IDS - что это такое? Система обнаружения вторжений (IDS) как работает

Обнаружение вторжений - это еще одна задача, выполняемая сотрудниками, ответственными за безопасность информации в орга­низации, при обеспечении защиты от атак. Обнаружение вторжений - это активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему. В идеальном случае такая система лишь выдаст сигнал тревоги при попытке проникновения. Обнаружение вторжений помогает при идентификации активных уг­роз посредством оповещений и предупреждений о том, что злоумыш­ленник осуществляет сбор информации, необходимой для проведения атаки. В действительности это не всегда так.

Системы обнаружения вторжений (IDS) появились давно. Первыми из них можно считать ночной дозор и сторожевых собак. Дозорные и сторожевые собаки выполняли две задачи: они определяли иницииро­ванные кем-то подозрительные действия и пресекали дальнейшее про­никновение злоумышленника. Как правило, грабители избегали встречи с собаками и, в большинстве случае, старались обходить стороной зда­ния, охраняемые собаками. То же самое можно сказать и про ночной до­зор. Грабители не хотели быть замеченными вооруженными дозорными или охранниками, которые могли вызвать полицию.

Сигнализация в зданиях и в автомобилях также является разно­видностью системы обнаружения вторжений. Если система оповеще­ния обнаруживает событие, которое должно быть замечено (напри­мер, взлом окна или открытие двери), то выдается сигнал тревоги с зажиганием ламп, включением звуковых сигналов, либо сигнал тре­воги передается на пульт полицейского участка. Функция пресечения проникновения выполняется посредством предупреждающей наклей­ки на окне или знака, установленного перед домом. В автомобилях, как правило, при включенной сигнализации горит красная лампочка, предупреждающая об активном состоянии системы сигнализации.

Все эти примеры основываются на одном и том же принципе: об­наружение любых попыток проникновения в защищенный периметр объекта (офис, здание, автомобиль и т. д.). В случае с автомобилем или зданием периметр защиты определяется относительно легко. Стены строения, ограждение вокруг частной собственности, двери и окна автомобиля четко определяют защищаемый периметр. Еще од­ной характеристикой, общей для всех этих случаев, является четкий критерий того, что именно является попыткой проникновения, и что именно образует защищаемый периметр.

Если перенести концепцию системы сигнализации в компьютер­ный мир, то получится базовая концепция системы обнаружения вторжений. Необходимо определить, чем в действительности являет­ся периметр защигы компьютерной системы или сети. Очевидно, что периметр защиты в данном случае - это не стена и не ограждение.



Периметр защиты сети представляет собой виртуальный пери­метр, внутри которого находятся компьютерные системы. Этот пери­метр может определяться межсетевыми экранами, точками разделения соединений или настольными компьютерами с модемами. Данный пе­риметр может быть расширен для содержания домашних компьютеров сотрудников, которым разрешено соединяться друг с другом, или парт­неров по бизнесу, которым разрешено подключаться к сети. С появле­нием в деловом взаимодействии беспроводных сетей периметр защиты организации расширяется до размера беспроводной сети.

Сигнализация, оповещающая о проникновении грабителя, предна­значена для обнаружения любых попыток входа в защищаемую об­ласть, когда эта область не используется.

Система обнаружения вторжений IDS предназначена для разгра­ничения авторизованного входа и несанкционированного проникно­вения, что реализуется гораздо сложнее. Здесь можно в качестве при­мера привести ювелирный магазин с сигнализацией против грабите­лей. Если кто-либо, даже владелец магазина, откроет дверь, то срабо­тает сигнализация. После этого владелец должен уведомить компа­нию, обслуживающую сигнализацию, о том, что это он открыл мага­зин, и что все в порядке. Систему IDS, напротив, можно сравнить с охранником, следящим за всем, что происходит в магазине, и выяв­ляющим несанкционированные действия (как, например, пронос ог­
нестрельного оружия). К сожалению, в виртуальном мире «огне­стрельное оружие» очень часто остается незаметным.

Вторым вопросом, который необходимо принимать в расчет, яв­ляется определение того, какие события являются нарушением пери­метра безопасности. Является ли нарушением попытка определить работающие компьютеры? Что делать в случае проведения известной атаки на систему или сеть? По мере того как задаются эти вопросы, становится понятно, что найти ответы на них не просто. Более того, они зависят от других событий и от состояния системы-цели.

Существуют два основных типа IDS: узловые (HIDS) и сетевые (NIDS).

Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.

Узловые IDS (H1DS) представляют собой систему датчиков, за­гружаемых на различные сервера организации и управляемых цен­тральным диспетчером. Датчики отслеживают различные типы собы­тий и предпринимают определенные действия на сервере либо пере­дают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет опре-
делить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.

Вероятно возникновение разногласий, связанных с управлением и настройкой, между администраторами безопасности (управляющими работой IDS) и системными администраторами. Так как процесс дол­жен постоянно находиться в активном состоянии, необходима хоро­шая координация в их работе.

Существует пять основных типов датчиков HIDS: анализаторы журналов; датчики признаков; анализаторы системных вызовов; анализаторы поведения приложений; контролеры целостности файлов.

Следует заметить, что количество датчиков HIDS увеличивается, и некоторые продукты предлагают функциональные возможности, преду­сматривающие использование датчиков более чем пяти основных видов.

Анализаторы журналов. Анализатор журнала представляет со­бой именно то, что отражает само название датчика. Процесс выпол­няется на сервере и отслеживает соответствующие файлы журналов в системе. Если встречается запись журнала, соответствующая некото­рому критерию в процессе датчика HIDS, предпринимается установ­ленное действие.

Большая часть анализаторов журналов настроена на отслеживание записей журналов, которые могут означать событие, связанное с безопасностью системы. Администратор системы, как правило, мо­жет определить другие записи журнала, представляющие определен­ный интерес.

Анализаторы журналов, в частности, хорошо адаптированы для от­слеживания активности авторизованных пользователей на внутренних системах. Таким образом, если в организации уделяется внимание кон­тролю за деятельностью системных администраторов или других поль­зователей системы, можно использовать анализатор журнала для от­слеживания активности и перемещения записи об этой активности в область, недосягаемую для администратора или пользователя.

Датчики признаков. Датчики этого типа представляют собой на­боры определенных признаков событий безопасности, сопоставляе­мых с входящим трафиком или записями журнала. Различие между датчиками признаков и анализаторами журналов заключается в воз­можности анализа входящего трафика.

Анализаторы системных вызовов. Анализаторы системных вы­зовов осуществляют анализ вызовов между приложениями и опера­ционной системой для идентификации событий, связанных с безо­пасностью. Датчики HIDS данного типа размещают программную спайку между операционной системой и приложениями. Когда при­ложению требуется выполнить действие, его вызов операционной системой анализируется и сопоставляется с базой данных признаков. Эти признаки являются примерами различных типов поведения, ко­торые являют собой атакующие действия, или объектом интереса для администратора IDS.

Анализаторы поведения приложений. Анализаторы поведения приложений аналогичны анализаторам системных вызовов в том, что они применяются в виде программной спайки между приложениями и операционной системой. В анализаторах поведения датчик проверяет вызов на предмет того, разрешено ли приложению выполнять данное действие, вместо определения соответствия вызова признакам атак.

Контролеры целостности файлов. Контролеры целостности файлов отслеживают изменения в файлах. Это осуществляется по­средством использования криптографической контрольной суммы или цифровой подписи файла. Конечная цифровая подпись файла бу­дет изменена, если произойдет изменение хотя бы малой части ис­ходного файла (это могут быть атрибуты файла, такие как время и да­та создания). Алгоритмы, используемые для выполнения этого про­цесса, разрабатывались с целью максимального снижения возможно­сти для внесения изменений в файл с сохранением прежней подписи.

При изначальной конфигурации датчика каждый файл, подлежа­щий мониторингу, подвергается обработке алгоритмом для создания начальной подписи. Полученное число сохраняется в безопасном месте. Периодически для каждого файла эта подпись пересчитывает- ся и сопоставляется с оригиналом. Если подписи совпадают, это оз­начает, что файл не был изменен. Если соответствия нет, значит, в файл были внесены изменения.


Сетевые IDS. NIDS представляет собой программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в системе в неразборчивый режим работы, при кото­ром сетевой адаптер пропускает весь сетевой трафик (а не только трафик, направленный на данную систему) в программное обеспече­ние NIDS. После этого происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. Если это так, то генерируется со­ответствующее событие.

На данный момент большинство систем NIDS базируется на при­знаках атак. Это означает, что в системы встроен набор признаков атак, с которыми сопоставляется трафик в канале связи. Если происходит атака, признак которой отсутствует в системе обнаружения вторжений, система NIDS не

замечает эту атаку. NIDS-системы позволяют указы­вать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслежи­вания трафика, не соответствующего признакам атак.

Чаще всего при применении NIDS используются две сетевые кар­ты (рис. 33). Одна карта используется для мониторинга сети. Эта кар­та работает в «скрытом» режиме, поэтому она не имеет IP-адреса и, следовательно, не отвечает на входящие соединения.

У скрытой карты отсутствует стек протоколов, поэтому она не может отвечать на такие информационные пакеты, как пинг-запросы. Вторая сетевая карта используется для соединения с системой управ­ления IDS и для отправки сигналов тревоги. Эта карта присоединяет­ся к внутренней сети, невидимой для той сети, в отношении которой производится мониторинг.

Обнаружения вторжений представляет собой процесс выявления несанкционированного доступа или попыток несанкционированного доступа к ресурсам АС.

Система обнаружения вторжений(Intrusion Detection System(IDS)) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.

Сигнатура – совокупность событий или действий, характерные для данного типа угрозы безопасности.

    Сенсор получает сетевой пакет.

    Пакет передается ядру для анализа.

    Проверяется совпадение сигнатуры.

    Если совпадений нет, то от узла получается следующий пакет.

    Если есть совпадение, то появляется предупреждающее сообщение.

    Происходит вызов модуля ответного реагирования.

Ошибки первого и второго рода:

    Ошибки второго рода, когда нарушитель воспринимается системой безопасности, как авторизованный субъект доступа.

Все системы, использующие сигнатуры для проверки доступа, подвержены ошибкам второго рода, в том числе антивирусы, работающие на антивирусной базе.

Функционирование системы IDS во многом аналогично межсетевому экрану. Сенсоры получают сетевой трафик, а ядро, путем сравнения полученного трафика, с записями имеющихся базами сигнатур, пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой дополнительный компонент, который может быть использован для оперативного блокирования угрозы, например, может быть сформированного новое правило для межсетевого экрана.

Существует две основных категории IDS:

    IDS уровня сети. В таких системах сенсор функционирует на выделенном для этих целей хосте(узле), защищаемом сегменте сети. Обычно он работает в прослушивающем режиме, чтобы анализировать весь ходящий по сегменту сетевой трафик.

    IDS уровня хоста. В случае, если сенсор функционирует на уровне хоста для анализа может быть использована следующая информация:

    1. Записи стандартных средств. Протоколирование ОС.

      Информация об использованных ресурсах.

      Профили ожидаемого поведения пользователя.

Каждый из типов IDS имеет свои достоинства и недостатки.

IDS уровня сети не снижает общую производительность системы, а IDS уровня хоста более эффективно выявляет атаки и позволяет анализировать активность, связанную с отдельным хостом. На практике целесообразно применять оба этих типа.

Протоколирование и аудит

Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование(регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующая все события, относящиеся к информационной безопасности. Аудит – анализ протоколирования информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

Назначения механизма регистрации и аудита:

    Обеспечение подотчетности пользователей и администратора.

    Обеспечение возможности реконструкции последовательности событий(например при инцидентах).

    Обнаружение попыток нарушения режима информационной безопасности.

    Выявление технических проблем, напрямую не связанных с информационной безопасностью.

Протоколируемые данные заносятся в регистрационный журнал, который представляет собой хронологически-упорядоченную совокупность записи результатов деятельности субъектов АС, влияющих на режим информационной безопасности. Основными полями такого журнала являются следующие:

    Временная метка.

    Тип события.

    Инициатор события.

    Результат события.

Так, как системные журналы являются основными источниками информации для последующего аудита и выявления нарушения безопасности должен быть поставлен вопрос о защите их от не санкционированной модификации. Система протоколирования должна быть спроектирована таким образом, чтобы не один пользователь, включая администраторов, не мог произвольным образом изменять записи системных журналов.

Поскольку файлы журналов хранятся на том или ином носителе, рано или поздно может возникнуть проблема нехватки пространства на этом носителе, при этом реакция системы может быть различной, например:

    Продолжить работу системы, без протоколирования.

    Заблокировать систему до решения проблемы.

    Автоматически удалять самые старые записи в системном журнале.

Первый вариант является наименее приемлемым с точки зрения безопасности.

Подсистема обнаружения и предотвращения вторжений включает в себя:

Таблица 1. Подсистемы обнаружения и предотвращения вторжений

Обнаружение вторжений - это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности. Предотвращение вторжений - процесс блокировки выявленных вторжений.

Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

По способу мониторинга средства подсистемы делятся на:

  • средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
  • средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

Выделяется несколько методов анализа событий:

  • обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
  • обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.

Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

Предотвращение вторжений системного уровня

Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

Варианты решения:

Cisco Security Agent

Check Point Endpoint Security
Symantec Endpoint Protection
Trend Micro OfficeScan Corporate Edition
IBM Proventia Server Intrusion Prevention System
Kaspersky Total Security


Предотвращение вторжений сетевого уровня

Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.

Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.

В качестве мер противодействия, может выполняться:

  • блокирование выбранных сетевых пакетов;
  • изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
  • сохранения выбранных пакетов для последующего анализа;
  • регистрация событий и оповещение ответственных лиц.

Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

Рисунок 1. Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems

Варианты решения:


Защита от DDoS атак

Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

  • обнаружение вторжения;
  • определение источника вторжения;
  • предотвращение вторжения.


Решение для операторов связи

Бизнес-преимущества внедряемого решения:

  • возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
  • возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
  • улучшается управляемость сетевой инфраструктурой;
  • возможность предоставления абонентам отчетов об атаках.

Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

  • выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
  • услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки


Архитектура решения

Рисунок 2. Архитектура решения защиты от DDoS-атак для операторов связи

Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.

В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.


Решение для предприятий

При разработке данного решения применялся комплексный подход для построения системы защиты, способной защитить не только отдельные сервера предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых серверов, web-серверов и DNS-серверов.

  • осуществление компаниями своего бизнеса через Интернет;
  • наличие корпоративного web-сайта компании;
  • использование сети Интернет для реализации бизнес-процессов.


Архитектура решения

Рисунок 3. Архитектура решения защиты от DDoS-атак для предприятий

В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.

Метод обнаружения аномалий не может обеспечить 100% вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровне.

Технические преимущества внедряемых решений:

  • мгновенная реакция на DDoS-атаки;
  • возможность включения системы только по требованию обеспечивает максимальную надежность и минимальные затраты на масштабирование.

Варианты решения:

Arbor Peakflow SP

Cisco Guard
Cisco Traffic Anomaly Detector

Сегодня возможности обнаружения вторжения становятся необходимыми добавлениями к инфраструктуре защиты информации каждой крупной компании. Вопрос о том, необходима ли система обнаружения вторжения (СОВ), для профессионалов защиты информации уже не стоит, однако перед ними возникает проблема выбора такой системы для конкретной организации. Кроме того, высокая стоимость подобных продуктов заставляет более тщательно подходить к обоснованию необходимости их использования.

Данная статья предоставляет базовую информацию о системах этого класса, что должно помочь организациям избежать традиционных промахов в приобретении, развертывании и поддержании систем обнаружения вторжений.

Типы систем обнаружения вторжений

На сегодняшний день существует несколько различных типов СОВ, отличающихся различными алгоритмами мониторинга данных и подходами к их анализу. Каждому типу системы соответствуют те или иные особенности использования, преимущества и недостатки.

Один из способов классификации СОВ основывается на уяснении того, что они, собственно, контролируют. Одни контролируют весь сетевой трафик и анализируют сетевые пакеты, другие разворачиваются на отдельных компьютерах и контролируют операционную систему на предмет выявления признаков вторжения, третьи, как правило, контролируют отдельные приложения.

СОВ, ЗАЩИЩАЮЩИЕ СЕГМЕНТ СЕТИ

Этот класс СОВ в настоящее время наиболее распространен среди коммерческих продуктов. Система обычно состоит из нескольких специализированных серверов, которые анализируют сетевой трафик в различных сегментах сети и передают сообщения о возможном нападении на централизованную консоль управления. Никакие другие приложения не работают на серверах используемых СОВ, поэтому они могут быть защищены от нападения, в том числе специальными средствами. Многие из них могут функционировать в «стелс»-режиме, что затрудняет обнаружение нападающих и определение их местонахождения в сети.

Преимущества:

Несколько удачно расположенных систем могут контролировать большую сеть;

Их развертывание оказывает незначительное воздействие на существующую сеть. Подобные СОВ, как правило, пассивные устройства, которые перехватывают сетевой трафик, не загружая сеть служебными потоками;

Cистема может быть весьма защищенной от нападений на нее саму, к тому же отдельные ее узлы можно сделать невидимыми для нападающих.

Недостатки:

Не в состоянии распознавать нападение, начатое в момент высокой загрузки сети. Некоторые разработчики пытаются решить эту проблему, реализуя СОВ на основе аппаратных средств, обладающих более высокой скоростью. Кроме того, необходимость быстро анализировать пакеты вынуждает разработчиков обнаруживать нападение с минимальными затратами вычислительных ресурсов, что серьезно снижает эффективность обнаружения;

Многие из преимуществ СОВ небольших сегментов (обычно один высокоскоростной канал Ethernet на сервер) и обеспечивают выделенные каналы между серверами, обслуживаемыми тем же коммутатором. Большинство коммутаторов не обеспечивают универсальные порты управления, что сокращает контролирующий диапазон датчика СОВ. В таких коммутаторах отдельный порт зачастую не может отразить весь трафик, проходящий через коммутатор;

Не способны анализировать зашифрованную информацию;

Сообщают об инициированном нападении, не анализируя степень проникновения.

СОВ, ЗАЩИЩАЮЩИЕ ОТДЕЛЬНЫЙ СЕРВЕР

Данные системы работают, анализируя активность процессов на конкретном сервере, на котором установлены; собирают информацию о контролируемом ими сервере. Это позволяет СОВ анализировать действия на сервере с высокой степенью детализации и точно определять, кто из пользователей выполняет злонамеренные действия в операционной системе сервера.

Некоторые СОВ этого класса имеют возможность управлять группой серверов, подготавливая централизованные отчеты о возможных нападениях, которые обобщаются на консоли администратора защиты. Другие генерируют сообщения, совместимые с системами управления сетью.

Преимущества:

Обнаруживают нападения, которые не выявляют СОВ, защищающие сегмент сети, так как имеют представление о событиях, локализованных на конкретном сервере;

Работают в сети, использующей
шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю;

Функционируют в коммутируемых сетях.

Недостатки:

Механизмы сбора информации должны устанавливаться и поддерживаться на каждом сервере, который будет контролироваться;

Могут быть атакованы и заблокированы подготовленным противником;

Не способны контролировать ситуацию во всей сети, так как «видят» только сетевые пакеты, получаемые сервером, на котором они установлены;

Трудности в обнаружении и противодействии нападениям с отказом в обслуживании;

Используют вычислительные ресурсы сервера, который контролируют, снижая тем самым эффективность его работы.

СОВ НА ОСНОВЕ ЗАЩИТЫ ПРИЛОЖЕНИЙ

Эти системы контролируют события, проявляющиеся в пределах отдельного приложения, и нередко обнаруживают нападения при анализе системных журналов приложения. Возможность связываться непосредственно с приложением посредством служебного интерфейса, а также большой запас прикладных знаний о приложении позволяют СОВ данного класса обеспечивать более детальное представление о подозрительной деятельности в приложении.

Преимущества:

Контролируют деятельность с очень высокой степенью детализации, позволяющей им прослеживать неправомочную деятельность индивидуальных пользователей;

Способны работать в зашифрованных средах, за счет взаимодтые приложения на контролируемом ими сервере.

Некоторые эксперты отмечают, что различие между системами на основе защиты приложений и системами на основе защиты отдельного сервера не всегда четко прослеживаются, поэтому в дальнейшем оба класса будем относить к системам обнаружения вторжений на основе защиты отдельного сервера.
Подходы к анализу событий.

В настоящее время существуют два основных подхода к анализу событий: обнаружение сигнатуры и обнаружение аномалии.

СОВ НА ОСНОВЕ СИГНАТУРЫ

Подход к обнаружению вторжения на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающих известное нападение. Следовательно, системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаружить каждое известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах.

Преимущества:

Весьма эффективны при обнаружении нападений, не генерируя значительное число ложных тревог.

Недостатки:

Системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаруживать каждое нападение, и постоянно модифицироваться сигнатурами новых нападений;

Сами сигнатуры во многих системах данного класса определены достаточно узко, что затрудняет обнаружение ими вариантов традиционных нападений, сигнатура которых незначительно отличается от имеющейся в их базе.

СОВ НА ОСНОВЕ ВЫЯВЛЕНИЯ АНОМАЛИИ

Такие системы обнаруживают нападения, идентифицируя необычное поведение (аномалии) на сервере или в сети. Принцип их функционирования основан на том, что нападающие ведут себя не так, как «нормальные» пользователи, и могут быть обнаружены системами, идентифицирующими эти различия. Системы на основе выявления аномалии устанавливают базис нормального поведения, профилируя специфических пользователей или сетевые подключения, и выявляют случаи отклонения контролируемой деятельности от нормы.

К сожалению, на сегодняшний день системы данного класса пока еще часто производят большое количество ложных срабатываний. Однако, несмотря на это, исследователи утверждают, что они способны обнаружить нападение, ранее незамеченное, в отличие от СОВ на основе сигнатуры, которые полагаются на результаты анализа прошлых нападений. Некоторые коммерческие СОВ реализуют ограниченные формы обнаружения аномалии, однако лишь единицы полагаются исключительно на эту технологию. Вместе с тем обнаружение аномалии остается областью активных исследований, и в ближайшее время здесь возможны серьезные прорывы.

Преимущества:

Обнаруживают нападение без необходимости быть заранее запрограммированными.

Недостатки:

Производят большое количество ложных срабатываний, активизируясь из-за непредсказуемого характерв поведения.

СОВ, автоматически отвечающие на нападения

Человек-администратор не всегда доступен в момент нападений на систему, поэтому некоторые СОВ могут быть сконфигурированы так, чтобы автоматически отвечать на них. Самая простая форма автоматизированного ответа - уведомление администратора. После обнаружения нападения СОВ может послать по электронной почте или пейджеру письмо администратору с кратким описанием произошедшего события. Более активный ответ может остановить продвижение нападения и блокировать дальнейшие попытки нападающих. Как правило, СОВ не обладает способностью блокировать действия конкретного человека, но могут блокировать конкретные IP-адреса, с которых работает нападающий.

Преимущества:

Разрыв подключений TCP при введении пакетов сброса в подключения нападающего с адресатом нападения;

Реконфигурирование маршрутизаторов и систем сетевой защиты с целью блокировать пакеты от IP-адреса нападающего;

Реконфигурирование маршрутизаторов и систем сетевой защиты для блокирования протоколов, используемых нападающим;

В критических ситуациях, реконфигурируя маршрутизаторы и системы сетевой защиты, СОВ этого класса способны разъединить все текущие подключения, используя специфические сетевые интерфейсы.

Более агрессивный способ ответить нападающему предусматривает возможность наступательных действий против нападающего, а также получение информации о сервере нападающего. Однако сам этот ответ может быть достаточно опасен для организации, так как он, скорее всего, будет незаконным и принесет убытки невинным пользователям Интернета.

Инструментальные средства, дополняющие СОВ

СуществуеЉт несколько инструментальных средств, которые дополняют СОВ и часто обозначаются разработчиками как полноценные СОВ, потому что они исполняют аналогичные функции.

ИСТЕМЫ HONEY POTS И PADDED CELL

«Горшки меда» (Honey Pots) - системы-«приманки», которые пытаются «соблазнить» атакующего, прежде чем он достигнет критически важных приложений.

Мониторы и регистраторы вторжения на «горшке меда» обнаруживают несанкционированные акции и собирают информацию о действиях нападающего. Системы «Психиатрическая палата» (Padded Cell) реализуют несколько иной подход. Не привлекая нападающих реальными данными, Padded Cell ждет, пока обычная СОВ обнаружит вторжение. После этого нападающий передается специальному серверу системы Padded Cell. Подобно «горшку меда», эта моделируемая среда может быть заполнена реальными данными, чтобы убедить нападающего, что нападение идет согласно плану.

Преимущества:

Нападающий может быть отклонен от целевой системы, которую он не способен повредить;

Администраторы имеют запас времени, чтобы решить, как ответить противнику;

Действия нападающего могут легко контролироваться, а результаты их в качестве авторизованных пользователей.

Недостатки:

Опытный нападающий, когда-то отклоненный в системе-«приманке», в следующий раз может предпринять более враждебное нападение против систем организации;

Необходим высокий уровень подготовки администраторов и руководителей службы безопасности;

Юридические значения использования таких устройств еще недостаточно определены.

Инструментальные средства оценки уязвимости

Инструментальные средства оценки уязвимости подразделяются на два класса: пассивные и активные.

Пассивные просматривают данные на сервере, на котором постоянно находятся, с целью выявить опасные конфигурации в настройках, версиях программ, о которых известно, что они содержат уязвимости, а также слабые пароли.

Активные средства анализируют всю сеть организации в поисках уязвимостей в настройках серверов, сравнивая полученную информацию с библиотекой номеров версии ПО, известных как опасные, и определяют, уязвимы ли серверы к известным нападениям.

Развертывание СОВ

Использование систем обнаружения вторжения требует хорошей подготовки и регулярного взаимодействия специалистов, участвующих в их сопровождении. Организации должны иметь соответствующую политику защиты, планы и процедуры на местах, чтобы персонал знал, как реагировать на все виды тревог, которые инициируют СОВ.

Honey Pots должны использоваться обоснованно и только организациями с высококвалифицированным техническим персоналом, которые имеют возможности экспериментировать с передовыми технологиями защиты.

За исключением отдельных
исследовательских прототипов, Padded Cell в данное время недоступны.

В настоящий момент практикуется несколько вариантов развертывания (местоположения) СОВ на основе защиты сети:

Позади внешней системы сетевой защиты (межсетевых экранов) - обнаружение нападения, проникающего через оборонительный периметр сети из внешнего мира;

Впереди внешней системы сетевой защиты - доказывает, что нападения из Интернета против сети предпринимаются регулярно;

На опорных сетевых каналах - обнаружение неправомочной деятельности в пределах сети и мониторинг большого объема сетевого трафика;

В критической подсети - выявление атак на критические ресурсы.

Будущее СОВ

Исследовательские работы в области создания СОВ активизировались после 1985 года, но крупномасштабное коммерческое использование СОВ не начиналось вплоть до 1996-го. По данным IDC, в 1998 году продажи инструментальных средств СОВ достигли 100 млн, в 2001-м - 350 млн, а в 2002-м уже 443,5 млн долл.! По некоторым х срабатываний, недостатка универсальности и недостаточной интеграции с системами управления сетью предприятия. Вместе с тем анализ тенденций развития этого направления средств защиты информации позволяет предположить, что в недалекой перспективе большинство проблем, связанных с функциональностью СОВ, будут разрешены.

Сергей Гриняев

Статья подготовлена по материалам
Лаборатории информационных технологий Национального института стандартов США.

В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег.

Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам:

  • сертификация:
    • отсутствует
    • сделана минимальная «для галочки»
    • высокий уровень сертификации
  • признанность (распространённость) продукта:
    • известен и используется в мире
    • присутствует только на региональном рынке

В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная.

Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК.

ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса — от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать.

ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК , где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой — низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно.

Всего по требованиям ФСБ, согласно сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два.

Итоговый список отечественных IDS и их сертификатов выглядит так:

Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию «Бумаженщиков», как бы обидно такое определение для них ни звучало.

К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты.



Похожие публикации
© 2024. tdelegia.ru Бесплатная помощь IT-специалиста. Полезные статьи. Все права защищены