Informasjonssikkerhet
satt sammen et team av " sikkerhet weathermen " De har sjekket radar, overvåket Doppler, anmeldt satellittbilder og registrert Internetts barometertrykk. Prognosen er dystre
Deres konsensus: Trusler vil vanligvis ta kjente former - utnyttede leserens feil, destruktive ormer, DoS-angrep, sprakk trådløse nettverk og ordninger for å undergrave e-handelssystemer.. Hva er varierende er omfanget og alvorlighetsgraden av disse truslene, forsterket av stadig mer automatisert hacking verktøy og bedrifter som forblir sårbar tross for klare stormvarsler.
Mer grunn til bekymring er at ondsinnet hacking er blitt en vekstnæring. Underground nettsteder selger tilpasset bakdør og root kit programvare; og angripere leie hærer av kompromitterte systemer for spamming, phishing, DoS-angrep og identitetstyveri. Organiserte kriminelle elementer er viktig senter under mange enterprise nettverksangrep.
ense disse prognosene og hunker ned for de kommende stormer. Som de sier i Nor'East, " Det er en storm brewing, og vi er i for en juling ".
Porøse leseren
Den allestedsnærværende Internet Explorer er grunnlaget for e -handel - og et stadig vanligere angrepsvektor. Forvent mer tallrike og dødelige angrep som IE feil blir oppdaget med alarmerende hyppighet
". IE sårbarheter er overflaten i et hurtig tempo, og en stor andel er svært kritisk, " sier prognose Eugene Schultz. For eksempel innen dager etter utgivelsen, forskere funnet feil i de svært spioner IE sikkerhetsfikser i Windows XP SP2
Forecasters. Vår sikkerhet weathermen
Ed Skoudis
, CISSP, vår sjef meteorolog, er medstifter av Intelguardians, en sikkerhets konsulentfirma, og et medlem av Information Security
Testing Alliance.
Anton Chuvakin
, Ph.D., GCIA , GCIH, er en sikkerhet strateg med netForensics. Hans Infosecurity kompetanse omfatter intrusion detection, Unix sikkerhet, dataanalyse og Honningkukker. Han er forfatter for sikkerhet Warrior
.
Eugene Schultz
, Ph.D., CISM, CISSP, er sjefingeniør ved Berkeley Lab ved University of California og er redaktør-in-chief av Datamaskiner og sikkerhet. Han er forfatter /medforfatter av fem bøker.
Jim Jones
er sjefsforsker og direktør for SAIC Rapid Solutions Laboratorium og har hatt Infosecurity posisjoner i regjering, akademia og private næringsliv.
< p> Mike Dårlig
, er en senior sikkerhetskonsulent ved Intelguardians, hvor han har spesialisert seg på penetrasjonstest, sikkerhetsrevisjoner og arkitektur anmeldelser.
Marcus Sachs
, er direktør for SANS Internet Storm Center. Han tjenestegjorde tidligere på de ansatte i National Security Council.
IE er dypt sammenvevd med Windows-operativsystemet, spre potensiell skade på andre programmer som er avhengige av nettleser-relaterte DLL-filer og annen kode. Problemet blir verre, som angripere analysere IE på et mikroskopisk nivå for å finne problemer moden for utnyttelse. De vil utnytte feil, for eksempel september er buffer overflow i IE JPEG-behandling kode, for å installere bakdører.
Med virksomheter avhengig av nettet for alt fra nettbank og shopping å levere kjeder og global tilgang til backend databaser, de nett~~POS=TRUNC leseren~~POS=HEADCOMP er et ettertraktet mål for kriminelle.
et grelt eksempel på hva som ligger foran skjedde i juni i fjor med utnyttelsen av Download.Ject feil i IE, noe som fører til installasjon av Berbew tastetrykk logger fra en russisk nettside til datamaskinene til brukere som har besøkt noen av de mer enn 100 kompromitterte kommersielle nettsteder. Kriminelle brukte logger for å stjele tusenvis av kredittkortnumre og bank passord
Siden du ikke kan kontrollere IE sårbarheter mer enn du kan kontrollere været, ta disse trinnene for å beskytte organisasjonen fra kompromiss.
forherder nettleserkonfigurasjoner. Bruk forretningsførselen verktøy, for eksempel Windows Group Policy eller Microsofts Internet Explorer Administration Kit, for å stenge av funksjonaliteten brukerne ikke trenger, for eksempel ActiveX-kontroller og scripting av Java-applets, som angripere kan utnytte ved å installere trojanere, slette eller gjenoppretting av filer, etc.
Lås operativsystemet konfigurasjonen med en solid sikkerhet mal slik som de som er tilgjengelig gratis fra Center for Internet Security (www.cisecurity.org) for Windows 2000 og XP, Linux, Solaris og andre systemer.
Implementere en patch management prosess som gjør det mulig å raskt teste og distribuere kritiske feilrettinger.
Bruk brannmurer og proxy-servere, inkludert de fra Cisco Systems, Juniper Networks og Check Point Software Technologies, som kan fjerne uklarert aktivt innhold, for eksempel ActiveX-kontroller, Java applets og nettleser skript.
Worms og roboter som stormer i
Fra Bagle til Sasser til Phatbot, vi har aldri sett maken av årets nådeløse malware utgivelsessyklus. Våre prognosemakere spår en betydelig økning i antall og destruktive kraften av malware i 2005, med svermer av ormer og roboter.
Flere faktorer er fôring denne påvente haglstorm av aktivitet.
Bots, som er svært effektive bakdører installert på intetanende offeret maskiner, er ofte utgitt med kildekoden, slik at folk med begrenset utvikling ferdigheter for å lage varianter ved å legge til eller fjerne kode. Også dagens ormer og roboter er svært modulær, bygget for å være raskt forskjøvet med nyere og uheldige egenskaper. Noen boter inkluderer mer enn 100 funksjonelle moduler, hver med en annen mulighet, som lanserer et DoS flom, opptrer som spam relé, eller gi angriperen kommando-shell kontroll over en kompromittert maskin.
Compounding problemet angripere bruker ormer å spre roboter. En enkel masseutsendelse orm kan spre seg en bot til tusenvis av systemer, og skaper et distribuert " botnet " . Kontrollert ofre
I 2004, med noen varianter av ormer som Netsky og Bagle, opplevde vi et nytt fenomen: bruk av roboter til å spre ormer. . Ved hjelp av hundrevis eller tusenvis av roboter som utgangspunkt for ormen distribusjon, kan angripere raskt erobre tusenvis av ekstra maskiner og flom Internett med malware som ikke har noen merkbar kilde punkt
Vi har gått inn i en ond feedback loop - . - med ormer sprer roboter og roboter spre ormer - og morgendagens batch kan være mer skadelig enn de vi har sett så langt
" Som malware forfattere begynner å inkludere destruktiv kode med sine bragder og ormer, de ville føre til masse forstyrrelser, " sier prognose Mike Poor.
Denne økende storm av malware presser grensene for tradisjonelle AV forsvar som ny, farts sprer ondsinnet kode iscenesatt fra bot-kontrollerte systemer kan redusere sikkerheten på en rekke mål i løpet av minutter.
lærdommen:.. ikke stol utelukkende på signaturbaserte forsvar
Kontroller at aV-verktøy automatisk oppdatere signaturer så snart de blir tilgjengelige
Bruk personlige brannmurer til å begrense utgående og innkommende trafikk til de tjenester som kreves for din virksomhet.
Bruk vertsbasert Intrusion Prevention systemer, slik som de fra Cisco, McAfee og Sana Security.
Bolster ditt forsvar med nettverk -baserte Intrusion Prevention Systems fra selskaper som Tippingpoint Technologies, Check Point, Q1 Labs, Mirage Networks og Forescout Technologies, som raskt kan oppdage markliknende trafikkmønstre og inneholde angrep.
bilder DoS flomvannet på vei oppover
i gamle dager, kunne en pasient hacker kapre kanskje 200 systemer for å lansere et DDoS flom. I dag kan en angriper med enda begrensede ferdigheter sammen et botnet hær av titusenvis av maskiner.
I dag flom trafikk, slik som legitime HTTP-forespørsler, er vanskeligere å avlede enn de relativt enkle SYN flom brukes av MafiaBoy i 2000 for å ta ned Amazon, Yahoo og eBay
". Botnet mener alle kan starte en slik denial of service, og generert trafikk kan se nesten umulig å skille fra legitim trafikk, " forklarer prognose Jim Jones.
Nå legger profittmotivet. I år så en rask økning i antall DoS utpressing forsøk mot offshore gambling og Internett pornosider. Angriperne truer et potensielt mål med en business-knusing DoS flom med mindre offeret betaler dem av, eller de lansere en flom uten forvarsel og selge " beskyttelse, " som en gangster risting ned nabolaget butikkeiere. Angripere vil trolig fokusere på andre mål, inkludert e-handel og eventuelt finansinstitusjoner.
Det er ingen måte å forsvare seg helt mot en bestemt, massive DDoS angrep. Det beste du kan gjøre er å raskt oppdage, dempe og ri av stormen. Her er noen ting du kan gjøre:
Arbeid med din ISP for å sørge for at du har tilstrekkelig båndbredde med flere parallelle veier koble deg til Internett, slik at kritiske systemer kan bedre tåle DDoS angrep
.
Aktiver flom deteksjon og strupe evner i brannmurer, som kan identifisere noen falsk trafikk og takle relativt små stormer.
Hvis du har en stor bedrift eller arbeide på en ISP, undersøke produkter utviklet for å oppdage og hindre oversvømmelser oppstrøms fra selskaper som Arbor Networks, Mazu Networks, Lancope og Cisco. Spør Internett-leverandøren hvis det bruker slike verktøy.
Lynnedslag på e-handel
Forbrukernes tillit til on-line banking og e-handel går på en knivsegg
". er de fleste banker bygger sine fremtidige forretningsmodeller på en verden der det er bare noen få mennesker fortellerne og de fleste av deres kundegrensesnitt gjøres via Internett eller en minibank, " sier prognose Marc Sachs. &Quot; Men angrep på banksystemer og nettsvindel har økt i et urovekkende tempo de siste 12 til 18 måneder. Bankene vil begynne å føle smerte, enten gjennom enorme svindel tap eller en stor nedgang i forbrukertilliten ".
I tillegg til erosjon av kundenes tillit, våre prognosemakere ser radaren tett for en kategori 5 orkan som kunne vaske nettbank unna. Skurkene har nå teknologi for å slå online virksomheter 'eget forsvar mot seg selv, muligens utløser en kataklysmisk økonomisk DoS angrep mot finansielle tjenester mål eller hele bransjen
Her er hvordan det ville fungere. Finansnæringen opererer under forutsetning av at kriminelle og hackere har en viss mengde stjålne kredittkortnumre - noen anslår mer enn en tredjedel av totalen i sirkulasjon. De beregner en viss bedrageri i sin økonomisk planlegging som en kostnad ved å gjøre forretninger, og kan stenge enkelte kortene hvis deres automatiserte antifraud systemer oppdage mistenkelige utgifter mønstre
Men dagens angripere -. Kanskje terrorister - har potensial for å utnytte denne modellen på en enorm skala, overveldende systemene ved å initiere milliarder av mistenkelige transaksjoner; de antifraud systemene selv kan brukes til å stenge av millioner av kredittkort. Envision en massiv botnet flom e-handel i midten av julehandelsesongen. Millioner av kredittkort ville bli suspendert, og kundestøtte sentre ville bli overveldet. Virkningen vil være en landsdekkende - hvis ikke global -. Nedbryting av forbrukernes tillit
Din beste forsvar mot denne dommedagsscenario er å vite at det kan skje, og utvikle beredskapsplaner for å dempe effekten og sikre kontinuitet . Bedriftens antifraud personell skal teste for å se hvordan deres deteksjonssystemer ville reagere på en massiv tilstrømning av automatiserte svindel. Gjennomføre en simulering øvelse å bestemme hvordan du vil oppdage og reagere på et slikt angrep. Vil du svekke eller deaktivere automatisk antisvindel deteksjon og kort deaktivere evner å holde virksomheten i gang, vel vitende om kostnadene for massiv svindel, eller vil du beef opp dine støtteressurser til å håndtere det som best du kan?
Ta tiltak for å holde skurkene fra scamming dine kunder til å gi opp identifikasjonsinformasjon. Arbeid med organisasjoner som Anti-Phishing Group, som sammenstiller data på phishing-angrep, og fungerer som en ressurs for å diskutere antiphishing tiltak, inkludert måter å utdanne forbrukerne.
I tillegg er en rekke selskaper tilbyr antifraud tjenester, inkludert tradisjonelle sikkerhetsleverandører som Symantec. Andre, slik som Cyota, Markmonitor og Cyveillance, spesialiserer seg på antisvindel beskyttelse.
Noe ille i luften
Den trådløse sikkerhets prognosen er for fortsatt tunge angrep, som organisasjoner fortsette å distribuere trådløse nettverk uten ta fornuftige sikkerhetstiltak - til tross for veldokumenterte svakhet Wired Equivalent Privacy (WEP) protokoll og advarsler om krig drivere og svindeltilgangspunkter
". trådløse angrep vil bli mer av et problem, siden trådløst er iboende usikker, gitt at det ikke er fysisk barriere, " sier prognose Anton Chuvakin
Sant nok, den nylig vedtatte 802.11i protokollen benytter 802.1X og sterk kryptering for å rette opp svakhetene ved de tidligere trådløse standarder.; og WPA-sertifisert (Wi-Fi Protected Access) produkter har Temporal Key Integrity Protocol (TKIP), som løser WEP svake avsetning for statiske, delte nøkler. Men støttet produkter er bare kommer til markedet, og organisasjoner med eldre trådløse infrastruktur kommer til å være tilbakeholdne med å investere tungt. Mange organisasjoner har enda ikke klart å bruke svak WEP sikkerhet eller tatt noen skritt for å kontrollere useriøse aksesspunkter.
Se etter flere angrep mot organisasjoner der publikum lett kan vandre nær useriøse aksesspunkter knyttet til vitale interne nettverk, for eksempel forhandlere , eksterne avdelings drift av finansielle tjenester selskaper og bygninger som deles av ulike bedrifter med ulike fysiske sikkerhetskontroller.
Hvis du velger å omfavne trådløs, distribuere tilgangspunkter med en sikker konfigurasjon, unngå klartekst kommunikasjon og kryptografisk svake protokoller som WEP . I stedet bruker sterkere autentisering og kryptering for all trådløs tilgang, slik som bærer all trådløs informasjon på tvers av en trådløs-bare VPN.
Se etter rogue AP bruker de samme verktøyene skurkene bruke til å oppdage din WLAN, inkludert NetStumbler , Wellenreiter og Kismet; vurdere mer omfattende produkter fra selskaper som AirDefense og AirMagnet, som overvåker WLAN, oppdage svindlere og gi IDS evne
Om forfatteren:.
Ed Skoudis, CISSP, er medstifter av Intelguardians , en sikkerhet konsulentfirma, og er medlem av
Information Security Testing Alliance. Han er forfatter av
Malware. Fighting Ondsinnet kode (Prentice Hall, 2003)