Задача активного аудита — оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее.

Активность, не соответствующую политике безопасности, целесооб­разно разделить на атаки, направленные на незаконное получение полно­мочий, и на действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику безопасности.

Атаки нарушают любую осмысленную политику безопасности. Иными словами, активность атакующего является разрушительной неза­висимо от политики. Следовательно, для описания и выявления атак можно применять универсальные методы, инвариантные относительно политики безопасности, такие как сигнатуры и их обнаружение во вход­ном потоке событий с помощью аппарата экспертных систем.

Сигнатура атаки — это совокупность условий, при выполнении кото­рых атака считается имеющей место, что вызывает заранее определенную реакцию. Простейший пример сигнатуры — «зафиксированы три после­довательные неудачные попытки входа в систему с одного терминала», пример ассоциированной реакции — блокирование терминала до прояс­нения ситуации.

Действия, выполняемые в рамках имеющихся полномочий, но нару­шающие политику безопасности, мы будем называть злоупотреблением полномочиями. Злоупотребления полномочиями возможны из-за не­адекватности средств разграничения доступа выбранной политике безо­пасности. Простейшим примером злоупотреблений является неэтичное поведение суперпользователя, просматривающего личные файлы других пользователей. Анализируя регистрационную информацию, можно обна­ружить подобные события и сообщить о них администратору безопасно­сти, хотя для этого необходимы соответствующие средства выражения политики безопасности.

Выделение злоупотреблений полномочиями в отдельную группу не­правомерных действий, выявляемых средствами активного аудита, не яв­ляется общепринятым, однако, на наш взгляд, подобный подход имеет право на существование и мы будем его придерживаться, хотя наиболее радикальным решением было бы развитие средств разграничения досту­па (см. «Возможный подход к управлению доступом в распределенной объектной среде»).

Нетипичное поведение выявляется статистическими методами. В простейшем случае применяют систему порогов, превышение которых является подозрительным. (Впрочем, «пороговый» метод можно тракто­вать и как вырожденный случай сигнатуры атаки, и как тривиальный спо­соб выражения политики безопасности.) В более развитых системах про­изводится сопоставление долговременных характеристик работы (назы-

ваемых долгосрочным профилем) с краткосрочными профилями. (Здесь можно усмотреть аналогию биометрической аутентификации по пове­денческим характеристикам.)

Применительно к средствам активного аудита различают ошибки первого и второго рода: пропуск атак и ложные тревоги, соответственно. Нежелательность ошибок первого рода очевидна; ошибки второго рода не менее неприятны, поскольку отвлекают администратора безопасности от действительно важных дел, косвенно способствуя пропуску атак.

Достоинства сигнатурного метода — высокая производительность, малое число ошибок второго рода, обоснованность решений. Основной недостаток — неумение обнаруживать неизвестные атаки и вариации из­вестных атак.

Основные достоинства статистического подхода — универсальность и обоснованность решений, потенциальная способность обнаруживать неизвестные атаки, то есть минимизация числа ошибок первого рода. Минусы заключаются в относительно высокой доле ошибок второго ро­да, плохой работе в случае, когда неправомерное поведение является ти­пичным, когда типичное поведение плавно меняется от легального к не­правомерному, а также в случаях, когда типичного поведения нет (как по­казывает статистика, таких пользователей примерно 5-10%).

Средства активного аудита могут располагаться на всех линиях обо­роны информационной системы. На границе контролируемой зоны они могут обнаруживать подозрительную активность в точках подключения к внешним сетям (не только попытки нелегального проникновения, но и действия по «прощупыванию» сервисов безопасности). В корпоративной сети, в рамках информационных сервисов и сервисов безопасности, ак­тивный аудит в состоянии обнаружить и пресечь подозрительную актив­ность внешних и внутренних пользователей, выявить проблемы в работе сервисов, вызванные как нарушениями безопасности, так и аппаратно-программными ошибками. Важно отметить, что активный аудит, в прин­ципе, способен обеспечить защиту от атак на доступность.

К сожалению, формулировка «в принципе, способен обеспечить за­щиту» не случайна. Активный аудит развивается более десяти лет, и пер­вые результаты казались весьма многообещающими. Довольно быстро удалось реализовать распознавание простых типовых атак, однако затем было выявлено множество проблем, связанных с обнаружением заранее неизвестных атак, атак распределенных, растянутых во времени и т.п. Бы­ло бы наивно ожидать полного решения подобных проблем в ближайшее время. (Оперативное пополнение базы сигнатур атак таким решением, конечно, не является.) Тем не менее, и на нынешней стадии развития активный аудит полезен как один из рубежей (вернее, как набор прослоек) эшелонированной обороны.

Лекция 12. Экранирование, анализ защищенности

Рассматриваются сравнительно новые (развивающиеся с начала 1990-х го­дов) сервисы безопасности — экранирование и анализ защищенности.

Ключевые слова: экран, экранирование, разграничение доступа, про­токолирование, фильтрация, фильтр, межсетевой экран (МЭ), до­ступность, конфиденциальность, частичное экранирование, ограни­чивающий интерфейс, Web-сервис, внутренний МЭ, внешний МЭ, двухкомпонентное экранирование, демилитаризованная зона, гра­ничный маршрутизатор, многопротокольный МЭ, сервер-посред­ник, составной МЭ, персональный МЭ, персональное экранирую­щее устройство, архитектурная безопасность, эшелонированность обороны, простота, управляемость, невозможность перехода в небе­зопасное состояние, внешние угрозы, внутренние угрозы, экраниру­ющий концентратор, экранирующий маршрутизатор, пакетный фильтр, порт, входная фильтрация, выходная фильтрация, транс­портное экранирование, прикладной МЭ, комплексный МЭ, про­зрачность, экранирующий агент, трансляция адресов, простота ис­пользования, собственная защищенность, централизованное адми­нистрирование, база правил, непротиворечивость базы правил, кон­троль «налету», ПО промежуточного слоя, маршрутизация запросов, балансировка нагрузки, многозвенная архитектура клиент/сервер, анализ защищенности, сканер защищенности, база данных уязвимо-стей, сетевой сканер, антивирусная защита, автообнаружение.

Экранирование

Основные понятия

Формальная постановка задачи экранирования состоит в следую­щем. Пусть имеется два множества информационных систем. Экран — это средство разграничения доступа клиентов из одного множества к серве­рам из другого множества. Экран осуществляет свои функции, контроли­руя все информационные потоки между двумя множествами систем. Контроль потоков состоит в их фильтрации, возможно, с вы­полнением некоторых преобразований.

На следующем уровне детализации экран (полупроницаемую мемб­рану) удобно представлять как последовательность фильтров. Каждый из

фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу «перебросить» за экран. Кроме того, допускается преоб­разование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.

⇐ Предыдущая45678910111213Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: