3. Программные средства обнаружения и отражения угроз

Процесс осуществления атаки на АС включает три этапа. Первый этап, подготовительный, заключается в поиске предпосылок для осуществления той или иной атаки. На этом этапе ищутся уязвимости, использование которых приводит к реализации атаки, т. е. ко второму этапу. На третьем этапе атака завершается, "заметаются" следы и т. д. При этом первый и третий этапы сами по себе могут являться атаками.

Обнаруживать, блокировать и предотвращать атаки можно несколькими путями. Первый способ, и самый распространённый, - это обнаружение уже реализуемых атак. Данный способ функционирует на втором этапе осуществления атаки. Этот способ применяется в "классических" системах обнаружения атак:

* серверах аутентификации;

* системах разграничения доступа;

* межсетевых экранах и т. п.

Основным недостатком средств данного класса является то, что атаки могут быть реализованы повторно. Они также повторно обнаруживаются и блокируются. И так далее, до бесконечности.

Второй путь - предотвратить атаки ещё до их реализации. Осуществляется это путём поиска уязвимостей, которые могут быть использованы для реализации атаки.

И наконец, третий путь - обнаружение уже совершённых атак и предотвращение их повторного осуществления.

Таким образом, системы обнаружения атак могут быть классифицированы по этапам осуществления атаки.

1. Системы, функционирующие на первом этапе осуществления атаки и позволяющие обнаружить уязвимости информационной системы, используемые нарушителем для реализации атаки. Средства этой категории называются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners).

Системы анализа защищённости проводят всесторонние исследования систем с целью обнаружения уязвимостей. Результаты, полученные от средств анализа защищённости, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то что эти системы не могут обнаруживать атаку в процессе её развития, они могут определить возможность реализации атак.

Эти системы реализуют две стратегии. Первая стратегия - пассивная, реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие неправильных параметров, файлов паролей на наличие легко угадываемых паролей, а также других системных объектов на нарушения политики безопасности. Вторая стратегия - активная, осуществляется в большинстве случаев на сетевом уровне. Она заключается в воспроизведении наиболее распространенных сценариев атак и анализе реакции системы на эти сценарии.

2. Системы, функционирующие на втором этапе осуществления атаки и позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. Помимо этого в последнее время выделяется новый класс средств обнаружения атак - обманные системы.

Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и прикладного программного обеспечения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в том числе и использующие известные уязвимости, сравнивая контролируемое пространство (сетевой трафик или журналы регистрации) с известными шаблонами (сигнатурами) несанкционированных действий.

Обманные системы могут использовать следующие методы: сокрытие, камуфляж и дезинформацию. Ярким примером использования первого метода является сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows NT. Если злоумышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT . Это существенно увеличит время, необходимое для "успешной" реализации атаки. И наконец, в качестве примера дезинформации можно назвать использование заголовков, которые бы давали понять злоумышленнику, что атакуемая им система уязвима.

Системы, реализующие камуфляж и дезинформацию, эмулируют те или иные известные уязвимости, которых в реальности не существует.

Использование таких систем приводит к следующему:

* Увеличение числа выполняемых нарушителем операций и действий. Так как невозможно заранее определить, является ли обнаруженная нарушителем уязвимость истинной или нет, злоумышленнику приходится выполнять много дополнительных действий, чтобы выяснить это. И даже дополнительные действия не всегда помогают. Например, попытка запустить программу подбора паролей на сфальсифицированный и несуществующий в реальности файл приведёт к бесполезной трате времени без какого-либо видимого результата. Нападающий будет думать, что он не смог подобрать пароли, в то время как на самом деле программа "взлома" была просто обманута.

* Получение возможности отследить нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в том числе и фиктивные, администраторы безопасности могут проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры.

3. Системы, функционирующие на третьем этапе осуществления атаки и позволяющие обнаружить уже совершённые атаки. Эти системы делятся на два класса - системы контроля целостности, обнаруживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации.

Системы контроля целостности работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; затем они сравнивают их с предыдущими контрольными суммами, отыскивая изменения. Когда изменение обнаружено, система посылает сообщение администратору, фиксируя вероятное время изменения.

Существует ещё одна распространённая классификация систем обнаружения нарушения политики безопасности - по принципу реализации: host-based, т.е. обнаруживающие атаки, направленные на конкретный узел сети, и network-based, направленные на всю сеть или сегмент сети. Существуют три основных вида систем обнаружения атак на уровне узла.

4. Системы, обнаруживающие атаки на конкретные приложения.

5. Системы, обнаруживающие атаки на операционные системы.

6. Системы, обнаруживающие атаки на системы управления базами данных (СУБД).

4. Внедрение программных средств обнаружения атак для информационной системы предприятия

Вопросы реализации и обеспечения ИБ прямо входят в сферу ответственности руководителя ИТ-департамента (если компания крупная) или ИТ-отдела или ИТ-службы. Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются: принятие только самых общих организационных мер обеспечения безопасности информации в ИС, использование только простых дополнительных средств защиты информации (СЗИ). В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как показывает опыт, не выполняются. Во втором случае приобретаются и устанавливаются дополнительные средства защиты. Применение СЗИ без соответствующей организационной поддержки и планового обучения также неэффективно в связи с тем, что без установленных жестких правил обработки информации в ИС и доступа к данным использование любых СЗИ только усиливает существующий беспорядок. Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач: создать специальное подразделение, обеспечивающее разработку правил эксплуатации корпоративной информационной системы, определяющее полномочия пользователей по доступу к ресурсам этой системы и осуществляющее административную поддержку средств защиты (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т. п.); разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств; внедрить технологию защиты информации и КИС путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т. п.), а также организовать обучение всех сотрудников, являющихся администраторами и пользователями КИС. При создании подразделения информационной безопасности надо учитывать, что для эксплуатации простых средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования СЗИ. В то же время разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой корпоративной информационной системы организации. Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации - не столько тех, в которых работают конечные пользователи информационной системы, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники. Для минимизации расходов на разработку и эффективное внедрение технологии обеспечения информационной безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ. При этом, в любом случае, ответственность за разработку, внедрение и эффективность работы защитных систем несет высшее руководство компании.

Разрабатываемая технология информационной безопасности должна обеспечивать: дифференцированный подход к защите различных АРМ и подсистем (уровень защищенности должен определяться с позиций разумной достаточности с учетом важности обрабатываемой информации и решаемых задач); максимальную унификацию средств защиты информации с одинаковыми требованиями к безопасности; реализацию разрешительной системы доступа к ресурсам ИС; минимизацию, формализацию (в идеале - автоматизацию) реальной выполнимости рутинных операций и согласованность действий различных подразделений по реализации требований разработанных положений и инструкций, не создавая больших неудобств при решении сотрудниками своих основных задач; учет динамики развития автоматизированной системы, регламентацию не только стационарного процесса эксплуатации защищенных подсистем, но и процессов их модернизации, связанных с многочисленными изменениями аппаратно-программной конфигурации АРМ; минимизацию необходимого числа специалистов отдела, занимающихся защитой информации. Надо совершенно четко понимать, что соблюдение необходимых требований по защите информации, препятствующих осуществлению несанкционированных изменений в системе, неизбежно приводит к усложнению процедуры правомочной модификации ИС. В этом состоит одно из наиболее остро проявляющихся противоречий между обеспечением безопасности и развитием и совершенствованием автоматизированной системы. Технология обеспечения информационной безопасности должна быть достаточно гибкой и предусматривать особые случаи экстренного внесения изменений в программно-аппаратные средства защищаемой ИС.

В зависимости от масштаба компании можно выделить три основных класса сетей: IECO (International Enterprise Central Office) - центральная сеть международной распределенной компании, которая может насчитывать сотни и тысячи узлов; ROBO (Regional Office / Branch Office) - сеть регионального филиала, насчитывающего несколько десятков или сотен узлов; SOHO (Small Office / Home Office), - сети небольших филиалов или домашние (мобильные) компьютеры, подключаемые к центральной сети. Можно также выделить три основных сценария обеспечения информационной безопасности для этих классов сетей, различающихся различными требованиями по обеспечению защиты информации.

При первом сценарии минимальный уровень защищенности обеспечивается за счет возможностей, встроенных в сетевое оборудование, которое установлено на периметре сети (например, в маршрутизаторах). В зависимости от масштабов защищаемой сети эти возможности (защита от подмены адресов, минимальная фильтрация трафика, доступ к оборудованию по паролю и т. д.) реализуются в магистральных маршрутизаторах - например, Cisco 7500 или Nortel BCN, маршрутизаторах региональных подразделений - например, Cisco 2500 или Nortel ASN, и маршрутизаторах удаленного доступа - например, Cisco 1600 или 3ComOfficeConnect. Больших дополнительных финансовых затрат этот сценарий не требует.

Второй сценарий, обеспечивающий средний уровень защищенности, реализуется уже при помощи дополнительно приобретенных средств защиты, к которым могут быть отнесены несложные межсетевые экраны, системы обнаружения атак и т. п. В центральной сети может быть установлен межсетевой экран (например, CheckPoint Firewall-1), на маршрутизаторах могут быть настроены простейшие защитные функции, обеспечивающие первую линию обороны (списки контроля доступа и обнаружение некоторых атак), весь входящий трафик проверяется на наличие вирусов и т. д. Региональные офисы могут защищаться более простыми моделями межсетевых экранов. При отсутствии в регионах квалифицированных специалистов рекомендуется устанавливать программно-аппаратные комплексы, управляемые централизованно и не требующие сложной процедуры ввода в эксплуатацию (например, CheckPoint VPN-1 Appliance на базе Nokia IP330).

Третий сценарий, позволяющий достичь максимального уровня защищенности, предназначен для серверов e-Commerce, Internet-банков и т. д. В этом сценарии применяются высокоэффективные и многофункциональные межсетевые экраны, серверы аутентификации, системы обнаружения атак и системы анализа защищенности. Для защиты центрального офиса могут быть применены кластерные комплексы межсетевых экранов, обеспечивающих отказоустойчивость и высокую доступность сетевых ресурсов (например, CheckPoint VPN-1 Appliance на базе Nokia IP650 или CheckPoint VPN-1 с High Availability Module). Также вкластер могут быть установлены системы обнаружения атак (например, RealSecure Appliance).

Для обнаружения уязвимых мест, которые могут быть использованы для реализации атак, могут быть применены системы анализа защищенности (например, семейство SAFE - suite компании Internet Security Systems). Аутентификация внешних и внутренних пользователей осуществляется при помощи серверов аутентификации (например, CiscoSecure ACS). Ну и, наконец, доступ домашних (мобильных) пользователей к ресурсам центральной и региональных сетей обеспечивается по защищенному VPN-соединению. Виртуальные частные сети (Virtual Private Network - VPN) также используются для обеспечения защищенного взаимодействия центрального и региональных офисов. Функции VPN могут быть реализованы как при помощи межсетевых экранов(например, CheckPoint VPN-1), так и при помощи специальных средств построения VPN. Авторизованное обучение и поддержка помогут быстро ввести систему защиты в эксплуатацию и настроить ее на технологию обработки информации, принятую в организации. Примерная стоимость обновления составляет около 15-20% стоимости программного обеспечения. Стоимость годовой поддержки со стороны производителя, которая, как правило, уже включает в себя обновление ПО, составляет около 20-30% стоимости системы защиты. Таким образом, каждый год нужно тратить не менее 20-30% стоимости ПО на продление технической поддержки средств защиты информации. Стандартный набор средств комплексной защиты информации в составе современной ИС обычно содержит следующие компоненты:

· средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (FileEncryption System - FES);

· средства авторизации и разграничения доступа к информационным ресурсам, а также защиту от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.);

· средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);

· средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;

· средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN);

· средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection);

· средства обеспечения централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной "Политикой безопасности компании".

В зависимости от масштаба деятельности компании методы и средства обеспечения ИБ могут различаться, но любой квалифицированный CIO или специалист IT-службы скажет, что любая проблема в области ИБ не решается односторонне - всегда требуется комплексный, интегральный подход.

компьютерный атака информационный угроза

Заключение

Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Но программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Если бы все атаки строились по модели "один к одному", то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. Поэтому появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак. Система обнаружения атак - это всего лишь необходимое, но явно недостаточное условие для обеспечения эффективной системы защиты организации. Необходимо провести целый спектр организационных и технических мероприятий для построения целостной системы защиты организации, это: анализ рисков, разработка политики безопасности, установка, настройка различных средств защиты , обучение специалистов, и т.д. Эффективная и надежная система обнаружения атак позволяет собирать, обобщать и анализировать информацию от множества удаленных сенсоров на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные модули слежения и мгновенно реагирует в случае возникновения тревоги. Система обнаружения атак не более чем дорогостоящая игрушка, если в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак.

Литература

1. Комплексный подход к построению интеллектуальной системы обнаружения атак / Васильев В. И., Свечников Л. А., Кашаев Т. Р. // Системы управления и информационные технологии, Воронеж, №2,2007. - С. 76-82.

2. Проблема построения защищенных Internet-серверов / Свечников Л.А., Кашаев Т.Р. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2003. - С. 9.

3. Использование AD для разработки защищенных приложений / Свечников Л.А., Кашаев Т.Р., Кустов Г.А. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2003. -С. 21.

4. Структура интеллектуальной распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., Калабухов М.С. // Компьютерные науки и информационные технологии: Труды 7-й Международной конференции (CSIT'2005), Т. 2, Уфа: Изд-во УГАТУ, 2005. - С. 200-206 (на англ. языке).

5. Архитектура распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., // Информационная безопасность: Материалы 8-й международной научно-практической конференции. Часть 1 - Таганрог: Изд-во ТРТУ, 2006. - С. 180-184.

6. Архитектура распределенной системы обнаружения атак/ Свечников Л.А. // Компьютерные науки и информационные технологии: Труды 8-й Международной конференции (CSIT'2006), г. Карлсруэ, Германия, Уфа: Изд-во УГАТУ, 2006. - Том 2, С. 177-179 (на англ. языке).

7. Подход к реализации нейросетевого сенсора интеллектуальной системы обнаружения атак / Васильев В.И., Свечников JI.A. // Вычислительная техника и новые информационные технологии. Межвузовский научный сборник, Уфа: Изд-во УГАТУ,2006. №6 - С. 161-166.

8. Моделирование и оптимизация системы обнаружения атак в локальных вычислительных сетях/ Свечников JI.A. // Интеллектуальные системы обработки информации и управления: Сборник статей 2-й региональной зимней школы-семинара аспирантов и молодых ученых, г. Уфа: Издательство "Технология", 2007 -Том 1, С. 175-178.

9. Подход к моделированию атак на автоматизированную информационную систему / Свечников JI.A. // Интеллектуальные системы обработки информации и управления: Сборник статей 2-й региональной зимней школы-семинара аспирантов и молодых ученых, г. Уфа: Издательство "Технология", 2010.-Том 1,С. 178-189.

10. Васильев В.И., Свечников JI.A. Свид. об офиц. per. программы для ЭВМ №2008611106. Модуль обнаружения, анализа и подавления атак. М.: Роспатент, 2008. Зарег. 29.08.2008.

11. Защита информации. Основные термины и определения: ГОСТ Р 50922-2006.

12. Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных: Приказ от 5 февраля 2010 г. N 58 // Федеральная служба по техническому и экспортному контролю.

13. Руководство по разработке профилей защиты и заданий по безопасности: Руководящий документ // Гостехкомиссия России, 2003 г.

14. Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты ИТ.СОВ.С4.ПЗ: Методический документ ФСТЭК России // Утвержден ФСТЭК России 3 февраля 2012 г.

Размещено на Allbest.ru