niedziela, lutego 25, 2007

Wojna między dobrem a złem

Tak określa aktualną sytuację w internecie Shimon Gruper, wizeprezydent od spraw technologii w firmie eSafe - która to należy do znanego koncernu Aladdin. Shimon Gruper to jeden z pionierów bezpieczeństwa informatycznego.

Zło
W swym niedawno wygłoszonym odczycie Gruper obrazowo przedstawił zmiany zagrożeń, jakie właśnie zachodzą w internecie. Celem dzisiejszych ataków są przede wszystkim pieniądze. Atakują nas coraz rzadziej hackerzy, którzy chcą zdobyć światową sławę swym wyczynem. Oni pracują dzisiaj dla kryminalnych organizacji, szukając luk bezpieczeństwa czy tworząc expolity.

Te kryminalne organizacje natomiast zalewają nas spamem, szantażują grożąc atakami typu DOS (denial of Service), kradną nasze dane osobiste (jak hasło do naszego konta bankowego, czy dane naszej karty kredytowej) lub gospodarcze tajemnice naszej firmy instalując na naszych komputerach niezauważalne trojany. Gruper podkreśla, że produkcja złośliwego oprogramowania (malware) i jego stosowanie to już dziś spory przemysł, który osiąga olbrzymie zyski przy bardzo niskich inwestycjach. Jak widać jest to bardzo atrakcyjny interes, który przyciąga coraz to nowe rzesze kryminalistów zainteresowanych szybkim i łatwym zyskiem.

Dobro
Przed tym rosnącym zagrożeniem musimy bronić się. Czy jednak dzisiaj stosowane systemy obronne są nadal wystarczające?

Odpowiedź na to pytanie jest niestety - "nie". Dla skutecznego zabezpieczenia przed nowymi zagrożeniami należy więc nieustannie udoskonalać systemy obronne.

Większość aktualnie stosowanych systemów obronnych można określić jako techniki statyczne. Chronią one przed znanymi już zagrożeniami, które gdzieś, kiedyś pojawiły się na świecie. Te systemy obronne bazują na tak zwanych signaturach rozpoznanych zagrożeń.

Praktycznie każda firma stosuje aktualnie zapory ogniowe (firewalls) i różne produkty antywirusowe czy antyspamowe.

To było dobrą i wystarczającą metodą obrony w czasach, gdy ataki pojawiały się dopiero wiele tygodni czy dni po wydaniu łatki (security patch) na nową odkrytą lukę bezpieczeństwa (vulnerability) i ataki te nie były kierowane przeciwko celowo wybranej grupie ofiar (na przykład nasza firma) tylko rozprzestrzeniały się po całym internecie.

W między czasie jednak tak zwane "zero day attacks", a więc ataki, które następują równocześnie, albo nawet przed ogłoszeniem łatki (patch) są na porzątku dziennym.

Inny ważny aspekt to coraz więcej ataków na nasze aplikacje webowe. Nasze firewalls blokują świetnie ataki na wszystkie możliwe porty. Oprócz ataków poprzez port 80 (protokół http).

Obraz zagrożeń zmienił się radykalnie. Najwyższy więc czas na nowe strategie obronne. Na miejsce statycznych metod trzeba zastosować metody dynamiczne. Metody bazujące na signaturach znanych ataków muszą być uzupełnione o metody behawioralne, czyli metody samoczynnie reagujące na nienaturalne zmiany w przepływie danych (data traffic) i zachowaniu użytkowników.

Głęboka analiza przepływu danych przez port 80 (deep layer 7 inspection) jest dzisiaj niezbędna dla skutecznej obrony przed atakami na nasze webowe aplikacje.

Gruper rozwiewa więc nadzieje wielu, którzy naiwnie sądzą, że te obecnie stosowane metody obrony ochronią nas przed atakami również w przyszłości. Przestępcy nieustannie udoskonalają metody ataków. Tak więc i my musimy stosować coraz to nowe metody obrony.

Brak komentarzy: