Одна из лучших вещей, которую любое устройство может сделать, – это использовать частную сеть (VPN). VPN могут быть выполнены с помощью программного обеспечения, аппаратных средств или комбинации этих способов. Виртуальные частные сети не идеальны. Например, DDoS-атака может их прервать.
Ничто не сравнится с безопасным протоколом и приложением, которое включает защиту от известных угроз. Люди должны использовать безопасные протоколы и приложения, если они прилагаются (например, SCP и SSH), и избегать сознательного использования небезопасных протоколов (таких как FTP и Telnet). Кроме того, ни одно приложение не должно хранить текстовые учетные данные на диске или в памяти или передавать их по сети.
Заражения могут быть обнаружены сетевыми анализаторами (вручную) или автоматически по определенным шаблонам. При обнаружении вредоносности сети ее можно удалить или создать действенное предупреждение. Анализаторы сетевых протоколов – это отличный способ сбора и декодирования сетевых аномалий. Они позволяют осуществлять анализ как вручную, так и автоматически. Многие брандмауэры также содержат функции обнаружения сетевых вторжений.
Вы можете защититься от атак типа «отказа в обслуживании» (DDoS), укрепив сетевое оборудование, выделив больше пропускной способности и используя специализированные службы защиты от DDoS-атак. Существуют десятки анти-DDoS-сервисов, которые могут помочь защитить активы компании от очень крупных DDoS-атак. Единственная проблема в том, что они очень дорогие. К сожалению, есть ряд неэтичных конкурентов, которые сделают все, чтобы получить бизнес-клиента. Если вы планируете использовать службу защиты от DDoS, внимательно проанализируйте предложения, чтобы убедиться, что имеете дело с законной, бесспорно этичной фирмой.
Многие сетевые атаки, такие как простые кражи файлов cookie с веб-сайта, происходят только потому, что веб-сайт или служба не используют жизненный цикл безопасной разработки (SDL) в своем программировании. Правильно закодированный веб-сайт или служба с соответствующим моделированием угроз и использованием SDL для закрытия известных уязвимостей будут более устойчивы к сетевым атакам, чем те, которые этого не делают.
К сожалению, среднестатистическому пользователю трудно узнать, безопасен ли веб-сайт, который он посещает, или веб-сервис, который использует. Некоторые сайты содержат свидетельства безопасности от известных, надежных вендоров безопасности, и если они проверены как законные, то должны дать случайному пользователю дополнительный уровень комфорта.
Ежедневно кто-то подвергается сетевым атакам, и некоторые из них причинили огромный ущерб своим жертвам. Существует множество средств защиты, которыми могут воспользоваться компании, чтобы снизить риск атаки.
В следующей главе представлен профиль Лауры Чаппелл, одного из лучших в мире специалистов по сетевым анализаторам.
Ученые говорят, что если мы когда-нибудь встретим инопланетную цивилизацию, вероятным языком общения будет математика, потому что это единственный действительно универсальный язык, который, будет понят передовыми цивилизациями. Чтобы разобраться, что происходит с сетевым компьютером, необходимо хорошо изучить сеть. Никто не делает это лучше, чем Лаура Чаппелл. Она напоминает доктора Луизу Бэнкс (роль которой исполнила Эми Адамс) в фильме «Прибытие» 2016 года или доктора Элли Арроуэй (которую играет Джоди Фостер) в фильме «Контакт» 1997 года. Она очень умна, целеустремленна, добилась большого успеха в своей работе и заслужила уважение коллег.
На ее факультативах и презентациях всегда много народу. Я впервые встретил ее более 20 лет назад, когда она преподавала курс по сетевому снифферу в местной ИТ-группе в Вирджинии-Бич, штат Вирджиния. В то время сотрудники-женщины там были редкостью, и Чаппелл привыкла к тому, что парни приставали к ней, пытаясь показать, как много они знают о сетевых пакетах. Она закончила свою вступительную речь в нашей группе, сказав: «Если вы думаете, что произведете на меня впечатление, пытаясь выглядеть альфа-самцом благодаря своим знаниям сетей, не тратьте свое время. Я знаю больше вас». Публике это понравилось. Потом она доказала свою правоту, и мы стали ее фанатами на всю жизнь.
Она использовала большинство анализаторов сетевых пакетов, хотя ее нынешний фаворит – очень популярный Wireshark (http://www.wireshark.com), который поставляется как в бесплатной, так и в коммерческой версиях.
Я спросил Чаппелл, как она заинтересовалась анализом сетевых пакетов. Она ответила: «Еще в конце 1980-х и начале 1990-х я работала на Novell (электростанция в сетевых операционных системах в то время). Я была членом Технологического института Novell и работала в команде, которая исследовала, писала и читала лекции по всем горячим сетевым технологиям в то время. Когда Рэй Ноорда, генеральный директор Novell, приобрел компанию Excelan Corporation в 1989 году, мне посчастливилось присутствовать на презентации Excelan LANalyzer. Наблюдая за этим ранним инструментом сетевого анализатора, я зашла на нашу сеть Novell и углубилась в запросы/ответы Novell, всплывающие имена пользователей и пароли… Я по-настоящему заинтересовалась этим и сказала себе (и всем, кто меня слушал): “Я хочу заниматься этим всю оставшуюся жизнь”. Боже… Итак, все эти годы спустя я все еще прослушиваю сетевые коммуникации!»
Я спросил Чаппелл, как она попала в сферу ИБ. «Я впервые вышла на арену сетевой криминалистики совершенно случайно. В 1993 году я основала свою компанию и большую часть времени проводила анализ различных корпоративных сетей. Тогда компании были заинтересованы только в устранении неполадок, оптимизации и планировании мощностей. Они никогда не вызывали меня, чтобы поговорить о “безопасности”. <…> Спустя много лет, однако, я подключилась к инфраструктуре компании, только чтобы найти огромные проблемы безопасности и объявить о них по всей сети. Выполняя заказы своих клиентов, я должна была начать поднимать вопрос безопасности для них. Я видела некоторые пакеты и сообщения, которых просто не должно быть в их сетях. Было довольно много случаев, когда я чувствовала, что плохая производительность сети – наименьшая из забот, ведь их грабили прямо под носом. Стало очевидно, что мне нужно вплести “анализ безопасности” в свои задачи сетевого анализа. Мир сетевой криминалистики вышел на первый план. Вот несколько примеров.
В разгар проведения анализа плохо функционирующей сети клиента я стала свидетелем внезапного потока быстрого трафика, направленного к точке выхода из сети. Он исходил из системы, которая должна была быть относительно тихой в то время, так как никто не был зарегистрирован на этом компьютере. Взглянув на поток трафика поближе, я заметила в нем много знаков долларов и долларовых сумм. После повторного анализа я поняла, что у меня в руках вся выручка компании.
Во время анализа в больнице оказалось, что студенты из крупного университета получают доступ к базе данных рецептов – системе, которая содержит не только имена, адреса и номера социального страхования пациентов, но и полную информацию о различных лекарствах, прописанных им. Эта программа была разработана как сеанс анализа в реальном времени для определения причины медленных процессов входа в систему. Как только подозрительный трафик был обнаружен, все изменилось. Это стало тренировкой по обнаружению вредоносного трафика. А остальное уже история».
Я спросил Чаппелл, что больше всего ее интересует в сфере ИБ. Она сказала: «Это большой вопрос. В сетевой криминалистике так много интересных областей. Две наиболее интересных для меня прямо сейчас: ловить автоматизированные фоновые процессы, поскольку они отправляют конфиденциальную и личную информацию незаметно для пользователей, и учить людей настраивать Wireshark, чтобы быстро обнаружить наиболее распространенные симптомы сетевой разведки и атаки. Проект настройки Wireshark – актуальная для меня тема. Создание профиля Wireshark, который может быстро предупредить эксперта об опасности, – отличная особенность. Обучать людей, как использовать его в качестве инструмента сетевой криминалистики, чрезвычайно интересно».
Я спросил Лауру, в чем, по ее мнению, самая большая проблема в сфере ИБ. «Исходя из точки зрения сетевой судебной экспертизы, я должна сказать, что недостаточно компаний понимают, как интегрировать безопасность в различные отделы организации. Я часто обнаруживаю, что людям, которые устанавливают программное обеспечение клиентов, не рекомендуется изучать сетевую безопасность – они просто устанавливают его, и все. Они не делают базовую линию трафика к/от недавно отчеканенной системы. Они не понимают, что такое “нормальный” трафик, поэтому не могут обнаружить “ненормальный”. Им, конечно же, не предоставляется доступ к системе IDS для запуска файлов трассировки. Было бы просто великолепно, если бы сотрудники безопасности в компаниях провели внутреннее перекрестное обучение тому, как нарушаются системы и как предотвратить будущие проблемы. Я знаю, что эти люди заняты, но им нужно распространять знания на другие отделы».
Наконец, я узнал, что она порекомендовала бы людям, интересующимся сферой ИБ в качестве карьеры. «Во-первых, изучите Wireshark, конечно! Шучу… хотя, вообще-то, не шучу. Wireshark – идеальный инструмент понимания того, как работает сеть, к тому же он бесплатный! Он занимает первое место в инструментах безопасности sectools.org. Во-вторых, изучайте TCP/IP очень, очень, очень хорошо. Потратьте время, чтобы захватить свой собственный трафик при подключении к веб-серверу, отправлять электронную почту, загрузить файл через FTP, и т. д. Так вы узнаете, как работают протоколы, смотрите протоколы с помощью Wireshark. Наблюдайте за TCP-квитированием, характером запроса/ответа приложений, процессом разрыва соединения и т. д. В-третьих, создайте простую атакующую лабораторию. Вам не понадобятся какие-то особые компьютеры – просто свяжите некоторые из них вместе с коммутатором и воспользуйтесь бесплатными инструментами сканирования/тестирования на проникновение. Захватите и анализируйте трафик при запуске атак на другие системы. Большинство из нас учатся глазами – видеть ход сканирования гораздо интереснее, чем читать об этом. Сетевая безопасность похожа на двустороннюю монету – вам нужно почувствовать, как работают различные атаки, чтобы знать, как защититься от них.
Это всего лишь игра. Игры для решения проблем – отличный способ зарядить свой мозг для сетевого анализа и анализа безопасности».
Лаура Чаппелл – женщина, которая нашла свою нишу в мире сетевых пакетов, стала мировым экспертом и вот уже на протяжении 20 лет по-прежнему остается лучшей в своей области.