Системы обнаружения атак или межсетевые экраны?

Очень часто задают вопрос: "Нужна ли мне система обнаружения атак, если у нас уже используется межсетевой экран?" Несомненно нужна. Система обнаружения атак является существенно важным дополнением межсетевого экрана (firewall), но никак не его заменой. Межсетевые экраны предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти средства из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества не обеспечивают приемлемого уровня доступа. Например, кто-то не понимает необходимости защиты сети и оставляет на рабочем месте включенным модем для доступа к компьютеру из дома. Межсетевой экран не может не только защитить в этом случае, но и обнаружить это факт. В этом случае системы обнаружения атак незаменимы. Независимо от того, какова надежность и эффективность фильтрации вашего межсетевого экрана, пользователи зачастую находят способы обойти все установленные Вами преграды. Например, объекты ActiveX или апплеты Java могут представлять новые направления для реализации атак через межсетевые экраны. Кроме того, по статистике не менее 75% всех компьютерных преступлений происходит изнутри корпоративной сети, от своих сотрудников. А, как уже было сказано выше, "классические" средства защиты, к которым относятся и межсетевые экраны, не позволяют защитить корпоративную сеть в случае наличия плохого умысла со стороны пользователя, имеющего в нее доступ. Поэтому, межсетевой экран не может заменить систему обнаружения атак и оба этих средства нужны для построения эффективной системы защиты информации.

Представьте Вашу сеть как многоэтажное высотное здание, в котором межсетевой экран - это швейцар у дверей на входе, а каждый модуль слежения системы обнаружения атак - это сторожевой пес у каждой конкретной двери. Как правило, швейцар с удовольствием пропускает людей, которые выглядят довольно хорошо, и задерживает подозрительных людей. Однако, умный преступник способен пройти мимо швейцара и проникнуть внутрь здания, не вызвав его подозрений. Сторожевой пес лучше знает, кого он может впустить в данную дверь и мгновенно реагирует на вторжение.

Сделайте правильный выбор

Как уже было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровне. Принципиальное преимущество сетевых (network-based) систем обнаружения атак в том, что они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. В России наибольшее распространение получили операционные системы MS DOS, Windows 95, Netware и Windows NT. Различные диалекты Unix у нас пока не столь широко распространены, как на Западе. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Например, мне не известна ни одна система этого класса, функционирующая под управлением MS DOS или Windows for Workgroups (а ведь эти операционные системы еще достаточно распространены в России). Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени (например, система "Операционный день банка" или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить большую часть сетевых узлов организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением была бы система обнаружения атак, объединяющая в себе оба эти подхода. Но на начало 1999 года существует только одна система, удовлетворяющая этому требованию. Это система, разработанная компанией Internet Security Systems, Inc. - RealSecure, в состав которой входят сетевой и системный агенты, обнаруживающие атаки на уровне сети и хоста, соответственно.

Существует и еще одна классификация систем обнаружения атак. Она делит системы по тому, когда анализируются данные - в реальном масштабе времени или после совершения события. Как правило, системы обнаружения атак на уровне сети работают в реальном режиме времени, в то время как системы, функционирующие на уровне хоста, обеспечивают автономный анализ регистрационных журналов операционной системы или приложений. Однако бывают и исключения. Например, системный агент вышеупомянутой системы RealSecure функционирует в реальном масштабе времени. Преимущества и недостатки каждого из подходов зависят от того, как будет применяться система обнаружения атак. В случае высококритичных систем, таких как, например, "Банковский операционный день", обнаружение атак в реальном режиме времени является обязательным, т.к. злоумышленник может проникнуть в систему, сделать все, что необходимо и исчезнуть в течение нескольких минут или даже секунд. Однако и автономный анализ имеет немалое значение. Он позволяет проводить более подробное исследование того, когда и как злоумышленники проникли в вашу систему. Это позволит выработать вам эффективные меры противодействия нападавшим. Реализован такой анализ может быть по разному. Начиная от простой генерации отчета с информацией обо всех или выбранных прошедших событиях, и заканчивая воспроизведением (playback) в реальном времени всех действий, производимых при атаке (как это, например, реализовано в системе RealSecure). Однако необходимо заметить, что анализ данных "постфактум" полезен только при наличии квалифицированного обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Важно, чтобы системы обнаружения атак поддерживали эту возможность, предоставляя эффективные средства управления данными.

Не рассматривая подробно алгоритмы обнаружения атак, более подробно остановлюсь на некоторых моментах, на которые стоит обращать внимание при выборе системы для своей организации. Во-первых, это варианты реагирования на обнаруженную атаку. Как минимум, система обнаружения атак должна выдавать сигнал о тревоге на консоль администратора или уведомлять его по электронной почте. Большинство представленных на рынке систем обладает этими возможностями. Наиболее "продвинутые" системы предлагает и другие варианты уведомления. Например, система обнаружения атак RealSecure позволяет посылать уведомление об атаке на консоль некоторых межсетевых экранов (например, Lucent Managed Firewall), систем сетевого управления (например, HP OpenView или CA Unicenter), а также генерировать сигнал тревоги и передавать его на пейджер, факс или телефон. Кроме уведомления, системы обнаружения атак предлагают и другие варианты реагирования - реконфигурация межсетевых экранов и маршрутизаторов, автоматическое завершение атаки с атакующим узлом, блокировка учетной записи атакующего пользователя и т.д.

Второе, на что следует обратить свой взгляд, является архитектура системы. Существует два распространенных варианта - архитектура "автономный агент" и "агент-менеджер". В обоих случаях вы устанавливаете компоненты системы обнаружения атак на выделенные компьютеры, но во втором случае вы сможете централизованно управлять модулями слежения с единой консоли (менеджера) и удаленно собирать регистрационные данные не посещая каждый узел, на котором установлена система обнаружения атак. В небольших сетях это не имеет большого значения, однако, для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, это принципиальный момент.

В целом, все требования, которые необходимо учитывать при выборе систем обнаружения атак можно условно разделить на несколько групп:

• Инсталляция и развертывание системы;

• Безопасность самой системы;

• Обнаружение атак;

• Реагирование на атаки;

• Конфигурация системы;

• Контроль событий;

• Управление данными системы;

• Производительность системы;

• Архитектура системы;

• Техническая поддержка системы.

Таблица 1. Список известных систем обнаружения атак

Подводя итог, можно сказать, что система обнаружения атак - это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать и анализировать информацию от множества удаленных системных и сетевых агентов на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные агенты и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем дорогостоящая игрушка, если у вас в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак.