Κυβερνo-ασφάλεια: Συστήματα ανίχνευσης εισβολών και συστήματα αποτροπής εισβολών

Δρ. Διονύσιος Μουζάκης
Viber Whatsapp
Μοιράσου το
Κυβερνo-ασφάλεια: Συστήματα ανίχνευσης εισβολών και συστήματα αποτροπής εισβολών
Οι κυβερνο-επιθέσεις αυξάνουν και εξελίσσονται τεχνολογικά.

Στις μέρες μας η τεράστια αύξηση στις κυβερνο-επιθέσεις που συνδέεται με την ολοένα αυξανόμενη εξάρτηση των επιχειρησιακών μοντέλων των οργανισμών στην διαθεσιμότητα και την αξιοπιστία των υποδομών πληροφορικής τους, έχει οδηγήσει σε βαθμιαία αλλαγή του τρόπου σκέψης. Καθώς οι εκτός λειτουργίας χρόνοι των υποδομών πληροφορικής αυξάνουν λόγω κυβερνο-επιθέσεων, οι προτεραιότητες διαφοροποιούνται.

Όπως δείχνουν πρόσφατες στατιστικές μελέτες, οι κυβερνο-επιθέσεις- ειδικά στοχεύοντας σε δίκτυα επικοινωνίας των οργανισμών- αυξάνουν και εξελίσσονται τεχνολογικά όπου σε αρκετές περιπτώσεις ο επιτιθέμενος χρησιμοποιεί εργαλεία τεχνίτης νοημοσύνης (AI) με τα οποία το κακόβουλο λογισμικό που χρησιμοποιεί μπορεί να αλλάζει τη δομή των πακέτων δεδομένων (πχ μιμούμενο νόμιμες δομές πακέτων ) και τη μέθοδο διείσδυσης στο δίκτυο στόχο ανάλογα με τα αμυντικά μέτρα που συναντά. Στις περισσότερες περιπτώσεις η επίθεση σκοπό έχει τον εκβιασμό με τον αποκλεισμό της πρόσβασης του οργανισμού στην υποδομή πληροφορικής (Denial of Service) και την απαίτηση πληρωμής λύτρων. Όμως σε πολλές περιπτώσεις το κακόβουλο λογισμικό μολύνει και άλλα συστήματα στο δίκτυο του οργανισμού και υποκλέπτει δεδομένα και προσωπικά δεδομένα χρηστών τα οποία στην συνέχεια θα πωληθούν στο Darkweb. Σε πολλές περιπτώσεις το κακόβουλο λογισμικό θα διαγράψει τα συστήματα που μόλυνε, ακόμα και αν πληρωθούν τα λίτρα, προκειμένου να καλύψει τα ίχνη του εισβολέα. Είναι λοιπόν κατανοητό ότι μια κυβερνο-επίθεση δεν είναι κάτι σπάνιο και τυχαίο, αλλά μία βεβαιότητα ότι θα συμβεί σε ακαθόριστο χρόνο και μάλιστα με πιθανώς καταστροφικές συνέπειες για τον οργανισμό. Στην διόγκωση του προβλήματος συμβάλει η τάση, τα τελευταία χρόνια, των οργανισμών να αποθηκεύουν η/και να επεξεργάζονται τα δεδομένα τους στο Νέφος (Cloud). Η τάση αυτή δημιουργεί ένα ακόμα ρίσκο το όποιο είναι η πιθανότητα επίθεσης στον πάροχο της υπηρεσίας είτε για λίτρα είτε για ιδεολογικούς λόγους (κυβερνο-τρομοκρατία ). Στις συνέπειες αυτές προστίθενται και πιθανά πρόστιμα από την ΑΠΔΠΧ σε περίπτωση που η κυβερνο-επίθεση υποκλέψει ( η αποκτήσει μη ανιχνεύσιμη πρόσβαση ) σε προσωπικά δεδομένα.

Στατιστικές μελέτες από διωκτικές αρχές ( FBI/CSI) δείχνουν ότι ναι μεν οι επιθέσεις από ιούς είναι οι συχνότερες, εν τούτοις, επιθέσεις βασιζόμενες σε μη εξουσιοδοτημένη πρόσβαση όπως και ο αποκλεισμός της πρόσβασης σε πληροφοριακές υποδομές (Denial of Service), προερχόμενες τόσο από το εξωτερικό όσο και από το εσωτερικό ενός οργανισμού αυξάνει συνεχώς τα τελευταία χρόνια.

Τα εργαλεία για την αυτοματοποιημένη εκμετάλλευση αδυναμιών των συστημάτων (sweepers, sniffers, packet spoofing, automated probes) είναι πλέον εύκολα διαθέσιμα στην διογκούμενη κοινότητα των hackers. Δεν είναι πλέον απαραίτητο να είσαι ειδικός πληροφορικής. Μια επίσκεψη σε ειδικά sites όπως astalavista.com, diabolo 666 η ισοδύναμα chat rooms θα φέρει τον ενδιαφερόμενο σε επαφή με μια πληθώρα από εξελιγμένα προκατασκευασμένα εργαλεία hacking έτοιμα προς χρήση καθώς και λεπτομερείς οδηγίες χρήσης τους αλλά και βελτιώσεις/τροποποιήσεις προκειμένου να αυξηθεί ο αντίκτυπος χρήσης τους.

Προκειμένου να αντιμετωπιστούν αυτοί οι διογκούμενοι κίνδυνοι, η βιομηχανία της πληροφορικής διαθέτει μια σειρά από εργαλεία γνωστά σαν συστήματα αξιολόγησης αδυναμιών (vulnerability assessment tools) καθώς και συστήματα ανίχνευσης εισβολών (Intrusion Detection Systems, IDS), καθώς και η μετεξέλιξή τους σε εργαλεία αποτροπής εισβολών (Intrusion Prevention Systems, IPS).

Συστήματα ανίχνευσης εισβολών (IDS)

Πριν την ανάπτυξη εξελιγμένων συστημάτων IDS η ανίχνευση εισβολών βασιζόταν σε χειροκίνητες μεθόδους αναζητήσεις ανωμαλιών. ΟΙ μέθοδοι αυτοί περιλάμβαναν εξέταση αρχείων ιστορικού χρήσης (log files) σε εξυπηρετητές και δρομολογητές για καταγεγραμμένα συμβάντα τα οποία δεν θα έπρεπε να συμβούν υπό κανονικές συνθήκες. Όπως είναι κατανοητό για να γίνει αυτό χειροκίνητα είναι χρονοβόρο, κουραστικό, απαιτεί ανθρώπινο δυναμικό, καθώς επίσης δεν μπορεί να είναι ακριβές. Όπως είναι φυσικό σύντομα αναπτύχθηκαν εργαλεία για την αυτοματοποιημένη ανάγνωση/ ανίχνευση των αρχείων ιστορικού (logs) για μη εξουσιοδοτημένες προσβάσεις στα συστήματα, όμως ένα τέτοιο γεγονός δεν είναι απαραίτητα μια κακόβουλη εισβολή. Για το λόγο αυτό περαιτέρω έρευνα δημιούργησε επόμενες γενιές εργαλείων στα οποία έγινε η χρήση των λεγόμενων χαρακτηριστικών εισβολής ( attack patterns ) για να αξιολογούνται οι ανωμαλίες στα αρχεία log. Αρχικά τα συστήματα αυτά ήταν μεμονωμένες εφαρμογές, στην συνέχεια εξελίχθηκαν σε δικτυακά συστήματα που πλέον δεν ‘ διαβάζουν’ logs αλλά κυρίως παρακολουθούν την κυκλοφορία στο δίκτυο του οργανισμού αναζητώντας στα πακέτα των πρωτοκόλλων TCP/IP χαρακτηριστικά εισβολής. Μέχρι εκείνη τη στιγμή τα εργαλεία IDS λειτουργούσαν κυρίως μετά την εκδήλωση μιας επίθεσης προκειμένου να συλλέξουν αποδείξεις και στοιχεία (forensics) που να επιτρέπουν την εκ των υστέρων ανάλυση. Λόγω αύξησης της διαθέσιμης υπολογιστικής ισχύος τα συστήματα IDS εξελίχθηκαν να ανιχνεύουν σε πραγματικό χρόνο επιθέσεις και να δημιουργούν συναγερμούς σε περίπτωση επίθεσης. Λόγω ζήτησης της αγοράς η βιομηχανία συστημάτων κυβερνο-ασφάλειας εξέλιξε πρώην πρωτότυπα λογισμικά σε πραγματικά συστήματα IDS φιλικά στο χρήστη, με μεθόδους συνεχούς ανανέωσης της βάσης τους με τα γνωστά χαρακτηριστικά επιθέσεων ( attack patterns) αλλά και με την χρήση τεχνίτης νοημοσύνης (AI, self-learning machines) επιτρέπουν στα συστήματα αυτά να εξελίσσουν την ικανότητα τους να ανιχνεύουν αντίστοιχα εξελισσόμενα συστήματα εισβολής.

Μέθοδοι ανίχνευσης εισβολών

Γενικότερα τα συστήματα ανίχνευσης εισβολών διαφοροποιούνται ανάλογα με την μέθοδο ανίχνευσης που χρησιμοποιούν. Βέβαια είναι δυνατό ένα σύστημα ανίχνευσης να χρησιμοποιούν συνδυαζόμενες πολλαπλές μεθόδους ανίχνευσης.

Συμπεριφορικά Συστήματα IDS: Βασίζονται κυρίως στη στατιστική ανάλυση για την ανίχνευση ανώμαλης συμπεριφοράς. Δηλαδή στατιστικές τεχνικές χρησιμοποιούνται για την ανίχνευση εισβολών. Αυτό επιτυγχάνεται με την δημιουργία ενός μοντέλου βασης, δηλαδή ενός μοντέλου βασικής φυσιολογικής συμπεριφοράς στην χρήση των πληροφοριακών πόρων ( κυκλοφορία στο δίκτυο, προσβάσεις στους εξυπηρετητές, δρομολογήσεις στους δρομολογητές κλπ) του συστήματος. Στην συνέχεια και με καθορισμένη η/και ακαθόριστη περιοδικότητα το σύστημα συλλέγει στατιστικά δεδομένα όλων των πόρων και τα συγκρίνει μα τα αρχικά φυσιολογικά του βασικού μοντέλου, σε περίπτωση αποκλίσεων εκπέμπει συναγερμό.

Φυσικά είναι πιθανόν να δημιουργηθούν ψευδο-συναγερμοί και να θεωρηθούν ύποπτες συμπεριφορές χρηστών που όμως δεν είναι πραγματικές εισβολές. Επίσης άλλη αδυναμία της μεθόδου έγκειται στο ότι αν το βασικό μοντέλο ενημερώνεται/προσαρμόζεται δυναμικά και αυτόματα, ένας υπομονετικός εισβολέας μπορεί να καταφέρει με συνεχείς μικρο-αλλαγές στις απόπειρες πρόσβασης που δεν θα ανιχνεύονται σας πιθανές εισβολές, να αναδιαμορφώσει το βασικό μοντέλο και να επιχειρήσει εισβολή που δεν θα είναι ανιχνεύσιμη. Επίσης συμπεριφορικά συστήματα IDS μπορεί να έχουν μεγάλες απαιτήσεις πληροφοριακών πόρων και να απαιτούν συνεχείς ρυθμίσεις.

Γνωσιακά Συστήματα IDS: Τα συστήματα αυτά αναζητούν ‘υπογραφές’ επιθέσεων ( attack signature) : συγκεκριμένα χαρακτηριστικά κυκλοφορίας στο δίκτυο η δραστηριότητα στα ιστορικά αρχεία ( logs) που υποδεικνύουν ύποπτη συμπεριφορά. Για παράδειγμα ‘υπογραφές’ επιθέσεων μπορεί να είναι:

  • Ένας αριθμός από πρόσφατες αποτυχημένες απόπειρες πρόσβασης (logins) σε ένα κρίσιμο εξυπηρετητή.
  • Ένα συγκεκριμένο σχήμα από bits σε ένα πακέτο IP που είναι ένδειξη επίθεσης με την τεχνική buffer overflow (όπου ο επιτιθέμενος προκαλεί ‘υπερχείλιση’ σε ένα πρόγραμμα που χρησιμοποιεί μια περιοχή της μνήμης ενός εξυπηρετητή σαν προσωρινή ‘αποθήκη’ δεδομένων και τα δεδομένα που ‘υπερχειλίζουν’, υπερκαλύπτουν άλλες περιοχές της μνήμης με κακόβουλα δεδομένα).
  • Συγκεκριμένοι τύποι από πακέτα TCP SYN ενδεικτικών ‘πλημύρας’ SYN επίθεσης άρνησης υπηρεσίας ( Denial Of Service η DOS attack).

Τα γνωσιακά συστήματα μπορεί να αναζητούν ίχνη επίθεσης στην κυκλοφορία του δικτύου και λέγονται δικτυακά συστήματα (NIDS), είτε να αναζητούν ίχνη σε αρχεία ιστορικού (logs) ενός υπολογιστή (host) οπότε λέγονται host based ( HIDS). Τα περισσότερα σύγχρονα συστήματα έχουν και τις δύο ιδιότητες.

Συστήματα Αποφυγής Επιθέσεων ( Intrusion Prevention Systems IPS).

Σαν σύστημα αποφυγής των επιθέσεων μπορεί να οριστεί κάθε σύστημα που επικεντρώνεται στην αναγνώριση και το μπλοκάρισμα κακόβουλης κυκλοφορίας δεδομένων σε πραγματικό χρόνο. Υπάρχουν δύο βασικές κατηγορίες:

  • Προϊόντα βασιζόμενα στην συχνότητα εμφάνισης πιθανών κακόβουλων γεγονότων, στην υπερφόρτωση ενός δικτύου ( μεγάλος όγκος πακέτων η πολλών προσπαθειών σύνδεσης η πολλών σφαλμάτων). Ένα τέτοιο σύστημα για παράδειγμα μπορεί να περιορίσει τις αναζητήσεις στον εξυπηρετητή DNS σε 1000/sec. Φυσικά το εμφανές μειονέκτημα ενός τέτοιου συστήματος είναι το πως τίθενται τα όρια κυκλοφορίας πέρα από τα όποια θεωρείται ότι έχουμε περιστατικό ασφάλειας.
  • Προϊόντα βασιζόμενα στο περιεχόμενο ( επίσης αναφερόμενα και σαν βασιζόμενα στην ‘υπογραφή’ είτε σε ανωμαλία ). Τα συστήματα αυτά αναλύουν τα πακέτα που κυκλοφορούν στο δίκτυο και συνήθως συνδυάζονται με το τείχος προστασίας (firewall) αν δεν είναι ένα ενιαίο σύστημα , ‘βαθιά’ εγκατεστημένο μέσα στο δίκτυο εφαρμόζοντας πολιτικές ασφάλειας δεδομένων και συχνά έχουν ελάχιστες απαιτήσεις υποστήριξης και ρυθμίσεων καθώς σε αρκετές περιπτώσεις διαθέτουν και δυνατότητες ‘αυτό-εκπαίδευσης’ αφού βασίζονται σε τεχνολογίες AI ( Artificial Intelligence)

Οι συσκευές αυτές συχνά μοιάζουν σαν τείχος προστασίας (ΤΠ, firewall) και μάλιστα διαθέτουν και κάποιες βασικές λειτουργίες ΤΠ. Για την ακρίβεια χρησιμοποιούν ένα συνδυασμό τεχνολογιών. Ένα μέρος είναι ένα ΤΠ και το άλλο είναι ένα IDS. Είναι σαφές ότι ένα τέτοιο σύστημα πρέπει να αναλύει σε βάθος τα διερχόμενα πακέτα για να ανίχνευση κακόβουλες ‘υπογραφές’ αυτό σημαίνει ότι πρέπει να διαθέτουν μεγάλη υπολογιστική ισχύ. Η διαφορά τους από τα ΤΠ έγκειται στο ότι τα ΤΠ μπλοκάρουν όλη την κυκλοφορία εκτός από εκείνη για την οποία έχουν κανόνες/οδηγίες/λόγους να επιτρέψουν την διέλευση, ενώ αντίθετα ένα IPS επιτρέπει την διέλευση όλης της κυκλοφορίας εκτός από εκείνη που έχει κανόνες/οδηγίες/λόγους να μπλοκάρει.

Σήμερα οι επιθέσεις άρνησης της υπηρεσίας (DOS, DDOS) γίνονται συχνότερες και πολύ ποιο περίπλοκες ( στην περίπτωση μη διαθεσιμότητας προσωπικών δεδομένων δημιουργείται ασυμβατότητα με τον ΓΚΠΔ σε σχέση με τα δικαιώματα του υποκειμένου) αλλά και οι κακόβουλες επιθέσεις για την υποκλοπή δεδομένων (και φυσικά προσωπικών δεδομένων με την υποχρέωση αναφοράς εντός 72 ωρών). Αυτό έχει σαν αποτέλεσμα την εξέλιξη των ΤΠ έτσι ώστε κάποια να είναι ιδιαίτερα εξελιγμένα και να διαθέτουν χαρακτηριστικά IPS αλλά και βασιζόμενα σε τεχνολογία AI ( Artificial Intelligence) μπορούν να βελτιώνουν την ικανότητα ανάλυσης επικινδυνότητας των διερχόμενων πακέτων ( η συνεχείς αύξηση της υπολογιστικής ισχύος το επιτρέπει).

Στις μέρες μας οι κατασκευαστές συνδυάζουν τις τεχνολογίες ΤΠ με όλες τις διαθέσιμες τεχνικές ασφάλειας πάνω σε πλατφόρμες κλειστής αρχιτεκτονικής και λειτουργικών συστημάτων ( Proprietary) προσφέροντας σχετικά οικονομικές λύσεις για μικρές και μεσαίες εταιρίες. Ενόψει της υποχρέωσης συμβατότητας με τον ΓΚΠΔ όπου η λήψη των ενδεδειγμένων μέτρων ασφάλειας (IPS, encryption, anonymization κλπ) επιτρέπει την ενημέρωση της ΑΠΔΠΧ στα όρια που ορίζει ο νόμος (72 ώρες) αφού το IPS θα εμποδίσει η θα περιορίζει την κακόβουλη επίθεση και θα ενημερώσει σε πραγματικό χρόνο (ακόμα και αν δεν εμποδίσει εντελώς την επίθεση σίγουρα θα περιορίσει τις συνέπειες ). Ακόμα και σε περίπτωση επιθεώρησης λόγω διαρροής οι επιβαλλόμενες διοικητικές ποινές θα είναι αναλογικά χαμηλότερες εφόσον ο επιθεωρούμενος περιέλαβε στα Τεχνικά και Οργανωτικά Μέτρα που επιβάλει ο ΓΚΠΠΔ και τα προαναφερόμενα μέτρα κυβερνο-ασφάλειας.

Ακολουθήστε το insider.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις από την Ελλάδα και τον κόσμο.

BEST OF LIQUID MEDIA

gazzetta
gazzetta reader insider insider