Koniec Windows XP początkiem problemów?

Najbardziej zagrożoną grupą wydają się zwykli użytkownicy. Wielu z nich będzie chciało pozostać przy Windows XP z prozaicznych przyczyn. Migracja do Windows 7 wiąże się nie tylko z kosztem zakupu aplikacji, ale również z zalecaną bądź konieczną wymianą sprzętu. Dla osób, które ograniczają swoją aktywność komputerową do wysyłania i odbierania poczty elektronicznej czy tworzenia dokumentów, funkcje oferowane przez system Windows XP są w pełni wystarczające.

Zapewne część użytkowników w ogóle nie będzie świadoma faktu, że Microsoft przestał opracowywać nowe uaktualnienia i łatki bezpieczeństwa dla wykorzystywanego przez nich systemu. Według Jasona Millera, kierownika ds. badań i rozwoju w VMware, to właśnie z komputerów takich osób składają się zwykle botnety.

Polecamy Windows 8 w firmie? Nie warto się spieszyć

Potencjalny problem z zachowaniem odpowiedniego stopnia bezpieczeństwa urządzeń opartych na MS Windows XP może również dotknąć sektor biznesowy. Zwłaszcza mniejszy biznes, bo w korporacjach firmowe polityki bezpieczeństwa wyłączą z eksploatacji przestarzałe systemy operacyjne. Dodatkowym czynnikiem przyspieszającym przechodzenie w firmach na Windows 7 jest konieczność zapewniania pełnej kompatybilności systemu z najnowszymi aplikacjami (np. MS Word czy Excel).

Polecamy Windows 8 - "Cicha większość" nie ma racji?

Amol Sarwate, dyrektor ds. bezpieczeństwa informatycznego w firmie Qualys, zwraca uwagę na jeszcze inny aspekt końca ery XP. Wiele systemów SCADA (Supervisory Control And Data Acquisition), używanych w sieciach przemysłowych do kontrolowania procesów technologicznych i produkcyjnych, jest opartych na zmodyfikowanej wersji Windows XP. Aplikacje współpracujące są często niedostosowane do pracy na standardowych platformach systemowych Microsoftu, co poważnie komplikuje możliwość aktualizacji OS-a. Sarwate przekonuje, że po 2014 r. systemy SCADA mogą okazać się podatne na zagrożenia w równie dużym stopniu, jak komputery osobiste.

Czasy, gdy głównym problemem był stosunkowo nieszkodliwy spam z ofertą zegarków oraz leków w atrakcyjnych cenach, zdecydowanie minęły. Luki w oprogramowaniu są coraz częściej wykorzystywane do przeprowadzania ataków typu drive-by download. Użytkownik może sobie nawet nie zdawać sprawy z faktu, że odwiedzenie zainfekowanej strony internetowej spowodowało, że groźny trojan zainstalował się w komputerze.

Polecamy Windows Server czy Linux?

Dlatego specjaliści od bezpieczeństwa już dziś ostrzegają, że te ciche i bezinwazyjne metody hakerskie staną się jeszcze groźniejsze już chwilę po zakończeniu wspierania systemu Windows XP przez Microsoft. Radzą, by wykorzystać pozostałe dwa lata do modernizacji swojego środowiska informatycznego.

Jak skutecznie bronić się przed atakami DoS/DDoS?

Zamów prenumeratę
i wybierz pendrive Kingstone DTI G3
w atrakcyjnej cenie!

Do wyboru pojemości: 4 GB, 8 GB, 16 GB i 32 GB.

Specyfikacja pendrive'a:

Nowoczesny, szybki, miniaturowy dysk do przenoszenia danychSzybkość zapisu danych do 10 MB/sInterfejs USB 2.0 Wysuwana wtyczka USB Sygnalizacyjna dioda LED Gwarancja 5 lat

Regulamin promocji: »

Nowa generacja WAN

VPLS i OTV zapewniają elastyczność wdrożenia oraz zarządzanie usługami sieciowymi dla rozległych geograficznie lokalizacji. VPLS (Virtual Private LAN Service), działający poprzez sieć MPLS lub IP, jest zatwierdzonym standardem, lecz wymaga doświadczonej kadry IT, aby skutecznie zarządzać tak zbudowaną siecią. OTV (Overlay Transport Virtualization), pracujący wyłącznie poprzez sieć IP, to protokół stworzony przez Cisco, który wymaga wykorzystania określonego sprzętu.

Polecamy Sieci GPON w praktyce

L2 przez WAN - czy to możliwe?

Połączenia zdalnych biur z centralą firmy niemal zawsze mają krytyczne znaczenie dla prowadzenia biznesu, ponieważ zapewniają dostęp do centrum danych, a jednocześnie powinny odpowiednio traktować transmisje danych i przekaz głosu. Organizacje mają wiele opcji łączenia takich lokalizacji - mogą to być technologie IP VPN, MPLS, a w przeszłości ATM/Frame Relay. Dawniej technologie pozwalające na przenoszenie warstwy L2 były kosztowne i miały wiele ograniczeń. Dodatkowo pozwalały na zestawianie połączeń wyłącznie w architekturze punkt-punkt. Nowymi technologiami, pozwalającymi na rozszerzenie protokołów Ethernet na WAN, są m.in. VPLS oraz OTV.

Jak działa MPLS VPN?Nowoczesne technologie WAN, łączące oddalone lokalizacje w warstwie drugiej, realizują funkcje wirtualnych przewodów PW (pseudowire). W rzeczywistości takie połączenie zachowuje się jak fizyczny kabel położony między zdalnymi lokalizacjami. Technologie PW przekazują wszystko, co pojawi się po jednej stronie tunelu - na drugą stronę tunelu, łącznie z ruchem multicast, protokołem Spanning-Tree, MAC adresami i innymi protokołami warstwy L2. Co więcej, możliwe jest zapewnienie połączeń w architekturze wielopunkt-wielopunkt. Technologia PW nie zakłada jednak wykorzystania protokołów trasowania, więc potrzebna jest podbudowa w postaci protokołu IP lub MPLS.

Polecamy Carrier Ethernet 2.0

Większość operatorów oferuje różne typy połączeń poprzez sieć MPLS. Jej popularność wynika z tego, że obsługuje liczne protokoły, daje możliwość zapewnienia różnych poziomów jakości usług, a także przenoszenia z odpowiednią jakością ruchu głosowego czy wideo. Struktura MPLS jest także stosunkowo bezpieczna i odporna na awarie.

Polecamy 100 gigabitów na sekundę

MPLS jest protokołem niezbędnym do poprawnego funkcjonowania części technologii L2 poprzez WAN, dlatego warto wiedzieć, jak działa. MPLS pracuje w oparciu o model etykiet. Na brzegu sieci router LSR przydziela etykiety poszczególnym pakietom danych, aby przy wyjściu z sieci je zinterpretować i pozbyć się etykiet. Na etapie etykietowania tworzona jest ścieżka pakietu przez sieć MPLS. Etykiety są przydzielane na podstawie różnych kryteriów: może to być miejsce przeznaczenia lub źródło pakietów, może to być poziom jakości usług (QoS). Trasowanie odbywa się poprzez brzegowe routery etykiet (LSR). Pakiety danych są przekazywane zgodnie z ustaloną już na brzegu sieci trasą, określaną jako etykieta ścieżki przełączania (LSP). Etykiety układają się w stos, przy czym na najwyższym szczeblu znajduje się etykieta LSP. Forma stosu etykiet pozwala na nieograniczone możliwości kształtowania jakości usług i wyboru ścieżek ruchu. Ścieżki zapasowe uwzględniane w etykietach pozwalają na pełną redundancję połączeń. Wdrożenia MPLS są zawsze związane z realizacją kompletnej implementacji zarządzania jakością pakietów, wraz z zapewnieniem określonych poziomów jakości usługi SLA (Service Level Agreement).

Jedną z pierwszych technologii przekazywania L2 przez WAN była enkapsulacja pakietów wykorzystywana przez EoMPLS. Ta technologia pracuje w architekturze punkt-punkt i przystosowana jest do pracy z aplikacjami punkt-punkt. Skalowanie EoMPLS może okazać się wyzwaniem, ponieważ wraz z rozwojem infrastruktury liczba przewodów wirtualnych gwałtownie wzrasta, a dodatkowo nie można łączyć lokalizacji w chmurę. VPLS i inne protokoły rozbudowują możliwości EoMPLS, działając jak przełącznik między lokalizacjami i zapewniając implementację wielopunkt-wielopunkt. Podstawowe funkcjonalności MPLS nie pozwalają na przenoszenie warstwy L2 między różnymi lokalizacjami, dlatego na jego podbudowie pracują właśnie protokoły VPLS czy OTV.

Bezpieczeństwo IT. Co nam grozi?

Ewolucja kodów złośliwych

Programy złośliwe liczebnie przewyższają już legalne. Ukrywają się pod postaciami fałszywych skanerów antywirusowych, "niezbędnych" łatek, spreparowanych plików PDF czy kodeków. Nowym wektorem ataków stały się sieci społecznościowe.

Dzisiejsze złośliwe oprogramowanie stawia olbrzymie wyzwania przed dostawcami środków ochronnych. W miejsce prosto zaszyfrowanych plików malware pojawiły się w kody polimorficzne, wykorzystujące miliony losowo wygenerowanych kluczy szyfrujących. Ich następcą są programy metamorficzne, które reorganizują swój własny kod w biegu, rekompilując go dla każdej nowej ofiary.

Polecamy Bezpieczeństwo - trzy duże problemy

Botnety są wykorzystywane do kradzieży pieniędzy, prowadzenia ataków DDoS (Distributed Denial of Service) czy włamywania się do innych komputerów.

Pliki złośliwe są często spakowane w archiwa chronione hasłem w celu oszukania skanerów sieciowych i używają tuneli SSL/TLS w celu ominięcia inspekcji sieciowej.

Ataki DDoS

Ataki DDoS nie są zbyt wymyślne, większość z nich nie wykorzystuje nawet luk oprogramowania - są jednak trudniejsze do odparcia niż inne zagrożenia.

Z technicznego punktu widzenia ataki DDoS stają się coraz intensywniejsze. Jeszcze niedawno natężenie ruchu o wielkości 1 Gbps, emitowanego w kierunku ofiary, uważane było za duże, a obecnie można już obserwować ataki o natężeniu 20 Gbps, a nawet większym Jednak największym wyzwaniem stała się złożoność ataków DDoS, które przenoszą się z warstwy 3 i 4 sieci na warstwę 7 (aplikacyjną).

Polecamy Ataki DDoS: jak sobie z nimi radzić?

Najbardziej złożone ataki DDoS mogą mieć jednocześnie wiele wektorów, co znacznie zwiększa ich uciążliwość. Taktyka ta sprawia, że obrona staje się dużo trudniejsza. Napastnik może rozpocząć np. od zalewania celu pakietami ICMP czy UDP, zwiększając ruch i utrudniając jego obsługę. Z chwilą, gdy ofiara uzyska kontrolę nad potokiem pakietów ICMP i UDP, napastnik może przełączyć się na protokoły TCP, a kiedy ofiara zacznie zajmować się tym ruchem, może zwiększyć liczbę botów i tym samym intensywność ruchu, coraz bardziej wciągając ofiarę w tę grę.

Coraz większa liczba ataków DDoS to ataki wielostronne i wielodniowe, służące za przynętę odciągającą uwagę od bardziej niszczących ataków w sieci.

Zagrożenia z sieci społecznościowych

Sieci społecznościowe są w coraz większym zakresie wykorzystywane przez biznes. Trzeba jednak pamiętać, że technologie te wnoszą też duże ryzyko do przedsiębiorstwa. Przy setkach milionów użytkowników są bardzo atrakcyjnym celem dla napastników.Podobnie jak na wczesnym etapie upowszechnienia poczty elektronicznej czy komunikatorów, użytkownicy niemal bezkrytycznym zaufaniem darzą odnośniki do obrazków, wideo czy plików wykonywalnych przesyłane przez "przyjaciół". Konsekwencje tego mogą się jednak okazać bardziej bolesne niż w przypadku poczty elektronicznej - celem sieci społecznościowych jest udostępnianie obiektów w dużo większym zakresie.

Portale pod ochroną WAF

W Networld 12/2011 pisaliśmy o firewallach aplikacyjnych, teraz pora spojrzeć na inne rozwiązania, które chronią konkretny rodzaj aplikacji - aplikacje webowe, czyli te, które dostępne są najczęściej z poziomu przeglądarki internetowej. Chodzi o rozwiązania typu Web Application Firewall (WAF).

Typowym zastosowaniem technologii WAF jest ochrona portali, które służą bezpośrednio lub pośrednio zarabianiu pieniędzy - takich jak portale e-banking lub e-commerce. Jak wyliczył instytut Ponemon, koszt utraty jednego rekordu informacji to ok. 197 USD. Badania, które prowadził, odnosiły się, co prawda, do rynku amerykańskiego, ale dają pewien pogląd na sprawę. Co gorsza, według badań WhiteHat Security, większość stron internetowych w 2010 r. była podatna (przez cały rok) na co najmniej jedną, poważną podatność - oznaczaną jako "Critical", "High" lub "Urgent". Tylko 30% przebadanych witryn było podatne przez okres krótszy niż 30 dni. Jedną z rekomendacji WhiteHat Security prowadzących do poprawienia stanu bezpieczeństwa (oprócz np. modyfikacji kodu, aktualizacji aplikacji) jest korzystanie z narzędzi klasy WAF. W dalszej części spróbujemy wyjaśnić, co to takiego.

Polecamy NGFW - firewalle następnej generacji

Czym jest WAF?

Jakie czynniki skłaniają organizacje do zakupu rozwiązań WAF. Zawsze kilka argumentów się powtarza. Jednym z najbardziej oczywistych czynników jest ustrzeżenie się przed niedostępnością lub uszkodzeniem aplikacji będących albo głównym, albo dodatkowym źródłem dochodu. Druga sprawa, to zapewnienie dodatkowego wsparcia, które oprócz cyklicznych przeglądów kodu pomogłoby ustrzec się przed coraz bardziej wyszukanymi (ale często też trywialnymi) atakami. No i wreszcie, gdy rozmawia się z firmami, często słyszy się, że niezwykle istotnym czynnikiem dokonania tej inwestycji jest chęć spełnienia wielu wymogów wypływających z wewnętrznych czy zewnętrznych regulacji, czyli znienawidzony przez wielu "compliance’u". Tutaj najważniejsze jest pokazanie odpowiedniego "glejtu" potwierdzającego zgodność. Słysząc o kolejnym typie firewalli, nasuwa się co najmniej kilka pytań. Pierwsze dotyczy różnicy pomiędzy zaporą aplikacyjną a zaporą dla aplikacji webowych. Podstawowy wyróżnik to realizowany cel. Zapory aplikacyjne zostały stworzone jako rozwinięcie tradycyjnych firewalli, tj. ich głównym zadaniem jest ochrona styków sieci (z internetem, wewnątrzkorporacyjnych). Dorzucono do nich mechanizmy rozpoznawania aplikacji poprzez dekodowanie pakietów w warstwie 7. i kontroli dostępu użytkowników do konkretnych aplikacji, ale w dalszym ciągu są to "zwykłe" firewalle. Z kolei WAF został pomyślany jako odpowiedź na ataki skierowane przeciwko aplikacjom webowym. Koncentruje się zatem na ochronie serwerów webowych poprzez szczegółową analizę ruchu w warstwie 7.

I tutaj pojawia się kolejne pytanie: jaka to różnica w stosunku do tego, co robi IPS? Można powiedzieć, że WAF to rodzaj specjalizowanego IPS-a przeznaczonego tylko i wyłącznie do analizy aplikacji webowych - potrafi właściwie przeanalizować chociażby metody http, takie jak GET czy POST. Odpowiedzi na pytanie o to, czym jest WAF, można również szukać w materiałach informacyjnych (Information Supplement: Payment Card Industry Data Security Standard - PCI DSS - Requirement 6.6 Code Reviews and Application Firewalls) publikowanych przez organizację PCI Security Standards Council. Według nich, WAF to rozwiązanie, które musi przede wszystkim:
• Zapewniać ochronę przed zagrożeniami publikowanymi na liście TOP 10 przez OWASP.
• Budować zasady polityki zachowań dla danych wejściowych i odpowiedzi (blokowania/zezwalania/alertowania) oparte na modelach białych i czarnych list.
• Chronić przed wyciekiem danych.
• Poddawać inspekcji zarówno zawartość serwisu poprzez analizę np. HTML, DHTML czy styli CSS, jak i protokoły, które służą do jej dostarczenia, np. HTTP, HTTPS (SSL i TLS).
• Poddawać kontroli "web serwisy", jeżeli wystawione są do internetu (np. SOAP, XML).
• Potrafić chronić siebie.
• Terminować lub deszyfrować ruch SSL (lub mieć dostęp do ruchu odszyfrowanego).
• Zapewniać mechanizmy fail-open lub fail-close.

Uprzywilejowani i kontrolowani

Problem z przywilejami

Dla administratora odpowiedzialnego za bezpieczeństwo prawdziwą udrękę stanowią tzw. tożsamości uprzywilejowane, a więc wszelkiego rodzaju konta z wysokim poziomem uprawnień, typu administrator, root, DBA itp. Możemy sobie wyobrazić przynajmniej kilka grup poważnych problemów z nimi związanych. Pierwsza wiąże się z zarządzaniem. Specyfika kont uprzywilejowanych polega na tym, że - w przeciwieństwie do "normalnych" - nie są przywiązane do konkretnej osoby, co oznacza, że do konta root może mieć dostęp równie dobrze jedna, jak i dwadzieścia osób. Zdarza się również, że takie konta specjalne są wykorzystywane nie tylko przez ludzi, ale również przez usługi oraz obiekty (np. COM+/DCOM).

Konta we władaniu Lieberman Enterprise Random Password ManagerDo częstych należą również sytuacje, kiedy konta uprzywilejowane wymykają się centralnym mechanizmom zarządzania i omijają wymagania polityki bezpieczeństwa. Przykładem takich odstępstw może być choćby nieprzestrzeganie polityki zmiany haseł. Mogą to być również sytuacje udostępniania takich kont ad-hoc - z reguły, jeżeli potrzebny jest do nich dostęp, to zwykle natychmiast, a więc z ominięciem procedur. Pół biedy, jeżeli konta specjalne byłyby wykorzystywane tylko przez pracowników organizacji. Specyfika funkcjonowania współczesnych firm sprawia jednak, że coraz więcej zadań związanych z utrzymaniem i zarządzaniem infrastrukturą spoczywa w rękach firm zewnętrznych. A skoro tak, to oni również będą potrzebowali dostępu do kont specjalnych.

Kolejna grupa problemów - ściśle wiążąca się z tym, co powiedziano wcześniej - to reglamentacja dostępu do tożsamości uprzywilejowanych. Jeszcze inna wiąże się z monitorowaniem i audytowaniem tego, co zostało za pomocą kont specjalnych zrobione. Rozmawiając z osobami odpowiedzialnymi za bezpieczeństwo w wielu polskich firmach, widać, że to właśnie ten ostatni problem najczęściej skłania do bliższego zainteresowania się tematem. Potrzebują oni przede wszystkim możliwości weryfikacji, co i kto zrobił podczas korzystania z tożsamości specjalnej. Zainteresowanie to potęguje się zwłaszcza wtedy, gdy coś się zepsuło i nie ma winnego.

Wspomniane aspekty, oczywiście, nie wyczerpują całości zagadnienia. Jest to zaledwie ułamek problemów, z którymi możemy mieć do czynienia w związku z tożsamościami uprzywilejowanymi. Powagę sytuacji potwierdzają badania.

Narzędzia o wielu nazwach

Przyglądając się rynkowi, możemy dostrzec różne metody podejścia do złożonego problemu zarządzania kontami. Niektórzy starają się to robić kompleksowo, inni skupiają się na poszczególnych elementach.

Konta uprzywilejowane w statystyceDobrze znany ze swoich analiz instytut Ponemon przeprowadził na grupie ponad 5500 menedżerów IT badania dotyczące ryzyka, z jakim wiążą się tożsamości uprzywilejowane. Bardzo interesujące są wyniki tego badania, które - co warto podkreślić - nie przeprowadzono nie tylko w USA, ale również w 12 innych krajach. Aż 77% ankietowanych uważa, że ze względu na charakter pracy musi korzystać z takich tożsamości. Ponad połowa twierdzi, że uprawnienia specjalne są przyznawane znacznie szerzej niż wynika to z danej roli, według reguły: "dam więcej, żeby nie mówił, że nie działa". Z kolei 41% zadeklarowało, że proces przyznawania uprawnień do kont specjalnych jest realizowany w trybie "ad-hoc" i nie wiąże się z realizacją zdefiniowanych procesów w tym obszarze. Również nazewnictwo stwarza pewne problemy. Jedni (np. Gartner) mówią o rozwiązaniach PAAM (Privileged Account Activity Management), inni o PIM (Privileged Identity Management). Natomiast, jeśli skupiamy się na monitorowaniu, to będziemy myśleli o narzędziach PSM (Privileged Session Monitoring). Jednak bez względu na nomenklaturę, celem jest: kontrola kont specjalnych, automatyzacja ręcznych do tej pory procesów, a także audyt i monitorowanie aktywności prowadzonych za pomocą tych kont.

Na rynku w przeciągu kilku ostatnich lat zrobiło się dość tłoczno. Możemy spotkać narzędzia zarówno typu all-in-one, jak i bardziej specjalizowane. Niektóre koncentrują się na zarządzaniu hasłami, inne na monitorowaniu, a jeszcze inne na reglamentacji dostępu. W Polsce do najczęściej spotykanych należą rozwiązania dostarczane przez takich producentów, jak: BeyondTrust, CA, Cyber-Ark, ObserveIT, Quest (dawniej E-DMZ), Xceedium. Ale powoli torują sobie drogę także inni mocni gracze, jak BalaBit, Centrify, czy Lieberman.