• Magyar
  • English
Sajtóközlemények RSS feed

Behatolás detektálás

Az online alkalmazások egyre szélesebb körben érhetők el, egyre több céllal használjuk őket. A vállalati rendszerekben is egyre több adatot, információt tárolunk. Ezen adatok megszerzése érdekében a támadók egyre kifinomultabb támadásokat vonultatnak fel, amelyek elleni védelemre a korábban alkalmazott klasszikus védelmi eszközök, mint pl. a tűzfalak, nem elegendők.

Az adatszivárgás leginkább a szervereket, ezen belül is az adatbázisokat érinti. Egy 2011-es felmérés szerint többségében a szerverekhez kötődnek a visszaélések, és az adatbázisok érintettsége 2010-re 90% feletti volt. A külső szereplő által kezdeményezett visszaélések esetén Kelet-Európa súlya 65% (a második helyezet Észak-Amerika csak 19%), és a felderítést, a visszaélések azonosítását túlnyomórészt külső szereplő valósítja meg, az aktív, belső felderítés jelenlegi súlya nagyon alacsony.

Ennek egyik oka az, hogy egy adott szerverhez történő hozzáférés kontrolljára nem elegendő csupán egy adott cím vagy port szűrése, a kommunikációt magát is teljes terjedelmében ellenőrizni kell. Egy engedélyezett http vagy adatbázis kapcsolaton keresztül egy támadónak még számos lehetősége van a rendszerben meglévő esetleges gyenge pontokat kihasználni, oda kártékony kódot vagy programokat bejuttatni. Magát a http vagy az adatbázis kommunikációt is elemezni, analizálni kell. Egy adott pontról érkező túl sok kérés, vagy több pontból érkező azonos vagy mintájában nagyon hasonló „kérés” sem feltétlenül normál felhasználói tevékenységre utal, ahogy minden más egyéb, a megszokott kommunikációtól/tevékenységektől eltérő sem.

A különböző – elsősorban hálózati irányból érkező – támadások jelzésére és megakadályozására szolgálnak a behatolás érzékelő (IDS – Intrusion Detection Systems) illetve megelőző (IPS – Intrusion Prevention Systems) megoldások. Ezeket a megoldásokat kezdetben két területre lehetett bontani: hálózati illetve hoszt (szerver és munkaállomás) alapú megoldások, amelyek filozófiai működésükben is eltértek egymástól. A hálózati eszközök működése a forgalom figyelésén és analizálásán alapult, míg a hoszt alapú IDS eszközök a naplókat figyelték. A megoldások és az informatikai környezetek fejlődése következtében ezek időközben kiegészültek az alkalmazások védelmével. Az IDS/IPS funkció emellett számos hálózati eszközben is megjelent (tűzfalak, switchek, UTM eszközök) mint kiegészítő opció/szolgáltatás.

  • A hálózati in-line IPS termékek appliance kivitelben „láthatatlan” (IP cím nélküli) eszközként beépülnek a kommunikációs csatornába, és a rajtuk keresztülhaladó (layer 2 bridging) forgalmat analizálják, illetve a támadásokat képesek blokkolni. Az eszközök képesek aktív-passzív és aktív-aktív magas rendelkezésre állású (HA) üzemmódban is működni. Az eszközök beépített vagy opcionális külső bypass modullal is rendelkeznek, amely az eszköz hibája, vagy áramkimaradás esetén a védett vonalak zárásával biztosítja a forgalom zavartalan, de védelem nélküli folyását.
  • A mai „hibrid” hoszt alapú megoldások az általuk védett hoszt napló állományainak analizálásán felül az adott gép hálózati forgalmának monitorozását is végzik, melyekből a hoszt elleni támadási kísérleteket képesek detektálni és megakadályozni. A megoldások nemcsak detektálni képesek a támadásokat, de azokat, a beépített blokkolási képességeiknek köszönhetően, meg is tudják akadályozni. A megoldások, a biztonsági naplók folyamatos figyelésével képesek megállapítani, hogy a gép elleni támadás sikerrel járt-e vagy sem. Egyes gyártók megoldásai képesek az operációs rendszer szinten titkosított adatforgalom (pl. IPSEC), valamint – speciális beépített moduljaikkal – az Internet Information Server és az Apache webkiszolgálók titkosított (HTTPS) forgalmának monitorozására és az azokban található támadások blokkolására is.
  • A virtualizált környezetek terjedése újabb problémákat vetett fel. Megszorításokkal ugyan, de itt is alkalmazhatóak a klasszikus IDS/IPS eszközök, azonban a gyártók megjelentek a virtuális környezetre specializált megoldásokkal is. Ezek egyrészt a gazdagépet védik, másrészt a gazdagépen belüli forgalom figyelésével a virtuális gépek védelmére is alkalmasak.
  • Az adatbázisok összetettsége és bonyolultsága miatt önálló termékek jelentek meg kifejezetten az adatbázisok felügyeletére. A termékek a folyamatok befolyásolása nélkül képesek vizsgálni az adatfolyamot, lehetővé téve az összes adatbázis-hozzáférési tevékenység figyelését, miközben finoman szabályozható auditálási és valós idejű, házirend alapú riasztási képességeket biztosítanak, és akár blokkolni is képesek a jogosulatlan adatbázis-hozzáférést. A megoldások további előnye az adatbázis által beépített saját megoldásokkal szemben, hogy független megoldásként képesek működni, így a meglévő adatbázisok jogosultsági rendszerétől függetlenül menedzselhetők. A központi felügyeleti eszköz összesítheti és elemezheti az auditálási adatokat, a megosztott jelentéseket, valamint egyetlen összevont rendszerként felügyelheti a vállalati szintű adatbázisokra vonatkozó biztonsági házirendeket.

Az IPS megoldások képesek ellátni a Virtual Patching funkciót, ami azt jelenti, hogy az eszközök a mintafrissítés telepítése után, de sok esetben már az előtt is, képesek megóvni a védett hálózat sérülékeny pontjait, ezáltal lehetőséget adnak a patch-ek tesztelésére és késleltetett telepítésére.

Noreg megoldások

A Noreg Kft. megalakulása óta foglalkozik az IBM-ISS IDS/IPS megoldásaival (hálózati, hoszt és virtuális IPS), számos banki rendszert épített ki 1998 óta erre a technológiára alapozva. Ezek a termékek, a folyamatos innovációnak köszönhetően, ma is a piacvezetők közé tartoznak, akárcsak az adatbázis ellenőrzés, és valósidejű védelem területén a Guardium. Az IPS portfoliónkban az IBM termékek mellett megtalálhatóak a McAfee és a Radware megoldások is.