Сетевые атаки: задуман контрудар?
В поисках средства, способного автоматизировать процедуру идентификации сетевой атаки и противодействия ей, объединились 80 крупных компаний, работающих в телеком-отрасли. Новое ПО, испытания которого уже ведутся, будет «паспортизировать» атаки, позволяя по их характерным признакам добраться до самого «логова». Важной особенностью нового проекта является широкомасштабный обмен данными между участниками цифровой «паспорт» каждого инцидента будет передаваться всем остальным. Затем накопленные данные будут передаваться правоохранительным органам, которые смогут выяснить в ходе расследования, кто именно стоит за атаками того или иного рода.Как сообщает ВВС, среди компаний, ставших абонентами новой системы, MCI, British Telecom, Deutsche Telecom, Energis, NTT, Bell Canada, Asia Netcom, а также множество других. Инициатором создания этой системы выступила американская Arbor Networks.
В настоящее время преступники все шире используют для организации сетевых атак на сайты, распространения «червей» и спама обширные сети, состоящие из предварительно инфицированных дистанционно управляемых компьютеров. «Доводилось наблюдать атаки, объемы трафика при которых достигали и пяти, и десяти гигабайт, говорит Роб Поллард (Rob Pollard), директор по продажам компании Arbor Networks. Атаки такого рода по мере распространения по интернету к своей цели наносят еще и побочный вред другим».
Как только система идентифицирует начавшуюся атаку и определит ее характерные параметры, эта информация будет передана во все потенциально затронутые атакой сети. Это поможет вовремя поставить в известность всех участников системы и вернуть им контроль над ситуацией.
«Мы стремимся помочь компаниям, предоставляющим сетевые услуги, обмениваться информацией друг с другом и благодаря этому шаг за шагом добираться до ее источника, где бы он ни находился», говорит
Принцип работы системы, предложенный Arbor Networks, заключается в построении подробной истории трафика в сети. Таким образом, становится возможным определить, какие компьютеры или группы пользователей постоянно контактируют друг с другом, и какой тип трафика циркулирует между машинами или рабочими группами.
Сравнение текущего трафика с его предысторией позволяет своевременно выявить проявление любых его аномалий, поставив в известность сетевого администратора, который сможет принять окончательное решение и, при необходимости, вовремя предпринять необходимые меры противодействия. Такой метод выявления атак обретает все большую популярность по мере того как в них начинают принимать участие сотни и тысячи различных компьютеров. При этом важную роль играет возможность сравнения значительных массивов данных по большому количеству машин, рабочих групп и сетей анализ трафика отдельной машины зачастую не позволяет «разглядеть» за непонятной аномалией широкомасштабную, синхронизированную и управляемую извне атаку.
«Атаки становятся все более рассеянными и все более хитроумными, констатирует Малкольм Сигрэйв (Malcolm Seagrave), эксперт по вопросам безопасности компании Energis. В последние 12 месяцев стало особенно заметным, что они являются делом рук преступных элементов, и что мы наблюдаем значительный их рост». По его словам, аспекты обеспечения конфиденциальности внутренней информации зачастую препятствовали распространению информации об атаках в должном объеме в уже существующих системах. Однако наглость преступников заставляет вносить коррективы и этот Рубикон, похоже, уже перейден.