ОИБ. основы информ. безопасности. Учебное пособие Томск

192
Сетевой сенсор
Системный сенсор
Прикладной сенсор
Сенсор сервиса безопасности
Другие сенсоры
Унификация данных, фильтрация, сохранение
Хранилище регистрационной информации
Выявление злоумышленной активности
Выявление анамальной активности
Возбуждение тревог, автоматическое реагирование, сохранение данных о подозрительной активности
Хранилище данных о подозрительной активности
Анализ ситуации, принятие решений, ккконтроль ззза работой подсистем безопасности
Сенсоры
Центр распределения регистрационной информации
Анализ регистрационной информации, выявление подозрительной активности
Реагирование
Администратор безопасности
Рис. 7.3. Основные элементы локальной архитектуры систем активного аудита.
На уровне агентов (сенсоров) может выполняться фильтрация данных с целью уменьшения их объема. Это требует от агентов некоторого интеллекта, но зато разгружает остальные компоненты системы.
Агенты передают информацию в центр распределения, который приводит ее к единому
(стандартному для конкретной системы активного аудита) формату, возможно, осуществляет дальнейшую фильтрацию (редукцию), сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Один центр распределения может обслуживать несколько сенсоров.
Содержательный активный аудит начинается со статистического и экспертного компонентов (например, потому, что для однохостовых систем регистрационную информацию не надо каким-то особым образом извлекать и передавать). Мы детально рассмотрим их в двух следующих разделах.
Если в процессе статистического или экспертного анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования.
Обычно, когда пишут о способах реагирования, перечисляют отправку сообщения на пейджер администратора, посылку электронного письма ему же и т.п., то есть имеют в виду
―ручное‖ принятие мер после получения сигнала о подозрительной активности. К сожалению, многие современные атаки длятся секунды или даже доли секунды, поэтому включение в процесс реагирования человека вносит недопустимо большую задержку. Ответные меры должны быть в максимально возможной степени автоматизированы, иначе активность аудита во многом теряет смысл.
Автоматизация нужна еще и по той простой причине, что далеко не во всех организациях системные администраторы обладают достаточной квалификацией для адекватного реагирования на инциденты. Хорошая система активного аудита должна уметь внятно объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы

193 рекомендуемые способы действия. Если выбор должен оставаться за человеком, то пусть он сводится к нескольким элементам меню, а не к решению концептуальных проблем.
Глобальная архитектура
Глобальная архитектура подразумевает организацию одно- и разно-ранговых связей между локальными системами активного аудита (см. рисунок 7.4). На одном уровне иерархии располагаются компоненты, анализирующие подозрительную активность с разных точек зрения. Например, на хосте могут располагаться подсистемы анализа поведения пользователей и приложений. Их может дополнять подсистема анализа сетевой активности.
Когда один компонент обнаруживает что-то подозрительное, то во многих случаях целесообразно сообщить об этом соседям либо для принятия мер, либо для усиления внимания к определенным аспектам поведения системы.
Комплексный анализ в рамках сегмента сети №1
Анализ сетевой активности
Анализ системной активности
Анализ активности приложений
Анализ активности пользователей
Анализ активности сервисов безопасности
Анализ других аспектов активности
Комплексный анализ в рамках сегмента сети №2
….…
Системы анализа более высоких уровней
Рис. 7.4. Глобальная архитектура системы активного аудита.
Разно-ранговые связи используются для обобщения результатов анализа и получения целостной картины происходящего. Иногда у локального компонента недостаточно оснований для возбуждения тревоги, но «по совокупности» подозрительные ситуации могут быть объединены и совместно проанализированы, после чего порог подозрительности окажется превышенным.
Целостная картина, возможно, позволит выявить скоординированные атаки на разные участки информационной системы и оценить ущерб в масштабе организации.
Очевидно, формирование иерархии компонентов активного аудита необходимо и для решения проблем масштабируемости, но этот аспект является стандартным для систем управления и мы не будем на нем останавливаться.
К числу важнейших архитектурных относится вопрос о том, какую информацию и в каких масштабах собирать и анализировать. Первые системы активного аудита были однохостовыми. Затем появились многохостовые конфигурации. Прорыву в области коммерческих продуктов мы обязаны сетевым системам, анализировавшим исключительно сетевые пакеты.
В настоящее время можно наблюдать конвергенцию архитектур, в результате чего рождаются комплексные системы, отслеживающие и анализирующие как компьютерную, так и сетевую регистрационную информацию.
Традиционным является вопрос: где размещать сенсоры систем активного аудита?
Столь же традиционный ответ гласит: «везде, где можно». Только анализ всех доступных источников информации позволит с достоверностью обнаруживать атаки и злоупотребления полномочиями и докапываться до их первопричин. Если вернуться к

194 трактовке информационной системы в виде совокупности сервисов, то средства обнаружения атак должны располагаться перед защищаемыми ресурсами (имея в виду направление движения запросов к сервисам), а средства выявления злоупотреблений полномочиями - на самих сервисах. Обнаружение аномальной активности полезно во всех упомянутых точках.
Только при таком размещении сенсоров будет выполнен важнейший принцип невозможности обхода защитных средств. Кроме того, будет минимизировано число сенсоров, что в условиях сегментации сетей и применения коммутационных технологий также оказывается проблемой.
Для того, чтобы система активного аудита, особенно распределенная, была практически полезной, необходимо обеспечить целостность анализируемой и передаваемой информации, а также целостность самой программной системы и ее живучесть в условиях отказа или компрометации отдельных компонентов (зачастую атака направляется сначала на средства безопасности, а уже потом - на прикладные компоненты). Ясно, что это проблема всех распределенных систем, и для ее решения служат сервисы взаимной аутентификации и контроля целостности (в том числе проверка подлинности источника данных).
7.2.6. Требования к системам активного аудита
В этом пункте рассмотрим требования к системам активного аудита, существенные с точки зрения заказчиков. На первое место следует поставить требование полноты. Это весьма емкое понятие, включающее в себя следующие аспекты:
Полнота отслеживания информационных потоков к сервисам. Активный аудит должен охватывать все потоки всех сервисов. Это означает, что система активного аудита должна содержать сетевые и системные сенсоры, анализировать информацию на всех уровнях - от сетевого до прикладного. Очевидно, из рассматриваемого аспекта полноты вытекает требование расширяемости, поскольку ни один программный продукт не может быть изначально настроен на все сервисы.
Полнота спектра выявляемых атак и злоупотреблений полномочиями. Данное требование означает не только то, что у системы должен быть достаточно мощный язык описания подозрительной активности (как атак, так и злоупотреблений полномочиями). Этот язык должен быть прост, чтобы заказчики могли производить настройку системы в соответствии со своей политикой безопасности. Поставщик системы активного аудита должен в кратчайшие сроки (порядка суток) передавать заказчику сигнатуры новых атак. Система должна уметь выявлять аномальную активность, чтобы справляться с заранее неизвестными способами нарушений.
Достаточная производительность. Система активного аудита должна справляться с пиковыми нагрузками защищаемых сервисов.
Пропуск даже одного сетевого пакета может дать злоумышленнику шанс на успешную атаку. Если известно, что система активного аудита обладает недостаточной производительностью, она может стать объектом атаки на доступность, на фоне которой будут развиваться другие виды нападения. Для локальных сетей стандартными стали скорости 100 Мбит/с. Это требует от системы активного аудита очень высокого качества реализации, мощной аппаратной поддержки. Если учесть, что защищаемые сервисы находятся в постоянном развитии, то станет понятно, что требование производительности одновременно является и требованием масштабируемости.
Помимо полноты, системы активного аудита должны удовлетворять следующим требованиям:
Минимум ложных тревог. В абсолютном выражении допустимо не более одной ложной тревоги в час (лучше, если их будет еще на порядок меньше). При интенсивных потоках данных между сервисами и их клиентами подобное требование оказывается весьма жестким. Пусть, например, в секунду по контролируемому каналу проходит 1000 пакетов. За час пакетов будет 3 600 000. Можно предположить, что почти все они не являются

195 злоумышленными. И только один раз система активного аудита имеет право принять «своего» за «чужого», то есть вероятность ложной тревоги должна составлять в данном случае не более
3

10
-7
Умение объяснять причину тревоги. Выполнение этого требования во-первых, помогает отличить обоснованную тревогу от ложной, во-вторых, помогает определить первопричину инцидента, что важно для оценки его последствий и недопущения повторных нарушений. Даже если реагирование на нарушение производится в автоматическом режиме, должна оставаться возможность последующего разбора ситуации специалистами.
Интеграция с системой управления и другими сервисами безопасности. Интеграция с системой управления имеет две стороны. Во-первых, сами средства активного аудита должны управляться (устанавливаться, конфигурироваться, контролироваться) наравне с другими инфраструктурными сервисами. Во-вторых, активный аудит может (и должен) поставлять данные в общую базу данных управления. Интеграция с сервисами безопасности необходима как для лучшего анализа ситуации (например, с привлечением средств контроля целостности), так и для оперативного реагирования на нарушения (средствами приложений, операционных систем или межсетевых экранов).
Наличие технической возможности удаленного мониторинга информационной системы. Это спорное требование, поскольку не все организации захотят оказаться под чьим- то «колпаком». Тем не менее, с технической точки зрения подобная мера вполне оправдана, поскольку большинство организаций не располагает квалифицированными специалистами по информационной безопасности. Удаленный мониторинг может быть использован и для бесспорных целей, таких как контроль из штаб-квартиры за работой удаленных отделений.
Сформулированные требования можно считать максималистскими. По-видимому, ни одна современная коммерческая система, ни один поставщик не удовлетворяют им в полной мере, однако, без их выполнения активный аудит превращается из серьезного оборонительного оружия в сигнализацию для отпугивания детей младшего школьного возраста. Захотят ли заказчики платить деньги за подобные игрушки? Нет, конечно, если только они достаточно разбираются в предмете.
Системы активного аудита принадлежат к области высоких технологий. У них развитая математическая база, продвинутая архитектура, они вобрали в себя знания по информационной безопасности. Мало кто из распространителей понимает, как работает то, что они продают; им остается пересказывать рекламные буклеты производителей, где, конечно, все выглядит замечательно. Заказчики тоже не обязаны вдаваться в детали, но они должны знать, о чем спрашивать поставщиков. Не всегда те смогут ответить, но и молчание многое скажет заказчику.
7.2.7. Возможные критерии оценки систем активного аудита
Предлагаемые критерии имеют много общего с критериями оценки систем управления.
Это не случайно, так как активный аудит и управление по сути своей близки.
Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся нетипичным для данного пользователя (компонента) или (в соответствии с заранее определенными критериями) злоумышленным.
Рассматриваемые в данных критериях системы должны выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нетипичные или злоумышленные действия. Кроме того, они должны удовлетворять общим требованиям к сервисам информационной безопасности.
Основными показателями, характеризующими системы активного аудита, являются: спектр контролируемых объектов; спектр и степень детальности отслеживаемых характеристик; расширяемость системы;

196 настраиваемость системы; степень автоматизации функционирования системы; возможность работы в рамках распределенных систем; возможность работы в реальном масштабе времени; технологичность системы.
Показатели, используемые для оценки систем активного аудита
Выделяются следующие показатели:
Отслеживание поведения пользователей и компонентов информационной системы.
Обеспечение конфиденциальности и целостности регистрационной информации.
Выявление злоумышленного поведения.
Выявление нетипичного поведения.
Администрирование.
Контроль целостности.
Масштабируемость.
Доступность.
Восстановление.
Документация.
Тестирование.
Отслеживание поведения пользователей и компонентов информационной системы
Возможность отслеживания базового набора характеристик поведения пользователей и компонентов информационной системы.
Возможность изменения (в том числе пополнения) набора отслеживаемых характеристик.
Возможность отслеживания характеристик в распределенных системах.
Возможность отслеживания поведения отдельных пользователей и компонентов информационной системы в реальном масштабе времени.
Возможность задания способа информирования администратора безопасности о выходе отслеживаемых характеристик за допустимые рамки.
Возможность задания способа автоматического реагирования на выход отслеживаемых характеристик за допустимые рамки.
Обеспечение конфиденциальности и целостности регистрационной информации
Защита регистрационной информации от несанкционированного доступа в рамках отдельных систем.
Контроль целостности (взаимной согласованности) регистрационной информации в рамках распределенных систем.
Защита регистрационной информации от несанкционированного доступа в рамках распределенных систем.
Возможность задания способа информирования администратора безопасности о нарушении целостности и/или конфиденциальности регистрационной информации.
Возможность задания способа автоматического реагирования на нарушение целостности и/или конфиденциальности регистрационной информации.
Выявление злоумышленного поведения
Возможность выявления базового набора злоумышленных действий.
Возможность пополнения базы правил, описывающих злоумышленные действия.
Возможность настройки базы правил на конкретные информационные сервисы.
Возможность выявления злоумышленных действий, распределенных во времени

197
Возможность выявления злоумышленных действий в распределенных системах
Возможность выявления злоумышленных действий в реальном масштабе времени
Возможность задания способа информирования администратора безопасности о выявленных злоумышленных действиях.
Возможность задания уровня детализации информации, подтверждающей наличие злоумышленных действий.
Возможность задания способа автоматического реагирования на выявленные злоумышленные действия.
Наличие средств автоматической проверки согласованности базы правил в рамках распределенной конфигурации.
Наличие средств анализа злоумышленных действий с выдачей рекомендаций по предотвращению подобных действий в будущем.
Наличие средств прогнозирования злоумышленных действий.
Выявление нетипичного поведения.
Наличие подсистемы статистического анализа для выявления нетипичного поведения.
Возможность выявления нетипичного поведения при использовании базового набора информационных сервисов.
Возможность пополнения и/или изменения набора контролируемых аспектов поведения.
Возможность настройки на конкретные информационные сервисы.
Наличие средств для изменения параметров статистического анализа с целью обеспечения заданного соотношения между ошибками первого рода (отсутствие реакции на нетипичное поведение) и ошибками второго рода (ложное срабатывание).
Возможность выявления нетипичного поведения в рамках распределенной системы.
Возможность выявления нетипичного поведения в реальном масштабе времени
Возможность задания способа информирования администратора безопасности о выявленном нетипичном поведении.
Возможность задания уровня детализации информации, подтверждающей наличие нетипичного поведения
Возможность задания способа автоматического реагирования на выявленное нетипичное поведение
Наличие средств автоматической проверки согласованности статистических параметров в рамках распределенной конфигурации
Наличие средств автоматической оценки соотношения между ошибками первого и второго рода при заданных статистических параметрах
Администрирование
Идентификация и аутентификация администраторов в рамках локальных систем
Идентификация и аутентификация администраторов в рамках распределенных систем
Регистрация административных действий в рамках локальных систем
Регистрация административных действий в рамках распределенных систем
Возможность централизованного выявления подозрительной активности в рамках распределенных систем
Возможность централизованного администрирования распределенных систем активного аудита
Контроль целостности
Наличие средств контроля целостности программной и информационной частей системы активного аудита (локальные, распределенные, использующие аттестованные алгоритмы)

198
Масштабируемость
Наличие средств масштабирования по числу отслеживаемых пользователей и компонентов информационной системы: возможность группирования пользователей
(компонентов) с однородными характеристиками.
Наличие средств масштабирования по размеру обслуживаемой информационной системы, возможность варьирования между распределенной и централизованной обработкой регистрационной информации, возможность организации иерархии обрабатывающих центров.
Доступность
Наличие средств обеспечения высокой доступности: сбои и отказы отдельных подсистем или компонентов системы активного аудита не должны нарушать работоспособность других подсистем (компонентов).