Raport specjalny: Konfrontacja z rzeczywistością Test systemów wykrywania zagrożeń „następnej generacji”

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

Czy ekscytacja tak zwanymi systemami bezpieczeństwa "następnej generacji" jest uzasadniona? Wyniki najnowszych, niezależnych testów wskazują, że w wielu prz ypadkach następna generacja systemów wykrywania zagrożeń znajduje się daleko z tyłu za namierzanymi i zaawansowanymi atakami generacji obecnej.

W rezultacie urządzenia firewall, systemy zapobiegania zagrożeniom oraz webowe bramy sieciowe, promowane obecnie jako produkty „następnej generacji”, mogą być nieadekwatnie wyposażone w kontekście skutecznego, natychmiastowego wykrywania i unieszkodliwiania najbardziej zaawansowanych ataków wymierzonych w użytkowników. Sytuacja ta opisana została w raporcie z testów przeprowadzonych przez niezależne laboratorium certyfikacyjne Miercom w Princeton, New Jersey (kopia raportu firmy Miercom dostępna na stronie http://www.websense. com/proveit). Główny problem to fakt, że w rzeczywistym środowisku dzisiejszych sieci korporacyjnych nawet najnowsza generacja urządzeń bezpieczeństwa nie jest w stanie wykryć ataków zanim dokonają szkód.

Następna generacja testu skuteczności bezpieczeństwa

Historia pokazuje, że większość testów skuteczności bezpieczeństwa przeprowadzana jest w ten sam sposób: testerzy wykorzystują próbkę zawierającą znane zagrożenia i obserwują ilość zagrożeń wykrywanych przez dane rozwiązanie bezpieczeństwa. Wynikiem takich „zamkniętych” ataków testowych przeprowadzanych w połączeniu ze znanymi sygnaturami są z reguły dość oczywiste, nietypowo wysokie współczynniki skutecznego wykrywania zagrożeń, które w żaden sposób nie odpowiadają stanowi faktycznemu, obserwowanemu w prawdziwych sieciach. Niestety w realnych środowiskach sieci korporacyjnych zagrożenia nie ogłaszają swojej obecności, ani nie zostawiają wizytówek. Aby uzyskać odpowiedni poziom bezpieczeństwa, organizacje muszą wdrażać rozwiązania zapewniające ochronę przed znanymi oraz nieznanymi zagrożeniami – w tym eksploitami zero-day, atakami spear-phishing oraz namierzanymi atakami synchronizowanymi, jak również przed wabikami i przekierowaniami ukrytymi w mediach społecznościowych. Samo powstrzymywanie znanych zagrożeń – to jest zagrożeń posiadających znaną sygnaturę, reputację lub o znanym punkcie docelowym – nie jest już wystarczającym rozwiązaniem.

Potrzebny jest zatem nowy test skuteczności systemu bezpieczeństwa, taki, który mierzyłby zdolność systemu do zapewniania ochrony przed prawdziwymi zagrożeniami w rzeczywistych środowiskach sieciowych. Aby precyzyjnie odzwierciedlić „zwykły dzień” w rzeczywistej sieci korporacyjnej, test ten musiałby rozpocząć się od wygenerowania dużej próbki transmisji web o nieznanej charakterystyce. Dałoby to każdej bramie sieciowej, urządzeniu firewall lub rozwiązaniu następnej generacji równą szansę analizy, klasyfikacji oraz blokowania zagrożeń w czasie rzeczywistym, dokładnie w taki sposób w jaki miałoby to miejsce, gdyby rozwiązania te zainstalowane zostały w rzeczywistej sieci korporacyjnej w celu zabezpieczania użytkowników przed zagrożeniami web.

Firma Miercom opracowała i przeprowadziła taki test w styczniu 2013 r. z wykorzystaniem zestawu danych złożonego z 2,2 mln żądań web nieznanego typu. Był to największy test takiego rodzaju kiedykolwiek przeprowadzony w branży bezpieczeństwa informatycznego. Najistotniejsze wyniki, opublikowane w raporcie na luty 2013 r., przedstawiają się następująco:

  • Brama sieciowa Websense® Web Security Gateway Anywhere wykorzystująca architekturę Websense TRITON™ wykryła i powstrzymała 132 111 zagrożeń – największą liczbę spośród wszystkich dostawców objętych testem.
  • McAfee powstrzymał niewiele ponad połowę tej liczby (78 452), za nim uplasował się Blue Coat (54 507), Cisco (17 281), Palo Alto Networks (3624) oraz FireEye, który zamyka stawkę ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI