Как утверждают в финской компании по информационной безопасности Stonesoft, упомянутые сети, возможно, пали жертвами «высокоразвитых методов обхода» (Advanced Evasion Techniques, AET). Этим термином в Stonesoft называют малоизвестный класс методов пакетного зондирования, работающих на нижнем уровне стека TCP/IP, которые не идентифицируются средствами безопасности.
Как заявляют в Stonesoft, на сегодня существует около трех десятков AET-методик, которым специалисты по безопасности до сих пор не уделяли должного внимания и против которых межсетевые экраны практически бессильны.
Есть ли основания верить подобным утверждениям, если учесть, что явные свидетельства в их пользу отсутствуют? Не исключено, что есть, но трудно установить, действительно ли атаки данного типа кому-то нанесли реальный ущерб.
AET-методы действуют по принципу массового автоматизированного зондирования серверов и других систем на уязвимости, выполняемого незаметно для средств безопасности. Как показал проведенный в Stonesoft анализ, диапазон методик AET, применяемых против сетей, гораздо шире, чем до сих пор считалось. Такие атаки, как утверждают в компании, используются в различных комбинациях сложными многопротокольными зондами, работающими абсолютно невидимо для межсетевых экранов.
Если верить Stonesoft, ни один межсетевой экран в мире не способен распознать зонды, с помощью которых были найдены серверы, уязвимые для эксплойтов, ставших оружием в ряде крупномасштабных инфраструктурных инцидентов последнего времени: Stuxnet, прошлогодней «операции Аврора», в результате которой пострадала компания Google, и других. Именно к такому заключению пришли в Stonesoft, когда дорабатывали предлагаемые компанией системы безопасности для сертификации. В процессе устранения недоработок инженеры Stonesoft создали свои собственные зонды, с помощью которых тестировались продукты компании.
«Учитывая динамическую природу и нераспознаваемость AET-методик, можно утверждать, что они способны повлиять на весь ландшафт рынка сетевой безопасности, — полагает директор по операциям Stonesoft Юха Кивиковски. — Теперь отрасли предстоит безостановочная борьба с данным типом сложных угроз, и мы уверены, что противостоять им способны только динамические решения».
У компании нет прямых подтверждений того, что нашумевшим атакам последнего времени предшествовало AET-зондирование, однако в Stonesoft считают, что обнаруженная ее специалистами уязвимость межсетевых экранов вполне может оказаться «недостающим звеном» во многих инцидентах безопасности.
О своих находках сотрудники Stonesoft сообщили в финское отделение CERT и заверили результаты проведенного исследования в сертификационной организации ICSA Labs.
Как полагают в Stonesoft, в связи с открытием угрозы AET под вопросом оказывается возможность внесения необходимых исправлений в существующие аппаратные устройства безопасности — системы предотвращения вторжений, межсетевые экраны и даже некоторые виды маршрутизаторов. Такие устройства как правило основаны на специализированных интегральных схемах, благодаря чему повышается производительность обработки, но исключается возможность изменения заданных аппаратно правил безопасности и методов защиты. В компании подчеркивают, что ее собственные системы безопасности основаны на программном обеспечении, исполняемом в виртуальных машинах, которые легко обновлять или динамически «латать» по мере появления новых AET.
Вероятность, что AET играют большую роль в современной киберпреступности, похоже, существует. Хакеры, пользующиеся изощренными методами зондирования уязвимостей, по понятным причинам не разглашают сведения о результативности своих технологий. Что же касается систем предотвращения вторжений, то у них весьма сомнительная репутация действенности в качестве средств отражения тщательно спланированных атак, и некоторые специалисты вообще сомневаются, что подобными системами стоит пользоваться.
Более подробные сведения об AET в Stonesoft опубликовали на специально созданном сайте.