Предвидеть неизвестное

Новый инструментарий выходит за рамки традиционных заплат и помогает отражать неизвестные ранее типы атак

Деннис Фишер

Вот уже долгие годы производители средств защиты тщательно скрывают от пользователей один маленький постыдный секрет: программные заплаты не работают.

Это не значит, что они не способны справляться с проблемами, для решения которых предназначены, - здесь-то как раз все в порядке. Если забыть о технических оплошностях, таких, как регрессивные ошибки и проблемы несовместимости, свойственные для заплат Microsoft и других производителей, то цели своей заплаты достигают.

Серьезная проблема, хорошо известная и самим администраторам, и компетентным взломщикам, лежит совершенно в другой плоскости: заплаты нужно регулярно обновлять. А это делается настолько редко, что они становятся практически бесполезными. Причин тому множество, но из них можно выделить две главные: во-первых, нехватка времени на скачивание, тестирование и установку заплат, а во-вторых - огромное количество брешей в популярных программных пакетах. В результате появляется множество незащищенных серверов и рабочих станций, которые буквально напрашиваются на атаки.

Производители ПО - от самых крупных до сравнительно небольших - тратят массу времени и денег, пытаясь решить эту проблему. Microsoft, скажем, выпустила несколько автоматизированных инструментальных программ, упрощающих процессы загрузки, рассылки и установки заплат. А новое поколение разработчиков, самым заметным представителем которого является фирма Citadel Security Systems, предлагает предприятиям автоматизированные средства оценки уязвимости и устранения брешей.

И все же ни одно из таких решений не затрагивает самой сути заплат, которые по природе своей являются не чем иным, как пассивной ответной мерой. Устранить с их помощью брешь можно только после того, как ее кто-нибудь выявит. А хакеры тем временем трудятся, не покладая рук, чтобы найти никому пока не известные лазейки и использовать их в своих целях. В результате заплаты, что называется, лишь “бьют по хвостам”.

Чтобы решить эту проблему, некоторые производители систем безопасности начинают предлагать технологии, способные не только реагировать на случившееся и блокировать известные опасности, но и предвидеть появление новых угроз, смягчая их последствия.

“В этой отрасли давно ощущается некое отсутствующее звено, - отмечает Крис Клаус, основатель и главный инженер фирмы Internet Security Systems. - Применение заплат себя не оправдывает. Мы же выявляем слабые места, способные создавать угрозу безопасности, и оцениваем потенциальные бреши”.

Эта фирма недавно анонсировала комплект программ и решений под названием Dynamic Threat Protection. Сочетая в себе целый ряд технологий и приложений, он производит анализ сетевого трафика в реальном времени, а полученные результаты использует для выявления неизвестных еще опасностей и принятия соответствующих мер.

Основу новой стратегии составляет RealSecure Site Protection 2.0. В его новой версии все функции обеспечения безопасности сети передаются в одну систему управления и контроля. Для этого на каждой защищаемой машине - от серверов до настольных систем и блокнотных ПК - устанавливается агент RealSecure и используется единая политика управляющих компонентов для всей системы.

Site Protector тесно связан с новой версией пакета Fusion этой же фирмы, который, благодаря интеллектуальному потенциалу исследовательской команды Internet Security Systems X-Force, оперативно анализирует информацию о входящих угрозах и соотносит ее с текущей ситуацией. Полученные данные затем сопоставляются с обнаруженными слабыми местами сети, в результате чего удается получить представление о возможных последствиях атаки в реальном времени.

Подобный подход реализует не только Internet Security Systems. Фирма Mazu Networks также выпустила платформу PowerSecure, предназначенную для идентификации аномальных сетевых событий по результатам тщательного анализа трафика. Система в течение заданного времени регистрирует все сетевые подключения. На основании полученных данных строится профиль стандартного объема и структуры трафика для каждого подключения.

Когда это сделано, система начинает сопоставлять реальный трафик с моделью, выявляя таким образом все отклонения от нормы. Фирма Mazu возникла вскоре после серии распределенных атак с отказом в обслуживании (так называемых DDoS), которые три года назад нанесли немалый урон ряду известных Web-узлов. С тех пор предложенная ею технология защиты претерпела существенные изменения и сегодня способна не только бороться с атаками DDoS, но и ослаблять воздействие широкого спектра других негативных сетевых событий.

В этом направлении работают и другие фирмы, например, Okena и Entercept Security Technologies. Последняя, как и Internet Security Systems, предложила технологию перехвата вызовов ОС, позволяющую блокировать опасные операции еще до начала их выполнения.

“Технология эволюционирует, и мы видим естественный этап ее развития”, - считает Мэтью Ковар, аналитик бостонской фирмы The Yankee Group.

Но вернемся к Internet Security Systems. Ее решение, опираясь на интеллект X-Force, создает так называемые виртуальные заплаты, способные предотвратить опасные операции и нежелательное поведение машин до тех пор, пока производитель не предложит собственного решения. Обновления рассылаются на все агенты RealSecure, находящиеся на защищаемых компьютерах.

“Дело в том, что заплаты очень опасны для приложений. Использовать их и дорого, и рискованно, - поясняет директор X-Force Крис Руланд. - Любой новый ПК или сервер сразу после развертывания оказывается в зоне риска и остается в ней до тех пор, пока не будут загружены все необходимые заплаты. Наша же модель от такой опасности избавляет. Мы хотим ограничить автоматизм реакции на новые угрозы, сделав процесс более гибким”.

Виртуальные заплаты способны предотвращать атаки несколькими способами, в частности путем автоматической блокировки доступа к сервисам. К тому же они не вмешиваются в работу защищаемых приложений, чем зачастую грешат программные заплаты некоторых производителей.

“Обеспечивается тот же уровень защищенности, что и при установке заплаты, но безо всякого вмешательства в систему, - поясняет Клаус из Internet Security Systems. - Мы серьезно занимаемся технологией обнаружения неизвестных атак и уверены: если кто-то обещает предусмотреть абсолютно все, это чистой воды шарлатанство”.