Olá novamente. Antecipando o início do curso de “Engenharia Reversa”, decidimos compartilhar com você um pequeno artigo sobre segurança da informação, que, embora tenha uma relação indireta com a engenharia reversa, pode ser um material útil para muitos.
O mercado global de produtos de segurança da informação está se desenvolvendo sob a influência de uma variedade crescente de ameaças complexas e complexas, o que leva a um impacto direto nos negócios, e está sendo exigido não apenas para grandes e médias empresas, mas também para pequenas organizações. Atualmente, esse é o caso quando as ferramentas de segurança tradicionais, como firewall e antivírus, não conseguem fornecer um nível adequado de proteção para a rede interna da organização, porque o malware pode "mascarar" e enviar pacotes que parecem completamente do ponto de vista do firewall. legítimo. Existem muitas soluções comerciais que podem fornecer um nível adequado de proteção para a rede interna de uma organização, mas hoje vamos nos concentrar em uma classe de soluções, como sistemas de detecção de intrusão e sistemas de prevenção de intrusão. Na literatura inglesa, esses são os Sistemas de Detecção de Intrusão (IDS) e Sistemas de Prevenção de Intrusão (IPS).
As diferenças entre eles são apenas que um pode bloquear automaticamente ataques e o outro apenas alerta sobre isso.
As soluções dessa classe podem ser comerciais (proprietárias) ou de código aberto, e nas mãos certas podem ser uma excelente adição ao sistema geral de proteção da organização. Essa classe de recursos de segurança refere-se a um método de rastrear tentativas não autorizadas de obter acesso aos recursos protegidos de uma organização, chamado monitoramento de controle de acesso. Destina-se a identificar e registrar deficiências de segurança na infraestrutura interna - ataques à rede, acesso não autorizado ou tentativas de escalação de privilégios, software malicioso etc. Assim, comparado a um firewall que controla apenas os parâmetros da sessão, o IDS e o IPS analisam os fluxos de dados internos transmitidos, encontrando neles uma sequência de bits que podem ser ações ou eventos maliciosos. Além disso, eles podem monitorar os logs do sistema e outros arquivos de log de atividades do usuário.
Mas as primeiras coisas primeiro. Portanto, o
IDS é um sistema de detecção de intrusões projetado para registrar atividades suspeitas na rede e notifica o funcionário responsável pela segurança das informações enviando uma mensagem ao console de gerenciamento, enviando um email, SMS para um celular, etc.
O IDS tradicional consiste em sensores que examinam o tráfego ou logs da rede e transmitem para os analisadores; os analisadores procuram dados maliciosos nos dados recebidos e, se obtiverem êxito, enviam os resultados para a interface administrativa. Dependendo da localização, os IDS são divididos em
rede (IDS com base em
rede , NIDS) e
host (HIDS com base em host). Por nome, é claro que um monitora todo o tráfego de rede do segmento em que está instalado e o outro em um único computador. Para uma classificação mais compreensível do IDS, é necessário distinguir mais dois subconjuntos que são divididos pelo tipo de tráfego que está sendo analisado: IDS baseado em protocolo (PIDS), que analisa protocolos de comunicação com sistemas ou usuários associados, e IDS, baseado em protocolos de aplicativos (IDS baseado em protocolo de aplicação, APIDS), projetado para analisar dados transmitidos usando protocolos específicos de aplicativo.
Naturalmente, a atividade maliciosa no tráfego analisado pode ser detectada de várias maneiras. Portanto, as seguintes características existem no IDS que distinguem diferentes tipos de tecnologias IDS entre si e podem ser descritas da seguinte maneira:
- IDS de assinatura . Acompanhe padrões específicos no tráfego e trabalhe como um software antivírus. As desvantagens dessa abordagem: as assinaturas devem estar atualizadas e o IDS desse tipo não é capaz de detectar ataques desconhecidos. Essa categoria também pode ser dividida em dois tipos: IDS de assinatura, modelos de rastreamento - compare pacotes de rede com assinaturas e rastreamento de status - compare ações com modelos. Tenho certeza de que o princípio do NIDS de assinatura que rastreia modelos é conhecido e compreensível. Quanto aos IDSs de assinatura que monitoram o estado, aqui devemos entender o conceito do estado em que o IDS opera. Qualquer alteração na operação do sistema (iniciar o software, inserir dados, interação entre aplicativos etc.) leva a uma mudança de estado. Quanto ao IDS, o estado inicial é anterior ao ataque e o estado comprometido é posterior ao ataque, ou seja, infecção bem sucedida.
- IDS baseado em anomalia . Este tipo de IDS não usa assinaturas. Ele se baseia no comportamento do sistema e, antes de iniciar o trabalho, ocorre o estágio de aprendizado da atividade "normal" do sistema. Portanto, é capaz de detectar ataques desconhecidos. As anomalias, por sua vez, nesta categoria são divididas em três tipos: estatístico - o IDS cria um perfil das atividades regulares do sistema e compara todo o tráfego que passa e as atividades com esse perfil; anomalias de protocolo - o IDS analisa o tráfego para identificar fragmentos do uso ilegítimo de protocolos; anomalias de tráfego - o IDS detecta atividades ilegítimas no tráfego da rede.
- IDS baseado em regras . Os dados do IDS usam a programação baseada em regras "SE situação ENTÃO ação ". Os IDSs baseados em regras são semelhantes aos sistemas especialistas, como O sistema especialista é um trabalho conjunto de uma base de conhecimento, conclusões lógicas e programação baseada em regras. Nesse caso, o conhecimento são as regras e os dados analisados podem ser chamados de fatos aos quais as regras se aplicam. Por exemplo: "SE o usuário administrador efetuou login no Sistema1 E fez uma alteração no Arquivo2, ENTÃO lançou o" Utilitário3 "ENTÃO envie uma notificação", ou seja, se o usuário efetuou logon no sistema 1 e fez uma alteração no arquivo 2 e, em seguida, executou o utilitário 3, envie uma notificação.
Assim, nosso IDS pode alertar sobre atividades maliciosas, mas geralmente a tarefa é precisamente impedir atividades maliciosas em um estágio inicial.
O IPS , mencionado anteriormente, pode ajudar com isso. Os métodos de seu trabalho são oportunos (preventivos) e proativos, em contraste com o IDS, que desempenha funções de detetive. Vale ressaltar que o IPS é uma subclasse do IDS, portanto é baseado em seus métodos de detecção de ataques. O IPS pode operar no nível do host (HIPS) e no nível da rede (NIPS). A capacidade de impedir ataques é implementada devido ao fato de que o IPS da rede, via de regra, é incorporado à rede e passa todo o tráfego por ela, assim como uma interface externa que recebe tráfego e uma interface interna que passa mais tráfego se for reconhecida seguro. Há também a possibilidade de trabalhar com uma cópia do tráfego no modo de monitoramento, mas perdemos a principal funcionalidade deste sistema.
Globalmente, o IPS pode ser dividido entre os que analisam o tráfego e se comparam com as assinaturas conhecidas e aqueles que, com base na análise de protocolo, procuram tráfego ilegítimo com base no conhecimento das vulnerabilidades encontradas anteriormente. A segunda classe fornece proteção contra um tipo desconhecido de ataque. Quanto aos métodos de resposta a ataques, um grande número deles se acumulou, mas os seguintes podem ser distinguidos dos principais: bloquear a conexão usando um pacote TCP com um sinalizador RST ou através de um firewall, reconfigurar o equipamento de comunicação e também bloquear registros de usuários ou um host específico na infraestrutura .
Por fim, a idéia mais eficaz para proteger a infraestrutura é usar o IDS e o IPS juntos em um único produto - um firewall que, através de uma análise aprofundada dos pacotes de rede, detecta ataques e os bloqueia. Vale a pena notar que estamos falando apenas de uma linha de defesa, que, por regra, está localizada atrás do firewall. E, para obter uma proteção abrangente da rede, é necessário usar todo o arsenal de ferramentas de proteção, por exemplo, o UTM (Unified Threat Management) - um firewall que trabalha em conjunto, VPN, IPS, antivírus, ferramentas de filtragem e ferramentas anti-spam.
Diante de vários problemas de arquitetura, a próxima rodada de desenvolvimento desses sistemas para fornecedores mundiais foi o firewall de próxima geração (NGFW, Next Generation Firewall), que vence por análise paralela do mesmo tráfego com todas as ferramentas de proteção, analisando o tráfego para verificar o antivírus na memória, e não depois que ele é salvo no disco rígido, e também devido à análise dos protocolos OSI nível 7, que permitem analisar a operação de aplicativos específicos.