Możemy spodziewać się przede wszystkim ataków. Bezpieczeństwo: zagrożenia stare, kierunki ataków nowe

Transkrypt

1 22 Bezpieczeństwo: zagrożenia stare, kierunki ataków nowe Eksperci przewidują, że większość zagrożeń dla bezpieczeństwa danych i sieci firmowych występujących w ub.r. utrzymywać się będzie również w 2012 r. Natomiast pojawiać się będą nowe kierunki i cele ataków. Uwaga osób odpowiadających za bezpieczeństwo IT powinna koncentrować się na groźnych zjawiskach, takich jak: eksploity i botnety ukierunkowane na sprzęt i firmware konkretnych użytkowników lub organizacji, nasilenie ataków na systemy mobilne, ośrodki certyfikacji SSL i operacje walutą wirtualną, a także zagrożeniach wynikających z wdrażania protokołu IPv6 i środowisk wirtualnych. Aby stawić im czoło, konieczne będzie m.in. zastosowanie ochrony wielowarstwowej, zapewnianej przez zapory ogniowe nowej generacji. Możemy spodziewać się przede wszystkim ataków wymierzonych w zdefiniowane cele, zamiast masowych inwazji. W cyberatakach APT (Advanced Persistent Threats) nadal będą wykorzystywane: wirusy, robaki, konie trojańskie, spyware, adware i botnety jako narzędzia, których celem są konkretne osoby lub organizacje. Rozwiązania ochronne oparte na sygnaturach mogą okazać się niewystarczające w walce z takimi zagrożeniami, ponieważ botnety mogą się szybko adaptować i symulować normalne aplikacje oraz wzorce ruchu. Potrzebna będzie ochrona wielowarstwowa, np. w postaci zapór ogniowych nowej generacji. Firma Cisco przestrzega również przed wzrostem liczby ataków na przemysłowe systemy sterowania ICS (Industrial Control System) oraz systemy nadzorujące przebieg procesu technologicznego lub produkcyjnego SCADA (Supervisory Control And Data Acquisition). Wektory ataków 2012 W swoim corocznym raporcie na temat zagrożeń w 2012 r. firma McAfee przewiduje m.in.: pojawianie się eksploitów ukierunkowanych na sprzęt i firmware, nasilenie ataków na systemy mobilne i operacje walutą wirtualną. Inne prognozowane niepokojące zjawiska to: łączenie protestów haktywistów w sieci z fizycznymi protestami demonstrantów, w celu wzmocnienia siły nacisku politycznego, akty cyberwojenne (jeżeli nie rzeczywiste agresje, to demonstracje pokazujące ich siłę destrukcyjną) czy dalsze ataki na certyfikaty SSL (mające zmniejszać zaufanie do ośrodków certyfikacji). Zaawansowane prace nad specyfikacją Intela, dotyczącą zunifikowanego interfejsu firmware, zmuszają napastników do tworzenia nowych złośliwych kodów. Mogą oni wykorzystywać funkcje niskiego poziomu do kontrolowania botnetu, przenosząc swoje PARTNEREM TEMATU JEST FIRMA FORTINET

2 Bezpieczeństwo: zagrożenia funkcje kontrolne np. do procesora graficznego, BIOS-u lub głównego sektora rozruchowego (MBR). Kolejnym, rosnącym zagrożeniem są ataki na urządzenia mobilne, coraz częściej używane do przeprowadzania transakcji finansowych i stanowiące repozytorium cennych informacji. Złośliwe oprogramowanie na urządzenia mobilne nie powstaje jeszcze masowo, ale McAfee spodziewa się, że będzie go coraz więcej w tym roku. Takie ataki mogą być przeprowadzane przez botnety, a ich celem mogą być aplikacje umożliwiające korzystanie z zyskującej na popularności bankowości mobilnej. Wraz ze wzrostem liczby tego typu rozwiązań, należy spodziewać się coraz liczniejszych ataków na aplikacje służące do komunikacji z bankiem. Firma Check Point zwraca uwagę na inny problem tzw. konsumeryzacji IT. Rosnąca liczba prywatnych urządzeń przenośnych przyłączanych do sieci korporacyjnej stwarza zagrożenia wycieku danych, a także trudności w zarządzaniu bezpieczeństwem. Gwałtowny wzrost popularności smartfonów, tabletów i innych urządzeń spowodował, że Android stał się atrakcyjny dla cyberprzestępców głównie z powodu powszechnie dostępnej dokumentacji tej platformy oraz mało skutecznej kontroli Android Market, ułatwiającej cyberprzestępcom umieszczanie szkodliwych programów. Coraz częstszym celem ataków stają się także operacje dokonywane walutą wirtualną (cyberwalutą). Usługi tego typu, takie jak Bitcoin, pozwalają na zawieranie transakcji przez zdecentralizowaną sieć peer-to-peer, umożliwiającą bezpośrednią płatność wirtualnym pieniądzem. Wirtualna portmonetka nie jest szyfrowana, a transakcje są publiczne, co czyni z nich idealny cel dla trojanów. Specjaliści McAfee przewidują, że będą powstawać nielegalne struktury podobne do wyrastających wokół botnetów mające na celu usprawnianie kradzieży wirtualnych monet. W 2012 r. można spodziewać się rozwoju przestępczej działalności z tym związanej: rozsyłanie spamu, kradzież danych, narzędzia, sieci wspierające i inne usługi przeznaczone wyłącznie do kradzieży wirtualnych pieniędzy. Wciąż groźne pozostają botnety jedno z największych zagrożeń dla bezpieczeństwa sieci, ponieważ są wykorzystywane przez cyberprzestępców do przejmowania kontroli nad komputerami i zdobywania nieautoryzowanego dostępu do zasobów sieciowych, inicjowania ataków DoS oraz do rozpowszechniania spamu. Wciąż groźne pozostają botnety jedno z największych zagrożeń dla bezpieczeństwa sieci, ponieważ są wykorzystywane przez cyberprzestępców do przejmowania kontroli nad komputerami i zdobywania nieautoryzowanego dostępu do zasobów sieciowych, inicjowania ataków DoS oraz do rozpowszechniania spamu. Według prognoz Check Point, botnety będą się rozwijać, wykorzystując socjotechnikę, ataki zero-day, jak również szybkie upowszechnianie urządzeń przenośnych i portali społecznościowych. Te ostatnie mogą być używane w charakterze centrów command and control, skąd wysyłane będą polecenia do programu zainstalowanego w sieci ofiary. Portale społecznościowe ułatwiają uzyskiwanie informacji na temat życia prywatnego i zawodowego konkretnych osób, które następnie są wykorzystywane w atakach APT. Historia botnetów Sub7 Pretty Park GTBot Kaiten SDBot Agobot Sinit Polybot Spybot Bagle Rbot Bobax SQLSlammer Mytbot Rustock ZeuS Storm Cutwail Srizbi Kraken Lethic Mega-D Conficker TDL Mariposa Arto Waldec Grum BredoLab TDL3 TDL4 SpyEye 1StreetTroup BitcoinMiner CheapZeus ród³o: Check Point

3 24 IPv6: zagrożenia na etapie przejściowym Pula adresów IPv4 lada moment się wyczerpie, a odwlekanie implementacji IPv6 jest dosyć powszechne. Nie da się jednak uciec od problemów bezpieczeństwa IPv6. Planowanie wdrożenia IPv6 w konfiguracji podwójnego stosu z IPv4 nie uwalnia od zagrożeń związanych z IPv6 nie wystarczy po prostu wyłączyć IPv6. Największe zagrożenie dla bezpieczeństwa wiąże się z tym, że w sieciach wielu przedsiębiorstw pracuje już sporo urządzeń obsługujących IPv6. Jest to przede wszystkim sprzęt, na którym pracują: Windows Vista i Windows 7, Mac OS/X, a także Linux czy BSD. Wprowadzenie automatycznego mechanizmu konfigurowania w IPv6 oznacza, że urządzenia obsługujące IPv6 tylko czekają na ogłoszenia jakiegoś routera, aby ujawnić się w sieci. Bezstanowy automat konfiguracji pozwala dowolnemu urządzeniu IPv6 na komunikowanie się z innymi urządzeniami i usługami IPv6 w tej samej sieci LAN. W tym celu urządzenie ogłasza swoją obecność w sieci i jest lokalizowane za pośrednictwem protokołu IPv6 NDP (Neighbour Discovery Protocol). Jednak NDP pozostawiony bez nadzoru może wystawiać urządzenie napastnikom zainteresowanym systematycznym zbieraniem informacji o tym, co dzieje się w sieci, czy nawet ułatwiać im przejęcie takiego urządzenia i przekształcenie go w zombie. Malware IPv6 mogą przybierać formy złośliwych ładunków kapsułkowanych w komunikatach IPv4. Bez specyficznych środków bezpieczeństwa, takich jak dogłębna inspekcja pakietów, ten typ ładunku może przechodzić niewykryty przez brzeg sieci IPv4 i strefę zdemilitaryzowaną (DMZ). Niektóre z zagrożeń bezpieczeństwa związanych z IPv6 są tworzone przypadkowo przez niewłaściwie skonfigurowane urządzenia użytkowników końcowych. Właściwe konfigurowanie i środki bezpieczeństwa IPv6 powinny wyeliminować wiele z tych zagrożeń. Prawidłowe podejście do tych problemów, to Wielu administratorów sieci niechętnie patrzy na szybkie wdrażanie IPv6, jednak wobec rosnących zagrożeń i perspektywy utraty komunikacji z klientami, którzy już przeszli na nowym system, postawa wyczekująca i brak jakichkolwiek działań w tej sprawie mogą nie pozostać neutralne dla biznesu. wdrożenie IPv6 w trybie natywnym oraz ochrona ruchu IPv6 na takim samym poziomie i przed tego samego rodzaju zagrożeniami, jak dla ruchu IPv4. Eksperci uważają również, że próba wyłączania IPv6 to strategia obniżająca poziom bezpieczeństwa urządzenia z obsługą IPv6 i tak będą ujawniać swą obecność w sieci, niezależnie od tego, czy dział IT tego chce, czy nie. W dłuższej perspektywie IPSec zwiększy bezpieczeństwo internetu, ponieważ każdy punkt końcowy będzie miał dostępną Największe źródła zagrożeń w opinii użytkowników Ataki sponsorowane przez pañstwo Cyberprzestêpcy Haktywizm Szpiegostwo przemys³owe Napastnik wewnêtrzny Ataki ukierunkowane Wysoko postawiony napastnik wewnêtrzny Haker % 10% 20% 30% 40% 50% 49 60% ród³o: Symantec

4 Bezpieczeństwo: zagrożenia możliwość szyfrowania. Na początek jednak można się spodziewać wielu błędów w kodzie, a ponadto jeszcze niewielu specjalistów ma gruntowną wiedzę i doświadczenie w zabezpieczaniu sieci IPv6. Dlatego też grupa robocza IETF rozważa zmianę zapisu dotyczącego wsparcia IPSec w implementacji IPv6 z wymagane na rekomendowane. Rosnąca liczba wdrożeń IPv6 wynika również z konieczności dostosowania biznesu do zmieniającego się otoczenia sieciowego. Niektóre banki i inne instytucje finansowe doświadczyły już kłopotów związanych z utratą komunikacji z klientami, których sieci nie obsługują już IPv4. Jest to generalnie problem tempa wdrażania IPv6 w obliczu nieuchronnego wyczerpania puli wolnych adresów IP. Wielu administratorów sieci niechętnie patrzy na szybkie wdrażanie IPv6, jednak wobec rosnących zagrożeń i perspektywy utraty komunikacji z klientami, którzy już przeszli na nowym system, postawa wyczekująca i brak jakichkolwiek działań w tej sprawie mogą nie pozostać neutralne dla biznesu. Ochrona maszyn wirtualnych backup do modernizacji Szybkie tempo rozwoju rynku systemów backup przewiduje firma Symantec. Zmianie ma też ulec model operacyjny backupu. Zmianie ma też ulec model operacyjny backupu. Wymusza ją konieczność ochrony maszyn wirtualnych i usprawnienia odtwarzania danych. Wymusza ją konieczność ochrony maszyn wirtualnych i usprawnienia odtwarzania danych. W 2011 r. zaobserwowano trend polegający na tym, że organizacje używają kopii migawkowych lub trybu failover zamiast prawdziwych kopii zapasowych albo backupu zamiast archiwizacji. Ponadto, organizacje często używają różnych narzędzi do tworzenia kopii awaryjnych poszczególnych platform, co tworzy środowisko o dużym stopniu złożoności, trudne do utrzymania. W rezultacie zdaniem ekspertów Symanteca potrzebny jest wyższy poziom centralizacji składowania i odzyskiwania danych, zwłaszcza jeżeli organizacja zamierza przenieść się do chmury i wirtualizować swoją infrastrukturę. Mariusz Rzepka, Fortinet, dyrektor regionalny Polska, Białoruś, Ukraina W roku 2011 zaobserwowaliśmy wiele przełomowych wydarzeń w świecie bezpieczeństwa sieciowego. Rok 2012 zapowiada się jeszcze bardziej niepokojąco. Nasi analitycy laboratoriów FortiGuard zauważyli 8 trendów związanych z bezpieczeństwem sieci, które mogą pojawić się w nadchodzącym roku. Przewidywany jest wzrost liczby złośliwego oprogramowania na urządzenia mobilne, będzie ono bardziej zróżnicowane i złożone. Instytucje do walki z przestępczością internetową zwiększą represje za operacje prania brudnych pieniędzy w sieci. Przewidujemy również dalsze zacieśnienie globalnej współpracy między instytucjami publicznymi i firmami z wielu krajów świata w walce mającej na celu wyeliminowanie botnetów. W taki sposób zniszczone zostały botnety Rustock i DNS Changer. W wyniku międzynarodowej współpracy zlikwidowano także potężne ognisko rozprzestrzeniania się scareware. Aresztowano wielu członków międzynarodowych grup hakerskich. Wydaje się prawdopodobne, że w 2012 r. podobne związki będą tworzone na całym świecie. Odkryte zostaną także kolejne luki w systemach SCADA, czyli nadzorujących przebieg procesów technologicznych lub produkcyjnych. Jeszcze bardziej niepokojąca jest migracja systemów SCADA do usług w chmurze. Pozwoli to na przechowywanie danych oraz sterowanie systemami o krytycznym znaczeniu na publicznych serwerach. Z tym związane jest zwiększone ryzyko zagrożenia. Na 2012 FortiGuard przewiduje odkrycie i wykorzystywanie luk w systemach SCADA. Konsekwencje mogą być katastrofalne. Wzrośnie też liczba ataków sponsorowanych. Cyberprzestępcy będą zatrudniani do przeprowadzania bardziej strategicznych i ukierunkowanych ataków na firmy i osoby prywatne. Niestety tego typu przestępstwa są trudne do monitorowania, ponieważ wiele z wykrytych przypadków jest rozstrzyganych na drodze pozasądowej, a wyroki nie są dopuszczane do publicznej wiadomości. Z pewnością powstanie też więcej grup, działających podobnie do słynnych Anonimowych. W roku 2012 można spodziewać się więcej aktów sprawiedliwości wymierzanych przez haktywistów.

5 26 W centrach danych, gdzie wdrożono oddzielne strategie deduplikacji, zarządzania migawkami, kopiami taśmowymi i dyskowymi oraz kopiami zapasowymi VMware i Hyper-V, będzie się dążyć do upraszczania procesu tworzenia kopii awaryjnych. Konieczne będzie więc stosowanie nadrzędnej platformy odtwarzania Aby zamienić istniejący system uwierzytelniania SSL, konieczne będzie utworzenie światowej sieci serwerów notariuszy, podobnej do sieci serwerów DNS, a trzeba pamiętać, że SSL jest szeroko używany i potrzebne tu jest również współdziałanie dostawców przeglądarek. i dostawcy będą musieli ponownie scentralizować technologie, aby ograniczyć złożoność tych procesów. W 2012 r. z powodu ogromnego przyrostu danych zacznie się zmieniać polityka bezterminowego przechowywania kopii zapasowych. Pojawią się też nowe technologie, które pomogą w wyeliminowaniu zbędnych informacji. Ochrona wielowarstwowa zadanie dla firewalli nowej generacji W obliczu stałych zagrożeń znaczenia nabiera ochrona wielowarstwowa. Tradycyjne zapory ogniowe, opierające swoje działanie głównie na blokadach portów, powoli wypierane są przez nową generację tych urządzeń zapory aplikacyjne. Te ostatnie określane skrótem NGFW (next-generation firewall) wymagają zupełnie innego sposobu myślenia o zadaniach ochronnych firewalli. NGFW to zapory ogniowe dla przedsiębiorstw efektywnie realizujące funkcje zapobiegania włamaniom w odniesieniu do ruchu, jak również nadzorujące przechodzący przez zaporę ruch aplikacyjny, w celu egzekwowania reguł polityki określających dopuszczalne korzystanie z aplikacji (na podstawie tożsamości użytkownika). Zapora taka ma też mieć możliwość wykorzystywania takich informacji, jak analiza reputacji internetowej (aby wspomagać filtrowanie malware), lub integracji z Active Directory. Główną cechą zapór nowej generacji jest zorientowanie na aplikacje, umożliwiające przedsiębiorstwom wymuszanie na pracownikach stosowanie się do reguł polityki użytkowania aplikacji, opartych na tożsamości. NGFW mogą oferować również: funkcjonalność VPN, możliwość wykonywania analizy ruchu pod kątem zapobiegania włamaniom, a także wykorzystywanie techniki filtrowania według reputacji i integrowania się z usługami katalogowymi w zakresie zarządzania tożsamością i politykami. Taka definicja została zaproponowana przez Gartnera i dostawców tego typu rozwiązań, którzy zaczęli terminem NGFW określać swoje produkty. Za pierwszego dostawcę, który zawarł funkcjonalność NGFW w swoich produktach, uważa się młodą firmę Palo Alto Networks, która w roku 2007 udostępniła linię urządzeń mających cechy NGFW. Inni dostawcy, m.in. Fortinet, Cisco, Check Point, McAfee, rozszerzyli funkcjonalność swoich produktów w tym kierunku. Również firmy specjalizujące się w IPS (np. Sourcefire) zapowiadają na ten rok aplikacyjne zapory ogniowe. Jednak użycie tych zaawansowanych zapór jest na razie niewielkie. Chociaż termin NGFW jest używany co najmniej od czterech lat, to według danych Gartnera, ich rzeczywiste wykorzystanie jest wciąż poniżej 1%. Jednocześnie ci sami analitycy przewidują, że w roku 2014 ich użycie wzrośnie aż do 35%, a w niedługim okresie NGFW powinna stać się zaporą podstawową. Jednym z czynników zwiększających zainteresowanie NGFW jest potrzeba dokładniejszego przyglądania się działaniom w sieci i konsumpcji pasma. Za pośrednictwem NGFW przedsiębiorstwa mogą utrzymywać lepszą kontrolę aplikacji, związaną z zapotrzebowaniem na pasmo i nadawaniem priorytetów dla określonego ruchu aplikacyjnego. Ponadto niektóre NGFW mogą RING NGFW kontra UTM Nie ma jeszcze pełnej jasności, czym właściwie jest firewall następnej generacji? Gartner, lansując własną definicję, zauważa, że niektórzy dostawcy oferują kontrolę aplikacji, a inni tylko bardziej zaawansowane IPS. Wielu dostawców zapór dla przedsiębiorstw jest jeszcze na wczesnym etapie dochodzenia do pełnego modelu NGFW (next-generation firewall). Zamieszanie wprowadza też określenie Unified Threat Management (UTM) analitycy firmy badawczej IDC uważają, że zintegrowane urządzenie ochrony typu UTM ma z grubsza tę samą rolę co NGFW. Jednak według Gartnera, termin UTM powinien być stosowany do rozwiązań bezpieczeństwa używanych w małym lub średnim biznesie, podczas gdy NGFW jest skierowana do dużych przedsiębiorstw (za takie firma uważa organizacje zatrudniające powyżej tysiąca pracowników).

6 Bezpieczeństwo: zagrożenia działać podobnie jak narzędzia DLP (data-loss prevention), blokując wycieki na podstawie słów kluczowych czy innych definicji. SSL w niebezpieczeństwie Bezpieczeństwo protokołu SSL i jego uaktualnionej wersji TSL ma zasadnicze znaczenie, ponieważ obsługują one większość transakcji e-commerce, ustanawiając szyfrowane sesje, które są uwierzytelniane, oraz wymagają certyfikatów potwierdzanych przez ośrodki certyfikacji CA (Certification Authorities). CA są postrzegane jako zaufana strona trzecia w infrastrukturze klucza publicznego. Okazuje się jednak jak dowodzą np. incydenty z Comodo czy DigiNotar że nie zawsze można im ufać. Przypomnijmy, w marcu ub.r. irańskiemu hakerowi udało się skutecznie zaatakować ośrodek certyfikacji Comodo i uzyskać fałszywe certyfikaty dla kilku popularnych witryn internetowych. Nadszedł zatem czas, aby rozważyć inne metody zabezpieczania transakcji internetowych. Oczywiście, pod warunkiem że dostępne jest gotowe rozwiązanie, z którego można byłoby skorzystać. Obecnie oferowany jest nowy model uwierzytelniania o nazwie Convergence. Jest podobny do innego, o nazwie Perspectives, który aktualnie sprawdza zespół z Carnegie Mellon University. W obu tych modelach zakłada się przeniesienie uwierzytelniania serwerów webowych chronionych przez SSL z CA do nowych jednostek notariatów. W dotychczasowym modelu, kiedy przeglądarka zamierza zestawić sesję SSL z serwerem, to prosi o jego certyfikat. Przeglądarka weryfikuje autentyczność certyfikatu, sprawdzając, czy został podpisany przez główny ośrodek CA, któremu ufa. W modelu proponowanym w ramach projektów Perspectives i Convergence, zamiast polegać na ośrodkach certyfikacji przypisanych do przeglądarki, zaufanie przenosi się na notariaty. Notariaty to serwery, które na bieżąco śledzą i rejestrują, jakie certyfikaty prezentują serwery www. Kiedy przeglądarka odbierze certyfikat z serwera, prosi notariat, aby sprawdził ten certyfikat, czy był on regularnie widywany w jakimś okresie. Jeżeli tak, to jest podstawa do uznania, że jest to legalny certyfikat dla tej witryny. Taka architektura daje użytkownikom większą elastyczność mogą wybrać ośrodki, którym ufają, a następnie zmieniać ten wybór w dowolnym momencie. W istniejącym systemie przeglądarka ma przypisany główny CA, a to oznacza, że zaufanie jest ograniczone na linii przeglądarka CA. Jednak, aby zamienić istniejący system uwierzytelniania SSL, konieczne będzie utworzenie światowej sieci serwerów-notariuszy, podobnej do sieci serwerów DNS, a trzeba pamiętać, że SSL jest szeroko używany i potrzebne tu jest również współdziałanie dostawców przeglądarek. Józef Muszyński Dwa pytania do eksperta Mariusz Rzepka, Fortinet, dyrektor regionalny Polska, Białoruś, Ukraina # Jaka jest przyszłość zapór nowej generacji, kumulujących w sobie ochronę wielowarstwową? Implementacja systemu klasy Next Generation Firewall (NGF) to dopiero połowa drogi do pełnego bezpieczeństwa. Aby ochronić sieć przed wszystkimi zagrożeniami, zapora musi obejmować również tradycyjne funkcje filtrowania pakietów, systemu antywirusowego, antyspamowego czy filtracji URL. Innymi słowy, aby dostarczać ochronę w obiecywanym zakresie, oprócz nowych funkcji zabezpieczeń, takich jak kontrola aplikacji zapory nowej generacji muszą przede wszystkim dysponować solidną, sprawdzoną bazą podstawowych zabezpieczeń sieciowych. Dlatego największą przyszłość mają obecnie rozwiązania, które kumulują w sobie ochronę wielowarstwową Next Generation Security (NGS-UTM). # Czy taka koncentracja jest korzystna w rozbudowanych sieciach? Rozwój i dostosowywanie systemów bezpieczeństwa do zmieniających się zagrożeń przez zwiększanie wydajności i uruchamianych na nich nowych funkcji, daje użytkownikowi same korzyści. Umiejętnie dobrane rozwiązanie UTM jest w stanie zastąpić kilka systemów punktowych, co zmniejsza koszty utrzymania infrastruktury IT, upraszcza zarządzanie, ułatwia aktualizację, przyspiesza reakcję na incydenty, zmniejsza zużycie energii oraz daje pełniejszy obraz ruchu w sieci. Posiadanie certyfikatów, takich jak: ICSA, VB100, NSS Labs, FIPS-140 czy Common Criteria, to dodatkowa polisa bezpieczeństwa. System UTM/NGS pozwala na implementację większej ilości polityk bezpieczeństwa na podstawie normy ISO 27001, dobrych praktyk oraz przepisów prawa.