Проверка соответствия элементов компьютерной системы признакам, характерным для процесса реализации атак

Автор: Администратор
Дата публикации: 2 августа 2012 года
Раздел: Защита от взлома

В существующих средствах обнаружения атак, работающих на основе проверки соответствия элементов компьютерной системы признакам, характерным для процесса реализации атак, используются два основных подхода:

  • анализ журналов регистрации;
  • поиск по сигнатурам.

Первый подход заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак. К достоинствам этого метода относится простота его реализации. Однако за этой простотой скрывается немало недостатков:

  • для достоверного обнаружения той или иной подозрительной деятельности необходима регистрация в журналах большого объема данных, что отрицательно сказывается на скорости работы контролируемой системы;
  • до настоящего момента нет унифицированного формата хранения журналов (хотя работы в этой области ведутся, например, в лаборатории COAST или в компании WebTrends, до их завершения еще очень далеко);
  • анализ уже записанных в журнал регистрации записей говорит о том, что анализ осуществляется не в реальном режиме времени. Это свидетельствует о том, что данные системы не могут быть применены для раннего обнаружения атак в процессе их развития;
  • отсутствует возможность обнаружить атаки, которые направлены на объекты, не использующие журналы регистрации, или для которых не существует соответствующей реализации агента.

Как правило, анализ журналов регистрации является дополнением к анализу на основе сигнатур, характерных для процесса реализации атак. Поиск по сигнатурам характерен для антивирусных средств. По отношению к сетевым атакам этот метод заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Очень часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность. К таким срокам можно отнести "\\WINNT\SYSTEM32\CONFIG" (данная строка описывает путь к файлам SAM, Security и т.д.) или "/etc/passwd" (данная строка описывает путь к списку паролей ОС Unix).

Использование метода обнаружения атак в сетевом трафике дает несколько основных преимуществ:

  • могут определяться атаки в реальном масштабе времени, соответственно возможно блокирование атак до достижения ими цели;
  • злоумышленник не может скрыть следы своей деятельности, поскольку анализируется весь трафик (в журналах регистрации информация может быть стерта);
  • имеется возможность обнаружения неудавшихся атак или подозрительной деятельности.

Агент сетевого уровня, установленный с наружной стороны межсетевого экрана, может обнаруживать атаки, нацеленные на ресурсы за брандмауэром, несмотря на то, что межсетевой экран, возможно, отразит эти попытки. Системы уровня ОС не видят отраженных атак, которые не достигают узлов за межсетевым экраном. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности.

Однако системы обнаружения сетевых атак также имеют и свои недостатки:

  • такие системы трудно применимы в высокоскоростных сетях (современные системы являются недейственными в сетях с пропускной способностью свыше 60-80 Мбит/сек);
  • сетевые агенты неэффективно работают в коммутируемых сетях и сетях с канальным шифрованием.

Для решения проблем с высокой сетевой скоростью многие агенты просматривают только трафик для узлов, на которых они установлены, вместо всего трафика всей сети.

В повседневной деятельности целесообразно разделить обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы, как правило, используют сигнатуры атак, в то время как вторые – анализ регистрационных журналов.

Все системы обнаружения атак могут быть построены на основе двух архитектур: "автономный агент" и "агент-менеджер". В первом случае на каждый защищаемый узел или сегмент сети устанавливаются агенты системы, которые не могут обмениваться информацией между собой, а также не могут управляться централизовано с единой консоли. Этих недостатков лишена архитектура "агент-менеджер". Типовая система обнаружения атак состоит из следующих компонентов:

  • графического интерфейса;
  • подсистемы управления;
  • модуля слежения;
  • модуля анализа;
  • подсистемы реагирования;
  • базы знаний и хранилища данных.

Подсистема управления позволяет управлять различными компонентами системы обнаружения атак. Управление может осуществляться, как при помощи внутренних протоколов и интерфейсов, так и при помощи уже разработанных стандартов, например, SNMP. Управление предполагает как возможность изменения политики безопасности для различных компонентов системы обнаружения атак (например, модулей слежения), так и получение информации от этих компонент (например, сведений о зарегистрированной атаке).

Модуль слежения обеспечивает сбор данных из контролируемого пространства (журнала регистрации или сетевого трафика). У разных производителей называется также сенсором (sensor), монитором (monitor), зондом (probe) и т.д. В зависимости от архитектуры построения системы обнаружения атак. Модуль слежения может быть физически отделен (архитектура "агент-менеджер") от других компонентов, т.е. находиться на другом компьютере.

Модуль анализа системы обнаружения атак осуществляет анализ информации, получаемой от модуля слежения. По результатам анализа данная подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т.д.

К типовым функциям реагирования можно отнести уведомление, сохранение и активное реагирование. Применение той или иной реакции зависит от многих факторов. Самыми простыми и широко распространенными методами уведомления являются посылка администратору безопасности сообщений об атаке на консоль системы обнаружения атак или посылка сообщений по электронной почте, на пейджер, по факсу или по телефону. К категории "уведомление" относится также посылка управляющих последовательностей к другим системам. Например, к системам сетевого управления (HP OpenView, Tivoli TME10, CA Unicenter и т.д.) или к межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewall, Raptor Firewall и т.д.). В первом случае используется стандартизованный протокол SNMP, а во втором – внутренние или стандартизованные (например, SAMP) протоколы.

К категории "сохранение" относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант позволяет администратору безопасности воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать "успешные" атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательства инцидента.

К активному реагированию относятся: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория реагирования, с одной стороны, достаточно эффективна, а с другой – критична, так как при ошибках может привести к нарушению работоспособности всей вычислительной системы.

В зависимости от методов, используемых в системе обнаружения атак, база знаний может содержать профили пользователей и вычислительной системы, сигнатуры атак или подозрительные строки, характеризующие несанкционированную деятельность. Эта база может пополняться производителем системы обнаружения атак или непосредственно службой информационно-компьютерной безопасности.

Хранилище данных обеспечивает хранение данных, собранных в процессе функционирования системы обнаружения атак.

Наиболее популярными системами обнаружения атак являются RealSecure компании ISS, NetRanger компании Cisco Systems, OmniGuard Intruder Alert компании Axent Technologies, а также SessionWall-3 компании Computer Associates.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42