Охота за «Красным Октябрем»

Речь пойдет не о культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен Лабораторией Касперского и который был анонсирован ее специалистами в понедельник. Я уже успел даже прокомментировать этот ролик на телевидении, но моя заметка не о природе этого вредоносного кода, не о его авторах и даже не о том, как он работает. Речь пойдет о том, как с ним бороться.

По мнению экспертов Лаборатории Касперского расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:

  • CVE-2009-3129 — Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
  • CVE-2010-3333 — Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
  • CVE-2012-0158 — Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
  • CVE-2011-3544 — Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.

Аналитики нашего исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. Для первых двух уязвимостей известных еще с 2009-го и 2010-го годов мы выпустили бюллетени об уязвимостях:

соответствующие рекомендации по отражению указанных угроз:

а также 4 сигнатуры для решений Cisco от обнаружению и предотвращению вторжений Cisco IPS — 22083-0, 21920-0, 31239-1 и 31239-0.

Для борьбы с новой уязвимостью, позволяющей удаленное выполнение кода и описанной в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution мы также провели целый ряд исследований, результатом которых стал выпуск соответствующих бюллетений, рекомендация и сигнатур:

При этом в последнем случае идентифицировать данную угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая в одном из командных серверов «Красного Октября», также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры уже доступны для пользователей Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.

Указанные ресурсы для борьбы с «Красным Октябрем» — это только один пример активности экспертов Cisco SIO, в круглосуточном режиме работающих для защиты информационных систем и сетей наших заказчиков. На уже упомянутом выше портале вы сможете регулярно получать информацию следующего характера:

  • Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые могут иметь потенциально серьезные последствия для устройств, приложений и сетей заказчиков.
  • Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) обеспечивает описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
  • IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
  • IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое «раннее предупреждение» об угрозе, ее анализ и разбор потенциальных последствий.
Реклама

Новая серия систем предотвращения вторжений Cisco IPS 4500

Не успели мы в марте анонсировать системы предотвращения вторжений Cisco IPS 4300 (бюллетень), а затем и системы предотвращения вторжений для систем управления технологическими процессами (АСУ ТП), как новый анонс — новая линейка средств по отражению атак — Cisco IPS 4500. Эта мультигигабитная система нейтрализации вторжений ориентирована на защиту центров обработки данных, предъявляющих особые требования к системам защиты — высокую производительность, надежность, поддержку специфических протоколов, в т.ч. и прикладных.

Cisco IPS 4500

Cisco IPS 4500 представлена двумя моделями — Cisco IPS4510 и 4520, отличающихся производительностью (5 и 10 Гбит/сек соответственно), а также максимальным числом соединений (3.800.000 и 8.400.000 соответственно). Каждая модель оснащена 6-тью портами 10/100/1000 Мбит/сек и 4-мя портами на 1 или 10 Гбит/сек.  На следующих иллюстрациях показаны основные отличия этих двух моделей.

Программное обеспечение Cisco IPS 4500 не отличается от всех остальных моделей систем предотвращения вторжений. Они могут обнаруживать несанкционированные действия по сигнатурам и по подозрительному поведению, отслеживать атаки на приложения и на сетевые сервисы, включая и атаки APT. Cisco IPS 4500 может быть полностью автономной, а может быть активно вовлечена в систему глобальной корреляции. Для снижения нагрузки на подсистему идентификации атак Cisco IPS умеет отсекать лишнее, используя репутационные технологии или черные списки адресов, которые можно блокировать со 100%-ой уверенностью. Для борьбы с попытками обхода системы предотвращения вторжений используются спецализированные подхода (Anti-Evasion), а за счет механизма пассивного определения ОС и поддержки рейтинга рисков и рейтинга угроз нагрузка на оператора системы IPS снижается многократно путем многократного снижения числа ложных срабатываний. Для облегчения внедрения используется механизм профилей, которые содержат предустановленные наборы угроз (для ЦОДов, для периметра, для высокоагрессивных сред и т.д.).

После анонса 12 сентября портфолио Cisco в области средств предотвращения вторжений выглядит следующим образом:

Новые системы предотвращения вторжений Cisco IPS 4300

Сегодня мы анонсируем еще несколько новых продуктов в области информационной безопасности — это две новых модели Cisco IPS 4300 — IPS 4345 и IPS 4360. Обе базируются на совершенно новой аппаратной платформе, на которой работают и недавно анонсированные 5 новых Cisco ASA 5500-X. Отличительными особенностями новой платформы являются:

  • ядро, ориентированное на многопроцессорность и многоядерность, а также на 64-хбитную архитектуру
  • аппаратный ускоритель обработки трафика для целей обнаружения вторжения
  • поддержка Jumbo frame
  • мониторинг функционирования (контроль температуры, вольтажа, работоспособности вентиляторов и т.д.).

Производительность данной платформы составляет от 400 Мбит/сек до 2 Гбит/сек в зависимости от типа анализируемого трафика. Задержка не превышает 100 мс для IPS 4360 и 200 мс для IPS 4345. Управление данными новыми моделями такое же как и для любых других платформ и моделей Cisco IPS — Cisco Security Manager (для управления множеством сенсоров или комплексной системой защиты на базе Cisco IPS, Cisco ASA, NME-RVPN, Cisco ISRи т.п.), Cisco IPS Device Manager, Cisco IPS Manager Express и интерфейс командной строки (CLI).

Продукт уже доступен к заказу. Краткая презентация по данному решению показана ниже. Более подробная информация (пока на русском языке) может быть найдена на официальной странице Cisco IPS 4300.

Также хочу напомнить, что на новых платформах Cisco ASA 5500-X, анонсированных совсем недавно, может быть также запущена система предотвращения вторжений Cisco IPS, работающее в виде программного модуля (виртуального сенсора). Таким образом, наряду с двумя новыми Cisco IPS 4345 и Cisco IPS 4360, а также пятью виртуальными Cisco IPS на базе Cisco ASA 5500-X, Cisco в этом месяце анонсировала целых 7 новых моделей систем предотвращения вторжений!

Cisco Security Operations изнутри

Всю работу делают автоматические инструменты, но только люди способны все изменить.

В своей продолжающейся битве против новых угроз IT безопасности, Cisco собрала армию из 500 инженеров, техников и исследователей, которые расположены в 11 центрах по всему миру, задача которых состоит в том, чтобы анализировать угрозы и делать все возможное для того, чтобы избежать их так быстро, как это только возможно.

Ядро распределенной системы Cisco – это центры обработки угроз (Threat Operations Centers, TOC), один из которых расположен в непримечательном офисе неподалеку от Остина, штат Техас, который недавно посетил NetworkWorld

Количество данных, относящихся к безопасности, которые поступают в TOC просто потрясают. «Я никогда не просыпался утром и думал, что у меня недостаточно данных. Я часто просыпаюсь по утрам и думаю, что мы будем делать со всеми этими данными?» — говорит Раш Карскадден, менеджер продуктов в Cisco Security Technology Business Unit.

Задача, которая делит перед Рашем и его коллегами – обработка данных в соответствии с контекстом. Помещение данных в контекст сейчас является критичной задачей для обнаружения и остановки угроз, которые становятся все более сложными и многонаправленными. Смешанные угрозы не новы, но они распространенность и серьезность их постоянно растут.

«Сейчас мы наблюдаем смешанные угрозы, которые действуют так же разумно, как и очень хороший человек-тестировщик» — говорит Карскадден. Имеется в виду, что они терпеливые, внимательные и настойчивые. «Настоящий сюрприз состоит в том, до какой степени и с какой сложностью они автоматизированы» Продолжить чтение этой записи

Как писать собственные сигнатуры для Cisco IPS

11 лет назад я написал свою первую книгу — «Обнаружение атак», которая сразу стала бестселлером и пережила два переиздания на русском и одно на английском языке. В этой книге я рассматривал различные аспекты, связанные с обнаружением атак — от концепций и алгоритмов, заложенных в IDS/IPS (intrusion detection/prevention systems), до особенностей внедрения и критериев выбора такого рода защитных решений. Одним из таких критериев, который отражает гибкость системы обнаружения вторжений и ее возможность обнаруживать еще неизвестные атаки, была возможность создания собственных сигнатур. Такая возможность есть и в решениях Cisco IPS.

Согласно отчетам многих аналитических агентств решение по обнаружению вторжений от компании Cisco является лидером этого сегмента рынка. Однако с угрозами ситуация становится все хуже и хуже. 0-Day, APT и другие примеры несанкционированных действий усложняют жизнь служь информационной безопасности. Именно поэтому 4 эксперта нашего исследовательского подразделения Cisco SIO, подготовили подробное руководство «Writing Custom Signatures for the Cisco Intrusion Prevention System«, дающее нашим заказчикам возможность самостоятельно создавать сигнатуры для любой из наших платфор Cisco IPS — отдельные устройства Cisco IPS 4200, модуль в маршрутизаторы Cisco IPS AIM и IPS NME, модули в Cisco ASA — AIP SSM, встроенную в IOS подсистему обнаружения вторжений Cisco IOS IPS.

С помощью данного руководства наши заказчики смогут не только создать свои собственные сигнатуры или внедрить в Cisco IPS сигнатуры, созданные другими пользователями, но и конвертировать сигнатуры для популярной бесплатной системы обнаружения атак Snort в сигнатуры для Cisco IPS. В конечном итоге данное руководство позволит вам повысить уровень защищенности своих корпоративных и ведомственных сетей.