Wczesne ostrzeganie, czyli jak przewidywa ataki komputerowe

Podobne dokumenty
Robaki sieciowe. + systemy IDS/IPS

BEZPIECZEŃSTWO W SIECIACH

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Planowanie adresacji IP dla przedsibiorstwa.

Spis treci. Dzie 1. I Wprowadzenie (wersja 0911) II Dostp do danych biecych specyfikacja OPC Data Access (wersja 0911)

Podstawy bezpieczeństwa

9. System wykrywania i blokowania włamań ASQ (IPS)

Klonowanie MAC adresu oraz TTL

Poradnik korzystania z serwisu UNET: Konfiguracja programu pocztowego

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Przegldanie stron wymaga odpowiedniej mikroprzegldarki w urzdzeniu mobilnym lub stosownego emulatora.

n6: otwarta wymiana danych

Technologia Automatyczne zapobieganie exploitom

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

1. Informacje ogólne.

PRZYKŁAD ROZWIZANIA ZADANIAZ INFORMATORA DO ETAPU PRAKTYCZNEGO EGZAMINU W ZAWODZIE TECHNIK INFORMATYK

Podział Internetu radiowego WIFI konfiguracja

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Temat: Programowanie zdarzeniowe. Zdarzenia: delegacje, wykorzystywanie zdarze. Elementy Windows Application (WPF Windows Presentation Foundation).

Robaki sieciowe. Wstęp Instalacja w systemie Kanały dystrybucji Ogólny schemat Przykłady robaków Literatura

Paweł Gole, Securing. 1 InfoTRAMS "Cloud Computing Latajc c w chmurach"

Raport Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2003

PROTOKOŁY TRANSPORTU PORTY krótki przegld

PREZENTACJA DZIAŁANIA KLASYCZNEGO ALGORYTMU GENETYCZNEGO

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Znak sprawy: KZp

Twoja instrukcja użytkownika HP PAVILION DV3520EA

System midzybankowej informacji gospodarczej Dokumenty Zastrzeone MIG DZ ver Aplikacja WWW ver. 2.1 Instrukcja Obsługi

VPN Virtual Private Network. Uycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

1. WSTP. 2. Koncepcja platformy bezpieczestwa publicznego

Program Sprzeda wersja 2011 Korekty rabatowe

Dostp do zasobów dyskowych uytkowników lcme10 przez protokół SMB (Microsoft Networking)

Kaspersky Security Network

ASQ: ZALETY SYSTEMU IPS W NETASQ

stopie szaro ci piksela ( x, y)

Badania marketingowe w pigułce

W Y B R A N E P R O B L E M Y I N Y N I E R S K I E

Nadwyka operacyjna w jednostkach samorzdu terytorialnego w latach

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Zastosowanie programu Microsoft Excel do analizy wyników nauczania

Studium przypadku Case Study CCNA2-ROUTING

Obecne trendy w zagroeniach sieciowych

Instrukcja instalacji HP Instant Support Enterprise Edition Standard Configuration (ISEE SC) MS Windows (HP Proliant, HP Netserver)

Wymierne korzyci wynikajce z analizy procesów

Otwock dn r. Do wszystkich Wykonawców

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Cash flow projektu zakładajcego posiadanie własnego magazynu oraz posiłkowanie si magazynem obcym w przypadku sezonowych zwyek

Malware przegląd zagrożeń i środków zaradczych

Programowanie Obiektowe

OCHRONA PRZED RANSOMWARE

s FAQ: NET 09/PL Data: 01/08/2011

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wzorcowy załcznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomidzy Firm A oraz Firm B

Wstp. Odniesienie do podstawy programowej

Cloud Computing - czego wymaga od dostawcy usług w zakresie bezpieczestwa. Telekomunikacja Polska S.A. Andrzej Karpiski Łukasz Pisarczyk

Regulamin Europejskiej Sieci Prewencji Kryminalnej z dnia 25 czerwca 2001 roku

NAZWY I ADRESY W SIECIACH IP PODZIAŁ NA PODSIECI

Projektowanie i analiza zadaniowa interfejsu na przykładzie okna dialogowego.

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Multipro GbE. Testy RFC2544. Wszystko na jednej platformie

Audytowane obszary IT

Dz.U Nr 180 poz Załcznik nr 2

Metody automatycznego wytwarzania sygnatur zagrożeń sieciowych

AQUAGOR POMPA CIEPŁA WODA/WODA

Produkty. MKS Produkty

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Informacja i Promocja. Mechanizm Finansowy EOG Norweski Mechanizm Finansowy

obsług dowolnego typu formularzy (np. formularzy ankietowych), pobieranie wzorców formularzy z serwera centralnego,

POROZUMIENIE. w sprawie realizacji zada administracji rzdowej w zakresie weryfikacji danych z informatycznej bazy danych prowadzonej przez starost

Nowe kody kreskowe GS1 DataBar Pakiet informacyjny dla PRODUCENTÓW

ZPKSoft. Kreator dokumentów. Wstp. Przeznaczenie. Definicje

ZAKRES OBOWIZKÓW, UPRAWNIE I ODPOWIEDZIALNOCI PRACOWNIKA BIURA ZARZDU POWIATU STAROSTWA POWIATOWEGO W PABIANICACH

dr Beata Zbarachewicz

Wstp. Warto przepływu to

Uywanie licencji typu On-Demand. Using an On-Demand License Japanese. Language. Contents

Przyk adowa konfiguracja zwielokrotnianienia po czenia za pomoc Link Aggregation Control Protocol

Zabezpieczanie systemu Windows

Kompilacja image z CVS

RZDOWY PROGRAM WYRÓWNYWANIA WARUNKÓW STARTU SZKOLNEGO UCZNIÓW W 2006 r. WYPRAWKA SZKOLNA

Komputerowa Ksiga Podatkowa Wersja 11.4 ZAKOCZENIE ROKU

1. Wstp. Załcznik nr.1 do uchwały Nr XXXII/259/05 Rady Powiatu w Krasnymstawie z dnia 24 listopada2005r.

REGULAMIN KONKURSU OFERT NA WYBÓR BROKERA UBEZPIECZENIOWEGO DLA MIASTA ZIELONA GÓRA, JEGO JEDNOSTEK ORGANIZACYJNYCH ORAZ SPÓŁEK KOMUNALNYCH.

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

ArcaVir 2008 System Protection

Argumenty na poparcie idei wydzielenia OSD w formie tzw. małego OSD bez majtku.

Roboty budowlane publikacja obowizkowa publikacja nieobowizkowa Usługi

Regulamin Usªugi VPS

Temat: Technika zachłanna. Przykłady zastosowania. Własno wyboru zachłannego i optymalnej podstruktury.

Rola i zadania polskiego CERTu wojskowego

Zarys moliwoci IVM NT

Spis treci. FAQ: /PL Data: 05/06/2013. TIA Portal V12 wymagania systemowe, instalacja, licencje.

Michał Sobiegraj, TCP i UDP

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Mozilla Firefox PL. Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Mozilla Firefox PL. wersja 1.1

Zapraszamy do sklepu AUDIOPIONEER tel tel

Izolacja Anteny szerokopasmowe i wskopasmowe

Aspekty prawne korzystania z oprogramowania udostpnionego w modelu cloud computing na przykładzie aplikacji Google

Kod pocztowy Województwo Mazowieckie. Faks Adres internetowy (URL)

Transkrypt:

Wczesne ostrzeganie, czyli jak przewidywa ataki komputerowe Piotr Kijewski, CERT Polska piotr.kijewski (at) cert.pl Wstp Rosnca liczba ataków komputerowych, ich rozszerzajcy si zasig i stopie skomplikowania sprawia, e coraz wiksz warto w ochronie informacji maj wczesne informacje o potencjalnym zagroeniu dla zasobów komputerowych. Dziki takim informacjom, moliwe staje si wczeniejsze przygotowanie si do ochrony przed atakiem i uniknicie jego potencjalnych skutków. Powstaje pytanie, jakie informacje maj znaczenie w przewidywaniu nadchodzcego ataku. Oczywicie, mona sobie wyobrazi, e rocznice pewnych wydarze czy na przykład sytuacja geopolityczna na wiecie, sprawi, e niektóre organizacje czy pastwa stan si bardziej zagroone atakiem ni inne. Rozwaania tego typu s jednak poza zakresem tego artykułu. Zamiast tego, warto si skupi na samym mechanizmie ataków komputerowych i tego, co tkwi u ich podstawie, czyli luk. Cykl ycia ataku komputerowego Proces zaistnienia danej luki składa si z kilku etapów. Pierwsze etap to opublikowanie danej luki, drugi to opublikowanie exploita na t luk, nstepnie luka zaczyna by wykorzystywana w atakach, a na koniec pojawia si samo-propagujcy kod, który w sposób zautomatyzowany wykorzystuje luk. Podczas kadego z etapów pojawia si inny charakter informacji, które mog by wykorzystane do wczesnego ostrzegania. Mona wyróni trzy podstawowe rodzaje informacji zwizanych z powyszym cyklem ycia ataku komputerowego : informacje o podatnociach, informacje o zagroeniach, informacje o incydentach. Poprzez zagroenie rozumiane jest narzdzie umoliwiajce wykorzystanie danej luki (podatnoci) do ominicia zabezpiecze. Incydent to z kolei efekt wykorzystania tego narzdzia.

PODATNOCI ZAGROENIA EXPLOIT INCYDENTY SYGNAŁY WYKORZYSTANIA ROBAK Rysunek 1. Obieg informacji zwizanych z wykorzystaniem podatnoci Na rysunku odzwierciedlono przebieg rozwoju zdarze zwizanych ze sposobem wykorzystania wikszoci luk. Obecnie dosy typowy jest fakt dotarcia do robaka dopiero po zaobserwowaniu sygnałów wykorzystania luki. Exploity zazwyczaj s publikowane wczeniej. Nie jest to jednak jedyny moliwy scenariusz. Coraz czciej zdarzaj si przypadki, kiedy pojawiaj si sygnały wykorzystania zupełnie nowej, wczeniej nie opublikowanej luki. W takiej sytuacji obieg informacji jest odwrócony pierwsze informacje dotycz sygnałów włamania, dopiero na samym kocu dochodzimy do informacji o luce. W skrajnym przypadku sygnały włamania mog by efektem propagacji nowego robaka. Wczesne ostrzeganie - informacje o podatnociach Na etapie analizy podatnoci moliwe jest okrelenie jej skali zagroenia. Oczywicie niektóre luki, których waga zostanie okrelona jako niska mog dla niektórych organizacji okaza si gro ne ze wzgldu na specyfik wykorzystania bd konfiguracji podatnej aplikacji. Moliwe jest rozpoznanie cech podatnoci pod ktem zakresu jej skutecznego wykorzystania do uzyskania zdalnego dostpu, a nawet okrelenia niektórych cech przyszłego robaka, który tak luk by wykorzystywał. Na przykład luka w aplikacji osigalnej na porcie UDP bdzie sprzyjała raczej błyskawicznemu robakowi o profilu Slammer a ni luka, która moe by wykorzystana przez protokół TCP. Okrelenie wszystkich potencjalnych scenariuszy ataku 1 pozwala na zidentyfikowanie metod propagacji poprzez okrelenie, jakie numery portów bd najprawdopodobniej atakowane. 1 ang. attack vectors

Warto zauway, e dotychczas prawie wszystkie masowe infekcje hostów zdarzały si dopiero po opublikowaniu - przez danego producenta - informacji o luce. Jednake reakcja wielu administratorów jest wci zbyt wolna. Według bada [1], czas od opublikowania informacji o istnieniu łaty na dan luk do czasu załatania połowy systemów podatnych na t luk wynosi 21 dni (w ubiegłym roku czas ten wynosił 30 dni). Zdarza si te, e po kilku takich cyklach ilo podatnych systemów w sieci ronie. Wczesne ostrzeganie - informacje o zagroeniach Drugim sygnałem ostrzegawczym o moliwym ataku jest opublikowanie exploita na dan luk. Zazwyczaj oznacza to, e luka ta ju jest wykorzystywana w sieci. Jest to ostatni sygnał dla administratorów do podjcia działania. Nastpnym etapem jest (zaley to oczywicie od cech danej luki) ju zagroenie w postaci robaka lub wirusa. Biorc pod uwag szybko propagacji współczesnych zagroe, informacje o tym fakcie to najczciej przysłowiowa musztarda po obiedzie, jeeli chodzi o jej przydatno we wczesnym ostrzeganiu. Oczywicie zdarzaj si wyjtki, np. jeeli wykorzystywany jest 0-day exploit 2. Wczesne ostrzeganie - informacje o incydentach Informacje o incydentach pozwalaj na wczesne ostrzeenie o nowych rodzajach ataków. Incydenty mog by bardzo róne np. informacje o włamaniu, log z systemu IDS, e-mail z dziwnym załcznikiem (co sugeruje nowy rodzaj wirusa, niewykrywalnego przez oprogramowanie antywirusowe), lub przypadek phishingu. Powysze informacje s przydatne w okreleniu, w jakiej fazie zaawansowania jest dana luka, a take do wykrywania zupełnie nowych, wczeniej nie znanych i nigdzie nie opisanych ataków i zagroe. Szczególnym przypadkiem informacji o incydentach s informacje uzyskiwane w wyniku monitorowanie sieci rozległej pod ktem wystpujcych w niej anomalii i nowych, charakterystycznych wzorców zachowa. W wyniku takich obserwacji czsto moliwe jest rozpoznanie ataków o charakterze zautomatyzowanym, zanim stan si powszechne i podjcie próby zablokowania ich. Zrozumie zagroenia Wyłamywanie si zagroe z tradycyjnego cyklu (przedstawionego na Rysunku 1) sprawia, e coraz wiksze znaczenie w procesie wczesnego ostrzegania nabiera informacja o sygnałach wykorzystania danej luki (czyli incydentów) dotychczas domen głównie firm antywirusowych. W artykule tym skupimy si na specyficznych sygnałach wykorzystania danej luki, wynikajcych przede wszystkim z propagacji zautomatyzowanych zagroe takich jak robaki. W tym celu konieczne jest wyjanienie dotyczce mechanizmów propagacji robaków, co wie si sposobem ich wykrywania i potencjaln prób zahamowania tej propagacji. 2 Czyli exploit na wczeniej nie-opublikowan luk

Mechanizmy propagacji zautomatyzowanych zagroe Dwa najwaniejsze czynniki, które decyduj o wykrywaniu zautomatyzowanych zagroe to wybór celu (target selection) i metoda propagacji. W taksonomii robaków 3 [2] zidentyfikowano nastpujce sposoby wyboru celu: skanowanie, wczeniej przygotowana lista celów, zewntrznie generowana lista celów, wewntrznie generowana lista celów, pasywny wybór celu. Skanowanie jest najczciej stosowan metod wyboru celu (czsto rónicych si samym algorytmem). Jest ono wykorzystywane przez wiele najsłynniejszych robaków, w tym Code Red, Nimda, MS Blaster, Sasser czy wspominany ju wczeniej Slammer. Poniewa skanowanie wie si z generacj duej iloci nietypowego ruchu, propagacja takich zagroe jest stosunkowo prosta do wykrycia. Wczeniejsze przygotowanie listy celów - do wykorzystania przez zagroenie - jest moliwe przez atakujcego. Istniej pewne przesłanki, które wiadcz o tym, e tak mogło by w przypadku robaka Witty [3]. Zewntrzne generowanie listy celów przez zagroenie jest równie moliwe na przykład robak wykorzystuje wyszukiwark Google do wyszukania podatnych komputerów przykładem moe by wirus mydoom.o. Z kolei wewntrznie generowana lista celów to przypadek, w którym zagroenie, na podstawie danych zebranych z ju zainfekowanych komputerów, identyfikuje dalsze obiekty ataku. Tak działał pierwszy słynny robak Internet Worm z 1988. Tak działa te wikszo obecnie spotykanych wirusów pocztowych. Natomiast pasywny wybór celu to metoda zupełnie inna od pozostałych. Tutaj wyzwalaczem jest uytkownik, komunikujcy si z aplikacj, w której zaszyte jest zagroenie i dziki temu je aktywuje. Najczciej dzieje si tak za porednictwem aplikacji WWW. Przykładem takiego zagroenia jest wirus Download.ject. Wany do lepszego zrozumienia zagroenia, jest jego sposób transmisji: samonioscy, drugi kanał, embedded. Duo zagroe transmituje pełny złoliwy kod jako cz procesu infekcji (przykładem moe tutaj by Slammer). Inne otwieraj drugi kanał do transmisji złoliwego kodu np. robak Blaster wykorzystywał exploit na RPC DCOM do włamania si do systemu, nastpnie otwierał kanał TFTP do ródła ataku aby cign swoj kopie. Mona sobie te wyobrazi zagroenia, które bd si maskowa jako cz normalnego kanału komunikacyjnego, sprawiajc powane trudnoci w wykryciu propagacji. Wybrane praktyczne podejcia do wczesnego ostrzegania Najbardziej znanym systemem wczesnego ostrzegania jest Internet Storm Center [4] prowadzony przez SANS Institute. System korzysta z rónych ródeł informacji - 3 Chocia w taksonomii tej skupiono si na robakach, to mona j zastosowa do rónych zautomatyzowanych zagroe

podatnoci, incydenty, zagroenia czsto zgłaszanych przez uytkowników z zewntrz. Informacje przetwarzane s przez człowieka, jednak jedn z podstaw systemu jest rozproszony IDS o nazwie DSHIELD. DSHIELD zbiera informacje o pakietach odrzucanych przez firewalle i informacje o skanowaniu portów z systemów IDS z rónych ródeł na wiecie. Pozwala to na uzyskanie obrazu nielegalnej aktywnoci na portach, która moe by spowodowana propagujcym si zagroeniem. Dostarczycielem danych do systemu moe by kady, kto dysponuje firewallem lub systemem IDS. Analiza ruchu na portach jest podstaw wielu projektów, których celem jest wczesne ostrzeganie o atakach komputerowych. Róni si one ródłami z jakich korzystaj. Organizacja CAIDA (Cooperative Association for Internet Data Analysis) korzysta z teleskopu sieciowego (ang. network telescope) do monitorowania ataków sieciowych na du skal. Teleskop sieciowy to obszar przestrzeni rutowalnej IP, do której nie ma adnego legalnego ruchu [5]. Umoliwia on obserwacje nie tylko zagroe, które korzystaj ze skanowania jako metody znalezienia ofiary ale take obserwacje ataków DDoS, w sytuacji, w której ataki te przeprowadzane bd ze sfałszowanym ródłowym numerem IP pochodzcym z zakresu nalecego do teleskopu. Podobnie czyni te inne organizacje: przykładowo, SWITCH-CERT wykorzystuje nieprzydzielon przestrze adresow szwajcarskiej sieci akademickiej SWITCH. Dane pochodzce z systemu s udostpniane na stronie projektu Internet Background Noise (http://www.switch.ch/security/services/ibn/) w postaci wykresów iloci pakietów napływajcych na poszczególne porty w czasie [6]. Podobne podejcia czynione s te za pomoc honeypotów [7]. W tym wypadku dodatkow zalet jest fakt, e zyskuje si zdolno obserwacji wikszej interakcji z atakowanym systemem, co pozwala na lepsze zrozumienie ataków. W efekcie mona próbowa ataki opisa lub wyrazi w postaci sygnatury, jak w przypadku narzdzia honeycomb [8]. Jakie s ograniczenia obecnych systemów wczesnego ostrzegania? Charakterystyczne dla wikszoci powyszych projektów jest fakt, e ilo typów ródeł z jakich korzystaj jest ograniczona. Tym samym ograniczona jest moliwo wykrywania rónych typów ataków. Dodatkowo przeprowadzana automatyczna analiza jest czsto bardzo podstawowa w systemie DSHIELD jest to jedynie prosta analiza trendów. Wynika to w duej mierze z faktu, e monitorowane s tylko dane dotyczce ruchu na poziomie portów. W takiej sytuacji prawdopodobne jest wykrycie anomalii, ale nie wiadomo, czym anomalia jest tak naprawd spowodowana i czy rzeczywicie jest objawem ataku. Reszta wymaga zastosowania innych ródeł i rcznych analiz. Próby uycia zautomatyzowanych analiz podjto w projekcie e-csirt.net 4 [9]. Tutaj, jako ródła wykorzystano systemy IDS w rodowisku honeypotów, oraz ARGUS - pakiet netflow. Pierwsze miały posłuy do wykrywania ataków znanych, drugie do wykrywania ataków nieznanych. Jednake wikszo analiz to analizy statystyczne za dane okres. Wyniki tej czci projektu dostpne s publicznie pod adresem http://www.ecsirt.net. 4 W projekcie e-csirt.net prowadzonym w ramach 5 Programu Ramowego UE uczestniczył take zespół CERT Polska

Jedn z bardziej wyszukanych metod stosowanych w praktyce do wykrywania zautomatyzowanych zagroe jest technika estymacji Bayesowskiej wykorzystywana w projekcie WCLSCAN [10]. Obserwowana jest rónica pomidzy czstotliwoci skanowa na porty i ich trendów, na bazie których liczone jest prawdopodobiestwo, e stan sieci jest krytyczny bd nie. Interesujc prób przewidywania trendów w atakach podjto równie w projekcie Honeynet [11]. Na podstawie danych zbieranych w ramach projektu, postanowiono sprawdzi za pomoc modeli statystycznych ARIMA 5 i SPC 6, czy moliwe jest przewidzenie, kiedy nastpi atak na system na podstawie skanowa, którym wczeniej system został poddany. Według wstpnych wyników, okazało si to w pewnym stopniu moliwe. ARAKIS projekt zespołu CERT Polska ARAKIS (Agregacja, Analiza, i Klasyfikacja Incydentów Sieciowych) jest projektem zespołu CERT Polska, który ma na celu wykrywanie i opisywanie zagroe sieciowych (w szczególnoci zautomatyzowanych). Aby rozszerzy moliwoci wykrywania nowych zagroe w stosunku do rozwiza przedstawianych powyej, system ma korzysta z wielu ródeł, w tym firewalli, honeypotów, darknetów 7, ruterów w sieci rozległej, systemów IDS i systemów antywirusowych. System ma za zadanie opisa zagroenie na dwa sposoby: poprzez wygenerowanie opisu zachowania zagroenia (np. sekwencje wymiany pakietów, wykorzystywanych portów, nastpujcych po sobie połcze czy flow ów), a take poprzez wygenerowanie jednoznacznej sygnatury zagroenia bd ataku przez nie wykorzystywanego. Sygnatury takie mog by nastpnie wykorzystane w klasycznych systemach IDS. Wan czci prac nad systemem stanowi badania nad algorytmami i metodami sztucznej inteligencji, które mog wspomóc tego typu analizy. Na stronie http://www.arakis.pl udostpniane s wybrane analizy dotyczce systemów firewall, w tym analiza trendów ataków na porty oraz analiza ródeł ataków. Opracowywany jest nowy engine, który ma pozwoli na znacznie bardziej zaawansowane analizy i korelacje zdarze. Jaka jest przyszło wczesnego ostrzegania? Przyszło wczesnego ostrzegania wie si przede wszystkim z dalsz automatyzacj i próbami wykorzystywania technik sztucznej inteligencji (w tym data mining) do efektywniejszej korelacji zdarze i wnioskowania. Trwaj prace nad stworzeniem standardów wymiany informacji o incydentach (IODEF) [12], wspólnym formatem dotyczcym zalece (jak np. CAIF) [13], a take wspólnym formatem dotyczcym opisu podatnoci (VEDEF) [14]. Standardy te maj na celu midzy innymi ułatwienie procesu automatyzacji. Trwaj równie badania nad wczesnym ostrzeganiem na podstawie zdarze sieciowych. Ewolucja zagroe jak i samego Internetu moe w przyszłoci znaczco wpłyn na podejcia do wczesnego ostrzegania. Przykładowo, w IPv6 skanowanie jest mało 5 Autoregressive Integrated Moving Average 6 Statystyczne sterowanie procesem (Statistical Process Controls) 7 Darknet to inne okrelenie na opisywany wczeniej teleskop sieciowy

praktycznym podejciem do zagadnienia wyboru celu ze wzgldu na znacznie rozszerzon - w stosunku do IPv4 - przestrze adresow. Coraz wiksze znaczenie bd miały ataki na poziomie aplikacji i zagroenia propagujce si za pomoc pasywnej metody wyboru celu. Naley pamita, e zjawisko zautomatyzowanych zagroe jest zjawiskiem stosunkowo nowym, wynikajcym te z faktu dominacji jednego typu systemu operacyjnego. Nowe technologie, jak w przypadku Microsoft, Windows XP SP2 a take inne próby zwalczania monokultury systemowej mog wpłyn na zmian obrazu zagroe w przyszłoci. Literatura [1] Qualys, Inc, The Laws of Vulnerabilities http://www.qualys.com/research/rnd/vulnlaws/ [2] Nicholas Weaver, Vern Paxson, Stuart Staniford, Robert Cunningham, A Taxonomy of Computer Worms, October 2003, http://www.cs.berkeley.edu/~nweaver/papers/taxonomy.pdf [3] Colleen Shannon, David Moore, The Spread of the Witty Worm, CAIDA, 2004, http://www.caida.org/analysis/security/witty/ [4] SANS Internet Storm Center, http://isc.sans.org [5] David Moore, Colleen Shannon, Geoffrey M. Voelker, Stefan Savage, Network Telescopes: Technical Report, CAIDA, July 2004 http://www.caida.org/outreach/papers/2004/tr-2004-04/ [6] Peter Haag, Internet Background Noise, Workshop on Detection of Security Anomalies, Hamburg, May 2004 [7] Honeynet Project, http://www.honeynet.org [8] Christian Kreibich, Jon Crowcroft, Honeycomb - Creating Intrusion Detection Signatures Using Honeypots, 2003 http://www.cl.cam.ac.uk/~cpk25/honeycomb/ [9] e-csirt.net The European CSIRT Network (5 th European Framework Program), http://www.ecsirt.net [10] Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki Ohno, Internet Threat Detection System Using Bayesian Estimation, FIRST 16 th Annual Conference, Budapest, June 2004 [11] Honeynet Project, Know Your Enemy: Statistics, July 2001 http://honeynet.nihilisme.ca/papers/stats/ [12] Incident Object Description and Exchange Format (work in progress), http://www.cert.org/ietf/inch/inch.html [13] Common Announcement Internet Format (work in progress) http://cert.uni-stuttgart.de/projects/caif/ [14] Vulnerability and Exploit Description Exchange Format (work in progress), http://www.niscc.gov.uk/niscc/vedef-en.html

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres