Открыты 124 новых динамических техник обхода
Stonesoft ссообщила об открытии еще 124 новых динамических техник обхода (AET - advanced evasion techniques). Образцы этих техник были предоставлены в CERT-FI, мирового координатора в области устранения уязвимостей и информационной безопасности. Открытие AET произошло в октябре прошлого года. С тех пор, Департамент исследований и разработок Stonesoft продолжает вести всесторонние исследования в этой области, что привело к обнаружению еще 124 новых техник.
Многие производители средств сетевой защиты заявили об устранении уязвимостей, связанных с 23 первыми динамическими техниками обхода, выявленными осенью прошлого года. Однако реальные тесты в исследовательской лаборатории Stonesoft подтверждают, что динамические техники обхода до сих пор позволяют пройти сквозь многие из этих систем защиты без обнаружения. В других случаях, первоначальные образцы AET распознаются средствами защиты, но незначительные видоизменения АЕT, например, изменение размера пакетов или сегментация, вновь позволяют обойти системы безопасности. Это показывает, что большинство поставщиков предоставили только временные статические исправления для своих средств защиты, которые неэффективны для противостояния растущему числу AET, а не исследовали этот вопрос более детально на архитектурном уровне, что более соответствует специфике этих уязвимостей.
Тема традиционных и динамических техник обхода (АЕТ) нашла широкий отклик в мировом сообществе информационной безопасности. При независимом тестировании сетевых IPS в 4 квартале 2010 года тестовая лаборатория NSS Labs выделила техники обхода IP фрагментацию и TCP сегментацию, как серьезные угрозы.
Хотя пока не существует единого решения для устранения угрозы AET, организации могут снизить риски и уменьшить уязвимость своих систем. Один из таких путей - убедиться, что используемые средства защиты осуществляют корректный многоуровневый процесс нормализации, работающий на всех уровнях протоколов и для каждого соединения. Централизованное управление системой защиты также имеет важное значение, поскольку позволяет постоянно осуществлять обновления и необходимую модернизацию средств защиты по всей инфраструктуре. К сожалению, технологии fingerprint и сигнатурный анализ - типичные ответы систем информационной безопасности на появляющиеся эксплойты – не работают против динамических, комбинированных и постоянно меняющихся AET.
Многие производители средств сетевой защиты заявили об устранении уязвимостей, связанных с 23 первыми динамическими техниками обхода, выявленными осенью прошлого года. Однако реальные тесты в исследовательской лаборатории Stonesoft подтверждают, что динамические техники обхода до сих пор позволяют пройти сквозь многие из этих систем защиты без обнаружения. В других случаях, первоначальные образцы AET распознаются средствами защиты, но незначительные видоизменения АЕT, например, изменение размера пакетов или сегментация, вновь позволяют обойти системы безопасности. Это показывает, что большинство поставщиков предоставили только временные статические исправления для своих средств защиты, которые неэффективны для противостояния растущему числу AET, а не исследовали этот вопрос более детально на архитектурном уровне, что более соответствует специфике этих уязвимостей.
Тема традиционных и динамических техник обхода (АЕТ) нашла широкий отклик в мировом сообществе информационной безопасности. При независимом тестировании сетевых IPS в 4 квартале 2010 года тестовая лаборатория NSS Labs выделила техники обхода IP фрагментацию и TCP сегментацию, как серьезные угрозы.
Хотя пока не существует единого решения для устранения угрозы AET, организации могут снизить риски и уменьшить уязвимость своих систем. Один из таких путей - убедиться, что используемые средства защиты осуществляют корректный многоуровневый процесс нормализации, работающий на всех уровнях протоколов и для каждого соединения. Централизованное управление системой защиты также имеет важное значение, поскольку позволяет постоянно осуществлять обновления и необходимую модернизацию средств защиты по всей инфраструктуре. К сожалению, технологии fingerprint и сигнатурный анализ - типичные ответы систем информационной безопасности на появляющиеся эксплойты – не работают против динамических, комбинированных и постоянно меняющихся AET.