Системы предотвращения вторжений выполняют в сети роль службы безопасности, отвечающей за отлов выявленных угроз. Они призваны защитить от атак даже те системы, у которых нет для этого собственных средств. Чтобы распознавать вредоносное программное обеспечение в трафике данных, IPS осуществляют проверку пакетов данных на предмет выявления известных шаблонов атак. Однако так называемые динамические техники уклонения (Advanced Evasion Techniques, АЕТ) — новая угроза для систем ИТ — используют в своих целях как раз этот алгоритм.
Надежность сетевой защиты зависит от множества различных условий. Администраторы сетей, серверов и систем безопасности должны владеть множеством методов контроля и уметь правильно их применять, чтобы защитить свое предприятие от постоянно растущих угроз. Кроме того, обеспечение безопасности сети часто затрудняется особенностями ее топологии: плохо спланированные динамические сетевые службы могут помешать администраторам при реализации строгих правил для сегментирования и брандмауэров. Так, в промышленных сетях часто не удается реализовать все необходимые обновления операционной системы, поскольку там могут использоваться устаревшие программы и протоколы. Множество заплат (Patch) и новых версий для операционных систем и приложений, а также требования, предъявляемые к их совместимости, препятствуют постоянному обновлению средств защиты.
В таком случае применяются системы предотвращения вторжений (Intrusion Prevention System, IPS). В отличие от брандмауэров, которые пропускают или отклоняют пакеты данных на основе сведений об их отправителе, получателе, протоколе или иных характеристиках и действуют при этом строго в соответствии с заданными правилами безопасности, устройства IPS проверяют трафик еще и на предмет наличия шаблонов вредоносных кодов и пропускают файлы в сеть, только если угроза не обнаружена. Если вредоносное программное обеспечение попробует проникнуть в сеть, то IPS самостоятельно разорвут канал передачи данных.
При анализе трафика данных большинство систем используют алгоритмы проверки протоколов и распознавания сигнатур. С их помощью они идентифицируют в потоке данных определенные шаблоны вредоносных программ, использующих слабые местаIPS. Как правило, при обнаружении нового кода соответствующие методы распознавания передаются системам безопасности уже через несколько дней, а иногда и часов. Вредоносные программы, похожие на уже знакомые угрозы, могут распознаваться и отклоняться с помощью уже имеющихся методов анализа.
ВЫСОКОРАЗВИТЫЕ ТЕХНИКИ МАСКИРОВКИ
Динамические техники уклонения способны обмануть эти механизмы. С помощью так называемого уклонения (Evasion) хакеры могут маскировать свои атаки, делая их незаметными для систем обеспечения сетевой безопасности. До недавних пор было известно лишь несколько технологий обхода, с которыми большинство систем безопасности хорошо справлялись, однако техники AET представляют собой новый вариант этой угрозы. Они постоянно варьируют методы маскировки атак, используя к тому же различные уровни сетевого трафика, чтобы незаметно внедрять свои вредоносные программы в сеть. В ходе тестирований были обнаружены возможности для реализации атак AET на уровне IP и транспортных протоколов (TCP, UDP), а также через протоколы уровня приложений, включая SMB и RPC.
Для маскировки вредоносных кодов AET используют слабые места протоколов, а также невысокие ограничения по безопасности при сетевой коммуникации. Для этого AET прибегают к методу так называемой десинхронизации систем мониторинга сети, и тогда система предотвращения вторжений воспринимает статус протокола пакета данных иначе, чем целевая система — к примеру, если система IPS перед составлением подписи не способна сохранить достаточное количество фрагментов данных или снова составить их в правильном порядке. Таким образом, начального контекста пакета данных у нее уже нет, и ей приходится заново записывать трафик данных, прежде чем направить его дальше к получателю. Так можно внедрять пакеты данных, которые кажутся безвредными и надежными и проявляют себя как атака только при их интерпретации конечной системой.
Эксперты из компании Stonesoft, специализирующейся на разработке продуктов для сетевой безопасности, впервые обнаружили атаки AET в конце 2010 года и с тех пор выявили почти 150 различных видов AET. Однако число возможных комбинаций насчитывает 2180 вариантов, то есть практически неограниченно (см. Рисунок 1). Чтобы защитить сеть от этих атак, IPS должны «знать» и выявлять все их возможные виды, но порой достаточно лишь незначительных изменений, к примеру количества байтов или смещения сегментов, чтобы замаскированная с помощью технологии AET атака перестала быть похожей на какой-либо из шаблонов в базе IPS, и тогда вредоносный код, несмотря на обновление отпечатков (Fingerprint), проникает в сеть под видом обычного трафика данных. С этой задачей не могут справиться даже новейшие системы IPS, а поскольку сигналов о возможной угрозе они не подают, хакер может спокойно исследовать атакуемую систему на предмет слабых мест или отсутствия заплат и даже воспользоваться правами администратора.
СЛАБОЕ МЕСТО — ПРОТОКОЛ IP
Важную роль для реализации атак с помощью AET играет стек протоколов TCP/IP, используемый в Интернете и большинстве других сетей. Он предопределяет характер поведения системы, а именно консервативность при отправке данных и либеральность при их получении. Иначе говоря, система может отправлять только пакеты данных без формальных ошибок, но должна принимать все пакеты, которые в состоянии интерпретировать. Таким образом, пакеты данных могут иметь различную форму, но система-получатель должна интерпретировать их все одинаково.
Такой либеральный подход призван обеспечить взаимодействие между системами, однако вместе с тем открывает технологии AET множество путей для маскировки атак, ведь различные операционные системы и приложения при получении пакетов данных ведут себя по-разному. В результате приложение системы-получателя может распознать совсем не то, что изначально содержалось в сетевом трафике данных. Кроме того, с выходом в свет очередной версии интернет-протокола (IPv6), предоставляющей большее адресное пространство, следует ожидать не только появления дополнительных функций, но и новых слабых мест для атак посредством AET.
Новейшие протоколы многоадресной рассылки и измененный механизм маршрутизации в IPv6 предоставляют динамическим техникам уклонения дополнительные возможности для маскировки атак на протокольном или транспортном уровнях. Кроме того, подробные отчеты об использовании IPv6 еще не появились. Для бесперебойной коммуникации новый интернет-протокол требует дальнейших компромиссов при определении признаков обычных пакетов данных. В связи с необходимостью обеспечения совместимости с предшествующей версией IPv4, системам-получателям придется интерпретировать входящие пакеты данных еще лояльнее, чем прежде.
До сих пор не существует надежной защиты от атак с помощью AET, а значит, эту задачу придется решать специалистам по безопасности ИТ на предприятиях и производителям систем защиты. Так, компания Stonesoft создала сайт www.antievasion.com, который предоставляет наиболее актуальную информацию об AET и функционирует как открытое сообщество, где специалисты в области безопасности ИТ и производители могут обмениваться мнениями о способах решения проблемы. Одного только администрирования заплат или дополнения баз данных цифровых подписей уже недостаточно, ведь они не смогут справиться с динамичными шаблонами атак. Кроме того, протокол IPv6 создаст дополнительные трудности как администраторам, так и средствам безопасности.
Херманн Кляйн — менеджер по региону DACH (Германия, Австрия, Швейцария) в компании Stonesoft.