|
|
  |
Главная страница / Архитектура отрасли система обнаружения вторжения (СОВ) : Типы, виды, особенности работы, классификация СОВСегодня возможности обнаружения вторжения становятся необходимыми добавлениями к инфраструктуре защиты информации каждой крупной компании. Вопрос о том, необходима ли система обнаружения вторжения (СОВ), для профессионалов защиты информации уже не стоит, однако перед ними возникает проблема выбора такой системы для конкретной организации. Кроме того, высокая стоимость подобных продуктов заставляет более тщательно подходить к обоснованию необходимости их использования. Данная статья предоставляет базовую информацию о системах этого класса, что должно помочь организациям избежать традиционных промахов в приобретении, развертывании и поддержании систем обнаружения вторжений. Типы систем обнаружения вторжений На сегодняшний день существует несколько различных типов СОВ, отличающихся различными алгоритмами мониторинга данных и подходами к их анализу. Каждому типу системы соответствуют те или иные особенности использования, преимущества и недостатки. Один из способов классификации СОВ основывается на уяснении того, что они, собственно, контролируют. Одни контролируют весь сетевой трафик и анализируют сетевые пакеты, другие разворачиваются на отдельных компьютерах и контролируют операционную систему на предмет выявления признаков вторжения, третьи, как правило, контролируют отдельные приложения. СОВ, ЗАЩИЩАЮЩИЕ СЕГМЕНТ СЕТИ Этот класс СОВ в настоящее время наиболее распространен среди коммерческих продуктов. Система обычно состоит из нескольких специализированных серверов, которые анализируют сетевой трафик в различных сегментах сети и передают сообщения о возможном нападении на централизованную консоль управления. Никакие другие приложения не работают на серверах используемых СОВ, поэтому они могут быть защищены от нападения, в том числе специальными средствами. Многие из них могут функционировать в «стелс»-режиме, что затрудняет обнаружение нападающих и определение их местонахождения в сети. Преимущества: • несколько удачно расположенных систем могут контролировать большую сеть; • их развертывание оказывает незначительное воздействие на существующую сеть. Подобные СОВ, как правило, пассивные устройства, которые перехватывают сетевой трафик, не загружая сеть служебными потоками; • cистема может быть весьма защищенной от нападений на нее саму, к тому же отдельные ее узлы можно сделать невидимыми для нападающих. Недостатки: • не в состоянии распознавать нападение, начатое в момент высокой загрузки сети. Некоторые разработчики пытаются решить эту проблему, реализуя СОВ на основе аппаратных средств, обладающих более высокой скоростью. Кроме того, необходимость быстро анализировать пакеты вынуждает разработчиков обнаруживать нападение с минимальными затратами вычислительных ресурсов, что серьезно снижает эффективность обнаружения; • многие из преимуществ СОВ небольших сегментов (обычно один высокоскоростной канал Ethernet на сервер) и обеспечивают выделенные каналы между серверами, обслуживаемыми тем же коммутатором. Большинство коммутаторов не обеспечивают универсальные порты управления, что сокращает контролирующий диапазон датчика СОВ. В таких коммутаторах отдельный порт зачастую не может отразить весь трафик, проходящий через коммутатор; • не способны анализировать зашифрованную информацию; • сообщают об инициированном нападении, не анализируя степень проникновения. СОВ, ЗАЩИЩАЮЩИЕ ОТДЕЛЬНЫЙ СЕРВЕР Данные системы работают, анализируя активность процессов на конкретном сервере, на котором установлены; собирают информацию о контролируемом ими сервере. Это позволяет СОВ анализировать действия на сервере с высокой степенью детализации и точно определять, кто из пользователей выполняет злонамеренные действия в операционной системе сервера. Некоторые СОВ этого класса имеют возможность управлять группой серверов, подготавливая централизованные отчеты о возможных нападениях, которые обобщаются на консоли администратора защиты. Другие генерируют сообщения, совместимые с системами управления сетью. Преимущества: • обнаруживают нападения, которые не выявляют СОВ, защищающие сегмент сети, так как имеют представление о событиях, локализованных на конкретном сервере; • работают в сети, использующей шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю; • функционируют в коммутируемых сетях. Недостатки: • механизмы сбора информации должны устанавливаться и поддерживаться на каждом сервере, который будет контролироваться; • могут быть атакованы и заблокированы подготовленным противником; • не способны контролировать ситуацию во всей сети, так как «видят» только сетевые пакеты, получаемые сервером, на котором они установлены; • трудности в обнаружении и противодействии нападениям с отказом в обслуживании; • используют вычислительные ресурсы сервера, который контролируют, снижая тем самым эффективность его работы. СОВ НА ОСНОВЕ ЗАЩИТЫ ПРИЛОЖЕНИЙ Эти системы контролируют события, проявляющиеся в пределах отдельного приложения, и нередко обнаруживают нападения при анализе системных журналов приложения. Возможность связываться непосредственно с приложением посредством служебного интерфейса, а также большой запас прикладных знаний о приложении позволяют СОВ данного класса обеспечивать более детальное представление о подозрительной деятельности в приложении. Преимущества: • контролируют деятельность с очень высокой степенью детализации, позволяющей им прослеживать неправомочную деятельность индивидуальных пользователей; • способны работать в зашифрованных средах, за счет взаимодтые приложения на контролируемом ими сервере. Некоторые эксперты отмечают, что различие между системами на основе защиты приложений и системами на основе защиты отдельного сервера не всегда четко прослеживаются, поэтому в дальнейшем оба класса будем относить к системам обнаружения вторжений на основе защиты отдельного сервера. Подходы к анализу событий. В настоящее время существуют два основных подхода к анализу событий: обнаружение сигнатуры и обнаружение аномалии. СОВ НА ОСНОВЕ СИГНАТУРЫ Подход к обнаружению вторжения на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающих известное нападение. Следовательно, системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаружить каждое известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах. Преимущества: • весьма эффективны при обнаружении нападений, не генерируя значительное число ложных тревог. Недостатки: • системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаруживать каждое нападение, и постоянно модифицироваться сигнатурами новых нападений; • сами сигнатуры во многих системах данного класса определены достаточно узко, что затрудняет обнаружение ими вариантов традиционных нападений, сигнатура которых незначительно отличается от имеющейся в их базе. СОВ НА ОСНОВЕ ВЫЯВЛЕНИЯ АНОМАЛИИ Такие системы обнаруживают нападения, идентифицируя необычное поведение (аномалии) на сервере или в сети. Принцип их функционирования основан на том, что нападающие ведут себя не так, как «нормальные» пользователи, и могут быть обнаружены системами, идентифицирующими эти различия. Системы на основе выявления аномалии устанавливают базис нормального поведения, профилируя специфических пользователей или сетевые подключения, и выявляют случаи отклонения контролируемой деятельности от нормы. К сожалению, на сегодняшний день системы данного класса пока еще часто производят большое количество ложных срабатываний. Однако, несмотря на это, исследователи утверждают, что они способны обнаружить нападение, ранее незамеченное, в отличие от СОВ на основе сигнатуры, которые полагаются на результаты анализа прошлых нападений. Некоторые коммерческие СОВ реализуют ограниченные формы обнаружения аномалии, однако лишь единицы полагаются исключительно на эту технологию. Вместе с тем обнаружение аномалии остается областью активных исследований, и в ближайшее время здесь возможны серьезные прорывы. Преимущества: • обнаруживают нападение без необходимости быть заранее запрограммированными. Недостатки: • производят большое количество ложных срабатываний, активизируясь из-за непредсказуемого характерв поведения. СОВ, автоматически отвечающие на нападения Человек-администратор не всегда доступен в момент нападений на систему, поэтому некоторые СОВ могут быть сконфигурированы так, чтобы автоматически отвечать на них. Самая простая форма автоматизированного ответа – уведомление администратора. После обнаружения нападения СОВ может послать по электронной почте или пейджеру письмо администратору с кратким описанием произошедшего события. Более активный ответ может остановить продвижение нападения и блокировать дальнейшие попытки нападающих. Как правило, СОВ не обладает способностью блокировать действия конкретного человека, но могут блокировать конкретные IP-адреса, с которых работает нападающий. Преимущества: • разрыв подключений TCP при введении пакетов сброса в подключения нападающего с адресатом нападения; • реконфигурирование маршрутизаторов и систем сетевой защиты с целью блокировать пакеты от IP-адреса нападающего; • реконфигурирование маршрутизаторов и систем сетевой защиты для блокирования протоколов, используемых нападающим; • в критических ситуациях, реконфигурируя маршрутизаторы и системы сетевой защиты, СОВ этого класса способны разъединить все текущие подключения, используя специфические сетевые интерфейсы. Более агрессивный способ ответить нападающему предусматривает возможность наступательных действий против нападающего, а также получение информации о сервере нападающего. Однако сам этот ответ может быть достаточно опасен для организации, так как он, скорее всего, будет незаконным и принесет убытки невинным пользователям Интернета. Инструментальные средства, дополняющие СОВ СуществуеЉт несколько инструментальных средств, которые дополняют СОВ и часто обозначаются разработчиками как полноценные СОВ, потому что они исполняют аналогичные функции. СИСТЕМЫ HONEY POTS И PADDED CELL «Горшки меда» (Honey Pots) – системы-«приманки», которые пытаются «соблазнить» атакующего, прежде чем он достигнет критически важных приложений. Мониторы и регистраторы вторжения на «горшке меда» обнаруживают несанкционированные акции и собирают информацию о действиях нападающего. Системы «Психиатрическая палата» (Padded Cell) реализуют несколько иной подход. Не привлекая нападающих реальными данными, Padded Cell ждет, пока обычная СОВ обнаружит вторжение. После этого нападающий передается специальному серверу системы Padded Cell. Подобно «горшку меда», эта моделируемая среда может быть заполнена реальными данными, чтобы убедить нападающего, что нападение идет согласно плану. Преимущества: • нападающий может быть отклонен от целевой системы, которую он не способен повредить; • администраторы имеют запас времени, чтобы решить, как ответить противнику; • действия нападающего могут легко контролироваться, а результаты их в качестве авторизованных пользователей. Недостатки: • опытный нападающий, когда-то отклоненный в системе-«приманке», в следующий раз может предпринять более враждебное нападение против систем организации; • необходим высокий уровень подготовки администраторов и руководителей службы безопасности; • юридические значения использования таких устройств еще недостаточно определены. Инструментальные средства оценки уязвимости Инструментальные средства оценки уязвимости подразделяются на два класса: пассивные и активные. Пассивные просматривают данные на сервере, на котором постоянно находятся, с целью выявить опасные конфигурации в настройках, версиях программ, о которых известно, что они содержат уязвимости, а также слабые пароли. Активные средства анализируют всю сеть организации в поисках уязвимостей в настройках серверов, сравнивая полученную информацию с библиотекой номеров версии ПО, известных как опасные, и определяют, уязвимы ли серверы к известным нападениям. Развертывание СОВ Использование систем обнаружения вторжения требует хорошей подготовки и регулярного взаимодействия специалистов, участвующих в их сопровождении. Организации должны иметь соответствующую политику защиты, планы и процедуры на местах, чтобы персонал знал, как реагировать на все виды тревог, которые инициируют СОВ. Эксперты NIST рекомендуют рассматривать комбинацию СОВ на основе защиты сегмента сети. После этого возможно дополнительное усиление системы защиты путем развертывания СОВ на основе защиты отдельных серверов. Honey Pots должны использоваться обоснованно и только организациями с высококвалифицированным техническим персоналом, которые имеют возможности экспериментировать с передовыми технологиями защиты. За исключением отдельных исследовательских прототипов, Padded Cell в данное время недоступны. В настоящий момент практикуется несколько вариантов развертывания (местоположения) СОВ на основе защиты сети: • позади внешней системы сетевой защиты (межсетевых экранов) – обнаружение нападения, проникающего через оборонительный периметр сети из внешнего мира; • впереди внешней системы сетевой защиты – доказывает, что нападения из Интернета против сети предпринимаются регулярно; • на опорных сетевых каналах – обнаружение неправомочной деятельности в пределах сети и мониторинг большого объема сетевого трафика; • в критической подсети – выявление атак на критические ресурсы. Будущее СОВ Исследовательские работы в области создания СОВ активизировались после 1985 года, но крупномасштабное коммерческое использование СОВ не начиналось вплоть до 1996-го. По данным IDC, в 1998 году продажи инструментальных средств СОВ достигли 100 млн, в 2001-м – 350 млн, а в 2002-м уже 443,5 млн долл.! По некоторым х срабатываний, недостатка универсальности и недостаточной интеграции с системами управления сетью предприятия. Вместе с тем анализ тенденций развития этого направления средств защиты информации позволяет предположить, что в недалекой перспективе большинство проблем, связанных с функциональностью СОВ, будут разрешены. Подготовил Сергей Гриняев, sgreen@hotbox.ru по материалам Лаборатории информационных технологий Национального института стандартов США Главная страница / Архитектура отрасли |