durch eingehende Analyse von Netzwerkpaketen Angriffe erkennt und blockiert. Erwähnenswert ist, dass es sich nur um eine Verteidigungslinie handelt, die sich in der Regel hinter der Firewall befindet. Um einen umfassenden Netzwerkschutz zu erreichen, muss das gesamte Arsenal an Schutztools verwendet werden, beispielsweise UTM (Unified Threat Management) - eine gemeinsam funktionierende Firewall, VPN, IPS, Antivirus-, Filter- und Antispam-Tools.
Angesichts einer Reihe von Architekturproblemen war die nächste Runde der Entwicklung solcher Systeme für Weltanbieter die Firewall der nächsten Generation (NGFW, Next Generation Firewall), die durch parallele Analyse desselben Datenverkehrs mit allen Schutztools gewinnt und den Datenverkehr analysiert, um das Virenschutzprogramm im Speicher zu überprüfen. Nicht erst, nachdem es auf der Festplatte gespeichert wurde, sondern auch aufgrund der Analyse von OSI Level 7-Protokollen, mit denen Sie den Betrieb bestimmter Anwendungen analysieren können.