NETASQ: Najnowsze ataki na sieci firmowe stawiają nowe wymagania przed systemami IPS

Problem ilustrują najnowsze typy ataków, takie jak szeroko opisywany atak na protokół HTTP ("Slowloris") ujawniony przez Roberta "Rsnake" Hansena lub też atak na poziomie TCP opisany w Phrack Magazine (http://www.phrack.com/issues.html?issue=66&id=9#article). Zarówno atak na TCP, jak i atak na HTTP oparte są na tym samym pomyśle, różnią się jedynie warstwą modelu ISO/OSI, na której są dokonywane. Atak na poziomie TCP znany już jako koncepcja od dłuższego czasu, polega na sztucznym podtrzymywaniu równocześnie dużej ilości równoległych połączeń. Wymusza to na serwerze zarezerwowanie dużej ilości zasobów, których serwer nie zwalnia dopóki połączenie nie zostanie zakończone. Gdy liczba nawiązanych połączeń z serwerem przekroczy maksymalną możliwą do obsługi, serwer nie jest już w stanie obsługiwać połączeń prawdziwych klientów. Urządzenia NETASQ chronią w pełni przed obydwoma opisywanymi atakami.
 
- Najnowszy typ ataku na protokół TCP został idealnie dostrojony, aby oszukać tradycyjne systemy IPS bazujące na sygnaturach do wykrywania ataków - komentuje Fabien Thomas, dyrektor techniczny NETASQ. - Podobnie jak atak na serwery DNS ujawniony przez Dana Kaminskiego, jedyną szansą wykrycia takiego rodzaju ataków jest całościowa analiza połączenia i analiza kolejnych etapów wymiany danych.

Proste systemy intrusion prevention (IPS) bazują zwykle na rozpoznawaniu ataku porównując badany pakiet z sygnaturą konkretnego zagrożenia przygotowaną przez producenta. Drugą metodą jest sprawdzanie, czy ruch jest zgodny ze standardem przesyłania danych (RFC). Nowe typy ataków na protokół TCP pokazują, że coraz częściej atak jest przeprowadzany z użyciem zupełnie zgodnego ze standardami ruchu i co więcej, atakujące pakiety nie zawierają w sobie żadnej charakterystycznej treści, a więc trudno dla nich stworzyć klasyczną sygnaturę. NETASQ bada kolejne etapy wymiany danych z użyciem analizy heurystycznej i reguł specyficznych dla danego protokołu. Przy tego typu analizie możliwe staje się wykrycie ataku również w sytuacji, w której w przesyłanych pakietach nie istnieje żaden powtarzalny złośliwy kod. Poprzez fakt, iż NETASQ jest pierwszym dostawcą , który integruje firewall z systemem IPS już na poziomie jądra systemu technologia NETASQ jest w stanie analizować połączenie całościowo przy zachowaniu wydajności niemożliwej do osiągnięcia przez innych dostawców.

- Wraz z powstawaniem coraz bardziej  wysublimowanych rodzajów ataków na sieci firmowe, spodziewamy się, że na rynku rozwiązań IPS dojdzie do ewolucji podobnej jak na rynku antywirusów. Kilka lat temu większość graczy branży antywirusowej uważała, że wystarczą regularnie aktualizowane sygnatury, aby zapewnić pełne bezpieczeństwo. Dzisiaj wszyscy liderzy rynku antywirusów rozwijają metody proaktywne. NETASQ, jako jeden z liderów technologii IPS, rozpoczyna podobny proces na rynku rozwiązań IPS chroniących sieci firmowe - komentuje Paweł Rybczyk, inżynier systemowy w firmie DAGMA, dystrybuującej rozwiązania NETASQ w Polsce.