eng
Атаки на вычислительные и информационные системы уже прочно вошли в список проблем служб безопасности различных предприятий. Железные двери, жалюзи на окна, видеодомофоны, системы контроля помещений, охранник на входе – обязательные атрибуты практически любой фирмы. Но не меньше неприятностей, чем при физическом воздействии, может причинить и электронное вторжение, в том числе компьютерные атаки. Вопрос защиты от них крайне непростой. Как разобраться в многообразии инструментов, предлагаемых на рынке? Этому поможет знание “кирпичиков”, из которых строятся системы защиты.
Автор рассказывает об основных принципах и механизмах систем обнаружения атак – важнейшего элемента любой системы безопасности.
Автор рассказывает об основных принципах и механизмах систем обнаружения атак – важнейшего элемента любой системы безопасности.
Как и многие новые понятия, термин “обнаружение атак” (intrusion detection) специалисты воспринимают по-разному. Каждый пытается дать свое определение. Например, обратившись к теоретику в области безопасности, вы получите длинное определение в терминах статистики, марковских процессов и т.д. Сетевой администратор постарается объяснить, что такое обнаружение атак, на примере фильтрации в межсетевых экранах. Производители физических средств защиты приведут примеры систем наблюдения (видеокамеры, датчики и т.д.). Ну а работник банка или оператор связи расскажет о системах обнаружения мошенничества. Поэтому начнем с определения, от которого и будем отталкиваться.
Обнаружение атак – это процесс идентификации подозрительной деятельности, направленной на вычислительные или сетевые ресурсы, и реагирования на нее [1]. Атака – любое действие нарушителя, которое приводит к нежелательному воздействию на вычислительную систему путем использования ее уязвимостей [2]. Для описания технологии обнаружения атак необходимо осветить четыре основных аспекта: методы получения информации об атаках, анализ данных, архитектура систем обнаружения и способы реагирования на атаку. При выборе системы обнаружения атак нельзя обойти и ряд других вопросов, например анализ требований пользователей, механизмы обнаружения злоумышленника (именно злоумышленника, а не атаки) и т.д. Но это – тема отдельной статьи.
КАК ОБНАРУЖИТЬ АТАКУ
Как бы ни называли производители или исследовательские лаборатории механизмы обнаружения атак, используемые в своих продуктах, все они основаны на нескольких общих методах. Необходимо сразу заметить, что эти механизмы не являются взаимоисключающими, во многих системах встречается комбинация нескольких подходов.
Одним из первых методов обнаружения атак был анализ журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д. Достоинство данного метода – простота реализации. Однако у него немало недостатков. Во-первых, для достоверного обнаружения подозрительной деятельности в журналах необходимо регистрировать большой объем данных, в результате чего снижается скорость работы контролируемой системы. Анализировать журналы регистрации без помощи специалистов очень трудно, и это препятствует распространению метода. Кроме того, нет унифицированного формата хранения журналов. И хотя работы в этой области ведутся, например, в лаборатории COAST и в компании WebTrends, до их завершения еще очень далеко. И что немаловажно, уже записанные данные анализируются не в режиме реального времени. Как правило, этот метод является дополнением к другим способам обнаружения атак. Он позволяет проводить “разбор полетов” после того, как была зафиксирована атака, чтобы выработать эффективные меры предотвращения аналогичных воздействий в будущем.
Метод анализа “на лету” заключается в мониторинге сетевого трафика в реальном (или близком к реальному) времени. Очень часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность, например ‘\\WINNT\SYSTEM32\CONFIG’ (путь к файлам Sam, Security и т.д.) или ‘/etc/passwd’ (путь к списку паролей ОС Unix). Данный подход дает два основных преимущества. Во-первых, один агент системы обнаружения атак может просматривать целый сегмент сети с многочисленными хостами, в то время как предыдущий метод требует установки своего агента на каждый анализируемый узел. В результате можно обнаруживать атаки против всех элементов сети – от маршрутизаторов до прикладных приложений. Во-вторых, системы, реализующие механизм анализа “на лету”, могут определять и отражать атаки в реальном масштабе времени.
Еще один метод обнаружения – использование профилей “нормального” поведения. Он применяется для контроля за пользователями, системной деятельностью или сетевым трафиком. Данные наблюдения сравниваются с ожидаемыми значениями профиля нормального поведения, который строится в период обучения системы обнаружения атак.
При настройке и эксплуатации систем с данным механизмом возникает ряд проблем [3]. Прежде всего, построение профиля пользователя – сложно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы. Очень непросто определить граничные значения характеристик “нормального” поведения пользователя. Неправильная же настройка профиля приводит к тому, что поведение субъекта вычислительной системы будет определяться как аномальное, хотя на самом деле оно таковым не является. Например, одновременную посылку большого числа запросов об активности станций от администратора системы сетевого управления многие системы обнаружения идентифицируют как атаку типа “отказ в обслуживании” (denial of service). Другая, более опасная крайность – пропуск атаки, которая не подпадает под определение аномального поведения. Вот почему данный метод редко используют в современных системах защиты информации (хотя такие попытки есть). Гораздо чаще этот подход применяют в системах обнаружения мошенничества (fraud detection systems) в финансовых структурах или у операторов связи.
С анализом “на лету” сопоставимо использование сигнатур атак. Метод заключается в описании атаки в виде сигнатур (signature или pattern) и их поиска в контролируемом пространстве (сетевом трафике, журнале регистрации и т.д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Сигнатуры хранятся в базе данных, как в антивирусных системах. Собственно говоря, антивирусные резидентные мониторы – это частный случай системы обнаружения атак, но так как эти направления изначально развивались параллельно, их принято разделять.
Несмотря на эффективность и простоту применения сигнатур, при их использовании также возникают проблемы. Основная сложность – создание механизма описания сигнатур (языка описания атак). Из нее плавно вытекает проблема записи атаки с учетом всех ее возможных модификаций. Отметим, что проблема описания сигнатур уже частично решена в некоторых продуктах (например, система описания сетевых атак Advanced Packets Exchange компании Internet Security Systems, предлагаемая совместно с широко известной в России и сертифицированной в Гостехкомиссии системой анализа защищенности Internet Scanner той же фирмы).
АНАЛИЗ И ИНТЕРПРЕТАЦИЯ ДАННЫХ
Эффективность системы обнаружения атак во многом зависит от методов анализа информации. В самых первых системах, разработанных в начале 80-х, использовались статистические методы обнаружения атак. Однако наука не стоит на месте. Появилось и множество новых методик – от нечеткой логики до нейронных сетей. Каждая из них обладает своими достоинствами и недостатками, поэтому в реальных системах различные подходы реализованы в совокупности.
При статистическом методе в анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение (дисперсия) от эталона считается несанкционированной деятельностью. Основные преимущества статистического подхода – это адаптация к поведению субъекта и применение отработанного аппарата математической статистики. Но данная методика порождает и ряд проблем.
Во-первых, нарушители постепенно могут обучить “статистические” системы так, что атакующие действия будут восприниматься как нормальные. Во-вторых, статистический механизм не чувствителен к порядку следования событий. А в некоторых случаях одни и те же события, в зависимости от их последовательности, характеризуют и аномальную и нормальную деятельность. Кроме того, очень трудно задать граничные (пороговые) значения отслеживаемых характеристик, чтобы адекватно идентифицировать несанкционированную деятельность. И, наконец, данный метод неприменим, если для пользователя в принципе отсутствует шаблон типичного поведения или для него типичны аномальные действия.
Кроме статистического подхода, для анализа данных широко распространены экспертные системы. Экспертная система содержит набор правил, которые охватывают знания человека-эксперта. Однако, чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления своей базы знаний. Основное достоинство такого подхода – практически полное отсутствие ложных тревог. Но есть и недостатки, главный из них – невозможность отражения неизвестных атак. Любое разделение атаки либо во времени, либо среди нескольких злоумышленников, также является трудным для обнаружения при помощи экспертных систем. Сценарии сетевых атак постоянно изменяются как из-за индивидуальных подходов хакеров, так и в связи с регулярным обновлением ПО и аппаратных средств. Разнообразие видов атак и хакеров столь велико, что даже постоянное обновление базы знаний экспертной системы никогда не даст гарантии точной идентификации нежелательного воздействия.
Один из путей разрешения названных проблем – нейронные сети. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики шаблонным, нейронная сеть позволяет оценить степень соответствия анализируемых данных эталонной модели. При этом эффективность работы системы полностью зависит от качества ее обучения.
Первоначально нейронную сеть обучают на ряде эталонных примеров. Реакции нейросети анализируют, и настраивают систему для наилучшего соответствия известным ответам. Кроме того, нейросеть обучается и в процессе реальной работы. Наиболее важное достоинство нейронных сетей при обнаружении злоупотреблений – их способность изучать характеристики умышленных атак и идентифицировать элементы, не похожие на наблюдавшиеся в сети прежде.
Кроме различных методов анализа, отметим еще два существенных аспекта в работе систем обнаружения атак. Прежде всего, большое значение имеет число одновременно анализируемых сессий (сетевых или пользовательских). Практически все современные системы в заданный момент анализируют всего одну сессию, что не позволяет, например, обнаруживать скоординированные атаки из нескольких источников. Не менее важно и то, когда происходит анализ – в реальном режиме времени или после атаки. Казалось бы, лучше в реальном времени. Однако все не так просто. Большей точности (хотя иногда и в ущерб эффективности) распознавания можно добиться именно после атаки, когда в распоряжении администратора находится вся информация об инциденте.
АРХИТЕКТУРА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
Все системы обнаружения атак основаны на двух типах архитектур – автономный агент и агент-менеджер. В первом случае на каждый защищаемый узел или сегмент сети устанавливают агентов системы, которые не могут ни обмениваться информацией между собой, ни управляться с единой консоли. Этих недостатков лишена архитектура “агент-менеджер”. Структурная схема типичной системы обнаружения атак представлена на рисунке.
Сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика) обеспечивает модуль слежения (engine). Разные производители называют его сенсором (sensor), монитором (monitor), зондом (probe) и т.д. При архитектуре типа “агент-менеджер” он может быть физически отделен от остальных компонентов системы (находиться на другом компьютере). Необходимо заметить, что именно модуль слежения осуществляет обнаружение и реагирование на атаки. Известна попытка реализации механизмов обнаружения и реагирования на консоли системы обнаружения атак. Модуль слежения при этом отвечает только за сбор данных. Однако в данном случае любая удачная попытка выведения из строя консоли или канала соединения консоли и модуля слежения приведет к тому, что модуль слежения превратится в бесполезную программу, “пожирающую” ресурсы защищаемого компьютера.
База знаний содержит профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. Она пополняется производителем, пользователем или третьей стороной (например, аутсорсинговой компанией).
КАК РЕАГИРОВАТЬ НА АТАКУ
Атаку мало обнаружить. Надо еще и своевременно отреагировать на нее. Причем не только блокировать действия злоумышленника. Часто бывает необходимо пропустить атакующего в сеть компании, чтобы зафиксировать все его действия для дальнейшего разбирательства. Поэтому применяют три категории методов реагирования: уведомление, хранение и активное реагирование.
Самый простой и широко распространенный метод уведомления – посылка сообщений об атаке на консоль системы обнаружения. Кроме того, сообщения можно отправлять по электронной почте, на пейджер, по факсу или по телефону (с проигрыванием заранее записанного сообщения). Последние два варианта присутствуют только в системе обнаружения атак RealSecure компании Internet Security Systems. К категории “уведомление” относится и выдача управляющих последовательностей другим системам – например, системам сетевого управления (HP OpenView, Tivoli TME10, CA Unicenter и т.д.) или к межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewall, Raptor Firewall и т.д.). В первом случае используют стандартизованный протокол SNMP, во втором – внутренние, а также стандартизованные (например, SAMP компании CheckPoint) протоколы.
Категория “активное реагирование” подразумевает блокировку работы атакующего, завершение сессии с атакующим узлом и реконфигурацию межсетевых экранов или маршрутизаторов. Например, в системе RealSecure возможно изменение правил работы межсетевого экрана CheckPoint Firewall-1 или маршрутизаторов Cisco, позволяющих заблокировать любой трафик с атакующего узла на определенное время. Данная категория механизмов реагирования весьма эффективна, но использовать их надо очень аккуратно, поскольку ошибка может привести к нарушению работоспособности всей вычислительной системы.
СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК В РОССИИ
Первая система обнаружения атак появилась в России в середине 1997 года, когда было заключено соглашение между Научно-инженерным предприятием “Информзащита” и малоизвестной в то время американской фирмой Internet Security Systems, Inc. (ISS), разработавшей систему обнаружения атак RealSecure. С тех пор ситуация кардинально изменилась в лучшую сторону. Сегодня компания ISS – лидер на рынке средств обнаружения атак (по данным корпорации IDC, опубликованным в августе 1999 года, – 52 % всего рынка). У нас ситуация аналогичная – система RealSecure захватила большую часть российского рынка средств обнаружения атак. Этому способствовала большая и кропотливая работа по созданию соответствующей инфраструктуры поддержки системы (сейчас завершается ее русификация).
Помимо RealSecure на российском рынке представлены системы NetRanger компании Cisco Systems, OmniGuard Intruder Alert фирмы Axent Technologies и SessionWall-3 компании Computer Associates. Эта четверка во главе с RealSecure является лидирующей и во всем мире (см. табл.). Всего же известно более 30 коммерчески распространяемых систем обнаружения атак. С конца прошлого – начала этого года в России ведутся работы по выработке руководящих документов, которые позволят проводить адекватный анализ и давать оценку предлагаемым на российском рынке системам обнаружения атак. Аналогичные мероприятия проводятся и за рубежом.
ВЫБОР СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
Необходимо заранее решить, от чего и от кого надо защищать свою вычислительную систему. Следует определить соотношение между затратами (зачастую немалыми) на приобретение и эксплуатацию системы обнаружения атак и выгодой от ее использования [4]. Процесс выбора одной из более чем 30 существующих на рынке систем может занять не одну неделю или месяц. Но эти усилия стоят того. Правильный выбор поможет сэкономить сотни тысяч долларов, которые могли бы быть утеряны в случае нарушения нормальной работы вычислительной системы.
Чем сложнее система обнаружения атак, тем она дороже. Однако цена – это не единственный фактор при выборе. Необходимо учитывать и применяемые механизмы получения информации об атаках, алгоритмы анализа и интерпретации данных, варианты реагирования, производительность системы, ее надежность и т.д. Число таких параметров достаточно велико.
Однако надо понимать, что система обнаружения атак – это всего лишь необходимый, но явно недостаточный элемент эффективной системы защиты организации. Нужен ряд организационных и технических мероприятий – анализ рисков, разработка политики безопасности, установка и настройка различных средств защиты (межсетевые экраны, систем анализа защищенности и т.д.), обучение специалистов и т.д.
Система обнаружения атак – это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система позволяет собирать, обобщать, хранить и анализировать информацию от множества удаленных сенсоров на центральной консоли. Однако система обнаружения атак может стать не более чем дорогостоящей игрушкой, если в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу.
Более подробно требования, предъявляемые к системам обнаружения атак, изложены в документе “Системы обнаружения атак. Стратегия выбора”, разработанном в Научно-инженерном предприятии “Информзащита”. Получить его можно, обратившись по адресу internet@infosec.ru.
Литература
1. Edward Amoroso. Intrusion Detection. An Introduction to Internet. Surveillance, Correlation, Trace Back, Traps and Response. – Intrusion.Net Books, 1999.
2. Лукацкий А.В. Безопасность сети банка глазами специалистов. – Аналитический банковский журнал, 1999, №1–2.
3. Лукацкий А.В. Системы обнаружения атак. – Банковские технологии, 1999, №2.
4. Гэри Бернстайн. Мошенничество – в центре внимания. – Mobile Communications International/RE, 1999, №1.
Обнаружение атак – это процесс идентификации подозрительной деятельности, направленной на вычислительные или сетевые ресурсы, и реагирования на нее [1]. Атака – любое действие нарушителя, которое приводит к нежелательному воздействию на вычислительную систему путем использования ее уязвимостей [2]. Для описания технологии обнаружения атак необходимо осветить четыре основных аспекта: методы получения информации об атаках, анализ данных, архитектура систем обнаружения и способы реагирования на атаку. При выборе системы обнаружения атак нельзя обойти и ряд других вопросов, например анализ требований пользователей, механизмы обнаружения злоумышленника (именно злоумышленника, а не атаки) и т.д. Но это – тема отдельной статьи.
КАК ОБНАРУЖИТЬ АТАКУ
Как бы ни называли производители или исследовательские лаборатории механизмы обнаружения атак, используемые в своих продуктах, все они основаны на нескольких общих методах. Необходимо сразу заметить, что эти механизмы не являются взаимоисключающими, во многих системах встречается комбинация нескольких подходов.
Одним из первых методов обнаружения атак был анализ журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д. Достоинство данного метода – простота реализации. Однако у него немало недостатков. Во-первых, для достоверного обнаружения подозрительной деятельности в журналах необходимо регистрировать большой объем данных, в результате чего снижается скорость работы контролируемой системы. Анализировать журналы регистрации без помощи специалистов очень трудно, и это препятствует распространению метода. Кроме того, нет унифицированного формата хранения журналов. И хотя работы в этой области ведутся, например, в лаборатории COAST и в компании WebTrends, до их завершения еще очень далеко. И что немаловажно, уже записанные данные анализируются не в режиме реального времени. Как правило, этот метод является дополнением к другим способам обнаружения атак. Он позволяет проводить “разбор полетов” после того, как была зафиксирована атака, чтобы выработать эффективные меры предотвращения аналогичных воздействий в будущем.
Метод анализа “на лету” заключается в мониторинге сетевого трафика в реальном (или близком к реальному) времени. Очень часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность, например ‘\\WINNT\SYSTEM32\CONFIG’ (путь к файлам Sam, Security и т.д.) или ‘/etc/passwd’ (путь к списку паролей ОС Unix). Данный подход дает два основных преимущества. Во-первых, один агент системы обнаружения атак может просматривать целый сегмент сети с многочисленными хостами, в то время как предыдущий метод требует установки своего агента на каждый анализируемый узел. В результате можно обнаруживать атаки против всех элементов сети – от маршрутизаторов до прикладных приложений. Во-вторых, системы, реализующие механизм анализа “на лету”, могут определять и отражать атаки в реальном масштабе времени.
Еще один метод обнаружения – использование профилей “нормального” поведения. Он применяется для контроля за пользователями, системной деятельностью или сетевым трафиком. Данные наблюдения сравниваются с ожидаемыми значениями профиля нормального поведения, который строится в период обучения системы обнаружения атак.
При настройке и эксплуатации систем с данным механизмом возникает ряд проблем [3]. Прежде всего, построение профиля пользователя – сложно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы. Очень непросто определить граничные значения характеристик “нормального” поведения пользователя. Неправильная же настройка профиля приводит к тому, что поведение субъекта вычислительной системы будет определяться как аномальное, хотя на самом деле оно таковым не является. Например, одновременную посылку большого числа запросов об активности станций от администратора системы сетевого управления многие системы обнаружения идентифицируют как атаку типа “отказ в обслуживании” (denial of service). Другая, более опасная крайность – пропуск атаки, которая не подпадает под определение аномального поведения. Вот почему данный метод редко используют в современных системах защиты информации (хотя такие попытки есть). Гораздо чаще этот подход применяют в системах обнаружения мошенничества (fraud detection systems) в финансовых структурах или у операторов связи.
С анализом “на лету” сопоставимо использование сигнатур атак. Метод заключается в описании атаки в виде сигнатур (signature или pattern) и их поиска в контролируемом пространстве (сетевом трафике, журнале регистрации и т.д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Сигнатуры хранятся в базе данных, как в антивирусных системах. Собственно говоря, антивирусные резидентные мониторы – это частный случай системы обнаружения атак, но так как эти направления изначально развивались параллельно, их принято разделять.
Несмотря на эффективность и простоту применения сигнатур, при их использовании также возникают проблемы. Основная сложность – создание механизма описания сигнатур (языка описания атак). Из нее плавно вытекает проблема записи атаки с учетом всех ее возможных модификаций. Отметим, что проблема описания сигнатур уже частично решена в некоторых продуктах (например, система описания сетевых атак Advanced Packets Exchange компании Internet Security Systems, предлагаемая совместно с широко известной в России и сертифицированной в Гостехкомиссии системой анализа защищенности Internet Scanner той же фирмы).
АНАЛИЗ И ИНТЕРПРЕТАЦИЯ ДАННЫХ
Эффективность системы обнаружения атак во многом зависит от методов анализа информации. В самых первых системах, разработанных в начале 80-х, использовались статистические методы обнаружения атак. Однако наука не стоит на месте. Появилось и множество новых методик – от нечеткой логики до нейронных сетей. Каждая из них обладает своими достоинствами и недостатками, поэтому в реальных системах различные подходы реализованы в совокупности.
При статистическом методе в анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение (дисперсия) от эталона считается несанкционированной деятельностью. Основные преимущества статистического подхода – это адаптация к поведению субъекта и применение отработанного аппарата математической статистики. Но данная методика порождает и ряд проблем.
Во-первых, нарушители постепенно могут обучить “статистические” системы так, что атакующие действия будут восприниматься как нормальные. Во-вторых, статистический механизм не чувствителен к порядку следования событий. А в некоторых случаях одни и те же события, в зависимости от их последовательности, характеризуют и аномальную и нормальную деятельность. Кроме того, очень трудно задать граничные (пороговые) значения отслеживаемых характеристик, чтобы адекватно идентифицировать несанкционированную деятельность. И, наконец, данный метод неприменим, если для пользователя в принципе отсутствует шаблон типичного поведения или для него типичны аномальные действия.
Кроме статистического подхода, для анализа данных широко распространены экспертные системы. Экспертная система содержит набор правил, которые охватывают знания человека-эксперта. Однако, чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления своей базы знаний. Основное достоинство такого подхода – практически полное отсутствие ложных тревог. Но есть и недостатки, главный из них – невозможность отражения неизвестных атак. Любое разделение атаки либо во времени, либо среди нескольких злоумышленников, также является трудным для обнаружения при помощи экспертных систем. Сценарии сетевых атак постоянно изменяются как из-за индивидуальных подходов хакеров, так и в связи с регулярным обновлением ПО и аппаратных средств. Разнообразие видов атак и хакеров столь велико, что даже постоянное обновление базы знаний экспертной системы никогда не даст гарантии точной идентификации нежелательного воздействия.
Один из путей разрешения названных проблем – нейронные сети. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики шаблонным, нейронная сеть позволяет оценить степень соответствия анализируемых данных эталонной модели. При этом эффективность работы системы полностью зависит от качества ее обучения.
Первоначально нейронную сеть обучают на ряде эталонных примеров. Реакции нейросети анализируют, и настраивают систему для наилучшего соответствия известным ответам. Кроме того, нейросеть обучается и в процессе реальной работы. Наиболее важное достоинство нейронных сетей при обнаружении злоупотреблений – их способность изучать характеристики умышленных атак и идентифицировать элементы, не похожие на наблюдавшиеся в сети прежде.
Кроме различных методов анализа, отметим еще два существенных аспекта в работе систем обнаружения атак. Прежде всего, большое значение имеет число одновременно анализируемых сессий (сетевых или пользовательских). Практически все современные системы в заданный момент анализируют всего одну сессию, что не позволяет, например, обнаруживать скоординированные атаки из нескольких источников. Не менее важно и то, когда происходит анализ – в реальном режиме времени или после атаки. Казалось бы, лучше в реальном времени. Однако все не так просто. Большей точности (хотя иногда и в ущерб эффективности) распознавания можно добиться именно после атаки, когда в распоряжении администратора находится вся информация об инциденте.
АРХИТЕКТУРА СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
Все системы обнаружения атак основаны на двух типах архитектур – автономный агент и агент-менеджер. В первом случае на каждый защищаемый узел или сегмент сети устанавливают агентов системы, которые не могут ни обмениваться информацией между собой, ни управляться с единой консоли. Этих недостатков лишена архитектура “агент-менеджер”. Структурная схема типичной системы обнаружения атак представлена на рисунке.
Сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика) обеспечивает модуль слежения (engine). Разные производители называют его сенсором (sensor), монитором (monitor), зондом (probe) и т.д. При архитектуре типа “агент-менеджер” он может быть физически отделен от остальных компонентов системы (находиться на другом компьютере). Необходимо заметить, что именно модуль слежения осуществляет обнаружение и реагирование на атаки. Известна попытка реализации механизмов обнаружения и реагирования на консоли системы обнаружения атак. Модуль слежения при этом отвечает только за сбор данных. Однако в данном случае любая удачная попытка выведения из строя консоли или канала соединения консоли и модуля слежения приведет к тому, что модуль слежения превратится в бесполезную программу, “пожирающую” ресурсы защищаемого компьютера.
База знаний содержит профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. Она пополняется производителем, пользователем или третьей стороной (например, аутсорсинговой компанией).
КАК РЕАГИРОВАТЬ НА АТАКУ
Атаку мало обнаружить. Надо еще и своевременно отреагировать на нее. Причем не только блокировать действия злоумышленника. Часто бывает необходимо пропустить атакующего в сеть компании, чтобы зафиксировать все его действия для дальнейшего разбирательства. Поэтому применяют три категории методов реагирования: уведомление, хранение и активное реагирование.
Самый простой и широко распространенный метод уведомления – посылка сообщений об атаке на консоль системы обнаружения. Кроме того, сообщения можно отправлять по электронной почте, на пейджер, по факсу или по телефону (с проигрыванием заранее записанного сообщения). Последние два варианта присутствуют только в системе обнаружения атак RealSecure компании Internet Security Systems. К категории “уведомление” относится и выдача управляющих последовательностей другим системам – например, системам сетевого управления (HP OpenView, Tivoli TME10, CA Unicenter и т.д.) или к межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewall, Raptor Firewall и т.д.). В первом случае используют стандартизованный протокол SNMP, во втором – внутренние, а также стандартизованные (например, SAMP компании CheckPoint) протоколы.
Категория “активное реагирование” подразумевает блокировку работы атакующего, завершение сессии с атакующим узлом и реконфигурацию межсетевых экранов или маршрутизаторов. Например, в системе RealSecure возможно изменение правил работы межсетевого экрана CheckPoint Firewall-1 или маршрутизаторов Cisco, позволяющих заблокировать любой трафик с атакующего узла на определенное время. Данная категория механизмов реагирования весьма эффективна, но использовать их надо очень аккуратно, поскольку ошибка может привести к нарушению работоспособности всей вычислительной системы.
СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК В РОССИИ
Первая система обнаружения атак появилась в России в середине 1997 года, когда было заключено соглашение между Научно-инженерным предприятием “Информзащита” и малоизвестной в то время американской фирмой Internet Security Systems, Inc. (ISS), разработавшей систему обнаружения атак RealSecure. С тех пор ситуация кардинально изменилась в лучшую сторону. Сегодня компания ISS – лидер на рынке средств обнаружения атак (по данным корпорации IDC, опубликованным в августе 1999 года, – 52 % всего рынка). У нас ситуация аналогичная – система RealSecure захватила большую часть российского рынка средств обнаружения атак. Этому способствовала большая и кропотливая работа по созданию соответствующей инфраструктуры поддержки системы (сейчас завершается ее русификация).
Помимо RealSecure на российском рынке представлены системы NetRanger компании Cisco Systems, OmniGuard Intruder Alert фирмы Axent Technologies и SessionWall-3 компании Computer Associates. Эта четверка во главе с RealSecure является лидирующей и во всем мире (см. табл.). Всего же известно более 30 коммерчески распространяемых систем обнаружения атак. С конца прошлого – начала этого года в России ведутся работы по выработке руководящих документов, которые позволят проводить адекватный анализ и давать оценку предлагаемым на российском рынке системам обнаружения атак. Аналогичные мероприятия проводятся и за рубежом.
ВЫБОР СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК
Необходимо заранее решить, от чего и от кого надо защищать свою вычислительную систему. Следует определить соотношение между затратами (зачастую немалыми) на приобретение и эксплуатацию системы обнаружения атак и выгодой от ее использования [4]. Процесс выбора одной из более чем 30 существующих на рынке систем может занять не одну неделю или месяц. Но эти усилия стоят того. Правильный выбор поможет сэкономить сотни тысяч долларов, которые могли бы быть утеряны в случае нарушения нормальной работы вычислительной системы.
Чем сложнее система обнаружения атак, тем она дороже. Однако цена – это не единственный фактор при выборе. Необходимо учитывать и применяемые механизмы получения информации об атаках, алгоритмы анализа и интерпретации данных, варианты реагирования, производительность системы, ее надежность и т.д. Число таких параметров достаточно велико.
Однако надо понимать, что система обнаружения атак – это всего лишь необходимый, но явно недостаточный элемент эффективной системы защиты организации. Нужен ряд организационных и технических мероприятий – анализ рисков, разработка политики безопасности, установка и настройка различных средств защиты (межсетевые экраны, систем анализа защищенности и т.д.), обучение специалистов и т.д.
Система обнаружения атак – это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система позволяет собирать, обобщать, хранить и анализировать информацию от множества удаленных сенсоров на центральной консоли. Однако система обнаружения атак может стать не более чем дорогостоящей игрушкой, если в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу.
Более подробно требования, предъявляемые к системам обнаружения атак, изложены в документе “Системы обнаружения атак. Стратегия выбора”, разработанном в Научно-инженерном предприятии “Информзащита”. Получить его можно, обратившись по адресу internet@infosec.ru.
Литература
1. Edward Amoroso. Intrusion Detection. An Introduction to Internet. Surveillance, Correlation, Trace Back, Traps and Response. – Intrusion.Net Books, 1999.
2. Лукацкий А.В. Безопасность сети банка глазами специалистов. – Аналитический банковский журнал, 1999, №1–2.
3. Лукацкий А.В. Системы обнаружения атак. – Банковские технологии, 1999, №2.
4. Гэри Бернстайн. Мошенничество – в центре внимания. – Mobile Communications International/RE, 1999, №1.
Отзывы читателей
