05.07.2012

Классификация угроз для распределенных ИТ-инфраструктур

aa_stepanenko

Автор: Андрей Степаненко

Должность: директор по маркетингу компании «Код безопасности»

Обилие угроз для распределенных ИТ-инфраструктур диктует необходимость их структурировать. Среди имеющихся классификаций угроз наиболее интересным мне кажется взгляд компании Cisco Systems, которая попыталась увязать распространенность тех или иных угроз с их экономической привлекательностью с точки зрения злоумышленников.

Последняя редакция их The Cisco Cybercrime Return on Investment (CROI) Matrix, представленная в «Cisco 2011 Annual Security Report», приведена на рисунке:

expert_06-05-12_1

 

Такой подход позволяет не только выделить классы угроз, но и спрогнозировать тренды их развития.

В категории «Восходящих звезд» я бы отметил атаки на мобильные устройства, с которых осуществляется доступ в корпоративную сеть, поскольку это достаточно новый способ проникновения в современные ИТ-системы. Для противодействия этой угрозе можно рекомендовать решения следующих классов:

  • Системы управления доступом с мобильных устройств, которые умеют анализировать состояние устройства и не позволяют входить в сеть с зараженных устройств;
  • Системы защиты мобильных устройств, которые защищают данные в мобильном устройстве и предотвращают возможное заражение.

В категории «Собак» можно отметить DDoS-атаки, но с поправкой, что они актуальны только для тех компаний, которым важна высокая доступность их online-сервисов.  DDoS-атаки в свою очередь можно условно разделить на атаки, направленные на загрузку и недоступность канала связи и на загрузку и отказ конкретного приложения.

Статистика по DDoS пугающая. Например, данные компании Arbor Networks говорят о ежегодном удвоении пиковой мощности  атак в последнее время. Хотя практика показывает, что для успешной DDoS-атаки на приложение столь высокие скорости просто не требуются.

expert_06-05-12_2

 

По информации компании Cisco Systems интерес злоумышленников к этому инструменту на протяжении нескольких лет практически не увеличивается из-за невысокого дохода от таких атак, но доступность этого хакерского сервиса обеспечивает постоянный рост числа жертв.

Для противодействия DDoS-атакам традиционно используются два подхода:

  • Развертывание системы предотвращения DDoS-атак на территории клиента;
  • Использование специализированных сервисов (в том числе облачных) по защите от DDoS, очищающих трафик до прихода в сеть.

Эффективным противодействием DDoS-атакам на приложение могут быть специализированные средства, например Web Application Firewall.

Наибольшее количество актуальных угроз находится в квадранте «Дойных коров», что гарантирует их широчайшее распространение и влияние практически на любые ИТ-системы.

Распространение шпионского ПО и специализированных троянов, крадущих, например, финансовую информацию или ключи шифрования, является одной из самых больших проблем.

Именно такие программы всегда возглавляют списки самых распространенных вредоносных программ. По данным антивирусной компанииPanda Software в 2011 году среди выявленных 26 миллионов новых вредоносных программ более 75% относилось именно к этой категории.

expert_06-05-12_3

 

Способ борьбы с этой напастью достаточно традиционный – антивирус и еще раз антивирус во всех его разновидностях. Только с учетом темпов роста появления новых штаммов традиционные подходы становятся все менее эффективными. Поэтому я бы рекомендовал также присмотреться к новым продуктам, работающим на основе репутационных технологий.

И последняя угроза, о которой хотелось бы сказать – взлом web-приложений.

Несмотря на то, что The Open Web Application Security Project (OWASP) с 2004-го года регулярно публикует перечень наиболее распространенных ошибок и уязвимостей web-приложений и рекомендации по их устранению, количество успешных атак типа SQL Injection и Cross-Site Scripting не уменьшается.

В качестве средства для борьбы с этой угрозой лучше всего работают решения класса Web Application Firewall. Хорошей альтернативой этому является только тотальное овладение навыками безопасного программирования.

В любом случае, не существует универсального списка угроз для всех распределенных ИТ-систем. Нужно составлять такой список, основываясь на особенностях конкретной системы, а также выбирать средства защиты от угроз с учетом ее специфики.