Владимир Иванов привел пример внедрения Cisco ASA в американской медицинской компании, имеющей филиальную сеть по всей стране. После внедрения ASA было обнаружено до полуторамиллиона подключений к сети ботнета в месяц, наличие в сети узла, управляющего ботнетом и распространяющего вредоносный код.

В зале не было свободных мест

Затем в докладе было рассмотрено средство предотвращения вторжений Cisco IPS. Посредством глобальной корреляции IPS появляется возможность быстрого предотвращения распространения вредоносного кода по всему миру. То есть если в одной точке земного шара сенсоры обнаруживают новый тип зловредного кода, сенсор в другом регионе выявляет подключение к управляющему серверу ботнета, и наконец третий сенсор детектирует попытку вторжения с помощью данного ботнета в корпоративную сеть организации и принимает необходимые действия по ее предотвращению.

Также докладчик рассказал о методике анализа Cisco IPS – введении понятия «репутации». Например, в проходящем HTTP-трафике обнаружены команды SQL. Вполне возможно, это широко распространенный тип атаки – SQL-инъекция. Что делает Cisco IPS? Система анализирует следующие четыре параметра: Что? Как? Откуда? Почему? Ответ на первый вопрос – это SQL-команды внутри веб-трафика. Это само по себе очень подозрительно, так как обычно SQL-команды выполняются на стороне веб-сервера и передаются по своему собственному протоколу, а не по HTTP. Ответ на второй вопрос – первое HTTP-соединение. Тоже странно, при первом же обращении к веб-узлу сразу запрос к базе. Ответ на третий вопрос – динамический IP-адрес, динамический DNS. И наконец, почему – источник находится в сети азиатского провайдера и о нём известно, что из его автономной системы (AS) уже были атаки и встречались ботнеты.

На основании полученных ответов IPS делает вывод, что «репутация» у источника соединения плохая, соответственно SQL-команды являются инъекцией, и данное соединение необходимо отклонить.