В настоящее время одной из серьезных проблем безопасности информации в компьютерных сетях является защита сети от несанкционированного доступа.
Несанкционированный доступ кинформации — наиболее распространенный вид компьютерных нарушений — осуществляется, как правило, с использованием чужого имени, изменением физических адресов технических устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных.
Несанкционированный доступ (НСД) к информации заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно самая главная проблема определить, кто и к каким наборам данных должен иметь доступ, а кто нет. Другими словами, необходимо определить термин “несанкционированный”.
По характеру воздействия НСД является активным воздействием, использующим ошибки системы. НСД обращается обычно непосредственно к требуемому набору данных, либо воздействует на информацию о санкционированном доступе с целью легализации НСД. НСД может быть подвержен любой объект системы. НСД может быть осуществлен как стандартными, так и специально разработанными программными средствами к объектам в любом состоянии.
Методика реализации НСД в значительной мере зависит от организации обработки информации на предприятии, разработанной для данного предприятия политики безопасности, возможностей установленных средств защиты, а также добросовестности администратора и оператора. Для реализации НСД существует два способа:
‒ во-первых, можно преодолеть систему защиты, то есть путем различных воздействий на нее прекратить ее действия в отношении себя или своих программ. Это сложно, трудоемко и не всегда возможно, зато эффективно;
‒ во-вторых, можно понаблюдать за тем, что “плохо лежит”, то есть какие наборы данных, представляющие интерес для злоумышленника, открыты для доступа по недосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой, тоже можно назвать несанкционированным, его легко осуществить, но от него легко и защититься. К этому же типу относится НСД с подбором пароля, поскольку осуществить такой подбор возможно лишь в случае нарушения правил составления паролей и использования в качестве пароля человеческих имен, повторяющихся символов.
Все механизмы обнаружения несанкционированного доступа, в дальнейшем — атаки, разработанные в исследовательских лабораториях, основаны на общих методах. Эти механизмы не являются взаимоисключающими, во многих разработанных системах встречается комбинация нескольких подходов [1].
Одним из самых первых реализованных методов обнаружения атак был анализ журналов регистрации. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т. д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак.
К достоинствам этого метода относится простота его реализации. Однако за этой простотой скрывается немало недостатков. Во-первых, для достоверного обнаружения той или иной подозрительной деятельности необходима регистрация в журналах большого объема данных, что отрицательно сказывается на скорости работы контролируемой системы. Во-вторых, при анализе журналов регистрации очень трудно обойтись без помощи специалистов, что существенно снижает круг распространения этого метода. В-третьих, до настоящего момента нет унифицированного формата хранения журналов. И хотя работы в этой области ведутся, например, в лаборатории COAST или в компании WebTrends, до их завершения еще очень далеко. И, наконец, анализ уже записанных в журнал регистрации записей говорит о том, что анализ осуществляется не в реальном режиме времени.
Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак. Использование этого метода позволяет проводить разбор проишествия уже после того, как была зафиксирована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.
Еще один метод обнаружения — использование профилей «нормального» поведения. Профили нормального поведения используются для наблюдения за пользователями, системной деятельностью или сетевым трафиком. Данные наблюдения сравниваются с ожидаемыми значениями профиля нормального поведения, который строится в период обучения системы обнаружения атак.
При настройке и эксплуатации систем, использующих профили, приходится сталкиваться с некоторыми проблемами:
‒ построение профиля пользователя. Трудно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы;
‒ определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из двух вышеназванных крайних случаев;
и его редко используют в современных системах защиты информации (хотя такие попытки и делаются).
Метод использования сигнатур атак очень часто сопоставляют с анализом «на лету». Метод заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике, журнале регистрации и т. д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Собственно говоря, антивирусные резидентные мониторы являются частным случаем системы обнаружения атак, но т. к. эти направления изначально развивались параллельно, то принято разделять их.
Несмотря на эффективность и простоту реализации этих методов, в системах, их реализующих, проблемы также существуют. Первая проблема заключается в создании механизма описания сигнатур, т. е. языка описания атак. А вторая проблема, плавно вытекающая из первой, как записать атаку, чтобы зафиксировать все ее возможные модификации?
Эффективность системы обнаружения атак во многом зависит от методов анализа информации. В самых первых системах, разработанных в начале 80-х, использовались статистические методы обнаружения атак. С тех пор появилось и множество новых методик — от нечеткой логики до нейронных сетей. Каждая из них обладает своими достоинствами и недостатками, поэтому в реальных системах различные подходы реализованы в совокупности.
При статистическом методе ванализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение (дисперсия) от эталона считается несанкционированной деятельностью. Основные преимущества статистического подхода — это адаптация к поведению субъекта и применение отработанного аппарата математической статистики. Но данный метод имеет так же недостатки.
Так же, для анализа данных широко распространены экспертные системы. Экспертная система содержит набор правил, которые охватывают знания человека-эксперта. Однако, чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления своей базы знаний. Основное достоинство такого подхода — практически полное отсутствие ложных тревог. Но есть и недостатки, главный из них невозможность отражения неизвестных атак.
Один из путей разрешения вышеназванных проблем — нейронные сети. В отличии от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики шаблонным, нейронная сеть позволяет оценивать степень соответствия анализируемых данных эталонной модели. При этом эффективность работы системы полностью зависит от качества ее обучения.
Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку — это не только ее блокирование. Часто бывает необходимо «пропустить» атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование.
Самый простой и широко распространенный метод уведомления — посылка администратору безопасности сообщений об атаке на консоль системы обнаружения атак. К этой категории относится также посылка управляющих последовательностей к другим системам. Например, к системам сетевого управления (HP OpenView, Tivoli TME10, CA Unicenter и т. д.) или к межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewall, Raptor Firewall и т. д.). В первом случае используется стандартизованный протокол SNMP, а во втором — внутренние или стандартизованные (например, SAMP) протоколы.
К категории сохранение относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать «успешные» атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.
К категории активное реагирование относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т. к. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.
Реализованные на сегодняшний день системы обнаружения вторжений (Intrusion Detection System — IDS), к сожалению, не способны решить все проблемы, так или иначе связанные с угрозой несанкционированного доступа. Они не способны полностью “изолировать” хакеров и далеко не идеальны. Но, тем не менее IDS-технология способна в режиме реального времени держать сетевых администраторов в курсе всего, что происходит в сети и что так или иначе связано с ее безопасностью. Значение подобных инструментальных средств весьма велико.
В заключении необходимо сказать что, установив выбранную систему обнаружения атак, вы еще не полностью защитили себя от атак. И это надо понимать. Система обнаружения атак — это всего лишь необходимое, но явно недостаточное условие для обеспечения эффективной системы защиты организации. Необходимо провести целый спектр организационных и технических мероприятий для построения целостной системы защиты организации. Это и анализ рисков, и разработка политики безопасности, и установка и настройка различных средств защиты (межсетевые экраны, систем анализа защищенности и т. д.), и обучение специалистов, и т. д. Система обнаружения атак — это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать, обобщать и анализировать информацию от множества удаленных сенсоров на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные модули слежения и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем дорогостоящая игрушка, если у вас в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак.
Литература:
1. А. В. Лукацкий. Обнаружение атак. — СПб.: БХВ-Петербург, 2001. — 624 с.
