|
|
|
Технологии обнаружения и предотвращения атакТак как число и частота атак все время увеличиваются, становится очень важным идентифицировать атаки на раннем этапе их развития и своевременно среагировать на них. В критических случаях вмешательство в атаку должно быть реализовано намного быстрее, чем сможет среагировать человек. Другая причина для автоматизации процесса обнаружения несанкционированной деятельности заключается в том, что все чаще и чаще злоумышленники используют автоматизированные средства реализации атак. В одном из опубликованных примеров был отмечен факт осуществления 2000 попыток проникновения на Однако специалистов беспокоит не только рост числа атак, но и рост их сложности. По оценкам специалистов Пентагона, средства для реализации атак качественно совершенствуются 12 раза в год. Еще 21 июня 2001 года Лоуренс Гершвин, один из руководителей ЦРУ, пожаловался Конгрессу США, что его ведомство не поспевает за хакерами, которые совершенствуют свои технологии гораздо быстрее, чем ЦРУ разрабатывает противодействующие им средства. «Все что мы можем сделать, это зафиксировать факт нападения», сказал Гершвин. Помимо усложнения атак упрощается их использование. Средства реализации атак все чаще облекаются в красивый графический интерфейс, которым пользоваться могут даже младенцы.
Согласно отчету «Network Security Survey 2001» около 60% компаний считает межсетевой экран (firewall) самым лучшим средством защиты. Однако статистика вещь неумолимая. Особенно когда дело касается информационной безопасности. По данным Национального отделения ФБР по компьютерным преступлениям от 85 до 97% нападений на корпоративные сети не то что не блокируются, но и не обнаруживаются. Проведенные в 1995 году испытания, которые финансировало Министерство Обороны США, показали плачевные результаты. Специальные группы экспертов, так называемые «команды тигров» («tiger team»), провели анализ защищенности 8932 военных информационных систем. В 7860 (т.е. в 88%) случаях проникновение в «святая святых» Министерства Обороны США было успешным, несмотря на наличие периметровых средств защиты (межсетевых экранов, списков контроля доступа и т.д.). Администраторы только 390 из этих систем обнаружили атаки и всего 19 из них (вдумайтесь в это число) сообщили о нападениях. Итак, только 5% систем смогли зафиксировать атаки на себя и только 0,24% от общего числа успешно атакованных систем (или иначе 4,9% от числа зафиксировавших атаки) сообщили о них в соответствующие инстанции. В коммерческих компаниях ситуация чуть лучше, однако и им далеко до обнаружения всего множества атак. «Только 40% компаний чувствуют, что они могут обнаружить атаки», гласит отчет «Global Information Security Survey 2002» компании Ernst&Young. Почему это происходит? Причина не только в низкой квалификации персонала. На наш взгляд, причина кроется не в том, что традиционные механизмы защиты, такие как разграничение доступа, фильтрация, аутентификация и другие не лишены недостатков, а потому что при их создании не были учтены многие аспекты, связанные с характеристиками современных атак. Рассмотрим этапы осуществления атаки. Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На данном этапе ищутся уязвимости, использование которых делает возможным в принципе реализацию атаки, которая и составляет второй этап. На третьем этапе атака завершается, «заметаются» следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например, SARA или Nessus, сам по себе считается атакой.
Существующие механизмы защиты, реализованные в межсетевых экранах (firewall), серверах аутентификации, системах разграничения доступа и т. д., работают только на втором этапе. То есть по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они могут защитить от атак, которые уже находятся в процессе осуществления. И даже если эти механизмы смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. И обеспечение адекватной защиты на третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь только в этом случае можно реально оценить ущерб от «успешной» атаки, а также разработать меры по устранению повторных попыток реализовать аналогичную атаку. Однако даже если вы наряду с традиционными механизмами защиты используете средства поиска уязвимостей, которые своевременно обнаруживают и рекомендуют меры по устранению «слабых мест» в системе защиты, то это еще не доказывает вашей защищенности. Существует ряд факторов, которые необходимо учитывать при использовании межсетевых экранов, систем аутентификации, систем разграничения доступа и т.д. Эти факторы характеризуют не слабости упомянутых технологий, а особенности их архитектуры. Большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в Можно заметить, что самым слабым звеном описанной схемы является уникальность элемента. Если нарушитель Другой не менее часто приводимый пример. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор «Почему раньше эти проблемы не были замечены?» спросите вы. Это не совсем так. Указанные проблемы были известны, только они не выходили на первый план. Происходило это по нескольким причинам. Так, по данным Symantec Internet Security Threat Report общее число уязвимостей высокой степени риска в 2002 году превысило показатели 2001 года на 84,7%, а общее число уязвимостей перевалило за несколько тысяч. Ситуация усугубляется еще и тем, что многие администраторы безопасности, как это ни парадоксально звучит, не осознают всей серьезности проблемы сетевой безопасности. Немногие из них имеют время для анализа сообщений о новых обнаруженных угрозах и уязвимостях. Еще меньшему количеству людей доступно проведение аудита и постоянного мониторинга сети. «Сетевые администраторы не имеют возможности вовремя реагировать на все возрастающее число уязвимостей», говорит Джим Харлей, старший аналитик компании Aberdeen Group. Если спросить любого человека, хоть немного знакомого с интернетом, чем, по его мнению, надо защищать свою сеть от хакеров, то в 99% случаев на первое место он поставит межсетевые экраны, а около 60%, как мы уже упоминали, считают это решение «самым лучшим» для защиты сетей. Однако эти решения хоть и достаточно эффективны, но не обеспечивают действительно надежной защиты от всех видов атак. Общее непонимание состоит в том, что межсетевой экран не распознает атаки и не блокирует их. Межсетевой экран (МСЭ) это решение, которое сначала запрещает все, а потом разрешает только «хорошие» вещи. То есть при установке межсетевого экрана первым делом запрещаются все соединения между защищаемой и открытой сетями. Затем администратор добавляет специфичные правила, которые позволяют определенному трафику проходить через МСЭ. Типичная конфигурация МСЭ запретила бы весь входящий трафик ICMP, оставив разрешенным только исходящий трафик и некоторый входящий трафик на базе UDP- и Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей существует большое число способов обхода этого защитного средства (часть из них описана в нашей статье «Способы обхода межсетевых экранов»). Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но на сегодняшний день явно недостаточный, уровень защиты корпоративных ресурсов. Традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас. Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий, например, технологии обнаружения атак (intrusion detection), которая активно развивается за рубежом и шесть лет назад попала в Россию.
Обратимся к аналогиям из мира физической безопасности. Давайте представим вашу сеть в виде многоэтажного здания, где этажи представляют собой удаленные филиалы, а комнаты на этажах сегменты сети. Что защищает здание от проникновения в него посторонних? Массивная дубовая дверь, запирающаяся на ночь. Днем на входе дежурит бабушка из вневедомственной охраны или охранник устрашающего вида, облаченный в униформу и грозно помахивающий дубинкой. Можно пойти еще дальше и представить на входе Можно пойти еще дальше. Ведь в любом здании помимо главного существуют и другие входы. Кроме того, проникнуть в помещение можно через окно или подвал и т.д. Аналогичная ситуация и с сетью, в которой может быть резервный канал выхода в интернет или модем, несанкционированно установленный сотрудником организации. Что делать, чтобы повысить защищенность помещений в здании? Используются различные системы видеонаблюдения и охранной сигнализации, емкостные и температурные датчики, реагирующие на изменение объема или температуры в помещении и т.д. Такие же охранные системы существуют и в мире информационной безопасности. Это и есть системы обнаружения атак, контролирующие сетевые сегменты (читай этажи и помещения здания) или отдельные серверы (например, витрины ювелирного магазина или вход в банковское хранилище). Необходимо сразу отметить, что технология обнаружения атак, с одной стороны, еще очень незрела, а с другой постоянно привлекает новых производителей и разработчиков, которые появляются как грибы после дождя. Только за 19992002 гг. возникло более 30 фирм, предлагающих свои услуги в этой области. А число коммерческих и свободно распространяемых средств обнаружения атак приблизилось к сотне. Вместе с тем, также быстро они и исчезают или поглощаются более мощными соперниками и конкурентами. Но, несмотря на недостаток теоретических основ технологии обнаружения атак, существуют достаточно эффективные методы, используемые сегодня. Как и многие другие механизмы защиты, технология обнаружения атак должна решать несколько главных задач:
Можно видеть, что некоторые из этих задач могут быть решены встроенными в операционные системы или приложения механизмами. Например, контроль всех действий пользователей или программ в ОС Windows 2000 и Unix может быть осуществлен путем ручного анализа журналов регистрации EventLog и syslog соответственно. Однако процесс такого анализа достаточно трудоемок и требует выполнения большого числа рутинных операций, что в результате приводит к упущению из вида некоторых нарушений. Как показал опрос «Computer Crime and Security Survey», проведенный в 2002 году Институтом компьютерной безопасности и ФБР, 60% опрошенных используют в своей сети средства обнаружения атак. По данным уже называемого отчета компании Ernst&Young число таких компаний равно 36%, а по данным отчета «Network Security Survey 2001» 41%. При этом абсолютное большинство из опрошенных обнаруживало при помощи этих средств в своей сети злоумышленников. Согласно данным отчетам «люди стали меньше тратить времени на „ручной“ поиск свидетельств об атаке и теперь они могут реагировать на инциденты в реальном режиме времени. Инструментальные средства обнаружения атак облегчают этот процесс и позволяют отказаться от ручных операций, что существенно экономит время персонала безопасности». Это наблюдение важно для понимания, потому что в соответствии с проведенными опросами недостаток времени является одним из основных барьеров для повышения уровня защищенности корпоративных ресурсов. Первый шаг в обеспечении защиты это, конечно, не использование систем обнаружения атак в несвойственных им целях. Например, бессмысленно ставить такую систему, если доступ в корпоративную сеть из интернета не закрыт никаким другим защитным средством (межсетевым экраном и др.) и войти в сеть может любой желающий. Обнаружение атак логическое дополнение существующих средств защиты, расширяющее их возможности по управлению безопасностью ИС. Кроме того, технологии обнаружения атак позволяют контролировать эффективность других защитных систем, таких как межсетевые экраны, системы идентификации и аутентификации, системы разграничения доступа, средства построения виртуальных частных сетей, системы криптографической защиты информации и антивирусные системы. Все они выполняют существенно или критически важные функции по защите системы. Однако, играя такие жизненно важные роли, они являются и главными целями атак злоумышленников. Не менее опасным можно считать и тот факт, что эти системы создаются и эксплуатируются простыми смертными и, следовательно, также подвержены человеческим ошибкам, как и все остальные компоненты ИС. Вследствие нарушения конфигурации, полного выхода из строя или атаки, отказ любого из этих компонентов инфраструктуры защиты подвергает опасности защиту всех систем, которые они охраняют.
Однако если спросить специалистов, что же может делать система обнаружения атак, то в абсолютном большинстве случаев ответ будет следующим: «Как что? Обнаруживать атаки, например, Denial of Service». С одной стороны это действительно так. Но с другой… Системы обнаружения атак перестали быть рядовым средством защиты. Теперь это современные многофункциональные комплексы, призванные решать большой спектр задач:
С другими вариантами применения средств обнаружения атак можно познакомиться в наших статьях «IDS это целая философия» и «Сканеры ищут не только дыры в сети».
Обнаружение атак требует выполнения одного из двух условий: или понимания ожидаемого поведения контролируемого объекта системы или знания всех возможных атак и их модификаций. При создании систем обнаружения атак используются два основных подхода:
Сейчас трудно выделить Обнаруживать, блокировать и предотвращать нарушения политики безопасности можно несколькими путями. Первый, и самый распространенный способ это распознавание уже реализуемых атак. То есть если вспомнить уже приведенные этапы реализации атак, то в соответствии с предложенной классификацией данный способ функционирует на втором этапе осуществления атаки. Этот способ применяется в «классических» системах обнаружения атак (например, RealSecure Network 10/100 или Cisco IDS 4200), межсетевых экранах (таких как Check Point
Помимо приведенной, существует еще одна распространенная классификация систем обнаружения нарушения политики безопасности по принципу реализации: Сразу надо отметить, что данная классификация может вызвать споры. Некоторые специалисты считают неправильным причисление систем анализа защищенности к классу средств обнаружения атак, однако, если следовать описанным выше принципам классификации, то такое отнесение вполне логично. Аналогичная ситуация и с системами контроля целостности и анализа журналов регистрации. Эти системы помогают в обнаружении атак, «но на системы IDS совсем не похожи». Я не буду оспаривать этот факт, хочу только заметить, что, учитывая этапы реализации атак, приведенная мной классификация вполне закономерна. Кроме того, до сих пор не выработана единая терминология в этой области. Каждый производитель, желая показать, что его система уникальная и превосходит другие решения, создает новый класс систем обнаружения атак. Так появились гибридные системы обнаружения атак (например, Prelude IDS), виртуальные системы обнаружения атак, многоуровневые системы (multitiered IDS), шлюзовые (gateway IDS), системы с контролем состояния (stateful IDS) и даже системы, основанные на спецификациях
Учитывая растущий интерес к средствам обнаружения (а точнее блокирования) Самый простой способ блокирования атаки это запретить прохождение трафика между двумя сетями. Однако такой запрет приведет к невозможности обращения к защищаемым устройствам. Т.е. устройство, предназначенное для защиты от Второй способ блокирования Третий способ очень похож на спуск воды на плотинах, т.к. позволяет сдерживать поток трафика и время от времени пропускать небольшие его фрагменты в защищаемую сеть. И хотя в этой порции может находиться и враждебный трафик, его объем не позволяет вывести из строя защищаемые узлы. Этот метод очень эффективен против атаки SYN Flood и ей подобных. Последний способ предотвращения нарушения работоспособности защищаемых узлов аналогичен тому, что используется классическими средствами обнаружения сетевых атак. Средство блокирования Т.к. данные средства направлены на ослабление или полное блокирование атаки, то, как правило, они выполняются в виде отдельного устройства, которое устанавливается между защищаемой и открытой сетями, что позволяет полностью контролировать весь сетевой трафик. Примером таких средств являются FireProof компании Radware или TrafficMaster Enforcer компании Mazu Networks. До придания этим средствам самостоятельного, они носили название «inline IDS». Надо отметить, что данные средства не всегда выполняются как самостоятельные устройства. Нередко данные механизмы встраиваются в сетевое оборудование, например, в балансировщики нагрузки. Так поступили компании Foundry Networks со своим продуктом ServerIron 400 и TopLayer Networks с AppSwitch 3500. Интересное решение поставляет компания Reactive Networks, которая создала на базе платформы Dell и ОС Linux систему FloodGuard. Однако данное устройство не само блокирует атаку, а использует для этого списки контроля доступа маршрутизаторов компании Cisco. Работать эти системы могут не только на уровне сети, но и на уровне конкретного узла. В последнем случае предотвращение атаки осуществляется путем контроля всех системных вызовов. В случае обнаружения действий, несоответствующих заданной политике безопасности, они блокируются. По такому принципу действуют системы Okena StormWatch, купленная компанией Cisco Systems 24 января 2003 года, и Entercept, купленная компанией Network Associates 4 апреля 2003 года. И хотя на Западе это направление появилось совсем недавно, в России его знают уже не один год. Ведь практически все системы защиты информации от несанкционированного доступа (например, Secret Net или Dallas Lock), сертифицированные в Гостехкомиссии России, работают именно по этому принципу. Об авторе: Алексей Викторович Лукацкий, руководитель отдела |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP