Система обнаружения вторжений. Анализ систем обнаружения вторжений

Сергей Гриняев ,
кандидат технических наук, старший научный сотрудник
[email protected]

Технология систем обнаружения вторжений в компьютерные сети (СОВ) достаточно молода и динамична. Сегодня в этой сфере идет активное формирование рынка, в том числе процессы поглощения и слияния компаний. Поэтому информация о системах обнаружения вторжений быстро устаревает, что затрудняет сравнительный анализ их технических характеристик. Список продуктов, расположенный в Интернете на сайте SANS/NSA1, более достоверен, поскольку он постоянно модифицируется и дополняется. Что же касается информации на русском языке, то она практически полностью отсутствует. В данную статью автор старался включить как можно больше ссылок на информационные ресурсы Интернета по теме обнаружения вторжений (список этих ресурсов приведен в конце статьи, а в тексте ссылки на него обозначены цифрами).

Обнаружение вторжений остается областью активных исследований уже в течение двух десятилетий. Считается, что начало этому направлению было положено в 1980 г. статьей Джеймса Андерсона "Мониторинг угроз компьютерной безопасности"2. Несколько позже, в 1987 г. это направление было развито публикацией статьи "О модели обнаружения вторжения" Дороти Деннинг3. Она обеспечила методологический подход, вдохновивший многих исследователей и заложивший основу для создания коммерческих продуктов в области обнаружения вторжений.

Экспериментальные системы

Исследования по обнаружению вторжений, выполненные в начале 1990-х гг., породили и целый ряд новых инструментальных средств4. Однако большинство из них разрабатывались студентами только с целью исследовать базовые концепции теоретического подхода, а после того, как авторы заканчивали обучение, поддержка и развитие прекращались. Вместе с тем эти разработки серьезно повлияли на выбор направления последующих исследований. Ранние разработки систем обнаружения вторжений в основном базировались на централизованной архитектуре, но в силу взрывного роста количества телекоммуникационных сетей разного назначения более поздние усилия сконцентрировались на системах с распределенной сетевой архитектурой.

Два из описанных здесь продуктов, EMERALD и NetStat, созданы на основе сходных подходов. Третья система, Bro, позволяет изучать проблемы проникновения в сеть с использованием попыток перегрузки или дезинформации системы обнаружения вторжения.

EMERALD

EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances), самый современный продукт в своем классе, разработан компанией SRI (http://www.sri.com). Это семейство инструментальных средств создавалось для исследования проблем, связанных с обнаружением аномалий (отклонений пользователя от нормального поведения) и определения сигнатур (характерных "образов" вторжения).

Первые работы SRI в этой области начались в 1983 г., когда был разработан статистический алгоритм, способный определить различия в поведении пользователя5. Немного позже подсистема анализа сигнатур вторжения была дополнена экспертной системой P-BEST6. Результаты исследований были реализованы в одной из ранних версий системы IDES7. Эта система способна контролировать в реальном масштабе времени действия пользователей, подключенных к нескольким серверам. В 1992-1994 гг. был создан уже коммерческий продукт NIDES8, также предназначенный для защиты отдельных серверов (host-based) и использующий экспертную систему P-BEST. Далее разработчики добавили к системе компонент Resolver, который объединял результаты статистического анализа и анализа сигнатур. Интерфейс пользователя в NIDES также был существенно улучшен.

Затем была создана система EMERALD. В ней были учтены результаты экспериментов с IDES/NIDES, но эта система предназначалась уже для обеспечения безопасности сетевых сегментов (network-based). Главная цель ее разработки - обнаружение вторжений в больших гетерогенных сетях. Такие среды труднее контролировать и анализировать из-за распределенного характера поступающей информации.

EMERALD объединяет пользователей в совокупность независимо от управляемых доменов. В каждом домене обеспечивается необходимый набор сетевых сервисов и реализуется индивидуальная политика безопасности, причем отдельные домены могут иметь доверительные отношения с другими доменами. В этом случае использование одного централизованного устройства для хранения и обработки поступающей информации ослабляет безопасности системы в целом. Именно для таких случаев предназначена система EMERALD, основанная на принципе "разделяй и властвуй".

Иерархическая модель обеспечивает три уровня анализа, который выполняют мониторы сервисов, доменов и окружения. Эти блоки имеют общую базовую архитектуру, включающую набор анализаторов для обнаружения аномалий, анализа сигнатур и resolver-компонент. Последний объединяет результаты, полученные от анализаторов двух предыдущих уровней. Каждый модуль содержит библиотеку объектов ресурсов, что позволяет настраивать его компоненты под конкретное приложение. Сами ресурсы могут многократно использоваться в нескольких мониторах EMERALD. На нижнем уровне мониторы сервисов работают для отдельных компонентов и сетевых услуг в пределах одного домена, анализируют данные (файлы регистрации действий, событий и т.д.), выполняют анализ локальных сигнатур и статистические исследования. Мониторы домена обрабатывают информацию, поступившую от мониторов сервисов, более детально исследуя ситуацию в масштабах всего домена, а мониторы окружения выполняют анализ междоменной области. Мониторы сервисов могут связываться друг с другом с помощью виртуальных каналов связи.

Опыт использования NIDES продемонстрировал эффективность статистических методов при работе с пользователями и с прикладными программами. Контроль прикладных программ (например, анонимного ftp-сервера) был особенно эффективен, так как для анализа требовалось меньшее количество прикладных профилей. Именно поэтому в EMERALD была реализована методика, в которой управление профилем отделено от анализа.

Анализаторы сигнатур сервисного уровня контролируют компоненты домена с целью обнаружения заранее описанных последовательностей действий, приводящих к нештатным ситуациям. Аналогичные анализаторы в мониторах более высокого уровня фильтруют эту информацию и на ее основе дают оценку, имеет ли место нападение. Решающий компонент (resolver), помимо комплексного учета результатов анализа, обеспечивает возможность встраивать в EMERALD анализаторы сторонних фирм.

Искушенный злоумышленник будет стремиться рассеивать следы своего присутствия по всей сети, сводя к минимуму возможность его обнаружения. В таких ситуациях главным свойством системы обнаружения вторжений становится способность собирать, обобщать и анализировать информацию, исходящую от разнообразных источников, в реальном времени.

В числе достоинств можно назвать гибкость и масштабируемость, способность расширять функциональные возможности с помощью внешних инструментальных средств EMERALD. Однако управление и поддержка инфраструктуры системы и ее информационной основы в виде базы знаний для экспертной системы требуют значительных усилий и затрат.

NetStat

NetStat - последний продукт из серии инструментальных средств STAT, созданных в Калифорнийском университете (Санта-Барбара). Исследования по проекту STAT сосредоточены на обнаружении вторжений в реальном масштабе времени. Для этого анализируются состояние систем и процессы перехода в них9. Основная идея заключается в том, что некоторые последовательности действий, однозначно указывающие на присутствие нарушителя, переводят систему из начального (санкционированного) состояния в несанкционированное.

Большинство централизованных систем обнаружения вторжений определяют факт вторжения на основе "контрольного следа". Модуль "Аудит следа анализатора" в STAT фильтрует и обобщает эту информацию (след). Результаты, преобразованные в удобный для анализа вид, называются сигнатурами и представляют собой важнейший элемент в подходе STAT. Последовательность действий, описанная сигнатурой, переводит систему через ряд состояний к несанкционированному виду. Вторжение определяется по переходам между состояниями, которые зафиксированы в наборах продукционных правил.

Первоначально метод был реализован в UNIX-системе USTAT9, предназначенной для защиты отдельных серверов. Основные блоки USTAT - препроцессор, база знаний (база фактов и база правил), блок вывода и решатель. Препроцессор фильтрует и упорядочивает данные в форму, которая исполняет роль независимого контрольного файла системы. В базе правил хранятся правила перехода между состояниями, которые соответствуют предопределенным последовательностям вторжения, а в базе фактов - описание динамически изменяющихся состояний системы относительно возможных текущих вторжений.

После обработки новой информации о текущем состоянии системы блок вывода идентифицирует любые существенные изменения в состоянии и обновляет базу фактов. Блок вывода также уведомляет решатель о возможных нарушениях защиты. Решатель, в свою очередь, уведомляет администратора о нештатной ситуации или сам инициализирует необходимые действия.

Одно из преимуществ данного подхода состоит в том, что нападение может быть выявлено еще до того, как система окажется скомпрометированной, и соответственно противодействие начнется раньше.

USTAT использует таблицу блока вывода для отслеживания каждого возможного вторжения, что позволяет идентифицировать скоординированное нападение из нескольких источников (не через последовательность действий нападающего, а через последовательность переходов между состояниями системы). Таким образом, если два нападения приводят систему в одно и то же состояние, каждое из их последующих действий может быть отражено как ветвление в предыдущей последовательности состояний. Это разветвление получается за счет дублирования строк в таблице блока вывода, каждая строка которой представляет различные последовательности нападения.

NetStat10 - продукт дальнейшего развития USTAT, ориентированный на поддержку обнаружения вторжений в сети серверов с единой распределенной файловой системой. В настоящее время в архитектуру NetStat11 вносится ряд существенных изменений, что приведет к переориентации с обеспечения безопасности отдельных серверов на обеспечение безопасности сетевых сегментов. Кроме того, NetStat включает набор зондов, которые отвечают за обнаружение и оценку вторжений в тех подсетях, в которых они функционируют.

Bro

Bro - исследовательский инструмент, разрабатываемый Ливерморской национальной лабораторией (Lawrence Livermore National Laboratory, http://www.llnl.gov) министерства энергетики США. Он предназначен для изучения проблем отказоустойчивости систем обнаружения вторжения. Рассмотрим основные особенности комплекса Bro12.

Контроль перегрузки - способность обрабатывать большие объемы передачи данных без снижения пропускной способности. Нарушитель может попытаться перегрузить сеть посторонними пакетами для вывода системы обнаружения вторжения из строя. В этом случае СОВ будет вынуждена пропускать некоторые пакеты, среди которых могут оказаться и созданные злоумышленниками для проникновения в сеть.

Уведомление в реальном масштабе времени. Оно необходимо для своевременного информирования и подготовки ответных действий.

Механизм разделения. Разделение фильтрации данных, идентификации событий и политики реагирования на них упрощает эксплуатацию и обслуживание системы.

Масштабируемость. Для выявления новых уязвимых мест, а также защиты от известных типов нападений требуется возможность быстро добавлять новые сценарии нападения во внутреннюю библиотеку сценариев.

Способность противостоять нападениям. Сложные сценарии нападения непременно включают элементы воздействия на систему обнаружения вторжений.

Система обладает иерархической архитектурой с тремя уровнями функций. На нижнем уровне Bro использует утилиту libpcap для извлечения из сети пакетов с данными. Этот блок обеспечивает независимость основных блоков анализа от технических особенностей телекоммуникационной сети, в которой развернута система, а также позволяет отфильтровать существенную долю пакетов на нижнем уровне. Благодаря этому libpcap может перехватывать все пакеты, связанные с прикладными протоколами (ftp, telnet и т.д.).

Второй уровень (события) выполняет проверку целостности пакета по заголовку. При обнаружении ошибок генерируется извещение о возможной проблеме. После этого запускается процедура проверки и определяется, было ли зарегистрировано полное содержание пакета.

События, сгенерированные в результате этого процесса, размещаются в очереди, которая опрашивается интерпретатором сценария политики. Сам сценарий находится на третьем уровне иерархии. Интерпретатор сценария политики написан на внутреннем языке Bro, который поддерживает строгую типизацию. Интерпретатор связывает значения случая с кодом для обработки этого случая и затем интерпретирует код.

Выполнение кода может закончиться генерацией дальнейших событий, регистрацией уведомления в реальном масштабе времени или регистрацией данных. Чтобы добавить новую функцию к возможностям Bro, надо подготовить описание образа, идентифицирующего событие, и написать соответствующие обработчики событий. В настоящий момент Bro контролирует четыре прикладных сервиса: finger, ftp, portmapper и telnet.

Bro работает под управлением нескольких вариантов ОС UNIX и используется как часть системы защиты Национальной лаборатории. С 1998 г. в результате функционирования Bro в международные организации CIAC и CERT/CC было передано 85 сообщений об инцидентах. Разработчики особо отмечают производительность системы - она не испытывает проблем потери пакетов в сети FDDI при пиковой производительности до 200 пакетов в секунду.

Коммерческие продукты

Коммерческие программы, о которых пойдет речь, - это небольшая часть всего множества продуктов, присутствующих на рынке1, 13-14. Сравнительную оценку коммерческих продуктов можно найти в ряде отчетов15-19. Описанные в статье системы можно рассматривать как классические образцы.

В отличие от рассмотренных выше экспериментальных систем, для коммерческих продуктов достаточно трудно найти объективное описание достоинств и недостатков, особенно что касается тестовых испытаний. В настоящее время ведется разработка единого стандарта на тестирование систем обнаружения вторжений20.

CMDS

Система CMDS21,22 была разработана компанией Science Applications International (http://www.saic.com), однако теперь ее поддерживает и продает ODS Networks (http://www.ods.com)23. Этот продукт предназначен для обеспечения безопасности серверов и мониторинга иерархической сети машин. Поддерживаются статистический и сигнатурный методы обнаружения, можно генерировать отчеты о прогнозах развития вторжения. Для анализа аномалий CMDS использует статистический анализ. Идентифицируются образы поведения, отклоняющиеся от нормальной практики пользователя. В статистике учитываются показатели времени входа/выхода из системы, запуска прикладных программ, количества открытых, измененных или удаленных файлов, использования прав администратора, наиболее часто используемых каталогов.

Профили пользовательского поведения обновляются каждый час и используются для выявления сомнительного поведения в каждой из трех категорий (вход в сеть, выполнение программ, ознакомление с информацией). Вычисляются отклонения от ожидаемого (в течение часа) поведения, и если они выше порогового значения, то генерируется предупреждение.

Распознавание сигнатур поддерживается экспертной системой CLIPS24. Факты, полученные из описания событий, имена использованных объектов и другие данные используются для представления правил CLIPS.

CMDS определяет сигнатуры нападения на UNIX-системы, связанные, например, с неудавшейся попыткой установления суперпользовательских полномочий, неудачей входа в систему, активностью отсутствующих пользователей и критической модификацией файлов. Каждое из подобных событий имеет эквивалентный набор сигнатур и для операционной системы Microsoft Windows NT.

NetProwler

NetProwler25-27 выпускается фирмой Axent (http://www.axent.com), с конца 2000 г. входящей в состав корпорации Symantec (http://www.symantec.com). Компонент Intruder Alert обнаруживает нападения на серверы, а NetProwler (ранее известный как ID-Track от компании Internet Tools) поддерживает обнаружение вторжений в сегментах сетей. Основу NetProwler составляет процесс динамического анализа полной сигнатуры. Этот метод обеспечивает интеграцию небольших порций информации, извлекаемой из сети, в более сложные события, что позволяет проверять события на совпадение с предопределенными сигнатурами в реальном масштабе времени и формировать новые сигнатуры. NetProwler имеет библиотеку сигнатур для различных операционных систем и типов нападений, благодаря чему пользователи могут сами строить профили сигнатур, используя Мастер определения сигнатуры. Тем самым пользователи могут описывать нападения, состоящие из отдельных, повторяющихся или целого ряда событий. Сигнатура нападения включает четыре элемента: примитив поиска (образец строки), примитив значения (значение или диапазон значений), сохраненное ключевое слово (имя протокола) и операционная система (или приложение, связанное с нападением).

NetProwler также поддерживает возможность автоматизированного ответа. При этом происходят регистрация и завершение сеанса, отправление по электронной почте информации о событии на пульт администратора, а также информирование другого персонала различными средствами.

NetRanger

NetRanger28-31 от Cisco Systems (http://www.cisco.systems) - система обнаружения вторжения в сетевых сегментах. С ноября 1999 г. продукт носит название Cisco Secure Intrusion Detection System. Система NetRanger работает в реальном времени и масштабируема к уровню информационной системы. Она состоит из двух компонентов - датчиков Sensor и директоров Director; датчики реализованы аппаратно, а директор - программно. Датчики размещаются в стратегических точках сети и контролируют проходящий трафик. Они могут анализировать заголовки и содержание каждого пакета, а также сопоставлять выбранные пакеты с образцом. Для определения типа нападения они используют экспертную систему на основе продукционных правил.

В NetRanger есть три категории описания нападений: основные, именованные (порождают множество других событий) и экстраординарные (имеющие очень сложную сигнатуру). Для обеспечения совместимости с большинством существующих сетевых стандартов возможна самостоятельная настройка сигнатур.

При фиксации факта нападения датчик инициирует ряд действий - включение сигнализации, регистрацию события, уничтожение сеанса или полный разрыв соединения. Директор обеспечивает централизованное управление системой NetRanger. Это включает удаленную инсталляцию новых сигнатур в датчики, сбор и анализ данных защиты.

Состояние объектов в системе (машины, прикладные программы, процессы и т.д.) отражается на консоли администратора в виде текста или пиктограмм, при этом состояние каждого устройства представлено определенным цветом: нормальному состоянию соответствует зеленый, пограничному - желтый, а критическому - красный цвет. Датчиками можно управлять с консоли директора, а информацию об атаках можно экспортировать в реляционную базу данных для последующего анализа.

Centrax

До недавнего времени система защиты от несанкционированного доступа фирмы Centrax (http://www.centraxcorp.com) поставлялась под названием Entrax. Однако в марте 1999 г. Centrax была куплена компанией Cybersafe (http://www.cybersafe.com), которая внесла в Entrax существенные технические изменения и переименовала продукт в Centrax32-34. Первоначально система Entrax была ориентирована на обеспечение безопасности отдельных серверов. Centrax, кроме того, контролирует события в сегменте сети. Система состоит из компонентов двух видов - пультов управления и целевых агентов, которые аналогичны директорам и датчикам в NetRanger. Целевые агенты, в свою очередь, также бывают двух видов: для сбора информации на основе централизованной или сетевой (распределенной) архитектуры. Целевые агенты постоянно находятся на машинах, которые они контролируют (индивидуальные ПК, файл-серверы или серверы печати), передавая информацию для обработки на пульт управления. Для более эффективной работы сетевой целевой агент реализован на автономной машине. Агенты первого типа поддерживают более 170 сигнатур (для вирусов, троянских программ, просмотра объекта и изменения пароля), а сетевые - только 40.

Пульт управления состоит из нескольких блоков. Целевой администратор загружает политику сбора и аудита для целевых агентов, администратор оценки исследует серверы на предмет выявления уязвимости защиты, а аварийный администратор отображает информацию об обнаруженных угрозах и может реагировать на них, разрывая сеанс связи. Пульт управления работает с ОС Windows NT, в то время как целевые агенты - с Windows NT или Solaris.

RealSecure

RealSecure19, 35-37 от компании Internet Security Systems (http://www.iss.net) - еще один продукт для обнаружения вторжений в реальном времени. Он также имеет трехуровневую архитектуру и состоит из модулей распознавания для сегментов сети и отдельных серверов и модуля администратора. Модуль распознавания для сегментов функционирует на специализированных рабочих станциях; он отвечает за обнаружение вторжения и реакцию на него. Каждый такой модуль контролирует трафик в определенном сетевом сегменте на наличие сигнатур нападения. Обнаружив неправомочное действие, сетевой модуль может отреагировать на него разрывом соединения, посылкой сообщения по электронной почте или на пейджер, или другими заданными пользователем действиями. Он также передает сигнал тревоги модулю администратора или пульту управления.

Модуль распознавания для серверов - это дополнение к сетевому модулю. Он анализирует файлы регистрации с целью выявить нападение; определяет, было нападение успешным или нет; предоставляет некоторую другую информацию, недоступную в реальном масштабе времени. Каждый такой модуль установлен на рабочей станции или сервере и полностью исследует файлы регистрации этой системы по контрольным образцам нарушений защиты. Модули этого типа предотвращают дальнейшие вторжения, завершая пользовательские процессы и приостанавливая работу учетных записей пользователя. Модуль может посылать сигнал тревоги, регистрационные события и выполнять другие определяемые пользователем действия. Все модули распознавания объединяются и конфигурируются административным модулем с единственной консоли.

Общедоступные системы

Кроме коммерческих и исследовательских систем существуют свободно распространяемые общедоступные программы для обнаружения вторжения. Рассмотрим в качестве примера две программы - Shadow и Network Flight Recorder, которые поддерживаются объединенными усилиями Военно-морского Центра сухопутных операций США, компании Network Flight Recorder, Агентства национальной безопасности США и Института SANS38, а также утилиту Tripwire. Уровень их поддержки гораздо ниже, чем у коммерческих систем, однако многим пользователям они помогут понять и оценить принципы работы СОВ, их возможности и ограничения. Такие системы интересны еще и тем, что их исходный код доступен.

Shadow

Система Shadow39, 40 содержит так называемые станции-датчики и анализаторы. Датчики обычно располагаются в важных точках сети - таких, как внешняя сторона межсетевых экранов, в то время как анализаторы находятся внутри защищенного сегмента сети. Датчики извлекают заголовки пакетов и сохраняют их в специальном файле. Анализатор ежечасно считывает эту информация, фильтрует ее и генерирует следующий журнал. Логика работы Shadow такова, что, если события уже идентифицированы и для них существует стратегия реагирования, предупредительные сообщения не генерируются. Этот принцип исходит из опыта работы с другими СОВ, в которых было много ложных предупреждений, напрасно отвлекавших пользователей.

Датчики используют для извлечения пакетов утилиту libpcap, разработанную исследовательской группой Lawrence Berkeley Laboratories Network Research Group41. Станция не делает предобработки данных, не вынуждая злоумышленника проверять свои пакеты. Основной анализ происходит в модуле tcpdump, который содержит фильтры пакетов. Фильтры могут быть простыми или состоящими из нескольких простых фильтров. Простой фильтр, например tcp_dest_port_23, выбирает пакеты протокола TCP с портом адресата 23 (telnet). Некоторые типы вторжений достаточно трудно обнаружить фильтрами tcpdump (в частности, те, которые применяют редкое зондирование сети). Для них Shadow использует инструмент на основе языка perl - модуль one_day_pat.pl.

Shadow функционирует на многих UNIX-системах, включая FreeBSD и Linux, и использует Web-интерфейс для отображения информации.

Network Flight Recorder

Network Flight Recorder (NFR) одноименной компании вначале существовал как в коммерческой, так и в общедоступной версии42-44. Затем политика его распространения изменилась: NFR закрыл доступ к исходному тексту свободно распространяемой версии, поскольку она была менее эффективной, чем коммерческий продукт, а пользователи могли принять его за коммерческую версию. Вместе с тем NFR по-прежнему планирует оставить коммерческий продукт доступным для изучения, но скорее всего уже не в исходных кодах.

Так же, как в Shadow, в NFR используется несколько измененная версия утилиты libpcap для извлечения случайных пакетов из сети (кроме заголовков, она может извлекать и тело пакета). База данных и модуль анализа обычно функционируют на одной платформе вне межсетевых экранов. Копии NFR можно размещать и во внутренних стратегических точках корпоративной сети, чтобы обнаружить потенциальные угрозы, исходящие от собственных пользователей компании.

NFR содержит собственный язык программирования (N), предназначенный для анализа пакетов. Фильтры, написанные на N, компилируются в байт-код и интерпретируются модулем выполнения.

Модули генерации предупреждений и отчетов используются после операций фильтрации и формирования выходных форм. Модуль сигнализации может посылать информацию о событии по электронной почте или факсу.

Tripwire

Tripwire - инструмент оценки целостности файла, первоначально разработанный в Университете Пурду (шт. Индиана, США). Подобно NFR, эта программа входит и в общедоступные, и в коммерческие системы. Исходный код общедоступной версии для ОС UNIX распространяется свободно. Tripwire отличается от большинства других инструментальных СОВ тем, что обнаруживает изменения в уже проверенной файловой системе.

Tripwire вычисляет контрольные суммы или криптографические подписи файлов. Если такие подписи были вычислены в безопасных условиях и гарантированно сохранены (например, хранились автономно вне сети на неперезаписываемом носителе), их можно использовать для определения возможных изменений. Tripwire можно сконфигурировать таким образом, чтобы она сообщала обо всех изменениях в проверенной файловой системе администратору. Она может выполнять проверки целостности в определенные моменты времени и сообщать администраторам о результатах, на основании которых они могут восстановить файловую систему. В отличие от большинства СОВ, Tripwire допускает восстановление наряду с обнаружением вторжения.

Логика работы Tripwire не зависит от типа события, однако эта программа не обнаруживает вторжений, которые не изменяют проверенные файлы.

Последняя коммерческая версия Tripwire - 2.X для платформ UNIX и Windows NT 4.0. Версия 2.0 для Red Hat Linux 5.1 и 5.2 распространяется бесплатно. Версия 1.3 доступна в исходных кодах и представляет состояние программы на 1992 г.

Согласно заявлению разработчиков, все коммерческие версии, начиная с 2.0, включают возможность скрытой криптографической подписи, усовершенствованный язык политики и средства передачи сообщений администратору системы по электронной почте.

Программы для государственных учреждений США

Отличия от коммерческих систем

СОВ прежде всего должны определять подозрительные действия в сети, выдавать предупреждения и, если возможно, предлагать варианты остановки таких действий. На первый взгляд, требования к коммерческим и правительственным системам должны быть одинаковы; тем не менее между ними существуют важные различия.

В феврале 1999 г. министерство энергетики США, Совет национальной безопасности и Управление политики в области науки и техники Администрации США организовали проведение симпозиума под названием "Обнаружение враждебного программного кода, вторжений и аномального поведения". На нем присутствовали представители коммерческого и государственного секторов. В принятом на симпозиуме документе были определены функции, которых не должно быть в коммерческих продуктах. Дело в том, что компании заинтересованы в защите конфиденциальной информации только для целей ведения бизнеса. Правительство также заинтересовано в защите собственных сетей, но главная задача для него - не извлечение прибыли, а защита национальной безопасности. Это очень важный момент. Правительственным организациям прежде всего необходимо обеспечить обнаружение вторжений в государственные информационные сети со стороны иностранных спецслужб. Ресурсы и возможности противника, поддержанного иностранным государством, могут превысить возможности лучших коммерческих СОВ.

Существует и другое важное различие. Компаниям достаточно получить общее описание подозрительного действия, чтобы как можно скорее предотвратить его влияние; правительственным же организациям важно также выяснить мотивы, которыми руководствовался нарушитель. В некоторых ситуациях правительство может избирательно перехватывать информацию с целью разведки или исполнения постановления суда. Коммерческие программные продукты ни сегодня, ни в ближайшее время не будут интегрироваться со специализированными государственными комплексами перехвата информации (такими, как Carnivore).

На симпозиуме было провозглашено, что производители коммерческих продуктов не будут разрабатывать методы объективной оценки программ обнаружения вторжения. Поэтому не существует общепринятых методик оценки программ этого класса. Такая установка в принципе устраивает бизнесменов, но правительственные организации, основная задача которых - обеспечение защиты национальной безопасности, должны знать, что делает СОВ и как она работает.

Другая проблема состоит в том, что коммерческие СОВ свободно продаются. Если использовать их для государственных нужд, то потенциальный нарушитель, узнав, какие системы используются в государственных организациях, мог бы купить такой же продукт и, досконально изучив его, обнаружить уязвимые места. Для предотвращения подобных ситуаций госструктуры должны использовать специально разработанные некоммерческие продукты. Сегодня в США разработаны специальные правительственные требования к программам обнаружения вторжений, которым существующие коммерческие СОВ не удовлетворяют.

CIDDS

CIDDS (Common Intrusion Detection Director System, также известная как CID Director) - специализированная аппаратно-программная операционная среда, разрабатываемая в рамках проекта создания средств обнаружения вторжений (IDT) Центра информационной войны Военно-воздушных сил США (Air Force Information Warfare Center, AFIWC). Центр AFIWC - структура, ответственная за разработку СОВ для сетей ВВС США. В ее состав входит Служба компьютерной безопасности ВВС (AFCERT), которая отвечает за разработку ежедневных операций по администрированию и обеспечению защиты информационных сетей.

CIDDS в реальном времени получает данные о подключениях и работе от автоматизированного измерителя инцидентов защиты (Automated Security Incident Measurement, ASIM), системы датчиков и других инструментальных СОВ. Предусмотрена возможность анализа собранных данных как в автоматическом режиме, так и с привлечением экспертов-аналитиков.

Программное обеспечение CID Director состоит из программ на C, C++ и Java, а также сценариев и SQL-запросов базы данных Oracle. Director хранит информацию в локальной БД Oracle и обеспечивает пользователю возможность анализировать индикаторы потенциально опасных действий, встречающихся в сетях ВВС США. Допускается а) обнаружение потенциально опасных, злонамеренных или неправомочных действий, которые происходят в течение долгого времени; б) обнаружение действий, которые имеют целью определенные компьютеры или типы сетей; в) обнаружение действий, которые проходят транзитом или задействуют несколько сетей; г) анализ тенденций и глобальных целей. В CIDDS также реализована возможность воспроизводить данные подключений в реальном масштабе времени для анализа последовательностей нажатия клавиш.

CIDDS обеспечивает для системы ASIM централизованное хранение и анализ данных. Director получает данные от различных датчиков, которые контролируют состояние всех сетей ВВС. Эти сети могут быть гомогенными или гетерогенными и обслуживать различные задачи ВВС. CIDDS служит центральной базой данных и точкой анализа для всех перечисленных сетей.

Планы будущего развития предусматривают установку CIDDS на различных уровнях во всех структурах ВВС. Все системы будут отправлять основную информацию в единую базу данных AFCERT.

Каждый компьютер CID Director связан с системой датчиков ASIM. ПО датчика состоит из модулей на C и Java, сценариев для оболочки UNIX (Bourne) и файлов конфигурации, которые вместе фильтруют пакеты и анализируют состояние сети. По существу это утилита для перехвата и анализа разнородных пакетов данных. Его ПО ведет мониторинг трафика протоколов IP, TCP, UDP и ICMP для идентификации подозрительных действий. Возможны два режима работы датчика - пакетный и реального времени.

ASIM в реальном масштабе времени использует для сбора трафика тот же самый программный модуль, что и в пакетном режиме. Однако в реальном времени идентифицируются события, которые могут указывать на попытки несанкционированного доступа, и в момент их появления немедленно порождается аварийный процесс на сервере датчика и посылается предупреждение администратору. Предупреждения в реальном масштабе времени обычно содержат только основную информацию. Дополнительные данные о действиях злоумышленника можно получить из последующей расшифровки стенограммы действий.

ASIM-датчик пакетного режима собирает сетевой трафик за некоторый период времени с настраиваемой продолжительностью, обычно 24 ч. После обобщения данные анализируются, и, если требуется, их можно просмотреть с локальной консоли или передать в центральный офис AFIWC/AFCERT. Каждые сутки собранные данные шифруются и передаются в AFIWC/AFCERT для анализа специалистом-аналитиком, который определяет, являются ли идентифицированные действия злонамеренными, неправомочными или нормальными уполномоченными.

Заключение

В настоящее время в области СОВ идет переход к созданию систем, ориентированных на защиту сетевых сегментов. Для американского рынка характерна следующая ситуация: коммерческие системы значительно отличаются от программных продуктов, которые рекомендованы для использования в государственных учреждениях. Отметим, что это общая тенденция в сфере ИТ, - для обеспечения безопасности государственных учреждений должны использоваться только специально созданные системы, недоступные на рынке. Последние имеют характерное отличие: они ориентированы не на автоматические алгоритмы распознавания признаков вторжений, а на экспертов-аналитиков, ежедневно оценивающих передаваемые данные.

Отечественным разработчикам следует обратить внимание на свободно распространяемые системы, доступные в исходных кодах. В условиях, когда отечественные разработки в этой области практически отсутствуют, наличие исходных текстов программ позволит изучить свойства продуктов этого класса и приступить к собственным разработкам.

Соответствующий английский термин - Intrusion Detection System (IDS) . Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий , неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей)

Обычно архитектура СОВ включает:

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Виды систем обнаружения вторжений [ | ]

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP , была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP . Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.

См. также [ | ]

Примечания [ | ]

1. Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.
2. Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119-131
3. Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110-121.
4. Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International

Обнаружение вторжений - это еще одна задача, выполняемая сотрудниками, ответственными за безопасность информации в орга­низации, при обеспечении защиты от атак. Обнаружение вторжений - это активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему. В идеальном случае такая система лишь выдаст сигнал тревоги при попытке проникновения. Обнаружение вторжений помогает при идентификации активных уг­роз посредством оповещений и предупреждений о том, что злоумыш­ленник осуществляет сбор информации, необходимой для проведения атаки. В действительности это не всегда так.

Системы обнаружения вторжений (IDS) появились давно. Первыми из них можно считать ночной дозор и сторожевых собак. Дозорные и сторожевые собаки выполняли две задачи: они определяли иницииро­ванные кем-то подозрительные действия и пресекали дальнейшее про­никновение злоумышленника. Как правило, грабители избегали встречи с собаками и, в большинстве случае, старались обходить стороной зда­ния, охраняемые собаками. То же самое можно сказать и про ночной до­зор. Грабители не хотели быть замеченными вооруженными дозорными или охранниками, которые могли вызвать полицию.

Сигнализация в зданиях и в автомобилях также является разно­видностью системы обнаружения вторжений. Если система оповеще­ния обнаруживает событие, которое должно быть замечено (напри­мер, взлом окна или открытие двери), то выдается сигнал тревоги с зажиганием ламп, включением звуковых сигналов, либо сигнал тре­воги передается на пульт полицейского участка. Функция пресечения проникновения выполняется посредством предупреждающей наклей­ки на окне или знака, установленного перед домом. В автомобилях, как правило, при включенной сигнализации горит красная лампочка, предупреждающая об активном состоянии системы сигнализации.

Все эти примеры основываются на одном и том же принципе: об­наружение любых попыток проникновения в защищенный периметр объекта (офис, здание, автомобиль и т. д.). В случае с автомобилем или зданием периметр защиты определяется относительно легко. Стены строения, ограждение вокруг частной собственности, двери и окна автомобиля четко определяют защищаемый периметр. Еще од­ной характеристикой, общей для всех этих случаев, является четкий критерий того, что именно является попыткой проникновения, и что именно образует защищаемый периметр.

Если перенести концепцию системы сигнализации в компьютер­ный мир, то получится базовая концепция системы обнаружения вторжений. Необходимо определить, чем в действительности являет­ся периметр защигы компьютерной системы или сети. Очевидно, что периметр защиты в данном случае - это не стена и не ограждение.

Периметр защиты сети представляет собой виртуальный пери­метр, внутри которого находятся компьютерные системы. Этот пери­метр может определяться межсетевыми экранами, точками разделения соединений или настольными компьютерами с модемами. Данный пе­риметр может быть расширен для содержания домашних компьютеров сотрудников, которым разрешено соединяться друг с другом, или парт­неров по бизнесу, которым разрешено подключаться к сети. С появле­нием в деловом взаимодействии беспроводных сетей периметр защиты организации расширяется до размера беспроводной сети.

Сигнализация, оповещающая о проникновении грабителя, предна­значена для обнаружения любых попыток входа в защищаемую об­ласть, когда эта область не используется.

Система обнаружения вторжений IDS предназначена для разгра­ничения авторизованного входа и несанкционированного проникно­вения, что реализуется гораздо сложнее. Здесь можно в качестве при­мера привести ювелирный магазин с сигнализацией против грабите­лей. Если кто-либо, даже владелец магазина, откроет дверь, то срабо­тает сигнализация. После этого владелец должен уведомить компа­нию, обслуживающую сигнализацию, о том, что это он открыл мага­зин, и что все в порядке. Систему IDS, напротив, можно сравнить с охранником, следящим за всем, что происходит в магазине, и выяв­ляющим несанкционированные действия (как, например, пронос ог­
нестрельного оружия). К сожалению, в виртуальном мире «огне­стрельное оружие» очень часто остается незаметным.

Вторым вопросом, который необходимо принимать в расчет, яв­ляется определение того, какие события являются нарушением пери­метра безопасности. Является ли нарушением попытка определить работающие компьютеры? Что делать в случае проведения известной атаки на систему или сеть? По мере того как задаются эти вопросы, становится понятно, что найти ответы на них не просто. Более того, они зависят от других событий и от состояния системы-цели.

Существуют два основных типа IDS: узловые (HIDS) и сетевые (NIDS).

Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.

Узловые IDS (H1DS) представляют собой систему датчиков, за­гружаемых на различные сервера организации и управляемых цен­тральным диспетчером. Датчики отслеживают различные типы собы­тий и предпринимают определенные действия на сервере либо пере­дают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет опре-
делить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.

Вероятно возникновение разногласий, связанных с управлением и настройкой, между администраторами безопасности (управляющими работой IDS) и системными администраторами. Так как процесс дол­жен постоянно находиться в активном состоянии, необходима хоро­шая координация в их работе.

Существует пять основных типов датчиков HIDS: анализаторы журналов; датчики признаков; анализаторы системных вызовов; анализаторы поведения приложений; контролеры целостности файлов.

Следует заметить, что количество датчиков HIDS увеличивается, и некоторые продукты предлагают функциональные возможности, преду­сматривающие использование датчиков более чем пяти основных видов.

Анализаторы журналов. Анализатор журнала представляет со­бой именно то, что отражает само название датчика. Процесс выпол­няется на сервере и отслеживает соответствующие файлы журналов в системе. Если встречается запись журнала, соответствующая некото­рому критерию в процессе датчика HIDS, предпринимается установ­ленное действие.

Большая часть анализаторов журналов настроена на отслеживание записей журналов, которые могут означать событие, связанное с безопасностью системы. Администратор системы, как правило, мо­жет определить другие записи журнала, представляющие определен­ный интерес.

Анализаторы журналов, в частности, хорошо адаптированы для от­слеживания активности авторизованных пользователей на внутренних системах. Таким образом, если в организации уделяется внимание кон­тролю за деятельностью системных администраторов или других поль­зователей системы, можно использовать анализатор журнала для от­слеживания активности и перемещения записи об этой активности в область, недосягаемую для администратора или пользователя.

Датчики признаков. Датчики этого типа представляют собой на­боры определенных признаков событий безопасности, сопоставляе­мых с входящим трафиком или записями журнала. Различие между датчиками признаков и анализаторами журналов заключается в воз­можности анализа входящего трафика.

Анализаторы системных вызовов. Анализаторы системных вы­зовов осуществляют анализ вызовов между приложениями и опера­ционной системой для идентификации событий, связанных с безо­пасностью. Датчики HIDS данного типа размещают программную спайку между операционной системой и приложениями. Когда при­ложению требуется выполнить действие, его вызов операционной системой анализируется и сопоставляется с базой данных признаков. Эти признаки являются примерами различных типов поведения, ко­торые являют собой атакующие действия, или объектом интереса для администратора IDS.

Анализаторы поведения приложений. Анализаторы поведения приложений аналогичны анализаторам системных вызовов в том, что они применяются в виде программной спайки между приложениями и операционной системой. В анализаторах поведения датчик проверяет вызов на предмет того, разрешено ли приложению выполнять данное действие, вместо определения соответствия вызова признакам атак.

Контролеры целостности файлов. Контролеры целостности файлов отслеживают изменения в файлах. Это осуществляется по­средством использования криптографической контрольной суммы или цифровой подписи файла. Конечная цифровая подпись файла бу­дет изменена, если произойдет изменение хотя бы малой части ис­ходного файла (это могут быть атрибуты файла, такие как время и да­та создания). Алгоритмы, используемые для выполнения этого про­цесса, разрабатывались с целью максимального снижения возможно­сти для внесения изменений в файл с сохранением прежней подписи.

При изначальной конфигурации датчика каждый файл, подлежа­щий мониторингу, подвергается обработке алгоритмом для создания начальной подписи. Полученное число сохраняется в безопасном месте. Периодически для каждого файла эта подпись пересчитывает- ся и сопоставляется с оригиналом. Если подписи совпадают, это оз­начает, что файл не был изменен. Если соответствия нет, значит, в файл были внесены изменения.

Сетевые IDS. NIDS представляет собой программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в системе в неразборчивый режим работы, при кото­ром сетевой адаптер пропускает весь сетевой трафик (а не только трафик, направленный на данную систему) в программное обеспече­ние NIDS. После этого происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. Если это так, то генерируется со­ответствующее событие.

На данный момент большинство систем NIDS базируется на при­знаках атак. Это означает, что в системы встроен набор признаков атак, с которыми сопоставляется трафик в канале связи. Если происходит атака, признак которой отсутствует в системе обнаружения вторжений, система NIDS не

замечает эту атаку. NIDS-системы позволяют указы­вать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслежи­вания трафика, не соответствующего признакам атак.

Чаще всего при применении NIDS используются две сетевые кар­ты (рис. 33). Одна карта используется для мониторинга сети. Эта кар­та работает в «скрытом» режиме, поэтому она не имеет IP-адреса и, следовательно, не отвечает на входящие соединения.

У скрытой карты отсутствует стек протоколов, поэтому она не может отвечать на такие информационные пакеты, как пинг-запросы. Вторая сетевая карта используется для соединения с системой управ­ления IDS и для отправки сигналов тревоги. Эта карта присоединяет­ся к внутренней сети, невидимой для той сети, в отношении которой производится мониторинг.

В настоящее время защита, обеспечиваемая файерволом и антивирусом, уже не эффективна против сетевых атак и малварей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.

INFO

• О Mod_Security и GreenSQL-FW читай в статье «Последний рубеж», ][_12_2010.
• Как научить iptables «заглядывать» внутрь пакета, читай в статье «Огненный щит», ][_12_2010.

Технологии IDS/IPS

Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются PHPIDS , анализирующий запросы к PHP-приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL-команды (см. статью «Последний рубеж» в ][_12_2010).

Сетевые NIDS (Network Intrusion Detection System) более универсальны, что достигается благодаря технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Они контролируют не одно конкретное приложение, а весь проходящий трафик, начиная с канального уровня.

Для некоторых пакетных фильтров также реализована возможность «заглянуть внутрь» и блокировать опасность. В качестве примера можно привести проекты OpenDPI и Fwsnort . Последний представляет собой программу для преобразования базы сигнатур Snort в эквивалентные правила блокировки для iptables. Но изначально файервол заточен под другие задачи, да и технология DPI «накладна» для движка, поэтому функции по обработке дополнительных данных ограничены блокировкой или маркированием строго определенных протоколов. IDS всего лишь помечает (alert) все подозрительные действия. Чтобы заблокировать атакующий хост, администратор самостоятельно перенастраивает брандмауэр во время просмотра статистики. Естественно, ни о каком реагировании в реальном времени здесь речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, система предотвращения атак). Они основаны на IDS и могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться «в разрыв» или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Например, в разрыв устанавливается Hogwash Light BR , которая работает на втором уровне OSI. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.

В обычной жизни дверь не только запирают на замок, но и дополнительно защищают, оставляя возле нее охранника, ведь только в этом случае можно быть уверенным в безопасности. В IT в качестве такого секьюрити выступают хостовые IPS (см. «Новый оборонительный рубеж» в ][_08_2009), защищающие локальную систему от вирусов, руткитов и взлома. Их часто путают с антивирусами, имеющими модуль проактивной защиты. Но HIPS, как правило, не используют сигнатуры, а значит, не требуют постоянного обновления баз. Они контролируют гораздо больше системных параметров: процессы, целостность системных файлов и реестра, записи в журналах и многое другое.

Чтобы полностью владеть ситуацией, необходимо контролировать и сопоставлять события как на сетевом уровне, так и на уровне хоста. Для этой цели были созданы гибридные IDS, которые коллектят данные из разных источников (подобные системы часто относят к SIM - Security Information Management). Среди OpenSource-проектов интересен Prelude Hybrid IDS, собирающий данные практически со всех OpenSource IDS/IPS и понимающий формат журналов разных приложений (поддержка этой системы приостановлена несколько лет назад, но собранные пакеты еще можно найти в репозиториях Linux и *BSD).

В разнообразии предлагаемых решений может запутаться даже профи. Сегодня мы познакомимся с наиболее яркими представителями IDS/IPS-систем.

Объединенный контроль угроз

Современный интернет несет огромное количество угроз, поэтому узкоспециализированные системы уже не актуальны. Необходимо использовать комплексное многофункциональное решение, включающее все компоненты защиты: файервол, IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам-фильтр. Такие устройства получили название UTM (Unified Threat Management, объединенный контроль угроз). В качестве примеров UTM можно привести Trend Micro Deep Security , Kerio Control , Sonicwall Network Security , FortiGate Network Security Platforms and Appliances или специализированные дистрибутивы Linux, такие как Untangle Gateway, IPCop Firewall, pfSense (читай их обзор в статье «Сетевые регулировщики», ][_01_2010).

Suricata

Бета-версия этой IDS/IPS была представлена на суд общественности в январе 2010-го после трех лет разработок. Одна из главных целей проекта - создание и обкатка совершенно новых технологий обнаружения атак. За Suricata стоит объединение OISF, которое пользуется поддержкой серьезных партнеров, включая ребят из US Department of Homeland Security. Актуальным на сегодня является релиз под номером 1.1, вышедший в ноябре 2011 года. Код проекта распространяется под лицензией GPLv2, но финансовые партнеры имеют доступ к не GPL-версии движка, которую они могут использовать в своих продуктах. Для достижения максимального результата к работе привлекается сообщество, что позволяет достигнуть очень высокого темпа разработки. Например, по сравнению с предыдущей версией 1.0, объем кода в 1.1 вырос на 70%. Некоторые современные IDS с длинной историей, в том числе и Snort, не совсем эффективно используют многопроцессорные/многоядерные системы, что приводит к проблемам при обработке большого объема данных. Suricata изначально работает в многопоточном режиме. Тесты показывают, что она шестикратно превосходит Snort в скорости (на системе с 24 CPU и 128 ГБ ОЗУ). При сборке с параметром ‘—enable-cuda’ появляется возможность аппаратного ускорения на стороне GPU. Изначально поддерживается IPv6 (в Snort активируется ключом ‘—enable-ipv6’), для перехвата трафика используются стандартные интерфейсы: LibPcap, NFQueue, IPFRing, IPFW. Вообще, модульная компоновка позволяет быстро подключить нужный элемент для захвата, декодирования, анализа или обработки пакетов. Блокировка производится средствами штатного пакетного фильтра ОС (в Linux для активации режима IPS необходимо установить библиотеки netlink-queue и libnfnetlink). Движок автоматически определяет и парсит протоколы (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и SCTP), поэтому в правилах необязательно привязываться к номеру порта (как это делает Snort), достаточно лишь задать действие для нужного протокола. Ivan Ristic, автор Mod_security, создал специальную библиотеку HTP, применяемую в Suricata для анализа HTTP-трафика. Разработчики прежде всего стремятся добиться точности обнаружения и повышения скорости проверки правил.

Вывод результатов унифицирован, поэтому можно использовать стандартные утилиты для их анализа. Собственно, все бэк-энды, интерфейсы и анализаторы, написанные для Snort (Barnyard, Snortsnarf, Sguil и т. д.), без доработок работают и с Suricata. Это тоже большой плюс. Обмен по HTTP подробно журналируется в файле стандартного формата Apache.

Основу механизма детектирования в Suricata составляют правила (rules). Здесь разработчики не стали пока ничего изобретать, а позволили подключать рулсеты, созданные для других проектов: Sourcefire VRT (можно обновлять через Oinkmaster), и Emerging Threats Pro . В первых релизах поддержка была лишь частичной, и движок не распознавал и не загружал некоторые правила, но сейчас эта проблема решена. Реализован и собственный формат rules, внешне напоминающий снортовский. Правило состоит из трех компонентов: действие (pass, drop, reject или alert), заголовок (IP/порт источника и назначения) и описание (что искать). В настройках используются переменные (механизм flowint), позволяющие, например, создавать счетчики. При этом информацию из потока можно сохранять для последующего использования. Такой подход, применяемый для отслеживания попыток подбора пароля, более эффективен, чем используемый в Snort метод, который оперирует пороговым значением срабатывания. Планируется создание механизма IP Reputation (вроде SensorBase Cisco, см. статью «Потрогай Cisco» в ][_07_2011).

Резюмируя, отмечу, что Suricata - это более быстрый движок, чем Snort, полностью совместимый с ним по правилам и бэк-эндам и способный проверять большие сетевые потоки. Единственный недостаток проекта - скудная документация, хотя опытному админу ничего не стоит разобраться с настройками. В репозиториях дистрибутивов уже появились пакеты для установки, а на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec , построенный на базе Suricata.

Samhain

Выпускаемый под OpenSource-лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Он использует несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

• создание при первом запуске базы данных сигнатур важных файлов и ее сравнение в дальнейшем с «живой» системой;
• мониторинг и анализ записей в журналах;
• контроль входа/выхода в систему;
• мониторинг подключений к открытым сетевым портам;
• контроль файлов с установленным SUID и скрытых процессов.

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда процессы ядра невозможно обнаружить в памяти. Samhain также поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС, с регистрацией всех событий в одной точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию (TCP, AES, подпись) по зашифрованному каналу на сервер (yule), который сохраняет ее в БД (MySQL, PostgreSQL, Oracle). Кроме того, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов для оповещений и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и др. Управление можно осуществлять с помощью нескольких администраторов с четко установленными ролями.

Пакет доступен в репозиториях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain под Windows.

StoneGate Intrusion Prevention System

Это решение разработано финской компанией, которая занимается созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS- и 0day-атак, веб-фильтрация, поддержка зашифрованного трафика и т. д. С помощью StoneGate IPS можно заблокировать вирус, spyware, определенные приложения (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control позволяет разбить корпоративную сеть на несколько виртуальных сегментов без изменения реальной топологии и установить для каждого из них индивидуальные политики безопасности. Политики проверки трафика настраиваются при помощи шаблонов, содержащих типовые правила. Эти политики создаются в офлайн-режиме. Администратор проверяет созданные политики и загружает их на удаленные узлы IPS. Похожие события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, что существенно облегчает анализ. Несколько устройств легко можно объединить в кластер и интегрировать с другими решениями StoneSoft - StoneGate Firewall/VPN и StoneGate SSL VPN. Управление при этом обеспечивается из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль позволяет не только настраивать работу IPS и создавать новые правила и политики, но и производить мониторинг и просматривать журналы. Она написана на Java, поэтому доступны версии для Windows и Linux.

StoneGate IPS поставляется как в виде аппаратного комплекса, так и в виде образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от создателей многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

Система предотвращения атак, разработанная IBM, использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту в том числе и от 0day-угроз. Как и у всех продуктов серии IBM Security, его основой является модуль анализа протоколов - PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, исключая необходимость привлечения дополнительного устройства. Технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры до установки обновления, устраняющего критическую уязвимость. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений позволяет управлять P2P, IM, ActiveX-элементами, средствами VPN и т. д. и при необходимости блокировать их. Реализован модуль DLP, отслеживающий попытки передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается восемь типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ задает самостоятельно при помощи регулярных выражений. В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукт IBM входит специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и т. д.

Предусмотрено несколько вариантов действий при обнаружении атаки - блокировка хоста, отправка предупреждения, запись трафика атаки (в файл, совместимый с tcpdump), помещение узла в карантин, выполнение настраиваемого пользователем действия и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN. Режим High Availability гарантирует, что в случае выхода из строя одного из нескольких устройств IPS, имеющихся в сети, трафик пойдет через другое, а установленные соединения не прервутся. Все подсистемы внутри железки - RAID, блок питания, вентилятор охлаждения - дублированы. Настройка, производящаяся при помощи веб-консоли, максимально проста (курсы обучения длятся всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, который обеспечивает централизованное управление, выполняет анализ логов и создает отчеты.

McAfee Network Security Platform 7

IntruShield IPS, выпускавшийся компанией McAfee, в свое время был одним из популярных IPS-решений. Теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать зловредный трафик, инициируемый зараженными компами. В McAfee используется технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и оценивает репутацию всех проходящих уникальных файлов, IP- и URL-адресов и протоколов. Благодаря этому NSP может обнаруживать трафик ботнета, выявлять 0day-угрозы и DDoS-атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.

Не каждая IDS/IPS может работать в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP не испытывает проблем с этим, он умеет анализировать трафик между VM, а также между VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает ее в физическую среду для анализа.

Движок различает более 1100 приложений, работающих на седьмом уровне OSI. Он просматривает трафик при помощи механизма контент-анализа и предоставляет простые инструменты управления.

Кроме NIPS, McAfee выпускает и хостовую IPS - Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, контроль состояния соединений с помощью межсетевого экрана, оценка репутации для блокирования атак.

Где развернуть IDS/IPS?

Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:

• Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) - так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
• Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
• Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
• Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.

Заключение

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных Распространяемый по OpenSource-лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и, главное, абсолютно бесплатен.

Введение в системы обнаружения атак
Сообщения о проникновении в корпоративные сети и атаках на Web-сервера в последнее время появляются с ужасающей частотой. Число и сложность предлагаемых на рынке информационных технологий периодически растет. Очень часто злоумышленники преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения за защитную преграду. Обнаружить таких злоумышленников очень трудно. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего истинного адреса, осуществляют атаки распределенные во времени (в течение нескольких часов) и пространстве (одновременно с нескольких узлов) и т.д. Многие атаки осуществляются за очень короткое время (минуты и даже секунды), что также не позволяет обнаружить и предотвратить их стандартными защитными средствами.
Связано это с тем, что большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах. Согласно этим моделям субъекту (пользователю или программе) на основе заданных правил разрешается или запрещается доступ к какому-либо объекту (например, файлу). Однако действия, производимые субъектом над объектом, никак не регламентируется и таким образом невозможно, например, предотвратить копирование файла пользователем, которому доступ к данному файлу разрешен. Развитие этих моделей позволило устранить эти недостатки путем контроля конфиденциальности (модель Белла-Лападула) или целостности (модель Биба) информационных потоков. Однако возникает закономерное противоречие между удобством использования системы и уровнем обеспечиваемой ею безопасности. Приходится чем-то жертвовать. Либо удобством использования защищаемой системы, либо уровнем ее защищенности. Очень трудно придти к компромиссу и найти такую конфигурацию системы, которая совмещает в себе и достаточный уровень ее защищенности, и удобство в эксплуатации.
Кроме того, модели управления доступом не могут помочь в случае реализации атак от "посвященных", авторизованных пользователей или процессов (программ), прошедших процедуру аутентификации. Если злоумышленник подобрал или перехватил Ваш пароль (а делается это достаточно легко), то никакая система разграничения доступа не поможет предотвратить кражу или подмену информации, доступную для скомпрометированного пользователя.
Еще совсем недавно, когда корпоративные сети и Internet не были столь широко распространены как сегодня, системный администратор мог позволить себе изредка просматривать списки рассылки по вопросам безопасности (ISS X-Force, CERT Advisory, Bugtraq и т.д.) и, в случае обнаружения новой уязвимости, предотвратить ее использование злоумышленником, установив для своей операционной системы новые "заплаты" (patch"и и hotfix"ы). Однако это обновление могло быть удалено пользователем или другим администратором случайно или в процессе работы. Через неделю или месяц администратор мог вновь проверить свою систему, и вновь установить необходимую "заплату". Однако сейчас все изменилось, сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся и системы разграничения доступа, и межсетевые экраны, и системы аутентификации, сильно ограничены и во многих случаях не могут обеспечить эффективной защиты. Следовательно, необходимы динамические методы, позволяющие обнаруживать и предотвращать нарушения безопасности.
Одной из технологий, которая может быть применена для обнаружения нарушений, которые не могут быть идентифицированы при помощи моделей контроля доступа является технология обнаружения атак.
Для описания технологии обнаружения атак необходимо последовательно ответить на четыре вопроса, которые почти полностью охватывают все аспекты данной технологии.

Какой бы эффективный метод получения информации об атаках ни использовался, эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В самых первых системах обнаружения атак, разработанных в начале 80-х годов, использовались статистические методы обнаружения атак. Однако математика не стоит на месте, и сейчас к статистическому анализу добавилось множество новых методик, начиная с нечеткой логики и заканчивая использованием нейронных сетей.
Каждый из описанных ниже методов обладает целям рядом достоинств и недостатков и поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Статистический метод
В анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Основные преимущества статистического подхода - это адаптация к поведению субъекта и использование уже разработанного и зарекомендовавшего себя аппарата математической статистики. Кроме того, статистические методы универсальны, т.к. не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем.
Во-первых, "статистические" системы могут быть с течением времени "обучены" нарушителями так, чтобы атакующие действия рассматривались как нормальные. Во-вторых, "статистические" системы не чувствительны к порядку следования событий. А в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность. И, наконец, очень трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность. Кроме того, данные методы неприменимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя несанкционированные действия типичны.

Использование экспертных систем
Использование экспертных систем представляет собой второй распространенный метод, при котором информация об атаках формулируются в виде правил, которые могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. В случае выполнения любого из правил принимается решение о несанкционированной деятельности.
Основное достоинство такого подхода - практически полное отсутствие ложных тревог. Однако есть и недостатки, основной из которых невозможность отражения неизвестных атак. Даже небольшое изменение уже известной атаки может стать большим препятствием для системы обнаружения атак.

Нейронные сети
Большинство современных подходов к процессу обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистических методов. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Экспертная система состоит из набора правил, которые охватывают знания человека-"эксперта". К сожалению, экспертные системы требуют постоянного обновления для того, чтобы оставаться постоянно актуальными. В то время как экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться вручную администратором. Как минимум, это приведет к экспертной системе с недостаточными (ослабленными) возможностями. В худшем случае, отсутствие сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Любое разделение атаки либо во времени, либо среди нескольких злоумышленников, является трудным для обнаружения при помощи экспертных систем. Сетевые атаки постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Одним из путей устранения названных проблем является использование нейронных сетей. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики характеристикам, заложенным в базе данных правил, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи (т.н. обучение).
Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальномупериоду обучения, нейросеть также набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности "изучать" характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.
Корреляция (в рассматриваемой области) - это процесс интерпретации, обобщения и анализа информации из всех доступных источников о деятельности анализируемой системы в целях обнаружения атак и реагирования на них.
Если не вдаваться в подробности процесса корреляции данных, то можно выделить два аспекта, на которые следует обратить внимание при выборе системы обнаружения атак. Первый аспект - число сессий (сетевых или пользовательских), анализируемых одновременно анализ. В настоящий момент практически все системы осуществляют анализ в заданный момент времени всего одной сессии, что не позволяет, например, обнаруживать скоординированные атаки из нескольких источников.
Второй аспект - когда осуществлять анализ, в реальном режиме времени или после осуществления атаки. Казалось бы, ответ очевиден - конечно в реальном времени. Однако все не так просто. Большей точности (хотя иногда и в ущерб эффективности) распознавания можно добиться именно после осуществления атаки, когда в вашем распоряжении находится вся информация об инциденте.

Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо "пропустить" атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование. Применение той или иной реакции зависит от многих факторов, описание которых выходит за рамки данной статьи.

Уведомление
Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Поскольку такая консоль не может быть установлена у каждого сотрудника, отвечающего в организации за безопасность, а также в тех случаях, когда этих сотрудников могут интересовать не все события безопасности, необходимо применение иных механизмов уведомления. Таким механизмом является посылка сообщений по электронной почте, на пейджер, по факсу или по телефону. Последние два варианта присутствуют только в системе обнаружения атак RealSecure американской компании Internet Security Systems, Inc.
К категории "уведомление" относится также посылка управляющих последовательностей к другим системам. Например, к системам сетевого управления (HP OpenView, Tivoli TME10, CA Unicenter и т.д.) или к межсетевым экранам (CheckPoint Firewall-1, Lucent Managed Firewal l, Raptor Firewall и т.д.). В первом случае используется стандартизованный протокол SNMP, а во втором - внутренние или стандартизованные (например, SAMP) протоколы.

Сохранение
К категории "сохранение" относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать "успешные" атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.

Активное реагирование
К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т.к. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.

Требования пользователей
Необходимо заранее определить, от чего и от кого надо защищать свою вычислительную систему. Следует определить соотношение между затратами (зачастую немалыми) на приобретение и эксплуатацию системы обнаружение атак и выгодой от ее использования . Процесс выбора одной из более чем 30 существующих на рынке систем может занять не одну неделю или месяц. Но эти усилия стоят того. Правильный выбор системы обнаружения атак поможет сэкономить сотни тысяч долларов, которые могли бы быть утеряны в случае нарушения функционирования вычислительной системы.
Однако какими бы эффективными ни были механизмы, заложенные в систему обнаружения атак, она не найдет применения, если она не отвечает требованиям пользователей. Чем сложнее система обнаружения атак, тем выше ее стоимость. Однако стоимость - это не единственный основополагающий фактор при осуществлении выбора. Необходимо учитывать и применяемые механизмы получения информации об атаках, алгоритмы анализа и корреляции данных, варианты реагирования, производительность системы, ее надежность и т.д. Число таких параметров достаточно велико. В целом, все требования, которые необходимо учитывать при выборе систем обнаружения атак, можно условно разделить на несколько групп:

• Инсталляция и развертывание системы;
• Безопасность самой системы;
• Обнаружение атак;
• Реагирование на атаки;
• Конфигурация системы;
• Контроль событий;
• Управление данными системы;
• Производительность системы;
• Архитектура системы;
• Техническая поддержка системы.

Не стоит выбирать систему обнаружения атак, основываясь только на текущей ситуации. Попытайтесь заглянуть в будущее и проанализировать рост вычислительной системы, изменение предоставляемых ею услуг и т.д. Учитывая это, вы сможете эффективно вложить свои средства в систему защиты уже сейчас.
Немаловажным является вопрос внедрения системы обнаружения атак в существующую технологию обработки информации и, затем, адаптации ее к окружающим условиям. Одновременно с внедрением необходимо провести обучение персонала правилам использования системы в организации. Необходимо заметить, что система обнаружения атак не сможет обеспечить абсолютной защиты от всех атак; она поможет выявить подозрительный трафик и иные формы несанкционированного доступа. Однако наибольшей эффективности при использовании системы обнаружения атак можно достичь, еслик ней "прилагаются" специалисты, способные правильно эксплуатировать систему и понимающие, когда и как реагировать на выдаваемые ею сообщения.
Более подробно с требованиями, предъявляемыми к системам обнаружения атак можно ознакомиться в документе "Системы обнаружения атак. Стратегия выбора", разработанном в Научно-инженерном предприятии "Информзащита", получить который можно, обратившись по адресу www.infosec.ru.

Системы обнаружения атак или межсетевые экраны?
Очень часто задают вопрос: "Нужна ли мне система обнаружения атак, если у нас уже используется межсетевой экран?" Несомненно нужна. Система обнаружения атак является существенно важным дополнением межсетевого экрана (firewall), но никак не его заменой. Межсетевые экраны предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти средства из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества не обеспечивают приемлемого уровня доступа. Например, кто-то не понимает необходимости защиты сети и оставляет на рабочем месте включенным модем для доступа к компьютеру из дома. Межсетевой экран не может не только защитить в этом случае, но и обнаружить это факт. В этом случае системы обнаружения атак незаменимы. Независимо от того, какова надежность и эффективность фильтрации вашего межсетевого экрана, пользователи зачастую находят способы обойти все установленные Вами преграды. Например, объекты ActiveX или апплеты Java могут представлять новые направления для реализации атак через межсетевыеэкраны. Кроме того, по статистике не менее 75% всех компьютерных преступлений происходит изнутри корпоративной сети, от своих сотрудников. А, как уже было сказано выше, "классические" средства защиты, к которым относятся и межсетевые экраны, не позволяют защитить корпоративную сеть в случае наличия плохого умысла со стороны пользователя, имеющего в нее доступ. Поэтому, межсетевой экран не может заменить систему обнаружения атак и оба этих средства нужны для построения эффективной системы защиты информации.
Представьте Вашу сеть как многоэтажное высотное здание, в котором межсетевой экран - это швейцар у дверей на входе, а каждый модуль слежения системы обнаружения атак - это сторожевой пес у каждой конкретной двери. Как правило, швейцар с удовольствием пропускает людей, которые выглядят довольно хорошо, и задерживает подозрительных людей. Однако, умный преступник способен пройти мимо швейцара и проникнуть внутрь здания, не вызвав его подозрений. Сторожевой пес лучше знает, кого он может впустить в данную дверь и мгновенно реагирует на вторжение.

Системы обнаружения атак в России
Первая система обнаружения атак появилась в России в середине 1997 года, когда было заключено соглашение между Научно-инженерным предприятием "Информзащита" и малоизвестной в то время американской фирмой Internet Security Systems, Inc. (ISS), разработавшей систему обнаружения атак RealSecure. С тех пор ситуация изменилась в лучшую сторону. Компания ISS в настоящий момент является лидером на рынке средств обнаружения атак (по данным корпорации IDC - в 1999 году 52 % всего рынка). В России ситуация аналогичная - система RealSecure захватила большую часть российского рынка средств обнаружения атак. Этому предшествовала большая и кропотливая работа по созданию соответствующей инфраструктуры поддержки этой системы. В настоящий момент завершается ее русификация.
Помимо системы RealSecure на российском рынке представлены следующие продукты зарубежных фирм:

• NetRanger компании Cisco Systems.
• OmniGuard Intruder Alert компании Axent Technologies.
• SessionWall-3 компании Computer Associates.
• Kane Security Monitor компании Security Dynamics.
• CyberCop Monitor компании Network Associates.
• NFR компании Network Flight Recodred.

Первая тройка во главе с RealSecure является лидирующей и во всем мире. Всего же известно более 30 коммерчески распространяемых систем обнаружения атак.

Стандарты и руководящие документы
С конца прошлого - начала этого года ведутся работы по выработке руководящих документов, которые позволят проводить адекватный анализ и оценку предлагаемых на российском рынке систем обнаружения атак. Аналогичные работы проводятся и за рубежом. В качестве примера можно назвать стандарты CIDF или IDEF, разрабатываемые в Министерстве Обороны США и рабочей группы консорциума IETF.

Перспективы и тенденции развития
Можно заметить, что оба решения: IDS и сетевого, и системного уровней имеют свои достоинства и преимущества, которые эффективно дополняют друг друга, а также устраняют недостатки друг друга.
Итак, вкратце я описал существующие решения в области обнаружения атак. Но применимы ли они в том виде, в котором они сейчас существуют, в следующем тысячелетии? Вряд ли. И вот почему. Современные сети становятся настолько сложными, что их трудно контролировать существующими методами. Число узлов в сетях растет с небывалой скоростью, ширится применение гигабитных скоростей и коммутируемых сетей на основе VLAN. Объем передаваемого по сетям трафика возрастает на несколько порядков. Нужны совершенно новые подходы в обнаружении атак, позволяющие справиться с указанными факторами .

Микроагенты
Как уже отмечено выше, существующие системы обнаружения атак относятся либо к классу сетевых (network-based), либо к классу системных (host-based). Однако идеальным решением было бы создание системы, совмещающей в себе обе эти технологии, т.е. на каждый контролируемый узел устанавливался бы агент системы обнаружения атак и контролировал не только атаки на прикладном уровне (уровне ОС и уровне приложений), но и сетевые атаки, направленные на данный узел. Этот подход имеет несколько преимуществ по сравнению с существующими решениями.
Во-первых, высокая сетевая скорость уже не представляет проблемы, поскольку указанный агент просматривает только трафик для данного узла вместо всего трафика всей сети. Во-вторых, расшифрование пакетов осуществляет прежде, чем они достигнут агента. И, наконец, из-за того, что он размещается непосредственно на каждом контролируемом компьютере, коммутируемые сети также не накладывают ограничений на их использование.
Эти агенты комбинируют характеристики сетевого модуля слежения, работающего в реальном масштабе времени, с тактическими преимуществами агента системного уровня. В настоящий момент о разработках в этой области объявила только компания Internet Security Systems (ISS ) . Компания ISS назвала эту разработку Micro Agent и планирует завершить ее к концу этого года. Эти микроагенты будут дополнять существующие сетевые и системные модули слежения системы обнаружения атак RealSecure компании ISS.

Эти две проблемы взаимосвязаны, но я коснусь только второй задачи. Многие специалисты сталкивались с ситуацией, когда система обнаружения атак генерит сотни, а в крупных сетях, тысячи записей о происходящих событиях. Проанализировать эти события вручную администратору не под силу. И хотя в системах обнаружения атак, представленных на рынке, существуют механизмы объединения нескольких однотипных событий в одно, эта работа еще далека до завершения.
В настоящий момент методы эффективного представления данных разрабатываются различными производителями и исследовательскими центрами. Например, компания ISS в конце июня этого года объявила о создании "технологии слияния" (Fusion Technology), которая позволит группировать сотни событий, зарегистрированных системой обнаружения атак RealSecure и другими средствами защиты третьих разработчиков, в одно-два уведомления, представленные на экране консоли управления. В этом же направлении движется и исследовательский центр COAST, в котором создана рабочая группа по разработке эффективного формата журналов регистрации и представления данных администратору безопасности.Из российских разработчиков такие механизмы реализует НИП "Информзащита" в своей новой технологии управления информационной безопасностью "Беркут".

Принятие решений, прогнозирование атак
Системы обнаружения атак в новом тысячелетии должны стать более интеллектуальными по сравнению со своими современными аналогами. И это касается не только процесса обнаружения атак, что может быть реализовано при помощи различных механизмов, в т.ч. и при помощи описанных выше нейросетей. Интеллектуальность будет присутствовать в процессе принятия решения о реагировании на атаки, а также при прогнозировании новых атак на корпоративную сеть. Первым шагом в создании таких систем можно назвать создание компанией ISS продукта под названием SAFEsuite Decisions. Эта система позволяет получать данные, получаемые от различных средств защиты, в т.ч. межсетевых экранов, систем анализа защищенности и обнаружения атак. Затем эти данные можно анализировать, обобщать их и определять на их основе подверженность того или иного узла или сегмента сети атакам со стороны внешних или внутренних злоумышленников. Знание уязвимостей, полученное от систем анализа защищенности, наряду со знанием частоты атак, полученное от межсетевых экранов и систем обнаружения атак, установленных на различных сегментах сети, позволяет прогнозировать нападения на узлы и сегменты сети, в т.ч. и скоординированные атаки, осуществляемые одновременно из нескольких мест.

В данной теме раскрыты в основном те вопросы, на которые стоит обращать внимание при выборе системы обнаружения атак. Однако, установив выбранную систему, вы еще не полностью защитили себя от атак. И это надо понимать. Система обнаружения атак - это всего лишь необходимое, но явно недостаточное условие для обеспечения эффективной системы защиты организации. Необходимо провести целый спектр организационных и технических мероприятий для построения целостной системы защиты вашей организации. Это и анализ рисков, и разработка политики безопасности, и установка и настройка различных средств защиты (межсетевые экраны, систем анализа защищенности и т.д.), и обучение специалистов, и т.д.
Подводя итог, можно сказать, что система обнаружения атак - это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать, обобщать и анализировать информацию от множества удаленных сенсоров на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные модули слежения и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем дорогостоящая игрушка, если у вас в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак.