Perché nessun firewall ha catturato il malware di fuoco che ha sottratto tutti questi dati? Pensavo che esistesse un software firewall che cercasse attività "sospette"?
Al livello base Firewall è un dispositivo che applica criteri di sicurezza guardando l'intestazione del pacchetto. I firewall non sono fatti per guardare il carico utile del pacchetto.
L'industria IT ha diviso la responsabilità di firewalling e IDS / IPS in due dispositivi separati a causa di considerazioni e complessità delle prestazioni. Alcuni dei firewall più recenti possono fare entrambi, ma non hanno la capacità completa di esaminare ogni payload di ogni pacchetto per ogni minaccia nota o sconosciuta. La loro abilità è limitata a causa di considerazioni sulle prestazioni. Quindi un firewall non può segnalare ogni cosa sospetta.
Malware, virus e worm risiedono nel payload del pacchetto anche se quel pacchetto potrebbe essere conforme alla regola di sicurezza del firewall e il firewall lo consentirà.
IDS / IPS ha il ruolo di esaminare ogni payload, sia per "Pattern matching" o "Anomaly based".
La corrispondenza del modello si basa su modelli di bit corrispondenti nel carico utile a un insieme di firme (o definizioni). I firewall non lo fanno. Per rilevare la fiamma, il fornitore IDS / IPS deve fornire una firma per rilevarlo.
Basato sull'anomalia sta confrontando il comportamento sospetto con il comportamento normale appreso di quell'applicazione in passato. Di nuovo i firewall non possono farlo. Per rilevare la fiamma, IDS / IPS deve prima imparare il comportamento normale. Il fornitore IDS / IPS deve fornire un aggiornamento del dispositivo per il comportamento della fiamma.
Gli IDS / IPS basati su host possono fare un ottimo lavoro nell'identificazione e nell'arresto di una minaccia sconosciuta. Ad esempio, gli agenti Cisco CSA sono in grado di rilevare e arrestare una minaccia sconosciuta poiché monitora molto attentamente il comportamento dei processi del sistema.
Questa è un'ottima domanda. La risposta di Will è accurata per quanto riguarda i firewall. Un'altra parte dell'equazione è il motivo per cui non sono stati rilevati sistemi di prevenzione delle intrusioni (IDS / IPS)?
La mia conoscenza di prima mano è limitata alla soluzione IPS di Cisco, ma sono sicuro che la maggior parte di loro funziona in modo simile. Possono essere configurati per la scansione del traffico in uscita e in entrata, ma si basano sulle firme per il profilo e il traffico corrispondente che vengono aggiornati regolarmente, proprio come le definizioni anti-virus. Fintanto che Flame era una minaccia sconosciuta, non c'erano aggiunte di firme per contrastare il suo traffico. Ora che è noto, sono sicuro che ci saranno aggiornamenti che lo rileveranno.
Ci sono alcuni prodotti IPS / IDS che pretendono di funzionare "euristicamente" e possono catturare "zero-day" o nuovi exploit. Dato il livello di sofisticazione usato dal malware Flame, sto supponendo che i suoi creatori abbiano semplicemente acquistato campioni di sistemi euristici IPS e messo a punto il malware per evitare il rilevamento testandolo contro l'attrezzatura del mondo reale. A questo punto è abbastanza chiaro che un governo nazionale con risorse serie è stato coinvolto in modo tale che una sorta di spesa non è improbabile.
C'è una serie di motivi:
Si potrebbe sostenere che con sufficienti capacità di analisi del registro (risorse e strumenti [SEIM]), la minaccia avrebbe potuto essere rilevata. In pratica, probabilmente sarebbe stato perso tra le masse.
La maggior parte dei firewall moderni sono "stateful" - non permetteranno agli estranei di entrare nella tua rete A MENO CHE tu abbia inviato qualcosa a quell'esterno FIRST. Molti firewall (come il firewall del software Win7) rilevano i programmi che inviano informazioni e chiedono se si desidera realmente che il programma invii informazioni.
Molte persone disattivano i firewall, o semplicemente fanno clic su "sì" senza rendersi conto di quello che stanno facendo, o non hanno nemmeno un computer con un firewall ...
Ricordate che l'unico computer sicuro è quello senza elettricità, l'anello più debole nella sicurezza del computer è l'interfaccia tastiera / poltrona.
Vale anche la pena di notare che i computer mirati non erano necessariamente protetti da un firewall perché erano protetti da un vuoto d'aria (cioè non connesso a Internet). Flame non si è solo trasferito sui computer target tramite unità USB, ha anche ottenuto i suoi dati da quei computer tramite unità USB .