WEWNĄTRZ. Symantec Enterprise Security

Transkrypt

1 Symantec Enterprise Security PRZEGLĄD TECHNOLOGII Symantec DeepSight Threat Management System Pomoc w ochronie sieci przed aktywnymi zagrożeniami za pomocą wiodącego w branży systemu wczesnego ostrzegania WEWNĄTRZ Wzrastające ryzyko związane z działalnością biznesową Symantec DeepSight Threat Management System: globalny system wczesnego ostrzegania Zalety prewencyjnej ochrony

2 Spis treści Streszczenie Wzrastające ryzyko związane z działalnością biznesową Prewencyjna ochrona: informacje, umiejętności i konfiguracja Symantec DeepSight Threat Management System: globalny system wczesnego ostrzegania Jak działa rozwiązanie Symantec DeepSight Threat Management System Symantec DeepSight Threat Management System w akcji Zalety prewencyjnej ochrony Wnioski Słowniczek

3 Streszczenie Symantec DeepSight Threat Management System to kompleksowy i łatwy do dostosowania do potrzeb użytkownika system wczesnego ostrzegania, zapewniający powiadomienia o globalnych atakach oraz oparte na najlepszych metodach działania środki zaradcze, który pomaga w przeciwdziałaniu atakom, zanim jeszcze zdołają one wpłynąć na funkcjonowanie przedsiębiorstwa. W ciągu ostatnich kilku lat nastąpił nadzwyczajny wzrost włamań, ataków typu "odmowa usługi", robaków, zagrożeń hybrydowych i innych ataków zagrażających systemom komputerowym. W rezultacie firmy zostały zmuszone do przyjęcia bardziej strategicznego podejścia do kwestii bezpieczeństwa sieci, które musi się opierać na systematycznym gromadzeniu i analizowaniu szczegółowych danych o ryzyku i podatności na zagrożenia, a następnie działaniu w oparciu o uzyskane w ten sposób informacje. Systemy wykrywania włamań (IDS) są ważną bronią w wojnie przeciwko atakom na sieci komputerowe, jednak do tej pory ich działanie polegało głównie na reagowaniu. Eksperci ds. zabezpieczeń sieci nie szczędzą wysiłków, aby nadążyć z neutralizowaniem pojawiających się zagrożeń. Analizując wcześniejsze ataki i gasząc pożary, zwykle nie mają już czasu ani zasobów pozwalających na przewidywanie następnych ataków. Dodatkową warstwę ochrony przed atakami zapewniają zapory ogniowe. Jednak ich skuteczność jest na tyle wysoka, na ile zostały poprawnie skonfigurowane do powstrzymywania niebezpiecznego ruchu sieciowego. Wyzwaniem dla administratorów stała się znajomość nowych zagrożeń, która umożliwiłaby im podejmowanie działań niezbędnych do zabezpieczenia sieci, które z kolei nie hamowałyby normalnego toku działalności biznesowej. W niniejszym dokumencie opisano, w jaki sposób rozwiązanie Symantec DeepSight Threat Management System dostarcza dające się przełożyć na konkretne działania, możliwe do łatwego dostosowania do potrzeb użytkownika prewencyjne informacje od ekspertów ds. zabezpieczeń firmy Symantec, którzy każdego dnia śledzą ataki przeprowadzane na firmy na całym świecie. Dzięki rozwiązaniu Symantec DeepSight Threat Management System firmy mogą dostroić swoje strategie zabezpieczeń, zredukować ilość czasu poświęcanego na badanie i śledzenie zdarzeń związanych z bezpieczeństwem, analizować wskaźniki i statystyki dotyczące ataków oraz odciążyć personel ds. zabezpieczeń, dzięki czemu może on podejmować zdecydowane kroki jeszcze przed wystąpieniem ataków. Wzrastające ryzyko związane z działalnością biznesową Niebywała ekspansja sieci Internet pociągnęła za sobą eskalację liczby zagrożeń bezpieczeństwa. Jak widać na rysunku 1, zespół CERT (Computer Emergency Response Team)/CC główny ośrodek sprawozdawczy śledzący problemy związane z bezpieczeństwem korzystania z Internetu stwierdził gwałtowny wzrost w każdej kategorii incydentów, do których należą: Próby uzyskania nieautoryzowanego dostępu do systemu i zgromadzonych w nim danych. Niepożądane przerwy i odmowy usług. Nieautoryzowane wykorzystanie systemu do przetwarzania lub przechowywania danych. Zmiany we właściwościach sprzętu, oprogramowania układowego i programów bez wiedzy, zgody czy polecenia ich właściciela. 1 Włamania do sieci Problemów jest o wiele więcej. Firmy z każdej branży na całym świecie w coraz większym stopniu zależą od Internetu jako narzędzia rozwoju działalności i zarządzania, dlatego ryzyko niszczycielskiego wpływu i negatywnych skutków ekonomicznych ataków internetowych wzrasta z niesamowitą szybkością. W 2002 roku średnie straty przypadające na penetrację jednego systemu na skutek ataków zewnętrznych sięgały dolarów. 2 Rysunek 1. Gwałtowny wzrost incydentów związanych z bezpieczeństwem internetowym odpowiada niebywałej ekspansji sieci Internet (źródło: CERT/CC) Źródło: Wytyczne Incident Reporting Guidelines Centrum Koordynacji CERT. Copyright 1998, 1999, 2000, 2001, 2002 Carnegie Mellon University. 2. Źródło: Computer Security Institute/Federal Bureau of Investigation 2002 Computer Crime and Security Survey 1

4 Duża częstotliwość występowania ataków na sieci i związane z nimi tak wysokie koszty (a jedno i drugie stale rośnie) sprawiają, że firmy pojmują już konieczność zaangażowania wszystkich posiadanych zasobów w działania obronne przeciwko cyberwłamywaczom. Dla wielu firm pierwszą linią obrony jest zbudowanie mocniejszych i grubszych ścian otaczających zasoby komputerowe, poprzez instalację wielu różnych logicznych i fizycznych mechanizmów zabezpieczeń. Ponieważ narzędzia i techniki wykorzystywane przez potencjalnych włamywaczy są coraz bardziej wyszukane, tak samo wyszukane muszą być produkty zabezpieczające. Firmy zdają sobie sprawę, że prawdziwe zoptymalizowanie stanu zabezpieczeń oraz wdrożenie systemu wczesnego ostrzegania umożliwiającego prewencyjne zarządzanie zagrożeniami i lukami są ważnymi elementami całej struktury zabezpieczeń. Do skutecznego działania zespołów ds. bezpieczeństwa informacji w przedsiębiorstwach wymagana jest dostępna na czas, specyficzna dla konfiguracji, dokładna, kompleksowa i dająca się przełożyć na konkretne działania wiedza o zagrożeniach, lukach i patologii ataków. System zarządzania atakami jest niezbędny dla menedżerów ds. informatycznych do podejmowania szybkich, trafnych i racjonalnych decyzji związanych z ochroną systemów. Prewencyjna ochrona: informacje, umiejętności i konfiguracja Opracowanie skutecznej strategii zarządzania zagrożeniami wymaga od specjalistów ds. zabezpieczeń gromadzenia i analizowania szerokiego zakresu ogólnych informacji dotyczących zabezpieczeń z wielu różnych źródeł, w tym z alertów dotyczących luk i wirusów, list wysyłkowych, artykułów z grup dyskusyjnych oraz usługodawców ds. zabezpieczeń. Pojawiło się wiele różnych systemów i usług mających na celu pomóc ekspertom informatycznym w wyszukiwaniu informacji, zarządzaniu nimi i działaniu w oparciu o nie. Do środków obronnych w arsenale zabezpieczeń należą systemy wykrywania włamań (IDS) produkty stale monitorujące sieci i utrzymujące szczegółowe dzienniki o wszelkich włamaniach lub atakach. Z kolei zapory ogniowe umożliwiają filtrowanie aktywności w sieci i prowadzenie szczegółowych dzienników dotyczących każdego działania. Systemy wykrywania włamań same w sobie mają ograniczone możliwości. Umożliwiają one menedżerom ds. informatycznych śledzenie zjawisk zachodzących w ich własnych odrębnych sieciach i reagowanie na nie. To samo dotyczy analizowania dzienników zapór ogniowych pojedynczych organizacji. Systemy te zapewniają doskonały obraz bieżących zagrożeń przedsiębiorstwa, mogą jednak generować bardzo subiektywny obraz ryzyka i podatności na ataki. Bez poznania przez specjalistów ds. zabezpieczeń szerszego kontekstu podejmowane przez nich decyzje i formułowane reakcje mogą nie prowadzić do osiągnięcia najlepszego stanu zabezpieczeń sieci. Na przykład: Same dzienniki z systemów wykrywania włamań i zapór ogniowych nie są w stanie ujawnić działań nakierowanych specjalnie na pojedynczą firmę lub będących częścią większego ataku na wiele organizacji. Systemy wykrywania włamań są niezastąpione w identyfikowaniu bieżących ataków, ale mało przydatne jeżeli chodzi o szacowanie i redukowanie ryzyka wystąpienia przyszłych ataków, jest to więc jedynie reakcyjny model zabezpieczeń. Skuteczność zapór ogniowych jest tylko na tyle duża, na ile dobra jest ich konfiguracja. A właściwa konfiguracja jest możliwa tylko w przypadku administratorów znających ataki globalne, którzy potrafią zoptymalizować obsługiwane przez siebie zapory ogniowe do ochrony majątku firmy. Organizacje potrzebują metody pozwalającej na wykorzystanie wspólnego doświadczenia i umiejętności ekspertów ds. zabezpieczeń sieci na całym świecie, tak aby możliwe było przewidywanie i udaremnianie ataków jeszcze przed ich wystąpieniem. Jednakże większość prób zmierzających do wdrożenia bardziej prewencyjnego podejścia do zarządzania zagrożeniami jest utrudniania przez kilka czynników, między innymi: Brak globalnego systemu czujników monitorujących aktywności ataków. Niezmierzona ilość danych wymaganych do utworzenia wiarygodnej próby statystycznej. Brak technologii analizowania tych danych 2

5 Ponadto rosnąca liczba, złożoność i współczynnik powodzenia ataków niezwykle utrudniają specjalistom ds. zabezpieczeń szacowanie luk wyłącznie na podstawie analiz włamań mających miejsce w obrębie ich sieci. Aby mogli oni łatwiej dostrzegać wzorce i trendy, potrzebują dostępu do szczegółowych informacji o atakach występujących w różnych branżach, w różnych krajach i w różnych strefach czasowych. Niestety większość firm nie ma możliwości uzyskania informacji tego typu, ponieważ dane dotyczące włamań należą do poufnych. Nawet jeśli dane te byłyby dostępne, ich zrozumienie byłoby ogromnym problemem z dwóch powodów: 1. Każdy system wykrywania włamań i każda zapora ogniowa raportuje incydenty, używając własnej, unikalnej terminologii, co komplikuje próby uzyskania zagregowanego obrazu ataków na wiele systemów i organizacji. 2. Nie ma metody udostępniania danych z poszczególnych systemów wykrywania włamań i zapór ogniowych w czasie rzeczywistym. Firma Symantec wyszła naprzeciw zarówno tym wyzwaniom, jak i potrzebie stworzenia bardziej prewencyjnego podejścia do zarządzania zagrożeniami. Rozwiązanie Symantec DeepSight Threat Management System umożliwia organizacjom lepsze przewidywanie ataków na sieci i skuteczniejsze zapobieganie im. Symantec DeepSight Threat Management System wypełnia lukę między świadomością zagrożeń a działaniem, umożliwiając specjalistom ds. zabezpieczeń opracowywanie niezbędnych środków zaradczych, jeszcze zanim włamywacze wycelują w ich systemy i poczynią szkody w ich działalności. Symantec DeepSight Threat Management System: globalny system wczesnego ostrzegania Symantec DeepSight Threat Management System to kompleksowe i możliwe do dostosowania rozwiązanie do zarządzania zagrożeniami, które zapewnia powiadomienia o globalnych atakach oraz oparte na najlepszych metodach działania środki zaradcze przeciwdziałające atakom, zanim jeszcze zdołają one wpłynąć na funkcjonowanie przedsiębiorstwa. Symantec DeepSight Threat Management System dostarcza szczegółową wiedzę o potencjalnych zagrożeniach dla organizacji, oceniając zdarzenia raportowane przez systemy wykrywania włamań (IDS) i zapory ogniowe w celu identyfikowania trendów, anomalii oraz wzorców ataków. Pozwala to administratorom odpowiedzieć na ważne pytania, takie jak: Czy celem ataków są firmy o szczególnych właściwościach (takich jak branża, wielkość czy lokalizacja)? Które produkty lub platformy informatyczne są celem ataków lub są na nie szczególnie narażone? Jakie luki są źródłem największego ryzyka? W których systemach powinny zostać zainstalowane poprawki i w jakiej kolejności? Czy ataki pochodzą z określonych adresów IP bądź krajów? Które ataki wykazują się wzrostem częstotliwości występowania? Czy ryzyko wystąpienia ataku wzrasta w pewne dni tygodnia lub o określonych porach dnia? Jakie sprawdzone rozwiązania, poprawki i informacje mogące powstrzymać określone ataki są dostępne? Podobnie jak system opracowywania prognozy długookresowej, rozwiązanie Symantec DeepSight Threat Management System umożliwia firmom podejmowanie działań prewencyjnych jeszcze przed nadejściem kataklizmu. Sercem tej usługi jest sieć gromadzenia danych, na którą składa się ponad zarejestrowanych partnerów w ponad 180 krajach. Biegli analitycy zagrożeń przez 24 godziny na dobę monitorują te dane, analizując globalne działania, badając podejrzany ruch sieciowy i identyfikując ataki jeszcze w ich początkowym stadium. 3

6 Rozwiązanie Symantec DeepSight Threat Management System śledzi ataki według typu, źródła, czasu wystąpienia, lokalizacji i profilu ofiary, a następnie umożliwia personelowi informatycznemu wykorzystanie tych informacji do szacowania ryzyka i podatności na atak za pomocą unikalnego mechanizmu korelacji ataków i doskonałych narzędzi analitycznych. Rozwiązanie to tworzy obraz bieżącej aktywności internetowej, wraz z dostarczanymi na czas i dostosowanymi do potrzeb każdego klienta analizami. Dopasowane do potrzeb odbiorcy alerty o zagrożeniach i niebezpiecznych kodach oraz progach aktywności incydentów są dostarczane za pośrednictwem bezpiecznej konsoli opartej na sieci WWW, poczty elektronicznej, faksu, telefonu lub wiadomości tekstowej SMS. Oprócz tego klienci otrzymują dzienne, tygodniowe i miesięczne raporty sumaryczne. Symantec DeepSight Threat Management System umożliwia też wydobywanie danych z bazy Symantec Event Database za pomocą własnego narzędzia raportowania. W tabeli 1 przedstawiono poszczególne raporty oferowane przez rozwiązanie DeepSight Threat Management System, które pomagają przekształcić nieprzetworzone dane z dzienników systemów wykrywania włamań i zapór ogniowych w działania zwiększające skuteczność prewencyjnego osłabiania ataków. Tabela 1. Raporty oferowane przez rozwiązanie Symantec DeepSight Threat Management System Nazwa Opis Podsumowanie zdarzeń (Event Summary) Podsumowanie aktywności zdarzeń obserwowanych przez czujniki DeepSight. Pomaga on w ustalaniu najważniejszych zdarzeń i ich historii. Podsumowanie portów (Port Summary) Podsumowanie aktywności portów obserwowanych przez czujniki DeepSight. Pomaga on w ustalaniu portów będących celem ataków i ustalaniu trendów takiej aktywności. Podsumowanie kategorii (Category Summary) Podsumowanie aktywności zdarzeń obserwowanych przez czujniki DeepSight według kategorii lub klasy. Podsumowanie produktów docelowych (Target Product Summary) Podsumowanie produktów i aplikacji będących celem globalnych ataków. Podsumowanie pochodzenia (Origin Summary) Podsumowanie źródeł, z których pochodzą poszczególne zdarzenia. Pomaga w ustaleniu, kto dokonuje ataków na czujniki DeepSight i jakie są trendy tych ataków. Podsumowanie celów (Destination Summary) Podsumowanie analizy demograficznej obiektów zdarzeń zgłaszanych do rozwiązania DeepSight Threat Management System. Analizy adresów IP (IP Analysis) Daje wgląd w aktywność pojedynczego adresu IP obserwowanego przez czujniki DeepSight. Raport ten składa się z kilku składników odzwierciedlających aktywność, sposób zachowania się oraz aplikacje atakowane z adresu IP. Zestawiając te składniki, raport prezentuje pochodzenie osoby atakującej oraz luki i usługi będące jej obiektami docelowymi. Analizy zdarzeń (Event Analysis) Dostarcza szczegółowe analizy aktywności otaczających określone zdarzenie. Raport zapewnia historię aktywności zdarzenia. Wskazuje on pochodzenie i obiekt docelowy ataku. 4

7 Analizy portów (Port Analysis) Dostarcza szczegółowe analizy aktywności związanej z określonym portem. Raport zapewnia historię aktywności ataku na wybrany port. Wskazuje on pochodzenie i obiekt docelowy ataku. Usługodawca internetowy, od którego pochodzi atak (Originating ISP) Wyświetla dziesięciu usługodawców internetowych, od których pochodzi największa liczba ataków, jak również wartości wskazujące częstotliwości ataków dla każdego usługodawcy. Współczynnik infekcji źródłowego adresu IP (Source IP Infection Rate) Przedstawia rozkład liczby źródłowych adresów IP, z których pochodzą ataki, według wybranego kryterium. Pełni funkcję wskaźnika szybkości rozprzestrzeniania się określonego zagrożenia. W przypadku określonego zdarzenia związanego z robakiem może też pełnić funkcję wskaźnika liczby zainfekowanych systemów. Adresy IP, z którego pochodzą ataki (Originating IPs) Dostarcza podsumowanie głównych źródłowych adresów IP odpowiedzialnych za wybraną aktywność sieci. Zawiera wykres trendów historycznych obrazujący aktywność widzianą z głównych adresów. Skojarzone porty (Associated Ports) Wyświetla najpowszechniej kojarzone porty źródłowe używane podczas ataków dla dostarczonego przez użytkownika portu docelowego. Wykres słupkowy przedstawia dziesięć najbardziej rozpowszechnionych portów źródłowych używanych w połączeniu z portem docelowym dostarczonym przez użytkownika, jak również odpowiadające wartości częstotliwości ataków dla każdego portu źródłowego. Raport ten wskazuje charakterystyczne wzorce koni trojańskich lub metod włamywania. Kraje pochodzenia (Originating Countries) Wyświetla dziesięć krajów, z których pochodzi największa liczba ataków. Czas zdarzenia (Event Time) Przedstawia rozkład zakresu czasu, w którym zwykle występuje najwięcej zdarzeń związanych z zagrożeniami bezpieczeństwa sieci. Znajomość czasu występowania tych zdarzeń umożliwia śledzenie historii aktywności i alokowanie zasobów zgodnie z przyszłym planowaniem. Kraje docelowe (Target Countries) Wyświetla dziesięć krajów, które są celem największej liczby ataków. Branże docelowe (Target Industries) Wyświetla częstotliwość ataków wycelowanych w branże określonego typu. Ataki wg rozmiaru firmy (Attacks by Company Size) Wyświetla częstotliwość ataków wycelowanych w firmy o określonej liczbie pracowników. Ataki wg przychodów firmy (Attacks by Company Revenue) Wyświetla częstotliwość ataków wycelowanych w firmy o określonym przychodzie rocznym. Wiek ataku (Attack Age) Dostarcza przegląd zdarzeń w oparciu o wiek powiązanych z nimi luk i wiek samych zdarzeń. 5

8 Jak działa rozwiązanie Symantec DeepSight Threat Management System Używając rozwiązania DeepSight Threat Management System, firmy mogą skupić się na wdrażaniu najważniejszych środków zaradczych mających na celu prewencyjne osłabianie wpływu ataków na sieci, zamiast marnować czas na przeszukiwanie dziesiątek witryn internetowych lub setek wiadomości w celu zgromadzenia informacji o ataku i sposobie reagowania na niego. Firma Symantec zbiera dane od swoich partnerów, stale zestawiając je i analizując w celu zidentyfikowania potencjalnych ataków i dostarczenia klientom w odpowiednim czasie, dających się przełożyć na konkretne działania i specyficznych dla zagrożeń informacji oraz poprawek ułatwiających ochronę. Oprócz tego zespół biegłych analityków zagrożeń firmy Symantec bada dane globalne, identyfikując potencjalne ataki oraz dostarczając szczegółowe alerty i analizy. Dostarczenie specjalistom ds. zabezpieczeń specyficznych, kompleksowych i dających się przełożyć na konkretne działania informacji umożliwia natychmiast skuteczniejsze ustalanie priorytetów zasobów i wydatków związanych z zabezpieczeniami, zwiększając w ten sposób zwrot z inwestycji. Na rysunku 2 przedstawiono kluczowe składniki architektury Symantec DeepSight Threat Management System SYMANTEC DEEPSIGHT EXTRACTOR to program normalizujący zdarzenia z dzienników systemu wykrywania włamań oraz zapory ogniowej i transmitujący je do bazy danych Symantec Event Database. Firma może automatyczne przesyłać swoje dane o zdarzeniach do bazy danych Symantec Event Database w celu interpretacji i analizy. Symantec DeepSight Extractor zapewnia zachowanie poufności poprzez zastosowanie bezpiecznych protokołów sieciowych i opcjonalne ukrywanie adresów IP. SYMANTEC DEEPSIGHT ANALYZER daje specjalistom ds. informatycznych możliwość śledzenia incydentów i ataków w ich własnych sieciach oraz zarządzania nimi. Automatycznie koreluje on ataki z różnych systemów wykrywania włamań i zapór ogniowych, dając informatykom rozbudowany obraz ich środowisk. Symantec DeepSight Analyzer porównuje incydenty z największą na świecie bazą danych o lukach (utrzymywaną przez firmę Symantec), śledzi ataki i dostarcza szczegóły dotyczące obrony przed nimi, generuje raporty statystyczne dotyczące incydentów i zarządza zagrożeniami. Użytkownicy programu Symantec DeepSight Analyzer przesyłają anonimowo podejrzane elementy ruchu sieciowego i dane dotyczące prób włamania do sieci do bazy danych Symantec Event Database za pośrednictwem programu Symantec DeepSight Extractor. Na podstawie tych informacji firma Symantec identyfikuje wzorce w atakach, co pozwala rozwiązaniu Symantec DeepSight Threat Management System pełnić funkcję systemu pomiaru zagrożeń. W zamian uczestnicy tego procesu otrzymują dostęp do bezpiecznej, dostosowanej do ich potrzeb i opartej na sieci Internet konsoli incydentów. System składa się z kilku oszczędzających czas narzędzi, zapewniających lokalne śledzenie incydentów, dostosowane do potrzeb odbiorcy raporty o incydentach oraz możliwość generowania powiadomień o atakach. UWAGA: Przesyłanie danych do globalnej bazy danych Symantec Event Database jest czynnością opcjonalną dla użytkowników rozwiązania Symantec DeepSight Threat Management System. SYMANTEC DEEPSIGHT THREAT MANAGEMENT SYSTEM automatycznie analizuje dzienniki zdarzeń systemów wykrywania włamań i zapór ogniowych pod kątem wzorców wskazujących na możliwość wystąpienia ataku. Po zidentyfikowaniu do użytkowników mogą zostać wysłane automatycznie alerty zgodne ze zdefiniowanymi przez nich kryteriami. Oprócz tego zespół analityków zagrożeń firmy Symantec zapewnia dodatkowy poziom kontroli i analizy. Zespół ten dostarcza szczegółowe analizy zagrożeń i czynności, które użytkownicy mogą implementować w celu ochrony swoich środowisk. 6

9 Mechanizm korelacji ataków Bazy zagrożeń i zdarzeń DANE O ATAKACH Lokalne zarządzanie incydentami Globalne zarządzanie zagrożeniami Analitycy zagrożeń Systemy wykrywania włamań (IDS) i zapory ogniowe Alarmy, raporty i analizy Symantec DeepSight Analyzer Symantec DeepSight Threat Management System Rysunek 2. Kluczowe składniki architektury Symantec DeepSight Threat Management System Symantec DeepSight Threat Management System w akcji ROBAK SQLEXP (SLAMMER) 25 stycznia 2003 r. rozwiązanie DeepSight Threat Management System zarejestrowało nagły i znaczny wzrost ruchu UPD nakierowanego na port Port ten jest powszechnie powiązany z procesem monitora programu Microsoft SQL Server. Ten nagły wzrost aktywności ataku został później potwierdzony jako będący wynikiem działania robaka rezydującego w pamięci o nazwie W32.SQLExp.Worm. Robak W32.SQLExp.Worm wykorzystuje usterkę przepełnienia stosu w procesie monitora programu Microsoft SQL Server w celu samoczynnej dystrybucji. W wyniku procesu rozprzestrzeniania się robaka SQLExp oraz generowania ogromnego ruchu sieciowego zaobserwowano spadek wydajności sieci podczas epidemii. 7

10 Robak nie przenosi elementów o złośliwym działaniu. Jego głównym celem jest jak najszybsze rozprzestrzenianie się. Robak ten mógł być o wiele bardziej niebezpieczny i mógł zawierać kod powodujący uszkodzenia w zainfekowanych systemach. Głównym efektem działania tego robaka było przeciążenie przepustowości sieci, w niektórych przypadkach powodujące utratę 100% pakietów w sieciach. Cecha ta spowodowała początkowe mylne rozpoznanie robaka jako ataku typu "odmowa usługi". Rysunek 3. SQLExp "Porty, dla których obserwuje się rosnącą aktywność", zgłoszone przez rozwiązanie Symantec DeepSight Threat Management System Rozwiązanie Symantec DeepSight Threat Management System automatycznie przesłało alert dotyczący portu 25 stycznia o godz. 06:00 GMT, gdy zwiększona aktywność nakierowana na port 1434 została zaobserwowana przez mechanizm analityczny. Mimo że alert dotyczący portu nie był w stanie określić przyczyny wzrostu ruchu, zawarte w nim informacje dały użytkownikom wczesne ostrzeżenie o wystąpieniu globalnego incydentu, dzięki czemu klienci mogli natychmiast zablokować ruch na porcie 1434, unikając w ten sposób infekcji i ograniczając wpływ tego zagrożenia na funkcjonowanie sieci. Dwie godziny później rozwiązanie Symantec DeepSight Threat Management System wygenerowało alert dotyczący incydentu, który zidentyfikował to zagrożenie jako robaka. Gdy dostępnych stało się więcej informacji, alert dotyczący incydentu został zaktualizowany większą liczbą szczegółów o samym robaku, lukach będących celem jego ataku oraz bezpośrednimi łączami do poprawek niezbędnych do zlikwidowania luki. Klienci rozwiązania Symantec DeepSight Threat Management System otrzymali wczesne ostrzeżenie o robaku SQLExp, wraz z jego szczegółowymi analizami, co pozwoliło administratorom na szybką reakcję i skuteczną ochronę zasobów komputerowych. 8

11 Zalety prewencyjnej ochrony Pomagając firmom w przewidywaniu i powstrzymywaniu ataków jeszcze przed ich wystąpieniem, rozwiązanie Symantec DeepSight Threat Management System umożliwia personelowi informatycznemu przedsiębiorstw przyjęcie bardziej prewencyjnego podejścia do zarządzania zagrożeniami. WCZESNE OSTRZEGANIE O ATAKACH. Alerty o zagrożeniach i niebezpiecznych kodach precyzują źródła i przyczyny ataków oraz luki będące ich obiektem często w ciągu kilku minut od momentu ich rozprzestrzeniania się. Umożliwia to personelowi ds. zabezpieczeń natychmiastowe podjęcie działań prewencyjnych. ALERTY SPECYFICZNE DLA KONFIGURACJI. Alerty mogą być dopasowane w oparciu o określoną infrastrukturę sieci. Eliminuje to konieczność zapoznawania się z alertami dotyczącymi technologii, które nie są stosowane w danej sieci. EFEKTYWNIEJSZE ALOKOWANIE ZASOBÓW ZABEZPIECZAJĄCYCH. Rozwiązanie Symantec DeepSight Threat Management System umożliwia personelowi ds. zabezpieczeń dostosowywanie strategii zabezpieczeń do określonych incydentów o największym prawdopodobieństwie wystąpienia oraz ataków mogących najbardziej zaszkodzić unikalnej konfiguracji systemu komputerowego. W rezultacie możliwe jest bardziej strategiczne wykorzystywanie istniejącej infrastruktury zabezpieczeń, przez identyfikowanie najważniejszych zmian do zaimplementowania i dodatkowych inwestycji. ZASTĄPIENIE NIEDOINFORMOWANEGO SZACOWANIA TREŚCIWYMI DANYMI I FACHOWYMI PORADAMI. Rozwiązanie Symantec DeepSight Threat Management System dostarcza obiektywne fakty i rozbudowane możliwości analizowania, niezbędne do szacowania ryzyka i podejmowania przemyślanych decyzji podczas izolowania operacji sieciowych lub blokowania grup użytkowników. Dane są natychmiast dostępne z opartej na sieci Internet konsoli lub alertów dostarczanych za pośrednictwem poczty elektronicznej, faksu, telefonu lub wiadomości SMS, dzięki czemu rozwiązanie Symantec DeepSight Threat Management System ogromnie zmniejsza czas i wysiłek wymagane od personelu ds. zabezpieczeń w celu badania i śledzenia zdarzeń związanych z zabezpieczeniami. Personel ma stały dostęp do alertów i analiz z dowolnego miejsca na świecie. DOSTARCZANIE GLOBALNEGO OBRAZU WZROSTOWYCH TRENDÓW ZABEZPIECZEŃ. Przez porównywanie danych z dzienników firmy z informacjami z globalnej bazy danych Symantec Event Database, rozwiązanie Symantec DeepSight Threat Management System stawia systemy wykrywania włamań i zapory ogniowe we właściwym kontekście i perspektywie. Baza danych Symantec Event Database dokonuje translacji raportów i opisów dotyczących unikalnych incydentów z wiodących systemów wykrywania włamań i zapór ogniowych na zwięzły format, co pozwala administratorom na uzyskiwanie najdokładniejszego i najbardziej kompleksowego obrazu najważniejszych trendów zabezpieczeń na całym świecie. Wnioski Postępy w technologiach zabezpieczeń są często prześcigane przez narzędzia i techniki wykorzystywane przez potencjalnych włamywaczy. Dodatkowo fizyczne i logiczne mechanizmy zabezpieczeń przestają wystarczać, dlatego też wiele firm zdaje sobie sprawę, że najważniejszym i najefektywniejszym elementem struktury zabezpieczeń jest prewencyjny system wczesnego ostrzegania. Dzięki rozwiązaniu Symantec DeepSight Threat Management System, firmy mogą wykorzystać wspólne doświadczenie i umiejętności ekspertów ds. zabezpieczeń sieci na całym świecie do lepszego przewidywania i udaremniania ataków. Oceniając profil sieciowy firmy oraz dane z dzienników systemu wykrywania włamań i zapory ogniowej pod kątem podobnych informacji z tysięcy innych organizacji, Symantec DeepSight Threat Management System dostarcza specjalistom ds. zabezpieczeń specyficzne, kompleksowe i dające się przełożyć na konkretne działania informacje, co pozwala na skuteczniejsze ustalanie priorytetów zasobów i wydatków związanych z zabezpieczeniami. 9

12 Słowniczek Jeżeli którykolwiek z terminów użytych w tym dokumencie jest niezrozumiały, można zajrzeć na stronę gdzie znajduje się więcej informacji oraz słowniczek pojęć. FIRMA SYMANTEC ŚWIATOWY LIDER W DZIEDZINIE TECHNOLOGII I USŁUG ZABEZPIECZEŃ INTERNETOWYCH OFERUJE SZEROKI ZAKRES OPROGRAMOWANIA ORAZ URZĄDZEŃ ZABEZPIECZAJĄCYCH SIEĆ ORAZ FILTRUJĄCYCH PRZESYŁANE I POBIERANE TREŚCI DLA FIRM, UŻYTKOWNIKÓW INDYWIDUALNYCH ORAZ DOSTAWCÓW USŁUG. FIRMA SYMANTEC JEST NAJWIĘKSZYM NA ŚWIECIE DOSTAWCĄ ROZWIĄZAŃ ZABEZPIECZAJĄCYCH STACJE ROBOCZE, BRAMY I SERWERY, REALIZUJĄCYCH FUNKCJE OCHRONY ANTYWIRUSOWEJ, ZAPÓR OGNIOWYCH, WIRTUALNYCH SIECI PRYWATNYCH, ZARZĄDZANIA LUKAMI W BEZPIECZEŃSTWIE SIECI KOMPUTEROWYCH, ZAPOBIEGANIA WŁAMANIOM, FILTROWANIA TREŚCI Z INTERNETU I POCZTY ELEKTRONICZNEJ, ZDALNEGO ZARZĄDZANIA ORAZ USŁUG ZABEZPIECZAJĄCYCH DLA PRZEDSIĘBIORSTW I DOSTAWCÓW USŁUG NA CAŁYM ŚWIECIE. MARKA NORTON FIRMY SYMANTEC, KTÓRĄ OPATRZONE SĄ DETALICZNE WERSJE PRODUKTÓW ZABEZPIECZAJĄCYCH, JEST ŚWIATOWYM LIDEREM POD WZGLĘDEM SPRZEDAŻY DETALICZNEJ ORAZ ZDOBYWCĄ NAJWIĘKSZEJ LICZBY NAGRÓD PRZYZNAWANYCH PROGRAMOM KOMPUTEROWYM. CENTRALA ŚWIATOWA FIRMY ZNAJDUJE SIĘ W CUPERTINO W KALIFORNII, USA, A JEJ FILIE DZIAŁAJĄ W 38 KRAJACH NA CAŁYM ŚWIECIE. WIĘCEJ INFORMACJI MOŻNA ZNALEŹĆ NA STRONIE CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA SYMANTEC (POLSKA) Al. Jana Pawła II Warszawa Tel. (22) Faks (22) Firma Symantec ma biura w 38 krajach. Informacje o biurach i numery telefonów dla poszczególnych krajów można znaleźć w naszej witrynie internetowej: Informacje dotyczące obsługi klientów i pomocy technicznej można znaleźć w naszej witrynie internetowej: Nazwy Symantec i DeepSight oraz logo Symantec są zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej oddziałów, zarejestrowanymi w USA. DeepSight Analyzer, DeepSight Extractor oraz Bugtraq są znakami towarowymi firmy Symantec Corporation lub jej oddziałów. Inne nazwy marek i produktów są znakami towarowymi odpowiednich właścicieli. Copyright 2003 Symantec Corporation. Wszelkie prawa zastrzeżone. Wydrukowano w Niemczech. 06/03. Wszystkie informacje o produktach mogą ulec zmianie. WP PL