Система обнаружения вторжений (СОВ ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет . Соответствующий английский термин - Intrusion Detection System (IDS) . Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей)
Обычно архитектура СОВ включает:
Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.
IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).
MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP , была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.
W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Лос-Аламосской Национальной лаборатории. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.
В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP . Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.
В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.
Вредоносное программное обеспечение | |
---|---|
Инфекционное вредоносное ПО | Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология |
Методы сокрытия | Бэкдор · Компьютер-зомби · Руткит |
Вредоносные программы для прибыли |
Подсистема обнаружения и предотвращения вторжений включает в себя:
Таблица 1. Подсистемы обнаружения и предотвращения вторжений
Обнаружение вторжений - это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.
Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.
По способу мониторинга средства подсистемы делятся на:
Выделяется несколько методов анализа событий:
В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.
Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.
Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.
Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.
Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.
Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.
Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.
Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.
К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.
Варианты решения:
Cisco Security Agent |
|
|
Check Point Endpoint Security |
|
|
Symantec Endpoint Protection |
|
|
Trend Micro OfficeScan Corporate Edition |
|
|
IBM Proventia Server Intrusion Prevention System |
|
|
Kaspersky Total Security |
|
Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.
Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.
Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.
В качестве мер противодействия, может выполняться:
Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.
Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:
Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems
Варианты решения:
Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.
Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.
Общий подход к защите от атак DDoS включает реализацию следующих механизмов:
Бизнес-преимущества внедряемого решения:
Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.
Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:
Архитектура решения
Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи
Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.
В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.
При разработке данного решения применялся комплексный подход для построения системы защиты, способной защитить не только отдельные сервера предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых серверов, web-серверов и DNS-серверов.
Архитектура решения
Рисунок 3. Архитектура решения защиты от DDoS-атак для предприятий
В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.
Метод обнаружения аномалий не может обеспечить 100% вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровне.
Технические преимущества внедряемых решений:
Варианты решения:
Arbor Peakflow SP |
|
|
Cisco Guard |
|
|
Cisco Traffic Anomaly Detector |
|
Сергей Гриняев
,
кандидат технических наук, старший научный сотрудник
[email protected]
Технология систем обнаружения вторжений в компьютерные сети (СОВ) достаточно молода и динамична. Сегодня в этой сфере идет активное формирование рынка, в том числе процессы поглощения и слияния компаний. Поэтому информация о системах обнаружения вторжений быстро устаревает, что затрудняет сравнительный анализ их технических характеристик. Список продуктов, расположенный в Интернете на сайте SANS/NSA1, более достоверен, поскольку он постоянно модифицируется и дополняется. Что же касается информации на русском языке, то она практически полностью отсутствует. В данную статью автор старался включить как можно больше ссылок на информационные ресурсы Интернета по теме обнаружения вторжений (список этих ресурсов приведен в конце статьи, а в тексте ссылки на него обозначены цифрами).
Обнаружение вторжений остается областью активных исследований уже в течение двух десятилетий. Считается, что начало этому направлению было положено в 1980 г. статьей Джеймса Андерсона "Мониторинг угроз компьютерной безопасности"2. Несколько позже, в 1987 г. это направление было развито публикацией статьи "О модели обнаружения вторжения" Дороти Деннинг3. Она обеспечила методологический подход, вдохновивший многих исследователей и заложивший основу для создания коммерческих продуктов в области обнаружения вторжений.
Исследования по обнаружению вторжений, выполненные в начале 1990-х гг., породили и целый ряд новых инструментальных средств4. Однако большинство из них разрабатывались студентами только с целью исследовать базовые концепции теоретического подхода, а после того, как авторы заканчивали обучение, поддержка и развитие прекращались. Вместе с тем эти разработки серьезно повлияли на выбор направления последующих исследований. Ранние разработки систем обнаружения вторжений в основном базировались на централизованной архитектуре, но в силу взрывного роста количества телекоммуникационных сетей разного назначения более поздние усилия сконцентрировались на системах с распределенной сетевой архитектурой.
Два из описанных здесь продуктов, EMERALD и NetStat, созданы на основе сходных подходов. Третья система, Bro, позволяет изучать проблемы проникновения в сеть с использованием попыток перегрузки или дезинформации системы обнаружения вторжения.
EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances), самый современный продукт в своем классе, разработан компанией SRI (http://www.sri.com). Это семейство инструментальных средств создавалось для исследования проблем, связанных с обнаружением аномалий (отклонений пользователя от нормального поведения) и определения сигнатур (характерных "образов" вторжения).
Первые работы SRI в этой области начались в 1983 г., когда был разработан статистический алгоритм, способный определить различия в поведении пользователя5. Немного позже подсистема анализа сигнатур вторжения была дополнена экспертной системой P-BEST6. Результаты исследований были реализованы в одной из ранних версий системы IDES7. Эта система способна контролировать в реальном масштабе времени действия пользователей, подключенных к нескольким серверам. В 1992-1994 гг. был создан уже коммерческий продукт NIDES8, также предназначенный для защиты отдельных серверов (host-based) и использующий экспертную систему P-BEST. Далее разработчики добавили к системе компонент Resolver, который объединял результаты статистического анализа и анализа сигнатур. Интерфейс пользователя в NIDES также был существенно улучшен.
Затем была создана система EMERALD. В ней были учтены результаты экспериментов с IDES/NIDES, но эта система предназначалась уже для обеспечения безопасности сетевых сегментов (network-based). Главная цель ее разработки - обнаружение вторжений в больших гетерогенных сетях. Такие среды труднее контролировать и анализировать из-за распределенного характера поступающей информации.
EMERALD объединяет пользователей в совокупность независимо от управляемых доменов. В каждом домене обеспечивается необходимый набор сетевых сервисов и реализуется индивидуальная политика безопасности, причем отдельные домены могут иметь доверительные отношения с другими доменами. В этом случае использование одного централизованного устройства для хранения и обработки поступающей информации ослабляет безопасности системы в целом. Именно для таких случаев предназначена система EMERALD, основанная на принципе "разделяй и властвуй".
Иерархическая модель обеспечивает три уровня анализа, который выполняют мониторы сервисов, доменов и окружения. Эти блоки имеют общую базовую архитектуру, включающую набор анализаторов для обнаружения аномалий, анализа сигнатур и resolver-компонент. Последний объединяет результаты, полученные от анализаторов двух предыдущих уровней. Каждый модуль содержит библиотеку объектов ресурсов, что позволяет настраивать его компоненты под конкретное приложение. Сами ресурсы могут многократно использоваться в нескольких мониторах EMERALD. На нижнем уровне мониторы сервисов работают для отдельных компонентов и сетевых услуг в пределах одного домена, анализируют данные (файлы регистрации действий, событий и т.д.), выполняют анализ локальных сигнатур и статистические исследования. Мониторы домена обрабатывают информацию, поступившую от мониторов сервисов, более детально исследуя ситуацию в масштабах всего домена, а мониторы окружения выполняют анализ междоменной области. Мониторы сервисов могут связываться друг с другом с помощью виртуальных каналов связи.
Опыт использования NIDES продемонстрировал эффективность статистических методов при работе с пользователями и с прикладными программами. Контроль прикладных программ (например, анонимного ftp-сервера) был особенно эффективен, так как для анализа требовалось меньшее количество прикладных профилей. Именно поэтому в EMERALD была реализована методика, в которой управление профилем отделено от анализа.
Анализаторы сигнатур сервисного уровня контролируют компоненты домена с целью обнаружения заранее описанных последовательностей действий, приводящих к нештатным ситуациям. Аналогичные анализаторы в мониторах более высокого уровня фильтруют эту информацию и на ее основе дают оценку, имеет ли место нападение. Решающий компонент (resolver), помимо комплексного учета результатов анализа, обеспечивает возможность встраивать в EMERALD анализаторы сторонних фирм.
Искушенный злоумышленник будет стремиться рассеивать следы своего присутствия по всей сети, сводя к минимуму возможность его обнаружения. В таких ситуациях главным свойством системы обнаружения вторжений становится способность собирать, обобщать и анализировать информацию, исходящую от разнообразных источников, в реальном времени.
В числе достоинств можно назвать гибкость и масштабируемость, способность расширять функциональные возможности с помощью внешних инструментальных средств EMERALD. Однако управление и поддержка инфраструктуры системы и ее информационной основы в виде базы знаний для экспертной системы требуют значительных усилий и затрат.
NetStat - последний продукт из серии инструментальных средств STAT, созданных в Калифорнийском университете (Санта-Барбара). Исследования по проекту STAT сосредоточены на обнаружении вторжений в реальном масштабе времени. Для этого анализируются состояние систем и процессы перехода в них9. Основная идея заключается в том, что некоторые последовательности действий, однозначно указывающие на присутствие нарушителя, переводят систему из начального (санкционированного) состояния в несанкционированное.
Большинство централизованных систем обнаружения вторжений определяют факт вторжения на основе "контрольного следа". Модуль "Аудит следа анализатора" в STAT фильтрует и обобщает эту информацию (след). Результаты, преобразованные в удобный для анализа вид, называются сигнатурами и представляют собой важнейший элемент в подходе STAT. Последовательность действий, описанная сигнатурой, переводит систему через ряд состояний к несанкционированному виду. Вторжение определяется по переходам между состояниями, которые зафиксированы в наборах продукционных правил.
Первоначально метод был реализован в UNIX-системе USTAT9, предназначенной для защиты отдельных серверов. Основные блоки USTAT - препроцессор, база знаний (база фактов и база правил), блок вывода и решатель. Препроцессор фильтрует и упорядочивает данные в форму, которая исполняет роль независимого контрольного файла системы. В базе правил хранятся правила перехода между состояниями, которые соответствуют предопределенным последовательностям вторжения, а в базе фактов - описание динамически изменяющихся состояний системы относительно возможных текущих вторжений.
После обработки новой информации о текущем состоянии системы блок вывода идентифицирует любые существенные изменения в состоянии и обновляет базу фактов. Блок вывода также уведомляет решатель о возможных нарушениях защиты. Решатель, в свою очередь, уведомляет администратора о нештатной ситуации или сам инициализирует необходимые действия.
Одно из преимуществ данного подхода состоит в том, что нападение может быть выявлено еще до того, как система окажется скомпрометированной, и соответственно противодействие начнется раньше.
USTAT использует таблицу блока вывода для отслеживания каждого возможного вторжения, что позволяет идентифицировать скоординированное нападение из нескольких источников (не через последовательность действий нападающего, а через последовательность переходов между состояниями системы). Таким образом, если два нападения приводят систему в одно и то же состояние, каждое из их последующих действий может быть отражено как ветвление в предыдущей последовательности состояний. Это разветвление получается за счет дублирования строк в таблице блока вывода, каждая строка которой представляет различные последовательности нападения.
NetStat10 - продукт дальнейшего развития USTAT, ориентированный на поддержку обнаружения вторжений в сети серверов с единой распределенной файловой системой. В настоящее время в архитектуру NetStat11 вносится ряд существенных изменений, что приведет к переориентации с обеспечения безопасности отдельных серверов на обеспечение безопасности сетевых сегментов. Кроме того, NetStat включает набор зондов, которые отвечают за обнаружение и оценку вторжений в тех подсетях, в которых они функционируют.
Bro - исследовательский инструмент, разрабатываемый Ливерморской национальной лабораторией (Lawrence Livermore National Laboratory, http://www.llnl.gov) министерства энергетики США. Он предназначен для изучения проблем отказоустойчивости систем обнаружения вторжения. Рассмотрим основные особенности комплекса Bro12.
Контроль перегрузки - способность обрабатывать большие объемы передачи данных без снижения пропускной способности. Нарушитель может попытаться перегрузить сеть посторонними пакетами для вывода системы обнаружения вторжения из строя. В этом случае СОВ будет вынуждена пропускать некоторые пакеты, среди которых могут оказаться и созданные злоумышленниками для проникновения в сеть.
Уведомление в реальном масштабе времени. Оно необходимо для своевременного информирования и подготовки ответных действий.
Механизм разделения. Разделение фильтрации данных, идентификации событий и политики реагирования на них упрощает эксплуатацию и обслуживание системы.
Масштабируемость. Для выявления новых уязвимых мест, а также защиты от известных типов нападений требуется возможность быстро добавлять новые сценарии нападения во внутреннюю библиотеку сценариев.
Способность противостоять нападениям. Сложные сценарии нападения непременно включают элементы воздействия на систему обнаружения вторжений.
Система обладает иерархической архитектурой с тремя уровнями функций. На нижнем уровне Bro использует утилиту libpcap для извлечения из сети пакетов с данными. Этот блок обеспечивает независимость основных блоков анализа от технических особенностей телекоммуникационной сети, в которой развернута система, а также позволяет отфильтровать существенную долю пакетов на нижнем уровне. Благодаря этому libpcap может перехватывать все пакеты, связанные с прикладными протоколами (ftp, telnet и т.д.).
Второй уровень (события) выполняет проверку целостности пакета по заголовку. При обнаружении ошибок генерируется извещение о возможной проблеме. После этого запускается процедура проверки и определяется, было ли зарегистрировано полное содержание пакета.
События, сгенерированные в результате этого процесса, размещаются в очереди, которая опрашивается интерпретатором сценария политики. Сам сценарий находится на третьем уровне иерархии. Интерпретатор сценария политики написан на внутреннем языке Bro, который поддерживает строгую типизацию. Интерпретатор связывает значения случая с кодом для обработки этого случая и затем интерпретирует код.
Выполнение кода может закончиться генерацией дальнейших событий, регистрацией уведомления в реальном масштабе времени или регистрацией данных. Чтобы добавить новую функцию к возможностям Bro, надо подготовить описание образа, идентифицирующего событие, и написать соответствующие обработчики событий. В настоящий момент Bro контролирует четыре прикладных сервиса: finger, ftp, portmapper и telnet.
Bro работает под управлением нескольких вариантов ОС UNIX и используется как часть системы защиты Национальной лаборатории. С 1998 г. в результате функционирования Bro в международные организации CIAC и CERT/CC было передано 85 сообщений об инцидентах. Разработчики особо отмечают производительность системы - она не испытывает проблем потери пакетов в сети FDDI при пиковой производительности до 200 пакетов в секунду.
Коммерческие программы, о которых пойдет речь, - это небольшая часть всего множества продуктов, присутствующих на рынке1, 13-14. Сравнительную оценку коммерческих продуктов можно найти в ряде отчетов15-19. Описанные в статье системы можно рассматривать как классические образцы.
В отличие от рассмотренных выше экспериментальных систем, для коммерческих продуктов достаточно трудно найти объективное описание достоинств и недостатков, особенно что касается тестовых испытаний. В настоящее время ведется разработка единого стандарта на тестирование систем обнаружения вторжений20.
Система CMDS21,22 была разработана компанией Science Applications International (http://www.saic.com), однако теперь ее поддерживает и продает ODS Networks (http://www.ods.com)23. Этот продукт предназначен для обеспечения безопасности серверов и мониторинга иерархической сети машин. Поддерживаются статистический и сигнатурный методы обнаружения, можно генерировать отчеты о прогнозах развития вторжения. Для анализа аномалий CMDS использует статистический анализ. Идентифицируются образы поведения, отклоняющиеся от нормальной практики пользователя. В статистике учитываются показатели времени входа/выхода из системы, запуска прикладных программ, количества открытых, измененных или удаленных файлов, использования прав администратора, наиболее часто используемых каталогов.
Профили пользовательского поведения обновляются каждый час и используются для выявления сомнительного поведения в каждой из трех категорий (вход в сеть, выполнение программ, ознакомление с информацией). Вычисляются отклонения от ожидаемого (в течение часа) поведения, и если они выше порогового значения, то генерируется предупреждение.
Распознавание сигнатур поддерживается экспертной системой CLIPS24. Факты, полученные из описания событий, имена использованных объектов и другие данные используются для представления правил CLIPS.
CMDS определяет сигнатуры нападения на UNIX-системы, связанные, например, с неудавшейся попыткой установления суперпользовательских полномочий, неудачей входа в систему, активностью отсутствующих пользователей и критической модификацией файлов. Каждое из подобных событий имеет эквивалентный набор сигнатур и для операционной системы Microsoft Windows NT.
NetProwler25-27 выпускается фирмой Axent (http://www.axent.com), с конца 2000 г. входящей в состав корпорации Symantec (http://www.symantec.com). Компонент Intruder Alert обнаруживает нападения на серверы, а NetProwler (ранее известный как ID-Track от компании Internet Tools) поддерживает обнаружение вторжений в сегментах сетей. Основу NetProwler составляет процесс динамического анализа полной сигнатуры. Этот метод обеспечивает интеграцию небольших порций информации, извлекаемой из сети, в более сложные события, что позволяет проверять события на совпадение с предопределенными сигнатурами в реальном масштабе времени и формировать новые сигнатуры. NetProwler имеет библиотеку сигнатур для различных операционных систем и типов нападений, благодаря чему пользователи могут сами строить профили сигнатур, используя Мастер определения сигнатуры. Тем самым пользователи могут описывать нападения, состоящие из отдельных, повторяющихся или целого ряда событий. Сигнатура нападения включает четыре элемента: примитив поиска (образец строки), примитив значения (значение или диапазон значений), сохраненное ключевое слово (имя протокола) и операционная система (или приложение, связанное с нападением).
NetProwler также поддерживает возможность автоматизированного ответа. При этом происходят регистрация и завершение сеанса, отправление по электронной почте информации о событии на пульт администратора, а также информирование другого персонала различными средствами.
NetRanger28-31 от Cisco Systems (http://www.cisco.systems) - система обнаружения вторжения в сетевых сегментах. С ноября 1999 г. продукт носит название Cisco Secure Intrusion Detection System. Система NetRanger работает в реальном времени и масштабируема к уровню информационной системы. Она состоит из двух компонентов - датчиков Sensor и директоров Director; датчики реализованы аппаратно, а директор - программно. Датчики размещаются в стратегических точках сети и контролируют проходящий трафик. Они могут анализировать заголовки и содержание каждого пакета, а также сопоставлять выбранные пакеты с образцом. Для определения типа нападения они используют экспертную систему на основе продукционных правил.
В NetRanger есть три категории описания нападений: основные, именованные (порождают множество других событий) и экстраординарные (имеющие очень сложную сигнатуру). Для обеспечения совместимости с большинством существующих сетевых стандартов возможна самостоятельная настройка сигнатур.
При фиксации факта нападения датчик инициирует ряд действий - включение сигнализации, регистрацию события, уничтожение сеанса или полный разрыв соединения. Директор обеспечивает централизованное управление системой NetRanger. Это включает удаленную инсталляцию новых сигнатур в датчики, сбор и анализ данных защиты.
Состояние объектов в системе (машины, прикладные программы, процессы и т.д.) отражается на консоли администратора в виде текста или пиктограмм, при этом состояние каждого устройства представлено определенным цветом: нормальному состоянию соответствует зеленый, пограничному - желтый, а критическому - красный цвет. Датчиками можно управлять с консоли директора, а информацию об атаках можно экспортировать в реляционную базу данных для последующего анализа.
До недавнего времени система защиты от несанкционированного доступа фирмы Centrax (http://www.centraxcorp.com) поставлялась под названием Entrax. Однако в марте 1999 г. Centrax была куплена компанией Cybersafe (http://www.cybersafe.com), которая внесла в Entrax существенные технические изменения и переименовала продукт в Centrax32-34. Первоначально система Entrax была ориентирована на обеспечение безопасности отдельных серверов. Centrax, кроме того, контролирует события в сегменте сети. Система состоит из компонентов двух видов - пультов управления и целевых агентов, которые аналогичны директорам и датчикам в NetRanger. Целевые агенты, в свою очередь, также бывают двух видов: для сбора информации на основе централизованной или сетевой (распределенной) архитектуры. Целевые агенты постоянно находятся на машинах, которые они контролируют (индивидуальные ПК, файл-серверы или серверы печати), передавая информацию для обработки на пульт управления. Для более эффективной работы сетевой целевой агент реализован на автономной машине. Агенты первого типа поддерживают более 170 сигнатур (для вирусов, троянских программ, просмотра объекта и изменения пароля), а сетевые - только 40.
Пульт управления состоит из нескольких блоков. Целевой администратор загружает политику сбора и аудита для целевых агентов, администратор оценки исследует серверы на предмет выявления уязвимости защиты, а аварийный администратор отображает информацию об обнаруженных угрозах и может реагировать на них, разрывая сеанс связи. Пульт управления работает с ОС Windows NT, в то время как целевые агенты - с Windows NT или Solaris.
RealSecure19, 35-37 от компании Internet Security Systems (http://www.iss.net) - еще один продукт для обнаружения вторжений в реальном времени. Он также имеет трехуровневую архитектуру и состоит из модулей распознавания для сегментов сети и отдельных серверов и модуля администратора. Модуль распознавания для сегментов функционирует на специализированных рабочих станциях; он отвечает за обнаружение вторжения и реакцию на него. Каждый такой модуль контролирует трафик в определенном сетевом сегменте на наличие сигнатур нападения. Обнаружив неправомочное действие, сетевой модуль может отреагировать на него разрывом соединения, посылкой сообщения по электронной почте или на пейджер, или другими заданными пользователем действиями. Он также передает сигнал тревоги модулю администратора или пульту управления.
Модуль распознавания для серверов - это дополнение к сетевому модулю. Он анализирует файлы регистрации с целью выявить нападение; определяет, было нападение успешным или нет; предоставляет некоторую другую информацию, недоступную в реальном масштабе времени. Каждый такой модуль установлен на рабочей станции или сервере и полностью исследует файлы регистрации этой системы по контрольным образцам нарушений защиты. Модули этого типа предотвращают дальнейшие вторжения, завершая пользовательские процессы и приостанавливая работу учетных записей пользователя. Модуль может посылать сигнал тревоги, регистрационные события и выполнять другие определяемые пользователем действия. Все модули распознавания объединяются и конфигурируются административным модулем с единственной консоли.
Кроме коммерческих и исследовательских систем существуют свободно распространяемые общедоступные программы для обнаружения вторжения. Рассмотрим в качестве примера две программы - Shadow и Network Flight Recorder, которые поддерживаются объединенными усилиями Военно-морского Центра сухопутных операций США, компании Network Flight Recorder, Агентства национальной безопасности США и Института SANS38, а также утилиту Tripwire. Уровень их поддержки гораздо ниже, чем у коммерческих систем, однако многим пользователям они помогут понять и оценить принципы работы СОВ, их возможности и ограничения. Такие системы интересны еще и тем, что их исходный код доступен.
Система Shadow39, 40 содержит так называемые станции-датчики и анализаторы. Датчики обычно располагаются в важных точках сети - таких, как внешняя сторона межсетевых экранов, в то время как анализаторы находятся внутри защищенного сегмента сети. Датчики извлекают заголовки пакетов и сохраняют их в специальном файле. Анализатор ежечасно считывает эту информация, фильтрует ее и генерирует следующий журнал. Логика работы Shadow такова, что, если события уже идентифицированы и для них существует стратегия реагирования, предупредительные сообщения не генерируются. Этот принцип исходит из опыта работы с другими СОВ, в которых было много ложных предупреждений, напрасно отвлекавших пользователей.
Датчики используют для извлечения пакетов утилиту libpcap, разработанную исследовательской группой Lawrence Berkeley Laboratories Network Research Group41. Станция не делает предобработки данных, не вынуждая злоумышленника проверять свои пакеты. Основной анализ происходит в модуле tcpdump, который содержит фильтры пакетов. Фильтры могут быть простыми или состоящими из нескольких простых фильтров. Простой фильтр, например tcp_dest_port_23, выбирает пакеты протокола TCP с портом адресата 23 (telnet). Некоторые типы вторжений достаточно трудно обнаружить фильтрами tcpdump (в частности, те, которые применяют редкое зондирование сети). Для них Shadow использует инструмент на основе языка perl - модуль one_day_pat.pl.
Shadow функционирует на многих UNIX-системах, включая FreeBSD и Linux, и использует Web-интерфейс для отображения информации.
Network Flight Recorder (NFR) одноименной компании вначале существовал как в коммерческой, так и в общедоступной версии42-44. Затем политика его распространения изменилась: NFR закрыл доступ к исходному тексту свободно распространяемой версии, поскольку она была менее эффективной, чем коммерческий продукт, а пользователи могли принять его за коммерческую версию. Вместе с тем NFR по-прежнему планирует оставить коммерческий продукт доступным для изучения, но скорее всего уже не в исходных кодах.
Так же, как в Shadow, в NFR используется несколько измененная версия утилиты libpcap для извлечения случайных пакетов из сети (кроме заголовков, она может извлекать и тело пакета). База данных и модуль анализа обычно функционируют на одной платформе вне межсетевых экранов. Копии NFR можно размещать и во внутренних стратегических точках корпоративной сети, чтобы обнаружить потенциальные угрозы, исходящие от собственных пользователей компании.
NFR содержит собственный язык программирования (N), предназначенный для анализа пакетов. Фильтры, написанные на N, компилируются в байт-код и интерпретируются модулем выполнения.
Модули генерации предупреждений и отчетов используются после операций фильтрации и формирования выходных форм. Модуль сигнализации может посылать информацию о событии по электронной почте или факсу.
Tripwire - инструмент оценки целостности файла, первоначально разработанный в Университете Пурду (шт. Индиана, США). Подобно NFR, эта программа входит и в общедоступные, и в коммерческие системы. Исходный код общедоступной версии для ОС UNIX распространяется свободно. Tripwire отличается от большинства других инструментальных СОВ тем, что обнаруживает изменения в уже проверенной файловой системе.
Tripwire вычисляет контрольные суммы или криптографические подписи файлов. Если такие подписи были вычислены в безопасных условиях и гарантированно сохранены (например, хранились автономно вне сети на неперезаписываемом носителе), их можно использовать для определения возможных изменений. Tripwire можно сконфигурировать таким образом, чтобы она сообщала обо всех изменениях в проверенной файловой системе администратору. Она может выполнять проверки целостности в определенные моменты времени и сообщать администраторам о результатах, на основании которых они могут восстановить файловую систему. В отличие от большинства СОВ, Tripwire допускает восстановление наряду с обнаружением вторжения.
Логика работы Tripwire не зависит от типа события, однако эта программа не обнаруживает вторжений, которые не изменяют проверенные файлы.
Последняя коммерческая версия Tripwire - 2.X для платформ UNIX и Windows NT 4.0. Версия 2.0 для Red Hat Linux 5.1 и 5.2 распространяется бесплатно. Версия 1.3 доступна в исходных кодах и представляет состояние программы на 1992 г.
Согласно заявлению разработчиков, все коммерческие версии, начиная с 2.0, включают возможность скрытой криптографической подписи, усовершенствованный язык политики и средства передачи сообщений администратору системы по электронной почте.
СОВ прежде всего должны определять подозрительные действия в сети, выдавать предупреждения и, если возможно, предлагать варианты остановки таких действий. На первый взгляд, требования к коммерческим и правительственным системам должны быть одинаковы; тем не менее между ними существуют важные различия.
В феврале 1999 г. министерство энергетики США, Совет национальной безопасности и Управление политики в области науки и техники Администрации США организовали проведение симпозиума под названием "Обнаружение враждебного программного кода, вторжений и аномального поведения". На нем присутствовали представители коммерческого и государственного секторов. В принятом на симпозиуме документе были определены функции, которых не должно быть в коммерческих продуктах. Дело в том, что компании заинтересованы в защите конфиденциальной информации только для целей ведения бизнеса. Правительство также заинтересовано в защите собственных сетей, но главная задача для него - не извлечение прибыли, а защита национальной безопасности. Это очень важный момент. Правительственным организациям прежде всего необходимо обеспечить обнаружение вторжений в государственные информационные сети со стороны иностранных спецслужб. Ресурсы и возможности противника, поддержанного иностранным государством, могут превысить возможности лучших коммерческих СОВ.
Существует и другое важное различие. Компаниям достаточно получить общее описание подозрительного действия, чтобы как можно скорее предотвратить его влияние; правительственным же организациям важно также выяснить мотивы, которыми руководствовался нарушитель. В некоторых ситуациях правительство может избирательно перехватывать информацию с целью разведки или исполнения постановления суда. Коммерческие программные продукты ни сегодня, ни в ближайшее время не будут интегрироваться со специализированными государственными комплексами перехвата информации (такими, как Carnivore).
На симпозиуме было провозглашено, что производители коммерческих продуктов не будут разрабатывать методы объективной оценки программ обнаружения вторжения. Поэтому не существует общепринятых методик оценки программ этого класса. Такая установка в принципе устраивает бизнесменов, но правительственные организации, основная задача которых - обеспечение защиты национальной безопасности, должны знать, что делает СОВ и как она работает.
Другая проблема состоит в том, что коммерческие СОВ свободно продаются. Если использовать их для государственных нужд, то потенциальный нарушитель, узнав, какие системы используются в государственных организациях, мог бы купить такой же продукт и, досконально изучив его, обнаружить уязвимые места. Для предотвращения подобных ситуаций госструктуры должны использовать специально разработанные некоммерческие продукты. Сегодня в США разработаны специальные правительственные требования к программам обнаружения вторжений, которым существующие коммерческие СОВ не удовлетворяют.
CIDDS (Common Intrusion Detection Director System, также известная как CID Director) - специализированная аппаратно-программная операционная среда, разрабатываемая в рамках проекта создания средств обнаружения вторжений (IDT) Центра информационной войны Военно-воздушных сил США (Air Force Information Warfare Center, AFIWC). Центр AFIWC - структура, ответственная за разработку СОВ для сетей ВВС США. В ее состав входит Служба компьютерной безопасности ВВС (AFCERT), которая отвечает за разработку ежедневных операций по администрированию и обеспечению защиты информационных сетей.
CIDDS в реальном времени получает данные о подключениях и работе от автоматизированного измерителя инцидентов защиты (Automated Security Incident Measurement, ASIM), системы датчиков и других инструментальных СОВ. Предусмотрена возможность анализа собранных данных как в автоматическом режиме, так и с привлечением экспертов-аналитиков.
Программное обеспечение CID Director состоит из программ на C, C++ и Java, а также сценариев и SQL-запросов базы данных Oracle. Director хранит информацию в локальной БД Oracle и обеспечивает пользователю возможность анализировать индикаторы потенциально опасных действий, встречающихся в сетях ВВС США. Допускается а) обнаружение потенциально опасных, злонамеренных или неправомочных действий, которые происходят в течение долгого времени; б) обнаружение действий, которые имеют целью определенные компьютеры или типы сетей; в) обнаружение действий, которые проходят транзитом или задействуют несколько сетей; г) анализ тенденций и глобальных целей. В CIDDS также реализована возможность воспроизводить данные подключений в реальном масштабе времени для анализа последовательностей нажатия клавиш.
CIDDS обеспечивает для системы ASIM централизованное хранение и анализ данных. Director получает данные от различных датчиков, которые контролируют состояние всех сетей ВВС. Эти сети могут быть гомогенными или гетерогенными и обслуживать различные задачи ВВС. CIDDS служит центральной базой данных и точкой анализа для всех перечисленных сетей.
Планы будущего развития предусматривают установку CIDDS на различных уровнях во всех структурах ВВС. Все системы будут отправлять основную информацию в единую базу данных AFCERT.
Каждый компьютер CID Director связан с системой датчиков ASIM. ПО датчика состоит из модулей на C и Java, сценариев для оболочки UNIX (Bourne) и файлов конфигурации, которые вместе фильтруют пакеты и анализируют состояние сети. По существу это утилита для перехвата и анализа разнородных пакетов данных. Его ПО ведет мониторинг трафика протоколов IP, TCP, UDP и ICMP для идентификации подозрительных действий. Возможны два режима работы датчика - пакетный и реального времени.
ASIM в реальном масштабе времени использует для сбора трафика тот же самый программный модуль, что и в пакетном режиме. Однако в реальном времени идентифицируются события, которые могут указывать на попытки несанкционированного доступа, и в момент их появления немедленно порождается аварийный процесс на сервере датчика и посылается предупреждение администратору. Предупреждения в реальном масштабе времени обычно содержат только основную информацию. Дополнительные данные о действиях злоумышленника можно получить из последующей расшифровки стенограммы действий.
ASIM-датчик пакетного режима собирает сетевой трафик за некоторый период времени с настраиваемой продолжительностью, обычно 24 ч. После обобщения данные анализируются, и, если требуется, их можно просмотреть с локальной консоли или передать в центральный офис AFIWC/AFCERT. Каждые сутки собранные данные шифруются и передаются в AFIWC/AFCERT для анализа специалистом-аналитиком, который определяет, являются ли идентифицированные действия злонамеренными, неправомочными или нормальными уполномоченными.
В настоящее время в области СОВ идет переход к созданию систем, ориентированных на защиту сетевых сегментов. Для американского рынка характерна следующая ситуация: коммерческие системы значительно отличаются от программных продуктов, которые рекомендованы для использования в государственных учреждениях. Отметим, что это общая тенденция в сфере ИТ, - для обеспечения безопасности государственных учреждений должны использоваться только специально созданные системы, недоступные на рынке. Последние имеют характерное отличие: они ориентированы не на автоматические алгоритмы распознавания признаков вторжений, а на экспертов-аналитиков, ежедневно оценивающих передаваемые данные.
Отечественным разработчикам следует обратить внимание на свободно распространяемые системы, доступные в исходных кодах. В условиях, когда отечественные разработки в этой области практически отсутствуют, наличие исходных текстов программ позволит изучить свойства продуктов этого класса и приступить к собственным разработкам.
Источники информации, упомянутые в статье
|
Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) - необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем - выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника, т. е. защита от хакерских атак и вредоносных программ.
Общее описание технологии
Существует несколько технологий IDS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDS выполняют следующие функции:
Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:
Но кроме очевидных плюсов эти системы имеют своим минусы. Например, IPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.
Существуют различные методики обнаружения инцидентов с помощью технологий IPS. Большинство реализаций IPS используют сумму данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз.
1. Обнаружение атаки, основанное на сигнатурах.
Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам - это процесс сравнения сигнатуры с возможным инцидентом. Примерами сигнатур являются:
Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.
2. Обнаружение атаки по аномальному поведению
Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени. Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления офицера безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивается защита от хакерских атак.
Технология IDS/IPS в ALTELL NEO
В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO , лежит открытая технология Suricata , дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.
Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.
Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства - одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.
Функциональность системы обнаружения и предотвращения вторжений в ALTELL NEO
№ | Функция | Поддержка
|
1. | Обнаружение уязвимостей (эксплойтов) компонент ActiveX | |
2. | Обнаружение трафика, передаваемого узлами внутренней локальной сети, характерного для ответов после успешного проведения атаки | |
3. | Обнаружение сетевого трафика командно-контрольных серверов бот-сетей (Bot C&C) | |
4. | Обнаружение сетевого трафика, относящегося к протоколам и программам для мгновенного обмена сообщениями | |
5. | Обнаружение сетевого трафика от взломанных сетевых узлов | |
6. | Обнаружение сетевого трафика, направленного на сервера DNS | |
7. | Обнаружение трафика, характерного для атак отказа в обслуживании (DoS, Denial of Service) | |
8. | Обнаружение сетевого трафика, от узлов из списка Spamhaus Drop list | |
9. | Обнаружение сетевого трафика от узлов, которые известны как источники атак, на основе списка Dshield | |
10. | Обнаружение сетевого трафика, характерного для программ использования уязвимостей (эксплойтов) | |
11. | Обнаружение трафика, характерного для компьютерных игр | |
12. | Обнаружение сетевого трафика ICMP, характерного для проведения сетевых атак, например, сканирования портов | |
13. | Обнаружение сетевого трафика, характерного для атак на сервисы IMAP | |
14. | Обнаружение недопустимого сетевого трафика, противоречащего политике безопасности организации | |
15. | Обнаружение сетевого трафика, характерного для вредоносных программ (malware) | |
16. | Обнаружение сетевого трафика, характерного для сетевых червей, использующих протокол NetBIOS | |
17 . | Обнаружение сетевого трафика, программ однорангового разделения файлов (P2P, peer-to-peer сети) | |
18. | Обнаружение сетевой активности, которая может противоречить политике безопасности организации (например, трафик VNC или использование анонимного доступа по протоколу FTP) | |
19. | Обнаружение трафика, характерного для атак на сервисы POP3 | |
20. | Обнаружение сетевого трафика от узлов сети Russian Business Network | |
21. | Обнаружение атак на сервисы RPC (удаленный вызов процедур) | |
22. | Обнаружение сетевого трафика программ сканирования портов | |
23. | Обнаружение пакетов, содержащих ассемблерный код, низкоуровневые команды, называемые также командным кодом (напр. атаки на переполнение буфера) | |
24. | Обнаружение трафика, характерного для атак на сервисы SMTP | |
25. | Обнаружение сетевого трафика протокола SNMP | |
26. | Обнаружение правил для различных программ баз данных SQL | |
27. | Обнаружение сетевого трафика протокола Telnet в сети | |
28. | Обнаружение сетевого трафика, характерного для атак на TFTP (trivial FTP) | |
29. | Обнаружение трафика, исходящего от отправителя, использующего сеть Tor для сохранения анонимности | |
30. | Обнаружение трафика, характерного для троянских программ | |
31. | Обнаружение атак на пользовательские агенты | |
32. | Наличие сигнатур распространенных вирусов (как дополнение к антивирусному движку ALTELL NEO) | |
33. | Обнаружение сетевого трафика, характерного для атак на сервисы VoIP | |
34. | Обнаружение уязвимостей (эксплойтов) для web-клиентов | |
35. | Обнаружение атак на web-серверы | |
36. | Обнаружение атак на основе инъекций SQL (sql-injection attacks) | |
37. | Обнаружение сетевого трафика, характерного для сетевых червей | |
38. | Защита от хакерских атак |
Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов - от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» - средним, приоритет «3» - низким.
В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:
Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.
Вы можете бесплатно протестировать функциональность IDS/IPS-системы, встроенной в ALTELL NEO в версии UTM, заполнив небольшую заявку. Вы также можете подобрать конфигурацию устройства (дополнительная память, модули расширения, версия ПО и т. д.) и рассчитать его приблизительную цену с помощью
В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег.
Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам:
В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная.
Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК.
ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса — от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать.
ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК , где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой — низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно.
Всего по требованиям ФСБ, согласно сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два.
Итоговый список отечественных IDS и их сертификатов выглядит так:
Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию «Бумаженщиков», как бы обидно такое определение для них ни звучало.
К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты.