17-18 мая Stonesoft устраивал Hack the Lab в Хельсинки. По сути мероприятие состояло из 2-х частей:
- Непосредственно мастер-класс Hack the Lab
- Тестирование стенда Predator 4
Мастер-класс проходил в лаборатории, где 4 команды по 2 человека пытались добраться до «секретных» рецептов ;-) . Процесс сего действа я освещал (с фотографиями) в твиттере.
Мастер-класс моделировал ситуацию взлома сайта с целью поиска номеров кредитных карт клиентов и конфиденциальных документов. Нужно было проходить многоуровневую защиту, запускать различные эксплоиты и т.п. ;-) . Вся наша активность фиксировалась StoneGate'ом в реальном времени, логи выводились на экран. Не смотря на очевидную простоту задания, проблемы испытывали все участники. Как сказал один из коллег: «Хорошо, что никто из знакомых не видит какие глупости я сейчас делаю ;-) …». Но в результате с разной степенью успешности с заданием справились все.
По словам организаторов, такой мастер-класс рассчитан на руководителей ИБ, чтобы они вспомнили, техническую сторону вопроса.
Вторая часть мероприятия проходила уже на следующий день. Тестировать Predator 4 оказалось довольно занятно. В довольно дружественном интерфейсе можно выбрать конкретное оборудование, настройки и параметры для обхода IPS. В режиме реального времени можно отслеживать реакции IPS от разных вендоров на ту или иную сетевую активность. Удобство заключается в том, что этот стенд наглядно демонстрирует, как использование той или иной техники обхода помогает известным эксплоитам проходить IPS. Посмотрев все это на стенде мое представление о маркетинговой фишке под названием Динамические техники обхода (АЕТ – AdvancedEvasionTechniques) поменялось. Видимо маркетологи, которые 2 года назад начали продвигать эту идею, сами не понимали что это такое. От того и делали ролики непонятного содержания вроде этого, которые не разъясняют, а только запутывают.
AET – это техники, которые применяются совместно с сетевыми атаками, с целью обхода систем защиты. Идея заключается в том, что даже известные эксплоиты, которые легко ловятся всеми известными IPS, могут проходить эти же IPS при использования тех самых динамических техник обхода. AET основываются на комбинировании разных типов/тактик обхода, которые работают на разных сетевых уровнях и в разных протоколах. Хороший ролик с демонстрацией прошлой версии Predator есть тут:
Мне сложно оценивать насколько активно сейчас злоумышленники используют динамические техники обхода. Однако организаторы неоднократно давали понять, что громкие взломы последних лет происходили у компаний, которые крайне серьезно относятся к ИБ в целом, и сетевой безопасности в частности. Тем самым намекая, что, скорее всего именно такие техники использовались в этих случаях. Поэтому одним из своих конкурентных преимуществ Stonesoft видит именно в проработку AET.
Пользуясь случаем, я задал провокационный вопрос главе группы по анализу уязвимости Stonesoft Olli-Pekka Niemi, которые исследует техники обхода. Вопрос заключался в том, какие, по его экспертному мнению, IPS лучшие, а какие худшие в свете AET. Ответ был довольно интересный. Самыми худшими он назвал решения от McAfee, Palo Alto, и, в зависимости от настроек, Sourcefire. К средней категории он отнес решения Cisco, Juniper, Checkpoint, ну а самым хорошим естественно был назван StoneGate.
В целом мероприятие оказалось интересным и полезным. Всегда интересно поговорить с людьми, которые непосредственно своими руками создают современные продукты безопасности. Другие вендоры, по каким-то своим причинам пока показывают рынку только своих пресейлов и продавцов. Будем надеяться, что наш рынок продолжит свое «взросление», и такие мероприятия будут проводиться все чаще.
P.S. Помимо самой программы было интересно пообщаться с коллегами на отвлеченные темы. В частности обсудили опубликованное исследование IDC, в котором сообщается о росте рынка аппаратных решений ИБ на 73%. Во-первых непонятно, что понимается под аппаратными решениями. Софт, который продается к железу, учитывается в исследовании? Если да, то какой именно, если нет, то при чем тут «аппаратные» решения и как они смогли оценить рынок, ведь у некоторых вендоров софт включен в цену железа, а у некоторых продается отдельными лицензиями. Во-вторых, очень сомнительным выглядит перечень из пяти компаний, «которые контролируют более 70% рынка». Ну и, в-третьих, и самое главное, откуда взялась цифра в 73% роста рынка? Очевидно, что рост был, но 73%... это как? Откуда взялись внедренцы под практически двукратный рост рынка? Непонятно...
За фотки — пожалуйста =)
Не хватило для публикации?