Угрозы IT-безопасности постоянно развиваются, чтобы от них защититься необходимо стать более изобретательными.
Безопасность сети и конечных точек не лучшее место для экспериментов. В конце концов, защита систем и данных компании должна ставить под сомнение любые действия, которые могут представлять риск. Но угрозы IT-безопасности постоянно развиваются, и иногда приходится нестандартно мыслить, чтобы опередить более изобретательных злодеев.
Чарльз Бэббидж (отец современного компьютера), однажды сказал: «Предложите человеку любой принцип или инструмент, каким бы замечательным он ни был, и вы увидите, что все усилия направлены на то, чтобы найти в нем трудность, дефект или невозможность. Если вы говорите с ним о машине для очистки картофеля, он скажет, что это невозможно: если вы очистите картофель перед его глазами, он скажет, что это бесполезно, потому что машина не порежет ананас».
Мир сетевой безопасности ничем не отличается. Предложите новое средство защиты ИТ и ждите сопротивления. В этом ключе мы предлагаем 10 идей IT-безопасности, которые были — и во многих случаях все еще остаются — отвергнутыми как слишком необычные для работы, но которые достаточно эффективно помогают защитить ИТ-активы компании. Компании, использующие эти методы, не заботятся о спорах или успокоении скептиков. Они видят результаты и знают, что эти методы работают, и работают хорошо.
Переименование привилегированных учетных записей в нечто менее очевидное, чем «администратор», часто воспринимается как расточительная защита «безопасность за неизвестностью». Однако эта простая стратегия IT-безопасности работает. Если злоумышленник еще не проник в вашу сеть или хост, нет оснований полагать, что он сможет легко определить новые имена для ваших привилегированных пользователей. Если они не знают имен, они не могут организовать успешную кампанию по подбору пароля.
Еще больший бонус? Никогда в истории автоматизированного вредоносного ПО — кампании, обычно монтируемые на рабочие станции и серверы, — атака не пыталась использовать что-либо, кроме встроенных имен учетных записей. Переименовывая своих привилегированных пользователей, вы побеждаете хакеров и вредоносное ПО за один шаг. Кроме того, легче отслеживать и оповещать о попытках входа в систему с исходными именами привилегированных пользователей, когда они больше не используются.
Другая рекомендация состоит в том, чтобы избавиться оптом от всех привилегированных пользователей: администратора, администратора домена, корпоративного администратора и всех других учетных записей и групп, которые имеют встроенные, широко распространенные привилегированные разрешения по умолчанию.
Когда это предлагается, большинство сетевых администраторов смеются и протестуют, такую же реакцию получают эксперты по IT-безопасности, когда рекомендуют отключить локальные учетные записи администраторов на компьютерах с Windows. Затем Microsoft последовала этой рекомендации, по дефолту отключила локальные учетные записи администраторов в каждой версии Windows, начиная с Vista / Server 2008 и более поздних. Мир не рухнул.
Правда, Windows по-прежнему позволяет вам создавать альтернативную учетную запись администратора, но самые агрессивные защитники IT-безопасности сегодня рекомендуют избавиться от всех встроенных привилегированных учетных записей, по крайней мере, на постоянной основе. Тем не менее, многие сетевые администраторы считают, что это слишком большой шаг, слишком жесткая мера, которая не сработает. Ну, по крайней мере, одна компания из списка Fortune 100 удалила все встроенные привилегированные учетные записи, и это прекрасно работает.
Современные компьютерные приманки — honeypot (англ. «горшочек с мёдом»), были известны еще со времен книги Клиффорда Столла: «The Cuckoo’s Egg» (Кукушкины яйца) 1989г., и они до сих пор не настолько уважаемы и не так широко приняты, как того заслуживают. Хост-ловушка — это любой компьютерный ресурс, настроенный исключительно для атаки. Такие ловушки не имеют производственной ценности. Они сидят и ждут, и за ними следят. Когда хакер или вредоносная программа касается их, они отправляют уведомление администратору, чтобы его можно было изучить. Они обеспечивают низкий уровень шума и высокую стоимость.
Магазины, использующие хосты-ловушки, быстро получают уведомления об активных атаках. На самом деле ничто не сравнится с приманкой для раннего предупреждения — за исключением группы хостов-ловушек. Тем не менее, клиенты, как правило, недоверчивы, к подобного рода ловушкам. иногда лучшее, что вы можете сделать, это попробовать.
Еще один способ минимизации риска для IT-безопасности — установка служб на нестандартных портах. Подобно переименованию привилегированных пользователей, эта тактика «безопасность за неизвестностью» действует достойно. Когда в нулевые, угрозы переполнения буфера становятся вооружены червями, компьютерными вирусами и т. д., они всегда — и только — используют порты по умолчанию. Это относится к пользователям SQL-инъекций, HTTP-червям, обнаружителям SSH и любым другим распространенным портам удаленного доступа.
Недавно Symantec pcAnywhere и протокол удаленного рабочего стола Microsoft пострадали от удаленных эксплойтов. Когда эти эксплойты стали оружием, защитники начали гонку со временем, чтобы применить патчи или заблокировать порты до того, как черви могли появиться. Если бы какой-либо сервис работал на нестандартном порте, гонка даже не началась бы. Это связано с тем, что в истории автоматизированных вредоносных программ, вредоносные программы использовали только дефолтные порты.
Критики этого метода защиты говорят, что хакеру легко найти, куда был перемещен порт, и это правда. Все, что требуется, — это сканер портов, такой как Nmap, или приложение для отпечатков, такое как Nikto, чтобы идентифицировать приложение, работающее на нестандартном порте. На самом деле, большинство атак автоматизируются с использованием вредоносного ПО, которое, как указано, предназначено только для портов по умолчанию, и большинство хакеров не заботятся о поиске нестандартных портов. Они находят слишком много «плюшек» на дефолтных портах, чтобы беспокоиться о дополнительных неудобствах. Тот же Nmap, без тонкой настройки, не смотрит на нестандартные порты. Это доказывает, что, делая простое перемещение порта, вы значительно снижаете риск.
Еще одна защита типа «безопасность за неизвестностью» — это установка приложений в нестандартные каталоги.
Это работает не так хорошо, как раньше, учитывая, что большинство атак сегодня происходит на уровне файлов приложений, но все же имеет ценность. Как и в предыдущих рекомендациях по защите типа «безопасность за неизвестностью», установка приложений в нестандартные каталоги снижает риск — т.к. автоматизированное вредоносное ПО практически всегда смотрит каталоги по умолчанию. Если вредоносная программа может использовать вашу систему или приложение, она будет пытаться манипулировать системой или приложением, ища дефолтные каталоги. Установите свою ОС или приложение в нестандартный каталог и вы сломаете его код.
На многих моих приманках устанавливают ОС в нестандартные папки — скажем, в C:/Win7 вместо C:/Windows. Также обычно создают «поддельные» папки, которые имитируют настоящие. Когда компьютеры подвергаются атакам, легко найти полные и изолированные копии вредоносных программ, которые находятся в папке C:/Windows/System32.
Смена папок на нестандартные, не так выгодна, как другие методы, упомянутые здесь, но она обманывает тонны вредоносных программ, а это означает снижение риска.
Tarpit — это порт-ловушка, который используется для замедления входящих соединений. Если сторонняя система подключается к этому порту, то быстро закрыть соединение не получится. Ей придётся тратить свои системные ресурсы и ждать, пока соединение не прервётся по таймауту, или вручную разрывать его.
Данный метод был разработан во время появления червя Code Red IIS в 2001 году. Том Листон разработал оригинальную программу LaBrea. Черви легко реплицируются на любую систему, которая соответствует их возможностям использования. LaBrea работала, отвечая на попытки подключения по адресам, которые еще не были назначены легальным машинам. Затем он отвечал и сообщал червю о возможности подключиться, а оставшуюся часть времени проводил, пытаясь замедлить работу червя, используя различные приемы протокола TCP: длительные тайм-ауты, множественные повторные передачи и т. д.
Чаще всего тарпиты применяют для защиты. Технику впервые разработали для защиты от компьютерных червей. А сейчас её можно использовать, чтобы испортить жизнь спамерам и исследователям, которые занимаются широким сканированием всех IP-адресов подряд
Сегодня многие сети (и приманки) имеют данную функцию, которая отвечает за любую недопустимую попытку подключения. Благодаря Tarpit, атаки сканирования структуры сети замедляются до невозможности — они непригодны для использования, что и является целью. Соединение будет висеть до тех пор, пока не прервется само по таймауту. Причем компьютер злоумышленника, который инициировал соединение, будет тратить системные ресурсы, а ваш компьютер просто будет останавливать попытки передачи данных, что практически не расходует ресурсов.
Из-за обилия иностранных атак, одним из лучших способов обнаружить массовое хищение данных является анализ потока сетевого траика. Доступно бесплатное и коммерческое программное обеспечение для картирования ваших сетевых потоков и установления базовых показателей того, что и куда должно идти. Таким образом, если вы внезапно и неожиданно видите сотни гигабайт данных, отправляющихся за границу, вы можете провести расследование. Большинство атак APT (англ. advanced persistent threat — «развитая устойчивая угроза» и целевая кибератака), были бы обнаружены несколькими месяцами ранее, если бы жертва имела представление о том, какие данные должны отправляться, куда и когда.
Заставки, защищенные паролем, это простая техника для минимизации риска для IT-безопасности. Если вычислительное устройство слишком долго простаивает, появляется экранная заставка, требующая ввода пароля. Долго критикуемые пользователями, которые считают это неудобством для своей работы, теперь они являются основным элементом любого вычислительного устройства, от ноутбуков до планшетов и мобильных телефонов.
Большая часть компьютерного риска связана с действиями пользователей в Интернете. Организации, которые отключают просмотр Интернета или весь доступ в Интернет на серверах, которым не требуются подключения, значительно снижают риск того, что сервер будет подвержен вредоносному ПО. Вы не хотите, чтобы скучающие администраторы проверяли свою электронную почту и размещали сообщения на сайтах социальных сетей, пока они ждут патча для загрузки. Вместо этого заблокируйте то, что не нужно. Для компаний, использующих серверы Windows, рассмотрите возможность отключения UAC (Контроль учетных записей пользователей), поскольку отсутствует риск для рабочего стола, который минимизирует UAC. UAC может вызвать некоторые проблемы с IT-безопасностью, поэтому его отключение для настройка сильной безопасности является благом для многих организаций.
Любая организация, производящая пользовательский код, должна интегрировать методы обеспечения безопасности в свой процесс разработки, гарантируя, что безопасность кода будет проверена и встроена с первого дня в любом проекте. Это абсолютно снизит риск эксплуатации в вашей среде.
Эта практика, также известная как SDL (англ. Security Development Lifecycle — жизненный цикл безопасной разработки), отличается от преподавателя к преподавателю, но часто включает следующие принципы: использование безопасных языков программирования; избегание заведомо небезопасных функций программирования; обзор кода; проверка на проницаемость; и список других лучших практик, направленных на снижение вероятности создания кода с ошибками безопасности.
Microsoft, например, удалось значительно сократить количество ошибок безопасности в каждом продукте с момента внедрения SDL.
Как видите — немного сойти с ума, или иногда идти против течения традиционного мышления — самый верный путь к успеху.
Понравилась статья? Поделись!
Нет желания разбираться? Закажи у нас!