Для блокировки атак используются: Блокировка возможных атак – Блокировка возможных атак

Содержание

Использование snort для блокирования атак скрипт-киддисов / Habr

Данная статья не претендует на полноту описания системы snort, а всего лишь предлагает пользователю готовое решение для защиты своего сервера от маленьких шаловливых ручек.
Я лично ставил всё это дело на OpenBSD, но от смены системы суть не меняется.

Лирическое отступление

snort (http://snort.org) — система обнаружения атак (NIDS) для сетей ipv4 на базе libpcap. Сам по себе — обычный tcpdump. Но к нему можно создавать правила, по которым он будет блокировать вредный траффик и создавать события безопасности (alert).

У меня стоит связка snort-сенсоров, связанных между собой через коллектор на базе дописанного prelude (http://prelude-ids.org). Все правила написаны собственноручно.

Результаты (по статистике работы за 4 месяца):

Ложных срабатываний — около 2% (средний траффик — 120 мбит/сек).

Блокировок за день — около 15.

Количество пропущенных атак — 0 (после внедрения системы безопасности ни один сервер не был взломан. Под защитой стоят хостинг и VDS).

В дополнение дописаны модули автоабьюса по базе данных RIPE и блокировки траффика на корневой циске.

Итак, имеем:

Некий сервер с установленным на нём snort-inline (в случае *BSD устанавливается из портов, в случае Linux’а — из исходников с указанием опции —enable-inline).

Для начала настраиваем сам snort (для вашей ОС пути могут отличаться — смотрите дефолтный конфиг). /etc/snort/snort.conf

# сокращённый вариант конфига - правила от SourceFire я не использую.

var HOME_NET 1.2.3.4 # ip-адрес нашего сервера

var EXTERNAL_NET any

var HTTP_SERVERS $HOME_NET

portvar HTTP_PORTS [80,8080]

# путь к папкам с правилами

var RULE_PATH /etc/snort/rules

var PREPROC_RULE_PATH /etc/snort/preproc_rules

# запрещаем ошибки обработки пакетов - они нафиг не нужны

config disable_decode_alerts

config disable_tcpopt_experimental_alerts

config disable_tcpopt_obsolete_alerts

config disable_tcpopt_ttcp_alerts

config disable_tcpopt_alerts

config disable_ipopt_alerts

# папки с процессорами

dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

# фрагментация пакетов - нужен для tcp

preprocessor frag3_global: max_frags 65536

preprocessor frag3_engine: policy linux

# tcp и udp процессор - нужен для httpinspect

preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no

preprocessor stream5_tcp: policy linux

#preprocessor stream5_udp: ignore_any_rules

# а вот и сам http_inspect

# замените unicode.map 1251 на свою дефолтную кодировку

preprocessor http_inspect: global iis_unicode_map unicode.map 1251

preprocessor http_inspect_server: server default profile apache no_alerts ports { 80 8080 8180 } oversize_dir_length 500

output alert_syslog: LOG_ALERT

# инклудим классификаторы траффика

include classification.config

include reference.config

# и файл с правилами

include $RULE_PATH/local.rules

И создаём $RULE_PATH/local.rules:
# убиваем UNION SQL injection

drop tcp any any -> $HOME_NET $HTTP_PORTS (msg:"UNION SQL Injection";uricontent:"union";nocase;uricontent:"select";nocase;sid:1;gid:666;)

# убиваем blind SQL injection

drop tcp any any -> $HOME_NET $HTTP_PORTS (msg:"Blind SQL Injection";uricontent:"ascii";nocase;uricontent:"substr";nocase;uricontent:"select";nocase;sid:2;gid:666;)

# убиваем XSS/CSS

drop tcp any any -> $HOME_NET $HTTP_PORTS (msg:"XSS/CSS attack";uricontent:"";nocase;sid:4;gid:666;)

# убиваем хитрый XSS/CSS

drop tcp any any -> $HOME_NET $HTTP_PORTS (msg:"XSS/CSS attack";pcre:"/GET \/.*\?.*=(javascript:|onclick=|onmouseover=|onmouseout=|onload=).*\n/i";sid:5;gid:666;)

# убиваем ../../../etc/passwd

drop tcp any any -> $HOME_NET $HTTP_PORTS (msg:"PHP include attack";uricontent:"=../..";sid:6;gid:666;)


Запускаем snort

snort -i em0 -c /etc/snort/snort.conf -D

Проверяем и радуемся.

Прим. Тут не затронуты вопросы безопасности POST-запросов, но нет ничего невозможного.

P.S. Опубликована данная статья по просьбе некоего kreon’а, который на Хабре не присутствует.

Немного о типах DDoS-атак и методах защиты / VAS Experts corporate blog / Habr

Согласно проведенным исследованиям, масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.

«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.

При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.

/ Flickr / Kenny Louie / CC


DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.

Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.

TCP SYN Flood

Цель атаки SYN Flood – вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. – то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тыс. пакетов за секунду. А злоумышленник, имея хотя бы гигабитный канал, получает возможность направить поток до 1,5 млн пакетов в секунду.

Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.

Fragmented UDP Flood

Эта атака осуществляется фрагментированными UDP-пакетами небольшого размера, на анализ и сборку которых платформе приходится выделять ресурсы. Защиту от такого типа флуда тоже предоставляют системы глубокого анализа трафика, отбрасывая неактуальные для подзащитного сайта протоколы или ограничивая их по полосе. Например, для веб-сайтов рабочими протоколами являются HTTP, HTTPS – в этом случае неактуальные протоколы можно попросту исключить или ограничить по полосе.

Атака с использованием ботнета

Злоумышленники обычно стараются заполонить полосу жертвы большим количеством пакетов или соединений, перегружая сетевое оборудование. Такие объемные атаки проводятся с использованием множества скомпрометированных систем, являющихся частью боднет.

В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.

При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.

Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).

В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.

Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.

Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.

Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.

Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.

Smurf-атаки

Атакующий посылает поддельный пакет IСМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз.

Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.

DNS-атака с усилением

Атака с усилением – это наиболее распространенная DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, как бы заставляя его отправлять ответы на подмененный адрес.

Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.

TCP Reset

TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.

Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.

Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.

Дополнительное чтение по теме DPI (Deep packet inspection):

Новая динамическая защита от эксплойтов для остановки атак на самом раннем этапе эксплуатации уязвимостей

Главным новшеством новой версии 2.4 семейства решений Panda Adaptive Defense для защиты от неизвестных угроз стала новая динамическая анти-эксплойтная технология, которая позволяет обнаруживать и останавливать известные и неизвестные атаки на самой ранней стадии.

Новая версия 2.4 семейства решений Adaptive Defense порадует своих пользователей следующими улучшениями:

1. Обнаружение/смягчение последствий на стадии эксплуатации (заражения) в жизненном цикле кибер-атак – Динамическая анти-эксплойтная технология

2. Обнаружение атак, которые не используют вредоносные программы или какие-либо файлы, и мониторинг через консоль управления

3. Идентификация компьютеров, используемых для распространения атак внутри сети

4. Экспорт подробной информации о статусе рабочей станции и сервера для ее интеграции в операционные приложения

5. Повышенная гибкость для интеграции с локальным SIEM-решением клиента

6. Расширенные возможности экспертного анализа: возможность экспорта подробной информации о жизненном цикле одной или нескольких угроз, а также показ информации о параметрах командной строки (версия 2.4.1)

Давайте рассмотрим эти улучшения подробнее.

Обнаружение и смягчение последствий на стадии эксплуатации (заражения) в жизненном цикле кибер-атак – Динамическая анти-эксплойтная технология

Эксплойт – это последовательность команд, которая позволяет воспользоваться ошибкой или уязвимостью в легитимном программном обеспечении. Современные злоумышленники используют исполняемые и неисполняемые файлы (или безфайловые атаки, основанные на скриптах) для получения доступа и эксплуатации систем, установленных на рабочих станциях и серверах, с целью осуществления своих атак.

В типичном сценарии атаки хакер манипулирует легитимной программой для запуска кода, пытаясь избежать обнаружения со стороны систем безопасности. Этот код затем скачивает вредоносную программу, т.е. вредоносный исполняемый файл, или использует легитимную системную утилиту для выполнения вредоносных действий без использования какого-либо исполняемого файла (атаки без использования вредоносных программ или безфайловые атаки).

В последнем случае, и для получения полного контроля над требуемым компьютером, хакер должен выполнить набор действий, которые становятся возможными при эксплуатации программной уязвимости. В таком сценарии блокировка попытки использования уязвимости сможет полностью остановить атаку.

Adaptive Defense и Adaptive Defense 360 включают в себя новую динамическую анти-эксплойтную технологию, которая предотвращает попытки использования эксплойтов за счет непрерывного мониторинга активности устройств, а также идентификации известных и неизвестных (нулевого дня) эксплойтов.

Почему важно останавливать атаки на этапе эксплуатации (заражения)?

Кибер-атака состоит из цепочки действий, которые используют различные техники для проникновения в системы и обхода имеющихся механизмов обнаружения.

Многие вредоносные атаки предполагают использование уязвимостей, найденных в легитимных приложениях, чтобы осуществлять требуемые действия, не вызывая подозрений со стороны установленных систем безопасности. Хакеры используют преимущества программных уязвимостей, благодаря которым они способны скомпрометировать всю систему. В результате этого такие уязвимости могут предоставить злоумышленникам полный доступ к требуемому устройству, а также к каждому компьютеру в сети.

Цель систем расширенной защиты, как Panda Adaptive Defense, заключается в том, чтобы идентифицировать и останавливать такую последовательность действий, предотвращая запуск вредоносного кода и компрометацию приложения, системы и любой рабочей станции или сервера.

Действия или этапы, которые составляют кибер-атаку, известны как «Cyber Kill Chain» (CKC), в то время как ее расширенная версия от периметра до целевых рабочих станций и серверов известна под названием «Расширенная Cyber Kill Chain». Если Вы хотите узнать подробнее о Cyber-Kill Chain, мы рекомендуем Вам прочитать нашу статью об этом.

Рис. 1. Модель расширенной Cyber Kill Chain. Действия, предназначенные для доступа к целевым серверам и устройствам, и манипуляция ими со стороны хакера

Согласно расширенной модели Cyber Kill Chain, в то время как злоумышленники должны успешно пройти каждую фазу данной модели для достижения своих целей, мы, будучи в роли защитников сетей наших клиентов, должны быть в состоянии остановить атаку на любой стадии прежде, чем хакер сможет получить доступ к активам своей жертвы. Таким образом, на каждом этапе жизненного цикла атаки мы должны применить соответствующие технологии для того, чтобы остановить угрозы как можно быстрее.

Динамическая анти-эксплойтная технология, включенная в состав версии 2.4, как раз и разработана для обнаружения и прерывания атак до того момента, как они смогут скомпрометировать легитимные приложения.

Что предоставляет собой анти-эксплойтная технология в Adaptive Defense?

Adaptive Defense содержит новые анти-эксплойтные технологии, разработанные нашими экспертами по информационной безопасности в антивирусной лаборатории PandaLabs компании Panda Security. Эти технологии основаны на непрерывно обновляющихся знаниях Panda Security (эта информация поступает в реальном времени с различных сенсоров, в том числе установленных на миллионах устройствах), и постоянном мониторинге процессов и их активности на конечных устройствах с непрерывным анализом причинно-следственной связи между различными процессами.

Ключевые преимущества этой технологии:

  • Предоставляет дополнительный уровень защиты для блокировки эксплойтов в реальном времени. При наличии эксплойта данная технология предотвращает запуск вредоносного кода, заражающего компьютер и распространяющегося на другие устройства в компании.
  • Контролирует внутреннее поведение скомпрометированных процессов, осуществляя поиск аномалий, которые могут указывать на известные или неизвестные (нулевого дня) эксплойты.
  • Обнаруживает угрозы вне зависимости от эксплойта, используемого в атаке. Adaptive Defense предоставляет эффективную защиту от всех типов эксплойтов, особенно неизвестных эксплойтов (нулевого дня), которые используют преимущества уязвимостей в веб-браузерах (Internet Explorer, Firefox, Chrome, Opera и другие), в часто используемых приложениях (Java, Adobe Reader, Adobe Flash, Microsoft Office, мультимедиа-проигрыватели…) и в неподдерживаемых операционных системах (Microsoft XP и другие).
  • Предоставляет конечным пользователям непрерывную защиту и не замедляет работу систем.

В отличие от большинства других продуктов, представленных на сегодняшний день на рынке, Adaptive Defense способен нейтрализовать не только известные уязвимости, но и наиболее опасные угрозы — неизвестные уязвимости (нулевого дня). Поэтому решение в значительной степени ориентировано на обнаружение всех видов аномалий и необычного поведения в контексте их выполнения, в том числе и для обнаружения и блокировки атак, которые используют эксплойтные техники, на любой стадии их жизненного цикла.

Как результат, решение способно останавливать эксплойты и предотвращать компрометацию легитимных приложений на самых ранних стадиях атак, использующих уязвимости, причем все это осуществляется незаметно для пользователя защищаемого устройства.

Ключевые отличия анти-эксплойтной технологии Adaptive Defense

Большинство анти-эксплойтных решений, представленных в наши дни на рынке, опираются либо на выполнение морфологического анализа файлов и/или их контекста выполнения, либо на внедрение различных функций защиты, отсутствующих в Windows: ASR, DEP, EAF, а также специфические обнаружения известных уязвимостей (Common Vulnerabilities and Exposures, CVE).

Впрочем, эти техники не являются достаточно эффективными для остановки атак, которые благодаря известным и неизвестным уязвимостям создают «точки входа».

Учитывая все эти факторы, выделим ключевые отличия анти-эксплойтной технологии, которая сейчас внедрена в семейство продуктов Adaptive Defense:

  1. Ее глобальность: обнаруживает эксплойты известных и неизвестных (нулевого дня) уязвимостей.
  2. В отличие от большинства других решений, представленных на рынке, новая анти-эксплойтная технология Panda разработана не просто для исправления дыр безопасности в системах Windows. Она основана на непрерывном мониторинге всех процессов, запущенных на устройствах, и облачной корреляции собираемых данных с помощью алгоритмов искусственного интеллекта. Это позволяет автоматически анализировать контекст направления атак и использования уязвимостей.
  3. Эффективность новой анти-эксплойтной технологии Adaptive Defense обусловлена тщательной синхронизацией следующих компонентов:

  • Анти-эксплойтная защита на рабочих станциях и серверах, полностью интегрированная с расширенной защитой. Не требуются никакие обновления или дополнительные функции обработки, т.к. модель защиты основана на мониторинге всех действий, осуществляемых любым процессом и приложением, запущенным на конечном устройстве.
  • Специализированные алгоритмы машинного обучения, работающие в облачном окружении. Эти алгоритмы являются неотъемлемой частью управляемого сервиса, и как таковые, всегда адаптированы к новым системам, приложениям и расширенным техникам обхода, используемым для атак эксплойтов.
  • Управляемый сервис, обслуживаемый нашей экспертной командой «охотников за угрозами» (threat hunters), специализированный на обнаружении усовершенствованных эксплойтных техник.
Внедрение новой анти-эксплойтной технологии в Panda Adaptive Defense

Параметры настройки анти-эксплойтной технологии. Режимы работы

Начиная с версии 2.4, веб-консоль управления позволяет настраивать эту технологию на уровне профиля безопасности. Анти-эксплойтная технология включается и отключается независимо от любого другого модуля защиты в Adaptive Defense, включая Расширенную защиту.

В новой версии данная технология по умолчанию отключена, хотя настоятельно рекомендуется ее включить во всех профилях безопасности, настроенных для защиты вашей корпоративной сети.

Рис. 2. Настройка анти-эксплойтной технологии в профилях безопасности

Режим Аудит: Только уведомление в консоли об обнаружениях

В этом режиме работы Adaptive Defense не будет предпринимать какие-либо действия при обнаружении попытки использования эксплойта. Решение будет только регистрировать событие в веб-консоли управления, показывать соответствующую информацию в интегрированной SIEM-системе Advanced Reporting Tool (ART) и/или будет отправлять логи в стороннюю SIEM-систему в рамках сервиса SIEMFeeder.

Режим Блокировать: Уведомление в консоли об обнаружениях и выполнение действий против них

В этом режиме работы Adaptive Defense будет не только уведомлять администратора через консоль управления и по электронной почте о каждой попытке использования эксплойта, но также будет осуществлять требуемые действия на скомпрометированной рабочей станции и сервере, блокируя атаку без вмешательства со стороны конечного пользователя.

Тем не менее, т.к. большинство эксплойтов «обитают» в памяти скомпрометированного приложения, то зачастую необходимо будет завершить процесс и очистить память.

При таких обстоятельствах, если скомпрометированный процесс – это критический системный процесс, остановка атаки может потребовать перезагрузки требуемого компьютера.

Уведомление пользователя скомпрометированного компьютера в случае, если требуется действие

В силу неудобств, с которыми может столкнуться пользователь скомпрометированного компьютера в случае непреднамеренной остановки легитимного приложения или перезапуска системы, решение предоставляет администраторам опции, которые позволяют конечным пользователям добровольно остановить скомпрометированный процесс или перезагрузить компьютер. Такой подход позволяет им, например, предварительно сохранить изменения в своих пользовательских файлах.

Рис. 3. Обнаружен эксплойт, требуется завершить работу скомпрометированной программы

Рис. 4. Обнаружен эксплойт, требуется перезагрузка компьютера. Это уведомление будет показываться периодически до тех пор, пока конечное устройство не будет перезагружено.

Впрочем, стоит отметить, что с момента обнаружения скомпрометированного процесса до тех пор, пока он не будет завершен или пока не будет перезагружен компьютер, эксплойт остается загруженным в памяти, пытаясь запустить вредоносный код. Чтобы напомнить пользователям об этой потенциально опасной ситуации, локальная консоль будет показывать предупреждение, побуждая пользователя завершить работу скомпрометированного приложения или перезагрузить компьютер.

Мониторинг обнаружений эксплойтов в консоли управления

Веб-консоль управления Adaptive Defense уведомляет об обнаружениях эксплойтов следующими способами:

Блок «Активность». Панель «Классификация всех запущенных и проверенных программ»

Количество обнаруженных эксплойтов добавлено к общему количеству программ, классифицированных как вредоносные программы и эксплойты.

Рис. 5. Панель «Классификация всех запущенных и проверенных программ»

Блок «Активность». Панель «Вредоносные программы и эксплойты»

Обнаруженные эксплойты отображаются в реальном времени в консоли управления в панели «Вредоносные программы и эксплойты».

Рис. 6. Панель «Вредоносные программы и эксплойты»

Подробности обнаруженного эксплойта:

При нажатии на панель «Вредоносные программы и экплойты» осуществляется переход на страницу со списком обнаруженных вредоносных программ и эксплойтов. Переключившись на закладку «Эксплойты», можно увидеть следующую информацию:

  • Название компьютера
  • Путь до скомпрометированной программы
  • Действие, предпринятое по отношению к эксплойту. Этот столбец может иметь следующие значения:

o Разрешено администратором: В режиме «Аудит».
o Блокировано (автоматически): В режиме «Блокировать». Эксплойт был немедленно заблокирован без необходимости какого-либо вмешательства со стороны пользователя.
o Блокировано после завершения процесса: В режиме «Блокировать». Эксплойт был нейтрализован после того, как пользователь завершил приложение.
o Разрешено пользователем. В режиме «Блокировать». Пользователю было предложено завершить приложение, но он еще не сделал этого.
o Обнаружено. Ожидание перезагрузки. В режиме «Блокировать». Данное действие появляется при следующих обстоятельствах:

— Когда необходимо перезагрузить систему для блокировки эксплойта и исправления, т.к. это влияет на системные процессы.

— Если пользователю предложено завершить работу скомпрометированного приложения, но он не сделал этого через определенный промежуток времени. Статус компьютера изменится и необходимо будет перезагрузить систему.

  • Риск. Если эксплойт не был незамедлительно заблокирован, то столбец «Риск» будет показывать, что компьютер находился под угрозой с момента обнаружения эксплойта и до момента его блокировки (если фактически он был заблокирован).
  • Дата обнаружения.

Рис. 7. Уведомления о вредоносных программах и обнаруженных эксплойтах

Подробности уведомления содержат дополнительную информацию, необходимую для экспертного анализа атаки: жизненный цикл эксплойта и график активности, детализирующий эволюцию эксплойта до момента его остановки (если он был остановлен), а также доступ к URL до момента обнаружения атаки, т.к. существует высокая вероятность того, что некоторые из этих адресов связанны с данной атакой.

Рис. 8. Подробная информация об эксплойте, включая посещенные URL

до момента обнаружения, и жизненный цикл эксплойта

Рис. 9. Жизненный цикл эксплойта в динамике по времени

Предустановленные фильтры для раздела с эксплойтами позволяют осуществлять поиск по определенным компьютерам, скомпрометированным приложениям и пр. Точно таким же образом, как это реализовано с предустановленными фильтрами для разделов с вредоносными программами, потенциально нежелательными программами и заблокированными объектами.

Предварительно настроенные отчеты

Отчеты для руководства, расширенные отчеты для руководства и отчеты по угрозам включают в себя информацию по обнаруженным эксплойтам.

Оповещения по электронной почте

Кроме того, если включена опция для отправки уведомлений по электронной почте при обнаружении вредоносных программ, администратор сети или руководитель службы информационной безопасности может оперативно получать письмо по электронной почте сразу же после обнаружения эксплойта.

Рис. 10. Настройки уведомлений по электронной почте в реальном времени,

включая уведомления по обнаруженным эксплойтам

Рис. 11. Почтовое уведомление по обнаруженному эксплойту, который скомпрометировал Internet Explorer. Конечный пользователь не завершил работу приложения, поэтому статус риска высокий

Информация, доступная в Advanced Reporting Tool

Каждый раз, когда обнаруживается попытка использования уязвимости в сети клиента, Advanced Reporting Tool (ART) получает уведомление подобно тому, как это происходит в случае обнаружений вредоносных программ или ПНП, только в данном случае в столбце AlertType будет показываться значение «Exploit».

Рис. 12. Таблица уведомлений с обнаружениями эксплойтов

Следовательно, в случае обнаружений подобного типа они будут показываться в «Security Incidents».

Рис. 13. Security Incidents с информацией по эксплойтам

Информация, доступная в клиентском SIEM-решении

Если на предприятии внедрена сторонняя SIEM-система, то информация о каждом обнаружении попытки использования уязвимости вне зависимости от используемой техники сообщается в это SIEM-решение в форме определенного уведомления. Это реализовано подобно тому, как и в случае обнаружения вредоносных программ и ПНП, только в данном случае такие уведомления передаются с типом события «Exploit».

Обнаружение безфайловых атак и атак, не использующих вредоносные программы

Атаки, не использующие вредоносные программы, основаны на использовании неисполняемых файлов, уязвимостей в легитимных приложениях типа Chrome, Firefox, Internet Explorer, Microsoft Office (Word, Excel, etc.), Java VM и продуктах Adobe. Они компрометируют рабочие станции и серверы через распространение и исполнение кода в памяти, когда атакуемый пользователь открывает файлы, например, с макросами. Атаки с помощью неисполняемых файлов манипулируют стэком памяти легитимных приложений, и они достигают своих целей без скачивания вредоносных исполняемых файлов.

В дополнение к этому, безфайловые или «скриптовые» атаки основаны на последовательности команд, написанных в скриптовых языках (таких как Java или PowerShell). Эти вредоносные скрипты запускаются без записи файлов на диск. Именно поэтому такие атаки называются безфайловыми.

Наконец, многие атаки используют сочетание макросов и аргументов PowerShell для командной строки. Например, мы видели атаки, которые открывали документ Word с макросом, использующим техники обхода для сокрытия и запуска атаки с использованием скриптов PowerShell с удаленных серверов управления.

Безфайловые атаки и атаки, основанные на неисполняемых файлах, не представляют собой что-то новое, но они становятся все более распространенными и остаются необнаруживаемыми со стороны традиционных антивирусных решений.

Adaptive Defense и Adaptive Defense 360 включают в себя техники, которые определяют данный тип атаки за счет мониторинга процессов, анализа их взаимосвязей и способности решения идентифицировать вредоносное поведение легитимных приложений. Эти техники дополнительно усилены в новой версии 2.4. Начиная с этой версии, обнаружением таких атак можно будет управлять так же, как это происходит в отношении других обнаружений, т.е. они показываются в панели консоли управления и фигурируют в отчетах как обнаружения вредоносных программ. Это позволяет администраторам осуществлять мониторинг их жизненного цикла и получать почтовые уведомления всякий раз, когда такой тип атаки будет обнаружен.

Компьютеры, используемые в качестве стартовой площадки для сетевой атаки (источник заражения)

Это известный факт, что злоумышленники проникают в корпоративные сети через их слабые места, а затем они используют техники расширения прав, техники обхода и горизонтальное продвижение между компьютерами и серверами, чтобы достичь своих целей. Во многих случаях определенные компьютеры в сети превращаются в «зомби», через которые внешние серверы управления посылают требуемые команды. Такие «зомби»-компьютеры могут использоваться в качестве стартовой площадки для запуска кибер-атаки на другие компьютеры в корпоративной сети.

В подобном и других случаях крайне важно как можно раньше обнаружить, какие рабочие станции и серверы являются источниками инфекции.

Начиная с версии 2.4, всякий раз, когда обнаруживается вредоносная программа/ПНП или блокируется неизвестный объект, Adaptive Defense показывает сетевой компьютер, с которого распространялась данная инфекция, его IP-адрес и даже данные по подключенному пользователю. Вся эта информация является частью данных по жизненному циклу угроз.

Рис. 14. Данные по жизненному циклу эксплойта с указанием источника заражения

и подключенного в тот момент пользователя

Отчет по статусу компьютера

Во многих случаях, особенно у средних и крупных компаний, которые управляют безопасностью своих конечных устройств и которые имеют системы, приложения, процессы и инструменты, управляемые ИТ-департаментом предприятия или сторонними организациями (аутсорсинг), требуется информация по статусу рабочих станций и серверов, которая интегрируется в эти процессы или инструменты. Таким примером может служить корпоративная система управления обращениями пользователей (внутренняя техподдержка).

По этой причине новая версия 2.4 включает в себя новый тип отчета (в формате CSV) с информацией по статусу всех защищенных рабочих станций и серверов. Администратор может экспортировать данный отчет или запланировать его автоматическую отправку.

Рис. 15. Отчет по статусу компьютеров, который позволяет интегрировать эти данные в операционное ПО организации, например, в систему управления обращениями пользователей

Улучшения в сервисе Advanced Reporting Tool

Этот функционал доступен только для тех клиентов, которые имеют лицензии на Advanced Reporting Tool (ART).

Новые данные в существующих таблицах

  • Таблица OPS теперь показывает аргумент командной строки, используемый для запуска приложения, включая его параметры.
  • Таблица ALERTS:

— Данная таблица теперь показывает события типа «Exploit», а также последние посещенные URL (до 10 URL-адресов, разделенных символом «*», в поле UrlList).

— При обнаружении вредоносных программ, если оно произошло в том случае, когда вредоносный файл передавался с одного компьютера в сети на другой, то таблица будет показывать IP-адрес компьютера-источника и подключенного к нему пользователя.

  • Раньше таблица SOCKETS показывала только сетевые протоколы (TCP, UDP, ICMP). Новая версия дополнительно показывает информацию о соединениях на уровне приложений для RDP-трафика (удаленный рабочий стол). Это позволяет идентифицировать RDP-атаки (ключ «Protocol» будет показывать значение «TCP-RDP»).

Новый виджет в Security Incidents

Появились два новых виджета с информацией о компьютерах, являющихся источником инфекции, с которых осуществлялись попытки скопировать или перенести вредоносную программу на другие компьютеры.

Первый виджет является узловым графом, отображающим взаимосвязь, установленную между двумя компьютерами за выбранный период времени. С его помощью можно посмотреть в динамике по времени, с какого компьютера и на какой компьютер пытались передать вредоносные программы.

Рис. 16. Новый виджет в ART с временной диаграммой конечных устройств,

являющихся источниками и жертвами инфекций

Второй виджет представляет собой affinity graph. Он показывает, сколько раз осуществлялись попытки передачи вредоносных программ с одного компьютера (источник инфекции) на другие компьютеры.

Рис. 17. Новый виджет в ART, связывающий конечные устройства,

являющиеся источниками и жертвами инфекций

Информация о текущих категориях хэшей, связанных с событиями

Все таблицы, отображающие категории, связанные с хэшем родительского и дочернего процессов, теперь показывают категорию в тот момент, когда произошло событие, и текущую категорию (с максимальной частотой обновления — 4 часа).

Улучшения в сервисе SIEMFeeder

Этот функционал доступен только для тех пользователей Adaptive Defense, которые имеют лицензии на SIEMFeeder для интеграции решения со сторонней SIEM-системой.

Больше информации о событиях

  • События OPS теперь показывают аргумент командной строки, используемый для запуска приложения, включая его параметры.
  • События ALERTS:

— Теперь они показывают события типа «Exploit», а также последние посещенные URL (до 10 URL-адресов, разделенных символом «*», в поле UrlList). В случае эксплойтов, возникших из документа, будет заполнено поле Doclist.

Рис. 18. Формат события Alerts в SIEMFeeder

— При обнаружении вредоносных программ, если оно произошло в том случае, когда вредоносный файл передавался с одного компьютера в сети на другой, то таблица будет показывать IP-адрес компьютера-источника и подключенного к нему пользователя.

  • Раньше события SOCKETS показывали только сетевые протоколы (TCP, UDP, ICMP). Новая версия дополнительно показывает информацию о соединениях на уровне приложений для RDP-трафика (удаленный рабочий стол). Это позволяет идентифицировать RDP-атаки (ключ «Protocol» будет показывать значение «TCP-RDP»).

Рис. 19. Формат события Sockets в SIEMFeeder

Повышенная гибкость для интеграции с клиентским локальным SIEM-решением

В дополнение к передаче логов активности с рабочих станций и серверов через sFTP или FTP, новая версия 2.4 также позволяет отправлять логи через протокол Syslog. При необходимости передаваемые данные могут быть зашифрованы с помощью SSL/TLS-шифрования. Чтобы можно было использовать протокол Syslog, в сети должен быть внедрен готовый для получения логов с нашей стороны сервер Syslog, который в большинстве случаев уже встроен в SIEM-решение.

Учтите, что вам понадобится предварительная конфигурационная информация и время для настройки параметров сервиса: количество параллельных подключений, количество попыток (по умолчанию – 3) и пр.

Наконец, в данной версии реализован VPN-сервис для повышения уровня безопасности при отправке логов через FTP/sFTP.

Другие улучшения в версии 2.4

Версия 2.4 решений Adaptive Defense и Adaptive Defense 360 с версией защиты 7.70 и версией агента 7.71 содержат следующие дополнительные улучшения:

1. Управление исключениями:

  • Исключения на уровне профиля будут также влиять на расширенную защиту.
  • Более высокий уровень согласованности между уведомлениями по обнаружениям и исключениями: если объект исключен из расширенной защиты, то решение не будет больше отправлять почтовые уведомления для этого объекта до тех пор, пока исключение не будет удалено.

2. Режим Lock и продвинутые пользователи: если пользователь решил запустить приложение, которое еще не классифицировано как надежное, то теперь решение позволит запуск приложения и любых необходимых библиотек, даже если они не классифицированы как надежные. Т.е. приоритет отдан решению пользователя, чтобы не прерывать его работу.

3. Исправлена ошибка, которая возникала при обнаружении объектов во время их транзита на серверах Exchange, когда не отображался путь в консоли управления.

4. Исправлена ошибка: если отключена антивирусная защита на рабочей станции или сервере, но при этом включена расширенная защита, то информация, отображаемая в зоне уведомлений, теперь будет показывать, что расширенная защита включена.

5. Улучшение: уведомления об обнаружениях, показываемые пользователям рабочей станции или сервера, были видимы всего несколько минут, после чего автоматически исчезали. Если пользователь пропустил их, то он мог упустить важную информацию, касающуюся безопасности. Начиная с данной версии, эти уведомления стали периодическими и отображаются до тех пор, пока пользователь не отреагирует на них.

Другие улучшения:

  • Возможность включить модуль Удаленный контроль, интегрированный в локальный агент и защиту Adaptive Defense/Adaptive Defense 360.
  • Меню в веб-консоли содержит ссылку на руководство пользователя по SIEMFeeder.

Рис. 20. Прямой доступ к руководству по SIEMFeeder

Наконец, внесены некоторые изменения в лицензионное соглашение, которое теперь содержит:

— Корректировки для тех окружений, где сервис работает на Windows Terminal Server.

— Новый раздел о ненадлежащем использовании сервиса. Это предназначено для предложения гарантии максимальной защиты наши клиентов и партнеров.

— Добавлена информация о том, что Panda Security может связываться с администраторами для проведения исследовательских опросов с целью улучшения сервиса. Также имеется упоминание механизма, который позволяет прекратить получение таких коммуникаций.

По этой причине первый раз, когда Вы подключитесь к консоли управления после обновления сервиса до версии 2.4, Вам предложат снова согласиться с Лицензионным соглашением.

Новые поддерживаемые системы

Новая версия 2.4 поддерживает следующие новые системы:

  • Server Core 2008 (32 или 64 бит), 2008 R2 (64 бит), 2012 и 2012 R2, без GUI. Т.к. сервер не имеет GUI, рекомендуется следующее:

— При выполнении процессов установки и обновления учтите, что локально никакие сообщения, призывающие перезагрузить сервер, показываться не будут. Убедитесь, что сервер был перезагружен надлежащим образом, проверив веб-консоль управления.
— Убедитесь, что у Вас настроены корректные параметры прокси в профилях безопасности, т.к. при возникновении инцидента сервер не будет показывать какие-либо локальные сообщения, требующие данные прокси.

  • Windows MultiPoint Server 2012
  • Новая версия защиты для Mac основана на Virus Barrier X9
Экспорт информации о жизненном цикле и данных из командной строки (версия 2.4.1)

Версия 2.4.1 (которая выйдет в июне 2017 г.) предоставляет возможность экспорта данных о жизненном цикле одного или нескольких обнаружений или заблокированных объектов в формат CSV. Затем эти данные могут быть легко импортированы в другие приложения, такие как Excel, позволяя администраторам осуществлять экспертный анализ всей сети с максимальным уровнем детализации и корреляцией любых объектов.

Например, вы можете экспортировать все обнаружения, которые произошли за последние 24 часа, и посмотреть, сколько компьютеров пострадало от конкретной вредоносной атаки.

Вы также можете увидеть, к каким файлам осуществлялся доступ во время атаки, чтобы оценить масштабы возможного влияния атаки на Вашу организацию.

Кроме того, Вы можете сопоставить обнаружения во времени, а также идентифицировать горизонтальные продвижения злоумышленников и точки входа, используемые хакерами.

Наконец, консоль управления с версии 2.4.1 будет показывать информацию о параметрах командной строки, используемых хакерами при внедрении скриптов PowerShell.

Когда и как можно перейти на версию 2.4

Новая версия 2.4 доступна с 8 мая 2017 года, о чем в зоне уведомлений веб-консоли управления опубликована соответствующая информация.

Поэтому если Вы впервые решили зарегистрировать бесплатные триал-лицензии Adaptive Defense 360, то вам будет доступна уже новая версия 2.4.

О том, как настроить в корпоративной сети Adaptive Defense 360 рассказано в нашей предыдущей статье

Если вы уже являетесь пользователем коммерческих лицензий Adaptive Defense:

  • Чтобы обновить версию консоли до версии 2.4, Вы должны нажать на кнопку, которую Вы сможете найти в соответствующем уведомлении.
  • Пожалуйста, учтите, что в течение нескольких недель после выхода версии 2.4 версия консоли управления будет обновлена автоматически. Ниже приводим календарь автоматических обновлений версии консоли:

— Клиенты до 101 лицензии: 17.05.2017
— Клиенты от 101 до 501 лицензии: 29.05.2017
— Клиенты свыше 501 лицензии: 12.06.2017

  • После того как Вы обновите версию консоли до версии 2.4, агенты автоматически обновятся до версии 7.71
  • Защита будет обновлена до версии 7.70 автоматически только в том случае, если это настроено в политиках безопасности, которые применяются к конечным устройствам. Пожалуйста, проверьте конфигурацию Ваших политик безопасности.

Когда и как можно перейти на версию 2.4.1

Новая версия 2.4.1 станет доступна в июне 2017 года, о чем в зоне уведомлений веб-консоли управления будет опубликована соответствующая информация.

В отличие от версии 2.4, новая версия 2.4.1 будет включать в себя только обновления самой консоли управления.

Заключение

Принимая во внимание стремительное развитие новых техник заражения и появление все большего числа неизвестных усовершенствованных угроз, предприятия все больше заинтересованы в таких решениях расширенной защиты, как Adaptive Defense.

Данное решение обеспечивает не только защиту от неизвестных угроз и уязвимостей, но также предоставляет экспертную информацию для анализа атак, слабых мест в информационной безопасности предприятия, а также оценки возможных рисков, ущерба и пр. Другими словами, администратор, обладая такой экспертной информации, всегда может сказать, откуда, когда и как пыталась начаться атака, каким образом она протекала, к каким файлам были попытки обращений, что злоумышленники пытались скопировать/отправить и куда, какие изменения хакеры пытались осуществить на системном уровне и т.д.

Усиливая защиту от неизвестных угроз и учитывая расширенную модуль Cyber Kill Chain, новая версия 2.4 предоставляет своим пользователям более эффективный уровень защиты от известных и неизвестных эксплойтов на самом раннем этапе атаки – этапе эксплуатации (заражения).

В самое ближайшее время Adaptive Defense сможет порадовать своих пользователей новыми усовершенствованиями:

— интегрированная система удаленного управления защищаемыми компьютерами

— новая веб-консоль управления: более гибкая, простая в использовании, понятная и эффективная для управления сотнями и тысячи устройств в режиме реального времени

— другие улучшения для предотвращения утечки данных.

Но об этом мы расскажем уже в следующих статьях.

Демо-консоль Adaptive Defense 360

Для знакомства с консолью управления достаточно только обычного браузера (рекомендуется Chrome или Firefox) и немного свободного времени.

Консоль: demologin.pandasecurity.com

Логин: [email protected]

Пароль: DRUSSIAN#123

Триал-лицензии Adaptive Defense 360

Вы можете зарегистрировать бесплатные полнофункциональные лицензии сроком на 1 месяц.

Защита сайта от хакерских атак — Nemesida WAF / Pentestit corporate blog / Habr

Современные реалии показывают постоянно растущие атаки на веб-приложения — до 80% случаев компрометации систем начинаются с веб-приложения. В статье будут рассмотрены наиболее распространенные уязвимости, которые активно используют злоумышленники, а также эффективные методы противодействия им с использованием Nemesida WAF.

При увеличении количества инструментов и техник атак все сложнее становится обеспечить доступность сайта, защитить веб-приложение или его компоненты от взлома и подмены контента. Несмотря на усилия технических специалистов и разработчиков обороняющаяся сторона традиционно занимает догоняющую позицию, реализовывая защитные меры уже после того, как веб-приложение было скомпрометировано. Веб-сайты подвергаются атакам из-за публичной доступности, не всегда качественно написанному коду, наличию ошибок в настройке серверной части, а также отсутствующему контрою со стороны службы ИБ, тем самым обеспечивая злоумышленникам доступ к критичным данным.

В связи с этим возникает необходимость использовать защитные средства, учитывающие архитектуру веб-приложения, и не приводящие к задержкам в работе сайта.

Уязвимости нулевого дня

Уязвимость нулевого дня или 0-day – это ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками. Происхождение термина связано с тем обстоятельством, что уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от нее).

Природа уязвимостей нулевого дня позволяет злоумышленникам успешно атаковать веб-приложения в период от нескольких минут до нескольких месяцев. Такой большой период обусловлен множеством факторов:

  • уязвимость необходимо локализовать и устранить;
  • выкатить работоспособный патч;
  • уведомить пользователей о проблеме;
  • пользователям приложения запустить процесс патч-менеджмента (что бывает очень нелегко сделать «здесь и сейчас» на крупном проекте).

В этом кроется еще один немаловажный фактор — для новой уязвимости может не существовать правил или исключений в защитной системе, а сигнатура атаки может быть не распознана классическими защитными средствами. В этом случае поможет использование белого списка поведенческого анализа конкретного веб-приложения для минимизации рисков атак нулевого дня.

В качестве примера можно привести хронологию атаки Struts2: CVE-2013-2251 Struts2 Prefixed Parameters OGNL Injection Vulnerability — c момента появления «боевого» эксплойта прошло несколько дней, прежде чем многие компании смогли накатить патч.

Тем не менее, при использовании защитных средств можно было выявить запрос вида:
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
для блокирования атаки, т.к. он явно не является легитимным в контексте пользовательских действий.

«Классические» атаки

Статистика показывает, что многие веб-приложения компрометируются также, как и годами ранее — это разного рода инъекции, инклуды, клиент-сайд атаки, поэтому защитное средство должно уметь выявлять и блокировать атаки, направленные на эксплуатацию следующих уязвимостей:

  • SQL Injection — sql инъекции;
  • Remote Code Execution (RCE) — удаленное выполнение кода;
  • Cross Site Scripting (XSS) — межсайтовый скриптинг;
  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
  • Remote File Inclusion (RFI) — удалённый инклуд;
  • Local File Inclusion (LFI) — локальный инклуд;
  • Auth Bypass — обход авторизации;
  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
  • Bruteforce — подбор паролей.

В идеальном веб-приложении такого рода уязвимости должны быть обнаружены и зафиксированы еще на этапе разработки: должен был проведен статический, динамический, интерактивный анализ, выявление аномалий в логике работы приложения. Но, зачастую, такие моменты по тем или иным причинам упускаются из виду, на них не остается времени или средств.

Защита на прикладном уровне

Веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются.

Протокол прикладного уровня — протокол верхнего (7-го) уровня сетевой модели OSI, обеспечивает взаимодействие сети и пользователя. Уровень разрешает приложениям пользователя иметь доступ к сетевым службам, таким, как обработчик запросов к базам данных, доступ к файлам, пересылке электронной почты. Защита на прикладном уровне является наиболее надежной. Уязвимости, эксплуатируемые злоумышленниками, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью классических систем обнаружения вторжений. Также этот уровень является самым доступным извне. Возникает необходимость понимать группы протоколов и зависимостей, свойственных для веб-приложений, которые строятся над прикладными протоколами http/https.

Основной принцип защиты сайта на прикладном уровне — верификация и фильтрация данных запросов, передаваемых методами GET, POST и т.д. Подмена или модификация запроса — это базовая основа практически всех способов взлома и атак на сайты.

Цели атак

Веб-приложения могут быть атакованы независимо от их принадлежности к той или иной области деятельности: сайты малой посещаемости, неоперирующие большими объемами информации и не хранящие критичных данных могут быть атакованы в результате нецелевых атак. Значимые сайты, имеющие высокие показатели трафика, огромные объемы пользовательских данных и т.д. являются привлекательной мишенью для злоумышленников и подвергаются атакам практически ежедневно:

  • Каждый третий сайт был взломан или подвергался атакам хакеров;
  • 80% сайтов взламываются в ходе нецелевых атак с использованием популярных сканеров или утилит;
  • Около 60% взломанных сайтов были заражены и заблокированы поисковыми системами.

Для сайтов, оперирующих платежными данными, обрабатывающих онлайн-транзакции существует специализированные требования соответствия стандарту PCI DSS. Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Пункт 6.6 гласит, что помимо проведения аудита веб-приложения необходимо обеспечить применение специализированных защитных средств:

To gain a better understanding of the Requirement 6.6, we should refer to PCI DSS 3.1 standard which says that public-facing web applications shall “address new threats and vulnerabilities on an ongoing basis and ensure these applications are protected against known attacks.”

What is important here is the “on an ongoing basis” condition, which makes it very clear that web security is a permanent process and highlights the importance of continuous web security.

PCI DSS proposes two ways to achieve this requirement:

“Reviewing public-facing web applications via manual or automated application vulnerability security assessment tools or methods, at least annually and after any changes.”

“Installing an automated technical solution that detects and prevents web-based attacks (for example, a web-application firewall) in front of public-facing web applications, to continually check all traffic.”

Пункт 6.6 носит обязательный характер, если веб-приложение входит в CDE (Cardholder Data Environment).

Обеспечение защиты сайта

Оптимальным решением для обеспечения защиты сайта является применение Web Application Firewall — межсетевого экрана прикладного уровня, позволяющего эффективно защищать сайты от атак злоумышленников.

Web Application Firewall — это специальный механизм, накладывающий определенный набор правил на то, как между собой взаимодействуют сервер и клиент, обрабатывая HTTP-пакеты. В основе кроется тот же принцип, что и в обычных пользовательских фаерволах, — контроль всех данных, которые поступают извне. WAF опирается на набор правил, с помощью которого выявляется факт атаки по сигнатурам – признакам активности пользователя, которые могут означать нападение.

Как это работает

Web Application Firewall работает в режиме прозрачного проксирующего механизма, анализирую на лету приходящие от клиента данные и отбрасывая нелегитимные запросы:

После установки Web Application Firewall необходима настройка под целевое веб-приложение — в зависимости от типа и вида CMS добавляются учитывающие веб-приложение настройки фильтрации и правила и защитное средство переводится в режим обучения, для сбора эталонных моделей коммуникации с веб-приложением, идентификаторов и т.д.

После этапа машинного обучения включается боевой режим, который оперирует как готовыми правилами фильтрации, так и наработками, собранными на этапе обучения для обнаружения и блокирования атак.

Эффективность применения Web Application Firewall складывается из нескольких факторов:

  • Простая интеграция в инфраструктуру;
  • Гибкая система адаптации с веб-приложением;
  • Блокирование угроз OWASP Top 10;
  • Анализ и блокирование аномалий протокола или данных;
  • Обнаружение и блокирование подделки идентификаторов сессий;
  • Обнаружение и блокирование подбора паролей;
  • Инспекция ответов сервера на наличие критичных данных;
  • Динамическое обновление сигнатур атак;
  • Низкое количество ложных срабатываний;
  • Самозащита WAF;
  • Удобный сервис информирования об атаках;
  • Статистика и регламентная отчетность.

Одним из источников, позволяющих выявлять новые сценарии и реализацию атак на веб-приложения, являются «Лаборатории тестирования на проникновение», имитирующие реальную инфраструктуру современных компаний. В лабораториях принимают участие около 9000 специалистов по информационной безопасности со всего мира, с разным уровнем подготовки, навыков и инструментария. Анализ атак, направленных на объекты лаборатории, позволяют составить модели нарушителя и реализации векторов атаки.

Эти данные тщательно анализируются и на их основе добавляются новые правила фильтрации. Таким образом наше решение способно обеспечить полноценную защиту сайта от различных видов и типов атак.

Nemesida WAF — это межсетевой экран прикладного уровня (Web Application Firewall), позволяющий эффективно защищать сайты от хакерских атак даже в случае наличия на сайте уязвимости «нулевого дня».

Особенности отражения DDoS атак и история атаки на один крупный банк

Раньше DDoS-атаки могли успешно отбиваться на стороне ЦОДа атакуемой компании. Быстрые умные действия админа и хорошее фильтрующее железо гарантировали достаточную защиту от атак. Сегодня услуги ботнетов стремительно дешевеют, и DDoS становится доступен чуть ли не в малом бизнесе.

Около половины атак идут на интернет-магазины или коммерческие сайты компаний в духе «завалить конкурента», почти всегда атакуют сайты СМИ, особенно после «горячих» публикаций, намного чаще, чем кажется, бьют по госсервисам. В России главные цели – банки, розница, СМИ и тендерные площадки. Один из крупных российских банков, например, периодически блокирует трафик из Китая – атаки оттуда приходят с завидной регулярностью, одна из последних была больше 100 Гб/с.

Соответственно, когда атака переваливает, скажем, за 10 Гб/с, отражать её на своей стороне становится проблематично из-за банального забивания канала. Именно в этот момент нужно делать переключение на центр очистки данных, чтобы весь «плохой» трафик отсеивался ещё где-то около магистральных каналов, а не шёл к вам. Сейчас расскажу, как это работает у одного из наших вендоров защитных средств – Arbor, мониторящего около 90 Тбит/сек (45% мирового трафика Интернета).

Сценарий атаки

Сначала злоумышленник выбирает цели внутри инфраструктуры. Большая часть «глупых» атак идёт на HTTP, очень много атак на DNS, но основные «умные» атаки обычно направлены на заранее разведанные узлы внутри инфраструктуры цели. Нередко DDoS ставит целью не только и не столько отказ сервисов, сколько возможность пронести «под общий шум» через DMZ более серьёзную угрозу. Это нередко достигается с помощью «перегрузки» систем периметровой защиты, таких как межсетевые экраны, IPS/IDS и им подобных, основанных на отслеживании сессий (stateful inspection). Поэтому коллеги считают, что если у устройства есть таблица состояний (session table) – его следует рассматривать как часть инфраструктуры, нуждающейся в защите.

Основные точки атак:

Схема отражения атаки реализуется следующим образом:

  1. На стороне защищаемой компании стоит устройство, «закрывающее» сеть. Как только начинается атака, устройство должно опознать её как аномалию, используя одну из механик, например, встроенные противомеры, ненормальное поведение источника трафика либо соответствие известному профилю атаки (сигнатуре из базы).
  2. Если устройство справляется с атакой, работа продолжается в относительно штатном режиме: легитимный трафик пропускается, нелегитимный – режется. Есть несколько «уровней тревоги», отличающихся степенью сложности атаки и возможными потерями легитимного трафика.
  3. Если канал связи начинает забиваться, то выполняется автоматическое перенаправление трафика с помощью штатного протокола Cloud Signalling. Сначала всё приходит на площадку крупного провайдера (это может быть Ростелеком, Orange, Транстелеком, Акадо), где данные чистятся оборудованием Peakflow SP. Уже очищенный трафик идёт на конечного клиента. При этом клиент обладает пониманием всего происходящего – может оперативно зайти в личный кабинет оператора связи и посмотреть текущий статус очистки, какие работают противомеры, какова эффективность подавления атак и так далее. Клиентское устройство также показывает эффективность происходящей в данный момент очистки и список заблокированных хостов. С обоих устройств при желании можно легко снять дамп трафика в формате pcap для последующего «разбора полетов».

Реальность, о которой не принято говорить

1. Потери легитимного трафика.
Борьба с DDOS атакой — это отбрасывание нелегитимных пакетов и пропуск легитимного трафика, между которыми порой проходит очень тонкая грань. Многие вендоры в своих проспектах любят писать, что эти потери близки к нулю. В моей практике они вполне могут доходить до 2% — это значит, что теоретически тот же директор, уехавший в командировку, не сможет попасть в корпоративную сеть из отеля или с конференции. Здесь очень важно, чтобы система поддерживала возможность разрешить конкретные соединения или протоколы «на лету». У ряда вендоров с момента начала атаки настройки, фактически, чуть ли хардкодятся в прошивку железа, и менять их крайне проблематично. У Арбора с этим всё обстоит совершенно иначе. Во-первых, для управления уровнем false-positive есть три «режима тревоги» — от «руби всё, что точно не наше» до «есть возможность покопаться детальнее». Во-вторых, есть удобный поиск по заблокированным хостам и возможность отменить блокировку трафика для конкретного хоста, протокола или страны в один клик. Отметим, что реальность наличия false positive при борьбе с DDoS признают все заметные игроки рынка. Александр Лямин (Qrator) однажды отметил: «любой, кто скажет, что false positive у него ноль, — шарлатан».

2. Возможность использования забитого канала связи для сигнализации об атаке.

Как же клиент запросит провайдера об атаке, если канал между ними забит из-за DDoS? Строго говоря, даже при близкой к 100% утилизации канала связи в направлении от провайдера к клиенту есть очень большой шанс, что запрос на очистку данных дойдет до провайдера. Для этого Cloud Signaling работает поверх UDP, а кроме того, протокол не требует получения ответа от провайдера. Таким образом, достаточно иметь хотя бы немного ёмкости в направлении от клиента к оператору. Для перестраховки рекомендуется организовать отдельный канал для обмена сообщениями Cloud Signaling. Тем не менее, обычно создаётся резервный канал, плюс тревога идёт при пороге около 70-80% канала.

3. Время переключения на центр очистки данных.

Задержка перенаправления трафика на центр очистки провайдера услуг защиты от DDoS атак может занять единицы и даже десятки минут. В основном, это связано с механизмом перенаправления — на основе записей DNS или анонсов BGP, а также с тем фактом, осуществляется ли принятие решения о перенаправлении в ручном или автоматическом режиме. В любом случае, если подавление атаки осуществляется в «облаке», то избежать задержки не удастся. Как минимум, она составляет несколько минут. Поэтому мы придерживаемся концепции многоуровневой защиты, когда большие атаки на каналы связи подавляются оператором, а медленные, малозаметные атаки уровня приложений – оборудованием, установленным у заказчика.

4. Использование SSL-сертификатов.

Анализировать трафик SSL/TLS на предмет атак уровня приложений достаточно проблематично — нужно расшифровывать каждый пакет. Здесь вы оказываетесь перед непростой дилеммой: или делиться своими сертификатами с провайдером услуг, или принимать риск того, что атака на уровне HTTPS может быть пропущена. Вендоры пробуют находить решения без вскрытия пакетов (что получается не всегда хорошо), либо используют специальный модуль дешифрации SSL/TLS трафика, встроенный в клиентское устройство:

В этом случае ваши сертификаты загружаются в устройство, находящееся под вашим же контролем, а задержки на дополнительную обработку пакетов составляют миллисекунды.

5. Ручное формирование сигнатур.

Большинство сигнатур формируется производителями решений по защите от DDoS-атак. Однако периодически возникают ситуации, когда ресурсы подвергаются новым типам атак.

В зависимости от вендора есть два возможных сценария действий в такой ситуации: либо запросить у производителя новую сигнатуру, либо создать сигнатуру самим. В первом случае, вам скорее всего придется доплатить за услугу, а также значительное время оставаться под атакой ожидая решения проблемы.

Во втором случае работает принцип «спасение утопающих – дело рук самих утопающих», ну или их партнёров. Здесь критически важным становится функционал оборудования, позволяющий быстро определить, перехватить и проанализировать зловредный трафик. А возможность автоматически сформировать сигнатуру на основе полученной информации становится спасением в критической ситуации. К примеру, возможность зайти в захват пакетов, выделить нужную битовую последовательность (bit pattern), и в пару кликов сделать сигнатуру, блокирующую такую последовательность.

Преимущество масштаба

У Arbor есть очень интересная «фишка», которая позволяет им очень эффективно использовать свою рыночную долю. Дело в том, что их оборудование стоит у всех TIER-I операторов связи и провайдеров и у большинства TIER-II операторов.

Позиция Arbor на рынке оборудования защиты от DDoS в сегментах Carrier, Enterprise, Mobile – 65% всего рынка — первая (Infonetics Research за декабрь 2013).

Через систему ATLAS проходит информация около 90 Тб/с. Как только где-то появляются признаки атаки, устройства начинают передавать по собственной сети связи данные о происходящем, и информация быстро распространяется по всему миру. К примеру, если «валят» мелкого провайдера, его железо сигналит по специальному протоколу уровнем выше. Если вышестоящий оператор имеет договоренность с нижестоящим, то сигнатура принимается и распространяется на все подсети крупного провайдера.


Сенсоры (honeypots) системы ATLAS расположены на основных узлах глобальной сети Интернет для обнаружения и классификации атак, активности бот сетей и различного зловредного софта. Информация отправляется в ЦОД ATLAS, где объединяется с данными полученными от инсталляция Arbor Peakflow и другими данными. Система анализирует в автоматическом режиме сотни тысяч элементов кода, и позволяет команде инженеров оперативно обновлять сигнатуры для клиентов компании по всеми миру.

Особенности подключения

Стоит сказать ещё пару слов про железо, которое ставится непосредственно к вам в ЦОД или на площадку. С ним тоже связано много реалий, о которых не всегда говорят.

1. Настройка и конфигурирование.

Как правило, устройству нужно время на профилирование трафика и оценку поведения сети. Но некоторые устройства поставляются в «боевом» режиме для работы с первой секунды после подключения – там уже есть готовые шаблоны, плюс устройство получает данные из «облака» своего вендора. С одной стороны, это хорошо в плане отражения идущей атаки, с другой – если вы привыкли тонко настраивать всё в своей инфраструктуре, здесь придётся частично положиться на опыт вендора.

2. Само защитное железо может стать точкой отказа.

Поэтому, во-первых, на серьёзных объектах оно дублируется или несколько устройств собираются в кластер (соответственно, нужны управляющие устройства). А во-вторых, такие устройства имеют аппаратные байпассы, позволяющие переключить интерфейсы на физическом уровне трафик напрямую в случае различных аварийных ситуаций – отключения питания, отказа программного обеспечения и так далее…

3.Защитное железо может стать и целью атаки.

Особенно, если оно является устройством с таблицей состояний (session table), например объединяет функционал защиты от DDOS, IPS, межсетевой экран, и т.д.). Каждый раз, когда на таких устройствах открывается новая сессия, устройство выделяет память для отслеживания сессии, заполняет лог и так далее – и чем умнее устройство, тем больше работы происходит. Много сессий – большая утилизация CPU и памяти. Поэтому, выбирая решение, стоит уделить внимание и этому аспекту.

4. Обычно в сети довольно много мусорного трафика, а в случае крупных организаций – ещё и регулярно бывают пики активности, которые могут сойти за «глупый» DDoS.

Понятно, что всё отпрофилируется по географии, по времени использования сервисов и так далее, но на первом этапе важно получить понимание, что включение устройства в сеть не убьёт сервисы. Для этого используется зеркальный режим подключения: устройство ставится в сеть на байпасе и получает зеркальный трафик, показывая, что бы оно отклонило, а что бы пропустило. Это позволяет делать оценку до возникновения проблем. Я знаю заказчиков, где DDoS-защита стоит именно в таком режиме достаточно долго. Арбор считает, что построение baseline – это только один из методов борьбы с DDoS, но гораздо лучше использование специализированных противомер. То же самое коллеги говорят и о сигнатурах – насколько велика не была бы сеть сенсоров и сколько бы трафика в ней не анализировалось, полагаться только на сигнатуры нельзя. Сложные угрозы требуют сочетания разных механизмов защиты.

5. На уровне обмена трафиком между провайдерами иногда случается достаточно неприятная ситуация, когда подсеть передаёт сигнатуру атаки, а вышестоящий провайдер говорит: «Дааа, интересно, но мы у себя чистить не будем».

Принцип очень простой – пока канал справляется, весь DDoS-трафик билингуется. Не всегда вышестоящему провайдеру интересно тратиться и чистить его, когда можно просто отгрузить ниже, да ещё и за деньги потерпевшего. Такие ситуации неприятны для сервис провайдеров, однако никак не сказываются на пользователях услуг защиты от DDoS, поскольку операторы выполняют свои обязательства в полном объеме.

Отчёты

Одна из важных вещей – быстрое понимание того, что происходит. Давайте посмотрим на отчёты на примере двух атак на крупный российский банк. Почувствуйте, как у админов добавилось седых волос в комиксе ниже.

Атака ёмкостью порядка 50 Гбит/сек

Эта атака началась с DNS-amplification. Трафик, зафиксированный на Arbor Peakflow TMS сервис провайдера: до 7.15 Гбит/с., 1.1 Мпакетов/с. С учетом фильтрации большей части атаки на FlowSpec суммарный трафик атаки оценен в 50 Гбит/с. Атака была продолжена HTTP-флудом.

Зафиксировав аномальный рост трафика, клиентское устройство автоматически запросило помощь от сервис провайдера в подавлении атаки.

Система защиты установленная у оператора, передавала информацию о ходе подавления атаки на Pravail APS в режиме реального времени.

Когда DNS-amplification атака сошла на нет, появилось большое количество HTTP-флуда.

Кроме HTTP-флуда также присутствовал и TCP SYN флуд.

В результате, большая часть DNS-amplification атаки была успешно подавлена с помощью Flowspec, остальная ее часть была подавлена средствами системы защиты, а HTTP и TCP SYN флуд был сброшен на Pravail APS.

Атака ёмкостью порядка 125 Гбит/сек

Несколько минут в начале — HTTP-флуд. Виден всплеск числа иностранных хостов (красный график). Около 1000 хостов на домен «Крупного Российского Банка». Основные страны: США (672), Германия (141), Великобритания (82), Италия (30), Нидерланды (24), Франция (14).

Следующий сюрприз — NTP-amplification — до 125 Гбит/с.

После неудавшегося NTP amplification — SYN-флуд с подменными IP – до 300 Мбит/с

Резюме

Атаки идут постоянно, и если вы ещё с этим не сталкивались – это всего лишь вопрос времени. Для иллюстрации, вот несколько событий в РФ:

Если у вас есть вопросы — с удовольствием отвечу здесь или на почте [email protected] Наше подразделение может предложить и различные решения, если вам потребуется иной вендор.

А ещё завтра, 21 октября, мы проводим вебинар на тему защиты от DDoS. Приходите, расскажем, что у нас в России сейчас происходит на этом фронте.

10 атак на веб-приложения в действии / ua-hosting.company corporate blog / Habr

В настоящее время практически все разработанные и разрабатываемые приложения стремятся стать как можно более доступными для пользователя в сети интернет. В сети размещаются различные приложения для более продуктивной работы и отдыха, такие как Google Docs, калькуляторы, электронные почты, облачные хранилища, карты, погода, новости и т.д… В общем все, что нужно для повседневной жизни. Наши смартфоны практически бесполезны без доступа к интернету, так как почти все мобильные приложения подключаются к облаку, сохраняя там наши фотографии, логины и пароли. Даже большинство домашних устройств постоянно подключено к сети.

Прикладной уровень является самой надежной защитой. Уязвимости, с которыми мы тут встретимся, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью систем обнаружения вторжений. Этот уровень — самый доступный извне. Для нормального функционирования приложения должен быть доступ через порт 80 (HTTP) или порт 443 (HTTPS).


В схеме ниже веб-приложение полностью доступно извне, несмотря на брандмауэры и системы предотвращения вторжений:

В 2014 году SQL инъекции были ответственны за 8,1 процента всех подобных атак. Это делает его третьим самым используемым типом атаки, сразу после малваре и DDoS атак. Также можно взглянуть на список других атак общего применения, таких как неверная конфигурация безопасности, использования компонентов с уже известными уязвимостями и межсайтовым скриптингом (XSS). Квалифицированный атакующий может легко найти эти уязвимости и использовать их без риска быть обнаруженным.

Большинство уязвимостей были обнаружены в собственном коде веб-приложений, их называют уязвимостями нулевого дня. Это все потому, что уязвимости являются специфическими для каждого приложения и никогда не были известны ранее. Лучшая защита против этих атак — создание безопасных приложений. Разработчики должны быть осведомлены о том, как те или иные атаки работают, чтобы создавать защиту непосредственно в своих приложениях.

Обучение и информирование разработчиков об уязвимостях приложений является основной целью проекта Open Web Application Security Project (OWASP). Организация публикует списки десяти самых распространенных атак для веб-приложений. Данный список обновляется каждые три года и последний раз обновлялся в 2013 году.

Команда IBM X-Force Ethical Hacking использовала данные отчеты, чтобы создать подборку из десяти видео, которые демонстрируют ряд атак для каждой категории из списка OWASP. Каждое видео включает информацию о том, как предотвратить эти атаки и как использовать автоматизированные инструменты для тестирования подверженности приложения к каждому виду атак. Данные видео были изначально предназначены для внутреннего использования, но потом компания решила предоставить их в свободном доступе в сети Интернет.

Мы уже достаточно наговорились ни о чем, давайте же перейдем к самим видео файлам.

10. Непроверенный переход и редирект

Эта категория уязвимостей используется в фишинговых атаках, в которых жертв обманом перенаправляют на вредоносный сайт. Злоумышленники могут манипулировать URL-ми реального сайта, чтобы перенаправить пользователя на нужную им страницу. Вы можете увидеть как Джонатан Фитц-Джеральд (Jonathan Fitz-Gerald) демонстрирует эту атаку на видео, ниже:

9. Использования компонентов с уже известными уязвимостями

Эта категория включает в себя различные приложения, которые продолжают использовать компоненты даже после обнаружения уязвимости в них. Злоумышленники с легкостью могут использовать уязвимости устаревших компонентов на приложения, которые их используют, так как эти уязвимости были уже давно доказаны и опубликованы. Любой скрипт-кидди можете произвести такой взлом.

8. Межсайтовая подделка запроса

Этот тип атаки используется в сочетании с социальными проектами. На видео ниже, Бреннан Brazeau (Brennan Brazeau) демонстрирует, как злоумышленник может украсть деньги из банковского счета жертвы путем использования социальных медиа — и фотографии котиков:

7. Отсутствие функции контроля уровня доступа

В данном случаи описывается ситуация, в которой функциональность более высокого уровня скрыта от более низкого или незарегистрированного пользователя вместо того, чтобы производить изменения через контроль доступов. Джон Заккато демонстрирует атаку, в которой пользователь более низкого уровня получает доступ к интерфейсу администрирования веб-приложения:

6. Чувствительная экспозиция данных

Тут отсутствует шифрования данных во время перемещения и в состоянии покоя. Если веб-приложения, которые вы используете не правильно защитят конфиденциальные данные, такие как кредитные карты или данные аутентификации, злоумышленники могут украсть или изменить данные.

5. Неправильная настройка безопасности

В данном видео будет исследована другая чрезвычайно опасная категория дефектов, которая связана с неправильной, неверной конфигурацией сервера или самого приложения.

4. Незащищенные прямые ссылки на объект

В этом видео Фитц-Джеральд продемонстрирует атаку незащищенной прямой ссылки на объект, что позволяет злоумышленникам получить данные с сервера, манипулируя именами файлов. Вы увидите, как он терпеливо загружает файл, пока не получит всю базу данных.

3. Межсайтовый скриптинг

Межсайтовый скриптинг тип уязвимости, позволяющий злоумышленникам вставить JavaScript на страницах реальных сайтов. Поступая таким образом, они могут полностью изменить содержимое сайта, чтобы получить возможность отправить учетные данные пользователя на любой другой сервере. Уоррен Мойнихан (Warren Moynihan) продемонстрирует нам как это может быть достигнуто, ниже:

2. Повреждение аутентификации и управление сеансами

Brazeau обсуждает недостатки программирования, которые позволяют злоумышленникам обойти методы проверки подлинности, которые используются приложением:

1. Инъекции

Инъекции позволяют атакующим изменить запрос бэкэнда команды через несанкционированный ввод данных пользователем. Мойнихан продемонстрирует несколько примеров SQL-инъекций и, самое главное, покажет как получить всю таблицу пользователя, включая пароли.

На этом все. Спасибо за ваше внимание.

Защита от сетевых атак

Защита от сетевых атак

Kaspersky Internet Security защищает ваш компьютер от сетевых атак.

Сетевая атака – это вторжение в операционную систему удаленного компьютера. Злоумышленники предпринимают сетевые атаки, чтобы захватить управление над операционной системой, привести ее к отказу в обслуживании или получить доступ к защищенной информации.

Сетевыми атаками называют вредоносные действия, которые выполняют сами злоумышленники (такие как сканирование портов, подбор паролей), а также действия, которые выполняют вредоносные программы, установленные на атакованном компьютере (такие как передача защищенной информации злоумышленнику). К вредоносным программам, участвующим в сетевых атаках, относят некоторые троянские программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.

Сетевые атаки можно условно разделить на следующие типы:

  • Сканирование портов. Этот вид сетевых атак обычно является подготовительным этапом более опасной сетевой атаки. Злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет степень уязвимости атакуемого компьютера перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на атакуемом компьютере и выбрать подходящие для нее сетевые атаки.
  • DoS-атаки, или сетевые атаки, вызывающие отказ в обслуживании. Это сетевые атаки, в результате которых атакуемая операционная система становится нестабильной или полностью неработоспособной.

    Существуют следующие основные типы DoS-атак:

    • Отправка на удаленный компьютер специально сформированных сетевых пакетов, не ожидаемых этим компьютером, которые вызывают сбои в работе операционной системы или ее остановку.
    • Отправка на удаленный компьютер большого количества сетевых пакетов за короткий период времени. Все ресурсы атакуемого компьютера используются для обработки отправленных злоумышленником сетевых пакетов, из-за чего компьютер перестает выполнять свои функции.
  • Сетевые атаки-вторжения. Это сетевые атаки, целью которых является «захват» операционной системы атакуемого компьютера. Это самый опасный вид сетевых атак, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

    Этот вид сетевых атак применяется в случаях, когда злоумышленнику требуется получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли) либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя.

Включение/выключение Защиты от сетевых атак

  1. В строке меню нажмите на значок программы.
  2. В открывшемся меню выберите пункт Настройки.

    Откроется окно настройки программы.

  3. На закладке Защита в блоке Защита от сетевых атак снимите флажок Включить Защиту от сетевых атак.

Вы также можете включить Защиту от сетевых атак в Центре защиты. Отключение защиты компьютера или компонентов защиты значительно повышает риск заражения компьютера, поэтому информация об отключении защиты отображается в Центре защиты.

Важно: Если вы выключили Защиту от сетевых атак, то после перезапуска Kaspersky Internet Security или перезагрузки операционной системы она не включится автоматически и вам потребуется включить ее вручную.

При обнаружении опасной сетевой активности Kaspersky Internet Security автоматически добавляет IP-адрес атакующего компьютера в список заблокированных компьютеров, если этот компьютер не добавлен в список доверенных компьютеров.

Формирование списка заблокированных компьютеров

  1. В строке меню нажмите на значок программы.
  2. В открывшемся меню выберите пункт Настройки.

    Откроется окно настройки программы.

  3. На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак.
  4. Нажмите на кнопку Исключения.

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

  5. Откройте закладку Заблокированные компьютеры.
  6. Если вы уверены, что заблокированный компьютер не представляет угрозы, выберите его IP-адрес в списке и нажмите на кнопку Разблокировать.

    Откроется окно подтверждения.

  7. В окне подтверждения выполните одно из следующих действий:
    • Если вы хотите разблокировать компьютер, нажмите на кнопку Разблокировать.

      Kaspersky Internet Security разблокирует IP-адрес.

    • Если вы хотите, чтобы Kaspersky Internet Security никогда не блокировал выбранный IP-адрес, нажмите на кнопку Разблокировать и добавить к исключениям.

      Kaspersky Internet Security разблокирует IP-адрес и добавит его в список доверенных компьютеров.

  8. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Вы можете сформировать список доверенных компьютеров. Kaspersky Internet Security не блокирует IP-адреса этих компьютеров автоматически при обнаружении исходящей с них опасной сетевой активности.

Формирование списка доверенных компьютеров

  1. В строке меню нажмите на значок программы.
  2. В открывшемся меню выберите пункт Настройки.

    Откроется окно настройки программы.

  3. На закладке Защита в блоке Защита от сетевых атак установите флажок Включить Защиту от сетевых атак.
  4. Нажмите на кнопку Исключения.

    Откроется окно со списком доверенных компьютеров и списком заблокированных компьютеров.

  5. Откройте закладку Исключения.
  6. Отредактируйте список доверенных компьютеров:
    • Чтобы добавить IP-адрес в список доверенных компьютеров:
      1. Нажмите на кнопку .
      2. В появившемся поле введите IP-адрес компьютера, в безопасности которого вы уверены.
    • Чтобы удалить IP-адрес из списка доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите на кнопку .
    • Чтобы изменить IP-адрес в списке доверенных компьютеров:
      1. Выберите IP-адрес в списке.
      2. Нажмите на кнопку Изменить.
      3. Измените IP-адрес.
  7. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

При обнаружении сетевой атаки Kaspersky Internet Security сохраняет информацию о ней в отчете.

Просмотр отчета Защиты от сетевых атак

  1. Откройте меню Защита.
  2. Выберите пункт Отчеты.

    Откроется окно отчетов Kaspersky Internet Security.

  3. Откройте закладку Защита от сетевых атак.

Примечание: Если компонент Защита от сетевых атак завершил работу с ошибкой, вы можете просмотреть отчет и попробовать перезапустить компонент. Если вам не удается решить проблему, обратитесь в Службу технической поддержки.

Сводную статистику по Защите от сетевых атак (количество заблокированных компьютеров, количество зарегистрированных событий с момента последнего запуска компонента) вы можете просмотреть в Центре защиты, нажав на кнопку Подробнее в правой части главного окна программы.

В начало

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *