Тема 27: Средства обнаружения атак
Обнаружение атак и опасных действий нарушителей
В последнее время сообщения о проникновении в корпоративные сети и атаках на Web , FTP , почтовые и другие сервера появляются с ужасающей частотой. Злоумышленники преодолевают установленные в организациях защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. С ростом квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения за защитную преграду. Обнаружить таких злоумышленников очень трудно. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего истинного адреса, осуществляют атаки распределенные во времени (в течение нескольких часов) и пространстве (одновременно с нескольких узлов) и т.д. Многие атаки осуществляются за очень короткое время (минуты и даже секунды), что также не позволяет обнаружить и предотвратить их стандартными защитными средствами. Необходимы динамические методы, позволяющие обнаруживать, оперативно реагировать и предотвращать нарушения безопасности.
Одной из технологий, которая может быть применена для обнаружения нарушений, является технология обнаружения атак (intrusion detection).
Средства обнаружения атак (Intrusion Detection Tools) в сетях предназначены для осуществления оперативного (в реальном времени) контроля всего сетевого трафика, который проходит через защищаемый сегмент сети, и оперативного реагирования при обнаружении признаков атак (нападений на узлы и устройства корпоративной сети).
Архитектура систем обнаружения атак
Система обнаружения атак должна фиксировать попытки нарушения безопасности. Очевидно, она должна иметь распределённую архитектуру. Обычно в состав системы обнаружения атак входят два типа компонентов:
- Модули слежения (сенсоры, датчики, детекторы) - программы, занимающиеся сбором данных.
- Управляющие модули (консоли, менеджеры) - программы, отвечающие за обработку собранных сведений и конфигурирование модулей слежения.
Кроме того, в состав системы могут входить и другие вспомогательные компоненты (СУБД для хранения различных данных, связанных с работой системы и т. п.).
Типы систем обнаружения атак
Существует несколько вариантов классификации систем обнаружения атак.
Классификация по уровням информационной инфраструктуры
Разумеется, с точки зрения того, что именно необходимо защищать, такой вариант классификации достаточно нагляден.
Системы обнаружения атак на уровне приложений выявляют атаки на конкретные приложения (например, ПО Web -сервера).
Системы обнаружения атак уровня СУБД обнаруживают попытки нарушения безопасности баз данных
Атаки уровня ОС распознаются системой обнаружения атак, интегрированной с конкретной ОС.
Атаки сетевого уровня - система обнаружения атак сетевого уровня.
Классификация по принципу реализации
По принципу реализации системы обнаружения атак бывают двух типов:
На базе узла ( host - based ) - ориентированные в основном на анализ журналов регистрации и контроль действий пользователя данного узла.
На базе сетевого сегмента ( network - based ) - анализирующие трафик сетевого сегмента (подобно сетевому анализатору).
Если вернуться к предыдущему варианту классификации, то уровни приложений, СУБД и ОС обычно защищаются системами на базе узла, уровень сети - системами на базе сети. Однако бывают и исключения, например, Server Sensor системы RealSecure защищает отдельный узел практически на всех уровнях, включая и уровень сети.
Классификация по технологии обнаружения
Система обнаружения атак анализирует собранную информацию и делает заключение о том, произошла атака или нет. При этом может быть использована одна из двух технологий:
• Обнаружение аномалий
• Обнаружение по сигнатурам атак
Наиболее распространённая технология обнаружения на сегодняшний день - это анализ сигнатур. При этом сигнатуры обычно делятся на три типа:
• Однопакетные
• Срабатывающие на основе анализа таблиц
• Требующие сборки сегментов