Защита от сетевых атак

Обзор Kaspersky Internet Security. Комплексная защита для всех устройств и пользователей

Каждую такую статью стоит начинать с мнения, что антивирус сегодня никому не нужен. Но я не могу с этим согласиться. Ведь даже при соблюдении базовой гигиены и правильных настроек безопасности системы сложно избежать заражения ПК.

Существует много дополнительных факторов, которые потенциально могут привести к заражению системы: ваша активность в сети, невнимательность к посещаемым ресурсам, уязвимости нулевого дня и многое другое.

Но нужно признать, что далеко не все умеют управлять политиками безопасности и не каждый может отличить фишинговую ссылку от реальной. Да и злоумышленники постоянно адаптируют свои тактики под актуальные методы защиты и события, а сами атаки становятся всё изощрённее. Это означает, что подхватить вирус для обычного пользователя — секундное дело.

А ведь современные антивирусы защищают компьютер не только от заражения, но и многих других угроз. Поэтому в этой статье я расскажу про Kaspersky Internet Security. Ведь я и сам им пользуюсь ещё со времен «хрюшки» на озвучке.

Введение

Сетевые атаки с каждым годом становятся изощреннее и приносят серьезный финансовый и репутационный ущерб. Атака поражает все коммуникации и блокирует работу организации на продолжительный период времени. Наиболее значимые из них были через вирусов шифровальщиков в 2017 году — Petya и Wanna Cry. Они повлекли за собой миллионные потери разных сфер бизнеса по всему миру и показали уязвимость и незащищенность сетевой инфраструктуры даже крупных компаний. Защиты от сетевых атак просто не было предусмотрено, в большинстве организаций информационная безопасность сводилась в лучшем случае к установке антивируса. При этом с каждым днем их видов становится на сотни больше и мощность от последствий только растет. Как же защитить бизнес от таких киберинцидентов, какие программы для этого существуют, рассмотрим в этой статье.

Разновидностей сетевых атак появляется все больше, вот только наиболее распространенные, с которыми может столкнуться как малый бизнес, так и крупная корпорация, разница будет только в последствиях и возможностях их остановить при первых попытках внедрения в сетевую инфраструктуру:

Сетевая разведка — сведения из сети организации собирают с помощью приложений, находящихся в свободном доступе. В частности, сканирование портов — злоумышленник сканирует UDP- и TCP-порты, используемые сетевыми службами на атакуемом компьютере, и определяет уязвимость атакуемого компьютера перед более опасными видами вторжений;

IP-спуфинг — хакер выдает себя за легитимного пользователя;

Mail Bombing — отказ работы почтового ящика или всего почтового сервера;

DDоS-атака — отказ от обслуживания, когда обычные пользователи сайта или портала не могут им воспользоваться;

Man-in-the-Middle — внедрение в корпоративную сеть с целью получения пакетов, передаваемых внутри системы);

XSS-атака — проникновение на ПК пользователей через уязвимости на сервере;

Фишинг — обман путем отправки сообщений с якобы знакомого адреса или подмена знакомого сайта на фальшивую копию.

Применение специализированных приложений — вирусов, троянов, руткитов, снифферов;

Переполнение буфера — поиск программных или системных уязвимостей и дальнейшая провокация нарушение границ оперативной памяти, завершение работы приложения в аварийном режиме и выполнение любого двоичного кода.

Атаки-вторжения — сетевые атаки по «захвату» операционной системы атакуемого компьютера. Это самый опасный вид, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника.

Защита от сетевых атак строится на непрерывном мониторинге всего, что происходит в сети компании и мгновенном реагировании уже на первые признаки появления нелегитимных пользователей, открытых уязвимостей или заражений.

Модули Kaspersky Internet Security на различных устройствах

К основным принципам разработки продвинутого антивируса KIS лежит и возможность использования этого ПО на разных устройствах:

  • Kaspersky Internet Security для Windows 10, 8, 7 и более ранних версий. Включен стандартный антивирус, блокирующий действия вирусов, злоумышленников, скриптов с подозрительных сайтов, нежелательного ПО. Также доступен модуль по защите персональных данных во время серфинга, общения или электронного документооборота, в том числе связанного с финансовыми операциями. Есть функция родительского контроля.
  • KIS для ОС Android. Наряду с модулями для Windows имеется возможность обнаружения устройства, которое потеряно или украдено. Также организована специфика работы ПО в скрытом режиме, при это продолжается контроль не только пакетов данных от приложений и Интернет-ресурсов, но и при совершении вызовов и принятии коротких SMS.
  • KIS для устройств Apple. Совмещает в себе все модули защиты информации с уже известным комфортным доступом из магазина официальных приложений AppStore.

Как бесплатно пользоваться полной версией продукта Kaspersky Internet Security даже после 30 дней пробного периода

Способов продлевать активацию продуктов от Касперского «нехорошими» методами имеется несколько. Подробнее о них я рассказывал в своей статье про отдельный антивирус Касперского (ссылка на статью была в начале предыдущего раздела).

А сейчас рассмотрю всё тот же удобный для многих способ, о котором рассказывал в статье про Касперского – сброс 30 дневного периода и получение нового такого же.

Стоит иметь ввиду, что версии антивирусных программ постоянно обновляются (на данный момент последняя для Касперского– 2015), а следовательно, и способы «левой» активации тоже постоянно меняются и с выходом новых версий нужно искать новые способы взлома.

Предлагаемый сейчас способ подходит как для простого Антивируса Касперского версии 2015, так и для расширенного продукта Kaspersky Internet Security тоже версии 2015.

Скачиваем архив с мини-программой для сброса пробного периода по ссылке:

KRT-KAV-KIS-2015.zip
ZIP-архив
943 КБ
Пароль на распаковку архива: 123
Скачать

Обязательно выключите антивирусную защиту перед распаковкой архива, потому что антивирусы часто принимают файл из данного архива за угрозу! Это не так! Вирусов в архиве нет, это лишь программа, относящаяся ко взлому (в нашем случае – Касперского), а такой тип программ антивирусы очень часто блокируют.

Подробная инструкция со скриншотами о том, что нужно проделать для сброса пробного периода KIS или просто отдельного антивируса Касперского приложена в этом архиве. Потребуется перезагрузка компьютера, после чего вы сможете снова активировать 30-дневный период пользования полной версией продукта 🙂

Не забывайте делать это вовремя, поскольку по истечении 30 дней антивирусная защита и все компоненты перестают работать!

На этом сегодня всё 🙂 О фаерволах не заканчиваю и продолжение вас ждёт в следующей статье. В ней я расскажу о лучшем по разным критериям фаерволе – Comodo Firewall, который в добавок является бесплатным 😉

Удачи Вам! До скорого 😉

Сделай репост – выиграй ноутбук!

Каждый месяц 1 числа iBook.pro разыгрывает подарки.

  • Нажми на одну из кнопок соц. сетей
  • Получи персональный купон
  • Выиграй ноутбук LENOVO или HP

—> LENOVO или HP от 40-50 т.р., 8-16ГБ DDR4, SSD, экран 15.6″, Windows 10

1. Классификация сетевых атак

1.1. Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.

IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

1.3. Отказ в обслуживании (Denial of Service — DoS)

DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.

Наиболее известные разновидности DoS:

  • TCP SYN Flood Ping of Death Tribe Flood Network (TFN);
  • Tribe Flood Network 2000 (TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trinity.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS).

1.4. Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

1.5. Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

1.6. Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

1.7. Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

1.8. Злоупотребление доверием

Этот тип действий не является «атакой» или «штурмом». Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

1.9. Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.

1.10. Несанкционированный доступ

Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными». Источник таких атак может находиться как внутри сети, так и снаружи.

1.11. Вирусы и приложения типа «троянский конь»

Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.

Выводы

DDoS-атаки из одиночных инцидентов, о каждом из которых писали средства массовой информации, превратились в один из многих классов угроз для информационных систем бизнеса, применяющихся масштабно и каждодневно. Очевидно, что в настоящее время необходимо автоматизировать предотвращение подобных угроз и противодействие подобным атакам, на что и направлено решение Kaspersky DDoS Prevention.

Классификация DDoS-атак в настоящее время стабилизировалась. И злоумышленникам приходится уповать либо на то, что цель атаки не защищена, либо применять гибридные методы атак, новые методы усиления вредоносного трафика, изменять принципы организации бот-сетей и их объем, чтобы увеличить мощность атаки.

Сервис Kaspersky DDoS Prevention по своим характеристикам подойдет для большинства средних и крупных предприятий, поскольку учитывает особенности организации защищаемых информационных систем. Фильтрация трафика только во время отражения атаки снижает нагрузку на защищаемую инфраструктуру и делает стоимость сервиса Kaspersky DDoS Prevention выгоднее относительно конкурирующих решений.

Для работы Kaspersky DDoS Prevention нет необходимости постоянно включать в цепочку прохождения трафика дополнительные элементы (аппаратно-программные комплексы, программные агенты и пр.). Необходимо лишь зеркалировать трафик на сенсор «Лаборатории Касперского», который работает в стороне от основной инфраструктуры предприятия-клиента. Таким образом, при отсутствии атак, в режиме мониторинга, защищаемые ресурсы работают ровно по такой же схеме, как и без использования Kaspersky DDoS Prevention, что является несомненным плюсом. Ибо согласно известной истине, чем сложнее система, тем она менее стабильна.

Участие в мониторинге трафика специалистов «Лаборатории Касперского» делает подход к каждому клиенту индивидуальным. В частности, дежурные аналитики при необходимости оповещают технических специалистов своих клиентов о начале DDoS-атаки, а также в случае необходимости разрабатывают индивидуальные сигнатуры для фильтрации трафика. Также это позволяет оперативно работать с ложными срабатываниями Kaspersky DDoS Prevention, если они возникают.

В целом, организация сервиса Kaspersky DDoS Prevention позволяет ему постоянно развиваться согласно тому, как изменяются параметры DDoS-атак, не мешать нормальной работе защищаемых ресурсов и незаметно для бизнес-процессов отражать DDoS-атаки всех известных на сегодняшний день типов. Это решение в итоге легко масштабируется и изначально ориентировано на постоянное развитие сервиса на благо его пользователей.

Заключение

Я рассказал, как организован подход «Лаборатории Касперского» к обеспечению комплексной защиты, а также наглядно показал, как он реализуется на практике на примере использования Kaspersky EDR для бизнеса Оптимальный. В целом мне нравятся защитные продукты этого бренда. Я постоянно использую их на почтовых серверах Linux в качестве антиспама и антивируса.

В офисах мне приходилось использовать 3 современных антивируса — от «Лаборатории Касперского» и других известных антивирусных производителей. Лично мне бренд Kaspersky и его Security Center нравится больше всего. Но нужно учитывать, что он в сумме и стоит немного дороже. Хотя линейки продуктов, как и функционал, у всех разные, и в лоб не всегда получится адекватно сравнить цены. Тут уже каждый сам выбирает, на чем остановиться исходя из задач и бюджета.

Adblock
detector