100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №58 "Число сигнатур атак определяет эффективность системы обнаружения атак"09.11.2009 18:07 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №58 "Число сигнатур атак определяет эффективность системы обнаружения атак"09.11.2009 18:07
Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems
Этот миф тоже достаточно живуч и его природа аналогична уже рассмотренному нами мифу о том, что число записей в базе антивируса определяет его эффективность. И развенчание мифа будет аналогичным, так что повторять его большого смысла нет.
Но закономерно ли приравнивать антивирусы к системам обнаружения атак (intrusion detection system, IDS)? Если не брать в расчет, что эти два сегмента рынка информационной безопасности до недавнего времени развивались параллельно, то между этими классами продуктов очень много общего. Они ищут вредоносную активность, они работают на уровне отдельного компьютера или сети, они используют сигнатурные методы, они требуют регулярного обновления и т.п. Также как и антивирусы, системы обнаружения атак в последнее время стали использовать механизмы обнаружения аномалий в сетевом трафике или действиях пользователей и приложений. Если сейчас посмотреть на современные антивирусы и IDS, то можно заметить и вовсе парадоксальную вещь – и ловят они одни и те же вредоносные программы – червей, которые составляют сегодня до 80-90% всех вредоносных программ. Помимо сигнатур для известных атак и поиска аномалий, современные IDS также используют и другие методы поиска атак, например:
- По уязвимостям – позволяет обнаруживать любые атаки против известных уязвимостей на узлах-жертвах
- Отклонения от стандартов протоколов – позволяет обнаруживать отклонения от стандартов, описывающих сетевые протоколы.
Есть, конечно, и некоторые отличия между этими защитными средствами. Например, некоторые IDS позволяют настраивать каждую из своих сигнатур (в т.ч. и включать/выключать), что является недостижимой роскошью для антивируса с его сотнями тысяч и миллионами сигнатур. IDS изначально ориентированы на применение в корпоративных средах, что позволяет надеяться на более качественное и продуманное управление, чем у антивирусов, долгое время бывших уделом автономных компьютеров и только сейчас начавших оснащаться продуманными системами управления тысячами и десятками тысяч защитных агентов.
В заключение хочу привести только один пример, который показывает, что некорректно оценивать IDS только по числу сигнатур в ее базе. В Cisco IPS 4200 только одна сигнатура 5477-2 Possible Heap Payload Construction позволяет обнаружить 39 различных атак (по состоянию на 2 августа 2008 года):
- Metasploit: mozilla_compareto v1.3
- Microsoft Internet Explorer window Arbitrary Code Execution Vulnerability
- [xxxxx]: Microsoft Internet Explorer window() exploit 1.6
- Mozilla Firefox InstallVersion.compareTo() Overflow
- Metasploit 2.5 - mozilla_compareto 1.3
- [xxxxx]: Firefox and Mozilla compareTo
- Metasploit: Mozilla Firefox Memory corruption via QueryInterface on Location, Navigator objects
- [xxxxx]: IE createTextRange() exploit v1.3
- Metasploit ie_createtextrange v1.4
- MS April - CVE-2006-1359 Cumulative Security Update for Internet Explorer
- Metasploit: Multiple Mozilla Products Memory Corruption/Code Injection/Access Restriction Bypass Vulnerabilities firefox_queryi
- IE MS06-42 Patch Exploit for [xxxxx]
- milw0rm IE COM Object Heap Overflow DirectAnimation.PathControl
- [Milw0rm] MS Internet Explorer (VML) Remote Buffer Overflow Exploit (SP2) (pl)
- [xxxxxx] : IE VML buffer overflow exploit update 1.6
- [milw0rm] MS Internet Explorer WebViewFolderIcon setSlice() Exploit (pl)
- [milw0rm] MS Internet Explorer WebViewFolderIcon setSlice() Exploit (c)
- Media Player PNG header overflow exploit
- MS06-071 - Microsoft XML Core Service XMLHTTP ActiveX Control Remote Code Execution Vulnerability
- milw0rm: MS Internet Explorer 6/7 (XML Core Services) Remote Code Exec Exploit 2
- MS Internet Explorer 6/7 (XML Core Services) Remote Code Exec Exploit 3
- [xxxxx]: IE XML HTTP Exploit for IMPACT v1.5
- [xxxxx] MS07-004 CVE-2007-0024 Vulnerability in Vector Markup Language Could Allow Remote Code Execution
- milw0rm: MS Internet Explorer VML Remote Buffer Overflow Exploit (MS07-004)
- MS Windows (.ANI) GDI Remote Elevation of Privilege Exploit (MS07-017)
- [xxxxx]: McAfee ePolicy Orchestrator ActiveX Exploit
- Milw0rm: Yahoo Messenger Web Cam Exploits
- [xxxxx] Microsoft Speech API ActiveX control Exploit for IMPACT v6.2
- milw0rm: Yahoo! Widget < 4.0.5 GetComponentVersion() Remote Overflow Exploit
- [xxxxx] McAfee Subscription Manager ActiveX Exploit
- [xxxxx] CVE-2007-3040 KB938827 Vulnerability in Agent could allow Remote Code Execution
- [xxxxx] - Yahoo Messenger YVerInfo.dll ActiveX Multiple Remote Buffer Overflow Vulnerabilities
- [xxxxx] KB942615: Cumulative Security Update for Internet Explorer CVE-2007-3902
- [xxxxx] KB942615: Cumulative Security Update for Internet Explorer CVE-2007-5344
- [xxxxx] KB942615: Cumulative Security Update for Internet Explorer CVE-2007-3903
- [xxxxx]:Microsoft Agent MS07-051 Exploit Update for IMPACT v7
- AskJeeves Toolbar 4.0.2.53 activex Remote Buffer Overflow Exploit
- Milw0rm: Yahoo! Music Jukebox Remote exploits (3)
В некоторых других IDS для каждой из перечисленных атак своя сигнатура. Но можно ли утверждать, что такие IDS с 39 сигнатурами лучше IDS, у которой все эти атаки скрываются за одной единственной сигнатурой?