Filtrování škodlivého obsahu pro vyšší bezpečnost

Martin Šimek | 19.02.2013 | Bezpečnost | Žádné komentáře

Zneužívání internetu k trestné činnosti je dnes tak běžné, že se nad tímto fenoménem snad už nikdo nepozastavuje. Zločin je vždy o krok napřed a na možnosti internetu se stihl adaptovat velmi rychle.

Krádeže identity, krádeže strategických dat, rozesílání spamu, zneužívání výpočetní kapacity napadených počítačů, hostování podvodných webů, provádění distribuovaných útoků DOS, to je jen několik příkladů trestné činnosti na síti. S nástupem elektronických plateb a měny bitcoin lze být na internetu okraden i o peníze uložené u poskytovatele elektronické peněženky.

Jak hrozící nebezpečí identifikovat a co nejefektivněji jej eliminovat?

Rozpoznání útoku

Tak jako je podvádějící student nápadný svým nadměrným sledováním okolí a oděvem s dlouhými rukávy, je i nebezpečný síťový provoz charakteristický svým obsahem a frekvencí. Na rozdíl od taháků při zkoušce má škodlivý obsah mnohem větší možnosti maskování. Někdy se maskuje tak, aby vypadal jako neškodný paket z prohlížeče, jindy využívá pro přenos protokoly sítí P2P. Nezřídka vysílá spyware získané informace v předzpracované podobě, aby výrazně omezil jejich množství a ztížil tak svou identifikaci.

Přenášená data vždy obsahují nějakou charakteristiku. Vlastní hlavičky, podezřelou identifikaci prohlížeče nebo prostě unikátní sekvenci dat, kterou se prozradí. Útoky používající šifrování přenosu neposkytují možnost rozpoznání obsahu, ale jsou nápadné svým chováním v čase. Velikost paketů, frekvence a především jejich cíl jsou dostatečné příznaky pro jejich odhalení. Stejně stahování ze serverů známých hostováním škodlivého obsahu je známkou toho, že mohlo dojít k napadení počítačů ve vnitřní síti.

Systém, který se stará o rozpoznání škodlivé provozu, se nazývá Intrusion Detection System (IDS). Jeho síla spočívá v pravidlech pro hodnocení škodlivého obsahu. Tato pravidla vydávají lidé na základě chování skutečných škůdců nebo na základě definování limitů pro normální chování různých protokolů. Dále udržují seznamy veřejných IP adres, které figurují v činnostech nebezpečného softwaru, tzv. blacklisty.

Člověk a ani počítač není neomylný, a tak může docházet k falešným poplachům (false-positive), když se bezpečný přenos vyhodnotí jako škodlivý a je zablokován. Z tohoto důvodu musejí být pravidla klasifikována podle závažnosti a spolehlivosti rozpoznání útoků. Každé třídě pravidel pak přidělujeme akci, kterou má systém pro prevenci udělat. Zpravidla jde o kombinaci okamžitého ukončení přenosu a logování. Při pravidlech a blacklistu je důležité mít možnost učinit výjimku, protože jedna IP adresa může hostovat více domén. Vedle špatné i tu klíčovou pro provoz firmy.

Bezplatnou IDS poskytují například projekty Surricata a Snort, které fungují s bezplatnými pravidly od Emerging threaths, kam přispívá globální komunita. Komerční řešení, která využívají tato pravidla, obvykle vydávají vlastní aktualizace po krátké karanténní době. Případně se kupují už predzpracovaná pravidla.

Endpoint security

Firewall mezi lokální sítí a internetem provádí de facto odposlech, přičemž data po klasifikaci neskladuje ani neodesílá třetí straně. Jde tedy o autorizovaný odposlech pro dobro celé sítě. Ale citlivé informace stejně jako přihlašovací údaje chceme mít proti odposlechu v absolutním bezpečí. Proto používáme šifrované přenosy. Ty jsou díky silným kryptografickým metodám nečitelné pro všechny prvky po cestě mezi klientem a serverem a chrání nás tak před odcizením informací nebo identity. Krádeže identit mohou útočníkovi vynést od 5 centů až do 50 dolarů za jednu identitu – podle toho, jak je daná identita zainteresovaná do cílového systému. Klasifikace šifrovaného provozu je řádově těžší úkol. V případě webů lze použít IP adresu a certifikát, kterým se server identifikuje ještě v otevřené podobě. Není to sice tak silný příznak jako celé URL, ale na blokování nechtěných serverů je dostatečný.

Proti útokům se šifrovaným přenosem se dá bránit na koncových bodech, kde lze získat data v otevřené podobě. Základem by měl být antivirový program a osobní firewall na každé pracovní stanici. Webový prohlížeč poskytuje nešifrovaná data antiviru a ten je zkontroluje ještě před tím, než jsou odeslána nebo interpretována. Malware může být do stránky přidán jako infikované PDF nebo je prostě stažen ručně na základě triků sociálního inženýrství. Ať už se do počítače dostane jakkoli, dokáže ovlivnit činnost bezpečnostního softwaru klienta tak, aby utajil svou přítomnost.

Napadený počítač generuje specifický síťový provoz, kterou by měl zmíněný IDS rozpoznat a ukončit. Administrátor firemní infrastruktury je upozorněn e-mailem a následně se postará o nápravu. Na základě logů IDS a antiviru dále upravuje pravidla pro využívání internetu tak, aby zamezil přístup nejen na konkrétní weby, ale i obecně na weby s potenciálně škodlivou tematikou, a tedy i škodlivým obsahem. Hodnocení webů probíhá na základě URL, které je unikátním klíčem do databáze poskytovatele hodnocení. Jako odpověď se vrátí jedna z desítek kategorií, ke kterým administrátor definuje přístupová práva pro jednotlivé uživatele a skupiny.

Kombinace

Z uvedeného vyplývá, že nebezpečí se může skrývat v některé z více vrstev síťové komunikace, a proto nelze podceňovat filtrování ani jedné z nich. Síťovou vrstvu (IP) obstarají blacklisty, přenosovou vrstvu (TCP / UDP) zkoumá IDS a aplikační a vyšší jsou starostí protokolových inspektorů spolupracujících s antivirovým programem. Pokud se škodlivý obsah přenáší v šifrované podobě, měl by zasáhnout antivirový program na klientské stanici, který má přístup k otevřené podobě dat. V neposlední řadě je potřeba šířit osvětu mezi zaměstnanci a naučit je rozpoznat triky sociálního inženýrství, aby jim tak snadno nepodléhali.

Autor článku je vývojářem společnosti Kerio Technologies.

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


dva − jedna =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz