Metodi di penetrazione malware nel sistema
Un compito necessario per gli autori di virus e i criminali informatici è iniettare un virus, un worm o un trojan nel computer o nel telefono cellulare della vittima. Questo obiettivo viene raggiunto in vari modi, che si dividono in due categorie principali:
ingegneria sociale (viene utilizzato anche il termine "ingegneria sociale" - carta da lucido dall'inglese "ingegneria sociale");
metodi tecnici per introdurre codice dannoso in un sistema infetto all'insaputa dell'utente.
Spesso questi metodi vengono utilizzati contemporaneamente. Allo stesso tempo vengono spesso utilizzate anche misure speciali per contrastare i programmi antivirus.
Ingegneria sociale
I metodi di ingegneria sociale costringono in qualche modo l'utente ad avviare un file infetto o ad aprire un collegamento a un sito Web infetto. Questi metodi vengono utilizzati non solo da numerosi worm di posta elettronica, ma anche da altri tipi di software dannoso.
Il compito degli hacker e degli autori di virus è attirare l'attenzione dell'utente su un file infetto (o su un collegamento HTTP a un file infetto), interessare l'utente e costringerlo a fare clic sul file (o su un collegamento a un file). . Un “classico del genere” è il worm e-mail LoveLetter, che ha fatto scalpore nel maggio 2000 e, secondo i dati di Computer Economics, rimane ancora oggi il leader in termini di entità dei danni finanziari causati. Il messaggio visualizzato dal worm sullo schermo era simile al seguente:
Molte persone hanno reagito al riconoscimento di "TI AMO", e di conseguenza server di posta le grandi aziende non potevano sopportare il carico: il worm inviava copie di se stesso a tutti i contatti della rubrica ogni volta che veniva aperto un file VBS allegato.
Il mail-worm Mydoom, esploso in Internet nel gennaio 2004, utilizzava testi che imitavano i messaggi tecnici di un server di posta.
Vale anche la pena menzionare il worm Swen, che si presentava come un messaggio di Microsoft e si mascherava da patch che eliminava una serie di nuove vulnerabilità in Windows (non sorprende che molti utenti abbiano ceduto all'invito a installare "un'altra patch di Microsoft" ").
Ci sono anche degli incidenti, uno dei quali si è verificato nel novembre 2005. In una delle versioni del worm Sober è stato riferito che la polizia criminale tedesca stava indagando su casi di visita di siti web illegali. Questa lettera finì nelle mani di un pedopornografo che la scambiò per una lettera ufficiale e si arrese obbedientemente alle autorità.
Negli ultimi tempi non sono stati i file allegati alle e-mail a guadagnare particolare popolarità, ma piuttosto i collegamenti ai file che si trovano su un sito Web infetto. Un messaggio viene inviato alla potenziale vittima - per posta, tramite ICQ o altro cercapersone, meno spesso - tramite chat Internet IRC (nel caso di virus mobili Il metodo di consegna abituale è SMS). Il messaggio contiene del testo accattivante che invoglia l'ignaro utente a fare clic sul collegamento. Questo metodo La penetrazione nei computer delle vittime è di gran lunga il metodo più popolare ed efficace, poiché consente di aggirare i vigili filtri antivirus sui server di posta.
Vengono utilizzate anche le funzionalità delle reti di condivisione file (reti P2P). Un worm o un trojan viene pubblicato su una rete P2P con una varietà di nomi gustosi, ad esempio:
AIM e AOL Password Hacker.exe
Microsoft CD Key Generator.exe
emulatore play station crack.exe
Durante la ricerca di nuovi programmi, gli utenti delle reti P2P si imbattono in questi nomi, scaricano i file e li avviano per l'esecuzione.
Molto popolari sono anche le “truffe” in cui alla vittima viene fornita un'utilità gratuita o istruzioni per hackerare vari sistemi di pagamento. Ad esempio, offrono l'accesso gratuito a Internet o a un operatore di telefonia mobile, il download di un generatore di numeri di carte di credito, l'aumento della quantità di denaro nel portafoglio Internet personale, ecc. Naturalmente, è improbabile che le vittime di tali frodi contattino le forze dell'ordine (dopotutto, in effetti, loro stessi hanno cercato di guadagnare denaro con mezzi fraudolenti) e i criminali di Internet ne approfittano appieno.
Uno sconosciuto aggressore russo ha utilizzato un insolito metodo di inganno nel 2005-2006. cavallo di Troiaè stato inviato agli indirizzi trovati sul sito job.ru, specializzato in ricerca di lavoro e personale. Alcuni di coloro che hanno pubblicato lì il proprio curriculum avrebbero ricevuto un'offerta di lavoro con un file allegato alla lettera, che sono stati invitati ad aprire e familiarizzarsi con il suo contenuto. Il file era, naturalmente, un cavallo di Troia. È inoltre interessante notare che l'attacco è stato effettuato principalmente su indirizzi e-mail aziendali. Apparentemente il calcolo si basava sul fatto che difficilmente i dipendenti dell'azienda avrebbero segnalato la fonte del contagio. E così è successo: per più di sei mesi gli specialisti di Kaspersky Lab non sono riusciti a ottenere informazioni chiare sul metodo di penetrazione del programma Trojan nei computer degli utenti.
Ci sono anche casi piuttosto esotici, ad esempio, una lettera con un documento allegato in cui si chiede al cliente della banca di confermare (o meglio, comunicare) i propri codici di accesso: stampare il documento, compilare il modulo allegato e poi inviarlo via fax al numero di telefono specificato nella lettera.
Nell'autunno del 2005 in Giappone si è verificato un altro caso insolito di spyware recapitato nelle case di persone. Alcuni aggressori hanno inviato CD infettati da uno spyware trojan agli indirizzi di casa (città, via, casa) dei clienti di una banca giapponese. In questo caso sono state utilizzate informazioni provenienti dal database clienti precedentemente rubato di questa stessa banca.
Tecnologie di implementazione
Queste tecnologie vengono utilizzate dagli aggressori per introdurre codice dannoso nel sistema senza attirare l'attenzione del proprietario del computer. Ciò avviene attraverso le vulnerabilità della sicurezza nei sistemi operativi e nel software. La presenza di vulnerabilità consente a un worm di rete o a un programma trojan prodotto da un utente malintenzionato di penetrare nel computer della vittima e avviarsi per l'esecuzione.
Le vulnerabilità sono, infatti, errori nel codice o nella logica di funzionamento di vari programmi. I moderni sistemi operativi e applicazioni hanno una struttura complessa e funzionalità estese ed è semplicemente impossibile evitare errori nella loro progettazione e sviluppo. Questo è ciò di cui traggono vantaggio gli autori di virus e gli aggressori informatici.
Le vulnerabilità nei client di posta elettronica Outlook sono state sfruttate dai worm di posta elettronica Nimda e Aliz. Per avviare il file del worm era sufficiente aprire la lettera infetta o passarci sopra il mouse nella finestra di anteprima.
I malware sfruttavano attivamente anche le vulnerabilità dei componenti di rete dei sistemi operativi. Per diffondere tali vulnerabilità sono stati utilizzati i worm CodeRed, Sasser, Slammer, Lovesan (Blaster) e molti altri worm eseguiti sotto Windows. Anche i sistemi Linux sono stati attaccati: i worm Ramen e Slapper sono penetrati nei computer attraverso le loro vulnerabilità ambiente operativo e le relative applicazioni.
Negli ultimi anni uno dei metodi di infezione più diffusi è stata l'iniezione di codice dannoso attraverso le pagine web. Questo spesso sfrutta le vulnerabilità dei browser Internet. In una pagina web vengono inseriti un file infetto e un programma script che sfrutta una vulnerabilità del browser. Quando un utente visita una pagina infetta, viene attivato un programma script che, attraverso una vulnerabilità, scarica il file infetto sul computer e lo avvia lì per l'esecuzione. Di conseguenza, per infettare un gran numero di computer, è sufficiente attirare il maggior numero possibile di utenti su tale pagina web. Ciò si ottiene in vari modi, ad esempio inviando spam indicando l'indirizzo della pagina, inviando messaggi simili tramite cercapersone Internet, a volte vengono utilizzati anche i motori di ricerca. La pagina infetta contiene una varietà di testi che prima o poi vengono calcolati dai motori di ricerca e il collegamento a questa pagina appare nell'elenco delle altre pagine nei risultati di ricerca.
Una classe separata sono i programmi Trojan progettati per scaricare ed eseguire altri programmi Trojan. In genere, questi trojan, che sono di dimensioni molto ridotte, in un modo o nell'altro (ad esempio, sfruttando un'altra vulnerabilità nel sistema) vengono "infilati" nel computer della vittima, quindi scaricati in modo indipendente da Internet e installano altri componenti dannosi nel computer della vittima. il sistema. Spesso questi programmi Trojan modificano le impostazioni del browser impostandole su quelle più insicure per "rendere la strada più facile" ad altri Trojan.
Le vulnerabilità che vengono conosciute vengono rapidamente corrette dalle società di sviluppo, ma appaiono costantemente informazioni su nuove vulnerabilità, che iniziano immediatamente ad essere utilizzate da numerosi hacker e autori di virus. Molti bot trojan utilizzano nuove vulnerabilità per aumentare il loro numero e nuovi errori Microsoft Office cominciano immediatamente ad essere utilizzati per introdurre altri programmi Trojan nei computer. Allo stesso tempo, purtroppo, si tende ad accorciare l'intervallo di tempo tra la comparsa delle informazioni sulla prossima vulnerabilità e l'inizio del suo utilizzo da parte di worm e trojan. Di conseguenza, le società di software e gli sviluppatori sono vulnerabili programmi antivirus si trovano in una situazione di pressione temporale. I primi devono correggere l'errore il più rapidamente possibile, testare il risultato (di solito chiamato "patch", "patch") e distribuirlo agli utenti, mentre i secondi devono rilasciare immediatamente uno strumento per rilevare e bloccare oggetti (file, pacchetti di rete) sfruttando la vulnerabilità.
Utilizzo simultaneo di tecnologie di implementazione e metodi di ingegneria sociale
Molto spesso gli aggressori informatici utilizzano entrambi i metodi contemporaneamente. Il metodo dell'ingegneria sociale consiste nell'attirare l'attenzione di una potenziale vittima e il metodo tecnico consiste nell'aumentare la probabilità che un oggetto infetto penetri nel sistema.
Ad esempio, il worm di posta Mimail è stato distribuito come allegato a e-mail. Per consentire all'utente di prestare attenzione alla lettera, è stato inserito un testo appositamente progettato e di lanciare una copia del worm dall'archivio ZIP allegato alla lettera: una vulnerabilità in browser Internet Esploratore. Di conseguenza, quando si apriva un file da un archivio, il worm creava una copia di se stesso sul disco e lo avviava per l'esecuzione senza avvisi di sistema o azioni aggiuntive da parte dell'utente. A proposito, questo worm è stato uno dei primi progettati per rubare informazioni personali agli utenti dei portafogli Internet del sistema e-gold.
Un altro esempio è l’invio di spam con oggetto “Ciao” e il testo “Guarda cosa scrivono su di te”. Il testo era seguito da un collegamento a una pagina web. Dall'analisi è emerso che questa pagina web contiene un programma di script che, sfruttando un'altra vulnerabilità in Internet Explorer, scarica sul computer dell'utente il programma trojan LdPinch, progettato per rubare diverse password.
Contrastare i programmi antivirus
Poiché l'obiettivo degli aggressori informatici è quello di iniettare codice dannoso nei computer delle vittime, per fare ciò devono non solo costringere l'utente a eseguire un file infetto o penetrare nel sistema attraverso qualche vulnerabilità, ma anche intrufolarsi oltre il filtro antivirus installato. Non sorprende quindi che gli aggressori prendano deliberatamente di mira i programmi antivirus. Le tecniche utilizzate sono molto diverse, ma le più comuni sono le seguenti:
Packaging e crittografia del codice. Una parte significativa (se non la maggior parte) dei moderni worm e cavalli di Troia vengono impacchettati o crittografati in un modo o nell'altro. Inoltre, l'underground informatico crea pacchetti e utility di crittografia appositamente progettati per questo scopo. Ad esempio, assolutamente tutti i file trovati su Internet che sono stati elaborati dalle utilità CryptExe, Exeref, PolyCrypt e alcuni altri si sono rivelati dannosi.
Per rilevare tali worm e trojan, i programmi antivirus devono aggiungere nuovi metodi di decompressione e decrittografia oppure aggiungere firme a ciascun campione di malware, il che riduce la qualità del rilevamento, poiché non sempre tutti i possibili campioni di codice modificato finiscono nelle mani di l'azienda antivirus.
Mutazione del codice. Diluendo il codice Trojan con istruzioni “spazzatura”. Di conseguenza, la funzionalità del programma Trojan viene preservata, ma il suo “aspetto” cambia in modo significativo. Periodicamente si verificano casi in cui la modifica del codice avviene in tempo reale, ogni volta che un programma trojan viene scaricato da un sito Web infetto. Quelli. tutti o una parte significativa dei campioni di Trojan che raggiungono i computer da tali siti sono diversi. Un esempio dell’utilizzo di questa tecnologia è il worm e-mail Warezov, le cui diverse versioni hanno provocato importanti epidemie nella seconda metà del 2006.
Nascondere la tua presenza. Le cosiddette “tecnologie rootkit” (dall'inglese “rootkit”), solitamente utilizzate nei programmi Trojan. Le funzioni di sistema vengono intercettate e sostituite, grazie alle quali il file infetto non è visibile né dagli strumenti standard del sistema operativo né dai programmi antivirus. A volte vengono nascosti anche i rami del registro in cui è registrata una copia del trojan e altre aree del sistema del computer. Queste tecnologie vengono utilizzate attivamente, ad esempio, dal trojan backdoor HacDef.
Arresto dell'antivirus e del sistema per ricevere gli aggiornamenti del database antivirus (aggiornamenti). Molti trojan e worm di rete intraprendono azioni speciali contro i programmi antivirus: li cercano nell'elenco delle applicazioni attive e tentano di interromperne il funzionamento, corrompere i database antivirus, bloccare la ricezione di aggiornamenti, ecc. I programmi antivirus devono proteggersi in modo adeguato: monitorare l'integrità dei database, nascondere i propri processi ai trojan, ecc.
Nascondere il codice sui siti web. Gli indirizzi delle pagine web contenenti file Trojan prima o poi diventano noti alle società di antivirus. Naturalmente, tali pagine sono sotto la stretta attenzione degli analisti antivirus: i contenuti della pagina vengono scaricati periodicamente, le nuove versioni dei programmi Trojan sono incluse negli aggiornamenti antivirus. Per contrastare ciò, la pagina web viene modificata in modo speciale: se la richiesta proviene dall'indirizzo di una società di antivirus, al posto di quello trojan viene scaricato un file non trojan.
Attacco con i numeri. Generazione e distribuzione su Internet di un gran numero di nuove versioni di programmi Trojan in un breve periodo di tempo. Di conseguenza, le aziende produttrici di antivirus si ritrovano inondate di nuovi campioni che richiedono tempo per essere analizzati, offrendo al codice dannoso un'ulteriore possibilità di infiltrarsi con successo nei computer.
Questi e altri metodi vengono utilizzati dall'underground informatico per contrastare i programmi antivirus. Allo stesso tempo, l’attività dei criminali informatici cresce anno dopo anno e ora possiamo parlare di una vera e propria “corsa tecnologica” che si è svolta tra l’industria degli antivirus e l’industria dei virus. Allo stesso tempo, cresce il numero dei singoli hacker e dei gruppi criminali, nonché la loro professionalità. Tutto questo insieme aumenta significativamente la complessità e la quantità di lavoro richiesta dalle aziende antivirus per sviluppare un livello di protezione sufficiente.
La posta elettronica rimane una delle principali fonti di penetrazione del malware nelle reti aziendali. Esistono diversi modi principali per utilizzare la posta elettronica come mezzo di trasporto di malware:
invio di malware “nella sua forma pura”: in questo caso il malware è un allegato alla lettera e non è previsto il suo avvio automatico. Il programma dannoso viene lanciato dall'utente stesso, per cui nella lettera vengono spesso utilizzati elementi di ingegneria sociale. Il malware allegato non è necessariamente un file eseguibile: spesso script dannosi, come Worm.Win32.Feebs, vengono inviati tramite posta come file HTA contenenti uno script crittografato che scarica un file eseguibile da Internet;
un programma dannoso con estensione modificata: questo metodo differisce dal precedente in quanto il file eseguibile allegato alla lettera ha una doppia estensione, ad esempio Document.doc .pif. IN in questo caso gli spazi servono per mascherare la reale estensione del file e il loro numero può variare da 10-15 a centinaia. Un metodo di mascheramento più originale consiste nell'utilizzare l'estensione *.com: di conseguenza, il file allegato potrebbe essere erroneamente considerato dall'utente come un collegamento a un sito, ad esempio www.playboy.com che molto probabilmente l'utente considererà un collegamento al sito e non un file allegato denominato www.playboy ed estensione *.com;
programma dannoso nell'archivio: l'archiviazione è un ulteriore livello di protezione dagli scanner antivirus e l'archivio può essere deliberatamente danneggiato (ma non così tanto da non poter essere estratto da esso) file dannoso) o crittografati con una password. Se l'archivio è protetto con una password, quest'ultima viene inserita nel corpo della lettera sotto forma di testo o immagine: una tecnica simile, ad esempio, è stata utilizzata nel worm Bagle. In questo caso, l'avvio di un programma dannoso è possibile unicamente per curiosità dell'utente, che deve inserire manualmente una password e quindi eseguire il file estratto;
un'e-mail in formato html con un exploit per lanciare un programma dannoso allegato - oggi questi virus e-mail sono rari, ma nel 2001-2003 erano molto diffusi (esempi tipici sono Email-Worm.Win32.Avron, Email-Worm.Win32. BadtransII, Net-Worm.Win32.Nimda);
Le e-mail con un collegamento a un oggetto dannoso si sono diffuse di recente, quindi questo metodo merita una considerazione più approfondita. Si basa sul fatto che la lettera non contiene codice dannoso e quindi l'antivirus della posta non può rilevarlo e bloccare l'inoltro della lettera. Il testo della lettera è redatto utilizzando metodi di ingegneria sociale e mira a convincere l'utente ad aprire il collegamento presente nel corpo della lettera. Esempi tipici sono mascherati da biglietto di auguri (Fig. 1).
Riso. 1. "Biglietto d'auguri"
L'immagine mostra un falso molto grossolano: è chiaramente visibile che la lettera proveniva da un indirizzo sconosciuto e il collegamento con un indirizzo IP invece del nome del sito non ispira fiducia. Tuttavia, secondo le statistiche dell’autore, migliaia di utenti vengono “catturati” da tali lettere. Una versione migliore del messaggio di un biglietto di auguri falso è mostrata in Fig. 2.
Riso. 2. Cartolina falsa di migliore qualità
In questo caso, riconoscere un falso è molto più difficile: visivamente la lettera proviene effettivamente dal servizio cartolina.ru e il collegamento alla pagina della cartolina porta a questo sito. In questo caso l'inganno si basa sul fatto che la lettera è in formato html e il collegamento è realizzato con un tag standard . Come sai, il design di un collegamento che utilizza questo tag è simile al seguente:
La descrizione del testo può essere arbitraria poiché non ha nulla a che fare con l'URL aperto. Pertanto, in questa lettera la descrizione testuale del collegamento è www.postcard.ru/card.php?4295358104 e il collegamento reale punta a una risorsa completamente diversa. Questa tecnica è semplicemente implementata e inganna facilmente l'utente.
il collegamento conduce direttamente al file eseguibile del programma dannoso: questo è il caso più semplice. Quando si apre questo collegamento, all'utente verrà chiesto cosa fare con il file in questo collegamento: salvare o eseguire. Selezionando "esegui" il codice dannoso verrà eseguito e danneggerà il PC. La pratica dimostra che gli utenti di solito non pensano al pericolo. L'esempio più recente è il programma dannoso Virus.VBS.Agent.c, che distrugge i file sul disco (per questo è infatti classificato come Virus) e si diffonde inviando “biglietti d'auguri” via e-mail con un collegamento al suo file eseguibile pubblicato direttamente sul sito Web dello sviluppatore del virus. Un gran numero di vittime da questo virus gli utenti sono un chiaro esempio dell'efficacia di questo metodo;
un collegamento a un sito Web mascherato da sito Web di un programma legittimo. Un tipico esempio sono i programmi per "hackerare" i fornitori di telefonia mobile e cassette postali, che spesso hanno una home page, documentazione credibile e un pacchetto di installazione;
il collegamento porta a una pagina html con l'exploit. Questa è un'opzione comune (al momento della stesura dell'articolo, l'autore ha registrato una vera epidemia di tali lettere) ed è più pericolosa di un collegamento diretto a un file eseguibile, poiché tale collegamento è molto difficile da rilevare utilizzando il proxy protocolli del server e bloccare. In caso di successo, l'exploit scarica codice dannoso, che può comportare l'installazione di più di dieci programmi dannosi sul computer interessato. Il solito set: worm di posta elettronica, un programma Trojan che ruba password, una serie di programmi Trojan di classe Trojan-Spy e Trojan-Proxy.
Misure di protezione contro il software distribuito e-mail i malware sono abbastanza evidenti. Come minimo è necessario installare un antivirus sul server di posta (oppure, quando si sceglie un hoster, prestare attenzione al servizio che offre) protezione antivirus posta). Inoltre, vale la pena svolgere una serie di altre attività:
Spiegare agli utenti i pericoli derivanti dall'apertura di programmi allegati alle lettere e ai collegamenti in esse contenuti. È molto utile insegnare agli utenti a determinare l'URL reale dei collegamenti;
se tecnicamente possibile, bloccare l'invio e la ricezione di email con allegati file eseguibili e archivi crittografati. A Smolenskenergo, ad esempio, tale blocco è in vigore da molto tempo e si è dimostrato molto efficace (in questo caso le lettere bloccate vengono messe in quarantena e possono essere recuperate dall'amministratore);
installa filtri per bloccare le email in base al contenuto e mantenerle aggiornate. Tali filtri sono efficaci contro le e-mail contenenti collegamenti a malware: in genere sono facili da filtrare parole chiave come un biglietto animato o una cartolina. Un effetto collaterale è il blocco dei biglietti d'auguri reali e di lettere simili; una soluzione di compromesso è installare un filtro di questo tipo nei sistemi antispam e contrassegnare le lettere come spam.
Internet
In base al numero degli incidenti analizzati, anche Internet rientra tra le principali fonti di penetrazione di malware nella rete. Esistono diversi metodi principali ampiamente utilizzati dagli aggressori:
tutti i tipi di crepe e generatori numeri seriali- le statistiche mostrano che durante la ricerca di una chiave o di un crack sui siti degli hacker, la probabilità che il tuo computer venga danneggiato da malware è molto alta. Inoltre, un programma del genere può essere scaricato in un archivio con crack o ottenuto mentre si lavora con il sito a seguito di exploit e script dannosi sui siti di hacker. Contromisure: blocco dell'accesso ai siti degli hacker a livello di server proxy e divieto di visitarli a livello della politica di sicurezza dell'azienda e di altri documenti regolamentari;
siti legittimi compromessi: secondo le statistiche, recentemente l'hacking dei siti è diventato più frequente e viene effettuato secondo schemi standard. Viene iniettato nel codice html delle pagine del sito infetto. piccolo codice- solitamente un tag IFRAME o uno script crittografato che porta alla pagina con l'exploit, che in un modo o nell'altro reindirizza l'utente al sito infetto (inserimento dinamico di un tag IFRAME nel corpo della pagina, reindirizzamento alla pagina dell'exploit, ecc. è possibile). Il pericolo principale è che non sia possibile prevedere l'hacking dei siti web e quindi è molto difficile proteggere l'utente da esso (fig. 3).
Riso. 3. Codice exploit aggiunto alla fine della pagina HTML
sito compromesso
Come puoi vedere nella figura, il codice dell'exploit viene aggiunto alla fine della pagina html in modo automatico ed è uno script crittografato. La crittografia degli script è una misura di protezione contro la ricerca, ma il suo scopo principale è la protezione contro il rilevamento della firma. Nei casi più complessi, gli inserti degli hacker possono essere inseriti nel codice della pagina, rendendoli difficili da rilevare.
La protezione contro gli exploit nelle pagine Web si riduce alla tempestiva installazione del sistema operativo e degli aggiornamenti del browser. Inoltre, l'esecuzione del browser con i privilegi più bassi possibili dà buoni risultati, che possono ridurre notevolmente i danni in caso di exploit.
Supporti Flash
Supporti di questo tipo sono attualmente molto utilizzati: si tratta di unità flash e schede flash, unità HDD con interfaccia USB, telefoni cellulari, fotocamere, registratori vocali. La proliferazione di questi dispositivi porta ad un aumento del numero di programmi dannosi che utilizzano questi media come mezzo di trasmissione. Esistono tre modi fondamentali per infettare un'unità flash:
creando un file autorun.inf nella radice del disco per avviare un programma dannoso e posizionandolo in un punto qualsiasi del disco (non necessariamente nella radice del disco). Il funzionamento di autorun.inf su un'unità flash è identico al funzionamento di un file simile su un CD-ROM, di conseguenza, quando si collega o si apre il disco in Explorer, viene lanciato un programma dannoso;
creando file nella radice del disco o in cartelle esistenti sul disco che assomigliano a file o cartelle nei loro nomi e icone. L'autore ha condotto un esperimento: un file eseguibile innocuo con un'icona visivamente indistinguibile dall'icona della cartella e con il nome MP3 è stato inserito nelle unità flash degli utenti che hanno partecipato all'esperimento. L'esperienza ha dimostrato che gli utenti hanno subito mostrato interesse per la nuova cartella e hanno deciso di visualizzarne il contenuto facendo doppio clic sulla “cartella”, cosa che ha portato al lancio del file eseguibile;
utilizzando il principio del “virus compagno”. In sostanza, questo metodo è identico al precedente, ma in questo caso il programma dannoso crea molte copie di se stesso, i cui nomi corrispondono ai nomi di file o cartelle sull'unità flash.
I metodi per proteggersi dalla diffusione di malware sui supporti flash sono piuttosto semplici:
Sui computer degli utenti deve essere installata una protezione antivirus dotata di un monitor che esegua la scansione dei file in tempo reale;
Una misura protettiva efficace è disabilitare l'esecuzione automatica;
Sui PC strategicamente importanti una buona misura di sicurezza è bloccare l'uso dei supporti flash. Il blocco può essere effettuato meccanicamente (disconnettendo le porte USB e sigillandole) e logicamente utilizzando un software speciale;
scrivere politiche locali sicurezza che impedisce l'esecuzione delle applicazioni da un'unità flash.
Laptop e PDA
I computer mobili forniscono un altro vettore di malware. Una situazione tipica è l'utilizzo di un laptop in viaggio d'affari, quando solitamente è connesso alla rete di qualcun altro. Durante il lavoro, il tuo laptop potrebbe essere infettato, molto spesso da un worm di rete. Quando un laptop infetto si connette alla sua rete “nativa”, i PC su di esso possono essere infettati. È difficile proteggersi da questo; una serie di misure di sicurezza può essere ridotta alle seguenti:
installazione di un antivirus e di un firewall su un laptop con monitoraggio periodico obbligatorio delle loro prestazioni da parte dell'amministratore;
controllare il portatile prima di collegarlo alla rete, anche se questa operazione non è sempre tecnicamente possibile, richiede molto tempo e riduce la mobilità dell’utente;
creando una speciale sottorete "ospite" per i laptop e adottando misure per proteggere la LAN principale da questa sottorete.
Proteggere una rete aziendale dal malware è un compito impegnativo perché il malware viene costantemente modificato e migliorato per aggirarlo sistemi esistenti protezione. Questo articolo discuterà i principali modi in cui il malware penetra in una rete e le corrispondenti tecniche di protezione. Per quanto riguarda i metodi di protezione si presuppone che la rete sia protetta da un firewall e che l'accesso ai computer della rete dall'esterno sia bloccato.
La posta elettronica rimane una delle principali fonti di penetrazione del malware nelle reti aziendali. Esistono diversi modi principali per utilizzare la posta elettronica come mezzo di trasporto di malware:
Le e-mail con un collegamento a un oggetto dannoso si sono diffuse di recente, quindi questo metodo merita una considerazione più approfondita. Si basa sul fatto che la lettera non contiene codice dannoso e quindi l'antivirus della posta non può rilevarlo e bloccare l'inoltro della lettera. Il testo della lettera è redatto utilizzando metodi di ingegneria sociale e mira a convincere l'utente ad aprire il collegamento presente nel corpo della lettera. Esempi tipici sono mascherati da biglietto di auguri (Fig. 1).
Riso. 1. "Biglietto d'auguri"
L'immagine mostra un falso molto grossolano: è chiaramente visibile che la lettera proveniva da un indirizzo sconosciuto e il collegamento con un indirizzo IP invece del nome del sito non ispira fiducia. Tuttavia, secondo le statistiche dell’autore, migliaia di utenti vengono “catturati” da tali lettere. Una versione migliore del messaggio di un biglietto di auguri falso è mostrata in Fig. 2.
Riso. 2. Cartolina falsa di migliore qualità
In questo caso, riconoscere un falso è molto più difficile: visivamente la lettera proviene effettivamente dal servizio cartolina.ru e il collegamento alla pagina della cartolina porta a questo sito. In questo caso l'inganno si basa sul fatto che la lettera è in formato html e il collegamento è realizzato con un tag standard . Come sai, il design di un collegamento che utilizza questo tag è simile al seguente:
La descrizione del testo può essere arbitraria poiché non ha nulla a che fare con l'URL aperto. Pertanto, in questa lettera la descrizione testuale del collegamento è www.postcard.ru/card.php?4295358104 e il collegamento reale punta a una risorsa completamente diversa. Questa tecnica è semplicemente implementata e inganna facilmente l'utente.
Le misure di protezione contro il malware distribuito via e-mail sono abbastanza ovvie. Come minimo, devi installare un antivirus sul tuo server di posta (o, quando scegli un hoster, presta attenzione alla protezione antivirus della posta che offre). Inoltre, vale la pena svolgere una serie di altre attività:
In base al numero degli incidenti analizzati, anche Internet rientra tra le principali fonti di penetrazione di malware nella rete. Esistono diversi metodi principali ampiamente utilizzati dagli aggressori:
Riso. 3. Codice exploit aggiunto alla fine della pagina HTML
sito compromesso
Come puoi vedere nella figura, il codice dell'exploit viene aggiunto alla fine della pagina html in modo automatico ed è uno script crittografato. La crittografia degli script è una misura di protezione contro la ricerca, ma il suo scopo principale è la protezione contro il rilevamento della firma. Nei casi più complessi, gli inserti degli hacker possono essere inseriti nel codice della pagina, rendendoli difficili da rilevare.
La protezione contro gli exploit nelle pagine Web si riduce alla tempestiva installazione del sistema operativo e degli aggiornamenti del browser. Inoltre, l'esecuzione del browser con i privilegi più bassi possibili dà buoni risultati, che possono ridurre notevolmente i danni in caso di exploit.
Supporti di questo tipo sono attualmente molto utilizzati: si tratta di unità flash e schede flash, unità HDD con interfaccia USB, Telefono cellulare, telecamere, registratori vocali. La proliferazione di questi dispositivi porta ad un aumento del numero di programmi dannosi che utilizzano questi media come mezzo di trasmissione. Esistono tre modi fondamentali per infettare un'unità flash:
I metodi per proteggersi dalla diffusione di malware sui supporti flash sono piuttosto semplici:
I computer mobili forniscono un altro vettore di malware. Una situazione tipica è l'utilizzo di un laptop in viaggio d'affari, quando solitamente è connesso alla rete di qualcun altro. Durante il lavoro, il tuo laptop potrebbe essere infettato, molto spesso da un worm di rete. Quando un laptop infetto si connette alla sua rete “nativa”, i PC su di esso possono essere infettati. È difficile proteggersi da questo; una serie di misure di sicurezza può essere ridotta alle seguenti:
In questo articolo abbiamo esaminato i modi più comuni con cui il malware penetra in una rete. Da tutto quanto sopra si possono trarre due importanti conclusioni:
3. Mezzi di protezione delle reti informatiche
Per protezione della rete informatica si intende: nomenclatura, status, interconnessione
Secondo gli esperti una politica di protezione dovrebbe considerare almeno i seguenti aspetti:
- autorizzazione all'accesso ai sistemi informatici, identificazione e autenticazione dell'utente;
- controllo dei diritti di accesso;
- monitoraggio della protezione e analisi statistiche;
- configurazione e test del sistema;
- allenamento di sicurezza;
- sicurezza fisica;
- sicurezza della rete.
Il primo dei punti elencati è un avamposto in cui vengono formulati criteri che consentono solo agli utenti idonei di connettersi al sistema, e tutti gli altri non avranno nemmeno la possibilità di tentare la registrazione. I mezzi standard per implementare questa funzione sono file speciali o elenchi di host da cui è consentito l'accesso remoto. È vero, gli sviluppatori di questo dispositivo si prendono sempre cura delle tentazioni per gli amministratori (per qualche motivo c'è sempre un “pulsante” che apre l'ingresso a tutti). Probabilmente, in alcuni casi, la rimozione del controllo ha le sue spiegazioni: di solito si riferiscono all'affidabilità di altri mezzi, alla mancanza di input diretti, ma è difficile prevedere tutte le situazioni possibili quando si lavora con le reti. Pertanto è opportuno configurare comunque l'autorizzazione all'accesso senza ricorrere alle impostazioni predefinite.
Come dimostra la pratica, questo tipo di protezione non è in grado di ridurre significativamente la probabilità di penetrazione. Valore reale il suo ruolo centrale (che definisce) è diverso: nella registrazione e nella contabilità degli utenti della rete che tentano di accedere al sistema.
Ruolo centrale Nei moderni sistemi di sicurezza è affidata a procedure di identificazione e autenticazione. Esistono tre modi fondamentali per implementarli:
- utilizzando una password o una frase condizionale nota all'utente;
- utilizzando un dispositivo/documento personale che appartiene solo all'utente: una smart card, un autenticatore tascabile, o semplicemente una carta d'identità appositamente realizzata (si presuppone che l'autenticatore non verrà mai condiviso con nessuno);
- attraverso l'autenticazione dell'utente stesso - tramite impronte digitali, voce, pattern retinale, ecc. Questi metodi di identificazione vengono sviluppati nel quadro della biometria.
Gli schemi di autenticazione più affidabili nascono dalla combinazione di questi metodi e il primo rimane il più diffusosimbolico .
Non sorprende che gli hacker siano ben attrezzati per ottenere nomi di accesso e password. Se riescono a copiare il file della password sul proprio computer, viene avviato un programma di ipotesi, in genere utilizzando una ricerca su un ampio dizionario. Tali programmi funzionano rapidamente anche su computer deboli e se il sistema di sicurezza non controlla i metodi di generazione delle password, c'è un'alta probabilità di indovinarne almeno una. Poi arriva il tentativo di ottenere diritti privilegiati dal nome dell'account divulgato e il lavoro è fatto.
Particolarmente pericolose, e non solo per se stesse, sono le macchine con meccanismi di protezione disabilitati o senza di essi. Gli amministratori dispongono degli strumenti attuali per stabilire relazioni di fiducia tra host utilizzando i file host.equiv, xhost. Se la configurazione non ha successo, un utente malintenzionato può accedere a una macchina non protetta e, senza alcuna identificazione, ottenere l'accesso transitivo a tutti gli host della rete aziendale.
Il punto successivo della politica di sicurezza, il controllo dei diritti di accesso, è progettato per garantire che, dopo aver completato con successo la procedura di autenticazione, solo un sottoinsieme di file e servizi di sistema, determinato su base personale, diventi disponibile per l'utente. Grazie a questo meccanismo gli utenti potranno leggere, ad esempio, esclusivamente le email ricevute tramite e-mail , ma non lettere di un vicino. In genere, i diritti di accesso sono impostati dagli utenti stessi: il proprietario dei dati può consentire a qualcun altro di lavorarci, proprio come un amministratore di sistema gestisce i diritti di accesso al sistema e file di configurazione. È importante solo che il proprietario si assuma sempre la responsabilità personale della sua proprietà.
La differenziazione dei diritti non si limita solo ai dati: parallelamente agli utenti vengono assegnati sottoinsiemi di operazioni consentite. Prendiamo ad esempio il sistema automatizzato di vendita dei biglietti. Il cassiere dovrebbe certamente essere in grado di connettersi a un database centrale per verificare la disponibilità ed elaborare le vendite. Ma i suoi diritti dovrebbero essere limitati a tal punto che non possa modificare i conti correnti dell’organizzazione o aumentare il suo stipendio.
In genere, nelle applicazioni multiutente, la delimitazione viene effettuata tramite controlli di accesso discrezionali (controlli di accesso discrezionali) e nei sistemi operativi - tramite attributi di file e identificatori di processo EUID, GLJID. Il quadro ordinato è interrotto dai bit SUID e SGID, che consentono di modificare a livello di codice i diritti di accesso dei processi. Gli script con la funzione setuid, in particolare setuid root, rappresentano un potenziale rischio per la sicurezza. O non dovrebbero essere creati affatto, oppure dovrebbero essere protetti in modo affidabile.
È impossibile raggiungere la sicurezza se non si mantiene l’ordine nell’infrastruttura disorganizzata dell’azienda. La gestione della configurazione è un insieme di tecnologie che monitorano lo stato del software, dell'hardware, degli utenti e delle reti. In genere, la configurazione di un sistema informatico e dei suoi componenti è chiaramente definita al momento dell'implementazione, ma col tempo il controllo viene perso sempre più. Gli strumenti di gestione della configurazione sono progettati per formalizzare e dettagliare tutte le modifiche che si verificano nel sistema.
Con la gestione della qualità, in primo luogo, deve essere pensata e definita una rigorosa procedura per apportare modifiche, compresa la relativa documentazione. In secondo luogo, tutti i cambiamenti devono essere valutati dal punto di vista della politica di sicurezza complessiva. Anche se è possibile che questa politica venga modificata, è importante che in ogni fase del ciclo di vita venga mantenuta la coerenza delle decisioni per tutti. anche i sistemi obsoleti che rimangono nella rete, altrimenti si trasformeranno in quello stesso "anello debole".
Tutti gli aspetti sopra menzionati della protezione si basano in un modo o nell'altro sulle tecnologie software, ma ci sono questioni estremamente importanti che vanno oltre questo circolo. La rete aziendale comprende il mondo reale: utenti, dispositivi fisici, supporti di memorizzazione, ecc., che possono anch'essi causare problemi. I nostri utenti, apparentemente a causa delle tradizioni storiche, trattano con ironia le questioni di segretezza. In condizioni rete Questo atteggiamento deve urgentemente cambiare attraverso la consapevolezza dei principi fondamentali di protezione. Questa è la prima fase, dopodiché puoi passare a quella successiva: la formazione tecnica, e non solo gli utenti, ma anche i professionisti devono attraversarla. Man mano che vengono sviluppate le specifiche delle politiche di sicurezza, gli amministratori di sistema e di database devono acquisire sufficiente familiarità con esse per essere in grado di tradurle in soluzioni software specifiche.
Una tipica scappatoia per i cracker è quella “debole”, cioè le password facilmente rivelabili. La situazione può essere corretta addestrando gli utenti a essere consapevoli del controllo degli accessi: cambiare periodicamente le password e formarle correttamente. Sorprendentemente, anche in un ambiente qualificato, un errore comune è una password formata da un nome di accesso e uno alla fine. Anche se la sicurezza fisica sta diminuendo con l’avanzare della tecnologia, essa rappresenta ancora una parte importante della politica complessiva. Se un utente malintenzionato riesce ad accedere ai componenti fisici della rete, nella maggior parte dei casi riesce ad accedere al sistema senza autorizzazione. Inoltre, consentire agli utenti di accedere fisicamente ai componenti critici del sistema aumenta la probabilità di guasti involontari del servizio. Quindi, Il contatto diretto con computer e apparecchiature di rete vitali dovrebbe essere limitato
la gamma minima possibile di personale: amministratori di sistema e ingegneri. Ciò non significa alcuna fiducia esclusiva nei loro confronti, semplicemente riduce la probabilità di incidenti e, se succede qualcosa, la diagnosi diventa più certa. Facendo riferimento alla mia esperienza, posso confermare l'utilità di semplici misure organizzative: non posizionare attrezzature di valore in un cortile pedonale.
Pur sperando per il meglio, è una buona idea anticipare le opzioni sbagliate. Non fa male avere un piano di emergenza in caso di interruzione di corrente o altri disastri, comprese le intrusioni dannose. Se si verifica un attacco hacker, è necessario essere pronti a rispondere molto rapidamente, prima che gli aggressori abbiano il tempo di causare gravi danni al sistema o sostituire le password amministrative.
Dovrebbero coprire le questioni relative alla sicurezza della rete nel contesto generale della politica di sicurezza diversi tipi accesso:
Di conseguenza, vengono utilizzati due tipi di meccanismi: interni e quelli che si trovano sul perimetro della rete aziendale, dove si verificano le connessioni esterne.
Per la sicurezza della rete interna, è importante garantire la corretta configurazione dell'hardware e del software stabilendo la gestione della configurazione. La sicurezza della rete esterna implica la definizione di confini chiari della rete e l'installazione di firewall nelle posizioni critiche.
Valutazione del rischio per la sicurezza
La politica di protezione è stata implementata: puoi stare tranquillo, ma è meglio non aspettare l'arrivo degli hacker, ma vedere di persona quanto è capace il tuo sistema di resistere agli attacchi esterni. L'obiettivo è valutare il livello di sicurezza raggiunto e identificare i punti forti e deboli della protezione. Puoi eseguire tu stesso la procedura di valutazione, anche se potrebbe essere più semplice rivolgerti ai servizi di un'azienda specializzata in tali attività. Gli esperti interni avranno l’ulteriore sfida di porre domande difficili ai colleghi e trarre conclusioni che ad alcuni potrebbero non piacere.
Valutazione e test della politica di sicurezza
Il primo passo è confrontare ciò che è previsto nella politica di sicurezza con ciò che accade realmente. Per fare ciò, è necessario trovare le risposte approssimativamente alle seguenti domande.
- Chi determina cosa è riservato?
- Esistono procedure per la gestione delle informazioni riservate?
- Chi determina le informazioni riservate comunicate al personale per svolgere le proprie funzioni lavorative?
- Chi amministra il sistema di sicurezza e su quale base?
Ottenere tali informazioni non è sempre facile. L'opzione migliore è raccogliere e leggere documenti formali pubblicati contenenti politiche di sicurezza, procedure aziendali, diagrammi architettonici e così via. Tuttavia, nella maggior parte delle organizzazioni tali documenti non esistono e, se esistono, vengono praticamente ignorati. Quindi, per identificare la situazione reale, sarà necessario condurre osservazioni sul campo dei luoghi di lavoro, determinando allo stesso tempo se è possibile notare manifestazioni di una politica unificata.
La differenza tra regole scritte e pratiche standard del personale può essere molto ampia. Ad esempio, una policy pubblicata potrebbe stabilire che le password non sono consentite in nessuna circostanza.
può essere utilizzato da più dipendenti. E, a quanto pare, ci sono molte organizzazioni in cui ciò viene rigorosamente osservato, ma ancora di più soffrono della separazione delle password.
Alcuni punti deboli della cultura aziendale possono essere scoperti solo attraverso operazioni segrete di intelligence. Ad esempio, la politica aziendale può stabilire che le password sono segrete e non devono essere scritte da nessuna parte, ma una rapida passeggiata nei locali mostrerà che sono scritte direttamente sulla tastiera o sul monitor. Un'altra tecnica efficace è sondare gli utenti sulle regole per lavorare con le informazioni. Da tali interviste è possibile scoprire quali informazioni sono più preziose per il dipendente e come vengono presentate all'interno e all'esterno della rete aziendale.
Studiando fonti aperte
Sapere è potere. Seguendo questo motto, un utente malintenzionato può estrarre una discreta quantità di informazioni interne essenzialmente private di un'azienda accedendo ai suoi materiali aperti e disponibili al pubblico. Il secondo passo della valutazione della sicurezza è scoprire quanto un estraneo può imparare sull'azienda. Le informazioni “utili” che forniscono potere di penetrazione possono essere: tipi di sistemi operativi utilizzati, patch installate, standard di accesso dei nomi utente canonici, indirizzi IP interni o nomi di host e server privati.
Si possono (e dovrebbero) essere adottate misure per ridurre la quantità di informazioni che hacker e cracker possono raccogliere, ma ciò richiede la comprensione di ciò che è già trapelato e di come è stato trapelato. Lo studio dei materiali pubblicati dai dipendenti in Internet . È noto un caso in cui un'azienda ha presentato sulla sua pagina un frammento del codice sorgente di un'applicazione critica per la sicurezza. Collisioni simili possono esistere nei materiali pubblicati su giornali, riviste e altre fonti.
I risultati dello studio dei materiali aperti dovrebbero diventare la base per apportare modifiche alle regole per la preparazione delle pubblicazioni aperte.
Valutazione della sicurezza dei sistemi host
I sistemi di elaborazione centrale (sistemi host), di norma, hanno un aspetto migliore di tutti gli altri dal punto di vista della sicurezza. Per un semplice motivo: i sistemi host sono più maturi, i loro sistemi operativi e software di sicurezza sono sviluppati e padroneggiati meglio. Alcuni dei prodotti di sicurezza più popolari per computer mainframe e di fascia media risalgono a decenni fa.
Ciò, ovviamente, non significa che il tuo sistema host sia sicuro a priori. Il vecchio host potrebbe rivelarsi l’anello più debole, ad esempio, se fosse stato creato in tempi “preistorici”, quando nessuno pensava né al locale né al globale. È necessario valutare lo schema di sicurezza e la sua implementazione sul sistema host da una nuova prospettiva, per determinare in che modo il software applicativo, i meccanismi di sicurezza del sistema operativo e la rete lavorano insieme. Poiché almeno due gruppi di specialisti sono coinvolti nell'organizzazione dei calcoli - in sistema operativo e per applicazione: è possibile che ciascuno di loro ponga problemi di sicurezza ai colleghi e il risultato complessivo potrebbe essere zero.
Analisi della sicurezza del server
A differenza dei sistemi host, i server di file, applicazioni e database sono più giovani e relativamente meno testati: per molti di loro, l'apparato di sicurezza ha solo pochi anni. La maggior parte di questi strumenti subiscono aggiornamenti e patch costanti. L'amministrazione del server viene spesso eseguita da specialisti con poca esperienza, quindi la sicurezza di questa classe di sistemi lascia solitamente molto a desiderare. La situazione è aggravata dal fatto che, per definizione, un pubblico completamente eterogeneo ha accesso ai server tramite linee telefoniche o di comunicazione remota. Pertanto, valutare la sicurezza dei server richiede maggiore attenzione. Esistono numerosi strumenti per questo, incluso Kane Analyst (Novell e NT). Questi tipi di prodotti esaminano i server (utilizzando l'accesso privilegiato) e riportano la configurazione, le pratiche di amministrazione della sicurezza e la popolazione degli utenti. È opportuno utilizzare strumenti automatizzati: una singola scansione può rivelare problemi che difficilmente saranno rilevati anche dopo molte ore di analisi manuale. Ad esempio, la scansione può rivelare rapidamente la percentuale di utenti che dispongono di troppe autorizzazioni o che appartengono a troppi gruppi.
La sezione successiva discute altre due fasi: l'analisi della sicurezza delle connessioni di rete.
Ingresso controllato simulato
Apparentemente uno dei i modi migliori controlli di sicurezza: assumi un hacker qualificato e chiedigli di dimostrare i suoi risultati sulla tua rete. Questo tipo di valutazione è chiamato test di penetrazione controllata.
Dopotutto, quando si prepara un test del genere, non è dannoso concordare restrizioni sulla portata dell'attacco e sul suo tipo stiamo parlando Questo è solo un controllo, che in nessun caso dovrebbe portare a interruzioni delle normali condizioni operative. In base ad alcune regole di “combattimento”, vengono poi selezionate le tipologie di prove.
Ci sono due approcci qui. Nella prima il test viene effettuato come se fosse effettuato da un vero cracker. Questo approccio è chiamato penetrazione cieca. La sua caratteristica distintiva è che la persona che esegue il test viene informata, ad esempio, URL , Ma dentro l'informazione- punti di accesso aggiuntivi in Internet , connessioni dirette alla rete - non divulgate.
Nel secondo approccio, la “penetrazione informata”, il team di hacker dispone di alcune informazioni sulla struttura della rete prima dell'attacco. Questo approccio richiede il passaggio di alcuni componenti. Ad esempio, quando su un sistema è installato un firewall, l'insieme di regole in esso utilizzato dovrebbe essere testato separatamente.
Molti test possono essere divisi in due gruppi: penetrazione da Internet e penetrazione delle linee telefoniche.
Scansione della connessione Internet
In genere, le principali speranze di protezione sono riposte nei firewall tra la rete aziendale interna e Internet. Tuttavia, dovresti essere consapevole che un firewall è valido tanto quanto la sua installazione: deve essere installato nella posizione corretta e su un sistema operativo affidabile. Altrimenti sarà semplicemente una fonte di falsa sicurezza.
Per testare firewall e sistemi simili vengono eseguiti test di scansione e penetrazione che simulano un attacco diretto al sistema da testare Internet . Esistono molti strumenti software per i test, ad esempio due popolari: Scanner dell'ISS (prodotto commerciale) e SATANA (distribuito gratuitamente; ca.. non è stato aggiornato dal 1995). Puoi scegliere l'uno o l'altro scanner, ma i test avranno senso solo se vengono soddisfatte tre condizioni: devi padroneggiare il corretto funzionamento dello scanner, i risultati della scansione devono essere analizzati attentamente e la massima parte possibile dell'infrastruttura deve essere scansionato.
I principali “bersagli” di questo gruppo di test sono i server di servizi Internet aperti ( WWW, SMTRFTP eccetera.). È facile accedere a questi server da soli: i loro nomi sono noti, l'ingresso è gratuito. E poi l'aggressore tenterà di ottenere i dati di interesse. Esistono diverse tecniche di hacking che puoi provare a utilizzare direttamente contro il server. Inoltre, in base all'indirizzo IP del server, è possibile avviare una scansione nel tentativo di identificare eventuali altri host nello stesso intervallo di indirizzi. Se viene rilevato qualcosa, viene avviato un port poll per ciascun indirizzo IP coinvolto per determinare i servizi in esecuzione sull'host. In molti casi, quando si tenta di connettersi o di utilizzare un servizio, è possibile ottenere informazioni come la piattaforma del server, la versione del sistema operativo e persino la versione del servizio (ad esempio, inviare posta 8.6).
Armato di queste informazioni, un utente malintenzionato può lanciare una serie di attacchi contro le vulnerabilità note dell'host. L'esperienza ha dimostrato che nella maggior parte delle situazioni è possibile ottenere un certo livello di accesso non autorizzato raccogliendo informazioni sufficienti.
Attacco tramite numeri di telefono
Negli ultimi dieci anni, i modem hanno rivoluzionato le comunicazioni informatiche. Tuttavia, questi stessi modem, se installati su computer collegati in rete e lasciati in modalità di risposta automatica, rappresentano i punti più vulnerabili. Attacco tramite numeri di telefono ( chiamate di guerra ) è una ricerca di tutte le combinazioni per trovare il segnale audio del modem.
Esecuzione del programma Modalità automaticaè in grado di eseguire durante la notte una vasta gamma di numeri di telefono, registrando i modem rilevati. Un hacker riceverà una tazza di caffè al mattino file di testo con indirizzi modem e possono attaccarli. Ciò che rende questi tipi di attacchi particolarmente pericolosi è che molte aziende si permettono di mantenere linee di comunicazione incontrollate o non autorizzate che aggirano i firewall con Internet e fornire accesso diretto alla rete interna.
Lo stesso attacco può essere effettuato in modalità test: i risultati mostreranno quanti modem puoi essere soggetto a un vero hacking. Questo tipo di test è abbastanza semplice. In un test alla cieca, il team di penetrazione trova i commutatori telefonici dell'azienda (da varie fonti pubbliche, inclusa una pagina Web) e, se il test non è alla cieca, queste informazioni vengono comunicate loro. Una serie di numeri telefonici negli switch viene composta automaticamente per determinare i numeri a cui sono collegati i modem. I metodi di attacco al modem possono fare affidamento su programmi terminali come HyperTerminal e programmi di gestione dell'accesso remoto, come PC Anyware . Anche in questo caso l'obiettivo è ottenere un certo livello di accesso al dispositivo di rete interno. Se la connessione e l'accesso avvengono con successo, inizia una nuova partita.
Da tutto quanto detto si può apparentemente dedurre quanto segueconclusione: La sicurezza della rete può essere mantenuta da soli, ma dovrebbe trattarsi di un'attività altamente professionale e non di un'azienda occasionale. Una rete su scala aziendale è quasi sempre un sistema di grandi dimensioni e non è in grado di risolvere tutti i problemi di sicurezza in un colpo solo.
Tralasciando le leggi e gli standard statali sulla sicurezza informatica, possiamo consigliare tre tipi di fonti di informazione più utili e necessarie nelle attività pratiche:
sezioni pertinenti della documentazione per i sistemi operativi e le applicazioni;
Pagine web dei produttori prodotti software e sistema operativo, su cui vengono pubblicati messaggi sulle nuove versioni con correzioni di bug e patch;
Esistono almeno due organizzazioni: CERT (Computer Emergency Response Team) e C1AC (Computer Incident Advisory Capability), che raccolgono e diffondono informazioni sugli hack, forniscono consigli su come eliminarne le conseguenze e segnalano gli errori software identificati che gli aggressori utilizzano per penetrare nei computer, nei sistemi informatici.
Ugualmente una condizione necessaria l'affidabilità della protezione è sistematica e ogni sistema ha il proprio ciclo di vita. Per un sistema di sicurezza questo è: progettazione – realizzazione – valutazione – aggiornamento.
Test di penetrazione(ger. pentest) - un metodo per valutare la sicurezza dei sistemi informatici o delle reti mediante la simulazione di un attacco da parte di un utente malintenzionato. Il processo prevede l'analisi attiva del sistema per potenziali vulnerabilità che potrebbero causare il malfunzionamento del sistema di destinazione o causare una completa negazione del servizio. L'analisi viene effettuata dal punto di vista di un potenziale aggressore e può includere lo sfruttamento attivo delle vulnerabilità del sistema.
Gli oggetti del test possono essere singoli sistemi informativi, ad esempio: CMS (sistema di gestione dei contenuti), CRM (sistema di gestione delle relazioni con i clienti), banca cliente Internet, o l'intera infrastruttura nel suo complesso: perimetro di rete, rete senza fili, rete interna o aziendale, nonché perimetro esterno.
Sfida dei test di penetrazione- cercare tutte le possibili vulnerabilità note del software, carenze nella politica della password, carenze e sottigliezze delle impostazioni di configurazione IS. Durante tale test, un tester lancia uno pseudo-attacco contro una rete aziendale, simulando le azioni di veri aggressori o un attacco effettuato da software dannoso senza la partecipazione diretta del tester stesso. Lo scopo di questi test è identificare i punti deboli nella protezione di una rete aziendale da tali attacchi ed eliminare le vulnerabilità riscontrate durante gli pseudo-attacchi.
I penetration test vengono solitamente suddivisi in BlackBox, WhiteBox e GreyBox:
Scatola nera- "scatola nera". Lo specialista ha solo informazioni pubblicamente disponibili sullo scopo della ricerca, sulla sua rete e sui parametri. Questa opzione è il più vicino possibile alla situazione reale. Come dati iniziali per il test, al contraente verrà fornito solo il nome dell'azienda o del suo sito web, mentre il contraente dovrà reperire tutte le altre informazioni, come gli indirizzi IP utilizzati dall'azienda, i siti web, i punti di accesso dei siti web dell'azienda uffici e filiali a Internet.
Scatola bianca– l'esatto opposto di BlackBox. In questo caso, allo specialista vengono fornite le massime informazioni di cui ha bisogno, compreso l'accesso amministrativo a qualsiasi server. Questo metodo consente di ottenere lo studio più completo della vulnerabilità di un oggetto. Con WhiteBox l'esecutore non dovrà perdere tempo a raccogliere informazioni, stilare una mappa di rete e altre azioni prima di iniziare il test, e ridurrà anche i tempi del test stesso, perché Alcuni controlli semplicemente non dovranno essere eseguiti. Più questo metodo in un approccio più completo e integrato alla ricerca. Lo svantaggio è che questo è meno vicino alla situazione di un vero e proprio attacco da parte di un aggressore.
GrayBox– questa è un'opzione intermedia tra WhiteBox e BlackBox, quando l'esecutore agisce secondo l'opzione BlackBox e richiede periodicamente informazioni sul sistema sotto test per ridurre i tempi di ricerca o applicare i propri sforzi in modo più efficiente. Questa opzione è la più popolare, poiché consente di eseguire test senza perdere ulteriore tempo nella raccolta di informazioni e dedicare più tempo alla ricerca delle vulnerabilità, mentre questa opzione rimane abbastanza vicino alla situazione reale delle azioni dell'attaccante.
1. CARATTERISTICHE DI PENETRAZIONE DI UN SISTEMA INFORMATICO REMOTO.
Qualsiasi test di penetrazione oggettivo e completo ha una serie di caratteristiche e deve essere effettuato tenendo conto delle raccomandazioni e delle regole.
Le regole e il quadro per i test di penetrazione delle informazioni sono presentati nelle metodologie OSSTMM e OWASP. Successivamente, i dati ottenuti possono essere facilmente adattati per condurre una valutazione di conformità con qualsiasi standard di settore e “migliori pratiche mondiali”, come Cobit, gli standard della serie ISO/IEC 2700x, le raccomandazioni CIS/SANS/NIST/ecc e lo standard PCI DSS.
Per effettuare una valutazione completa di questo tipo, i soli dati tecnologici non saranno sufficienti. Una valutazione completa richiede interviste ai dipendenti dei vari reparti dell'azienda valutata, analisi della documentazione amministrativa e vari processi. Tecnologie informatiche(IT) e informazioni di sicurezza(IB) e molto altro ancora.
Per quanto riguarda i test di penetrazione in conformità con i requisiti dello standard di sicurezza delle informazioni del settore delle carte di pagamento, non sono molto diversi dai test convenzionali condotti utilizzando i metodi OSSTMM e OWASP. Inoltre, lo standard PCI DSS raccomanda di seguire le regole OWASP durante lo svolgimento sia di un pentest (AsV) che di un audit (QSA).
Le principali differenze tra i test PCI DSS e i test di penetrazione nel senso ampio del termine sono le seguenti:
Il metodo GrayBox consente di ridurre il rischio di negazione del servizio durante lo svolgimento di tale lavoro in relazione a risorse informative operative 24 ore su 24, 7 giorni su 7.
In generale, i test di penetrazione PCI devono soddisfare i seguenti criteri:
Determinazione dei confini della ricerca condotta. Innanzitutto è necessario identificare i confini del penetration test, determinare e concordare la sequenza delle azioni da eseguire. Nel migliore dei casi, il dipartimento di sicurezza informatica può ottenere una mappa della rete, che mostra schematicamente come il centro di elaborazione interagisce con l'infrastruttura generale. Nel peggiore dei casi, dovrai comunicare con amministratore di sistema, che conosce i propri difetti e ottiene dati completi al riguardo sistema informativo sarà ostacolato dalla sua riluttanza a condividere i propri dati IP. In un modo o nell'altro, per condurre un pentest PCI DSS, è necessario ottenere almeno le seguenti informazioni:
2. FASI DEL TEST DI PENETRAZIONE
Diamo un'occhiata alle possibili fasi del penetration test. A seconda delle informazioni disponibili (BlackBox/WhiteBox/GreyBox), la sequenza delle azioni può essere diversa: raccolta dati, scansione della rete, hacking del sistema, malware, ingegneria sociale.
2.1 Raccolta dati.
Raccolta di dati da fonti di informazione aperte. Le fonti aperte sono fonti di informazioni a cui si accede legalmente e legalmente. La ricerca delle informazioni necessarie utilizzando fonti aperte è stata adottata da molte strutture civili e militari che operano nel campo dell'intelligence e dello spionaggio industriale.
L'accesso alle informazioni necessarie su Internet può essere ottenuto in vari modi. Questo può avvenire seguendo i collegamenti ipertestuali, effettuando una ricerca in varie directory (siti, blog, ecc.) che è possibile visualizzare risultati di ricerca. Per determinati scopi, è impossibile fare a meno della ricerca in database specializzati.
Le informazioni possono anche essere fornite da URL di siti Web interni, indirizzi email, numeri di telefono, fax, server DNS, intervallo di indirizzi IP, informazioni di routing.
Con lo sviluppo di Internet, i servizi WHOIS si sono diffusi. Whois (dall'inglese "chi è" - "chi è") è un protocollo di rete basato sul protocollo TCP. Il suo scopo principale è ottenere informazioni sul “registrant” (il proprietario del dominio) e sul “registrar” (l'organizzazione che ha registrato il dominio), nomi Server DNS, data di registrazione e data di scadenza. I record sugli indirizzi IP sono raggruppati per intervalli (ad esempio, 8.8.8.0 - 8.8.8.255) e contengono dati sull'organizzazione a cui è delegato questo intervallo.
2.2 Scansione di rete.
La scansione di rete può essere suddivisa in componenti:
1. Scansione di un intervallo di indirizzi IP per determinare gli host "live".
2. Scansione delle porte
3. Scoperta dei servizi e delle loro versioni
4. Eseguire la scansione per determinare il sistema operativo
5. Scansione delle vulnerabilità
1. Scansione di un intervallo di indirizzi IP.
Un compito fondamentale quando si esplora qualsiasi rete è ridurre l'insieme di intervalli IP a un elenco di host attivi. La scansione di ogni porta di ogni indirizzo IP è lenta e non necessaria. L'interesse nello studio di determinati host è in gran parte determinato dagli scopi della scansione. Gli obiettivi degli amministratori di scoprire host in esecuzione su una rete possono essere soddisfatti da semplici ping ICMP, ma le persone che testano la capacità di una rete di resistere ad attacchi esterni devono utilizzare una varietà di set di query per aggirare il firewall.
Il compito di scoprire gli host è talvolta chiamato ping scan, ma è di gran lunga superiore alle solite richieste ICMP associate alle onnipresenti utilità ping. È preferibile scansionare la rete utilizzando combinazioni arbitrarie di richieste TCP SYN/ACK, UDP e ICMP multiporta. Lo scopo di tutte queste richieste è ottenere risposte che indichino che l'indirizzo IP è attualmente attivo (in uso dall'host o dispositivo di rete). Sulla maggior parte delle reti solo una piccola percentuale di indirizzi IP è attiva in un dato momento. Ciò è particolarmente vero per gli spazi di indirizzi come 10.0.0.0/8. Tali reti hanno 16 milioni di indirizzi IP, ma ci sono casi in cui vengono utilizzate da aziende con non più di mille macchine. La scoperta dell'host può trovare queste macchine in questo vasto mare di indirizzi IP.
2. Scansione delle porte.
Esistono molte tecniche diverse di scansione delle porte e vengono scelte per compito specifico adatto (o una combinazione di più). Diamo un'occhiata alle tecniche di scansione più popolari:
Scansione SYN TCP
SYN è il tipo di scansione predefinito e più popolare. Può essere avviato rapidamente, è in grado di scansionare migliaia di porte al secondo su una connessione veloce e non è ostacolato da firewall restrittivi.
Vari tipi di scansione UDP
Sebbene la maggior parte dei servizi Internet utilizzi il protocollo TCP, sono molto diffusi anche i servizi UDP. I tre più popolari sono DNS, SNMP e DHCP (utilizzano le porte 53, 161/162 e 67/68). Perché La scansione UDP è generalmente più lenta e più complessa della scansione TCP, quindi molti professionisti della sicurezza ignorano queste porte. Questo è un errore perché Esistono servizi UDP utilizzati dagli aggressori.
Scansioni TCP NULL, FIN e Xmas
Questi tre tipi di scansioni utilizzano una sottile scappatoia nella RFC TCP per distinguere tra porte aperte e chiuse.\
Scansione ACK TCP
Questo tipo di scansione è molto diverso da tutti gli altri in quanto non è in grado di rilevare una porta aperta. Viene utilizzato per identificare le regole del firewall, determinare se sono stateful o meno e per determinare le porte che filtrano.
3. Scoperta dei servizi e delle loro versioni.
Durante la scansione di un sistema remoto, potrebbe essere rilevato che le porte 25/tcp, 80/tcp e 53/udp sono aperte. Utilizzando le informazioni, puoi scoprire che queste porte corrispondono probabilmente rispettivamente al server di posta (SMTP), al server web (HTTP) e al server dei nomi di dominio (DNS). Questa informazione è solitamente corretta perché... la stragrande maggioranza dei servizi utilizza 25 porta TCP, appunto, server di posta. Tuttavia, non dovresti fare affidamento interamente su queste informazioni. Le persone possono eseguire servizi utilizzando porte non standard.
Dopo aver rilevato le eventuali porte TCP e/o UDP, avviene una procedura di identificazione delle stesse per determinare quali applicazioni (servizi) le utilizzano. Utilizzando un database di richieste di contatto con vari servizi e le corrispondenti espressioni per riconoscere e analizzare le risposte, è possibile determinare i protocolli del servizio (ad esempio FTP, SSH, Telnet, HTTP), il nome dell'applicazione (ad esempio ISC BIND, Apache httpd, Solaris telnetd) , numero di versione, nome host, tipo di dispositivo (ad es. stampante, router), famiglia di sistema operativo (ad es. Windows, Linux) e talvolta vari dettagli come se è possibile connettersi al server X, versione del protocollo SSH o nome utente.
4. Eseguire la scansione per determinare il sistema operativo.
È possibile determinare il sistema operativo su un sistema remoto in base all'analisi dello stack TCP/IP. Una serie di pacchetti TCP e UDP vengono inviati all'host remoto e viene esaminato praticamente ogni bit delle risposte. Dopo aver condotto numerosi test come il campionamento dell'ISN TCP, il supporto dell'opzione TCP, il campionamento dell'ID IP e l'analisi della durata della procedura di inizializzazione, i risultati vengono confrontati con un database contenente serie note di risultati tipici per diversi sistemi operativi e, se vengono trovate corrispondenze, si può trarre una conclusione sul sistema operativo installato.
5. Scansione delle vulnerabilità.
La scansione delle vulnerabilità è un processo completamente o parzialmente automatizzato di raccolta di informazioni sulla disponibilità di un nodo di rete di una rete di informazioni ( computer personale, server, apparecchiature per telecomunicazioni), servizi di rete e le applicazioni utilizzate su questo nodo e la loro identificazione, utilizzata da questi servizi e porte delle applicazioni, al fine di determinare le vulnerabilità esistenti o possibili.
2.3 Hacking del sistema.
Il successo pratico dell'implementazione di un particolare algoritmo di hacking dipende in gran parte dall'architettura e dalla configurazione dello specifico sistema operativo bersaglio di questo hacking.
Tuttavia, esistono approcci che possono essere applicati a quasi tutti i sistemi operativi:
2.4 Dannoso Software.
Molto spesso il malware viene utilizzato per accedere a un sistema infetto. In genere malware che ha la funzionalità porta sul retro pubblicato su una risorsa di condivisione file sotto le spoglie di un programma legittimo.
Il software dannoso è un software sviluppato per ottenere l'accesso non autorizzato alle risorse informatiche del computer, nonché ai dati in esso archiviati. Tali programmi hanno lo scopo di causare danni al proprietario delle informazioni o al computer copiando, distorcendo, cancellando o sostituendo le informazioni.
I trojan sono programmi dannosi che eseguono azioni non autorizzate dall'utente. Tali azioni possono includere:
I trojan vengono classificati in base al tipo di azioni che eseguono su un computer.
2.5 Ingegneria sociale.
Affinché il malware possa finire sull'IP attaccato viene utilizzato il social engineering. L'ingegneria sociale è un metodo di accesso non autorizzato risorse di informazione, in base alle caratteristiche della psicologia umana. L'obiettivo principale degli ingegneri sociali è ottenere l'accesso ai sistemi protetti per rubare informazioni, password, dati carte di credito e così via. Non è la macchina ad essere scelta come bersaglio dell'attacco, ma il suo operatore. Pertanto, tutti i metodi e le tecniche degli ingegneri sociali si basano sullo sfruttamento delle debolezze del fattore umano.
Esistono diverse tecniche e tipi di attacchi comuni utilizzati dagli ingegneri sociali. Ma la caratteristica comune a tutti questi metodi è quella fuorviante, con l’obiettivo di costringere una persona a compiere qualche azione che non gli è vantaggiosa e che è necessaria per l’ingegnere sociale. Per ottenere il risultato desiderato, l'ingegnere sociale utilizza una serie di tattiche diverse: impersonare un'altra persona, distrarre l'attenzione, aumentare la tensione psicologica, ecc. Anche gli obiettivi finali dell'inganno possono essere molto diversi.
Tecniche di ingegneria sociale:
Uno studio sulla sicurezza informatica del 2003 ha rilevato che il 90% degli impiegati sarebbe disposto a divulgare informazioni riservate, come le proprie password, in cambio di un favore o di una ricompensa.
Organizzazione di uno pseudo-attacco.
Per organizzare uno pseudo-attacco sistema informatico noi usiamo Software Kit di strumenti di ingegneria sociale(IMPOSTA) e Metaploit Struttura(MFS). Queste utilità sono incluse per impostazione predefinita nella distribuzione Backtrack 5, progettato per testare la possibilità di hacking di sistema e di rete. Utilizziamo anche due macchine virtuali con i seguenti sistemi operativi:finestre7 e Fare marcia indietro 5.
Generazione backdoor. Utilizzeremo SET per creare una backdoor TCP inversa e MFS per creare un gestore per elaborare i pacchetti dalla backdoor creata, che manterrà un canale di comunicazione tra un potenziale utente malintenzionato e il sistema su cui verrà avviata la backdoor.
Tutte le azioni vengono eseguite in modalità console sul sistema operativo Backtrack 5. La creazione del payload viene eseguita tramite l'utilità SET, passaggio 4 Creare UN Carico utile E Lister
La creazione di un carico utile con TCP inverso (per stabilire il feedback) viene eseguita selezionando il passaggio 2 finestre Inversione— TCP Metroprete e poi il punto 16 Backdoor Eseguibile. Questa operazione completa la creazione della backdoor. Quando lo crei, indichi anche il numero di porta attraverso il quale il Feedback. Nella cartella / pentest/ sfrutta/ IMPOSTATO msf.exe verrà generato in base alle opzioni selezionate.
Impostazione dell'exploit. L'exploit è progettato per ricevere richieste TCP da una backdoor creata. La sua configurazione avviene avviando MFS e selezionando l'handler exploit (listener): utilizzare exploit/multi/handler.
Di conseguenza, MFS passa al contesto del gestore dell'exploit. Il prossimo compito è configurare il payload per questo exploit. Poiché la backdoor viene orientata (creata) con Revers_TCP Meterpretor, lo scambio di informazioni avviene tramite Connessione TCP: impostato/ carico utile finestre/ metropreter/ inversione_ tcp. Inoltre, è necessario indicare nelle opzioni Local Host (l'indirizzo IP di un potenziale aggressore).
L'esecuzione del gestore ti porta nel contesto meterpretor, dove verranno presentate le sessioni a cui puoi connetterti. La comparsa di una sessione avverrà dopo l'avvio della backdoor su una macchina remota, cosa che in alcuni casi avviene in pratica attraverso l'ingegneria sociale.
Per simulare questo processo, la backdoor viene lanciata il secondo macchina virtuale. Successivamente, in meterpretor sarà disponibile una sessione a questo sistema, ovvero la nostra backdoor fornisce un canale di comunicazione e otteniamo il controllo sulla macchina infetta.
Ogni utente, sia esso un individuo o un'azienda, dispone necessariamente di informazioni uniche dal suo punto di vista. Un'impresa può essere una struttura commerciale, oppure un'istituzione statale, municipale o finanziaria, ma in tutti i casi le sue attività sono in qualche modo supportate da una rete informatica. E la necessità di garantire la sicurezza delle informazioni di una rete informatica è fuori dubbio.
Le fonti di minacce alla rete possono essere sia esterne che interne. La fonte esterna ovvia è Internet. Anche se gli utenti rete locale non hanno accesso diretto a Internet, possono utilizzare servizi di posta elettronica e ricevere informazioni dall'esterno, la cui sicurezza non è garantita. A rigor di termini, Internet non è una fonte di minaccia, ma un mezzo attraverso il quale informazioni dannose entrano nella rete locale. I promotori delle minacce possono essere partner senza scrupoli, criminali o, al contrario, forze dell'ordine, hacker e persino personale tecnico del fornitore. Il pericolo interno consiste nell'introduzione deliberata o nella creazione di condizioni per l'introduzione di software dannoso da parte dei dipendenti aziendali. Il livello gerarchico del dipendente qui non ha praticamente alcun significato. Gli strumenti hardware e software di elaborazione delle informazioni di bassa qualità o obsoleti dovrebbero essere considerati come una potenziale fonte di minaccia interna: la vulnerabilità di questi componenti può annullare la sicurezza di una rete di computer.
Le conseguenze di un'insufficiente protezione dei dati sulla rete sono molteplici: furto, distruzione o distribuzione di informazioni riservate (segreti commerciali), dati personali, sostituzione di informazioni, blocco dell'accesso ad esse, funzionalità limitata o chiusura completa della rete aziendale. Quest’ultima porta ad un vero e proprio stop dei processi aziendali.
La protezione delle reti informatiche è assolutamente essenziale. È necessario comprendere che esiste sempre una minaccia alla sicurezza di una scala o di un'altra. Se verrà implementato o meno dipende da come è organizzata la rete e da quali metodi di protezione della rete locale vengono utilizzati. Un sistema di sicurezza LAN diventa affidabile quando utilizza hardware con prestazioni sufficienti e software di alta qualità con gestione trasparente: l'utente deve capire cosa sta facendo e perché. Nel caso di una rete aziendale, una soluzione adeguata è un firewall hardware. Insieme a programma installato Internet Control Server (ICS) implementa contromisure complete contro le minacce esterne e interne. Il traffico (incluso il traffico interno) che passa attraverso il gateway di rete viene continuamente analizzato dagli strumenti di sicurezza della rete informatica integrati. Il modulo DLP filtra possibili fughe di informazioni e l'antivirus in streaming rileva il malware prima che penetri nei computer della rete. Il rilevatore di attacchi di Suricata rileva attività potenzialmente dannose sulla rete. Il monitor della connessione mostra i flussi di traffico da ciascun client. Molti componenti della sicurezza di rete sono facili da configurare, il loro funzionamento è chiaro anche a un non specialista e un programma del genere è facile da gestire.
È l'elevato livello di sicurezza della rete locale che rende l'ambiente di lavoro composto da molti computer interagenti, consentendo all'azienda di funzionare normalmente. Un programma di sicurezza di rete deve essere complesso e moderno internamente, ma semplice e comprensibile a livello di interazione con l'utente.
