Szybkość pojawiania się nowych zagrożeń, ich różnorodność i możliwość maskowania, a także potrzeba osiągania wysokiej wydajności, niezawodności działania oraz szybkiej reakcji mechanizmów ochrony w przypadku ataku, wymusiły opracowanie nowych, bardziej skutecznych technologii.
W 2003 roku firma Check Point Software Technologies Ltd. wprowadziła na rynek technologię Application Intelligence™, umożliwiającą wszechstronny i zintegrowany sposób wykrywania zagrożeń i ochrony przed atakami na określone usługi zarówno na poziomie sieci jak i aplikacji. Innym rozwiązaniem firmy jest Stateful Inspection czyli Pełnostanowa Inspekcja przed intruzami i atakami DoS zapewniająca kompletną ochronę sieci. Jest to technologia umożliwiająca śledzenie stanu oraz kontekstu komunikacji sieciowych. Pozwala administratorom sieci na określenie dostępu do poszczególnych zasobów użytkownika i systemu.
33
W wirtualnych sieciach prywatnych wykorzystujących do komunikacji sieci ogólnodostępne (Internet) niezwykle ważne jest zapewnienie bezpieczeństwa przesyłanych pakietów. W iele zapór sieciowych wykorzystuje filtry działające właśnie w oparciu o technologię Stateful Inspection, gdyż eliminują one niedoskonałości tradycyjnych zapór sieciowych. Filtry śledzą na bieżąco pakiety przechodzące przez dany węzeł, co pozwala na znacznie skuteczniejszą kontrolę ich legalności. Są w nich przechowywane informacje na temat aktualnego stanu każdego połączenia oraz dane o kolejnych stanach dozwolonych z punktu widzenia danego protokołu i przyjętej polityki bezpieczeństwa. W metodzie tej nie jest sprawdzana zawartość całego pakietu, a jedynie jego najważniejsze elementy (na przykład porównywany jest adres IP z danymi zgromadzonymi w bazie danych).
Kolejnym rozwiązaniem firmy Check Point jest InterSpect, które opracowano w celu ochrony wnętrza sieci lokalnej poprzez system bram zabezpieczających (Intemal Security Gateway) i zapobiegających rozprzestrzenianiu się zagrożeń pochodzących z wnętrza danej sieci. IntraSpect umożliwia błyskawiczne odizolowanie zainfekowanych komputerów, a tym samych zapobiega paraliżowi całej sieci. Biorąc pod uwagę wysoki procent ataków pochodzących ze strony współużytkowników sieci lokalnej (ok. 60%), jest to bardzo pożądane rozwiązanie.
Inną technologią wartą odnotowania jest technologia eTrust opracowana przez Computer Associates, umożliwiająca wydajną, skalowalną i automatycznie uaktualnianą ochronę antywirusową. Jest ona wykorzystywana w produktach wielu firm, między innymi firmy Check Point, co zostało przykładowo opisane w poprzednim rozdziale.
Firma CommTouch opracowała technologię Zero-Hour, która umożliwia wyszukiwanie w Internecie oznak nowych masowych zagrożeń przy użyciu własnej metody Recurrent Pattem Detection. W maju 2006 roku firma F-Secure ogłosiła plan integracji w swoich narzędziach antywirusowej i antyspamowej technologii Zero-Hour umożliwiającej działanie w czasie rzeczywistym. Niestety, w narzędziach dostrzeżono luki, o czym firma F-Secure poinformowała już w następnym miesiącu.
Interesujące rozwiązania wprowadziła też firma McAfee. Ponieważ programy antywirusowe wykorzystujące analizę sygnatur wirusów nie są w stanie wykrywać i usuwać nowych zagrożeń, dlatego opracowano narzędzia oparte na heuiystyce, które mogą zapewnić znacznie skuteczniejszą ochronę. Firma M cAfee opatentowała też technologię uniemożliwiającą wykonanie kodu programu w przypadku przepełnienia bufora (jest to bardzo niebezpieczne zagrożenie, szczególnie dla serwerów). Inna technologia chroni serwer W W W i serwer bazy danych za pomocą osłon i otoczek zapobiegając niepożądanej ingerencji z zewnątrz i uniemożliwiając aplikacjom nietypową i szkodliwą działalność (np.
poprzez blokowanie dostępu do danych innych aplikacji).
Zaawansowane mechanizmy heurystyczne oferuje też technologia ThreatSense. Została ona wykorzystana w programie NOD32 firmy Eset zapewniającym ochronę przed wszelkimi zagrożeniami 64-bitowych systemów Windows X P i Windows Serwer 2003.
Na uwagę zasługuje też technologia TruPrevent - innowacyjna technologia opracowana przez firmę Panda Software, która umożliwia zwalczanie nieznanych wirusów i zagrożeń. Na przykład jest ona wykorzystywana w kompleksowym narzędziu ochronnym Panda Platinum Internet Security 2005, dostarczającym wszystkie dostępne rodzaje zabezpieczeń. Technologia TruPrevent współpracuje ze wszystkimi programami antywirusowymi, niezależnie od producenta, stanowiąc ich uzupełnienie. Jej rolą jest nie tylko zapewnienie ochrony przed nowymi wirusami, ale też w sytuacji, gdy nie została usunięta luka w systemie operacyjnym. Nie jest to technologia oparta na mechanizmie heurystycznym, lecz bazuje na analizie zachowań blokując niebezpieczne działania, gdy program antywirusowy nie reaguje. Charakteryzuje się wysoką skutecznością i brakiem fałszywych alarmów.
Z kolei Advanced Streaming Inspection (Zaawansowana Inspekcja Strumieni) - umożliwia podejmowanie decyzji odnośnie bezpieczeństwa na podstawie informacji o sesji i aplikacji. Technologia jest wykorzystywana na poziomie jądra i służy do przetwarzania kontekstu komunikacji.
Niezależną ocenę technologii bezpieczeństwa i najlepszych w tym zakresie rozwiązań prowadzi firma Gartner. W maju 2006 r. opublikowała ona raport
„Security Information and Event Management Magic Quadrant” czyli „Magiczny Kwadrant rozwiązań do zarządzania zdarzeniami i informacjami dotyczącymi bezpieczeństwa” , przy opracowaniu którego uwzględniono zdolność przewidywania i kompletność oferowanych rozwiązań [10].
8 Podsumowanie
Kompleksowość narzędzi ochrony systemów informatycznych ułatwia zadanie bezpiecznego administrowania systemem. Łączenie wielu funkcji w jednym systemie ma prowadzić do uproszczenia zadań związanych z konfiguracją i gwarantować prostotę obsługi przy pełnej skuteczności realizowanych zadań. Prowadzi też do skrócenia czasu „obsługi” oprogramowania ochronnego dzięki uruchamianiu i aktualizowaniu tylko jednej aplikacji. Ponadto gwarantuje kompatybilność uzupełniających się funkcjonalnie mechanizmów ochrony. Wszystko to wprowadza komfort pracy szczególnie istotny dla użytkowników nie dysponujących dostateczną wiedzą w zakresie bezpieczeństwa sieciowego i nie mających doświadczeń w administrowaniu systemem.
Jednak proponowane kompleksowe rozwiązania dla zwiększenia skuteczności ochrony systemów informatycznych wykazują też szereg wad.
Stosowane wszelkie metody heurystyczne oraz monitorowanie systemu w czasie rzeczywistym na pewno będą znacząco go obciążały - co może być bardziej lub mniej odczuwalne przez użytkownika. Koncentracja mechanizmów stanowi jednocześnie słabość systemu ochrony. Złożone narzędzia mogą bowiem zawierać ukryte luki (prawdopodobieństwo ich wystąpienia rośnie wraz ze wzrostem złożoności), których wykorzystanie będzie prowadzić w takim przypadku do całkowitego „odbezpieczenia” systemu. Chroniony tym sposobem system nie ma
35
bowiem (zgodnie z założeniem) żadnych innych mechanizmów zabezpieczeń.
Takie podejście jest zatem sprzeczne z podstawową zasadą, że nie należy ufać tylko jednemu elementowi zabezpieczającemu. Malejący udział administratora z jednej strony jest cechą pożądaną ze względu na mniejsze ryzyko ataków socjotechnicznych, z drugiej zaś strony może stanowić wadę, gdyż to do człowieka z reguły należy ostateczna decyzja, i w przypadku, gdy dysponuje on w tym względzie dużym doświadczeniem, niejednokrotnie może w porę zapobiec niepożądanym zdarzeniom (szczególnie w sytuacji, gdy system ochrony nie działa zgodnie z oczekiwaniami, w wyniku skutecznie przeprowadzonego ataku). Ponadto narzędzia kompleksowe zajmują dużo miejsca na dysku, spowalniają działanie systemu oraz, na ogół, są bardzo kosztowne. Na pewno pojawienie się tak wielu atrakcyjnych ofert jest po części wynikiem walki o klienta.
Wraz z gwałtownym wzrostem zagrożeń sieciowych obserwuje się dynamiczny rozwój metod i środków ochrony systemów komputerowych. Oferta kompleksowych narzędzi jest wyrazem potrzeby osiągania wysokiej skuteczności ochrony przy maksymalnym uproszczeniu dodatkowych czynności wymaganych dla zapewnienia bezpieczeństwa systemu informatycznego, jednak powstaje pytanie, czy ten wzrost skuteczności nie okaże się pozorny.
Literatura
ł . Chapman David W . Jr., Fox A . - redakcja: Cisco Secure P IX Firewalls, Wydawnictwo Mikom, Warszawa, 2002.
2. Grzywak A. (red.): Bezpieczeństwo systemów komputerowych. Wydawnictwo Pracowni Komputerowej Jacka Skalmierskiego, Gliwice, 2000.
3. Silberschatz A., Galvin P.B.: Podstawy systemów operacyjnych, W N T, Warszawa, 2000.
4. Toxen B.: Bezpieczeństwo w Linuksie. Podręcznik administratora, Helion, Gliwice, 2004.
5. www.us-cert.gov/cas/bulletins/SB2005.html 6. www'.pdaclub.pl/hs/
7. www.networld.pl/new's/new’s.asp?m=35&id=76464 8. ww'w.pcw'ord.pl/artykuly/45525 .html
9. www.commtouch.com
10. wrww3.ca.com/Solutions/Collateral.aspx?CID=88642 11. wwv'.spywarewarrior.com/rogue_anti-spyware.htm
R O Z D Z I A Ł I I
W P R O W A D Z E N I E D O P R O B L E M A T Y K I O C H R O N Y K R Y T Y C Z N E J I N F R A S T R U K T U R Y I N F O R M A C Y J N E J
- P R O J E K T E U R O P E J S K I C I 2R C O
Andrzej B IA Ł A S