Raport specjalny: Konfrontacja z rzeczywistością Test systemów wykrywania zagrożeń „następnej generacji”

W rezultacie urządzenia firewall, systemy zapobiegania zagrożeniom oraz webowe bramy sieciowe, promowane obecnie jako produkty „następnej generacji”, mogą być nieadekwatnie wyposażone w kontekście skutecznego, natychmiastowego wykrywania i unieszkodliwiania najbardziej zaawansowanych ataków wymierzonych w użytkowników. Sytuacja ta opisana została w raporcie z testów przeprowadzonych przez niezależne laboratorium certyfikacyjne Miercom w Princeton, New Jersey (kopia raportu firmy Miercom dostępna na stronie http://www.websense. com/proveit). Główny problem to fakt, że w rzeczywistym środowisku dzisiejszych sieci korporacyjnych nawet najnowsza generacja urządzeń bezpieczeństwa nie jest w stanie wykryć ataków zanim dokonają szkód.

Następna generacja testu skuteczności bezpieczeństwa

Historia pokazuje, że większość testów skuteczności bezpieczeństwa przeprowadzana jest w ten sam sposób: testerzy wykorzystują próbkę zawierającą znane zagrożenia i obserwują ilość zagrożeń wykrywanych przez dane rozwiązanie bezpieczeństwa. Wynikiem takich „zamkniętych” ataków testowych przeprowadzanych w połączeniu ze znanymi sygnaturami są z reguły dość oczywiste, nietypowo wysokie współczynniki skutecznego wykrywania zagrożeń, które w żaden sposób nie odpowiadają stanowi faktycznemu, obserwowanemu w prawdziwych sieciach. Niestety w realnych środowiskach sieci korporacyjnych zagrożenia nie ogłaszają swojej obecności, ani nie zostawiają wizytówek. Aby uzyskać odpowiedni poziom bezpieczeństwa, organizacje muszą wdrażać rozwiązania zapewniające ochronę przed znanymi oraz nieznanymi zagrożeniami – w tym eksploitami zero-day, atakami spear-phishing oraz namierzanymi atakami synchronizowanymi, jak również przed wabikami i przekierowaniami ukrytymi w mediach społecznościowych. Samo powstrzymywanie znanych zagrożeń – to jest zagrożeń posiadających znaną sygnaturę, reputację lub o znanym punkcie docelowym – nie jest już wystarczającym rozwiązaniem.

Potrzebny jest zatem nowy test skuteczności systemu bezpieczeństwa, taki, który mierzyłby zdolność systemu do zapewniania ochrony przed prawdziwymi zagrożeniami w rzeczywistych środowiskach sieciowych. Aby precyzyjnie odzwierciedlić „zwykły dzień” w rzeczywistej sieci korporacyjnej, test ten musiałby rozpocząć się od wygenerowania dużej próbki transmisji web o nieznanej charakterystyce. Dałoby to każdej bramie sieciowej, urządzeniu firewall lub rozwiązaniu następnej generacji równą szansę analizy, klasyfikacji oraz blokowania zagrożeń w czasie rzeczywistym, dokładnie w taki sposób w jaki miałoby to miejsce, gdyby rozwiązania te zainstalowane zostały w rzeczywistej sieci korporacyjnej w celu zabezpieczania użytkowników przed zagrożeniami web.

Firma Miercom opracowała i przeprowadziła taki test w styczniu 2013 r. z wykorzystaniem zestawu danych złożonego z 2,2 mln żądań web nieznanego typu. Był to największy test takiego rodzaju kiedykolwiek przeprowadzony w branży bezpieczeństwa informatycznego. Najistotniejsze wyniki, opublikowane w raporcie na luty 2013 r., przedstawiają się następująco:

• Brama sieciowa Websense® Web Security Gateway Anywhere wykorzystująca architekturę Websense TRITON™ wykryła i powstrzymała 132 111 zagrożeń – największą liczbę spośród wszystkich dostawców objętych testem.
• McAfee powstrzymał niewiele ponad połowę tej liczby (78 452), za nim uplasował się Blue Coat (54 507), Cisco (17 281), Palo Alto Networks (3624) oraz FireEye, który zamyka stawkę ...