W dniach 22-24 października odbyła się XVI edycja Konferencji na temat bezpieczeństwa teleinformatycznego – SECURE 2012. Z tej okazji do warszawskiego Centrum Nauki Kopernik przyjechali eksperci m.in. z NASA, US CERT czy Google, którzy na co dzień zajmują się walką z zagrożeniami sieciowymi. Byliśmy też i my, Integrated Solutions wraz z naszym partnerem Palo Alto Netwoks.  Nasza ekspertka ds. bezpieczeństwa, Ewa Śniechowska, zaprezentowała 10 nowych zagrożeń dla bezpieczeństwa sieciowego i opowiedziała, jak firmy mogą się przed nimi ustrzec.

SECURE to coroczna konferencja poświęcona bezpieczeństwu teleinformatycznemu, która gromadzi specjalistów krajowych i zagranicznych, reprezentujących najważniejsze instytucje zajmujące się problematyką cyberbezpieczeństwa i walką z cyberprzestępczością.

Podczas konferencji, Ewa Śniechowska, Inżynier Systemowy z IS, zaprezentowała zabezpieczenia przed nowymi rodzajami zagrożeń. Ewa zidentyfikowała 10 najważniejszych obszarów zagrożeń i opowiedziała, jak się przed nimi ustrzec:

- Widoczność ruchu sieciowego. Firma nie może wprowadzić odpowiednich mechanizmów kontroli, kiedy ruch sieciowy nie jest odpowiednio zidentyfikowany. Nowoczesne zagrożenia korzystają z portów TCP i UDP, które są zazwyczaj otwarte na firewallu. Aby prawidłowo rozpoznać ruch, konieczna jest m.in. analiza aż do warstwy 7-mej, w celu odpowiedniej klasyfikacji danych. Dodatkowo – zaleca się takie działania, jak: odpowiednia segmentacja i separacja sieci, przypisanie praw dostępu dla danych grup użytkowników, ochrona ruchu od użytkowników zdalnych.

- Ograniczenie aplikacji wysokiego ryzyka. Jak wiemy, w Internecie działa ogromna liczba aplikacji. Korzystanie z wielu z nich nie jest uzasadnione biznesowo. Jak zaradzić ewentualnej utracie danych, zainfekowaniu stacji końcowych czy zajęciu pasma firmowego? Przede wszystkim: wprowadzić kontrolę nad aplikacjami do wymiany plików, aplikacjami tunelującymi i aplikacjami służącym głównie celom rozrywkowym. Konieczne jest także blokowanie aplikacji, co do których wiemy, że mogą przenosić złośliwe oprogramowanie.

- Selektywna deszyfracja i badanie ruchu SSL. Szacuje się, że ok. 36% pasma zajmowane jest przez aplikacje, które korzystają z SSL albo portów dynamicznych, dlatego też zaleca się wprowadzenie polityki bezpieczeństwa, która identyfikuje, a potem rozszyfrowuje i wprowadza inspekcję ruchu SSL, który może stanowić zagrożenie. Aplikacje tunelowane, nad którymi trzeba mieć kontrolę pochodzą z portali społecznościowych, wymiany plików, komunikatorów czy gier online.

- Nieznane pliki wysyłane do środowiska typu sandbox. Złośliwe oprogramowanie i przeprowadzane ataki są unikalne i celowane w konkretnych użytkowników. Zastosowanie sygnatur zapewnia ochronę tylko w ograniczonym zakresie, ponieważ sygnatury chronią jedynie przed atakami, które zostały wcześniej wykryte i przeanalizowane. Konieczna jest bieżąca analiza ruchu i danych, w szczególności plików wykonywalnych. Jak to zrobić? W wyizolowanym środowisku testowym należy przeprowadzić obserwację zachowań i działań typowych dla złośliwego oprogramowania. W razie potrzeby, powinna zostać zapewniona możliwość tworzenia własnych sygnatur.

- Kontrola i blokada odpowiednich URL. Listy blokowanych adresów URL powinny być na bieżąco aktualizowane. Należy zwracać szczególna uwagę na domeny niezaklasyfikowane lub nowo powstałe. Powinna zostać zapewniona możliwość rozbudowania listy o własne zestawy adresów.

- Zapewnienie ochrony przed drive-by-download. Drive-by-download to bardzo popularna metoda infekowania. Polega ona na tym, że kiedy odwiedzamy zainfekowaną stronę, w sposób automatyczny ściągane jest złośliwe oprogramowanie. Zaleca się stosowanie rozwiązania, które wykrywa ściąganie plików w tle, raportując o tym fakcie i informując użytkownika. Pomocne może być także wymuszenie potwierdzenia ściągnięcia danego pliku przez użytkownika i jednoczesne uczulenie pracowników, aby zwracali uwagę na ściągane treści.

- Blokowanie znanego złośliwego oprogramowania. Znane złośliwe oprogramowanie i wirusy są najczęstszą przyczyną infekcji. Co ciekawe, szacuje się, że do 2015 roku będzie ono przyczyną 90% incydentów. Konieczne jest sprawdzanie podatności na infekcje i przeprowadzanie aktualizacji oprogramowania. Rozwiązania bezpieczeństwa powinny mieć odpowiednią przepustowość, zdolną do obrobienia wolumenu ruchu w danej sieci.

- Ograniczenie ruchu na popularnych portach. Dla prawidłowego działania firmy konieczne jest otwarcie pewnych portów takich jak 53 (DNS), 80 (HTTP), czy też 443 (HTTPS). Tworzone złośliwe oprogramowanie działa często na portach, które domyślnie otwierane są przez administratorów. Wymusza to ciągłe skanowanie otwartych portów, konieczność rozpoznawania ruchu i przepuszczanie jedynie nieszkodliwych aplikacji.

- Analiza i korelacja zdarzeń. Wszelkie incydenty, sygnatury i źródła złośliwego oprogramowania są powiązane ze sobą i powinny być analizowane w kontekście. Rozbicie warstw bezpieczeństwa stwarza problemy. Zalecane jest zastosowanie platformy umożliwiającego powiązanie ze sobą incydentów bezpieczeństwa z użytkownikami.

- Badanie ruchu niestandardowego. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa konieczna jest odpowiednia klasyfikacja ruchu nieznanego lub specyficznego. Co kryje się pod tymi pojęciami? Aplikacje działające w sieci firmowej, nieznane URL, nieznany ruch szyfrowany – w celu rozpoznania i kontroli całego ruchu w sieci.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn