 |
Применение средств аудита и обнаружения атак
|
|
|
|
О бнаружение атак и аудит - очень широкая область, которая охватывает многие аспекты, начиная с датчиков движения и систем видеонаблюдения и, заканчивая системами обнаружения мошенничества в реальном масштабе времени. Сегодня применение аудита и обнаружения вторжений также обязательно, как, например, использование МЭ. Поэтому руководители обязаны поддерживать своих технических специалистов в применении указанных процессов и средств. Рассмотрим суть обнаружения атак и аудита.
Обнаружение атак - это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.
Атака - это любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимости вычислительной системы.
Аудит (сканирование) – процесс глубокой проверки, основанный на поиске уязвимости информационной системы.
Уязвимость - любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы (угрозы существуют из-за ошибок в программах, человеческих ошибок, задания неправильной конфигурации системы, разрешенного,, но неиспользуемого сервиса, ошибок при проектировании и т.п.)
Угроза - потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба.
Системы обнаружения атак
Сообщения о проникновении в корпоративные сети и атаках на Web-сервера в последнее время появляются с ужасающей частотой. Число и сложность предлагаемых на рынке информационных технологий периодически растет. Очень часто злоумышленники преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения за защитную преграду. Обнаружить таких злоумышленников очень трудно. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего истинного адреса, осуществляют атаки распределенные во времени (в течение нескольких часов) и пространстве (одновременно с нескольких узлов) и т.д. Многие атаки осуществляются за очень короткое время (минуты и даже секунды), что также не позволяет обнаружить и предотвратить их стандартными защитными средствами.
|
|
|
Связано это с тем, что большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах. Согласно этим моделям субъекту (пользователю или программе) на основе заданных правил разрешается или запрещается доступ к какому-либо объекту (например, файлу). Однако действия, производимые субъектом над объектом, никак не регламентируется и таким образом невозможно, например, предотвратить копирование файла пользователем, которому доступ к данному файлу разрешен. Очень трудно придти к компромиссу и найти такую конфигурацию системы, которая совмещает в себе и достаточный уровень ее защищенности, и удобство в эксплуатации.
Как бы ни называли производители или исследовательские лаборатории механизмы обнаружения атак, используемые в своих продуктах, все они основаны на нескольких общих методах. Необходимо заметить, что все нижеописанные методы не являются взаимоисключающими. Во многих системах используется комбинация нескольких методов.
Анализ журналов регистрации
|
|
|
Этот один из самых первых реализованных методов обнаружения атак. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак.
К достоинствам этого метода относится простота его реализации. Однако за этой простотой скрывается немало недостатков:
- для достоверного обнаружения той или иной подозрительной деятельности необходима регистрация в журналах большого объема данных, что отрицательно сказывается на скорости работы контролируемой системы;
- при анализе журналов регистрации очень трудно обойтись без помощи специалистов, что существенно снижает круг распространения этого метода;
- до настоящего момента нет унифицированного формата хранения журналов.
Анализ уже записанных в журнал регистрации записей говорит о том, что анализ осуществляется не в реальном режиме времени. Это свидетельствует о том, что данные системы не могут быть применены для раннего обнаружения атак в процессе их развития. И самый очевидный недостаток - они не могут обнаружить атаки, которые направлены на узлы, не использующие журналы регистрации, или для которых не существует соответствующей реализации агента.
Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности, к обнаружению атак «на лету». Использование этого метода позволяет проводить «разбор полетов» уже после того, как была зафиксирована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.
Анализ «на лету»
Этот метод заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Очень часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность.
Использование метода обнаружения атак в сетевом трафике дает несколько основных преимуществ:
- один агент системы обнаружения атак может просматривать целый сегмент сети с многочисленными хостами, в то время как, для предыдущего метода необходимо на каждый анализируемый узел устанавливать свой агент. Этот метод позволяет обнаруживать атаки против всех элементов сети предприятия, начиная от атак на маршрутизаторы и заканчивая атаками на прикладные приложения.
|
|
|
- системы, построенные с учетом этого метода, могут определять атаки в реальном масштабе времени и останавливать атаки до достижения ими цели;
- невозможность злоумышленнику скрыть следы своей деятельности.
- обнаружение неудавшихся атак или подозрительной деятельности.
Однако системы обнаружения сетевых атак также имеют и свои недостатки. Во-первых, такие системы трудно применимы в высокоскоростных сетях. Все современные коммерческие системы, несмотря на то, что анонсируют возможность работы с сетями Fast Ethernet (100 Мбит/сек), не могут в сетях с пропускной способностью выше 60-80 Мбит/сек. Т.е. уже в сетях со скоростью свыше 100 Мбит/сек (например, ATM) такие системы не применимы. Во-вторых, системы обнаружения сетевых атак неэффективно работают в коммутируемых сетях и сетях с канальным шифрованием.
|
|
|
