Как и многие новые технологии, обнаружение атак (intrusion detection) неоднозначно воспринимается многими людьми. Также неоднозначно эта технология и понимается. Обнаружение атак - очень широкая область, которая охватывает многие аспекты, начиная с датчиков движения и систем видеонаблюдения и, заканчивая системами обнаружения мошенничества в реальном масштабе времени. Данная лекция не позволяет рассказать обо всех аспектах этой технологии. Поэтому я рассмотрю только обнаружение нефизических атак на вычислительные или сетевые ресурсы. И, прежде чем начать дальнейшее повествование, я дам определение технологии обнаружения атак, от которого я и буду отталкиваться.
Обнаружение атак - это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.
Атака - это любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей вычислительной системы.
Введение в
системы обнаружения атак
Сообщения о
проникновении в корпоративные сети и атаках на
Web-сервера в последнее время появляются с
ужасающей частотой. Число и сложность
предлагаемых на рынке информационных технологий
периодически растет. Очень часто злоумышленники
преодолевают установленные в компании или банке
защитные средства (системы аутентификации,
межсетевые экраны и т.д.), установленные для
разграничения доступа к ресурсам корпоративной
сети. С увеличением квалификации злоумышленники
становятся более изощренными в разработке и
применении методов проникновения за защитную
преграду. Обнаружить таких злоумышленников
очень трудно. Они маскируются под авторизованных
пользователей, используют промежуточные узлы
для сокрытия своего истинного адреса,
осуществляют атаки распределенные во времени (в
течение нескольких часов) и пространстве
(одновременно с нескольких узлов) и т.д. Многие
атаки осуществляются за очень короткое время
(минуты и даже секунды), что также не позволяет
обнаружить и предотвратить их стандартными
защитными средствами.
Связано это с тем,
что большинство компьютерных защитных систем
построено на классических моделях разграничения
доступа, разработанных в 70-х, 80-х годах. Согласно
этим моделям субъекту (пользователю или
программе) на основе заданных правил разрешается
или запрещается доступ к какому-либо объекту
(например, файлу). Однако действия, производимые
субъектом над
объектом, никак не регламентируется и таким
образом невозможно, например, предотвратить
копирование файла пользователем, которому
доступ к данному файлу разрешен. Развитие этих
моделей позволило устранить эти недостатки
путем контроля конфиденциальности (модель
Белла-Лападула) или целостности (модель Биба)
информационных потоков. Однако возникает
закономерное противоречие между удобством
использования системы и уровнем обеспечиваемой
ею безопасности. Приходится чем-то жертвовать.
Либо удобством использования защищаемой
системы, либо уровнем ее защищенности. Очень
трудно придти к компромиссу и найти такую
конфигурацию системы, которая совмещает в себе и
достаточный уровень ее защищенности, и удобство
в эксплуатации.
Кроме того,
модели управления доступом не могут помочь в
случае реализации атак от "посвященных",
авторизованных пользователей или процессов
(программ), прошедших процедуру аутентификации.
Если злоумышленник подобрал или перехватил Ваш
пароль (а делается это достаточно легко), то
никакая система разграничения доступа не
поможет предотвратить кражу или подмену
информации, доступную для скомпрометированного
пользователя.
Еще совсем
недавно, когда корпоративные сети и Internet не были
столь широко распространены как сегодня,
системный администратор мог позволить себе
изредка просматривать списки рассылки по
вопросам безопасности (ISS X-Force, CERT Advisory, Bugtraq и т.д.)
и, в случае обнаружения новой уязвимости,
предотвратить ее использование злоумышленником,
установив для своей операционной системы новые
"заплаты" (patch"и и hotfix"ы). Однако это
обновление могло быть удалено пользователем или
другим администратором случайно или в процессе
работы. Через неделю или месяц администратор мог
вновь проверить свою систему, и вновь установить
необходимую "заплату". Однако сейчас все
изменилось, сетевые и информационные технологии
меняются настолько быстро, что статичные
защитные механизмы, к которым относятся и
системы разграничения доступа, и межсетевые
экраны, и системы аутентификации, сильно
ограничены и во многих случаях не могут
обеспечить эффективной защиты. Следовательно,
необходимы динамические методы, позволяющие
обнаруживать и предотвращать нарушения
безопасности.
Одной из
технологий, которая может быть применена для
обнаружения нарушений, которые не могут быть
идентифицированы при помощи моделей контроля
доступа является технология обнаружения атак.
Для описания
технологии обнаружения атак необходимо
последовательно ответить на четыре вопроса,
которые почти полностью охватывают все аспекты
данной технологии.
Какой бы эффективный метод получения информации
об атаках ни использовался, эффективность
системы обнаружения атак во многом зависит от
применяемых методов анализа полученной
информации. В самых первых системах обнаружения
атак, разработанных в начале 80-х годов,
использовались статистические методы
обнаружения атак. Однако математика не стоит на
месте, и сейчас к статистическому анализу
добавилось множество новых методик, начиная с
нечеткой логики и заканчивая использованием
нейронных сетей.
Каждый из
описанных ниже методов обладает целям рядом
достоинств и недостатков и поэтому сейчас
практически трудно встретить систему,
реализующую только один из описанных методов.
Как правило, эти методы используются в
совокупности.
Статистический метод
В анализируемой
системе первоначально определяются профили для
всех ее субъектов. Любое отклонение
используемого профиля от эталонного считается
несанкционированной деятельностью. Основные
преимущества статистического подхода - это
адаптация к поведению субъекта и использование
уже разработанного и зарекомендовавшего себя
аппарата математической статистики. Кроме того,
статистические методы универсальны, т.к. не
требуется знания о возможных атаках и
используемых ими уязвимостях. Однако при
использовании этих методик возникает и
несколько проблем.
Во-первых,
"статистические" системы могут быть с
течением времени "обучены" нарушителями
так, чтобы атакующие действия рассматривались
как нормальные. Во-вторых, "статистические"
системы не чувствительны к порядку следования
событий. А в некоторых случаях одни и те же
события в зависимости от порядка их следования
могут характеризовать аномальную или нормальную
деятельность. И, наконец, очень трудно задать
граничные (пороговые) значения отслеживаемых
системой обнаружения атак характеристик, чтобы
адекватно идентифицировать аномальную
деятельность. Кроме того, данные методы
неприменимы в тех случаях, когда для
пользователя отсутствует шаблон типичного
поведения или когда для пользователя
несанкционированные действия типичны.
Использование экспертных систем
Использование
экспертных систем представляет собой второй
распространенный метод, при котором информация
об атаках формулируются в виде правил, которые
могут быть записаны, например, в виде
последовательности действий или в виде
сигнатуры. В случае выполнения любого из правил
принимается решение о несанкционированной
деятельности.
Основное
достоинство такого подхода - практически полное
отсутствие ложных тревог. Однако есть и
недостатки, основной из которых невозможность
отражения неизвестных атак. Даже небольшое
изменение уже известной атаки может стать
большим препятствием для системы обнаружения
атак.
Нейронные сети
Большинство
современных подходов к процессу обнаружения
атак используют некоторую форму анализа
контролируемого пространства на основе правил
или статистических методов. В качестве
контролируемого пространства могут выступать
журналы регистрации или сетевой трафик. Этот
анализ опирается на набор заранее определенных
правил, которые создаются администратором или
самой системой обнаружения атак. Экспертные
системы представляют наиболее распространенную
форму подходов к обнаружению атак на основе
правил. Экспертная система состоит из набора
правил, которые охватывают знания
человека-"эксперта". К сожалению, экспертные
системы требуют постоянного обновления для того,
чтобы оставаться постоянно актуальными. В то
время как экспертные системы предлагают хорошую
возможность для просмотра данных в журналах
регистрации, требуемые обновления могут либо
игнорироваться, либо выполняться вручную
администратором. Как минимум, это приведет к
экспертной системе с недостаточными
(ослабленными) возможностями. В худшем случае,
отсутствие сопровождения снизит степень
защищенности всей сети, вводя ее пользователей в
заблуждение относительно действительного
уровня защищенности.
Любое разделение
атаки либо во времени, либо среди нескольких
злоумышленников, является трудным для
обнаружения при помощи экспертных систем.
Сетевые атаки постоянно изменяются, поскольку
хакеры используют индивидуальные подходы, а
также в связи с регулярными изменениями в ПО и
аппаратных средствах выбранных систем. Из-за
неограниченного разнообразия атак и хакеров
даже специальные постоянные обновления базы
данных правил экспертной системы никогда не
дадут гарантии точной идентификации всего
диапазона атак.
Одним из путей
устранения названных проблем является
использование нейронных сетей. В отличие от
экспертных систем, которые могут дать
пользователю определенный ответ, соответствуют
или нет рассматриваемые характеристики
характеристикам, заложенным в базе данных
правил, нейросеть проводит анализ информации и
предоставляет возможность оценить, согласуются
ли данные с характеристиками, которые она
научена распознавать. В то время как степень
соответствия нейросетевого представления может
достигать 100%, достоверность выбора полностью
зависит от качества системы в анализе примеров
поставленной задачи (т.н. обучение).
Первоначально
нейросеть обучается путем правильной
идентификации предварительно выбранных
примеров предметной области. Реакция нейросети
анализируется и система настраивается таким
образом, чтобы достичь удовлетворительных
результатов. В дополнение к первоначальномупериоду обучения, нейросеть также
набирается опыта с течением времени, по мере
того, как она проводит анализ данных, связанных с
предметной областью. Наиболее важное
преимущество нейросетей при обнаружении
злоупотреблений заключается в их способности
"изучать" характеристики умышленных атак и
идентифицировать элементы, которые не похожи на
те, что наблюдались в сети прежде.
Корреляция (в
рассматриваемой области) - это процесс
интерпретации, обобщения и анализа информации из
всех доступных источников о деятельности
анализируемой системы в целях обнаружения атак и
реагирования на них.
Если не вдаваться в
подробности процесса корреляции данных, то можно
выделить два аспекта, на которые следует
обратить внимание при выборе системы
обнаружения атак. Первый аспект - число сессий
(сетевых или пользовательских), анализируемых
одновременно анализ. В настоящий момент
практически все системы осуществляют анализ в
заданный момент времени всего одной сессии, что
не позволяет, например, обнаруживать
скоординированные атаки из нескольких
источников.
Второй аспект -
когда осуществлять анализ, в реальном режиме
времени или после осуществления атаки. Казалось
бы, ответ очевиден - конечно в реальном времени.
Однако все не так просто. Большей точности (хотя
иногда и в ущерб эффективности) распознавания
можно добиться именно после осуществления атаки,
когда в вашем распоряжении находится вся
информация об инциденте.
Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование. Применение той или иной реакции зависит от многих факторов, описание которых выходит за рамки данной статьи.
Уведомление
Самым простым и
широко распространенным методом уведомления
является посылка администратору безопасности
сообщений об атаке на консоль системы
обнаружения атак. Поскольку такая консоль не
может быть установлена у каждого сотрудника,
отвечающего в организации за безопасность, а
также в тех случаях, когда этих сотрудников могут
интересовать не все события безопасности,
необходимо применение иных механизмов
уведомления. Таким механизмом является посылка
сообщений по электронной почте, на пейджер, по
факсу или по телефону. Последние два варианта
присутствуют только в системе обнаружения атак
RealSecure американской компании Internet Security Systems, Inc.
К категории
"уведомление" относится также посылка
управляющих последовательностей к другим
системам. Например, к системам сетевого
управления (HP OpenView, Tivoli TME10, CA Unicenter и т.д.) или к
межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewal
l, Raptor Firewall и т.д.). В первом случае
используется стандартизованный протокол SNMP, а во
втором - внутренние или стандартизованные
(например, SAMP) протоколы.
Сохранение
К категории
"сохранение" относятся два варианта
реагирования: регистрация события в базе данных
и воспроизведение атаки в реальном масштабе
времени. Первый вариант широко распространен и в
других системах защиты и на нем не стоит долго
останавливаться. Второй вариант более интересен.
Он позволяет администратору безопасности
воспроизводить в реальном масштабе времени (или
с заданной скоростью) все действия,
осуществляемые атакующим. Это позволяет не
только проанализировать "успешные" атаки и
предотвратить их в дальнейшем, но и использовать
собранные данные для разбирательств.
Активное реагирование
К этой категории
относятся следующие варианты реагирования:
блокировка работы атакующего, завершение сессии
с атакующим узлом, управлением сетевым
оборудованием и средствами защиты. Эта категория
механизмов реагирования, с одной стороны,
достаточно эффективна, а с другой, использовать
их надо очень аккуратно, т.к. неправильная их
эксплуатация может привести к нарушению
работоспособности всей вычислительной системы.
Требования пользователей
Необходимо заранее
определить, от чего и от кого надо защищать свою
вычислительную систему. Следует определить
соотношение между затратами (зачастую немалыми)
на приобретение и эксплуатацию системы
обнаружение атак и выгодой от ее использования
. Процесс выбора одной из более чем 30
существующих на рынке систем может занять не
одну неделю или месяц. Но эти усилия стоят того.
Правильный выбор системы обнаружения атак
поможет сэкономить сотни тысяч долларов, которые
могли бы быть утеряны в случае нарушения
функционирования вычислительной системы.
Однако какими бы
эффективными ни были механизмы, заложенные в
систему обнаружения атак, она не найдет
применения, если она не отвечает требованиям
пользователей. Чем сложнее система обнаружения
атак, тем выше ее стоимость. Однако стоимость -
это не единственный основополагающий фактор при
осуществлении выбора. Необходимо учитывать и
применяемые механизмы получения информации об
атаках, алгоритмы анализа и корреляции данных,
варианты реагирования, производительность
системы, ее надежность и т.д. Число таких
параметров достаточно велико. В целом, все
требования, которые необходимо учитывать при
выборе систем обнаружения атак, можно условно
разделить на несколько групп:
- Инсталляция и развертывание системы;
- Безопасность самой системы;
- Обнаружение атак;
- Реагирование на атаки;
- Конфигурация системы;
- Контроль событий;
- Управление данными системы;
- Производительность системы;
- Архитектура системы;
- Техническая поддержка системы.
Не стоит выбирать систему обнаружения атак,
основываясь только на текущей ситуации.
Попытайтесь заглянуть в будущее и
проанализировать рост вычислительной системы,
изменение предоставляемых ею услуг и т.д.
Учитывая это, вы сможете эффективно вложить свои
средства в систему защиты уже сейчас.
Немаловажным
является вопрос внедрения системы обнаружения
атак в существующую технологию обработки
информации и, затем, адаптации ее к окружающим
условиям. Одновременно с внедрением необходимо
провести обучение персонала правилам
использования системы в организации. Необходимо
заметить, что система обнаружения атак не сможет
обеспечить абсолютной защиты от всех атак; она
поможет выявить подозрительный трафик и иные
формы несанкционированного доступа. Однако
наибольшей эффективности при использовании
системы обнаружения атак можно достичь, еслик ней "прилагаются" специалисты,
способные правильно эксплуатировать систему и
понимающие, когда и как реагировать на
выдаваемые ею сообщения.
Более подробно с
требованиями, предъявляемыми к системам
обнаружения атак можно ознакомиться в документе
"Системы обнаружения атак. Стратегия
выбора", разработанном в Научно-инженерном
предприятии "Информзащита", получить
который можно, обратившись по адресу www.infosec.ru.
Системы обнаружения атак или
межсетевые экраны?
Очень часто задают
вопрос: "Нужна ли мне система обнаружения атак,
если у нас уже используется межсетевой экран?"
Несомненно нужна. Система обнаружения атак
является существенно важным дополнением
межсетевого экрана (firewall), но никак не его
заменой. Межсетевые экраны предназначены для
того, чтобы предотвратить вторжение "плохих
парней" из сети. Однако иногда эти средства
из-за ошибок разработки, аппаратных отказов,
ошибок пользователей или просто невежества не
обеспечивают приемлемого уровня доступа.
Например, кто-то не понимает необходимости
защиты сети и оставляет на рабочем месте
включенным модем для доступа к компьютеру из
дома. Межсетевой экран не может не только
защитить в этом случае, но и обнаружить это факт.
В этом случае системы обнаружения атак
незаменимы. Независимо от того, какова
надежность и эффективность фильтрации вашего
межсетевого экрана, пользователи зачастую
находят способы обойти все установленные Вами
преграды. Например, объекты ActiveX или апплеты Java
могут представлять новые направления для
реализации атак через межсетевыеэкраны.
Кроме того, по статистике не менее 75% всех
компьютерных преступлений происходит изнутри
корпоративной сети, от своих сотрудников. А, как
уже было сказано выше, "классические"
средства защиты, к которым относятся и
межсетевые экраны, не позволяют защитить
корпоративную сеть в случае наличия плохого
умысла со стороны пользователя, имеющего в нее
доступ. Поэтому, межсетевой экран не может
заменить систему обнаружения атак и оба этих
средства нужны для построения эффективной
системы защиты информации.
Представьте Вашу
сеть как многоэтажное высотное здание, в котором
межсетевой экран - это швейцар у дверей на входе,
а каждый модуль слежения системы обнаружения
атак - это сторожевой пес у каждой конкретной
двери. Как правило, швейцар с удовольствием
пропускает людей, которые выглядят довольно
хорошо, и задерживает подозрительных людей.
Однако, умный преступник способен пройти мимо
швейцара и проникнуть внутрь здания, не вызвав
его подозрений. Сторожевой пес лучше знает, кого
он может впустить в данную дверь и мгновенно
реагирует на вторжение.
Системы обнаружения атак в России
Первая система
обнаружения атак появилась в России в середине
1997 года, когда было заключено соглашение между
Научно-инженерным предприятием
"Информзащита" и малоизвестной в то время
американской фирмой Internet Security Systems, Inc. (ISS),
разработавшей систему обнаружения атак RealSecure. С
тех пор ситуация изменилась в лучшую сторону.
Компания ISS в настоящий момент является лидером
на рынке средств обнаружения атак (по данным
корпорации IDC - в 1999 году 52 % всего рынка). В России
ситуация аналогичная - система RealSecure захватила
большую часть российского рынка средств
обнаружения атак. Этому предшествовала большая и
кропотливая работа по созданию соответствующей
инфраструктуры поддержки этой системы. В
настоящий момент завершается ее русификация.
Помимо системы
RealSecure на российском рынке представлены
следующие продукты зарубежных фирм:
- NetRanger компании Cisco Systems.
- OmniGuard Intruder Alert компании Axent Technologies.
- SessionWall-3 компании Computer Associates.
- Kane Security Monitor компании Security Dynamics.
- CyberCop Monitor компании Network Associates.
- NFR компании Network Flight Recodred.
Первая тройка во главе с RealSecure является лидирующей и во всем мире. Всего же известно более 30 коммерчески распространяемых систем обнаружения атак.
Стандарты и руководящие документы
С конца прошлого -
начала этого года ведутся работы по выработке
руководящих документов, которые позволят
проводить адекватный анализ и оценку
предлагаемых на российском рынке систем
обнаружения атак. Аналогичные работы проводятся
и за рубежом. В качестве примера можно назвать
стандарты CIDF или IDEF, разрабатываемые в
Министерстве Обороны США и рабочей группы
консорциума IETF.
Перспективы и тенденции развития
Можно заметить, что
оба решения: IDS и сетевого, и системного уровней
имеют свои достоинства и преимущества, которые
эффективно дополняют друг друга, а также
устраняют недостатки друг друга.
Итак, вкратце я
описал существующие решения в области
обнаружения атак. Но применимы ли они в том виде,
в котором они сейчас существуют, в следующем
тысячелетии? Вряд ли. И вот почему. Современные
сети становятся настолько сложными, что их
трудно контролировать существующими методами.
Число узлов в сетях растет с небывалой скоростью,
ширится применение гигабитных скоростей и
коммутируемых сетей на основе VLAN. Объем
передаваемого по сетям трафика возрастает на
несколько порядков. Нужны совершенно новые
подходы в обнаружении атак, позволяющие
справиться с указанными факторами .
Микроагенты
Как уже отмечено выше, существующие системы
обнаружения атак относятся либо к классу сетевых
(network-based), либо к классу системных (host-based). Однако
идеальным решением было бы создание системы,
совмещающей в себе обе эти технологии, т.е. на
каждый контролируемый узел устанавливался бы
агент системы обнаружения атак и контролировал
не только атаки на прикладном уровне (уровне ОС и
уровне приложений), но и сетевые атаки,
направленные на данный узел. Этот подход имеет
несколько преимуществ по сравнению с
существующими решениями.
Во-первых, высокая
сетевая скорость уже не представляет проблемы,
поскольку указанный агент просматривает только
трафик для данного узла вместо всего трафика
всей сети. Во-вторых, расшифрование пакетов
осуществляет прежде, чем они достигнут агента. И,
наконец, из-за того, что он размещается
непосредственно на каждом контролируемом
компьютере, коммутируемые сети также не
накладывают ограничений на их использование.
Эти агенты
комбинируют характеристики сетевого модуля
слежения, работающего в реальном масштабе
времени, с тактическими преимуществами агента
системного уровня. В настоящий момент о
разработках в этой области объявила только
компания Internet Security Systems (ISS
)
. Компания ISS назвала эту
разработку Micro Agent и планирует завершить ее к
концу этого года. Эти микроагенты будут
дополнять существующие сетевые и системные
модули слежения системы обнаружения атак RealSecure
компании ISS.
Представление данных в системах
обнаружения атак
Для эффективного
обнаружения атак необходимо контролировать и
подробно записывать большое число событий,
происходящих в информационной системе. В
результате образуется большой объем данных,
большинство которых не представляют интереса, но
сохраняются в надежде, что их анализ позволит
своевременно обнаружить подозрительное событие.
Хранение больших объемов данных приводит к двум
задачам:
- Разработать механизмы эффективного использования дискового пространства для хранения журналов регистрации и данных сетевого трафика;
- Разработать механизмы эффективного представления администратору только тех данных, которые представляют для него интерес.
Эти две проблемы взаимосвязаны, но я коснусь
только второй задачи. Многие специалисты
сталкивались с ситуацией, когда система
обнаружения атак генерит сотни, а в крупных
сетях, тысячи записей о происходящих событиях.
Проанализировать эти события вручную
администратору не под силу. И хотя в системах
обнаружения атак, представленных на рынке,
существуют механизмы объединения нескольких
однотипных событий в одно, эта работа еще далека
до завершения.
В настоящий момент
методы эффективного представления данных
разрабатываются различными производителями и
исследовательскими центрами. Например, компания
ISS в конце июня этого года объявила о создании
"технологии слияния" (Fusion Technology), которая
позволит группировать сотни событий,
зарегистрированных системой обнаружения атак
RealSecure и другими средствами защиты третьих
разработчиков, в одно-два уведомления,
представленные на экране консоли управления. В
этом же направлении движется и
исследовательский центр COAST, в котором создана
рабочая группа по разработке эффективного
формата журналов регистрации и представления
данных администратору безопасности.Из
российских разработчиков такие механизмы
реализует НИП "Информзащита" в своей новой
технологии управления информационной
безопасностью "Беркут".
Принятие решений, прогнозирование
атак
Системы
обнаружения атак в новом тысячелетии должны
стать более интеллектуальными по сравнению со
своими современными аналогами. И это касается не
только процесса обнаружения атак, что может быть
реализовано при помощи различных механизмов, в
т.ч. и при помощи описанных выше нейросетей.
Интеллектуальность будет присутствовать в
процессе принятия решения о реагировании на
атаки, а также при прогнозировании новых атак на
корпоративную сеть. Первым шагом в создании
таких систем можно назвать создание компанией ISS
продукта под названием SAFEsuite Decisions. Эта система
позволяет получать данные, получаемые от
различных средств защиты, в т.ч. межсетевых
экранов, систем анализа защищенности и
обнаружения атак. Затем эти данные можно
анализировать, обобщать их и определять на их
основе подверженность того или иного узла или
сегмента сети атакам со стороны внешних или
внутренних злоумышленников. Знание уязвимостей,
полученное от систем анализа защищенности,
наряду со знанием частоты атак, полученное от
межсетевых экранов и систем обнаружения атак,
установленных на различных сегментах сети,
позволяет прогнозировать нападения на узлы и
сегменты сети, в т.ч. и скоординированные атаки,
осуществляемые одновременно из нескольких мест.
В данной теме раскрыты в основном те вопросы, на
которые стоит обращать внимание при выборе
системы обнаружения атак. Однако, установив
выбранную систему, вы еще не полностью защитили
себя от атак. И это надо понимать. Система
обнаружения атак - это всего лишь необходимое, но
явно недостаточное условие для обеспечения
эффективной системы защиты организации.
Необходимо провести целый спектр
организационных и технических мероприятий для
построения целостной системы защиты вашей
организации. Это и анализ рисков, и разработка
политики безопасности, и установка и настройка
различных средств защиты (межсетевые экраны,
систем анализа защищенности и т.д.), и обучение
специалистов, и т.д.
Подводя итог, можно
сказать, что система обнаружения атак - это
больше, чем несколько модулей слежения,
установленных на различных узлах корпоративной
сети. Эффективная и надежная система обнаружения
атак позволяет собирать, обобщать и
анализировать информацию от множества удаленных
сенсоров на центральной консоли. Она позволяет
сохранять эту информацию для более позднего
анализа, и предоставляет средства для проведения
такого анализа. Эта система постоянно
контролирует все установленные модули слежения
и мгновенно реагирует в случае возникновения
тревоги. И, наконец, система обнаружения атак не
более чем дорогостоящая игрушка, если у вас в
штате нет экспертов в области защиты информации,
которые знают, как использовать эту систему и как
реагировать на постоянно растущую
информационную угрозу. Использование всех этих
компонентов в комплексе образует реальную и
эффективную систему обнаружения атак.
Соответствующий английский термин - Intrusion Detection System (IDS) . Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий , неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей)
Обычно архитектура СОВ включает:
Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.
Виды систем обнаружения вторжений [ | ]
IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).
MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP , была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.
W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.
В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP . Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.
В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.
См. также [ | ]
Примечания [ | ]
- Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.
- Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119-131
- Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110-121.
- Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International
Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) - необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем - выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.
Общее описание технологии
Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:
- Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
- Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDS. Возможна также программируемая реакция с использованием скриптов.
- Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).
Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:
- IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
- IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
- IPS меняет содержание атаки (удаляет например из письма инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).
Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.
Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.
1. Обнаружение атаки, основанное на сигнатурах.
Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам - это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:
- соединение telnet пользователя «root», что будет являться нарушением определённой политики безопасности компании;
- входящее электронной письмо с темой «бесплатные картинки», с приложенным файлом «freepics.exe»;
- лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.
Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.
2. Обнаружение атаки по аномальному поведению
Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.
Технология IDS/IPS в ALTELL NEO
В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO , лежит открытая технология Suricata , дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.
Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.
Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства - одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.
Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO
| № | Функция | Поддержка
|
| 1. | Обнаружение уязвимостей (эксплойтов) компонент ActiveX | |
| 2. | Обнаружение трафика, передаваемого узлами внутренней локальной сети, характерного для ответов после успешного проведения атаки | |
| 3. | Обнаружение сетевого трафика командно-контрольных серверов бот-сетей (Bot C&C) | |
| 4. | Обнаружение сетевого трафика, относящегося к протоколам и программам для мгновенного обмена сообщениями | |
| 5. | Обнаружение сетевого трафика от взломанных сетевых узлов | |
| 6. | Обнаружение сетевого трафика, направленного на сервера DNS | |
| 7. | Обнаружение трафика, характерного для атак отказа в обслуживании (DoS, Denial of Service) | |
| 8. | Обнаружение сетевого трафика, от узлов из списка Spamhaus Drop list | |
| 9. | Обнаружение сетевого трафика от узлов, которые известны как источники атак, на основе списка Dshield | |
| 10. | Обнаружение сетевого трафика, характерного для программ использования уязвимостей (эксплойтов) | |
| 11. | Обнаружение трафика, характерного для компьютерных игр | |
| 12. | Обнаружение сетевого трафика ICMP, характерного для проведения сетевых атак, например, сканирования портов | |
| 13. | Обнаружение сетевого трафика, характерного для атак на сервисы IMAP | |
| 14. | Обнаружение недопустимого сетевого трафика, противоречащего политике безопасности организации | |
| 15. | Обнаружение сетевого трафика, характерного для вредоносных программ (malware) | |
| 16. | Обнаружение сетевого трафика, характерного для сетевых червей, использующих протокол NetBIOS | |
| 17 . | Обнаружение сетевого трафика, программ однорангового разделения файлов (P2P, peer-to-peer сети) | |
| 18. | Обнаружение сетевой активности, которая может противоречить политике безопасности организации (например, трафик VNC или использование анонимного доступа по протоколу FTP) | |
| 19. | Обнаружение трафика, характерного для атак на сервисы POP3 | |
| 20. | Обнаружение сетевого трафика от узлов сети Russian Business Network | |
| 21. | Обнаружение атак на сервисы RPC (удаленный вызов процедур) | |
| 22. | Обнаружение сетевого трафика программ сканирования портов | |
| 23. | Обнаружение пакетов, содержащих ассемблерный код, низкоуровневые команды, называемые также командным кодом (напр. атаки на переполнение буфера) | |
| 24. | Обнаружение трафика, характерного для атак на сервисы SMTP | |
| 25. | Обнаружение сетевого трафика протокола SNMP | |
| 26. | Обнаружение правил для различных программ баз данных SQL | |
| 27. | Обнаружение сетевого трафика протокола Telnet в сети | |
| 28. | Обнаружение сетевого трафика, характерного для атак на TFTP (trivial FTP) | |
| 29. | Обнаружение трафика, исходящего от отправителя, использующего сеть Tor для сохранения анонимности | |
| 30. | Обнаружение трафика, характерного для троянских программ | |
| 31. | Обнаружение атак на пользовательские агенты | |
| 32. | Наличие сигнатур распространенных вирусов (как дополнение к антивирусному движку ALTELL NEO) | |
| 33. | Обнаружение сетевого трафика, характерного для атак на сервисы VoIP | |
| 34. | Обнаружение уязвимостей (эксплойтов) для web-клиентов | |
| 35. | Обнаружение атак на web-серверы | |
| 36. | Обнаружение атак на основе инъекций SQL (sql-injection attacks) | |
| 37. | Обнаружение сетевого трафика, характерного для сетевых червей | |
| 38. | Защита от хакерских атак |
Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов - от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» - средним, приоритет «3» - низким.
В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:
- Alert (режим IDS) - трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;
- Drop (режим IPS) - анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;
- Reject (режим IPS) - в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;
- Pass (режим IDS и IPS) - в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.
Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.
Бесплатное тестирование
Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью
Обнаружения вторжений представляет собой процесс выявления несанкционированного доступа или попыток несанкционированного доступа к ресурсам АС.
Система обнаружения вторжений(Intrusion Detection System(IDS)) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.
Сигнатура – совокупность событий или действий, характерные для данного типа угрозы безопасности.
Сенсор получает сетевой пакет.
Пакет передается ядру для анализа.
Проверяется совпадение сигнатуры.
Если совпадений нет, то от узла получается следующий пакет.
Если есть совпадение, то появляется предупреждающее сообщение.
Происходит вызов модуля ответного реагирования.
Ошибки первого и второго рода:
Ошибки второго рода, когда нарушитель воспринимается системой безопасности, как авторизованный субъект доступа.
Все системы, использующие сигнатуры для проверки доступа, подвержены ошибкам второго рода, в том числе антивирусы, работающие на антивирусной базе.
Функционирование системы IDS во многом аналогично межсетевому экрану. Сенсоры получают сетевой трафик, а ядро, путем сравнения полученного трафика, с записями имеющихся базами сигнатур, пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой дополнительный компонент, который может быть использован для оперативного блокирования угрозы, например, может быть сформированного новое правило для межсетевого экрана.
Существует две основных категории IDS:
Записи стандартных средств. Протоколирование ОС.
Информация об использованных ресурсах.
Профили ожидаемого поведения пользователя.
IDS уровня сети. В таких системах сенсор функционирует на выделенном для этих целей хосте(узле), защищаемом сегменте сети. Обычно он работает в прослушивающем режиме, чтобы анализировать весь ходящий по сегменту сетевой трафик.
IDS уровня хоста. В случае, если сенсор функционирует на уровне хоста для анализа может быть использована следующая информация:
Каждый из типов IDS имеет свои достоинства и недостатки.
IDS уровня сети не снижает общую производительность системы, а IDS уровня хоста более эффективно выявляет атаки и позволяет анализировать активность, связанную с отдельным хостом. На практике целесообразно применять оба этих типа.
Протоколирование и аудит
Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование(регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующая все события, относящиеся к информационной безопасности. Аудит – анализ протоколирования информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.
Назначения механизма регистрации и аудита:
Обеспечение подотчетности пользователей и администратора.
Обеспечение возможности реконструкции последовательности событий(например при инцидентах).
Обнаружение попыток нарушения режима информационной безопасности.
Выявление технических проблем, напрямую не связанных с информационной безопасностью.
Протоколируемые данные заносятся в регистрационный журнал, который представляет собой хронологически-упорядоченную совокупность записи результатов деятельности субъектов АС, влияющих на режим информационной безопасности. Основными полями такого журнала являются следующие:
Временная метка.
Тип события.
Инициатор события.
Результат события.
Так, как системные журналы являются основными источниками информации для последующего аудита и выявления нарушения безопасности должен быть поставлен вопрос о защите их от не санкционированной модификации. Система протоколирования должна быть спроектирована таким образом, чтобы не один пользователь, включая администраторов, не мог произвольным образом изменять записи системных журналов.
Поскольку файлы журналов хранятся на том или ином носителе, рано или поздно может возникнуть проблема нехватки пространства на этом носителе, при этом реакция системы может быть различной, например:
Продолжить работу системы, без протоколирования.
Заблокировать систему до решения проблемы.
Автоматически удалять самые старые записи в системном журнале.
Первый вариант является наименее приемлемым с точки зрения безопасности.
