Три новых технологии для переосмысления безопасности

16 апрель, 2018 - 16:05Леонид Бараш

Один из самых разрушительных аспектов современных кибератак – это развитая целевая угроза, когда атакующий способен проникнуть в сеть и оставаться в ней в течение длительного периода времени, переходя от системы к системе и собирая ценные данные. Целью систем безопасности должно быть предотвращение таких атак. Три относительно новые технологии могут сыграть важную роль в защите серверов и сети от целевых атак.

Первая из них – это микросегментация. Это новая версия старой идеи брандмауэра. Основная концепция брандмауэра заключается в том, что не каждому серверу должно быть разрешено подключаться к каждому другому. Большинство брандмауэров размещаются на границе сети, чтобы жестко контролировать входящий или исходящий трафик. Но все серверы в пределах этой границы, или периметра, обычно считаются доверенными и поэтому им позволяют общаться без ограничений. Как только злоумышленник проникает за периметр брандмауэра, он может перемещаться относительно легко от сервера к серверу, ища нужную информацию. Микросегментация похожа на миниатюрный брандмауэр, который может устанавливать границу вокруг одного сервера, тем самым предотвращая случайные соединения между серверами. Это очень эффективный способ остановить внутреннее распространение вредоносного ПО на предприятии.

Микросегментация может быть выполнена в самой ОС, но этот метод имеет слабость - как только злоумышленник проник в ОС, он может обойти любые элементы управления. Наиболее эффективная форма микросегментации выполняется на уровне гипервизора – слое, лежащем ниже ОС. Основные гипервизоры, такие как VMware, и поставщики услуг, такие как Amazon, Google и Microsoft, предлагают некоторую форму микросегментации.

Второй технологией является веб-изоляция. Основным источником атак является контент, созданный с помощью методов социальной инженерии, который заставляет пользователя нажимать ссылку. Затем злоумышленники используют веб-трафик для доставки кода в машину пользователя и получают пропуск в сеть. Попытка отслеживать каждую уязвимость в Интернете является невыполнимой задачей, поэтому множество новых поставщиков разработали технологию, называемую веб-изоляцией. Идея состоит в том, чтобы запускать веб-страницы в безопасном контейнере, а затем просто доставлять готовые веб-страницы в браузер.

Преимущество веб-изоляции заключается в том, что вам не нужны какие-либо предварительные знания об атаке, поскольку вредоносное ПО хранится в «чашке Петри», где оно не может навредить конечному пользователю. Это очень эффективная стратегия, и она быстро внедряется ИТ-подразделениями по всему миру. К основным поставщикам относятся традиционные поставщики веб-безопасности, такие как Symantec и Proofpoint, а также некоторые пионеры в этой области, такие как Menlo Security.

Наконец третья технология – это неизменяемость сервера. Она основана на идее, что большинство компонентов сервера никогда не должны меняться после их загрузки в память и запуска. Предполагается, что когда злоумышленники получают привилегированный доступ к ОС, они могут делать любые изменения, которые они хотят. ОС не может защитить себя от атак. Несколько проектов с открытым исходным кодом показали свою эффективность в этом направлении: App Armor и SC Linux - два из самых заметных. Эти проекты не получили широкого распространения, поскольку они могут быть сложными в использовании. Тем не менее, новые достижения в области технологии виртуализации серверов могут создать платформу для доставки действительно устойчивых к изменениям систем. Более того, тенденция использовать «родные» облачные приложения на основе контейнеров означает, что приложения в меньшей степени зависят от ОС. ОС никогда не следует исправлять или обновлять, а просто загрузить новый образ или создать новый сервер. В этом типе облачной среды, где сервер легко удаляется и восстанавливается, никогда не нуждается в обновлении или изменении, вполне возможно жестко заблокировать конфигурацию сервера и тем самым уменьшить поверхность атаки. Неизменяемость является перспективной областью и, вероятно, будет активным решением в следующем году.

Эти три новые технологии, хотя и не являются панацеей, значительно усложнят для атакующих достижение своих целей – кражи ценных данных.