Принципиальное отличие межсетевых экранов МЭ от систем обнаружения атак сов

Обновлено: 21.11.2024

Что такое "многоуровневая безопасность" и "глубокоэшелонированная защита" и как их можно использовать для лучшей защиты ваших ИТ-ресурсов? Понимание этих стратегий и того, как их можно использовать для повышения собственной безопасности, важно для любого системного или сетевого администратора.

Иногда кажется, что все говорят о «многоуровневой безопасности», «многоуровневой защите» или «многоуровневой защите», но никто на самом деле не знает, что это значит. Эти три фразы часто используются взаимозаменяемо, но так же часто кто-то использует две из них для обозначения совершенно разных вещей. На самом деле есть два отдельных, но в некоторых отношениях очень похожих понятия, которые можно назвать этими фразами.

Многоуровневая безопасность

Многоуровневый подход к безопасности может быть реализован на любом уровне полной стратегии информационной безопасности. Независимо от того, являетесь ли вы администратором только одного компьютера, имеющего доступ к Интернету из дома или кофейни, или дежурным по глобальной сети предприятия с тридцатью тысячами пользователей, многоуровневый подход к развертыванию инструментов безопасности может помочь улучшить ваш профиль безопасности.< /p>

Короче говоря, идея очевидна: любая защита может иметь недостатки, а наиболее верный способ найти недостатки — это скомпрометировать их атакой. пробелы в защитных возможностях других. Брандмауэры, системы обнаружения вторжений, сканеры вредоносных программ, процедуры аудита целостности и инструменты шифрования локальных хранилищ могут служить для защиты ваших информационных технологий так, как другие не могут.

Поставщики систем безопасности предлагают то, что некоторые называют вертикально интегрированными решениями стека поставщиков для многоуровневой безопасности. Типичным примером для домашних пользователей является пакет Norton Internet Security, который обеспечивает (среди прочих возможностей):

  1. антивирусное приложение
  2. приложение брандмауэра
  3. приложение для защиты от спама
  4. родительский контроль
  5. управление конфиденциальностью

Корпоративные поставщики программного обеспечения для обеспечения безопасности находятся в интересном положении. Для того, чтобы наилучшим образом удовлетворить свои бизнес-цели, они должны, с одной стороны, пытаться продавать интегрированные комплексные решения, чтобы привязывать клиентов к отношениям с одним поставщиком, а с другой стороны, пытаться продавать компоненты комплексной многоуровневой стратегии безопасности по отдельности тем, кто маловероятно, что они купят свое собственное интегрированное решение и убедит таких клиентов, что лучший в своем классе подход лучше, чем подход с вертикально интегрированным стеком.

Этот противоречивый набор потребностей породил довольно много противоречивых маркетинговых предложений от поставщиков программного обеспечения для обеспечения безопасности и иногда вызывает путаницу среди клиентов. Уже по одной этой причине неудивительно, что люди часто не могут четко сформулировать какое-либо разумное практическое определение «многоуровневой безопасности».

Термин "многоуровневая безопасность" не относится к нескольким реализациям одного и того же базового инструмента безопасности. Установка ClamWin и AVG Free на одном и том же компьютере с MS Windows не является примером многоуровневой безопасности, даже если она обеспечивает одно и то же преимущество — создание нескольких инструментов, каждое из которых скрывает недостатки других. Это случай избыточности, а не многоуровневости; по определению, многоуровневая безопасность включает в себя несколько типов мер безопасности, каждый из которых защищает от разных векторов атаки.

Эшелонированная защита

Первоначально появившийся в военном контексте, термин "глубокоэшелонированная защита" относится к еще более всеобъемлющему подходу к стратегии безопасности, чем к многоуровневой безопасности. На самом деле можно сказать, что подобно тому, как брандмауэр является лишь одним из компонентов многоуровневой стратегии безопасности, многоуровневая безопасность является лишь одним из компонентов стратегии глубокоэшелонированной защиты.

Многоуровневая безопасность возникает из-за желания скрыть недостатки каждого компонента путем объединения компонентов в единую всеобъемлющую стратегию, которая в целом больше, чем сумма ее частей, ориентированную на внедрение технологий с искусственной целью обеспечения безопасности. всю систему от угроз. Глубокоэшелонированная защита, напротив, проистекает из философии, согласно которой нет реальной возможности достижения полной и абсолютной защиты от угроз путем внедрения любого набора решений по обеспечению безопасности. Скорее, технологические компоненты многоуровневой стратегии безопасности рассматриваются как камни преткновения, которые препятствуют продвижению угрозы, замедляя и расстраивая ее до тех пор, пока либо она не перестанет угрожать, либо не будут задействованы какие-то дополнительные ресурсы — не строго технологические по своей природе. /p>

Решение многоуровневой безопасности также предполагает исключительное внимание к источникам угроз в рамках некоторой общей или конкретной категории атак.Например, вертикально интегрированные многоуровневые программные решения для обеспечения безопасности предназначены для защиты систем, которые ведут себя в рамках определенных общих параметров деятельности, от угроз, которые могут быть связаны с этими действиями, например, акцент Norton Internet Security на защите настольных систем, используемых домашними пользователями для общих целей, от угроз, передаваемых через Интернет. угрозы. Глубокоэшелонированная защита, с другой стороны, предполагает более широкий спектр возможностей, таких как физическая кража с последующим криминалистическим восстановлением данных неуполномоченными лицами, случайные угрозы в результате опасностей, которые конкретно не нацелены на защищаемые системы, и даже, возможно, такие экзотические угрозы, такие как фрикинг Ван Экка.

Стратегии глубокоэшелонированной защиты также включают в себя другие меры безопасности, кроме прямой защиты. Они также решают такие проблемы, как:

  1. мониторинг, оповещение и реагирование на чрезвычайные ситуации
  2. учет деятельности уполномоченного персонала
  3. аварийное восстановление
  4. отчеты о преступной деятельности
  5. криминалистический анализ

Одним из наиболее важных факторов в хорошо спланированной стратегии глубокоэшелонированной защиты является использование задержек угроз. Обеспечивая быстрое оповещение и реагирование на происходящие атаки и стихийные бедствия, а также задерживая их последствия, можно добиться предотвращения ущерба или его смягчения с помощью чисто технических мер до того, как полностью реализуются последствия угрозы. Например, хотя система-приманка сама по себе не может остановить злоумышленника, который получил несанкционированный доступ к сети на неопределенный срок, она может облегчить уведомление специалистов по сетевой безопасности о нарушении и задержать его продвижение на достаточно долгое время, чтобы специалисты по безопасности могли его идентифицировать и/ или выбросьте злоумышленника до того, как будет нанесен какой-либо долговременный ущерб.

Многоуровневая безопасность и эшелонированная защита

Многоуровневая безопасность и многоуровневая защита — это две разные концепции, которые во многом пересекаются. Однако они не являются конкурирующими концепциями. Хорошая многоуровневая стратегия безопасности чрезвычайно важна для защиты ваших ресурсов информационных технологий. Подход к обеспечению безопасности с помощью эшелонированной защиты расширяет сферу вашего внимания к безопасности и поощряет гибкую политику, которая хорошо реагирует на новые условия, помогая гарантировать, что вы не будете ошеломлены неожиданными угрозами.

Каждая из этих стратегических философий безопасности должна отражать ваше отношение к другой, чтобы обычно подавляющие обстоятельства для более узкой и хрупкой стратегии безопасности, такие как одновременные атаки независимых угроз, гораздо большая интенсивность атак, чем ожидалось, и угрозы, которые кажется, что они отклонились от своих более распространенных целей, и все они могут быть эффективно отражены. Оба заслуживают понимания, и первым шагом к этому является понимание того, чем они отличаются друг от друга, чем они похожи и каковы отношения между ними.

В течение многих лет АНБ твердило нам, что брандмауэры бесполезны в качестве защиты от целенаправленных атак на уровне государства. Теперь у нас наконец есть несколько примеров того, почему это так.

7 декабря компания ForeScout объявила об обнаружении нового набора программных ошибок, известных под общим названием Amnesia:33, которые влияют на стеки TCP/IP в устройствах от 15 поставщиков. Это следует за более ранним объявлением JSOF-Tech об аналогичном наборе уязвимостей, известных как Ripple20, обнаруженных в стеке Treck IP, который широко используется в устройствах IoT.

Это краткое изложение взято из объявления JSOF:

«Уязвимости Ripple20 уникальны как по своему распространенному эффекту, так и по влиянию из-за эффекта цепочки поставок, а также по тому, что они являются уязвимостями, позволяющими злоумышленникам обходить NAT и брандмауэры и получать контроль над устройствами незамеченными, без вмешательства пользователя. Это связано с тем, что уязвимости находятся в низкоуровневом стеке TCP/IP, а также с тем фактом, что для многих уязвимостей отправляемые пакеты очень похожи на действительные пакеты или, в некоторых случаях, являются полностью действительными пакетами. Это позволяет провести атаку как законный трафик».

Насколько широко распространена эта проблема? Intel использует стек Treck TCP/IP для своих служб управления (например, Converged Security and Manageability Engine, Trusted Execution Engine и Server Platform Services), что означает, что любая система, предоставляющая эти службы в сеть, потенциально уязвима.

Уязвимости Amnesia:33 существуют в нескольких дополнительных стеках TCP/IP, как описано в объявлении ForeScout:

«Эти уязвимости затрагивают широкий спектр встроенных систем, от медицинских устройств до промышленных систем управления, маршрутизаторов и коммутаторов — практически все, что использует уязвимый стек TCP/IP. Самые большие затронутые категории затронутых устройств — это корпоративные и потребительские устройства IoT».

Продукты Owl Cyber ​​Defense используют библиотеки стека IP RedHat и CentOS, которые не подвержены этим уязвимостям. Многие из наших продуктов используют чипы Intel, но мы подтвердили, что наши продукты CDS не уязвимы. Другие продукты Owl не используют затронутые службы, хотя теоретически их можно включить, если BIOS настроен неправильно. Owl советует своим клиентам внимательно следовать инструкциям по настройке, прилагаемым к их продуктам.

Снижение уязвимости

Некоторые из уязвимостей Ripple20 и Amnesia:33 эксплуатируются с использованием вполне приемлемых пакетов, но с измененной фрагментацией или значениями в полях, которые неверны (например, поля длины равны нулю). Брандмауэры обычно не обнаруживают подобные проблемы. Даже проверка состояния включает только просмотр серии пакетов, чтобы убедиться, что сеанс поддерживается должным образом. Поставщики брандмауэров предложат (или уже сделали) проверки для такого типа трафика, но это всегда будет игра в кошки-мышки, в которой атаку необходимо обнаружить и добавить проверку для ее предотвращения.

Owl использует другой подход. Все наши продукты для обеспечения безопасности обеспечивают разрыв протокола с принудительным разделением доменов. Это означает, что протоколы завершаются на каждой стороне, и через аппаратное разделение передается только полезная нагрузка. При этом любые недопустимые значения в заголовках пакетов или вредоносные фрагменты пакетов не распространяются. Кроме того, наши диодные продукты полностью предотвращают возврат трафика, что значительно затрудняет использование уязвимости.

При передаче данных через диод данных Owl или междоменное решение протоколы прерываются независимыми прокси-серверами на каждой стороне устройства. Каждая сторона устройства имеет независимый ЦП, и единственное соединение между двумя ЦП осуществляется через аппаратный диод.

Этот подход означает, что потенциальные атаки дополнительно изолированы — даже если оборудование имеет уязвимость, которую можно использовать, результатом будет доступ к прокси-серверу одной стороны. Если пункт назначения взломан, нет возможности передать пакеты источнику через односторонний диод. Если исходная сторона взломана, то перед злоумышленником стоит задача перебросить пакеты через диод, что приведет к компрометации принимающего прокси-сервера без ответа.

Эти сценарии демонстрируют важность аппаратного разрыва протокола Owl. Owl не использует стандартный IP-стек на наших диодных модулях, поэтому тот же хак, который использовался для взлома одной стороны, не будет работать на другой. Это полностью отличается от обычного брандмауэра или интеллектуального коммутатора, где вся логика выполняется на одном процессоре. Как только этот ЦП будет взломан, все механизмы защиты, скорее всего, будут подорваны.

Owl уже более 20 лет создает продукты для обеспечения безопасности для оборонных, разведывательных и коммерческих организаций. Мы специализируемся на аппаратных системах с усиленной фильтрацией, предназначенных для защиты от атак на уровне государства. Наши продукты прошли проверку на соответствие самым строгим требованиям к междоменным решениям, включая недавно обновленные требования АНБ по разделению оборудования для всех сетей с высоким уровнем угрозы.

Благодаря нашей приверженности обеспечению аппаратной безопасности и максимальной гарантии — и без предварительного знания об этих уязвимостях — продукты Owl смягчают уязвимости Ripple20 и Amnesia:33. Фактически, наши продукты полностью соответствуют стратегиям смягчения последствий, предложенным JSOF:

  • Сведите к минимуму доступ к сети для встроенных и критически важных устройств, сохранив доступ к минимально необходимому уровню и обеспечив доступ к устройствам из Интернета только в случае крайней необходимости.
  • Разделите сети и устройства OT за брандмауэрами и изолируйте их от корпоративной сети.
  • Включить только безопасные методы удаленного доступа.
  • Блокировать аномальный IP-трафик.
  • Блокируйте сетевые атаки с помощью глубокой проверки пакетов, чтобы снизить риск для ваших встроенных устройств Treck с поддержкой TCP/IP.

Чтобы узнать больше о подходе Owl к безопасности, прочитайте о наших междоменных решениях для военных, разведывательных и промышленных приложений или свяжитесь с нами для консультации.

Читайте также: