Задачи, преследуемые в борьбе с хакерами, достаточно очевидны:

Уведомление: о предпринятой попытке несанкционированного доступа должно быть известно немедленно;

Отражение атаки и минимизация потерь: чтобы противостоять злоумышленнику, следует незамедлительно разорвать сеанс связи с ним;

Переход в контрнаступление: хакер должен быть идентифицирован и наказан.

Именно такой сценарий использовался при тестировании четырех наиболее популярных систем выявления сетевых атак из присутствующих сегодня на рынке. Программное обеспечение BlackICE и ICEcap производства Network ICE получило Голубую ленту за доблесть, проявленную в сражении с хакерами, и титул «Продукт мирового класса» (World Class Award) за превосходные средства мониторинга сетевого трафика и выдачи предупреждающих сообщений.

BlackICE - специализированное приложение-агент, которое предназначено исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию, поступившую от разных агентов, и стремящемуся локализовать атаку на сеть.

Впрочем, протестированные продукты трех других производителей тоже неплохо справлялись со своими обязанностями. Так, ПО Intruder Alert компании Axent Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, поскольку оно предоставляет максимальную гибкость в определении стратегий защиты сети. Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его составе нам удалось обнаружить средства контроля за системой безопасности, мониторинга трафика, выявления атак и выдачи предупреждающих сообщений. Система eTrust Intrusion Detection корпорации Computer Associates, напротив, особенно сильна функциями контроля за информационной безопасностью и управления стратегиями защиты, хотя и в этом продукте реализованы средства выдачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.

Общая тревога

Хакеры нечасто бесцеремонно вторгаются в вашу сеть с оружием в руках. Вместо этого они предпочитают проверить, надежны ли запоры на задней двери и все ли окна вы закрыли. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее, отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные отдельным пользователям и сетевым устройствам.

Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное ПО детектирования сетевых атак, обладающее высокой чувствительностью. Приобретаемый продукт должен предупреждать администратора не только о случаях явного нарушения системы информационной безопасности, но и о любых подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительности скрывают полномасштабную хакерскую атаку.

Нет нужды доказывать, что о всякой активной попытке взлома системных паролей администратор должен быть извещен немедленно. Но предположим, что один из компьютеров сети получил ping-запрос от управляющего приложения pcANYWHERE. Источником такого события может быть как зарегистрированный удаленный пользователь указанного ПО, так и хакер, стремящийся установить связь с незащищенной станцией-клиентом, где инсталлировано приложение pcANYWHERE. В обоих случаях эта ситуация должна быть отмечена для последующего углубленного анализа.

Предупреждения, генерируемые агентами BlackICE, очень конкретны, чтобы не сказать прямолинейны. Вот примеры выдаваемых ими сообщений: «Атака BackOrifice», «Команда ping от pcANYWHERE», «Unix-команда scan». Подобный текст не заставит администратора усомниться в характере зарегистрированного события, а в большинстве случаев и в его важности. Кроме того, продукт позволяет администратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет никакой необходимости.

Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert компании Axent Technologies является возможность загрузки самых свежих сигнатур хакерских атак с сервера фирмы-производителя: ведь именно сигнатуры позволяют точно идентифицировать злоумышленника. Правда, отыскать интересовавшие нас сигнатуры для ПО Intruder Alert оказалось не так-то просто, зато на сервере корпорации Network ICE мы сразу нашли все что нужно.

По средствам уведомления администратора пальму первенства могли бы разделить упомянутый пакет Intruder Alert и система Centrax производства CyberSafe, однако они превратятся в эффективное средство отражения внешних нападений только после того, как будут определены наборы правил, относящиеся к защите данных, заданы тексты предупреждающих сообщений и сконфигурированы сценарии их выдачи. Другими словами, эти две разработки представляют собой скорее инструментарий для построения собственной системы детектирования сетевых атак. Чтобы в полной мере воспользоваться их возможностями, организация должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу по схеме аутсорсинга.

Как написано в «Руководстве пользователя» к пакету Intruder Alert, «необходимо выполнить компоновку правил защиты для выявления таких изощренных атак, в которых используются сетевые зонды или SYN-запросы». Приведенная фраза вызвала у нас неподдельное удивление, поскольку упомянутые в ней атаки широко распространены и непонятно, почему средства их выявления надо разрабатывать с нуля.

Несмотря на то что все испытывавшиеся продукты легко инсталлируются, управление системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выдает предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отличаются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обычному человеку достаточно только намекнуть, о чем может идти речь, и характер происходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификаторов. Администратор видит адреса портов, к которым относились подозрительные запросы, либо параметры других операций, но не получает никакой информации о том, что же все это может означать.

Отмеченное обстоятельство сильно снижает ценность сообщений, выдаваемых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь попытка провести более тщательный анализ трафика. Иными словами, покупать названные продукты имеет смысл лишь в том случае, если в штате вашей организации есть опытные специалисты по информационной безопасности. Впрочем, фирма CyberSafe, как и ее конкуренты Axent и Network ICE, за отдельную плату оказывает профессиональные консалтинговые услуги в данной области.

Программное обеспечение eTrust Intrusion Detection корпорации Computer Associates представляет собой нечто большее, чем просто систему мониторинга сетевой активности и выявления хакерских атак. Этот продукт способен не только декодировать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система производства CA осуществляет мониторинг всего трафика TCP/IP и предупреждает администратора о случаях нарушения установленных стратегий в области информационной безопасности. Правда, эта разработка не поддерживает такого же уровня детализации наборов правил, как Intruder Alert.

В любом случае продукт Computer Associates не стоит сбрасывать со счетов. Представление захваченных сетевых пакетов в их первоначальном формате позволяет администратору использовать eTrust для чтения электронной почты, просмотра содержимого Web-страниц, которые загружают пользователи на свои компьютеры, и идентификации запрашиваемых ими документов. Все это заметно упрощает наблюдение за подозрительными видами сетевой активности. Однако чтобы достичь подлинного разнообразия типов сетевых атак, выявляемых этим пакетом, администратору придется сначала потратить изрядное количество времени на разработку наборов правил и интеграцию их в систему eTrust Intrusion Detection.

В пылу борьбы

С целью проверить способность каждого из пакетов обнаружить попытку вторжения и дать неприятелю достойный отпор мы попытались сымитировать несколько серьезных хакерских атак на тестовую сеть. Единственными продуктами, сумевшими распознать все предпринятые атаки и сгенерировать соответствующие предупреждения, оказались BlackICE и ICEcap компании Network ICE. Все остальные пропустили отдельные события, представлявшие серьезную угрозу сетевой безопасности, в основном из-за невозможности детально описать стратегии защиты. Например, в ответ на атаку типа BackOrifice программы Centrax и Intruder Alert просто не могли ничего предпринять, поскольку не знали, к какому типу относится возникшая угроза. Эти два продукта оказались особенно сложными в плане конфигурирования, так что нападение типа BackOrifice нам просто не удалось описать. Что же касается упомянутых BlackICE и ICEcap, моделировавшиеся атаки сразу же выявлялись и мы немедленно получали предупреждающие сообщения.

Нельзя не признать, что в конечном счете не все угрозы были опознаны из-за того, что мы не обладали достаточным опытом работы с этими сложными продуктами, ведь после нескольких попыток нам удалось-таки залатать дыры, которые первоначально возникли в системе сетевой защиты. Однако в реальной жизни никто не может позволить себе роскошь второго или третьего «подхода к снаряду», особенно столкнувшись с новым типом несанкционированного доступа, несущего реальную угрозу бизнесу компании. Вот почему мы отдали свои симпатии разработкам фирмы Network ICE: они оказались в состоянии полной боевой готовности сразу после инсталляции.

В процессе отражения атак неприятеля легко увлечься защитой ресурсов корпоративной сети как таковой. Но нельзя забывать и о безопасности удаленных сотрудников. В этом отношении нам показалось особенно полезным присутствие в составе ПО BlackICE персонального брандмауэра, предназначенного для пользователей, которые работают в сети своей организации через коммутируемое соединение. Как известно, с удаленным доступом связано наибольшее число лазеек для недоброжелателей, и система BlackICE была единственным из протестированных продуктов, обеспечивающим комплексную защиту удаленных и мобильных пользователей.

BlackICE выдает предупреждающие сообщения непосредственно на экран удаленной станции-клиента, а не пытается немедленно отправить их на управляющую консоль корпоративной сети. Это позволяет пользователю оперативно среагировать на происходящее. Впрочем, в последующих версиях этого продукта мы все же надеемся увидеть функцию генерации отчетов, передающую информацию о нападении, которому подвергся удаленный компьютер, на центральную административную консоль, поскольку анализ этих сведений помог бы бороться с аналогичными атаками в дальнейшем.

Однако детектирование попыток несанкционированного доступа и выдача предупреждающих сообщений - это только полдела. Программные средства сетевой защиты должны остановить действия хакера и принять контрмеры. В этом смысле наилучшее впечатление на нас произвели пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies можно настроить таким образом, что оно будет запускать на выполнение тот или иной командный файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.

Отразив атаку, хочется сразу перейти в контрнаступление. Приложения BlackICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполняются после прослеживания всего пути до «логовища», где затаился неприятель. Возможности программного обеспечения BlackICE особенно впечатляют, когда дело доходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.

А вот система eTrust поразила нас степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находится под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках и их расположении. В ходе тестирования, воспользовавшись ПО BlackICE, мы попытались выявить предполагаемых хакеров внутри сети, а затем при помощи пакета eTrust определить их точное местонахождение.

Завершая тему, отметим, что приложение Centrax способно создавать так называемые файлы-приманки, присваивая второстепенному файлу многозначительное название вроде «Ведомость.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алгоритм представляется нам слишком прямолинейным, но и он может сослужить неплохую службу - с его помощью удается «застукать» сотрудников за «прочесыванием» корпоративной сети на предмет выявления конфиденциальной информации.

Каждый из протестированных продуктов генерирует отчеты о подозрительных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. Последний пакет отличается особенной гибкостью, возможно, потому, что ведет свое происхождение от декодера протоколов. В частности, администратор может проанализировать сетевые события в проекции на отдельные ресурсы, будь то протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разработанных форматов отчетов. Их хорошо продуманная структура заметно облегчает обнаружение злоумышленников и позволяет наказать провинившихся пользователей.

Резюме

Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите коммутируемых сетей, неплохим выбором, на наш взгляд, являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection корпорации CA идеален для своевременного уведомления о случаях нарушения этики бизнеса, например об употреблении ненормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax являются прекрасным инструментарием для консультантов по вопросам информационной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услугам высокооплачиваемых гуру, мы рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.

ОБ АВТОРЕ

Тер Парнелл - консультант по телекоммуникационным технологиям и независимый автор из Далласа (шт. Техас). С ним можно связаться по электронной почте:

SYN-атаки

Эти попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service), таят в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов SYN (запросов на установление соединения), адресованных атакуемому серверу. Каждый запрос снабжается фальшивым адресом источника, что значительно затрудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос SYN, сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то что данные после этого не поступают, сервер обязан выждать определенное время (максимум 45 секунд), перед тем как разорвать соединение. Если несколько тысяч таких ложных запросов будут направлены на сервер в течение считанных минут, он окажется перегружен их обслуживанием, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате предпринятой SYN-атаки настоящим пользователям будет отказано в обслуживании.
Архитектурные вариации

Способность того или иного приложения выявлять злоумышленников напрямую зависела от его архитектуры и от усилий, требующихся для настройки конфигурации продукта.

Во всех тестировавшихся системах, за исключением eTrust Intrusion Detection корпорации Computer Associates, использована модель программных агентов, которые сначала инсталлируются на сетевых устройствах, а затем осуществляют сбор информации о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответствующие сообщения.

Системы на базе агентов являются наилучшим решением для коммутируемых сетей, поскольку в таких сетях не существует какой-либо одной точки, через которую обязательно проходит весь трафик. Вместо того чтобы следить за единственным соединением, агент осуществляет мониторинг всех пакетов, принимаемых или отправляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.

Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе BlackICE отведена роль агента, устанавливаемого в полностью автономной операционной среде, например на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. ICEcap собирает и сопоставляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопасности сети.

Система eTrust, напротив, основана на централизованной архитектуре. Она устанавливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все события в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смотровую площадку», откуда вся сеть была бы видна как на ладони.
Процедура тестирования

Для изучения функциональных возможностей программ обнаружения сетевых атак в тестовую сеть были объединены три сервера под Windows NT 4.0, брандмауэр, пять рабочих станций с операционной системой Windows NT Workstation и десять компьютеров под Windows 95 или 98. Клиентские компьютеры были оснащены процессорами Pentium II-266, а серверы - процессорами Pentium III с тактовой частотой 500 МГц. На отдельном компьютере (также с процессором Pentium III-500) был установлен брандмауэр Raptor Firewall for NT 5.0.1 компании Axent Technologies. Указанный брандмауэр мы сконфигурировали таким образом, что компьютеры сети в ответ на поступавшие извне запросы могли предоставлять наиболее общеупотребительные сервисы вроде DNS, HTTP и telnet, однако любое взаимодействие с внешним миром по протоколам FTP и SMTP допускалось только через брандмауэр. Впрочем, для имитации атаки, приводящей к отказам в обслуживании, мы разрешили брандмауэру пропускать SYN-запросы.

После инсталляции продукта мы запустили сценарии, позволившие смоделировать традиционную сетевую активность: обращение к документам, базам данных и Web-серверам, а также отправку и прием сообщений электронной почты. Затем мы предприняли несколько открытых хакерских атак на тестовую сеть и ряд замаскированных подозрительных действий. Здесь были и попытка прямого несанкционированного вторжения, и атака при помощи SYN-запросов, и сканирование трафика на отдельных портах, а также стробирующее и разделяемое сканирование пакетов, атака типа BackOrifice и выдача команд ping ко всем узлам сети.

Перейдя в наступление на сеть, мы тут же регистрировали выдачу предупреждающих сообщений, факты активизации средств защиты данных (в том числе на основе наборов правил), инициируемые тестировавшимися системами, и работу механизмов обнаружения источника атаки. Впоследствии нам удалось также проанализировать содержание сгенерированных отчетов, результаты слежения за действиями «хакера» и рекомендации в области сетевой защиты, выданные отдельными системами. Если продукт советовал администратору произвести корректирующие действия или исправить ошибку в конфигурации, мы скрупулезно следовали этим рекомендациям, а затем предпринимали атаку повторно. В том случае, когда системе удавалось идентифицировать возмутителя спокойствия, мы проверяли, насколько эта идентификация соответствует действительности. Наконец, у всех приложений оценивались функции управления выдачей уведомлений и генерацией отчетов о зафиксированных событиях, а также простота использования продуктов.

Полное название таких систем, это системы предотвращения и обнаружения атак . Или же называют СОА как один из подходов к . Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать .

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают .

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

  • реализует очевидные проколы
  • реализует неоднократные попытки на вхождение в сеть
  • пытается замести свои следы
  • реализует атаки в разное время

Рисунок — 1

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

  • выявление злоупотреблений
  • выявление аномалий

Рисунок — 2

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

  • границы сегментов
  • сетевые сегменты
  • объекты с доверием и без
  • ACL — списки контроля доступа
  • Службы и сервера которые есть

Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.

Средства обнаружения атак

Технология обнаружения атак должна справляться со следующим:

  • Распознавание популярных атак и предупреждение о них определенных лиц
  • Понимание непонятных источников данных об атаках
  • Возможность управления методами защиты не-специалистами в сфере безопасности
  • Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
  • Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю

Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:

  • Контроль эффективность . Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
  • Контроль узлов сети с устаревшим ПО
  • Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
  • Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем

Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.

Классификация систем обнаружения атак

Существует множество классификаций систем обнаружения атак, однако самой топовой есть классификация по принципу реализации:

  • host-based — система направлена на конкретный узел сети
  • network-based — система направлена на всю сеть или сегмент сети

Системы обнаружения атак которые стоят на конкретных компьютерах, обычно анализируют данных из журналов регистрации ОС и разных приложений. Однако в последнее время выпускаются программы которые тесно интегрированные с ядром ОС.

Плюсы систем обнаружения атак

Коммутация разрешает управлять большими сетями, как несколькими небольшими сетевыми сегментами. Обнаружение атак на уровне конкретного узла дает более эффективную работу в коммутируемых сетях, так как разрешает поставить системы обнаружения на тех узлах, где это нужно.

Системы сетевого уровня не нуждаются, что бы на хосте ставилось ПО системы обнаружения атак. Для контроля сетевого сегмента, нужен только один сенсор, независимо от количества узлов в данном сегменте.

Пакет отправленный от злоумышленника, не будет возвращен назад. Системы которые работают на сетевом уровне, реализуют обнаружение атак при живом трафике, тоесть в масштабе реального времени. Анализируемая информация включает данные, которые будут доказательством в суде.

Системы обнаружения которые работают на сетевом уровне, не зависят от ОС. Для таких систем все равно, какая именно ОС создала пакет.

Технология сравнения с образцами

Принцип таков, что идет анализ наличия в пакете определенной постоянной последовательности байтов — шаблон или сигнатуры. К примеру, если пакет протокола IPv4 и транспортного протокола TCP, он предназначен порту номеру 222 и в поле данных содержит строку foo , это можно считать атакой. Положительные стороны:

  • самый простой механизм обнаружения атак;
  • разрешает жестко сопоставить образец с атакующим пакетом;
  • работает для всех протоколов;
  • сигнал об атаке достоверен, если же образец верно определен.

Отрицательные стороны:

  • если атака нестандартная, есть вероятность пропустить ее;
  • если образец слишком обобщен, то вероятен большой процент ложных срабатываний;
  • Возможно что придется создавать несколько образцов для одной атаки;
  • Механизм ограничен анализом одного пакета, уловить тенденцию и развитие атаки не возможно.

Технология соответствия состояния

Так как атака по своей сущности это не единичный пакет, а поток пакетов, то этот метод работает с потоком данных. Проходит проверка несколько пакетов из каждого соединения, прежде чем делается вердикт.
Если сравнивать с предыдущим механизмом, то строка foo может быть в двух пакетах, fo и o . Итог срабатывания двух методов я думаю понятен.
Положительные стороны:

  • этот метод немного сложнее от предыдущего метода;
  • сообщение об атаке правдиво, если образец достоверный;
  • разрешает сильно увязать атаку с образцом;
  • работает для всех протоколов;
  • уклонение от атаки более сложнее чем в прошлом методе.

Отрицательные стороны:

  • Все отрицательные критерии идентичны как и в прошлом методе.

Анализ с расшифровкой протокола

Этот метод реализует осмотр атак на отдельные протоколы. Механизм определяет протокол, и применяет соответственные правила. Положительные стороны:

  • если протокол точно определен, то снижается вероятность ложных срабатываний;
  • разрешает жестко увязать образец с атакой;
  • разрешает выявить случаи нарушения правил работы с протоколами;
  • разрешает улавливать разные варианты атак на основе одной.

Отрицательные стороны:

  • Механизм является сложным для настройки;
  • Вероятен высокий процент ложных срабатываний, если стандарт протокола разрешает разночтения.

Статический анализ

Этот метод предполагает реализации логики для определения атак. Используются статистическая информация для анализа трафика. Примером выявления таких атак будет выявление сканирования портов. Для механизма даются предельные значения портов, которые могут быть реализованы на одном хосте. В такой ситуации одиночные легальные подключения в сумме дадут проявление атаки. Положительные стороны:

  • Есть такие типы атак, которые могут быть выявлены только этим механизмом.

Отрицательные стороны:

  • Такие алгоритмы требуют сложной тонкой дополнительной настройки.

Анализ на основе аномалий

Этот механизм используется не для четкого обнаружения атак, а для обнаружения подозрительной активности, которая отличается от нормальной. Основная проблема настройки такого механизма, это определения критерия нормальной активности. Также нужно учитывать допустимые отклонения от обычного трафика, которые не есть атакой. Положительные стороны:

  • Правильно настроенный анализатор выявляет даже неизвестные атаки, но нужно дополнительная работа по вводу новых правил и сигнатур атак.

Отрицательные стороны:

  • Механизм не показывает описание атаки по каждому элементу, а сообщает свои подозрение по ситуации.
  • Что бы делает выводы, не хватает полезной информации. В сети зачастую транслируется бесполезная.
  • Определяющий фактор это среда функционирования.

Варианты реакций на обнаруженные атаки

Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования.

  • Категоря: Без рубрики

    • Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой…

    Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.

    Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.

    Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения.

    Большинство персональных межсетевых экранов обладают подобной функцией.

    Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.

    UNIX-компьютеры:

    Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».

    Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.

    Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.

    Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.

Первые системы, позволявшие выявлять подозрительную сетевую активность в корпоративных интрасетях, появились без малого 30 лет назад. Можно вспомнить, например, систему MIDAS, разработанную в 1988 году. Однако это был скорее прототип.

Препятствием к созданию полноценных систем данного класса долгое время была слабая вычислительная мощность массовых компьютерных платформ, и по-настоящему работающие решения были представлены лишь спустя 10 лет. Несколько позже на рынок вышли первые коммерческие образцы систем обнаружения вторжений (СОВ, или IDS — Intrusion Detection Systems)…

На сегодня задача обнаружения сетевых атак — одна из важнейших. Ее значимость возросла ввиду усложнения как методов атак, так и топологии и состава современных интрасетей. Если прежде для выполнения успешной атаки злоумышленникам было достаточно использовать известный стек эксплойтов, теперь они прибегают к гораздо более изощренным методам, соревнуясь в квалификации со специалистами на стороне защиты.

Современные требования к IDS

Системы обнаружения вторжений, зарегистрированные в реестре российского программного обеспечения, в большинстве своем используют сигнатурные методы. Либо заявляют определение аномалий, но аналитика, как максимум, оперирует данными не детальнее типа протокола. «Плутон» же основан на глубоком анализе пакетов с определением программного обеспечения. «Плутон» накладывает данные пришедшего пакета на специфику данных хоста — более точная и гибкая аналитика.

Ранее поверхностный анализ и сигнатурные методы успешно выполняли свои функции (тогда злоумышленники пытались эксплуатировать уже известные уязвимости ПО). Но в современных условиях атаки могут быть растянуты во времени (так называемые APT), когда их трафик маскируется путем шифрования и обфускации (запутывания), тогда сигнатурные методы малоэффективны. Кроме того, современные атаки используют различные способы обхода IDS.

В результате трудозатраты на конфигурирование и поддержку традиционных систем обнаружения вторжений могут превысить разумные пределы, и зачастую бизнес приходит к выводу, что такое занятие — только лишняя трата ресурсов. В результате IDS существует формально, выполняя лишь задачу присутствия, а информационные системы предприятия остаются по-прежнему беззащитными. Такая ситуация чревата еще большими потерями.

IDS нового поколения

СОВ ПАК «Плутон», разработанный компанией «Инфосистемы Джет» — это высокопроизводительный комплекс нового поколения для обнаружения сетевых атак. В отличие от традиционных IDS «Плутон» сочетает в себе одновременный анализ сетевых пакетов сигнатурным и эвристическим методами с сохранением данных окружения, предоставляет глубокую аналитику и расширение набора данных для расследования. Передовые методы определения потенциальных угроз, которые дополняются ретроспективными данными о сетевом окружении, трафике, а также логами системы, делают «Плутон» важным элементом системы защиты информации предприятия. Система способна выявлять признаки компьютерных атак и аномалий в поведении узлов сети в каналах связи пропускной способностью более 1 Гбит/с.

Помимо обнаружения признаков компьютерных атак на информационные системы «Плутон» обеспечивает серьезную защиту собственных компонентов, а также защиту каналов связи: в случае отказа оборудования соединение не будет прервано. Все компоненты «Плутон» функционируют в замкнутой программной среде — это делает невозможным запуск стороннего программного кода и служит дополнительной гарантией от заражения вредоносной программой. Поэтому можно быть уверенным, что «Плутон» не станет для злоумышленников «окном» в вашу сеть и не превратится в «головную боль» для сетевиков и безопасников.

«Плутон» тщательно следит за своим «здоровьем», контролируя целостность конфигурации компонентов системы, данных о собранных сетевых событиях информационной безопасности и сетевом трафике. Тем самым обеспечивается корректность функционирования компонентов системы и, соответственно, стабильность ее работы. А применение специальных сетевых плат в составе компонентов решения позволяет исключить разрыв каналов связи даже при полном выходе оборудования из строя или отключении электропитания.

Принимая во внимание сложности внедрения систем обнаружения вторжений, а также постоянное увеличение пропускной способности каналов связи, мы предусмотрели возможность гибкого горизонтального масштабирования компонентов комплекса. Если возникнет необходимость подключить к системе дополнительные сетевые сенсоры, для этого будет достаточно установить дополнительный сервер управления, связав его в кластер с существующим. При этом вычислительные мощности обоих серверов будут логически объединены в единый ресурс. Таким образом увеличение производительности системы становится очень простой задачей. Кроме того, система обладает отказоустойчивой архитектурой: в случае отказа одного из компонентов поток событий автоматически перенаправляется на резервные компоненты кластера.

В основе «Плутон» лежит наш более чем 20-летний опыт развертывания и эксплуатации комплексных систем защиты. Мы знаем наиболее частые проблемы заказчиков и недостатки современных решений класса IDS. Наша экспертиза позволила выявить наиболее актуальные задачи и помогла найти оптимальные пути их решения.

На текущий момент идет покомпонентная сертификация комплекса «Плутон» по требованиям к системам обнаружения вторжений уровня сети (2-й класс защиты) и на отсутствие недекларированных возможностей (2-й уровень контроля).

Функции «Плутон»:

Выявление в сетевом трафике признаков компьютерных атак, в том числе распределенных во времени, сигнатурным и эвристическим методами;

Контроль аномальной активности узлов сети и выявление признаков нарушения корпоративной политики безопасности;

. накопление и хранение:

— ретроспективных данных об обнаруженных событиях информационной безопасности с настраиваемой глубиной хранения;

— инвентаризационной информации о сетевых узлах (профиле хоста);

— информации о сетевых коммуникациях узлов, в том числе статистики потребления трафика (от сетевого до прикладного уровня по модели OSI);

— метаданных о передаваемых между узлами сети файлах;

Передача результатов анализа сетевого трафика во внешние системы защиты для повышения эффективности выявления инцидентов ИБ различного типа;

Предоставление доказательной базы по фактам компьютерных атак и сетевых коммуникаций для расследования инцидентов.