Опубликован: 28.11.2014 | Уровень: для всех | Доступ: свободно | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 9:

Системы обнаружения и предотвращения проникновений

4.1 Введение

Для определения проникновения необходимо просматривать события, происходящие на хосте или в сети и затем анализировать их с целью определения возможных инцидентов, которые нарушили или потенциально могут нарушить политику безопасности. Для предотвращения проникновения необходимо определить проникновение и попытаться остановить его. Системы обнаружения и предотвращения проникновений (Intrusion Detection and Prevention Systems – IDS/IDPS) первоначально фокусировались на определении возможных инцидентов, записи в логии информации о них, попытке остановить обнаруженные проникновения и уведомлении об этом администратора. Организации могут использовать IDPS для других целей, таких как определение проблем, связанных с политиками безопасности, документирование существующих угроз и определение внутренних пользователей, нарушающих политику безопасности.

IDPS могут использовать несколько вариантов ответа, которые включают останов самой атаки, изменение параметров окружения (например, переконфигурирование межсетевого экрана) или изменение содержимого самой атаки.

Опишем характеристики IDPS и рассмотрим рекомендации для разработки, конфигурирования и сопровождения IDPS.

IDPS являются программными или аппаратными системами, которые автоматизируют просмотр событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDPS становятся необходимым элементом инфраструктуры безопасности.

Рассмотрим основные способы классификации IDPS.

Определим проблемы, для решения которых в первую очередь предназначены IDPS, как выбрать и сконфигурировать IDPS для конкретных систем и сетевых окружений, как обрабатывать результаты работы IDPS и как интегрировать IDPS с остальной инфраструктурой безопасности предприятия.

Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их с точки зрения обнаружения проникновения. Проникновениями считаются попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из интернета, так и законными пользователями, пытающимися получить дополнительные привилегии, которых у них нет.

Логически IDPS состоит из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных и затем создает ответы, от простейших отчетов до активного вмешательства в функционирование сети или хоста при определении проникновения.

4.2 Основное назначение IDPS

Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием нежелательной сетевой активности, направленной на важные информационные системы. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.

Почему следует использовать IDPS, особенно если уже имеются межсетевые экраны, антивирусные инструментальные средства и другие средства защиты?

Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация называется обороной в глубину), можно защититься от максимально большого спектра атак.

Межсетевые экраны являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики межсетевого экрана. IDPS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли межсетевой экран, и сообщить об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.

IDPS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее, практическая польза от IDPS существует, и не маленькая. Использование IDPS помогает достичь нескольких целей:

  1. Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это можно сформулировать следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать IP-адрес источника и другие идентификаторы источника. В принципе очень трудно определить источник в любой системе, которая имеет слабые механизмы идентификации и аутентификации.
  2. Возможность блокирования означает возможность распознать некоторую активность или событие как атаку и затем выполнить действие по блокированию источника. Данную цель можно сформулировать следующим образом: "Я не забочусь о том, кто атакует мою систему, потому что я могу распознать, что атака имеет место, и блокировать ее". Заметим, что требования реакции на атаку полностью отличаются от возможности блокирования.

    Атакующие, используя свободно доступные инструментальные средства, могут получить неавторизованный доступ к системам, если найденные в системах уязвимости не исправлены, а сами системы подсоединены к публичным сетям.

    Объявления о появлении новых уязвимостей являются общедоступными, например, через публичные сервисы, такие, как ICAT (http://icat.nist.gov) или CERT (http://www.cert.org), которые созданы для того, чтобы эти уязвимости нельзя было использовать для выполнения атак. Тем не менее, существует много ситуаций, в которых использование известных уязвимостей все же возможно.

    • Во многих наследуемых системах не могут быть выполнены все необходимые обновления и модификации.
    • Даже в системах, в которых обновления могут быть выполнены, администраторы иногда не имеют достаточно времени или ресурсов для отслеживания и инсталлирования всех необходимых изменений. Это является общей проблемой, особенно в окружениях, включающих большое количество хостов или широкий спектр аппаратуры и ПО.
    • Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости.
    • Как пользователи, так и администраторы делают ошибки при конфигурировании и использовании систем.
    • При конфигурировании системных механизмов управления доступом для реализации конкретной политики всегда могут существовать определенные несоответствия. Такие несоответствия позволяют законным пользователям выполнять действия, которые могут нанести вред или которые превышают их полномочия.

      В идеальном случае производители ПО должны минимизировать уязвимости в своих продуктах, и администраторы должны быстро и правильно корректировать все найденные уязвимости. Однако в реальной жизни это происходит редко, к тому же новые ошибки и уязвимости обнаруживаются ежедневно.

      Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы. IDPS может определить, когда атакующий осуществил проникновение в систему, используя нескорректированную или некорректируемую ошибку. Более того, IDPS может служить важным звеном в защите системы, указывая администратору, что система была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Это гораздо удобнее и действеннее простого игнорирования угроз сетевой безопасности, которое позволяет атакующему иметь продолжительный доступ к системе и хранящейся в ней информации.

  3. Возможность определения преамбул атак, обычно имеющих вид сетевого зондирования или некоторого другого тестирования для обнаружения уязвимостей, и предотвращения их дальнейшего развития.

    Перед тем, как атаковать систему, нарушитель обычно выполняет некоторые предварительные действия. Первой стадией атаки обычно является зондирование или проверка системы или сети на возможные точки входа. В системах без IDPS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения этого и последующего предотвращения атаки. Имея возможность неконтролируемого анализа сети или хоста, атакующий в конечном счете может найти уязвимость и использовать ее для выполнения атаки.

    Та же самая сеть с IDPS, которая анализирует происходящие события, представляет для атакующего более трудную преграду. Хотя атакующий и может сканировать сеть на уязвимости, IDPS обнаружит сканирование, идентифицирует его как подозрительное, может выполнить блокирование доступа атакующего к целевой системе и оповестит администратора, который в свою очередь может выполнить соответствующие действия для блокирования доступа атакующего. Даже наличие простой реакции на зондирование сети будет означать повышенный уровень риска для атакующего и может препятствовать его дальнейшим попыткам проникновения в сеть.

  4. Выполнение документирования существующих угроз для сети и систем.

    При составлении отчета о бюджете на сетевую безопасность бывает полезно иметь документированную информацию об атаках. Более того, понимание частоты и характера атак позволяет принять адекватные меры безопасности.

  5. Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.

    Когда IDPS функционирует в течение некоторого периода времени, становятся очевидными типичные способы использования системы. Это может выявить изъяны в том, как осуществляется управление безопасностью, и скорректировать это управление до того, как недостатки управления приведут к инцидентам.

  6. Получение полезной информации о проникновениях, которые имели место, с предоставлением улучшенной диагностики для восстановления и корректирования вызвавших проникновение факторов.

    Даже когда IDPS не имеет возможности блокировать атаку, она может собрать детальную, достоверную информацию об атаке. Данная информация может быть использована в качестве основы для принятия законодательных мер. Она может также определить проблемы, касающиеся конфигурации или политики безопасности.

  7. IDPS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в локальной сети.

4.3 Способы классификации IDPS

Существует несколько способов классификации IDPS, каждый из которых основан на различных характеристиках IDPS. Обычно используются следующие способы классификации IDPS:

  1. Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based, беспроводные IDS, network behavior analysis (NBA) и application-based.
  2. Способ анализа. Данная классификация описывает способы, которыми IDPS определяет, что имело место проникновение. Способами определения проникновения являются обнаружение злоупотреблений или сигнатурный подход (misuse detection) и обнаружение аномалий (anomaly detection).
  3. Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDPS делятся на interval-based (или пакетный режим) и real-time.

Большинство коммерческих IDPS являются real-time network-based системами с сигнатурным способом определения проникновения.

К характеристикам IDPS также относятся:

Источник информации.IDPS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения.

Ответ – набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами — отчет IDPS, сделанный для людей, которые затем выполнят некоторое действие на основе данного отчета.

4.3.1 Архитектура IDPS

Архитектура IDPS определяет, какие имеются функциональные компоненты IDPS и как они взаимодействуют друг с другом. Основными архитектурными компонентами являются: Хост — система, на которой выполняется ПО IDPS, и целевая система (Target) — система, за которой IDPS наблюдает.

Первоначально многие IDPS выполнялись на тех же системах, которые они защищали. Основная причина этого была в том, что большинство систем было mainframe, и стоимость выполнения IDPS на отдельном компьютере была очень большой. Это создавало проблему с точки зрения безопасности, так как любой атакующий, который успешно атаковал целевую систему, мог в качестве одной из компонент атаки просто запретить функционирование IDPS.

С появлением рабочих станций и персональных компьютеров в большинстве архитектур IDPS предполагается выполнение IDPS на отдельной системе, тем самым разделяя хост и целевую систему. Это улучшает безопасность функционирования IDPS, так как в этом случае проще спрятать существование IDPS от атакующих.

Современные IDPS, как правило, состоят из следующих компонент:

  • Сенсор или агент – просматривает и анализирует деятельность. Термин сенсор обычно используется для IDPS, которая просматривает сеть, включая network-based, беспроводные и NBA технологии. Термин агент обычно используется для host-based IDPS технологий.
  • Управляющий сервер – централизованное устройство, которое получает информацию от сенсоров или агентов и управляет ими. Некоторые управляющие серверы анализируют события, которые получают от агентов и сенсоров, и могут определять события, которые отдельный сенсор или агент не может видеть. Сопоставление информации от нескольких сенсоров или агентов, такое как обнаружение событий, исходящих с некоторого IP-адреса, называется корреляцией. Управляющие сервера могут быть реализованы как аппаратно, так и программно. Некоторые небольшие IDPS не используют никаких управляющих серверов, но в большинстве случаев такой компонент существует. В больших конфигурациях IDPS может быть несколько управляющих серверов, и в некоторых случаях существует два уровня управляющих серверов.
  • Сервер БД – репозиторий информации о событиях, записанных сенсорами, агентами и/или управляющими серверами. Многие IDPS предоставляют поддержку для серверов БД.
  • Консоль – программа, которая предоставляет интерфейс для администратора IDPS. ПО консоли обычно инсталлируется на обычную рабочую станцию. Часто отдельная консоль используется для конфигурирования сенсоров или агентов и модификации ПО, другая используется для мониторинга и анализа событий.

4.3.2 Каналы связи и распределенность управления и принятия решения

Для успешного функционирования IDPS в сети должны быть созданы следующие каналы связи:

  • Каналы, с помощью которых IDPS осуществляет мониторинг хостов и сетей.
  • Каналы между сенсорами и управляющим сервером, по которым передаются данные о возникших событиях.
  • Каналы, по которым выполняются ответные действия IDPS.

Рассмотрим возможные способы управления IDPS.

  1. Централизованное управление и принятие решения.

    При централизованном управлении весь мониторинг и конфигурирование управляются с единой консоли. В этом случае существует единственная консоль IDPS, которая связана со всеми сенсорами, расположенными в сети.

  2. Частично распределенное управление

    Мониторинг и определение атаки выполняются локально с иерархической структурой принятия решения в одном или нескольких централизованных расположений.

  3. Полностью распределенное управление

    Мониторинг и определение атаки выполняются агентами, т.е. решение об ответе делается в точке определения атаки.

4.3.3 Скорость реакции

Скорость реакции определяет время, прошедшее между событиями, которые были обнаружены агентом или сенсором, анализом этих событий и реакцией на них.

  1. Реакция через определенные интервалы времени(пакетный режим)

    В IDPS, реакция которых происходит через определенные интервалы времени, информационный поток от точек мониторинга до инструментов анализа не является непрерывным. В результате информация обрабатывается способом, аналогичным коммуникационным схемам "сохранить и перенаправить". Многие ранние host-based IDPS используют данную схему хронометража, так как они зависят от записей аудита в ОС. Основанные на интервале IDPS не выполняют никаких действий по предотвращению проникновения, являющихся результатом анализа событий.

  2. Реакция в режиме реального времени (real-time)

    IDPS реального времени непрерывно обрабатывают поток информации от источников. Чаще всего это является преобладающей схемой в network-based IDPS, которые получают информацию из потока сетевого трафика. Термин "реальное время" используется в том же смысле, что и в системах управления процессом. Это означает, что определение проникновения, выполняемое IDPS "реального времени", приводит к результатам достаточно быстро, что позволяет IDPS выполнять определенные действия в автоматическом режиме.

4.3.4 Информационные источники

Один из основных способов классификации IDPS состоит в разделении их по источникам информации. Некоторые IDPS для нахождения атакующих анализируют сетевые пакеты, захватываемые ими из сети. Другие IDPS для обнаружения признаков проникновения анализируют источники информации, созданные ОС или приложением.

Network-Based IDPS

Основными коммерческими IDPS являются network-based. Эти IDPS определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, network-based IDPS может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом определять атаки на эти хосты.

Network-based IDPS часто состоят из множества сенсоров, расположенных в различных точках сети. Эти устройства просматривают сетевой трафик, выполняя локальный анализ данного трафика и передавая отчеты об атаках на центральную управляющую консоль. Многие из этих сенсоров разработаны для выполнения в "невидимом (stealth)" режиме, чтобы сделать более трудным для атакующего обнаружение их присутствия и расположения.

Преимущества network-based IDPS:

  • Несколько оптимально расположенных network-based IDPS могут просматривать большую сеть.
  • Развертывание network-based IDPS не оказывает большого влияния на производительность сети. Network-based IDPS обычно являются пассивными устройствами, которые прослушивают сетевой канал без воздействия на функционирование сети. Таким образом, обычно бывает легко модифицировать топологию сети для размещения network-based IDPS.
  • Network-based IDPS могут быть сделаны практически неуязвимыми для атак или даже абсолютно невидимыми для атакующих.

Недостатки network-based IDPS:

  • Network-based IDPS может быть трудно обрабатывать все пакеты в большой или занятой сети, и, следовательно, она может пропустить атаку, которая началась при большом трафике. Некоторые производители пытаются решить данную проблему, полностью реализуя IDPS аппаратно, что делает IDPS более быстрой. Необходимость быстро анализировать пакеты также может привести к тому, что производители IDPS будут определять небольшое количество атак или же использовать как можно меньшие вычислительные ресурсы, что снижает эффективность обнаружения.
  • Многие преимущества network-based IDPS не применимы к современным сетям, основанным на сетевых коммутаторах. Коммутаторы делят сети на много небольших сегментов. Многие коммутаторы не предоставляют возможности мониторинга всех своих портов, и это ограничивает диапазон мониторинга сенсора network-based IDPS только одним хостом. Даже когда коммутаторы предоставляют такой мониторинг портов, часто единственный порт не может охватить весь трафик, передаваемый коммутатором.
  • Network-based IDPS не могут анализировать зашифрованную информацию. Эта проблема возрастает, чем больше организации (и атакующие) используют VPN.
  • Большинство network-based IDPS не могут сказать, была ли атака успешной; они могут только определить, что атака была начата. Это означает, что после того, как network-based IDPS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.
  • Некоторые network-based IDPS имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Наличие фрагментированных пакетов может привести к тому, что IDPS будет либо не определит атаку, либо существенно снизит производительность сети.

Анализ состояния протокола

Анализ состояния протокола (network behavior analysis – NBA) состоит в сравнении заранее заданных профилей, которые описывают нормальную последовательность сообщений в протоколе, и реального трафика. В отличие от определения проникновения на основе аномалий, при котором используются профили, созданные для конкретного хоста или сети, анализ состояния протокола использует разработанные производителем универсальные профили, которые определяют последовательность сообщений и состояний конкретного протокола. "Stateful" в анализе состояния протокола означает, что IDPS понимает и отслеживает состояние сетевого, транспортного и прикладного протоколов, для которых существует понятие состояния. Важной составной частью анализа состояния является определение пар запросов и ответов. В результате создания таких пар IDPS может определить, была ли аутентификация успешной, найдя состояние статуса в соответствующем ответе. После того, как пользователь успешно аутентифицирован, сессия переходит в аутентифицированное состояние, и считается, что пользователь может выполнять команды протокола. Выполнение любой из этих команд в неаутентифицированном состоянии будет рассматриваться как возможная атака.

Анализ состояния протокола позволяет определить недопустимую последовательность команд. В профиле протокола может быть также задана минимальная и максимальная длина аргументов для каждой команды. После этого IDPS будет проверять, что реальная длина аргументов находится в требуемом диапазоне.

Методы анализа состояния протокола используют описания протокола, которые изначально определены в стандартах каждого протокола. Обычно модель протокола в каждой реализации несколько различается. Многие стандарты не полны в описании деталей протокола, поэтому поведение протокола может различаться в разных реализациях. Также многие производители либо нарушают стандарты, либо добавляют свои возможности, которые не предусмотрены стандартом. Иногда все детали протокола бывают недоступны, поэтому бывает трудно выполнить полный анализ. Протоколы пересматриваются, производители изменяют реализации своих протоколов, поэтому описания протоколов в IDPS должны также периодически изменяться.

Преимущества NBA IDPS:

  • Могут определять проблемы, связанные с конкретным прикладным или транспортным протоколом.
  • Могут анализировать сетевой трафик для определения нежелательной деятельности, связанной с необычными сетевыми потоками, такими как DDoS-атаки, некоторыми формами вредоносного кода и нарушениями политики, связанными с незаконным предоставлением сервисов.

Недостатки NBA IDPS:

  • Первый недостаток методов анализа состояния протокола состоит в том, что они требуют много ресурсов, так как достаточно сложный анализ необходимо выполнять для большого числа одновременных сессий.
  • Другая серьезная проблема методов анализа состояния протокола состоит в том, что они не могут определить атаки, которые не нарушают характеристики общего поведения протокола, например, выполнение многих допустимых действий за короткий промежуток времени может привести к DoS-атаке. В результате этого они могут определять достаточно узкий класс атак.
  • Модель протокола, используемая IDPS, может конфликтовать со способом, которым протокол реализован в конкретных версиях конкретных приложений и ОС или с тем, как реализованы различные клиенты и серверы, взаимодействующие друг с другом.

Host-Based IDPS

Host-based IDPS имеют дело с информацией, собранной внутри единственного компьютера. Заметим, что application-based IDPS на самом деле являются подмножеством host-based IDPS. Такое расположение позволяет host-based IDPS анализировать деятельность отдельного хоста, определяя процессы и пользователей, которые имеют отношение к конкретной атаке в ОС. В отличие от network-based IDPS, host-based IDPS могут "видеть" последствия предпринятой атаки, так как они могут иметь непосредственный доступ к системной информации, файлам данных и системным процессам, являющихся целью атаки.

Нost-based IDPS обычно используют информационные источники двух типов: результаты аудита ОС и системные логи. Результаты аудита ОС обычно создаются на уровне ядра ОС и, следовательно, являются более детальными и лучше защищенными, чем системные логи. Однако системные логи намного меньше и не столь многочисленны, как результаты аудита, и, следовательно, легче для понимания. Некоторые host-based IDPS разработаны для поддержки централизованной инфраструктуры управления и получения отчетов IDPS, что может допускать единственную консоль управления для отслеживания многих хостов. Другие создают сообщения в формате, который совместим с системами сетевого управления.

Преимущества host-based IDPS:

  • Host-based IDPS с их возможностью следить за событиями локально относительно хоста могут определить атаки, которые не могут видеть network-based IDPS.
  • Host-based IDPS часто могут функционировать в окружении, в котором сетевой трафик зашифрован, когда host-based источники информации создаются до того, как данные шифруются, и/или после того, как данные расшифровываются на хосте назначения.
  • На функционирование host-based IDPS не влияет наличие в сети коммутаторов.
  • Когда host-based IDPS работают с результатами аудита ОС, они могут оказать помощь в определении Троянских программ или других атак, которые нарушают целостность ПО.

Недостатки host-based IDPS:

  • Host-based IDPS более трудны в управлении, так как информация должна быть сконфигурирована и должна управляться для каждого просматриваемого хоста.
  • Так как по крайней мере источники информации (и иногда часть средств анализа) для host-based IDPS расположены на том же хосте, который является целью атаки, то, как составная часть атаки, IDPS может быть атакована и запрещена.
  • Host-based IDPS не полностью соответствуют возможности определения сканирования сети или других аналогичных исследований, когда целью является вся сеть, так как IDPS наблюдает только за сетевыми пакетами, получаемыми конкретным хостом.
  • Host-based IDPS могут быть блокированы некоторыми DoS-атаками.
  • Когда host-based IDPS использует результаты аудита ОС в качестве источника информации, количество информации может быть огромно, что потребует дополнительных локальных ресурсов.
  • Host-based IDPS используют вычислительные ресурсы хостов, за которыми они наблюдают, что влияет на производительность наблюдаемой системы.

Application-based IDPS

Application-based IDPS является специальным подмножеством host-based IDPS, которые анализируют события, возникающие в приложении. Наиболее общими источниками информации, используемыми application-based IDPS, являются логи приложения.

Способность анализировать поведение приложения и понимание логики его работы приложения позволяет application-based IDPS определять подозрительное поведение авторизованных пользователей, которое превышает их права доступа. Такой анализ может быть сделан только при наличии возможности анализа взаимодействия пользователя с приложением.

Преимущества application-based IDPS:

  • Application-based IDPS могут анализировать взаимодействие между пользователем и приложением, что часто позволяет отследить неавторизованную деятельность конкретного пользователя.
  • Application-based IDPS зачастую могут работать в зашифрованных окружениях, так как они взаимодействуют с приложением в конечной точке транзакции, где информация представлена уже в незашифрованном виде.

Недостатки application-based IDPS:

  • Application-based IDPS могут быть более уязвимы, чем host-based IDPS, для атак на логи приложения, которые могут быть не так хорошо защищены, как результаты аудита ОС, используемые host-based IDPS.
  • Application-based IDPS часто просматривают события на пользовательском уровне абстракции, на котором обычно невозможно определить Троянские программы или другие подобные атаки, связанные с нарушением целостности ПО. Следовательно, целесообразно использовать application-based IDPS в комбинации с host-based и/или network-based IDPS.

Беспроводные (wireless) IDРS

Беспроводная IDPS просматривает трафик беспроводной сети и анализирует беспроводные сетевые протоколы для определения нежелательной деятельности. Они не могут определить нежелательную деятельность в приложении или протоколах более высокого уровня (например, ТСР, UDP). В большинстве случаев такие сети развернуты внутри организаций, но возможно также их развертывание в таких местах, где могут быть подключены неавторизованные беспроводные сети.

4.3.5 Анализ, выполняемый IDPS

Существует два основных подхода к анализу событий, которые свидетельствуют о наличии атак: определение злоупотреблений или сигнатурный подход (misuse detection) и определение аномалий (anomaly detection).

При сигнатурном подходе известно, какая последовательность данных является признаком атаки. Анализ событий состоит в определении таких "плохих" последовательностей данных. Сигнатурный подход используется в большинстве коммерческих систем.

При определении аномалий известно, что представляет собой "нормальная" деятельность и "нормальная" сетевая активность. Анализ событий состоит в попытке определить аномальное поведение пользователя или аномальную сетевую активность. Данная технология на сегодняшний день является предметом исследований и используется в ограниченной форме небольшим числом IDPS. Существуют сильные и слабые стороны, связанные с каждым подходом; считается, что наиболее эффективные IDPS применяют в основном сигнатурный подход с небольшими компонентами определения аномалий.

Сигнатурный подход

При сигнатурном подходе анализируются деятельность системы, определяя событие или множество событий, соответствующих заранее определенному образцу, который означает атаку. Такие образцы называются сигнатурами атак, а определение злоупотребления называют "сигнатурным определением". В простейшем случае каждый образец событий, соответствующий атаке, является отдельной сигнатурой. Тем не менее существует несколько более сложных подходов для выполнения определения злоупотреблений (называемых "state-based" технологиями анализа), которые могут использовать единственную сигнатуру для определения группы атак.

Преимущества сигнатурного метода:

  • Сигнатуры являются очень эффективными для определения атак и не создают при этом огромное число ложных сообщений.
  • Сигнатуры могут быстро и надежно диагностировать использование конкретного инструментального средства или технологии атаки. Это может помочь администратору скорректировать меры обеспечения безопасности.
  • Сигнатуры позволяют администраторам, независимо от уровня их квалификации в области безопасности, определять и реагировать на инциденты.

Недостатки сигнатурного метода:

  • Сигнатуры могут определить только те атаки, о которых они знают, – следовательно, надо постоянно обновлять их базы данных для получения сигнатур новых атак.
  • Многие сигнатуры разработаны таким образом, что могут использовать только строго определенные сигнатуры, а это не допускает определения вариантов общих атак. State-based детекторы злоупотреблений могут обойти данное ограничение, но они применяются в коммерческих IDPS не столь широко.

Определение аномалий

Детекторы аномалий определяют ненормальное (необычное) поведение на хосте или в сети. Они предполагают, что атаки отличаются от "нормальной" (законной) деятельности и могут, следовательно, быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной.

Метрики и технологии, используемые при определении аномалий, включают:

  • Определение допустимого порога. В этом случае основные атрибуты поведения пользователя и системы выражаются в количественных терминах. Для каждого атрибута определяется некоторый уровень, который устанавливается как допустимый. Такие атрибуты поведения могут определять число файлов, доступных пользователю в данный период времени, число неудачных попыток входа в систему, количество времени ЦП, используемое процессом и т.п.
  • Статистические метрики: параметрические, при которых предполагается, что распределение атрибутов профиля соответствует конкретному образцу, и непараметрические, при которых распределение атрибутов профиля является "обучаемым", исходя из набора значений истории, которые наблюдались за определенный период времени;
  • Метрики, основанные на правилах, которые аналогичны непараметрическим статистическим метрикам в том, что наблюдаемые данные определяют допустимые используемые образцы, но отличаются от них в том, что эти образцы специфицированы как правила, а не как численные характеристики;
  • Другие метрики, включая нейросети, генетические алгоритмы и модели иммунных систем.

Только первые две технологии используются в современных коммерческих IDPS.

К сожалению, детекторы аномалий и IDPS, основанные на них, часто создают большое количество ложных сообщений, так как образцы нормального поведения пользователя или системы могут быть очень неопределенными. Несмотря на этот недостаток, исследователи предполагают, что IDPS, основанные на аномалиях, имеют возможность определять новые формы атак, в отличие от IDPS, основанных на сигнатурах, которые полагаются на соответствие образцу прошлых атак.

Более того, некоторые формы определения аномалий создают выходные данные, которые могут быть далее использованы в качестве источников информации для детекторов злоупотреблений. Например, детектор аномалий, основанный на пороге, может создавать диаграмму, представляющую собой "нормальное" количество файлов, доступных конкретному пользователю; детектор злоупотреблений может использовать данную диаграмму как часть сигнатуры обнаружения, которая говорит: "если количество файлов, доступных данному пользователю, превышает данную "нормальную" диаграмму более, чем на 10%, следует инициировать предупреждающий сигнал".

Хотя некоторые коммерческие IDPS включают ограниченные формы определения аномалий, мало кто полагается исключительно на данную технологию. Определение аномалий, которое существует в коммерческих системах, обычно используется для определения зондирования сети или сканирования портов. Тем не менее, определение аномалий остается предметом исследований в области определения проникновений, и скорее всего будет играть возрастающую роль в IDPS следующих поколений.

Преимущества определения аномалий:

  • IDPS, основанные на определении аномалий, обнаруживают неожиданное поведение и, таким образом, имеют возможность определить симптомы атак без знания конкретных деталей атаки.
  • Детекторы аномалий могут создавать информацию, которая в дальнейшем будет использоваться для определения сигнатур для детекторов злоупотреблений.

Недостатки определения аномалий:

  • Подходы определения аномалий обычно создают большое количество ложных сигналов при непредсказуемом поведении пользователей и непредсказуемой сетевой активности.
  • Подходы определения аномалий часто требуют некоторого этапа обучения системы, во время которого определяются характеристики нормального поведения.

4.3.6 Возможные ответные действия IDPS

После того, как IDPS получила информацию о событии и проанализировала ее для поиска симптомов атаки, она может выполнить ответные действия. Некоторые ответы могут представлять собой отчеты, созданные в некоем стандартном формате. Другие ответные действия могут являться более автоматизированными, производящими определенные действия. Часто недооценивают важность наличия хороших ответов в IDPS, но на самом деле наличие разнообразных возможностей в ответах очень важно. Коммерческие IDPS поддерживают широкий диапазон опций ответов, часто разбивая их на активные ответы, пассивные ответы и некоторую смесь из них.

Активные действия

Активные ответы представляют собой автоматизированные действия, которые выполняются, когда определены конкретные типы проникновений. Существует три категории активных ответов.

Сбор дополнительной информации

Наиболее безвредный, но часто наиболее продуктивный активный ответ состоит в сборе дополнительной информации о предполагаемой атаке. Это может включать возрастающий уровень внимания к источникам информации. Например, можно начать собирать большее количество информации в лог и настроить сетевой монитор на перехват всех пакетов, а не только тех, которые предназначены конкретному порту или системе. Сбор дополнительной информации производится по нескольким причинам. Во-первых, собранная дополнительная информация может помочь обнаружить атаку. Во-вторых, так можно получить информацию, которая затем может использоваться при юридическом расследовании и задержании атакующего.

Изменение параметров окружения

Другое активное действие состоит в том, чтобы остановить выполняемую атаку и затем блокировать последующий доступ атакующим. Обычно IDPS не имеют возможностей блокировать доступ на уровне пользователя, вместо этого могут блокировать IP-адрес, с которых вошел атакующий. Гораздо труднее блокировать хорошо информированного атакующего, но часто IDPS могут остановить как опытного атакующего, так и новичка, выполняя следующие действия:

  • вставить ТСР-пакет с флагом RST в соединение атакующего с его жертвой, тем самым обрывая соединение;
  • переконфигурировать маршрутизаторы и межсетевые экраны для блокирования пакетов с IP-адреса, который определен как источник атаки;
  • переконфигурировать маршрутизаторы и межсетевые экраны для блокирования сетевых портов, протоколов или сервисов на стороне жертвы, которые использует атакующий;
  • в экстремальных ситуациях переконфигурировать маршрутизаторы и межсетевые экраны для блокирования всех соединений к системе, на которую осуществляется атака.

Выполнение действия против атакующего

В некоторых дискуссиях обсуждается, что первой возможностью в активном ответе должно быть выполнение действия против проникающего. Наиболее агрессивная форма данного ответа включает запуск атаки против него или попытка активного сбора информации о хосте или сети атакующего. Тем не менее, сколь бы это не было заманчиво, такой ответ не рекомендуется. С точки зрения закона, данный ответ может быть более наказуем, чем атака, которую предполагается блокировать.

Первой причиной, по которой данную опцию следует использовать с большой осторожностью, являются требования законодательства. Более того, так как многие атакующие используют подделанные сетевые адреса, это может нанести большой вред невинным хостам и пользователям. Наконец, ответный удар может спровоцировать атакующего, который первоначально намеревался только просмотреть хост жертвы, не выполняя более никаких агрессивных действий.

Рекомендуется проконсультироваться с законодательством перед тем, как использовать какие-либо опции "ответного удара".

Пассивные действия

Пассивные ответы IDPS предоставляют информацию администратору системы, предполагая, что человек сам выполнит дальнейшие действия на основе данной информации. Многие коммерческие IDPS предполагают исключительно пассивные ответы.

Тревоги и оповещения

Тревоги и оповещения создаются IDPS для информирования администраторов об обнаружении атак. Большинство коммерческих IDPS позволяют администраторам определять детали того, какие и когда тревоги создаются и кому и как они передаются.

Чаще всего сигнал тревоги выводится на экран или в выпадающее окно на консоли IDPS или других систем, что может быть задано администратором при конфигурировании IDPS. Информация, указываемая в сообщении о тревоге, может быть разной: от простого уведомления, что происходит проникновение, до очень детализированных сообщений, указывающих IP-адреса источника и цели атаки, конкретное инструментальное средство атаки, используемое для получения доступа, и результат атаки.

Другим множеством опций является возможность удаленного оповещения о тревогах. Это позволяет сконфигурировать IDPS таким образом, чтобы она посылала сообщение о тревоге на сотовые телефоны.

В некоторых случаях также можно, например, использовать e-mail в качестве канала передачи сообщений об атаках. Но это не всегда оправданно, так как атакующий может иметь возможность просматривать исходящий e-mail трафик и блокировать это сообщение.

Использование SNMP Traps

Некоторые коммерческие IDPS разработаны таким образом, чтобы передавать оповещения о тревоге системе управления сетью. При этом используются SNMP traps для передачи сообщения на центральную консоль управления сетью, где они могут быть обработаны персоналом, обслуживающим сеть. Данная схема имеет несколько преимуществ, которые включают возможность адаптировать всю инфраструктуру сети к ответу на осуществляемую атаку, возможность управлять нагрузкой системы и возможность использовать обычные коммуникационные каналы.

Возможности отчетов и архивирования

Многие, если не все коммерческие IDPS предоставляют возможности создания отчетов и других детализированных информационных документов. Некоторые из них могут создавать отчет о системных событиях и проникновениях, обнаруженных за конкретный период (например, неделя или месяц). Некоторые предоставляют статистику или логи, созданные IDPS, в формате, понимаемом базами данных или другим ПО, обрабатывающему отчеты.

Возможность хранения информации о сбоях

При обсуждении возможностей различных IDPS важно рассмотреть способы хранения информации о сбоях и отказах самой IDPS. Возможность хранения информации о сбоях обеспечивает дополнительный способ защиты IDPS от обхода ее атакующим. Эти является обязательным требованием для средств управления, которые можно считать безопасными.

В IDPS должна существовать возможность тихого и невидимого мониторинга за атакующими. Должна также существовать возможность ответа, прерывающая данную тишину широковещательными сообщениями о тревоге открытым текстом в просматриваемой сети, позволяющая атакующему определить наличие IDPS. При этом следует учитывать, что атакующие могут иметь непосредственной целью блокирование IDPS как часть атаки.

Зашифрованные туннели и другие криптографические механизмы, используемые для управления IDPS, являются отличным способом обезопасить и гарантировать надежность функционирования IDPS.

Александр Косенков
Александр Косенков

В материале Триада безопасной ИТ-инфраструктуры – Конфиденциальность, Целостность в качестве основных технологий обеспечения отказоустойчивости для данных указаны

Защита с помощью RAID.

Шифрование данных и управление ключом.

Стратегии создания копий и восстановления.

Каким образом шифрование обеспечивает отказоустойчивость?

Евгений Шахов
Евгений Шахов

Страница http://www.intuit.ru/studies/courses/14250/1286/lecture/24237

содержит "Интерфейс wan1 имеет IP-адрес 10.6.10.62 и соединен с подсетью 10.6.10.0/28 со шлюзом провайдера, который обеспечиваетвыход в интернет и имеет IP-адрес 10.6.10.3." - что не верно, так как подсеть 10.6.10.0/28 имеет диапазон IP-адресов 10.6.10.1-14, интерфейс wan1 с IP-адресом 10.6.10.62 не "попадает" в указанные пределы.

Юлия Широкова
Юлия Широкова
Россия