Bezpečnostní analyzátory

Aby se snížil dopad zneužívání protokolů, byla vyvinuta nová skupina produktů takzvané bezpečnostní analyzátory. ...


Aby se snížil dopad zneužívání protokolů, byla vyvinuta nová skupina produktů
takzvané bezpečnostní analyzátory. Ty mohou IT oddělením pomoci posoudit, jak
jsou na tom, co se týče bezpečnosti, jednotlivé systémy postavené na bázi
protokolu IP, služby, či dokonce samotné aplikace. Bezpečnostní analyzátor
využívá rigorózní proces, jehož součástí je mimo jiné zpětný audit nebo skripty
vedoucí k nápravě nalezených nedostatků a který umožňuje nalézt a opravit
zranitelnosti ještě před tím, než jsou v rámci postižených systémů
implementovány v infrastruktuře obchodní jednotky společnosti.
Napodobování hackerů
Bezpečnostní analyzátor se připojí k systému a napodobuje činnost hackerů tím,
že jejich techniky zobecní a aplikuje je jako kompletní sadu protokolových
útoků postavených na systematické a opakovatelné bázi. Na rozdíl od analyzátorů
zdrojových kódů nebo nástrojů pro posuzování zranitelností mohou být
bezpečnostní analyzátory využity i laiky, kteří jsou jejich prostřednictvím
schopni v laboratorním prostředí okamžitě vyhodnotit zkoumané systémy a
aplikace.
Bezpečnostní analyzátory detekují známé i neznámé zranitelnosti typu zero-day
(tedy ty, na které ještě nebyly výrobcem zasaženého systému vydány patche), a
to tak, že zkoumaný systém nebo aplikaci vystaví řadě kombinací a permutací
útoků zneužívajících protokoly. Aby bylo možné analyzovat i neznámé
zranitelnosti, jsou například využívány extrémy validních, nepovolených i
neočekávaných vstupů, které neodpovídají specifikacím spojeným s příslušným
protokolem. Příkladem takových extrémních zadání mohou být třeba ta, která
vybočují z očekávaného typu, délky či hodnoty vstupu, nebo vkládání
nepovolených znaků.
Klíčem k nalezení zranitelnosti v protokolu je pochopení toho, kde má protokol
potenciálně slabá místa. Souhrnný pohled na problematiku je nezbytný, protože
stejně jako v případě letadla, kde porucha miniaturní součástky může způsobit
pád celého stroje, i jediná zranitelnost implementace protokolu může vést k
tomu, že hacker bude mít otevřenu cestu do celé síťové infrastruktury
organizace. Avšak aby byly síťové analyzátory skutečně efektivní, musí dokázat
generovat nejen sadu různých výše zmíněných neočekávaných vstupů, ale rovněž i
množinu již známých útoků na protokoly.
Miliony útoků
Bezpečnostní analyzátor podrobí cílový systém nebo aplikaci rozsáhlému počtu
útoků, a to v řádu až milionů. Během těchto fiktivních napadení je stav
cílového objektu soustavně monitorován. Podrobnosti o jakýchkoliv anomáliích
nebo neočekávaných výsledcích jsou kontinuálně zapisovány do speciální
databáze, jež pak poskytuje kompletní audit chování cílového systému. Tyto
údaje pak hrají významnou roli při srovnávání různých řešení, jejich variant
nebo konfigurací. Analyzátor může rovněž vytvářet samorozbalovací spustitelný
linuxový soubor schopný replikovat konkrétní útok vůči každé nalezené
zranitelnosti. Tento soubor může být také následně sdílen s dodavatelem
zkoumaného systému či s vývojářským týmem tak, aby byla urychlena náprava
chybového stavu systému.
Pokud cílový objekt, na nějž jsou aplikovány fiktivní útoky, zkolabuje nebo
pokud přestane navenek komunikovat (což je velmi častým cílem útoků hackerů),
bezpečnostní analyzátor je schopen prostřednictvím takzvaného out-of-band
kanálu odeslat příkaz na reset. Pokud tento příkaz není možné realizovat, pak
analyzátor rebootuje cílový systém pomocí zapnutí a vypnutí jeho napájení.
Takto automatizovaný proces řízení umožňuje vykonat bezpečnostní analýzu
kompletně bez zásahu živého operátora, například přes noc.
Schopnost identifikovat zranitelnosti v samostatných systémech nebo aplikacích
nabízí praktický způsob toho, jak pohodlně porovnat konkurenční nabídku
produktů vedle třeba výkonnostních testů. Tyto údaje jsou pak vhodným vodítkem
pro rozhodnutí o nákupu.
Další využití Poté, co už společnost nějaký systém vlastní, jsou informace
poskytované bezpečnostním analyzátorem výhodné pro informování výrobce o
nalezených zranitelnostech a rovněž možnost asistovat na jejich odstraňování,
dále pro kontrolu opravných balíčků, pro profilování nových verzí jako součásti
procesu správy změn či pro vyhodnocení nebo odlišení různých konfigurací
stejného systému. Bezpečnostní analyzátor může rovněž stanovit, co v
infrastruktuře organizace způsobí změny podnikových bezpečnostních pravidel,
může určit, zda nemá zranitelnosti interně vyvíjený software, a může rovněž
vykonávat kompletní bezpečnostní audity. Bezpečnostní analyzátory dovolí IT
oddělením minimalizovat dopad chyb systému (a s nimi související velmi závažné
důsledky zneužití těchto zranitelností) na podnikovou infrastrukturu, aniž by
bylo nutné zvyšovat rozpočet na bezpečnostní konzultační služby či na
hloubkovou ochranu.
(pal) 6 1490









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.