Активные действия
Активные ответы представляют собой автоматизированные действия, которые выполняются, когда определены конкретные типы проникновений. Существует три категории активных ответов.
Анализ, выполняемый IDS
Существует два основных подхода к анализу событий для определения атак: определение злоупотреблений (misuse detection) и определение аномалий (anomaly detection).
В технологии определения злоупотреблений известно, какая последовательность данных является признаком атаки. Анализ событий состоит в определении таких "плохих" последовательностей данных. Технология определения злоупотреблений используется в большинстве коммерческих систем.
В технологии определения аномалий известно, что представляет собой "нормальная" деятельность и "нормальная" сетевая активность. Анализ событий состоит в попытке определить аномальное поведение пользователя или аномальную сетевую активность. Данная технология на сегодняшний день является предметом исследований и используется в ограниченной форме небольшим числом IDS. Существуют сильные и слабые стороны, связанные с каждым подходом; считается, что наиболее эффективные IDS применяют в основном определение злоупотреблений с небольшими компонентами определения аномалий.
Application-Based IDS
Application-Based IDS является специальным подмножеством host-based IDS, которые анализируют события, поступившие в ПО приложения. Наиболее общими источниками информации, используемыми application-based IDS, являются лог-файлы транзакций приложения.
Способность взаимодействовать непосредственно с приложением, с конкретным доменом или использовать знания, специфичные для приложения, позволяет application-based IDS определять подозрительное поведение авторизованных пользователей, которое превышает их права доступа. Такие проблемы могут проявиться только при взаимодействии пользователя с приложением.
Преимущества application-based IDS:
Application-based IDS могут анализировать взаимодействие между пользователем и приложением, что часто позволяет отследить неавторизованную деятельность конкретного пользователя.Application-based IDS зачастую могут работать в зашифрованных окружениях, так как они взаимодействуют с приложением в конечной точке транзакции, где информация представлена уже в незашифрованном виде.
Недостатки application-based IDS:
Application-based IDS могут быть более уязвимы, чем host-based IDS, для атак на логи приложения, которые могут быть не так хорошо защищены, как результаты аудита ОС, используемые host-based IDS.Application-based IDS часто просматривают события на пользовательском уровне абстракции, на котором обычно невозможно определить Троянские программы или другие подобные атаки, связанные с нарушением целостности ПО. Следовательно, целесообразно использовать application-based IDS в комбинации с host-based и/или network-based IDS.
Архитектура IDS
Архитектура IDS определяет, какие имеются функциональные компоненты IDS и как они взаимодействуют друг с другом. Основными архитектурными компонентами являются: Host — система, на которой выполняется ПО IDS, и Target — система, за которой IDS наблюдает.
Централизованное управление
При централизованных стратегиях управления весь мониторинг, обнаружение и отчетность управляются непосредственно с единого "поста". В этом случае существует единственная консоль IDS, которая связана со всеми сенсорами, расположенными в сети.
Частично распределенное управление
Мониторинг и определение управляются с локально управляемого узла, с иерархической отчетностью в одно или более центральных расположений.
Что такое IDS
IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности. Мы рассмотрим, для каких целей предназначены IDS, как выбрать и сконфигурировать IDS для конкретных систем и сетевых окружений, как обрабатывать результаты работы IDS и как интегрировать IDS с остальной инфраструктурой безопасности предприятия.
Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.
IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.
Дополнительные инструментальные средства
Существует несколько инструментальных средств, которые дополняют IDS и часто помечаются производителями как системы обнаружения проникновения, так как они выполняют аналогичные функции. Обсудим четыре из таких инструментальных средств: системы анализа уязвимостей, контроллеры целостности файлов, Honey Pots и Padded Cells, и опишем, какие они обеспечивают возможности для организации определения проникновения.
Host-Based анализ уязвимостей
Системы host-based анализа уязвимостей определяют уязвимость, анализируя доступный источник системных данных, такой как содержимое файлов, параметры конфигурации и другая информация о статусе. Данная информация обычно доступна с использованием стандартных системных запросов и проверки системных атрибутов. Так как информация получена в предположении, что анализатор уязвимости имеет доступ к хосту, данный тип инструментальных средств анализа также иногда называется credential-based оценка уязвимости. Такая оценка определяется как пассивная.
Наилучшего результата достигают host-based оценки уязвимостей, которые имеют возможность выполнять привилегированные атаки. Это такие атаки, которые могут получить привилегии superuser или root на UNIX-системе или доступ administrator на Windows-системе.
Host-Based IDS
Host-based IDS имеют дело с информацией, собранной внутри единственного компьютера. (Заметим, что application-based IDS на самом деле являются подмножеством host-based IDS.) Такое выгодное расположение позволяет host-based IDS анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в ОС. Более того, в отличии от network-based IDS, host-based IDS могут "видеть" последствия предпринятой атаки, так как они могут иметь непосредственный доступ к системной информации, файлам данных и системным процессам, являющимся целью атаки.
Нost-based IDS обычно используют информационные источники двух типов: результаты аудита ОС и системные логи. Результаты аудита ОС обычно создаются на уровне ядра ОС и, следовательно, являются более детальными и лучше защищенными, чем системные логи. Однако системные логи намного меньше и не столь многочисленны, как результаты аудита, и, следовательно, легче для понимания. Некоторые host-based IDS разработаны для поддержки централизованной инфраструктуры управления и получения отчетов IDS, что может допускать единственную консоль управления для отслеживания многих хостов. Другие создают сообщения в формате, который совместим с системами сетевого управления.
Преимущества host-based IDS:
Host-based IDS, с их возможностью следить за событиями локально относительно хоста, могут определить атаки, которые не могут видеть network-based IDS.Host-based IDS часто могут функционировать в окружении, в котором сетевой трафик зашифрован, когда host-based источники информации создаются до того, как данные шифруются, и/или после того, как данные расшифровываются на хосте назначения.На функционирование host-based IDS не влияет наличие в сети коммутаторов.Когда host-based IDS работают с результатами аудита ОС, они могут оказать помощь в определении Троянских программ или других атак, которые нарушают целостность ПО.
Недостатки host-based IDS:
Host-based IDS более трудны в управлении, так как информация должна быть сконфигурирована и должна управляться для каждого просматриваемого хоста.Так как по крайней мере источники информации (и иногда часть средств анализа) для host-based IDS расположены на том же хосте, который является целью атаки, то, как составная часть атаки, IDS может быть атакована и запрещена. Host-based IDS не полностью соответствуют возможности определения сканирования сети или других аналогичных исследований, когда целью является вся сеть, так как IDS наблюдает только за сетевыми пакетами, получаемыми конкретным хостом.Host-based IDS могут быть блокированы некоторыми DoS-атаками.Когда host-based IDS использует результаты аудита ОС в качестве источника информации, количество информации может быть огромно, что потребует дополнительного локального хранения в системе.Host-based IDS используют вычислительные ресурсы хостов, за которыми они наблюдают, что влияет на производительность наблюдаемой системы.
Информационные источники
Наиболее общий способ классификации IDS состоит в группировании их по источникам информации. Некоторые IDS для нахождения атакующих анализируют сетевые пакеты, захватываемые ими из сети. Другие IDS для обнаружения признаков проникновения анализируют источники информации, созданные ОС или приложением.
Использование SNMP Traps
Некоторые коммерческие IDS разработаны таким образом, чтобы передавать оповещения о тревоге системе управления сетью. При этом используются SNMP traps для передачи сообщения на центральную консоль управления сетью, где они могут быть обработаны персоналом, обслуживающим сеть. Данная схема имеет несколько преимуществ, которые включают возможность адаптировать всю инфраструктуру сети к ответу на осуществляемую атаку, возможность управлять нагрузкой системы и возможность использовать обычные коммуникационные каналы.
Изменение окружения
Другое активное действие состоит в том, чтобы остановить выполняемую атаку и затем блокировать последующий доступ атакующим. Обычно IDS не имеют возможностей блокировать доступ конкретного человека, но вместо этого могут блокировать IP-адреса, с которых вошел атакующий. Гораздо труднее блокировать хорошо информированного атакующего, но часто IDS могут остановить как опытного атакующего, так и новичка, выполняя следующие действия:
вставить ТСР-пакеты с флагом reset в соединение атакующего с его жертвой, тем самым обрывая соединение;переконфигурировать роутеры и firewall’ы для блокирования пакетов с IP-адреса, который определен как источник атаки;переконфигурировать роутеры и firewall’ы для блокирования сетевых портов, протоколов или сервисов на стороне жертвы, которые использует атакующий;в экстремальных ситуациях переконфигурировать роутеры и firewall’ы для блокирования всех соединений к системе, на которую осуществляется атака.
Классификация инструментальных средств анализа уязвимостей
Существует два основных способа классификации систем анализа уязвимостей: первый – по расположению, из которого информация об оценке получена, и второй – по информации, которой располагает инструментальное средство анализа уязвимостей. При использовании первой схемы классификации для оценки уязвимостей системы классифицируются либо как network-based, либо как host-based. При использовании второй схемы системы классифицируются как credentialed или non-credentialed. Эти термины указывают, делался ли анализ с креденциалами или без креденциалов (таких, как IDs и пароли или другая идентификационная и аутентификационная информация, с помощью которой предоставляется доступ к внутренним системам). Мы будем использовать первую схему классификации для описания различных подходов к анализу уязвимостей.
Network-Based анализ уязвимостей
Системы network-based анализа уязвимостей получили распространение в последние несколько лет. Данные системы требуют установления удаленного соединения с целевой системой. Они могут реально проводить атаки на систему, понимать и записывать ответы на эти атаки или прощупывать различные цели для поиска слабых мест, которые следуют из их ответов. Такое проведение атак или прощупывание может происходить независимо от того, есть ли разрешение на доступ к целевой системе; следовательно, это можно считать non-credential анализом. Более того, так как network-based анализ уязвимостей выглядит как реальная атака или сканирование целевой системы, он также иногда обозначается как активный анализ.
Инструментальные средства network-based анализа уязвимостей иногда определяются как инструментальные средства обнаружения проникновения. Хотя, как уже обсуждалось ранее, это корректно в соответствии с некоторыми определениями обнаружения проникновения, все же программный продукт анализа уязвимостей не является законченным решением обнаружения проникновения для большинства окружений.
Существуют два метода, используемые при network-based оценки уязвимостей:
Тестирование exploit’ов. В этом случае система пытается осуществить реальную атаку. После этого возвращается флаг статуса, указывающий, была ли атака успешной.Анализ создаваемых объектов. В данном случае система реально не использует уязвимости, а анализирует определенные созданные объекты, которые могут приводить к успешным атакам. Примеры подобных технологий анализа включают проверку номеров версий, указываемых системой в ответ на запрос, анализ открытых портов, проверку согласованности протоколов с помощью простых запросов статуса или другой аналогичной информации.
Network-Based IDS
Основными коммерческими IDS являются network-based. Эти IDS определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, network-based IDS может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом защищать эти хосты.
Network-based IDS часто состоят из множества сенсоров, расположенных в различных точках сети. Эти устройства просматривают сетевой трафик, выполняя локальный анализ данного трафика и создавая отчеты об атаках для центральной управляющей консоли. Многие из этих сенсоров разработаны для выполнения в "невидимом (stealth)" режиме, чтобы сделать более трудным для атакующего обнаружение их присутствия и расположения.
Преимущества network-based IDS:
Несколько оптимально расположенных network-based IDS могут просматривать большую сеть.Развертывание network-based IDS не оказывает большого влияния на производительность сети. Network-based IDS обычно являются пассивными устройствами, которые прослушивают сетевой канал без воздействия на нормальное функционирование сети. Таким образом, обычно бывает легко модифицировать топологию сети для размещения network-based IDS.Network-based IDS могут быть сделаны практически неуязвимыми для атак или даже абсолютно невидимыми для атакующих.
Недостатки network-based IDS:
Для network-based IDS может быть трудно обрабатывать все пакеты в большой или занятой сети, и, следовательно, они могут пропустить распознавание атаки, которая началась при большом трафике. Некоторые производители пытаются решить данную проблему, полностью реализуя IDS аппаратно, что делает IDS более быстрой. Необходимость быстро анализировать пакеты также может привести к тому, что производители IDS будут определять небольшое количество атак или же использовать как можно меньшие вычислительные ресурсы, что снижает эффективность обнаружения.Многие преимущества network-based IDS неприменимы к более современным сетям, основанным на сетевых коммутаторах (switch). Коммутаторы делят сети на много маленьких сегментов (обычно один fast Ethernet кабель на хост) и обеспечивают выделенные линии между хостами, обслуживаемыми одним и тем же коммутатором.
Многие коммутаторы не предоставляют универсального мониторинга портов, и это ограничивает диапазон мониторинга сенсора network-based IDS только одним хостом. Даже когда коммутаторы предоставляют такой мониторинг портов, часто единственный порт не может охватить весь трафик, передаваемый коммутатором.Network-based IDS не могут анализировать зашифрованную информацию. Эта проблема возрастает, чем больше организации (и атакующие) используют VPN.Большинство network-based IDS не могут сказать, была ли атака успешной; они могут только определить, что атака была начата. Это означает, что после того как network-based IDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.Некоторые network-based IDS имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Такие фрагментированные пакеты могут привести к тому, что IDS будет функционировать нестабильно.
Определение аномалий
Детекторы аномалий определяют ненормальное (необычное) поведение на хосте или в сети. Они предполагают, что атаки отличаются от "нормальной" (законной) деятельности и могут, следовательно, быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной.
Метрики и технологии, используемые при определении аномалий, включают:
определение допустимого порога. В этом случае основные атрибуты поведения пользователя и системы выражаются в количественных терминах. Для каждого атрибута определяется некоторый уровень, который устанавливается как допустимый. Такие атрибуты поведения могут определять число файлов, доступных пользователю в данный период времени, число неудачных попыток входа в систему, количество времени ЦП, используемое процессом и т.п. Данный уровень может быть статическим или эвристическим — например, может определяться изменением анализируемых значений.статистические метрики: параметрические, при которых предполагается, что распределение атрибутов профиля соответствует конкретному образцу, и непараметрические, при которых распределение атрибутов профиля является "обучаемым" исходя из набора значений истории, которые наблюдались за определенный период времени.метрики, основанные на правилах, которые аналогичны непараметрическим статистическим метрикам в том, что наблюдаемые данные определяют допустимые используемые образцы, но отличаются от них в том, что эти образцы специфицированы как правила, а не как численные характеристики.другие метрики, включая нейросети, генетические алгоритмы и модели иммунных систем.
Только первые две технологии используются в современных коммерческих IDS.
К сожалению, детекторы аномалий и IDS, основанные на них, часто создают большое количество ложных сообщений, так как образцы нормального поведения пользователя или системы могут быть очень неопределенными. Несмотря на этот недостаток, исследователи предполагают, что IDS, основанные на аномалиях, имеют возможность определять новые формы атак, в отличии от IDS, основанных на сигнатурах, которые полагаются на соответствие образцу прошлых атак.
Более того, некоторые формы определения аномалий создают выходные данные, которые могут быть далее использованы в качестве источников информации для детекторов злоупотреблений. Например, детектор аномалий, основанный на пороге, может создавать диаграмму, представляющую собой "нормальное" количество файлов, доступных конкретному пользователю; детектор злоупотреблений может использовать данную диаграмму как часть сигнатуры обнаружения, которая говорит: "если количество файлов, доступных данному пользователю, превышает данную "нормальную" диаграмму более чем на 10%, следует инициировать предупреждающий сигнал".
Хотя некоторые коммерческие IDS включают ограниченные формы определения аномалий, мало кто полагается исключительно на данную технологию. Определение аномалий, которое существует в коммерческих системах, обычно используется для определения зондирования сети или сканирования портов. Тем не менее определение аномалий остается предметом исследований в области активного определения проникновений, и скорее всего будет играть возрастающую роль в IDS следующих поколений.
Преимущества определения аномалий:
IDS, основанные на определении аномалий, обнаруживают неожиданное поведение и, таким образом, имеют возможность определить симптомы атак без знания конкретных деталей атаки.Детекторы аномалий могут создавать информацию, которая в дальнейшем будет использоваться для определения сигнатур для детекторов злоупотреблений.
Недостатки определения аномалий:
Подходы определения аномалий обычно создают большое количество ложных сигналов при непредсказуемом поведении пользователей и непредсказуемой сетевой активности.Подходы определения аномалий часто требуют некоторого этапа обучения системы, во время которого определяются характеристики нормального поведения.
Определение злоупотреблений
Детекторы злоупотреблений анализируют деятельность системы, анализируя событие или множество событий на соответствие заранее определенному образцу, который описывает известную атаку. Соответствие образца известной атаке называется сигнатурой, определение злоупотребления иногда называют "сигнатурным определением". Наиболее общая форма определения злоупотреблений, используемая в коммерческих продуктах, специфицирует каждый образец событий, соответствующий атаке, как отдельную сигнатуру. Тем не менее существует несколько более сложных подходов для выполнения определения злоупотреблений (называемых state-based технологиями анализа), которые могут использовать единственную сигнатуру для определения группы атак.
Преимущества сигнатурного метода:
Детекторы злоупотреблений являются очень эффективными для определения атак и не создают при этом огромного числа ложных сообщений.Детекторы злоупотреблений могут быстро и надежно диагностировать использование конкретного инструментального средства или технологии атаки. Это может помочь администратору скорректировать меры обеспечения безопасности.Детекторы злоупотреблений позволяют администраторам, независимо от уровня их квалификации в области безопасности, начать процедуры обработки инцидента.
Недостатки сигнатурного метода:
Детекторы злоупотреблений могут определить только те атаки, о которых они знают, следовательно, надо постоянно обновлять их базы данных для получения сигнатур новых атак.Многие детекторы злоупотреблений разработаны таким образом, что могут использовать только строго определенные сигнатуры, а это не допускает определения вариантов общих атак. State-based детекторы злоупотреблений могут обойти данное ограничение, но они применяются в коммерческих IDS не столь широко.
Пассивные действия
Пассивные ответы IDS предоставляют информацию пользователям системы, предполагая, что человек сам выполнит дальнейшие действия на основе данной информации. Многие коммерческие IDS предполагают исключительно пассивные ответы.
Почему следует использовать IDS
Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.
Почему следует использовать IDS, особенно если уже имеются firewall’ы, антивирусные инструментальные средства и другие средства защиты?
Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.
Firewall’ы являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики firewall’а. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.
IDS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует, и не маленькая. Использование IDS помогает достичь нескольких целей:
Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это определяется следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника или другие идентификаторы источника.
Также очень трудно осуществить подотчетность в любой системе, которая имеет слабые механизмы идентификации и аутентификации.Возможность блокирования означает возможность распознать некоторую активность или событие как атаку и затем выполнить действие по блокированию источника. Данная цель определяется следующим образом: "Я не забочусь о том, кто атакует мою систему, потому что я могу распознать, что атака имеет место, и блокировать ее". Заметим, что требования реакции на атаку полностью отличаются от возможности блокирования.
Атакующие, используя свободно доступные технологии, могут получить неавторизованный доступ к системам, если найденные в системах уязвимости не исправлены, а сами системы подсоединены к публичным сетям.
Объявления о появлении новых уязвимостей являются общедоступными, например, через публичные сервисы, такие как ICAT (http://icat.nist.gov) или CERT (http://www.cert.org), которые созданы для того, чтобы эти уязвимости нельзя было использовать для выполнения атак. Тем не менее существует много ситуаций, в которых использование этих уязвимостей все же возможно:
Во многих наследуемых системах не могут быть выполнены все необходимые обновления и модификации.Даже в системах, в которых обновления могут быть выполнены, администраторы иногда не имеют достаточно времени или ресурсов для отслеживания и инсталлирования всех необходимых обновлений. Это является общей проблемой, особенно в окружениях, включающих большое количество хостов или широкий спектр аппаратуры и ПО.Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости.Как пользователи, так и администраторы делают ошибки при конфигурировании и использовании систем.При конфигурировании системных механизмов управления доступом для реализации конкретной политики всегда могут существовать определенные несоответствия. Такие несоответствия позволяют законным пользователям выполнять действия, которые могут нанести вред или которые превышают их полномочия.
В идеальном случае производители ПО должны минимизировать уязвимости в своих продуктах, и администраторы должны быстро и правильно корректировать все найденные уязвимости. Однако в реальной жизни это происходит редко, к тому же новые ошибки и уязвимости обнаруживаются ежедневно.
Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы. IDS может определить, когда атакующий осуществил проникновение в систему, используя нескорректированную или некорректируемую ошибку. Более того, IDS может служить важным звеном в защите системы, указывая администратору, что система была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Это гораздо удобнее и действеннее простого игнорирования угроз сетевой безопасности, которое позволяет атакующему иметь продолжительный доступ к системе и хранящейся в ней информации.
Возможно определение преамбул атак, обычно имеющих вид сетевого зондирования или некоторого другого тестирования для обнаружения уязвимостей, и предотвращения их дальнейшего развития.
Когда нарушитель атакует систему, он обычно выполняет некоторые предварительные действия. Первой стадией атаки обычно является зондирование или проверка системы или сети на возможные точки входа. В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания. Имея такой неограниченный доступ, атакующий в конечном счете может найти уязвимость и использовать ее для получения необходимой информации.
Та же самая сеть с IDS, просматривающей выполняемые операции, представляет для атакующего более трудную проблему. Хотя атакующий и может сканировать сеть на уязвимости, IDS обнаружит сканирование, идентифицирует его как подозрительное, может выполнить блокирование доступа атакующего к целевой системе и оповестит персонал, который в свою очередь может выполнить соответствующие действия для блокирования доступа атакующего. Даже наличие простой реакции на зондирование сети будет означать повышенный уровень риска для атакующего и может препятствовать его дальнейшим попыткам проникновения в сеть.
Выполнение документирования существующих угроз для сети и систем.
При составлении отчета о бюджете на сетевую безопасность бывает полезно иметь документированную информацию об атаках. Более того, понимание частоты и характера атак позволяет принять адекватные меры безопасности.
Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.
Когда IDS функционирует в течении некоторого периода времени, становятся очевидными типичные способы использования системы. Это может выявить изъяны в том, как осуществляется управление безопасностью, и скорректировать это управление до того, как недостатки управления приведут к инцидентам.
Получение полезной информации о проникновениях, которые имели место, с предоставлением улучшенной диагностики для восстановления и корректирования вызвавших проникновение факторов.
Даже когда IDS не имеет возможности блокировать атаку, она может собрать детальную, достоверную информацию об атаке. Данная информация может лежать в основе соответствующих законодательных мер. В конечном счете, такая информация может определить проблемы, касающиеся конфигурации или политики безопасности.
IDS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.
Полностью распределенное управление
Мониторинг и определение выполняются с использованием подхода, основанного на агентах, когда решения об ответе делаются в точке анализа.
Преимущества и недостатки систем анализа уязвимостей
Преимущества систем анализа уязвимостей:
Анализ уязвимостей имеет важное значение как часть системы мониторинга безопасности, позволяя определять проблемы в системе, которые не может определить IDS.Системы анализа уязвимостей имеют возможность выполнять относящееся к безопасности тестирование, которое может использоваться для документирования состояния безопасности систем в момент начала функционирования программы безопасности или для переустановки базовых функций безопасности всякий раз, когда происходили существенные изменения.Когда системы анализа уязвимостей используются регулярно, они могут надежно обнаруживать изменения в состоянии безопасности системы, оповещая администраторов безопасности о проблемах, которые требуют решения.Системы анализа уязвимостей предлагают способ комплексной проверки любых изменений, сделанных в системе, гарантируя, что уменьшение одного множества проблем безопасности не создаст другого множества проблем.
Недостатки и проблемы систем анализа уязвимостей:
Host-based анализаторы уязвимостей сильно привязаны к конкретным ОС и приложениям; следовательно, они часто являются более дорогими с точки зрения развертывания, сопровождения и управления.Network-based анализаторы уязвимостей являются платформо-независимыми, но они менее точные и создают больше ложных тревог.Некоторые network-based проверки, особенно касающиеся DoS-атак, могут разрушить систему, которую они тестируют.При выполнении оценки уязвимостей в сетях, в которых работают системы обнаружения проникновений, IDS могут блокировать проведение последующих оценок. Хуже того, регулярные network-based оценки могут "обучить" некоторые IDS, основанные на обнаружении аномалий, игнорировать реальные атаки.Организации, которые используют системы оценки уязвимостей, должны иметь гарантию, что такие тестирования ограничены системами внутри их границ управления. Проблемы защиты частной жизни также должны быть рассмотрены, если персональные данные сотрудников или клиентов включены в информационные источники.
Процесс анализа уязвимостей
Общий процесс оценки уязвимостей состоит в следующем:
определить множество атрибутов системы, которые будут рассматриваться в качестве шаблона;сохранить значения данного шаблона в безопасном репозитории данных. Данное множество может быть вручную определено как образец "идеальной конфигурации" или моментальный снимок состояния системы, созданный ранее;периодически определять текущие значения атрибутов и сравнивать их с шаблоном;определить различия между шаблоном и текущими значениями и создать отчет.
Коммерческие системы оценки уязвимостей часто оптимизируют данный процесс тем, что выполняют параллельно несколько инструментальных средств оценки.
Проверка целостности файлов
Проверки целостности файлов являются другим классом инструментальных средств безопасности, которые дополняют IDS. Эти инструментальные средства используют дайджест сообщений или другие криптографические контрольные суммы для критичных файлов и объектов, сравнивая их с хранимыми значениями и оповещая о любых различиях или изменениях.
Использование криптографических контрольных сумм важно, так как атакующие часто изменяют системные файлы по трем причинам. Во-первых, изменение системных файлов могут быть целью атаки (например, размещение Троянских программ), во-вторых, атакующие могут пытаться оставить лазейку (back door) в систему, через которую они смогут снова войти в систему позднее, и, наконец, они пытаются скрыть свои следы, чтобы собственники системы не смогли обнаружить атаку.
Хотя проверка целостности файлов часто используется для определения, были ли изменены системные или выполняемые файлы, такая проверка может также помочь определить, применялись ли модификации для исправления ошибок к программам конкретных производителей или системным файлам. Это также является очень ценным при судебных разбирательствах, так как позволяет быстро и надежно диагностировать следы атаки. Она дает возможность менеджерам оптимизировать восстановление сервиса после произошедшего инцидента.
Свободно распространяемый продукт Tripwire (www.tripwiresecurity.com), возможно, является лучшим примером инструментального средства проверки целостности файлов.
Разделение Host и Target
С появлением рабочих станций и персональных компьютеров в большинстве архитектур IDS предполагается выполнение IDS на отдельной системе, тем самым разделяя системы Host и Target. Это улучшает безопасность функционирования IDS, так как в этом случае проще спрятать существование IDS от атакующих.
Современные IDS, как правило, состоят из следующих компонент:
сенсор, который отслеживает события в сети или системе;анализатор событий, обнаруженных сенсорами;компонента принятия решения.
Сбор дополнительной информации
Наиболее безвредный, но часто наиболее продуктивный активный ответ состоит в сборе дополнительной информации о предполагаемой атаке. Это может включать возрастающий уровень внимания к источникам информации. Например, можно начать собирать большее количество информации в лог и настроить сетевой монитор на перехват всех пакетов, а не только тех, которые предназначены конкретному порту или системе. Сбор дополнительной информации производится по нескольким причинам. Во-первых, собранная дополнительная информация может помочь обнаружить атаку. Во-вторых, так можно получить информацию, которая затем может использоваться при юридическом расследовании и задержании атакующего.
Системы анализа и оценки уязвимостей
Инструментальные средства анализа уязвимостей (известные также как оценка уязвимостей) тестируют сеть или хост для определения наличия уязвимостей для известных атак. Анализ уязвимостей предоставляет дополнительную информацию для систем обнаружения проникновения. Используемыми источниками информации являются атрибуты состояния системы и выходные данные осуществленных атак. Источники информации являются частью механизма оценки. Интервал времени анализа либо является фиксированным, либо определяется параметром в пакетном режиме, типом анализа является определение злоупотреблений. Это означает, что системы оценки уязвимостей являются пакетным режимом детекторов злоупотреблений, которые оперируют с информацией о состоянии системы, и результатом становятся специальные тестовые подпрограммы.
Анализ уязвимостей — очень сильная технология управления безопасностью, но эта технология является лишь дополнением к использованию IDS, а отнюдь не ее заменой. Если организация полагается исключительно на инструментальные средства анализа уязвимостей для слежения за системой, осведомленный атакующий может просмотреть систему анализа уязвимостей, заметить, когда выполняется анализ, и осуществить атаку во время интервала между этими проверками.
Тем не менее системы анализа уязвимостей могут создавать "моментальный снимок" состояния безопасности системы в конкретное время. Более того, так как они являются исключительно тестовыми системами поиска уязвимостей для большого числа известных атак, системы анализа уязвимостей могут позволять менеджеру безопасности контролировать ошибки человека или выполнять аудит системы для анализа согласованности с конкретной политикой безопасности системы.
Разница между системами анализа уязвимостей и системами обнаружения проникновения
Системы анализа уязвимостей аналогичны системам обнаружения проникновений, так как и те и другие следят за конкретными симптомами проникновения и другими нарушениями политики безопасности. Однако системы анализа уязвимостей рассматривают статический взгляд на такие симптомы, в то время как обнаружение проникновений исследует их динамически. Здесь такая же разница, как между кадром фотоснимка и прокручиванием видео.
Скорость реакции
Скорость реакции указывает на время, прошедшее между событиями, которые были обнаружены монитором, анализом этих событий и реакцией на них.
IDS, реакция которых происходит через определенные интервалы времени (пакетный режим)
В IDS, реакция которых происходит через определенные интервалы времени, информационный поток от точек мониторинга до инструментов анализа не является непрерывным. В результате информация обрабатывается способом, аналогичным коммуникационным схемам "сохранить и перенаправить". Многие ранние host-based IDS используют данную схему хронометража, так как они зависят от записей аудита в ОС. Основанные на интервале IDS не выполняют никаких действий, являющихся результатом анализа событий.
Real-Time (непрерывные)
Real-time IDS обрабатывают непрерывный поток информации от источников. Чаще всего это является преобладающей схемой в network-based IDS, которые получают информацию из потока сетевого трафика. Термин "реальное время" используется в том же смысле, что и в системах управления процессом. Это означает, что определение проникновения, выполняемое IDS "реального времени", приводит к результатам достаточно быстро, что позволяет IDS выполнять определенные действия в автоматическом режиме.
Совместное расположение Host и Target
Первоначально многие IDS выполнялись на тех же системах, которые они защищали. Основная причина этого была в том, что большинство систем было mainframe, и стоимость выполнения IDS на отдельном компьютере была очень большой. Это создавало проблему с точки зрения безопасности, так как любой атакующий, который успешно атаковал целевую систему, мог в качестве одной из компонент атаки просто запретить функционирование IDS.
Способы управления
Стратегия управления описывает, каким образом можно управлять элементами IDS, их входными и выходными данными.
В сети должны поддерживаться следующие связи:
связи для передачи отчетов IDS. Эти связи создаются между сенсорами как сетевого мониторинга, так и мониторинга хоста, и центральной консолью IDS;связи для мониторинга хостов и сетей;связи для выполнения ответов IDS.
Способы взаимодействия сканера уязвимостей и IDS
Рассмотрим такую аналогию. Системы обнаружения проникновения являются аналогами камер мониторинга безопасности. Стандартные IDS выполняют мониторинг в реальном времени и анализ полученных данных; следовательно, они являются аналогами камер, которые записывают видеоизображения. Системы анализа уязвимостей выполняют мониторинг и анализ состояния системы с интервалами; следовательно, они являются аналогами камер, которые делают фотоснимки. Системы анализа уязвимостей могут определить, существует ли проблема в конкретный момент времени, и далее предоставить этот результат для дальнейшего исследования и обработки. IDS могут, с другой стороны, сказать очень точно, существуют ли проблемы в течение интервала времени, и далее сообщить об условиях, которые необходимы для решения проблемы, а также об угрозах, возникающих в связи с данной проблемой.
Типы IDS
Существует несколько способов классификации IDS, каждый из которых основан на различных характеристиках IDS. Тип IDS следует определять, исходя из следующих характеристик:
Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based и application-based.Способ анализа. Это часть системы определения проникновения, которая анализирует события, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection).Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на interval-based (или пакетный режим) и real-time.
Большинство коммерческих IDS являются real-time network-based системами.
К характеристикам IDS также относятся:
Источник информации. IDS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения.Ответ: Набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами — отчет IDS, сделанный для людей, которые затем выполнят некоторое действие на основе данного отчета.
Тревоги и оповещения
Тревоги и оповещения создаются IDS для информирования администраторов об обнаружении атак. Большинство коммерческих IDS позволяют администраторам определять детали того, какие и когда тревоги создаются и кому и как они передаются.
Чаще всего сигнал тревоги выводится на экран или в выпадающее окно на консоли IDS или других систем, что может быть задано администратором при конфигурировании IDS. Информация, указываемая в сообщении о тревоге, может сильно варьироваться: от простого уведомления, что происходит проникновение, до очень детализированных сообщений, указывающих IP-адреса источника и цели атаки, конкретное инструментальное средство атаки, используемое для получения доступа, и результат атаки.
Другим множеством опций, используемых в больших или распределенных организациях, является возможность удаленного оповещения о тревогах. Это позволяет организации сконфигурировать IDS таким образом, чтобы она посылала сообщение о тревоге на сотовые телефоны.
В некоторых случаях также можно, например, использовать e-mail в качестве канала передачи сообщений об атаках. Но это не всегда оправданно, так как атакующий может иметь возможность просматривать исходящий e-mail трафик и блокировать это сообщение.
Возможность хранения информации о сбоях
При обсуждении возможностей различных IDS важно рассмотреть способы хранения информации о сбоях и отказах. Возможность хранения информации о сбоях обеспечивает дополнительный способ защиты IDS от обхода ее атакующим. Эти является обязательным требованием для средств управления, которые можно считать безопасными.
Существует несколько областей при создании ответа, которые требуют возможности хранения сбоев. Например, в IDS должна существовать возможность тихого и надежного мониторинга за атакующими. Должна также существовать функция ответа в IDS, прерывающая данную тишину широковещательными сообщениями о тревоге открытым текстом в просматриваемой сети, что позволит атакующему определить наличие IDS. При этом следует учитывать, что атакующие могут иметь непосредственной целью IDS как часть атаки.
Зашифрованные туннели и другие криптографические механизмы, используемые для скрытия информации и аутентификации компонентов IDS, являются отличным способом обезопасить и гарантировать надежность функционирования IDS.
Возможности отчетов и архивирования
Многие, если не все коммерческие IDS предоставляют возможности создания отчетов и других детализированных информационных документов. Некоторые из них могут создавать отчет о системных событиях и проникновениях, обнаруженных за конкретный период (например, неделя или месяц). Некоторые предоставляют статистику или логи, созданные IDS, в формате, понимаемом базами данных или другим ПО, создающим отчеты.
Возможные ответные действия IDS
После того как IDS получила информацию о событии и проанализировала ее для поиска симптомов атаки, она создает ответы. Некоторые ответы могут представлять собой отчеты, созданные в некоем стандартном формате. Другие ответы могут являться более автоматизированными, производящими определенные действия. Часто недооценивают важность наличия хороших ответов в IDS, но на самом деле наличие разнообразных возможностей в ответах очень важно. Коммерческие IDS поддерживают широкий диапазон опций ответов, часто разбивая их на активные ответы, пассивные ответы и некоторую смесь из них.
Выполнение действия против атакующего
В некоторых дискуссиях обсуждается правило, что первой опцией в активном ответе должно быть выполнение действия против проникающего. Наиболее агрессивная форма данного ответа включает запуск атаки против него или попытка активного сбора информации о хосте или сети атакующего. Тем не менее, сколь бы это не было заманчиво, такой ответ не рекомендуется. С точки зрения закона, данный ответ может быть более наказуем, чем атака, которую предполагается блокировать.
Первой причиной, по которой данную опцию следует использовать с большой осторожностью, являются требования законодательства. Более того, так как многие атакующие используют подделанные сетевые адреса, это может нанести большой вред невинным хостам и пользователям. Наконец, ответный удар может спровоцировать атакующего, который первоначально намеревался только просмотреть хост жертвы, не выполняя более никаких агрессивных действий.
Рекомендуется проконсультироваться с законодательством перед тем, как использовать какие-либо опции "ответного удара".
Атака авторизованного пользователя
Атаки авторизованного пользователя – это те атаки, при которых атакующий имеет возможность войти в целевую систему под законным пользовательским аккаунтом. Большинство атак авторизованного пользователя означают некоторый способ расширения привилегий.
Атаки проникновения
Атаки проникновения включают неавторизованное приобретение и/или изменение системных привилегий, ресурсов или данных. Будем воспринимать эти нарушения целостности и управляемости как противоположность DoS-атакам, которые нарушают доступность ресурсов, и атакам сканирования, которые не делают ничего незаконного. Атака проникновения может получить управление над системой, используя различные изъяны ПО. Наиболее общие изъяны и последствия для безопасности каждого из них перечислены ниже.
Хотя атаки проникновения очень различаются как в деталях осуществления, так и по воздействию на атакуемую систему, наиболее общие типы следующие:
User to Root. Локальный пользователь на хосте получает полное управление над целевым хостом.
Remote to User. Атакующий по сети получает доступ к пользовательскому аккаунту на целевом хосте.
Remote to Root. Атакующий по сети получает полное управление на сетевом хосте.
Remote Disk Read. Атакующий по сети получает возможность читать файлы данных на целевом хосте без выполнения авторизации.
Remote Disk Write. Атакующий по сети получает возможность записывать в файлы данных на целевом хосте без выполнения авторизации.
Атаки публичного доступа
Атаки публичного доступа представляют собой атаки, которые запускаются без использования какого-либо аккаунта или возможности привилегированного доступа на целевой системе, — они запускаются удаленно через сетевое соединение, используя только публичный доступ, предоставленный целевой системой.
Одна типичная стратегия атаки состоит в использовании атаки публичного доступа для получения начального доступа в систему. Затем, уже в системе, атакующий использует атаки авторизованного пользователя для получения полного управления целью.
Атаки сканирования
Атаки сканирования возникают тогда, когда атакующий прощупывает целевую сеть или систему, посылая различные типы пакетов. Это аналогично деятельности, описанной выше относительно сетевых инструментальных средств анализа уязвимостей. Действительно, технологии могут быть идентичными, но мотивация для выполнения действий разная!
Используя ответы, посылаемые целью, атакующий может много узнать о характеристиках и уязвимостях системы. Таким образом, атака сканирования является для атакующего средством идентификации цели. Эти атаки не выполняют проникновение или другую компрометацию систем. Различные названия инструментальных средств, используемых для выполнения таких действий, включают: сетевые mappers, порт mappers, сетевые сканеры, порт сканеры или сканеры уязвимостей. Атаки сканирования могут определять:
топологию целевой сети;типы сетевого трафика, пропускаемые firewall’ом;активные хосты в сети;операционные системы, которые выполняются на хостах;ПО сервера, которое выполняется на них;номера версий для всего обнаруженного ПО.
Сканеры уязвимостей являются специальным типом сканеров, которые проверяют наличие конкретных уязвимостей на хостах. Таким образом, атакующий может запустить сканер уязвимостей, и он выдаст список хостов (IP-адресов), которые являются уязвимыми для конкретной атаки.
По этой информации атакующий может точно идентифицировать систему жертвы в целевой сети для осуществления конкретных атак с целью проникновения в эти системы. Иными словами, атакующие используют сканирование ПО для "выбора" цели перед запуском реальной атаки. К несчастью для жертвы, по аналогии с тем, как любой человек может войти в банк или осмотреть видимую систему безопасности, некоторые законодатели считают, что сканирование сети или хоста является законным действием. С точки зрения того, кто выполняет сканирование, он просто бродит по Интернету в поисках публично доступных ресурсов.
Существуют законодательные оправдания для сканирования. Инструменты поиска в web могут сканировать Интернет для поиска новых web-страниц. Каждый может сканировать Интернет для поиска свободных музыкальных репозиториев или публично доступных многопользовательских игр. Главным является то, что, как правило, технология, которая позволяет обнаруживать публично доступные ресурсы, также позволяет анализировать систему для поиска слабых мест в безопасности. Лучшие IDS, которые могут определять сканирование, обычно имеют возможность делать различие между законным и враждебным сканированием. Сканирование подобно большинству общих атак, так как оно является предвестником любой серьезной попытки проникновения. Если сеть подсоединена к Интернету, это почти всегда означает, что она будет просканирована, если не сегодня, то, по крайней мере, в ближайшую неделю.
Будущие направления развития IDS
Хотя функция аудита системы, которая являлась первоначальной задачей IDS, стала формальной дисциплиной за последние пятьдесят лет, поле для исследований IDS все еще остается обширным, большинство исследований датировано не позднее 1980-х годов. Более того, широкое коммерческое использование IDS не начиналось до середины 1990-х.
Intrusion Detection и Vulnerability Assessment является быстро развивающейся областью исследований.
Коммерческое использование IDS находится в стадии формирования. Некоторые коммерческие IDS получили негативную публичную оценку за большое число ложных срабатываний, неудобные интерфейсы управления и получения отчетов, огромное количество отчетов об атаках, плохое масштабирование и плохую интеграцию с системами сетевого управления. Тем не менее потребность в хороших IDS возрастает, поэтому с большой вероятностью эти проблемы будут успешно решаться в ближайшее время.
Ожидается, что улучшение качества функционирования IDS будет осуществляться аналогично антивирусному ПО. Раннее антивирусное ПО создавало большое число ложных тревог при нормальных действиях пользователя и не определяло все известные вирусы. Однако сейчас положение существенно улучшилось, антивирусное ПО стало прозрачным для пользователей и достаточно эффективным.
Более того – очень вероятно, что основные возможности IDS скоро станут ключевыми в сетевой инфраструктуре (такой как роутеры, мосты и коммутаторы) и в операционных системах. При этом, скорее всего, разработчики IDS сфокусируют свое внимание на решении проблем, связанных с масштабируемостью и управляемостью IDS.
Имеются также и другие тенденции, которые, скорее всего, будут влиять на функциональности IDS следующего поколения. Существует заметное движение в сторону аппаратно-программных (appliance) решений для IDS. Также вероятно, что в будущем некоторые функции определения соответствия шаблону могут быть реализованы в аппаратуре, что увеличит скорость обработки.
Наконец, механизмы, связанные с управлением рисками в области сетевой безопасности, будут оказывать влияние на требования к IDS.
Цели и задачи использования IDS
После того как специфицировано техническое описание систем в организации и существующие механизмы безопасности, следует определить цели и задачи, которые должны быть достигнуты при использовании IDS.
Наиболее простой способ описания целей использования состоит в определении категорий возможных угроз.
Защита от внешних угроз
Следует максимально конкретно определить возможные внешние угрозы.
Защита от внутренних угроз
Следует рассмотреть угрозы, которые могут исходить из самой организации, обращая внимание не только на тех пользователей, которые атакуют систему изнутри, не имея никаких прав доступа в системе, но также и на авторизованных пользователей, которые хотят увеличить свои привилегии, тем самым нарушая политику безопасности организации.
Возможность определения необходимости обновления
Система, выполняющая мониторинг, иногда предоставляет инструментальные средства для определения того, когда системы, за которыми ведется наблюдение, требуется модифицировать или заменить. Когда такой мониторинг выполняет IDS, необходимость замены может быть определена при аномальном уровне пользовательской активности.
Возможность использования IDS для контроля поведения пользователя
Существуют системы, где может быть создана политика, целью которой является определение поведения пользователей, а не решение проблем информационной безопасности. Такая политика может включать ограничение возможности доступа к определенным web-сайтам, в зависимости от предоставляемого ими содержимого, или ограничение использования e-mail или других систем обмена сообщениями. Некоторые IDS предоставляют подобные возможности.
Чрезмерная отчетность об атаках
Многие операторы IDS бывают подавлены большим количеством атак, отмечаемых IDS. Для оператора просто невозможно исследовать сотни и тысячи атак, которые указываются ежедневно некоторыми IDS. Суть проблемы не в количестве атак, а в том, как IDS создает отчеты об этих атаках.
Некоторые IDS сообщают об отдельной атаке каждый раз, когда атакующий получает доступ к определенному хосту. Таким образом, атакующий, сканирующий подсеть из сотни хостов, должен вызвать сотни сообщений об атаках. Некоторые производители предлагают решение данной проблемы. Эти новейшие IDS начинают эффективно комбинировать многочисленные записи и указывать оператору только на те атаки, которые являются самыми важными.
DoS-атаки
DoS-атаки пытаются замедлить или остановить системы или сервисы в целевой сети. Существует два типа DoS-атак: шквальная эксплуатация и наводнение (flooding). Важно понимать разницу между ними.
DoS-атаки шквальной эксплуатации
Атаки шквальной эксплуатации вызывают "шквал" в ПО целевой системы, чтобы вызвать невозможность обработки или исчерпание системных ресурсов. Например, результатом "ping of death" атаки является невозможность дальнейшей обработки. Данная атака включает отправку очень большого пакета ping некоторым Windows-системам. Целевая система может не обработать такой анормальный пакет, в результате чего произойдет крах системы. Что касается исчерпания ресурсов, то под ресурсами в данном случае понимается время ЦП, память, дисковое пространство, пространство в некотором буфере или пропускная способность сети. Во многих случаях достаточно установить последние версии ПО, чтобы предотвратить данный тип DoS-атаки.
Flooding DoS-атаки
Flooding-атаки посылают системе или компоненту системы больше информации, чем она может обработать. В случаях, когда атакующий не может послать системе достаточно информации для подавления ее возможностей обработки, он может попытаться монополизировать сетевое соединение к цели и посредством этого запретить доступ всякому, кому требуется ресурс. При таких атаках не создается шквала на целевой системе.
Термин "распределенная DoS-атака" (DDoS) означает подмножество DoS-атак. DDoS-атаки являются простыми flooding DoS-атаками, когда атакующий использует несколько компьютеров для запуска атаки. Эти компьютеры обычно управляются компьютером атакующего и, таким образом, действуют как единая огромная атакующая система. Атакующий обычно не может нанести вред большому сайту электронной коммерции с помощью наводнения сетевыми пакетами с единственного хоста. Однако, если он получит управление над 20 000 хостами и взломает их таким образом, чтобы заставить их выполнять атаку под своим управлением, то он может получить достаточно средств для успешной атаки на самые большие системы.
Исключительное условие при обработке ошибки
При возникновении исключительного условия при обработке ошибки система также иногда может стать уязвимой.
Компьютерные атаки и уязвимости, определяемые IDS
Многие организации приобретают IDS, потому что они знают, что IDS являются необходимым дополнением всеобъемлющей архитектуры безопасности системы. Однако, приобретая соответствующие коммерческие IDS, большинство организаций испытывают недостаток в квалифицированных операторах IDS. Несмотря на утверждения производителя о простоте использования, обучение абсолютно необходимо. IDS эффективна настолько, насколько эффективно ее использует человек.
Пользовательские интерфейсы IDS сильно отличаются. Некоторые создают ответы в форме зашифрованного текста, который записывается в логи, а другие предоставляют описание атак на сеть в графическом виде. Несмотря на широкий диапазон технологий представления информации, большинство выходной информации IDS имеет общую базу, касающуюся компьютерных атак. Если пользователи понимают данное базовое множество выходной информации, они быстро начинают понимать большинство выходных данных коммерческих IDS.
На основной магистральной сети (расположение 3)
Преимущества:
Просматривает основной сетевой трафик; тем самым увеличивается вероятность распознания атак.Определяет неавторизованную деятельность авторизованных пользователей внутри периметра безопасности организации.
Ограничения IDS
IDS имеют много ограничений. Наиболее существенные следующие:
они плохо масштабируются на большие или распределенные сети предприятия;они могут быть трудны в управлении, с неудобным интерфейсом управления и сообщениями о тревогах;различные коммерческие IDS редко взаимодействуют друг с другом, если они созданы разными производителями;на эффективности функционирования IDS существенно сказываются ошибочные оповещения о тревогах, так называемые ложные позитивности. На них может тратиться большое количество времени администратора и большое количество ресурсов;они не могут компенсировать отсутствие в организации стратегии безопасности, политики или архитектуры безопасности;они не могут компенсировать слабые места в сетевых протоколах;они не могут заменить другие типы механизмов безопасности (такие как идентификацию и аутентификацию, шифрование, single sign on, firewall’ы или управление доступом);они не могут использоваться в качестве единственного механизма, который полностью защищает систему от всех угроз безопасности.
IDS не могут выполнять следующие функции:
компенсировать слабые или отсутствующие механизмы безопасности в защищаемой инфраструктуре. Такие механизмы включают firewall’ы, идентификацию и аутентификацию, шифрование передаваемой информации, механизмы управления доступом и определение и удаление вирусов;мгновенное определять атаки, создавать отчеты и ответы на атаку, когда существует сильно загруженная сеть или большая обработка;определять новые атаки или варианты существующих атак;эффективно распознавать атаки, вызванные ложными атакующими;автоматически (без человеческого вмешательства) исследовать атаки;противодействовать атакам, которые предназначены для разрушения или обмана самих IDS;компенсировать проблемы, связанные с правильностью и точностью источников информации;эффективно функционировать в сетях, использующих коммутаторы.
Ограничения на ресурсы, существующие в организации
Защита, обеспечиваемая IDS, имеет четкую экономическую составляющую. Если в организации нет достаточного количества ресурсов и персонала, который может обслуживать IDS, это может привести к дополнительным расходам или неэффективному функционированию IDS. Необходимо учитывать следующие экономические и организационные параметры.
Бюджет для приобретения и поддержки жизненного цикла аппаратуры, ПО и инфраструктуры IDS
Следует помнить, что приобретение ПО IDS не определяет полную стоимость владения; нужно также приобрести систему, на которой будет выполняться ПО, специализированные вспомогательные устройства для инсталлирования и конфигурирования системы. Также необходимо обеспечить определенные тренинги для персонала.
Специалисты по эксплуатации IDS
Некоторые IDS разработаны в предположении, что персонал будет присутствовать около них в течение всего времени. Если это не представляется возможным, то следует рассмотреть те системы, которые требуют меньшего присутствия.
Полномочия для осуществления изменений на основе результатов, предоставленных IDS
Надо понимать, что можно столкнуться с определенными организационными и административными проблемами. Например, может встать вопрос, достаточно ли полномочий для обработки инцидентов, которые возникли в результате мониторинга, выполненного IDS.
Определение окружения IDS
Во-первых, следует понимать, в каком окружении IDS должна функционировать. Это важно, поскольку если IDS не развернута с учетом информационных источников, которые доступны системе, она может не иметь возможности видеть все, что делается в сети или системе – как атаку, так и нормальную деятельность.
Технические спецификации окружения систем
Во-первых, следует специфицировать технические характеристики окружения систем. Такая спецификация должна включать топологию сети с учетом количества и расположения хостов, ОС на каждом хосте, количества и типов сетевых устройств, таких как роутеры, мосты, коммутаторы, количества и типов граничных маршрутизаторов и dial-up соединений. Должно быть сделано описание всех серверов, включая типы, конфигурации, прикладное ПО и версии, выполняющиеся на каждом из них. Если работает система управления сетью, то нужно описать ее функционирование.
Технические спецификации используемой системы безопасности
После того как описаны технические характеристики окружения системы, следует определить возможности системы обеспечения безопасности, которые уже существуют.
Следует специфицировать количество, типы и расположение сетевых firewall’ов, серверов идентификации и аутентификации, устройств шифрования данных и соединений, антивирусные пакеты, ПО управления доступом, специализированную аппаратуру обеспечения безопасности (такую как аппаратный крипто-акселератор для web-серверов), VPNs и любые другие механизмы обеспечения безопасности.
Цели организации
Некоторые IDS разработаны для обеспечения определенных нужд конкретной индустрии или ниши рынка, например, электронная коммерция, здравоохранение, финансовые рынки. Следует определить соответствие возможностей системы целям организации.
Возможность формализации окружения системы и принципы управления, используемые в организации
Организационные стили могут сильно отличаться, в зависимости от функций организации и ее традиций. Например, военные или аналогичные организации, которые имеют дело с проблемами национальной безопасности, стремятся функционировать с высокой степенью формализации своей деятельности, особенно в сравнении с университетами или другими академическими средами.
Некоторые IDS предлагают возможности, которые поддерживают создание конфигураций с формально заданными политиками и с возможностями создания расширенных отчетов, детализирующих нарушения политики.
Определение расположения атакующего на основе анализа выходной информации IDS
При уведомлениях об обнаруженной атаке, IDS часто сообщает о расположении атакующего. Данное расположение обычно представляет собой IP-адрес источника. Сообщаемый адрес является просто IP-адресом источника, который появляется в пакетах атакующего, но вовсе не обязательно представляет собой корректный адрес источника, так как атакующий обычно подменяет IP-адреса в своих пакетах.
Чтобы понять, является ли IP-адреса источника реальным, следует определить тип атаки и затем определить, нужно ли атакующему получать ответные пакеты, посланные жертвой.
Если атакующий запустил одностороннюю атаку, подобную многим flooding DoS-атакам, когда ему не нужно видеть никаких ответных пакетов, то он может проставить в своих пакетах случайные IP-адреса. Атакующий действует аналогично тому, что происходит в реальном мире при посылке открытки с фальшивым обратным адресом, заполняя тем самым почтовый ящик, чтобы никто другой не мог отправить почту. В данном случае атакующий не может получать никаких ответов от жертвы.
Однако, если необходимо видеть ответы жертвы, то атакующий не может изменить IP-адрес источника.
В общем случае, атакующие должны использовать корректный IP-адрес, когда они запускают атаки проникновения, но не DoS-атаки.
Однако существует одно исключение, связанное с квалифицированными атакующими. Атакующий может послать пакеты, используя поддельный IP-адрес источника, но установить ловушку для ответа жертвы на поддельный адрес. Это можно сделать без доступа к компьютеру с поддельным адресом. Такая манипуляция с IP-адресацией называется "IP- Spoofing".
Организационные требования и ограничения
Цели функционирования организации, ограничения и традиции влияют на выбор IDS, других инструментальных средств безопасности и технологий для защиты системы. Рассмотрим эти требования и ограничения.
Внешние по отношению к IDS требования
Необходимо определить, существуют ли какие-либо внешние требования к IDS и другим конкретным системным ресурсам безопасности.
Требования для публичного доступа к информации в системах
Нужно учитывать, существуют ли постановления, требующие, чтобы информация в системе была публично доступна в течение определенных часов, дней или иных интервалов времени.
Законодательные требования, относящиеся к безопасности и к расследованию инцидентов безопасности
Следует рассмотреть, существуют ли законодательные требования для защиты персональной информации (такой как информация о доходах или медицинские записи), хранящейся в системе. Также следует учесть, существуют ли законодательные требования для рассмотрения нарушений безопасности, которые привели к разглашению или уничтожению данной информации.
Следует специфицировать все функции IDS, относящиеся к сбору и защите логов IDS, которые могут использоваться в качестве судебного доказательства.
Требования внутреннего аудита
Следует рассмотреть, имеются ли какие-либо функции аудита, которые IDS может предоставлять или поддерживать.
Требования аккредитации системы
Следует рассмотреть, какая аккредитация требуется для IDS и других систем.
Ошибка граничного условия
При такой ошибке входные данные, полученные системой, вызывают в системе нарушение некоторого граничного условия. Данное нарушение само по себе и представляет уязвимость. Например, у системы может переполниться память, дисковое пространство или ширина пропускания сети. Другим примером данной уязвимости является переменная, которая может достигнуть своего максимального значения и перейти в минимальное. Еще одним примером с переменной может быть множество таких ситуаций, как возникновение деления на ноль. Ошибка граничного условия является подмножеством класса ошибок корректности входа. Хотя можно показать, что переполнение буфера является типом ошибки граничного условия, мы поместим данную ошибку в отдельную категорию, понимая ее важность и тот факт, что переполнение буфера возникает чаще других ошибок.
Ошибка конфигурирования
Ошибка конфигурирования возникает, когда установки управления определены таким образом, что система стала уязвимой. Данная уязвимость говорит не о том, как система была разработана, а о том, как администратор сконфигурировал систему. Можно также считать конфигурационной ошибкой ситуацию, при которой система поставляется от разработчика со слабой, с точки зрения безопасности, конфигурацией.
Ошибка корректности входных данных
При такой ошибке входные данные, полученные некоторой системой, не проверяются на корректность, в результате чего возникает уязвимость, которая может быть использована с помощью посылки определенной входной последовательности. Существует два основных типа ошибок корректности входа: переполнение буфера и ошибки граничных условий.
Ошибка окружения
При такой ошибке окружение, в котором система инсталлирована, каким-либо образом приводит к тому, что система становится уязвимой. Это может произойти, например, при непредвиденном взаимодействии приложения и ОС или при взаимодействии двух приложений на некотором хосте. Такая уязвимая система может быть правильно сконфигурирована и с большой вероятностью безопасна в тестовом окружении разработчиков, но какие-то предположения, касающиеся безопасности, были нарушены в инсталлируемом окружении.
Ошибка управления доступом
При такой ошибке система является уязвимой, потому что механизм управления доступом не функционирует. Проблема заключается не в конфигурации механизма управления доступом, а в самом механизме.
Перед внешним firewall’ом (расположение 2)
Преимущества:
Документирует количество атак, исходящих из Интернета, целью которых является сеть.Документирует типы атак, исходящих из Интернета, целью которых является сеть.
Переполнение буфера
При переполнении буфера входные данные, получаемые системой, являются длиннее, чем ожидаемая длина входа, но система не проверяет данный факт. Входной буфер заполняется и переполняет память, выделенную для входных данных. При грамотном конструировании таких входных данных, выходящих за границу выделенного для них буфера, атакующий может заставить систему выполнять команды от имени атакующего.
Позади внешнего firewall’а в DMZ-сети (расположение 1)
Преимущества:
Видит атаки, исходящие из внешнего мира, которым удалось преодолеть первую линию обороны сетевого периметра.Может анализировать проблемы, которые связаны с политикой или производительностью firewall’а, обеспечивающего первую линию обороны.Видит атаки, целями которых являются прикладные серверы (такие как web или ftp), обычно расположенные в DMZ.Даже если входящая атака не распознана, IDS иногда может распознать исходящий трафик, который возникает в результате компрометации сервера.
Предоставляемая поддержка программного продукта
Подобно другим программным продуктам, IDS требуют постоянного сопровождения и поддержки.
Поддержка инсталляции и конфигурирования
Многие производители предоставляют квалифицированную помощь при инсталляции и конфигурировании IDS; другие считают, что это могут делать собственные специалисты потребителя, и обеспечивают только поддержку по телефону или e-mail.
Возможность непрерывной поддержки программного продукта
Существует ли подписка на обновления.
В большинстве IDS, которые определяют злоупотребления, программный продукт настолько хорош, насколько база данных сигнатур соответствует текущему состоянию. Большинство производителей предоставляют подписку на обновления сигнатур, которые создаются с некоторой периодичностью.
Как часто подписчики получают обновления.
При современных угрозах, когда ежемесячно публикуется 30-40 новых атак, это является важным фактором.
Как быстро после обнаружения новой атаки производитель поставит новую сигнатуру.
Если IDS используется для защиты популярных сайтов в Интернете, особенно важно получать сигнатуры для новых атак как можно быстрее.
Включает ли подписка на обновление также и обновление ПО.
Большинство IDS являются программными продуктами и, следовательно, могут содержать ошибки и уязвимости. Таким образом, возможность частого обновления ПО также является весьма существенным фактором.
Как быстро выпускаются обновления ПО после того, как о проблеме было сообщено производителю.
Так как ошибки ПО в IDS могут позволить атакующему обойти всю защиту, особенно важно, чтобы проблемы фиксировались надежно и быстро.
Включены ли сервисы технической поддержки и сколько они стоят.
Сервисы технической поддержки означают помощь производителя в настройке и адаптации IDS для конкретных нужд, мониторинге наследуемых систем на предприятии или создание отчетов о результатах IDS с использованием протокола или формата заказчика.
Какой способ контакта (e-mail, телефон, on-line chat, web-интерфейс) осуществляется для выполнения технической поддержки.
Следует выяснить, как доступны сервисы технической поддержки для обработки инцидентов или других критичных по времени ситуаций.
Какие имеются гарантии, связанные с IDS.
Как и в случае других продуктов ПО, IDS должны иметь определенные гарантии, связанные с их функционированием.
Ресурсы по обучению, предоставляемые производителем как часть пакета услуг
После того как IDS выбрана, инсталлирована и сконфигурирована, она должна обслуживаться персоналом предприятия. Для того чтобы эти люди могли оптимально использовать IDS, они должны сначала научиться ее использовать. Некоторые производители предоставляют программы обучения как часть пакета услуг.
Дополнительные ресурсы, доступные для обучения
В случае, если производитель IDS не предоставляет обучение как часть пакета IDS, следует выделить определенный бюджет для обучения персонала.
Race-условие
Race-условия цикла возникают, если существует задержка между временем, когда система проверяет, что операция допустима моделью безопасности, и временем, когда система реально выполняет операцию. Реальная проблема возникает, если окружение в течение интервала времени, когда была выполнена проверка безопасности, и времени, когда была выполнена операция, изменилось таким образом, что модель безопасности более не разрешает операцию. Атакующий имеет возможность в течение данного небольшого окна выполнить незаконные действия, подобные записи в файл паролей, пока состояние является привилегированным.
Развертывание host-based IDS
После того как network-based IDS размещены и функционируют, для увеличения уровня защиты системы дополнительно может быть рассмотрено использование host-based IDS. Однако инсталлирование host-based IDS на каждый хост может потребовать существенных временных затрат. Поэтому рекомендуется, чтобы в первую очередь host-based IDS были инсталлированы на критичных серверах. Это может уменьшить общую стоимость развертывания и позволит основное внимание уделить реагированию на тревоги, касающиеся наиболее важных хостов. После того как host-based IDS начали функционировать в обычном режиме, организации с повышенными требованиями к безопасности могут обсудить возможность инсталлирования host-based IDS на другие хосты. В этом случае следует приобретать host-based системы, которые имеют централизованное управление и функции создания отчетов. Такие возможности могут существенно понизить сложность управления сообщениями о тревогах от большого числа хостов.
Далее следует рассмотреть возможность повышения квалификации администраторов. В большинстве случаев эффективность конкретной host-based IDS зависит от возможности администратора различать ложные и верные тревоги.
Также важно (так как часто администратор не сопровождает постоянно host-based IDS) установить график проверки результатов IDS. Если это не сделано, риск, что противник изменит что-либо в IDS в течение осуществления атаки, возрастает.
Развертывание IDS
Технология обнаружения проникновений является необходимым дополнением для инфраструктуры сетевой безопасности в каждой большой организации. Эффективное развертывание IDS требует тщательного планирования, подготовки, прототипирования, тестирования и специального обучения.
Следует тщательно выбирать стратегию обнаружения проникновения, совместимую с сетевой инфраструктурой, политикой безопасности и имеющимися ресурсами.
Развертывание network-based IDS
Единственный вопрос, который следует тщательно продумать при развертывании network-based IDS, — это расположение системных сенсоров. Существует много вариантов расположения network-based IDS, каждый из которых имеет свои преимущества:
Рис. 5.1. Возможные варианты расположения сенсоров network-based IDS
Основная подсетьПодсеть с критичными ресурсами и дополнительными точками доступаDMZ-сеть
Сильные стороны и ограниченность IDS
Хотя IDS являются ценным дополнением к инфраструктуре безопасности организации, существуют функции, которые они выполняют хорошо, и существуют функции, которые они не могут делать хорошо. При планировании стратегии безопасности важно понимать, что следует доверить IDS и что лучше оставить для других типов механизмов безопасности.
Сильные стороны IDS
IDS хорошо выполняют следующие функции:
мониторинг и анализ событий в системе и поведения пользователей;тестирование состояний системных конфигураций относительно их безопасности;проверка базового безопасного состояния системы и затем отслеживание любых изменений этого базового состояния (тем самым это будет означать реализацию политики информационной безопасности по умолчанию);распознавание шаблонов системных событий, которые соответствуют известным атакам;распознавание шаблонов деятельности, которая статистически отличается от нормальной деятельности;управление механизмами аудита и создания логов ОС и любых других данных, которые они создают.оповещение руководства некоторым заданным образом при обнаружении атак;политика безопасности может быть выражена в терминах инструментов анализа;обеспечение специалистам, не являющимся экспертами в области безопасности, возможности выполнять функции мониторинга информационной безопасности.
Системы Honey Pot и Padded Cell
В настоящее время разрабатываются новые дополнения для традиционных IDS. Важно понимать, чем они отличаются от технологий, используемых в обычных IDS.
Honey Pot являются системами-ловушками, которые разработаны для привлечения потенциального атакующего и отвлечения его от уязвимых систем. Honey Pot создаются для того, чтобы:
отвлечь атакующего от доступа к критичным системам;собрать информацию о деятельности атакующего;способствовать тому, чтобы атакующий оставил достаточно следов в системе.
Такие системы заполняются ложной информацией, но информация создается таким образом, чтобы она казалась ценной. Законные пользователи не должны иметь доступ к данной системе. Таким образом, любой вход в Honey Pot является подозрительным. Honey Pot содержит мониторы уязвимостей и логгеры событий, которые определяют, что такие доступы произошли, и также собирают информацию о деятельности атакующих.
Padded Cell используют другой подход. Вместо того, чтобы пытаться привлечь атакующих заманчивыми данными, Padded Cell функционируют вместе с традиционной IDS. Когда IDS определяет атакующего, она перенаправляет его в специальный Padded Cell хост. После того как атакующие попадают в Padded Cell, они находятся внутри эмулированного окружения, где не могут причинить вред. Как и Honey Pot, данное эмулированное окружение заполняется представляющими интерес данными, разработанными для того, чтобы убедить атакующего, будто атака продолжается по его плану. Как и Honey Pot, Padded Cell являются хорошо оборудованными и имеют уникальные возможности для мониторинга действий атакующего. Разработчики IDS используют системы Padded Cell и Honey Pot, начиная с 1980 года. Важно проконсультироваться с законодательством, прежде чем принять решение об использовании тех или иных систем в конкретном функциональном окружении.
Преимущества систем Honey Pot и Padded Cell:
Атакующие могут быть направлены в сторону от целевой системы, тем самым они не в состоянии принести вред.Администраторы имеют дополнительное время для принятия решения о том, как ответить атакующему.Действия атакующего могут быть легко и более обширно проанализированы, с получением результатов, которые могут использоваться для уточнения моделей угроз и для улучшения системы защиты.Honey Pot могут быть эффективны для обнаружения внутренних нарушителей, которые просматривают сеть.
Недостатки систем Honey Pot и Padded Cell:
Законодательные положения для использования таких устройств недостаточно хорошо определены.Honey Pot и Padded Cell пока еще не являются общеиспользуемыми технологиями безопасности.Опытный атакующий, однажды попав в ловушку, может стать агрессивным и запустить более враждебную атаку против системы.Администратору необходим большой опыт, чтобы использовать такие системы.
Соглашения по именованию атак
До недавнего времени не было общего соглашения по именованию компьютерных атак или уязвимостей. Это затрудняло сравнение различных IDS, так как каждый производитель IDS создавал свой список результатов при анализе событий, отражающих некоторое множество атак. Это также затрудняло координированное использование в сети более одного типа IDS, так как различные IDS создавали различные сообщения при определении некоторой атаки.
В настоящее время приложены определенные усилия по разработке общей номенклатуры компьютерных уязвимостей и атак. Наиболее популярным из них является Common Vulnerabilities and Exposures List (CVE), который поддерживается MITRE, получающим информацию от различных профессиональных сообществ по безопасности. Многие производители программных и аппаратных продуктов, связанных с безопасностью, делают их CVE-совместимыми. Список CVE может быть найден на сайте http://cve.mitre.org.
Стратегии оповещения о тревогах
Наконец, при развертывание IDS важной проблемой является определение того, какие именно возможности оповещения IDS о тревогах использовать в каждом конкретном случае. Большинство IDS поставляются с уже сконфигурированными возможностями оповещения о тревогах, которые допускают широкий диапазон опций, включая посылку сообщений на e-mail, пейджер, использование протоколов сетевого управления и даже автоматическое блокирование источника атаки.
Важно быть консервативным в использовании этих возможностей до тех пор, пока не будет стабильной инсталляции IDS и некоторого понимания поведения IDS в данном окружении. Иногда рекомендуется не активизировать оповещения о тревогах IDS в течение нескольких месяцев после инсталляции.
В случаях, когда возможности оповещения о тревоге включают автоматический ответ на атаку (особенно если допустимо, чтобы IDS непосредственно обращалась к firewall’у для блокирования трафика от явных источников атак), надо быть особенно внимательным, чтобы атакующие не использовали данную возможность для запрещения доступа законным пользователям.
Стратегия развертывания IDS
Следует определить несколько стадий развертывание IDS, чтобы персонал мог получить опыт и создать необходимый мониторинг и необходимое количество ресурсов для функционирования IDS. Требуемые ресурсы для каждого типа IDS могут сильно различаться, в частности, и в зависимости от системного окружения. Необходимо иметь соответствующую политику безопасности, планы и процедуры, чтобы персонал знал, как обрабатывать различные многочисленные сигналы тревоги, выдаваемые IDS.
Для защиты сети предприятия рекомендуется рассмотреть комбинацию network-based IDS и host-based IDS. Далее следует определить стадии развертывания, начиная с network-based IDS, так как они обычно являются более простыми для инсталлирования и сопровождения. После этого следует защитить критичные серверы с помощью host-based IDS. Используя инструментальные средства анализа уязвимостей, следует протестировать IDS и другие механизмы безопасности относительно правильного конфигурирования и функционирования.
Такие технологии, как Honey Pot и аналогичные, должны использоваться только в том случае, если имеется достаточная техническая квалификация администратора. Более того, эти технологии должны использоваться только после анализа существующего законодательства.
Существующая политика безопасности
Политика безопасности должна являться шаблоном, в соответствии с которым будут конфигурироваться IDS. Такая политика должна обладать следующими свойствами.
Структурированность
Следует определить цели политики безопасности в терминах стандартных целей безопасности (целостность, конфиденциальность и доступность), а также общих целей управления.
Описание функций, выполняемых пользователями системы
Следует определить список функций пользователей системы (возможно, что несколько функций будет назначено единственному пользователю), а также необходимые данные и требуемый сетевой доступ для каждой функции.
Реакция на нарушения политики
Следует иметь четкое представление, что предполагается делать, если IDS определит, что политика нарушена. Если не предполагается реагировать на такие нарушения, можно соответствующим образом сконфигурировать IDS. С другой стороны, если предполагается ответ на определенные нарушения, функционирование IDS должно быть сконфигурировано соответствующим образом, чтобы IDS могла сообщать о тревоге, используя конкретные механизмы оповещения.
Типичные выходные данные IDS
Почти все IDS имеют в качестве выходной информации строку сообщения о каждой обнаруженной атаке. Эта строка обычно содержит перечисленные ниже поля:
время и дату;IP-адрес сенсора;название атаки, специфичное для производителя;стандартное название атаки (если оно существует);IP-адреса источника и назначения;номера портов источника и назначения;сетевой протокол, используемый для атаки.
Многие IDS также предоставляют более подробное описание каждого типа атаки. Данное описание важно, так как оно дает возможность администратору уменьшить ущерб, наносимый атакой.
Данное описание обычно содержит следующую информацию:
текстовое описание атаки;уровень серьезности атаки;тип ущерба, наносимого в результате атаки;тип уязвимости, используемый атакой;список типов ПО и номера версий, которые являются уязвимыми для атаки;информация о существующих обновлениях, которые позволяют сделать систему менее уязвимой для атаки;ссылки на публично доступные публикации об атаке или уязвимости, которую она использует.
Типы атак
Большинство компьютерных атак нарушают безопасность системы некоторыми конкретными способами. Например, атаки могут давать возможность атакующему читать конкретные файлы, но не позволяют заменить какие-либо системные компоненты. Другие атаки могут позволить атакующему выполнить останов (shut down) некоторых компонент системы, но не предоставят доступ ни к каким файлам. Несмотря на различные возможности компьютерных атак, результатом обычно является нарушение следующих четырех свойств безопасности: доступность, конфиденциальность, целостность и управляемость. Рассмотрим эти нарушения.
Конфиденциальность. Атака осуществляет нарушение конфиденциальности, если она позволяет атакующему получить доступ к данным без авторизации (явно или неявно).
Целостность. Атака осуществляет нарушение целостности, если она позволяет (неавторизованному) атакующему изменить состояние системы либо данных, хранящихся или передаваемых через систему.
Доступность. Атака осуществляет нарушение доступности, если она удерживает авторизованного пользователя (человека или машину) от доступа к конкретному ресурсу системы там, тогда и в той форме, которая ему нужна.
Управляемость. Атака осуществляет нарушение управляемости, если она предоставляет (неавторизованному) атакующему привилегии, которые не предусмотрены политикой управления доступом в системе. Данная привилегия дает возможность в дальнейшем нарушить конфиденциальность, целостность или доступность.
Типы компьютерных атак, обычно определяемые IDS
Три типа компьютерных атак обычно определяются IDS: сканирование системы, denial of service (DoS) и проникновение в систему. Эти атаки могут быть осуществлены локально, с атакованной машины, или удаленно, используя сеть для доступа к цели. Оператор IDS должен понимать различие между этими типами атак, так как каждый тип требует различного множества ответов.
Типы компьютерных уязвимостей
Многие IDS предоставляют описания атак, которые они определяют. Это описание часто включает типы уязвимостей, которые используют атаки. Данная информация является очень полезной после того, как атака произошла, потому что системный администратор может исследовать и скорректировать использованную уязвимость. NIST рекомендует использовать ICAT Metabase проект для исследования и фиксации уязвимостей в сетях организации. ICAT содержит тысячи примеров реальных компьютерных уязвимостей со ссылками на детальное описание. ICAT доступна по адресу http://icat.nist.gov.
Здесь мы обсудим основные типы уязвимостей. Может быть предложено много различных схем для их классификации, мы не будем перечислять их все. Ниже приведен список некоторых наиболее общих типов.
Учет возможного роста организации
Следует проанализировать, разработан ли программный продукт с учетом возможности постоянной адаптации к требованиям организации.
Адаптируемость программного продукта к возрастающей квалификации пользователей
Следует проанализировать, может ли интерфейс IDS конфигурироваться для использования настраиваемых по мере необходимости различных shortcut-ключей, возможностей тревоги и т.п. Следует проанализировать также, насколько такие возможности документированы и поддерживаются.
Адаптируемость программного продукта к возрастанию и изменению инфраструктуры организации
Это означает возможность масштабирования IDS при расширении и увеличении разнородности сети. Большинство производителей могут хорошо адаптировать свои продукты к возрастанию сетей. Следует также узнать о поддержке новых стандартов протоколов и типов платформ.
Адаптируемость программного продукта к возрастанию и изменению угроз безопасности
Данный вопрос особенно актуален для текущего состояния угроз в Интернете, когда каждый месяц появляется по 30-40 новых атак.
Удаленные vs. локальные атаки
DoS-атаки и атаки проникновения имеют два варианта: локальный и удаленный.
Уровни важности атак
Многие IDS связывают с определяемыми атаками уровень важности. Это делается, чтобы помочь оператору правильно определить воздействие атаки и тем самым выполнить соответствующие действия. Однако воздействие и важность атаки являются очень субъективными и не обязательно должны быть одними и теми же во всех случаях, а могут зависеть от топологии сети и окружения в каждом конкретном случае. Например, если атакующий запускает высокоэффективную UNIX-атаку против большой гетерогенной сети, воздействие атаки на сетевой сегмент, который в основном состоит из Windows-систем, может быть низким, тогда как воздействие атаки на всю сеть (и, таким образом, важность атаки) остается высоким. Следовательно, уровни важности, о которых говорится в отчетах IDS, являются полезной информацией для менеджеров безопасности, но должны рассматриваться в контексте конкретного системного окружения, в котором выполняется IDS.
В критичных подсетях (расположение 4)
Преимущества:
Определяет атаки, целью которых являются критичные системы и ресурсы.Позволяет фокусироваться на ограниченных ресурсах наиболее значимых информационных ценностей, расположенных в сети.
Возможности IDS
IDS должна обеспечивать следующие возможности.
Масштабируемость используемого программного продукта для конкретного окружения
Многие IDS не имеют возможности масштабирования для больших и сильно распределенных сетевых окружений.
Протестированность программного продукта
Простого утверждения, что IDS имеет определенные возможности, недостаточно для доказательства того, что эти возможности реально существуют. Следует иметь возможность демонстрации соответствия конкретной IDS требуемому окружению и целям безопасности.
Следует иметь информацию производителя о тестировании предотвращения разных типов атак. Если программный продукт включает возможности оценки сетевых уязвимостей, следует знать о параметрах тестирования, при которых анализировались эти уязвимости.
Выбор IDS
Сегодня доступен широкий выбор продуктов определения проникновения, адресованных широкому спектру целей безопасности. Имея такой спектр продуктов и возможностей, процесс выбора продукта, который является наилучшим для конкретных нужд, становится достаточно трудным. Ниже перечислены вопросы, которые могут использоваться в качестве критерия при приобретении конкретной IDS.
Чтобы определить, какие IDS могут использоваться в конкретном окружении, следует в первую очередь, рассмотреть окружение, в технических и физических терминах и в терминах политики.
Выбор самой подходящей IDS
Самой подходящей IDS в каждом конкретном случае является та, которая наилучшим образом удовлетворяет целям и задачам безопасности в организации, при этом могут учитываться существующие ограничения. Определяющими факторами обычно считаются следующие:
окружение системы, в терминах аппаратной и программной инфраструктур.окружение безопасности, в терминах политик и существующих механизмов безопасности и ограничений.организационные цели, в терминах задач функционирования предприятия (например, организации электронной коммерции могут иметь цели и ограничения, отличные от целей и ограничений организаций, которые занимаются производством).ограничения ресурсов в терминах финансовых возможностей приобретения, кадрового обеспечения и инфраструктуры.
Выполняемые IDS действия при обнаружении атаки
Возможно лучшим результатом, соответствующим успешной трактовке выходной информации IDS, должно быть сообщение, что атака "Be Prepared", т.е. полностью ликвидирована.
Однако реально автоматическая обработка атаки не всегда возможна. Поэтому следует иметь планы и процедуры обработки инцидентов, таких как обнаружение вирусов, внутренних угроз системам и внешние атаки.
Данный план должен, как минимум, определять роли и ответственности в организации, определять действия, которые должны быть выполнены при возникновении инцидента, и устанавливать график обучения и его содержание, которое необходимо при обработке инцидента. Более того, следует предусмотреть периодические тестирования этих процедур реагирования на инциденты, при которых каждый должен продемонстрировать умение действовать в соответствии со своими обязанностями.
