Патент обнаружения признаков вторжений информационных воздействий. Обнаружение атак. Протоколирование и аудит

Для представления в цифровых устройствах чисел, а также другой информации в процессе программирования наряду с привычной для нас десятичной системой счисления широко используются другие системы. Рассмотрим наиболее употребительные позицион­ные системы счисления. Числа в таких системах счисления представляются последователь­ностью цифр (цифр разрядов):

… a 5 a 4 a 3 a 2 a 1 a 0 …

Здесь a 0 , a 1 , . . . обозначают цифры нулевого, первого и других разрядов числа.

Цифре разряда приписан вес p k где р - основание системы счисления; k - номер разряда, равный индексу при обозначениях цифр разрядов. Так, приведенная выше запись означает следующее количество:

N = …+ a 5 × p 5 + a 4 × p 4 + a 3 × p 3 + a 2 × p 2 + a 1 × p 1 + a 0 × p 0 + …

Для представления цифр разрядов используется набор из p различных символов. Так, при р = 10 (т. е. в обычной десятичной системе счисления) для записи цифр разрядов используется набор из десяти символов: 0, 1, 2 ….. 9. При этом запись 729324 10 (здесь и далее индекс при числе указывает основание системы счисления, в которой представлено число) означает следующее количество:

Используя такой принцип представления чисел, но выбирая различные значения основания р , можно строить разнообразные системы счисления.

В двоичной системе счисления основание системы счисления р = 2. Таким образом, для записи цифр разрядов требуется набор всего лишь из двух символов, в качестве которых используются 0 и 1.

Следовательно, в двоичной системе счисления число представляется последовательностью символов 0 и 1. При этом запись 1011101 2 соответствует в десятичной системе счисления следующему числу:

В восьмеричной системе счисления основание системы счисления р = 8. Следовательно, для представления цифр разрядов должно использоваться восемь разных символов, в качестве которых выбраны 0, 1, 2,…,7 (заметим, что символы 8 и 9 здесь не используются и в записи чисел встречаться не должны). Например, записи 735460 8 в десятичной системе счисления соответствует следующее число:

т. е. запись 735460 8 означает число, содержащее семь раз по 8 5 = 32768, три раза по 8 4 = 4096, пять раз по 8 3 = 512, четыре раза по 8 2 = 64, шесть раз по 8 1 = 8 и ноль раз по 8 0 = 1.

В шестнадцатеричной системе счисления основание системы счисления р = 16 и для записи цифр разрядов должен использоваться набор из 16 символов: 0, 1,2…..9, А, В, С, D, Е, F. В нем используются 10 арабских цифр, и до требуемых шестнадцати их дополняют шестью начальными буквами латинского алфавита. При этом символу А в десятичной системе счисления соответствует 10, В – 11, С – 12, D – 13, Е – 14, F – 15.

Запись AB9C2F 16 соответствует следующему числу в десятичной системе счисления:

Для хранения n -разрядных чисел в цифровой аппаратуре можно использовать устройст­ва, содержащие n элементов, каждый из которых запоминает цифру соответствующего разряда числа. Наиболее просто осуществляется хранение чисел, представленных в двоичной системе счисления. Для запоминания цифры каждого разряда двоичного числа могут исполь­зоваться устройства с двумя устойчивыми состояниями (например, триггеры). Одному из этих устойчивых состояний ставится в соответствие цифра 0, другому – цифра 1.

В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег.

Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам:

• сертификация:
  • отсутствует
  • сделана минимальная «для галочки»
  • высокий уровень сертификации
• признанность (распространённость) продукта:
  • известен и используется в мире
  • присутствует только на региональном рынке

В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная.

Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК.

ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса — от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать.

ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК , где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой — низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно.

Всего по требованиям ФСБ, согласно сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два.

Итоговый список отечественных IDS и их сертификатов выглядит так:

Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию «Бумаженщиков», как бы обидно такое определение для них ни звучало.

К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты.

Подсистема обнаружения и предотвращения вторжений включает в себя:

Таблица 1. Подсистемы обнаружения и предотвращения вторжений

Обнаружение вторжений - это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.

Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

По способу мониторинга средства подсистемы делятся на:

• средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
• средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

Выделяется несколько методов анализа событий:

• обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
• обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.

Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

Предотвращение вторжений системного уровня

Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

Варианты решения:

Cisco Security Agent
Check Point Endpoint Security
Symantec Endpoint Protection
Trend Micro OfficeScan Corporate Edition
IBM Proventia Server Intrusion Prevention System
Kaspersky Total Security

Предотвращение вторжений сетевого уровня

Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.

Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.

В качестве мер противодействия, может выполняться:

• блокирование выбранных сетевых пакетов;
• изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
• сохранения выбранных пакетов для последующего анализа;
• регистрация событий и оповещение ответственных лиц.

Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems

Варианты решения:

Защита от DDoS атак

Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

• обнаружение вторжения;
• определение источника вторжения;
• предотвращение вторжения.

Решение для операторов связи

Бизнес-преимущества внедряемого решения:

• возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
• возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
• улучшается управляемость сетевой инфраструктурой;
• возможность предоставления абонентам отчетов об атаках.

Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

• выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
• услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки

Архитектура решения

Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи

Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.

В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.

Решение для предприятий

При разработке данного решения применялся комплексный подход для построения системы защиты, способной защитить не только отдельные сервера предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых серверов, web-серверов и DNS-серверов.

• осуществление компаниями своего бизнеса через Интернет;
• наличие корпоративного web-сайта компании;
• использование сети Интернет для реализации бизнес-процессов.

Архитектура решения

Рисунок 3. Архитектура решения защиты от DDoS-атак для предприятий

В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.

Метод обнаружения аномалий не может обеспечить 100% вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровне.

Технические преимущества внедряемых решений:

• мгновенная реакция на DDoS-атаки;
• возможность включения системы только по требованию обеспечивает максимальную надежность и минимальные затраты на масштабирование.

Варианты решения:

Arbor Peakflow SP
Cisco Guard
Cisco Traffic Anomaly Detector

Сегодня возможности обнаружения вторжения становятся необходимыми добавлениями к инфраструктуре защиты информации каждой крупной компании. Вопрос о том, необходима ли система обнаружения вторжения (СОВ), для профессионалов защиты информации уже не стоит, однако перед ними возникает проблема выбора такой системы для конкретной организации. Кроме того, высокая стоимость подобных продуктов заставляет более тщательно подходить к обоснованию необходимости их использования.

Данная статья предоставляет базовую информацию о системах этого класса, что должно помочь организациям избежать традиционных промахов в приобретении, развертывании и поддержании систем обнаружения вторжений.

Типы систем обнаружения вторжений

На сегодняшний день существует несколько различных типов СОВ, отличающихся различными алгоритмами мониторинга данных и подходами к их анализу. Каждому типу системы соответствуют те или иные особенности использования, преимущества и недостатки.

Один из способов классификации СОВ основывается на уяснении того, что они, собственно, контролируют. Одни контролируют весь сетевой трафик и анализируют сетевые пакеты, другие разворачиваются на отдельных компьютерах и контролируют операционную систему на предмет выявления признаков вторжения, третьи, как правило, контролируют отдельные приложения.

СОВ, ЗАЩИЩАЮЩИЕ СЕГМЕНТ СЕТИ

Этот класс СОВ в настоящее время наиболее распространен среди коммерческих продуктов. Система обычно состоит из нескольких специализированных серверов, которые анализируют сетевой трафик в различных сегментах сети и передают сообщения о возможном нападении на централизованную консоль управления. Никакие другие приложения не работают на серверах используемых СОВ, поэтому они могут быть защищены от нападения, в том числе специальными средствами. Многие из них могут функционировать в «стелс»-режиме, что затрудняет обнаружение нападающих и определение их местонахождения в сети.

Преимущества:

Несколько удачно расположенных систем могут контролировать большую сеть;

Их развертывание оказывает незначительное воздействие на существующую сеть. Подобные СОВ, как правило, пассивные устройства, которые перехватывают сетевой трафик, не загружая сеть служебными потоками;

Cистема может быть весьма защищенной от нападений на нее саму, к тому же отдельные ее узлы можно сделать невидимыми для нападающих.

Недостатки:

Не в состоянии распознавать нападение, начатое в момент высокой загрузки сети. Некоторые разработчики пытаются решить эту проблему, реализуя СОВ на основе аппаратных средств, обладающих более высокой скоростью. Кроме того, необходимость быстро анализировать пакеты вынуждает разработчиков обнаруживать нападение с минимальными затратами вычислительных ресурсов, что серьезно снижает эффективность обнаружения;

Многие из преимуществ СОВ небольших сегментов (обычно один высокоскоростной канал Ethernet на сервер) и обеспечивают выделенные каналы между серверами, обслуживаемыми тем же коммутатором. Большинство коммутаторов не обеспечивают универсальные порты управления, что сокращает контролирующий диапазон датчика СОВ. В таких коммутаторах отдельный порт зачастую не может отразить весь трафик, проходящий через коммутатор;

Не способны анализировать зашифрованную информацию;

Сообщают об инициированном нападении, не анализируя степень проникновения.

СОВ, ЗАЩИЩАЮЩИЕ ОТДЕЛЬНЫЙ СЕРВЕР

Данные системы работают, анализируя активность процессов на конкретном сервере, на котором установлены; собирают информацию о контролируемом ими сервере. Это позволяет СОВ анализировать действия на сервере с высокой степенью детализации и точно определять, кто из пользователей выполняет злонамеренные действия в операционной системе сервера.

Некоторые СОВ этого класса имеют возможность управлять группой серверов, подготавливая централизованные отчеты о возможных нападениях, которые обобщаются на консоли администратора защиты. Другие генерируют сообщения, совместимые с системами управления сетью.

Преимущества:

Обнаруживают нападения, которые не выявляют СОВ, защищающие сегмент сети, так как имеют представление о событиях, локализованных на конкретном сервере;

Работают в сети, использующей
шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю;

Функционируют в коммутируемых сетях.

Недостатки:

Механизмы сбора информации должны устанавливаться и поддерживаться на каждом сервере, который будет контролироваться;

Могут быть атакованы и заблокированы подготовленным противником;

Не способны контролировать ситуацию во всей сети, так как «видят» только сетевые пакеты, получаемые сервером, на котором они установлены;

Трудности в обнаружении и противодействии нападениям с отказом в обслуживании;

Используют вычислительные ресурсы сервера, который контролируют, снижая тем самым эффективность его работы.

СОВ НА ОСНОВЕ ЗАЩИТЫ ПРИЛОЖЕНИЙ

Эти системы контролируют события, проявляющиеся в пределах отдельного приложения, и нередко обнаруживают нападения при анализе системных журналов приложения. Возможность связываться непосредственно с приложением посредством служебного интерфейса, а также большой запас прикладных знаний о приложении позволяют СОВ данного класса обеспечивать более детальное представление о подозрительной деятельности в приложении.

Преимущества:

Контролируют деятельность с очень высокой степенью детализации, позволяющей им прослеживать неправомочную деятельность индивидуальных пользователей;

Способны работать в зашифрованных средах, за счет взаимодтые приложения на контролируемом ими сервере.

Некоторые эксперты отмечают, что различие между системами на основе защиты приложений и системами на основе защиты отдельного сервера не всегда четко прослеживаются, поэтому в дальнейшем оба класса будем относить к системам обнаружения вторжений на основе защиты отдельного сервера.
Подходы к анализу событий.

В настоящее время существуют два основных подхода к анализу событий: обнаружение сигнатуры и обнаружение аномалии.

СОВ НА ОСНОВЕ СИГНАТУРЫ

Подход к обнаружению вторжения на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающих известное нападение. Следовательно, системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаружить каждое известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах.

Преимущества:

Весьма эффективны при обнаружении нападений, не генерируя значительное число ложных тревог.

Недостатки:

Системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаруживать каждое нападение, и постоянно модифицироваться сигнатурами новых нападений;

Сами сигнатуры во многих системах данного класса определены достаточно узко, что затрудняет обнаружение ими вариантов традиционных нападений, сигнатура которых незначительно отличается от имеющейся в их базе.

СОВ НА ОСНОВЕ ВЫЯВЛЕНИЯ АНОМАЛИИ

Такие системы обнаруживают нападения, идентифицируя необычное поведение (аномалии) на сервере или в сети. Принцип их функционирования основан на том, что нападающие ведут себя не так, как «нормальные» пользователи, и могут быть обнаружены системами, идентифицирующими эти различия. Системы на основе выявления аномалии устанавливают базис нормального поведения, профилируя специфических пользователей или сетевые подключения, и выявляют случаи отклонения контролируемой деятельности от нормы.

К сожалению, на сегодняшний день системы данного класса пока еще часто производят большое количество ложных срабатываний. Однако, несмотря на это, исследователи утверждают, что они способны обнаружить нападение, ранее незамеченное, в отличие от СОВ на основе сигнатуры, которые полагаются на результаты анализа прошлых нападений. Некоторые коммерческие СОВ реализуют ограниченные формы обнаружения аномалии, однако лишь единицы полагаются исключительно на эту технологию. Вместе с тем обнаружение аномалии остается областью активных исследований, и в ближайшее время здесь возможны серьезные прорывы.

Преимущества:

Обнаруживают нападение без необходимости быть заранее запрограммированными.

Недостатки:

Производят большое количество ложных срабатываний, активизируясь из-за непредсказуемого характерв поведения.

СОВ, автоматически отвечающие на нападения

Человек-администратор не всегда доступен в момент нападений на систему, поэтому некоторые СОВ могут быть сконфигурированы так, чтобы автоматически отвечать на них. Самая простая форма автоматизированного ответа - уведомление администратора. После обнаружения нападения СОВ может послать по электронной почте или пейджеру письмо администратору с кратким описанием произошедшего события. Более активный ответ может остановить продвижение нападения и блокировать дальнейшие попытки нападающих. Как правило, СОВ не обладает способностью блокировать действия конкретного человека, но могут блокировать конкретные IP-адреса, с которых работает нападающий.

Преимущества:

Разрыв подключений TCP при введении пакетов сброса в подключения нападающего с адресатом нападения;

Реконфигурирование маршрутизаторов и систем сетевой защиты с целью блокировать пакеты от IP-адреса нападающего;

Реконфигурирование маршрутизаторов и систем сетевой защиты для блокирования протоколов, используемых нападающим;

В критических ситуациях, реконфигурируя маршрутизаторы и системы сетевой защиты, СОВ этого класса способны разъединить все текущие подключения, используя специфические сетевые интерфейсы.

Более агрессивный способ ответить нападающему предусматривает возможность наступательных действий против нападающего, а также получение информации о сервере нападающего. Однако сам этот ответ может быть достаточно опасен для организации, так как он, скорее всего, будет незаконным и принесет убытки невинным пользователям Интернета.

Инструментальные средства, дополняющие СОВ

СуществуеЉт несколько инструментальных средств, которые дополняют СОВ и часто обозначаются разработчиками как полноценные СОВ, потому что они исполняют аналогичные функции.

ИСТЕМЫ HONEY POTS И PADDED CELL

«Горшки меда» (Honey Pots) - системы-«приманки», которые пытаются «соблазнить» атакующего, прежде чем он достигнет критически важных приложений.

Мониторы и регистраторы вторжения на «горшке меда» обнаруживают несанкционированные акции и собирают информацию о действиях нападающего. Системы «Психиатрическая палата» (Padded Cell) реализуют несколько иной подход. Не привлекая нападающих реальными данными, Padded Cell ждет, пока обычная СОВ обнаружит вторжение. После этого нападающий передается специальному серверу системы Padded Cell. Подобно «горшку меда», эта моделируемая среда может быть заполнена реальными данными, чтобы убедить нападающего, что нападение идет согласно плану.

Преимущества:

Нападающий может быть отклонен от целевой системы, которую он не способен повредить;

Администраторы имеют запас времени, чтобы решить, как ответить противнику;

Действия нападающего могут легко контролироваться, а результаты их в качестве авторизованных пользователей.

Недостатки:

Опытный нападающий, когда-то отклоненный в системе-«приманке», в следующий раз может предпринять более враждебное нападение против систем организации;

Необходим высокий уровень подготовки администраторов и руководителей службы безопасности;

Юридические значения использования таких устройств еще недостаточно определены.

Инструментальные средства оценки уязвимости

Инструментальные средства оценки уязвимости подразделяются на два класса: пассивные и активные.

Пассивные просматривают данные на сервере, на котором постоянно находятся, с целью выявить опасные конфигурации в настройках, версиях программ, о которых известно, что они содержат уязвимости, а также слабые пароли.

Активные средства анализируют всю сеть организации в поисках уязвимостей в настройках серверов, сравнивая полученную информацию с библиотекой номеров версии ПО, известных как опасные, и определяют, уязвимы ли серверы к известным нападениям.

Развертывание СОВ

Использование систем обнаружения вторжения требует хорошей подготовки и регулярного взаимодействия специалистов, участвующих в их сопровождении. Организации должны иметь соответствующую политику защиты, планы и процедуры на местах, чтобы персонал знал, как реагировать на все виды тревог, которые инициируют СОВ.

Honey Pots должны использоваться обоснованно и только организациями с высококвалифицированным техническим персоналом, которые имеют возможности экспериментировать с передовыми технологиями защиты.

За исключением отдельных
исследовательских прототипов, Padded Cell в данное время недоступны.

В настоящий момент практикуется несколько вариантов развертывания (местоположения) СОВ на основе защиты сети:

Позади внешней системы сетевой защиты (межсетевых экранов) - обнаружение нападения, проникающего через оборонительный периметр сети из внешнего мира;

Впереди внешней системы сетевой защиты - доказывает, что нападения из Интернета против сети предпринимаются регулярно;

На опорных сетевых каналах - обнаружение неправомочной деятельности в пределах сети и мониторинг большого объема сетевого трафика;

В критической подсети - выявление атак на критические ресурсы.

Будущее СОВ

Исследовательские работы в области создания СОВ активизировались после 1985 года, но крупномасштабное коммерческое использование СОВ не начиналось вплоть до 1996-го. По данным IDC, в 1998 году продажи инструментальных средств СОВ достигли 100 млн, в 2001-м - 350 млн, а в 2002-м уже 443,5 млн долл.! По некоторым х срабатываний, недостатка универсальности и недостаточной интеграции с системами управления сетью предприятия. Вместе с тем анализ тенденций развития этого направления средств защиты информации позволяет предположить, что в недалекой перспективе большинство проблем, связанных с функциональностью СОВ, будут разрешены.

Сергей Гриняев

Статья подготовлена по материалам
Лаборатории информационных технологий Национального института стандартов США.

Как и многие новые технологии, обнаружение атак (intrusion detection) неоднозначно воспринимается многими людьми. Также неоднозначно эта технология и понимается. Обнаружение атак - очень широкая область, которая охватывает многие аспекты, начиная с датчиков движения и систем видеонаблюдения и, заканчивая системами обнаружения мошенничества в реальном масштабе времени. Данная лекция не позволяет рассказать обо всех аспектах этой технологии. Поэтому я рассмотрю только обнаружение нефизических атак на вычислительные или сетевые ресурсы. И, прежде чем начать дальнейшее повествование, я дам определение технологии обнаружения атак, от которого я и буду отталкиваться.
Обнаружение атак - это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.
Атака - это любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей вычислительной системы.

Введение в системы обнаружения атак
Сообщения о проникновении в корпоративные сети и атаках на Web-сервера в последнее время появляются с ужасающей частотой. Число и сложность предлагаемых на рынке информационных технологий периодически растет. Очень часто злоумышленники преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения за защитную преграду. Обнаружить таких злоумышленников очень трудно. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего истинного адреса, осуществляют атаки распределенные во времени (в течение нескольких часов) и пространстве (одновременно с нескольких узлов) и т.д. Многие атаки осуществляются за очень короткое время (минуты и даже секунды), что также не позволяет обнаружить и предотвратить их стандартными защитными средствами.
Связано это с тем, что большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах. Согласно этим моделям субъекту (пользователю или программе) на основе заданных правил разрешается или запрещается доступ к какому-либо объекту (например, файлу). Однако действия, производимые субъектом над объектом, никак не регламентируется и таким образом невозможно, например, предотвратить копирование файла пользователем, которому доступ к данному файлу разрешен. Развитие этих моделей позволило устранить эти недостатки путем контроля конфиденциальности (модель Белла-Лападула) или целостности (модель Биба) информационных потоков. Однако возникает закономерное противоречие между удобством использования системы и уровнем обеспечиваемой ею безопасности. Приходится чем-то жертвовать. Либо удобством использования защищаемой системы, либо уровнем ее защищенности. Очень трудно придти к компромиссу и найти такую конфигурацию системы, которая совмещает в себе и достаточный уровень ее защищенности, и удобство в эксплуатации.
Кроме того, модели управления доступом не могут помочь в случае реализации атак от "посвященных", авторизованных пользователей или процессов (программ), прошедших процедуру аутентификации. Если злоумышленник подобрал или перехватил Ваш пароль (а делается это достаточно легко), то никакая система разграничения доступа не поможет предотвратить кражу или подмену информации, доступную для скомпрометированного пользователя.
Еще совсем недавно, когда корпоративные сети и Internet не были столь широко распространены как сегодня, системный администратор мог позволить себе изредка просматривать списки рассылки по вопросам безопасности (ISS X-Force, CERT Advisory, Bugtraq и т.д.) и, в случае обнаружения новой уязвимости, предотвратить ее использование злоумышленником, установив для своей операционной системы новые "заплаты" (patch"и и hotfix"ы). Однако это обновление могло быть удалено пользователем или другим администратором случайно или в процессе работы. Через неделю или месяц администратор мог вновь проверить свою систему, и вновь установить необходимую "заплату". Однако сейчас все изменилось, сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся и системы разграничения доступа, и межсетевые экраны, и системы аутентификации, сильно ограничены и во многих случаях не могут обеспечить эффективной защиты. Следовательно, необходимы динамические методы, позволяющие обнаруживать и предотвращать нарушения безопасности.
Одной из технологий, которая может быть применена для обнаружения нарушений, которые не могут быть идентифицированы при помощи моделей контроля доступа является технология обнаружения атак.
Для описания технологии обнаружения атак необходимо последовательно ответить на четыре вопроса, которые почти полностью охватывают все аспекты данной технологии.

Какой бы эффективный метод получения информации об атаках ни использовался, эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В самых первых системах обнаружения атак, разработанных в начале 80-х годов, использовались статистические методы обнаружения атак. Однако математика не стоит на месте, и сейчас к статистическому анализу добавилось множество новых методик, начиная с нечеткой логики и заканчивая использованием нейронных сетей.
Каждый из описанных ниже методов обладает целям рядом достоинств и недостатков и поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Статистический метод
В анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Основные преимущества статистического подхода - это адаптация к поведению субъекта и использование уже разработанного и зарекомендовавшего себя аппарата математической статистики. Кроме того, статистические методы универсальны, т.к. не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем.
Во-первых, "статистические" системы могут быть с течением времени "обучены" нарушителями так, чтобы атакующие действия рассматривались как нормальные. Во-вторых, "статистические" системы не чувствительны к порядку следования событий. А в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность. И, наконец, очень трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность. Кроме того, данные методы неприменимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя несанкционированные действия типичны.

Использование экспертных систем
Использование экспертных систем представляет собой второй распространенный метод, при котором информация об атаках формулируются в виде правил, которые могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. В случае выполнения любого из правил принимается решение о несанкционированной деятельности.
Основное достоинство такого подхода - практически полное отсутствие ложных тревог. Однако есть и недостатки, основной из которых невозможность отражения неизвестных атак. Даже небольшое изменение уже известной атаки может стать большим препятствием для системы обнаружения атак.

Нейронные сети
Большинство современных подходов к процессу обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистических методов. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Экспертная система состоит из набора правил, которые охватывают знания человека-"эксперта". К сожалению, экспертные системы требуют постоянного обновления для того, чтобы оставаться постоянно актуальными. В то время как экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться вручную администратором. Как минимум, это приведет к экспертной системе с недостаточными (ослабленными) возможностями. В худшем случае, отсутствие сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Любое разделение атаки либо во времени, либо среди нескольких злоумышленников, является трудным для обнаружения при помощи экспертных систем. Сетевые атаки постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Одним из путей устранения названных проблем является использование нейронных сетей. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики характеристикам, заложенным в базе данных правил, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи (т.н. обучение).
Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальномупериоду обучения, нейросеть также набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности "изучать" характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.
Корреляция (в рассматриваемой области) - это процесс интерпретации, обобщения и анализа информации из всех доступных источников о деятельности анализируемой системы в целях обнаружения атак и реагирования на них.
Если не вдаваться в подробности процесса корреляции данных, то можно выделить два аспекта, на которые следует обратить внимание при выборе системы обнаружения атак. Первый аспект - число сессий (сетевых или пользовательских), анализируемых одновременно анализ. В настоящий момент практически все системы осуществляют анализ в заданный момент времени всего одной сессии, что не позволяет, например, обнаруживать скоординированные атаки из нескольких источников.
Второй аспект - когда осуществлять анализ, в реальном режиме времени или после осуществления атаки. Казалось бы, ответ очевиден - конечно в реальном времени. Однако все не так просто. Большей точности (хотя иногда и в ущерб эффективности) распознавания можно добиться именно после осуществления атаки, когда в вашем распоряжении находится вся информация об инциденте.

Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование. Применение той или иной реакции зависит от многих факторов, описание которых выходит за рамки данной статьи.

Уведомление
Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Поскольку такая консоль не может быть установлена у каждого сотрудника, отвечающего в организации за безопасность, а также в тех случаях, когда этих сотрудников могут интересовать не все события безопасности, необходимо применение иных механизмов уведомления. Таким механизмом является посылка сообщений по электронной почте, на пейджер, по факсу или по телефону. Последние два варианта присутствуют только в системе обнаружения атак RealSecure американской компании Internet Security Systems, Inc.
К категории "уведомление" относится также посылка управляющих последовательностей к другим системам. Например, к системам сетевого управления (HP OpenView, Tivoli TME10, CA Unicenter и т.д.) или к межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewal l, Raptor Firewall и т.д.). В первом случае используется стандартизованный протокол SNMP, а во втором - внутренние или стандартизованные (например, SAMP) протоколы.

Сохранение
К категории "сохранение" относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать "успешные" атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.

Активное реагирование
К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т.к. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.

Требования пользователей
Необходимо заранее определить, от чего и от кого надо защищать свою вычислительную систему. Следует определить соотношение между затратами (зачастую немалыми) на приобретение и эксплуатацию системы обнаружение атак и выгодой от ее использования . Процесс выбора одной из более чем 30 существующих на рынке систем может занять не одну неделю или месяц. Но эти усилия стоят того. Правильный выбор системы обнаружения атак поможет сэкономить сотни тысяч долларов, которые могли бы быть утеряны в случае нарушения функционирования вычислительной системы.
Однако какими бы эффективными ни были механизмы, заложенные в систему обнаружения атак, она не найдет применения, если она не отвечает требованиям пользователей. Чем сложнее система обнаружения атак, тем выше ее стоимость. Однако стоимость - это не единственный основополагающий фактор при осуществлении выбора. Необходимо учитывать и применяемые механизмы получения информации об атаках, алгоритмы анализа и корреляции данных, варианты реагирования, производительность системы, ее надежность и т.д. Число таких параметров достаточно велико. В целом, все требования, которые необходимо учитывать при выборе систем обнаружения атак, можно условно разделить на несколько групп:

• Инсталляция и развертывание системы;
• Безопасность самой системы;
• Обнаружение атак;
• Реагирование на атаки;
• Конфигурация системы;
• Контроль событий;
• Управление данными системы;
• Производительность системы;
• Архитектура системы;
• Техническая поддержка системы.

Не стоит выбирать систему обнаружения атак, основываясь только на текущей ситуации. Попытайтесь заглянуть в будущее и проанализировать рост вычислительной системы, изменение предоставляемых ею услуг и т.д. Учитывая это, вы сможете эффективно вложить свои средства в систему защиты уже сейчас.
Немаловажным является вопрос внедрения системы обнаружения атак в существующую технологию обработки информации и, затем, адаптации ее к окружающим условиям. Одновременно с внедрением необходимо провести обучение персонала правилам использования системы в организации. Необходимо заметить, что система обнаружения атак не сможет обеспечить абсолютной защиты от всех атак; она поможет выявить подозрительный трафик и иные формы несанкционированного доступа. Однако наибольшей эффективности при использовании системы обнаружения атак можно достичь, еслик ней "прилагаются" специалисты, способные правильно эксплуатировать систему и понимающие, когда и как реагировать на выдаваемые ею сообщения.
Более подробно с требованиями, предъявляемыми к системам обнаружения атак можно ознакомиться в документе "Системы обнаружения атак. Стратегия выбора", разработанном в Научно-инженерном предприятии "Информзащита", получить который можно, обратившись по адресу www.infosec.ru.

Системы обнаружения атак или межсетевые экраны?
Очень часто задают вопрос: "Нужна ли мне система обнаружения атак, если у нас уже используется межсетевой экран?" Несомненно нужна. Система обнаружения атак является существенно важным дополнением межсетевого экрана (firewall), но никак не его заменой. Межсетевые экраны предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти средства из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества не обеспечивают приемлемого уровня доступа. Например, кто-то не понимает необходимости защиты сети и оставляет на рабочем месте включенным модем для доступа к компьютеру из дома. Межсетевой экран не может не только защитить в этом случае, но и обнаружить это факт. В этом случае системы обнаружения атак незаменимы. Независимо от того, какова надежность и эффективность фильтрации вашего межсетевого экрана, пользователи зачастую находят способы обойти все установленные Вами преграды. Например, объекты ActiveX или апплеты Java могут представлять новые направления для реализации атак через межсетевыеэкраны. Кроме того, по статистике не менее 75% всех компьютерных преступлений происходит изнутри корпоративной сети, от своих сотрудников. А, как уже было сказано выше, "классические" средства защиты, к которым относятся и межсетевые экраны, не позволяют защитить корпоративную сеть в случае наличия плохого умысла со стороны пользователя, имеющего в нее доступ. Поэтому, межсетевой экран не может заменить систему обнаружения атак и оба этих средства нужны для построения эффективной системы защиты информации.
Представьте Вашу сеть как многоэтажное высотное здание, в котором межсетевой экран - это швейцар у дверей на входе, а каждый модуль слежения системы обнаружения атак - это сторожевой пес у каждой конкретной двери. Как правило, швейцар с удовольствием пропускает людей, которые выглядят довольно хорошо, и задерживает подозрительных людей. Однако, умный преступник способен пройти мимо швейцара и проникнуть внутрь здания, не вызвав его подозрений. Сторожевой пес лучше знает, кого он может впустить в данную дверь и мгновенно реагирует на вторжение.

Системы обнаружения атак в России
Первая система обнаружения атак появилась в России в середине 1997 года, когда было заключено соглашение между Научно-инженерным предприятием "Информзащита" и малоизвестной в то время американской фирмой Internet Security Systems, Inc. (ISS), разработавшей систему обнаружения атак RealSecure. С тех пор ситуация изменилась в лучшую сторону. Компания ISS в настоящий момент является лидером на рынке средств обнаружения атак (по данным корпорации IDC - в 1999 году 52 % всего рынка). В России ситуация аналогичная - система RealSecure захватила большую часть российского рынка средств обнаружения атак. Этому предшествовала большая и кропотливая работа по созданию соответствующей инфраструктуры поддержки этой системы. В настоящий момент завершается ее русификация.
Помимо системы RealSecure на российском рынке представлены следующие продукты зарубежных фирм:

• NetRanger компании Cisco Systems.
• OmniGuard Intruder Alert компании Axent Technologies.
• SessionWall-3 компании Computer Associates.
• Kane Security Monitor компании Security Dynamics.
• CyberCop Monitor компании Network Associates.
• NFR компании Network Flight Recodred.

Первая тройка во главе с RealSecure является лидирующей и во всем мире. Всего же известно более 30 коммерчески распространяемых систем обнаружения атак.

Стандарты и руководящие документы
С конца прошлого - начала этого года ведутся работы по выработке руководящих документов, которые позволят проводить адекватный анализ и оценку предлагаемых на российском рынке систем обнаружения атак. Аналогичные работы проводятся и за рубежом. В качестве примера можно назвать стандарты CIDF или IDEF, разрабатываемые в Министерстве Обороны США и рабочей группы консорциума IETF.

Перспективы и тенденции развития
Можно заметить, что оба решения: IDS и сетевого, и системного уровней имеют свои достоинства и преимущества, которые эффективно дополняют друг друга, а также устраняют недостатки друг друга.
Итак, вкратце я описал существующие решения в области обнаружения атак. Но применимы ли они в том виде, в котором они сейчас существуют, в следующем тысячелетии? Вряд ли. И вот почему. Современные сети становятся настолько сложными, что их трудно контролировать существующими методами. Число узлов в сетях растет с небывалой скоростью, ширится применение гигабитных скоростей и коммутируемых сетей на основе VLAN. Объем передаваемого по сетям трафика возрастает на несколько порядков. Нужны совершенно новые подходы в обнаружении атак, позволяющие справиться с указанными факторами .

Микроагенты
Как уже отмечено выше, существующие системы обнаружения атак относятся либо к классу сетевых (network-based), либо к классу системных (host-based). Однако идеальным решением было бы создание системы, совмещающей в себе обе эти технологии, т.е. на каждый контролируемый узел устанавливался бы агент системы обнаружения атак и контролировал не только атаки на прикладном уровне (уровне ОС и уровне приложений), но и сетевые атаки, направленные на данный узел. Этот подход имеет несколько преимуществ по сравнению с существующими решениями.
Во-первых, высокая сетевая скорость уже не представляет проблемы, поскольку указанный агент просматривает только трафик для данного узла вместо всего трафика всей сети. Во-вторых, расшифрование пакетов осуществляет прежде, чем они достигнут агента. И, наконец, из-за того, что он размещается непосредственно на каждом контролируемом компьютере, коммутируемые сети также не накладывают ограничений на их использование.
Эти агенты комбинируют характеристики сетевого модуля слежения, работающего в реальном масштабе времени, с тактическими преимуществами агента системного уровня. В настоящий момент о разработках в этой области объявила только компания Internet Security Systems (ISS ) . Компания ISS назвала эту разработку Micro Agent и планирует завершить ее к концу этого года. Эти микроагенты будут дополнять существующие сетевые и системные модули слежения системы обнаружения атак RealSecure компании ISS.

Представление данных в системах обнаружения атак
Для эффективного обнаружения атак необходимо контролировать и подробно записывать большое число событий, происходящих в информационной системе. В результате образуется большой объем данных, большинство которых не представляют интереса, но сохраняются в надежде, что их анализ позволит своевременно обнаружить подозрительное событие. Хранение больших объемов данных приводит к двум задачам:

• Разработать механизмы эффективного использования дискового пространства для хранения журналов регистрации и данных сетевого трафика;
• Разработать механизмы эффективного представления администратору только тех данных, которые представляют для него интерес.

Эти две проблемы взаимосвязаны, но я коснусь только второй задачи. Многие специалисты сталкивались с ситуацией, когда система обнаружения атак генерит сотни, а в крупных сетях, тысячи записей о происходящих событиях. Проанализировать эти события вручную администратору не под силу. И хотя в системах обнаружения атак, представленных на рынке, существуют механизмы объединения нескольких однотипных событий в одно, эта работа еще далека до завершения.
В настоящий момент методы эффективного представления данных разрабатываются различными производителями и исследовательскими центрами. Например, компания ISS в конце июня этого года объявила о создании "технологии слияния" (Fusion Technology), которая позволит группировать сотни событий, зарегистрированных системой обнаружения атак RealSecure и другими средствами защиты третьих разработчиков, в одно-два уведомления, представленные на экране консоли управления. В этом же направлении движется и исследовательский центр COAST, в котором создана рабочая группа по разработке эффективного формата журналов регистрации и представления данных администратору безопасности.Из российских разработчиков такие механизмы реализует НИП "Информзащита" в своей новой технологии управления информационной безопасностью "Беркут".

Принятие решений, прогнозирование атак
Системы обнаружения атак в новом тысячелетии должны стать более интеллектуальными по сравнению со своими современными аналогами. И это касается не только процесса обнаружения атак, что может быть реализовано при помощи различных механизмов, в т.ч. и при помощи описанных выше нейросетей. Интеллектуальность будет присутствовать в процессе принятия решения о реагировании на атаки, а также при прогнозировании новых атак на корпоративную сеть. Первым шагом в создании таких систем можно назвать создание компанией ISS продукта под названием SAFEsuite Decisions. Эта система позволяет получать данные, получаемые от различных средств защиты, в т.ч. межсетевых экранов, систем анализа защищенности и обнаружения атак. Затем эти данные можно анализировать, обобщать их и определять на их основе подверженность того или иного узла или сегмента сети атакам со стороны внешних или внутренних злоумышленников. Знание уязвимостей, полученное от систем анализа защищенности, наряду со знанием частоты атак, полученное от межсетевых экранов и систем обнаружения атак, установленных на различных сегментах сети, позволяет прогнозировать нападения на узлы и сегменты сети, в т.ч. и скоординированные атаки, осуществляемые одновременно из нескольких мест.

В данной теме раскрыты в основном те вопросы, на которые стоит обращать внимание при выборе системы обнаружения атак. Однако, установив выбранную систему, вы еще не полностью защитили себя от атак. И это надо понимать. Система обнаружения атак - это всего лишь необходимое, но явно недостаточное условие для обеспечения эффективной системы защиты организации. Необходимо провести целый спектр организационных и технических мероприятий для построения целостной системы защиты вашей организации. Это и анализ рисков, и разработка политики безопасности, и установка и настройка различных средств защиты (межсетевые экраны, систем анализа защищенности и т.д.), и обучение специалистов, и т.д.
Подводя итог, можно сказать, что система обнаружения атак - это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать, обобщать и анализировать информацию от множества удаленных сенсоров на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные модули слежения и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем дорогостоящая игрушка, если у вас в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак.