Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Przyczyny nieudanych implementacji zabezpieczeń IT

Wdrożenie rozwiązań zabezpieczających infrastrukturę informatyczną nie zawsze podnosi poziom ochrony przetwarzanych danych. Czasami inwestycja okazuje...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Przynęty na hakerów

8 lipca 2010

Józef Muszyński, IDG News Service
W wielu sieciach korporacyjnych brakuje należytego nadzoru nad działaniami w sieci. Obserwowanie sieci i nadzór systemów komputerowych jest drogie i obciążone fałszywymi rozpoznaniami. Nie należy się więc dziwić, że ataki często pozostają niewykryte przez miesiące, malware rozprzestrzeniają się po kryjomu, a napastnicy mogą stopniowo coraz głębiej infiltrować zasoby sieci, pozostając w ukryciu.

Rozróżnienie między działaniami legalnymi a złośliwymi jest po prostu zbyt trudne. Bez odpowiedniego kontekstu, przebrnięcie przez ogromne zbiory informacji z logów lub zapisy ruchu sieciowego prowadzą do "przeciążenia informacyjnego". Jak więc rozpoznać, kto jest napastnikiem? Do tego niezbędna jest znajomość jego działań. Tutaj może pomóc stosowanie techniki honeypot, która jest niedocenianą taktyką obronną.

Każdy atak, przeprowadzony ręcznie lub automatycznie, ma fazę rozpoznawczą. Kiedy napastnik (lub wirus) zaczyna sondować sieci i systemy, to zazwyczaj ma możliwość wykonania tego w sposób niezauważony. Dopóki nie spowoduje załamania lub przeciążenia systemu, szansa na jego wykrycie jest niewielka. Honeypot (przynęta) to system, który wykrywa podejrzaną aktywność tworząc fałszywe cele. Prosta przynęta może np. wykorzystywać nieużywane adresy IP w sieci - jeżeli ktoś próbuje połączyć się z takim nieużywanym adresem, to można podnieść alarm. Podobnie działają przynęty w niewykorzystanych portach TCP, które mogą odpowiadać na żądania do nich skierowane, stwarzając iluzję istnienia takiej usługi. Do zwabiania ataków mogą być tworzone całe komputery a nawet sieci komputerów.

Tutaj mogą pojawić się wątpliwości, czy korzystanie z takich przynęt nie jest prowokacją w sensie prawnym. Niektórzy specjaliści zalecają więc, aby używać ich jedynie do wykrywania i zapobiegania atakom, a nie w celach prawnych, do wnoszenia oskarżenia. Jeżeli ktoś dostaje się do systemu, który nie ma nazwy DNS ani nie jest usługą publiczną czy zarejestrowaną, to jest całkiem prawdopodobne, że ma niecne zamiary. Powiadomienie o takim dostępie może dać osobom odpowiedzialnym za bezpieczeństwo, wyprzedzające ostrzeżenie o ataku z mniejszym prawdopodobieństwem fałszywego rozpoznania. Trzeba przy tym pamiętać, że istnieją narzędzia służące do diagnostyki i zarządzania, które także sondują całą sieć, ale ich wykluczenie nie nastręcza większych kłopotów. Pułapki mogą nawet automatyzować zapobieganie włamaniom poprzez tymczasowe umieszczanie adresu IP potencjalnego napastnika na czarnej liście.

Dostawcy oferują rozwiązania typu honeypot w swoich produktach jako standardowy mechanizm ochronny. Osprzęt sieciowy (routery i przełączniki) mogą być wyposażane w sieci-widma działające jako pułapki generujące alarmy. Oprogramowanie wirtualizacji może tworzyć całe centra danych stanowiące przynęty. Dostawcy usług mogą używać pułapek w nieprzydzielonych obszarach sieci. Wymyślne pułapki mogą także zwabiać napastników, stwarzając im pozory pomyślnego zdobywania przyczółków i eskalacji wtargnięcia, profilując jednocześnie napastnika na tej drodze.

Istnieje wiele uzasadnionych powodów sondowania ciemnych zakamarków sieci, systemów operacyjnych czy aplikacji. Przynęty pozwalają na ustawienie w tych miejscach pułapek, które czynią wypady rozpoznawcze napastników wielce ryzykownymi i zwiększają prawdopodobieństwo ich wykrycia. Miraż fałszywych systemów może powodować marnotrawstwo czasu napastnika, dając jednocześnie czas na jego wykrycie, zidentyfikowanie i unieszkodliwienie.

Wystaw ocenę:
    Średnia ocena (liczba głosów: 1)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Ta wiadomość nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...