Главная страница
Навигация по странице:

  • Вопрос 1. Концепция адаптивного управления безопасностью.

  • Вопрос 2. Технология анализа защищенности.

  • Средства анализа защищенности сетевых протоколов и сервисов.

  • Средства анализа защищенности ОС.

  • Вопрос 3. Технологии обнаружения атак.

  • Методы анализа сетевой информации.

  • Классификация систем обнаружения атак IDS .

  • Компоненты и архитектура IDS .

  • безопасность сетей и каналов передачи данных. Тема Проблемы информационной безопасности сетей Содержание темы


    Скачать 1.46 Mb.
    НазваниеТема Проблемы информационной безопасности сетей Содержание темы
    Дата09.10.2022
    Размер1.46 Mb.
    Формат файлаdocx
    Имя файлабезопасность сетей и каналов передачи данных.docx
    ТипРеферат
    #723057
    страница12 из 14
    1   ...   6   7   8   9   10   11   12   13   14
    Тема 8. Анализ защищенности и обнаружение атак

     

    Содержание темы:

    1.   Концепция адаптивного управления безопасностью.

    2.   Технология анализа защищенности.

    3.   Технологии обнаружения атак.

     

    Ряд ведущих зарубежных организаций, занимающихся сетевой безопасностью, разработали подходы, позволяющие не только распознавать существующие уязвимости и атаки, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты. В частности, компания ISS (Internet Security Systems) уточнила и развила эти подходы и разработала Модель адаптивного управления безопасностью ANS (Adaptive Network Security).

     

    Вопрос 1. Концепция адаптивного управления безопасностью.

     

    Атакой на КИС считается любое действие, выполняемое нарушителем для реализации угрозы путем использования уязвимостей КИС. Под уязвимостью КИС понимается любая характеристика или элемент КИС, использование которых нарушителем может привести к реализации угрозы.

    Архитектура КИС включает в себя четыре уровня:

    1. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов ИС, работающих на этом уровне, можно назвать текстовый редактор WinWord, редактор электронных таблиц Excel, почтовую программу Outlook и т.д.

    2.     Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных ИС. Примером элементов ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и MS Access.

    3.     Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного ПО. Примером элементов ИС, работающих на этом уровне, можно назвать ОС Microsoft Windows NT/2000/XP, Sun Solaris, Novell Netware.

    4.     Уровень сети, отвечающий за взаимодействие узлов ИС. Примером элементов ИС, работающих на этом уровне, можно назвать стеки протоколов TCP/IP, IPS/SPX и SMB/NetBIOS.

     

    Злоумышленник располагает широким спектром возможностей для нарушения безопасности КИС. Эти возможности могут быть реализованы на всех четырех перечисленных выше уровнях КИС. Например, для получения НСД к финансовой информации в СУБД MS SQL Server злоумышленник может реализовать одну из следующих возможностей:

         перехватить передаваемые по сети данные (уровень сети);

         прочитать файлы БД, обращаясь непосредственно к файловой системе (уровень ОС);

         прочитать нужные данные средствами самой СУБД (уровень СУБД); прочитать записи БД при помощи SQL запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного ПО).

     

    При построении большинства традиционных компьютерных средств защиты использовались классические модели разграничения доступа, разработанные еще в 1970-80е гг. Недостаточная эффективность таких традиционных механизмов защиты, как разграничение доступа, аутентификация, фильтрация и другие, обусловлена тем, что при их создании не учтены многие аспекты, связанные с современными атаками.

    Рассмотрим этапы осуществления атаки на КИС (Рис. 54.):

     



     

    Рис. 54. Этапы осуществления атаки

     

    Первый, подготовительный, этап заключается в поиске злоумышленником предпосылок для осуществления той или иной атаки. На этом этапе злоумышленник ищет уязвимости в системе. На втором, основном этапе реализации атаки осуществляется использование найденных уязвимостей. На третьем, заключительном, этапе злоумышленник завершает атаку и старается скрыть следы вторжения. В принципе первый и третий этапы сами по себе могут являться атаками. Например, поиск злоумышленником уязвимостей при помощи сканеров безопасности сам по себе считается атакой.

    Следует отметить, что существующие механизмы защиты, реализованные в МЭ, серверах аутентификации, системах разграничения доступа, работают только на этапе реализации атаки. По существу эти механизмы защищают от атак, которые находятся уже в процессе осуществления. Более эффективным было бы упреждение атак, т. е. предотвращение самих предпосылок реализации вторжения. Комплексная система обеспечения информационной безопасности должна эффективно работать на всех трех этапах осуществления атаки.

    В организациях часто не учитывается тот факт, что администраторы и пользователи регулярно изменяют конфигурацию ИС. В результате этих изменений могут появляться новые уязвимости, связанные с ОС и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое ПО. Непрерывное развитие сетевых технологий при отсутствии постоянно проводимого анализа их безопасности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность КИС падает, так как появляются новые неучтенные угрозы и уязвимости системы.

    В большинстве случаев для решения возникающих проблем с защитой в организациях используются частичные подходы. Эти подходы обычно обусловлены прежде всего текущим уровнем доступных ресурсов. Кроме того, администраторы безопасности имеют тенденцию реагировать только на те риски безопасности, которые им понятны. Фактически таких рисков может быть существенно больше. Только строгий текущий контроль защищенности КИС и комплексный подход, обеспечивающий единую политику безопасности, позволяют существенно снизить риски безопасности.

    Адаптивный подход к безопасности позволяет контролировать, обнаруживать и реагировать в реальном режиме времени на риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства. Адаптивная безопасность сети состоит из трех основных элементов:

         технологии анализа защищенности (security assessment);

         технологии обнаружения атак (intrusion detection);

         технологии управления рисками (risk management).

     

    Оценка риска состоит в выявлении и ранжировании уязвимостей (по степени серьезности ущерба потенциальных воздействий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т. д. Поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться постоянно. С оценки рисков должно начинаться построение системы защиты КИС.

    Анализ защищенности это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и БД. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая эту технологию, содержит и адаптивный компонент, то устранение найденной уязвимости будет осуществляться не вручную, а автоматически. Технология анализа защищенности является действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

    Перечислим некоторые из проблем, идентифицируемых технологией анализа защищенности:

         «люки» в системах (back door) и программы типа «троянский конь»;

         слабые пароли;

         восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в обслуживании»;

         отсутствие необходимых обновлений (patch, hotfix) ОС;

         неправильная настройка МЭ, Webсерверов и БД;

         и многие другие.

     

    Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации ОС и приложения или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные события и действия, в том числе и действия, использующие известные уязвимости (Рис. 55.):

     



     

    Рис. 55. Взаимодействие систем анализа защищенности и обнаружения атак

     

    Адаптивный компонент модели адаптивного управления безопасностью (ANS) отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления БД антивирусных программ для обнаружения новых вирусов. Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с формированием системы защиты организации.

    Адаптация данных может заключаться в различных формах реагирования, которые могут включать:

         отправление уведомлений системам сетевого управления по протоколу SNMP, по электронной почте или на пейджер администратору;

         автоматическое завершение сессии с атакующим узлом или пользователем, реконфигурация МЭ или иных сетевых устройств (например, маршрутизаторов);

         выработка рекомендаций администратору, позволяющих своевременно устранить обнаруженные уязвимости в сетях, приложениях или иных компонентах ИС организации.

     

    Использование модели адаптивной безопасности сети (Рис. 56.) позволяет контролировать практически все угрозы и своевременно реагировать на них высокоэффективным способом, позволяющим не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к появлению уязвимостей.

     



     

    Рис. 56. Модель адаптивной безопасности

     

    Модель адаптивной безопасности сети позволяет также уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства компании о событиях безопасности в сети. Следует отметить, что эта модель не отбрасывает уже используемые механизмы защиты (разграничение доступа, аутентификация и т. д.). Она расширяет их функциональность за счет новых технологий.

    Для того чтобы привести свою систему обеспечения информационной безопасности в соответствие современным требованиям, организациям необходимо дополнить имеющиеся решения компонентами, отвечающими за анализ защищенности, обнаружение атак и управление рисками.

     

    Вопрос 2. Технология анализа защищенности.

     

    В организации, использующей КИС, приходится регулярно проверять, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. Такая задача периодически возникает при изменении и обновлении компонентов ИС, изменении конфигурации ОС и т. п.

    Однако администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Поэтому специалисты отделов защиты информации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Этот процесс помогают автоматизировать средства анализа защищенности, часто называемые сканерами безопасности (security scanners).

    Использование средств анализа защищенности позволяет определить уязвимости на узлах корпоративной сети и устранить их до того, как ими воспользуются злоумышленники. По существу, действия системы анализа защищенности аналогичны действиям охранника, периодически обходящего все этажи охраняемого здания в поисках открытых дверей, незакрытых окон и других проблем. Только в качестве здания выступает корпоративная сеть, а в качестве незакрытых окон и дверей уязвимости.

    Средства анализа защищенности работают на первом этапе осуществления атаки. Обнаруживая и своевременно устраняя уязвимости, они тем самым предотвращают саму возможность реализации атаки, что позволяет снизить затраты на эксплуатацию средств защиты.

    Средства анализа защищенности могут функционировать на сетевом уровне, уровне ОС и уровне приложения. Они могут проводить поиск уязвимостей, постепенно наращивая число проверок и «углубляясь» в ИС, исследуя все ее уровни.

    Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Обусловлено это, в первую очередь, универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т. п., позволяют с высокой степенью эффективности проверять защищенность ИС, работающей в сетевом окружении.

    Вторыми по распространенности являются средства анализа защищенности ОС. Обусловлено это также универсальностью и распространенностью некоторых ОС (например, UNIX и Windows NT).

    Средства анализа защищенности приложений пока существуют только для широко распространенных прикладных систем типа Web браузеры и СУБД.

    Применение средств анализа защищенности позволяет быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в сети сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). По результатам сканирования эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

    Данный метод контроля нарушений политики безопасности не может заменить специалиста по информационной безопасности. Средства анализа защищенности могут лишь автоматизировать поиск некоторых известных уязвимостей.

     

    Средства анализа защищенности сетевых протоколов и сервисов.

    Взаимодействие абонентов в любой сети базируется на использовании сетевых протоколов и сервисов, определяющих процедуру обмена информацией между двумя и более узлами. При разработке сетевых протоколов и сервисов к ним предъявлялись требования (обычно явно недостаточные) по обеспечению безопасности обрабатываемой информации. Поэтому постоянно появляются сообщения об обнаруженных в сетевых протоколах уязвимостях. В результате возникает потребность в постоянной проверке всех используемых в корпоративной сети протоколов и сервисов.

    Системы анализа защищенности выполняют серию тестов по обнаружению уязвимостей. Эти тесты аналогичны применяемым злоумышленниками при осуществлении атак на корпоративные сети.

    Сканирование с целью обнаружения уязвимостей начинается с получения предварительной информации о проверяемой системе. Заканчивается сканирование попытками имитации проникновения, используя широко известные атаки, например подбор пароля методом полного перебора (brute force «грубая сила»).

    При помощи средств анализа защищенности на уровне сети можно тестировать не только возможность НСД в корпоративную сеть из сети Internet. Эти средства могут быть использованы как для оценки уровня безопасности организации, так и для контроля эффективности настройки сетевого программного и аппаратного обеспечения. В настоящее время известно более десятка различных средств, автоматизирующих поиск уязвимостей сетевых протоколов и сервисов. Среди коммерческих систем анализа защищенности можно назвать Internet Scanner компании Internet Security Systems, Inc., NetSonar компании Cisco, CyberCop Scanner компании Network Associates и ряд других.

    Типичная схема проведения анализа защищенности (на примере системы Internet Scanner) приведена на Рис. 57.

     



     

    Рис. 57. Схема проведения анализа защищенности (на примере системы Internet Scanner)

     

    Средства анализа защищенности данного класса анализируют не только уязвимость сетевых сервисов и протоколов, но и системного и прикладного ПО, отвечающего за работу с сетью. К такому обеспечению можно отнести Web, FTP и почтовые серверы, МЭ, браузеры и т. п.

     

    Средства анализа защищенности ОС.

    Средства этого класса предназначены для проверки настроек ОС, влияющих на ее защищенность. К таким настройкам можно отнести:

         учетные записи пользователей (account), например длину пароля и срок его действия;

         права пользователей на доступ к критичным системным файлам;

         уязвимые системные файлы;

         установленные патчи (patch) и т. п.

     

    Системы анализа защищенности на уровне ОС могут быть использованы также для контроля конфигурации ОС.

    В отличие от средств анализа защищенности сетевого уровня данные системы проводят сканирование не снаружи, а изнутри анализируемой системы, т. е. они не имитируют атаки внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей, некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet Security Systems) позволяют автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации.

     

    Вопрос 3. Технологии обнаружения атак.

     

    Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.

    По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак (intrusion detection) это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

     

    Методы анализа сетевой информации.

    Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980х гг., использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечеткой логики и заканчивая использованием нейронных сетей.

    Статистический метод. Основные преимущества статистического подхода использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

    Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

         «статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;

         трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;

         «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

     

    Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

    Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

    БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности. Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.

    Нейронные сети. Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

    Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

    Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью. Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

    Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

     

    Классификация систем обнаружения атак IDS.

    Механизмы, применяемые в современных системах обнаружения атак IDS (Intrusion Detection System), основаны на нескольких общих методах, которые не являются взаимоисключающими. Во многих системах используются их комбинации.

    Классификация IDS может быть выполнена:

         по способу реагирования;

         способу выявления атаки;

         способу сбора информации об атаке.

     

    По способу реагирования различают пассивные и активные IDS. Пассивные IDS просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, путем реконфигурации МЭ или генерации списков доступа маршрутизатора.

    По способу выявления атаки системы IDS принято делить на две категории:

         обнаружение аномального поведения (anomalybased);

         обнаружение злоупотреблений (misuse detection или signaturebased). Технология обнаружения аномального поведения основана на следующем.

     

    Аномальное поведение пользователя (т. е. атака или какоенибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т. п.

    Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети система обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании» («denial of service).

    При использовании системы с такой технологией возможны два случая:

         обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак;

         пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай более опасен, чем ложное отнесение аномального поведения к классу атак.

     

    Технология обнаружения аномалий ориентирована на выявление новых типов атак. Однако недостаток ее необходимость постоянного обучения. Пока эта технология не получила широкого распространения. Связано это с тем, что она трудно реализуема на практике.

    Обнаружение злоупотреблений заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в БД, аналогичной той, которая используется в антивирусных системах. Данная технология обнаружения атак очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные атаки. Однако системы данного типа не могут обнаруживать новые, еще неизвестные виды атак.

    Подход, реализованный в таких системах, достаточно прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак.

    Наиболее популярна классификация по способу сбора информации об атаке:

         обнаружение атак на уровне сети (networkbased);

         обнаружение атак на уровне хоста (hostbased);

         обнаружение атак на уровне приложения (applicationbased).

     

    Система networkbased работает по типу сниффера, «прослушивая» трафик в сети и определяя возможные действия злоумышленников. Такие системы анализируют сетевой трафик, используя, как правило, сигнатуры атак и анализ «на лету». Метод анализа «на лету» заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения.

    Системы hostbased предназначены для мониторинга, детектирования и реагирования на действия злоумышленников на определенном хосте. Располагаясь на защищаемом хосте, они проверяют и выявляют направленные против него действия. Эти системы анализируют регистрационные журналы ОС или приложения.

    Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности к обнаружению атак «на лету». Использование этого метода позволяет проводить «разбор полетов» уже после того, как была зафиксирована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем. Система applicationbased основана на поиске проблем в определенном приложении. Каждый из этих типов систем обнаружения атак (на уровне сети, на уровне хоста и на уровне приложения) имеет свои достоинства и недостатки. Гибридные IDS, представляющие собой комбинацию различных типов систем, как правило, включают в себя возможности нескольких категорий.

     

    Компоненты и архитектура IDS.

    На основе анализа существующих решений можно привести перечень компонентов, из которых состоит типичная система обнаружения атак.

    Модуль слежения обеспечивает сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика). Разные производители дают этому модулю следующие названия: сенсор (sensor), монитор (monitor), зонд (probe) и т. д.

    В зависимости от архитектуры построения системы обнаружения атак модуль слежения может быть физически отделен от других компонентов, т. е. находиться на другом компьютере.

    Подсистема обнаружения атак основной модуль системы обнаружения атак. Она осуществляет анализ информации, получаемой от модуля слежения. По результатам этого анализа данная подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т.д.

    База знаний в зависимости от методов, используемых в системе обнаружения атак, может содержать профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. База знаний может пополняться производителем системы обнаружения атак, пользователем системы или третьей стороной, например аутсорсинговой компанией, осуществляющей поддержку этой системы.

    Хранилище данных обеспечивает хранение данных, собранных в процессе функционирования системы обнаружения атак.

    Графический интерфейс. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружественный интерфейс. В зависимости от ОС, под управлением которой функционирует система обнаружения атак, графический интерфейс должен соответствовать стандартам де-факто для Windows и Unix.

    Подсистема реагирования осуществляет реагирование на обнаруженные атаки и иные контролируемые события. Варианты реагирования будут описаны более подробно ниже. Подсистема управления компонентами предназначена для управления различными компонентами системы обнаружения атак. Под термином «управление» понимается возможность изменения политики безопасности для различных компонентов системы обнаружения атак (например, модулей слежения), а также получение информации от этих компонентов (например, сведения о зарегистрированной атаке). Управление может осуществляться как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например SNMP.

    Системы обнаружения атак строятся на основе двух архитектур: «автономный агент» и «агент-менеджер». В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура «агент-менеджер». В этом случае в распределенной системе обнаружения атак dIDS (distributed IDS), состоящей из множества IDS, расположенных в различных участках большой сети, серверы сбора данных и центральный анализирующий сервер осуществляют централизованный сбор и анализ регистрируемых данных. Управление модулями dIDS осуществляется с центральной консоли управления. Для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, использование такой архитектуры имеет принципиальное значение.

    Общая схема функционирования dIDS приведена на Рис. 58.

     



     

    Рис. 58. Общая схема функционирования dIDS

     

    Такая система позволяет усилить защищенность корпоративной подсети благодаря централизации информации об атаке от различных IDS. Распределенная система обнаружения атак dIDS состоит из следующих подсистем: консоли управления, анализирующих серверов, агентов сети, серверов сбора информации об атаке. Центральный анализирующий сервер обычно состоит из БД и Web-сервера, что позволяет сохранять информацию об атаках и манипулировать данными с помощью удобного Web-интерфейса. Агент сети один из наиболее важных компонентов dIDS. Он представляет собой небольшую программу, цель которой сообщать об атаке на центральный анализирующий сервер. Сервер сбора информации об атаке часть системы dIDS, логически базирующаяся на центральном анализирующем сервере. Сервер определяет параметры, по которым группируются данные, полученные от агентов сети. Группировка данных может осуществляться по следующим параметрам:

         IP адресу атакующего;

         порту получателя;

         номеру агента;

         дате, времени;

         протоколу;

         типу атаки и т. д.

     

    Методы реагирования.

    Атака не только должна быть обнаружена, но и необходимо правильно и своевременно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:

         уведомление;

         сохранение;

         активное реагирование.

     

    Применение той или иной реакции зависит от многих факторов.

    Уведомление. Самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.

    К категории «уведомление» относится также посылка управляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.

    Сохранение. К категории «сохранение» относятся два варианта реагирования:

         регистрация события в БД;

         воспроизведение атаки в реальном масштабе времени.

     

    Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать «успешные» атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

    Активное реагирование. К этой категории относятся следующие варианты реагирования:

         блокировка работы атакующего;

         завершение сессии с атакующим узлом;

         управлением сетевым оборудованием и средствами защиты.

     

    IDS могут предложить такие конкретные варианты реагирования: блокировка учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурация МЭ и маршрутизаторов и т. д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как неправильное применение может привести к нарушению работоспособности всей КИС.

     

    1   ...   6   7   8   9   10   11   12   13   14


    написать администратору сайта