¿Por qué el malware de la llama no fue marcado por los firewalls?

4

¿Por qué ningún servidor de seguridad detectó el malware de la llama que extrae toda esa información? Pensé que había un software de firewall que busca actividad "sospechosa"?

    
pregunta John 12.06.2012 - 22:54
fuente

5 respuestas

6

En el nivel muy básico, el Firewall es un dispositivo que aplica una política de seguridad mirando el encabezado del paquete. Los firewalls no están diseñados para observar la carga útil del paquete.

La industria de TI ha dividido la responsabilidad de los cortafuegos e IDS / IPS en dos dispositivos separados debido a la complejidad y las consideraciones de rendimiento. Algunos de los últimos firewalls pueden hacer ambas cosas, pero no tienen la capacidad completa de examinar cada carga útil de cada paquete para cada amenaza conocida o desconocida. Su capacidad es limitada debido a consideraciones de rendimiento. Por lo tanto, un firewall no puede marcar cada cosa sospechosa.

Malwares, virus, gusanos residen en la carga útil del paquete a pesar de que ese paquete podría cumplir con la regla de seguridad de ese firewall, y el firewall lo permitirá.

IDS / IPS tiene la función de examinar cada carga útil, ya sea mediante "Coincidencia de patrones" o "Basada en anomalías".

La coincidencia de patrones se basa en la combinación de patrones de bits en la carga útil con un conjunto de firmas (o definiciones). Los cortafuegos no hacen esto. Para detectar la llama, el proveedor de IDS / IPS debe proporcionar una firma para detectarla.

Las anomalías basadas en la comparación comparan el comportamiento sospechoso con el comportamiento normal aprendido de esa aplicación en el pasado. Nuevamente los firewalls no pueden hacer esto. Para detectar llamas, IDS / IPS tiene que aprender primero el comportamiento normal. El proveedor de IDS / IPS debe proporcionar una actualización al dispositivo para el comportamiento de la llama.

El IDS / IPS basado en host puede hacer un muy buen trabajo para identificar y detener una amenaza desconocida. Por ejemplo, los agentes de Cisco CSA pueden detectar y detener una amenaza desconocida porque controla el comportamiento de los procesos del sistema muy de cerca.

    
respondido por el Kapish M 13.06.2012 - 09:00
fuente
6

Esa es una muy buena pregunta. La respuesta de Will es precisa en cuanto a los cortafuegos. Otra parte de la ecuación es ¿por qué los sistemas de prevención de intrusiones (IDS / IPS) no lo detectaron?

Mi conocimiento de primera mano se limita a la solución IPS de Cisco, pero estoy seguro de que la mayoría funciona de manera similar. Se pueden configurar para analizar el tráfico saliente y el tráfico entrante, pero se basan en firmas para perfilar y hacer coincidir el tráfico que se actualiza con regularidad, al igual que las definiciones de antivirus. Mientras Flame era una amenaza desconocida, no se agregaron firmas para igualar su tráfico. Ahora que se sabe, estoy seguro de que hay actualizaciones que lo detectarán.

Hay algunos productos IPS / IDS que dicen funcionar "heurísticamente" y pueden detectar "día cero" o nuevos ataques. Dado el nivel de sofisticación utilizado por el malware Flame, estoy suponiendo que sus creadores simplemente compraron muestras de sistemas IPS heurísticos y ajustaron el malware para evitar su detección al probarlo con equipos reales. Es bastante claro en este punto que un gobierno nacional con recursos serios estuvo involucrado, por lo que ese tipo de gasto no es improbable.

    
respondido por el DanInMN 13.06.2012 - 00:16
fuente
5

Hay varias razones:

  • Los cortafuegos tradicionalmente solo son conscientes de la Capa 3; proporcionado el origen / destino / puerto / protocolo coincide con una política permitida, el el tráfico debe ser permitido El contenido de los datos / carga útil no importa.
  • IPS / IDS se basan en firmas y la efectividad varía, las otras respuestas lo explican bien.
  • Flame usa SSL & Túneles SSH para cifrar el tráfico en tránsito. A no ser que estos controles de seguridad están configurados para MITM, descifrar e inspeccionar; no tendrán visibilidad de los datos que se están exfiltrando.
  • Los productos DLP son posiblemente la mejor opción, ya que deberían configurarse para buscar información específica de negocios que pueda haber sido capturada con el descifrado del tráfico. Sin embargo, la efectividad de estos productos aún varía.

Podría argumentar que con suficientes capacidades de análisis de registro (recursos y herramientas [SEIM]), la amenaza podría haberse detectado. En la práctica, probablemente se habría perdido entre las masas.

    
respondido por el lew 13.06.2012 - 16:26
fuente
2

La mayoría de los firewalls modernos son "con estado": no permitirán que personas externas entren a su red A MENOS QUE usted haya enviado algo a esa persona externa PRIMERO. Muchos firewalls (como el firewall del software Win7) detectarán los programas que envían información y le preguntarán si realmente desea que el programa envíe información.

Muchas personas apagan los firewalls, o simplemente hacen clic en "sí" sin darse cuenta de lo que están haciendo, o incluso no tienen una computadora que tenga un firewall ...

Recuerde que la única computadora segura es la que no tiene electricidad, el vínculo más débil en la seguridad informática es la interfaz teclado / silla.

    
respondido por el Will 12.06.2012 - 23:30
fuente
1

También vale la pena señalar que las computadoras específicas no estaban necesariamente protegidas por un firewall porque estaban protegidas por un espacio de aire (es decir, que no estaban conectadas a Internet en absoluto). Flame no solo se instaló en las computadoras de destino a través de unidades USB, también obtuvo sus datos de esas computadoras a través de unidades USB .

    
respondido por el Major Major 17.06.2012 - 21:54
fuente

Lea otras preguntas en las etiquetas