Методы обнаружения вторжений. Программы для государственных учреждений США. Бизнес-преимущества внедряемого решения

В настоящее время защита, обеспечиваемая файерволом и антивирусом, уже не эффективна против сетевых атак и малварей. На первый план выходят решения класса IDS/IPS, которые могут обнаруживать и блокировать как известные, так и еще не известные угрозы.

INFO

• О Mod_Security и GreenSQL-FW читай в статье «Последний рубеж», ][_12_2010.
• Как научить iptables «заглядывать» внутрь пакета, читай в статье «Огненный щит», ][_12_2010.

Технологии IDS/IPS

Чтобы сделать выбор между IDS или IPS, следует понимать их принципы работы и назначение. Так, задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные. Существует несколько видов систем обнаружения вторжений. Весьма популярны APIDS (Application protocol-based IDS), которые мониторят ограниченный список прикладных протоколов на предмет специфических атак. Типичными представителями этого класса являются PHPIDS , анализирующий запросы к PHP-приложениям, Mod_Security, защищающий веб-сервер (Apache), и GreenSQL-FW, блокирующий опасные SQL-команды (см. статью «Последний рубеж» в ][_12_2010).

Сетевые NIDS (Network Intrusion Detection System) более универсальны, что достигается благодаря технологии DPI (Deep Packet Inspection, глубокое инспектирование пакета). Они контролируют не одно конкретное приложение, а весь проходящий трафик, начиная с канального уровня.

Для некоторых пакетных фильтров также реализована возможность «заглянуть внутрь» и блокировать опасность. В качестве примера можно привести проекты OpenDPI и Fwsnort . Последний представляет собой программу для преобразования базы сигнатур Snort в эквивалентные правила блокировки для iptables. Но изначально файервол заточен под другие задачи, да и технология DPI «накладна» для движка, поэтому функции по обработке дополнительных данных ограничены блокировкой или маркированием строго определенных протоколов. IDS всего лишь помечает (alert) все подозрительные действия. Чтобы заблокировать атакующий хост, администратор самостоятельно перенастраивает брандмауэр во время просмотра статистики. Естественно, ни о каком реагировании в реальном времени здесь речи не идет. Именно поэтому сегодня более интересны IPS (Intrusion Prevention System, система предотвращения атак). Они основаны на IDS и могут самостоятельно перестраивать пакетный фильтр или прерывать сеанс, отсылая TCP RST. В зависимости от принципа работы, IPS может устанавливаться «в разрыв» или использовать зеркалирование трафика (SPAN), получаемого с нескольких сенсоров. Например, в разрыв устанавливается Hogwash Light BR , которая работает на втором уровне OSI. Такая система может не иметь IP-адреса, а значит, остается невидимой для взломщика.

В обычной жизни дверь не только запирают на замок, но и дополнительно защищают, оставляя возле нее охранника, ведь только в этом случае можно быть уверенным в безопасности. В IT в качестве такого секьюрити выступают хостовые IPS (см. «Новый оборонительный рубеж» в ][_08_2009), защищающие локальную систему от вирусов, руткитов и взлома. Их часто путают с антивирусами, имеющими модуль проактивной защиты. Но HIPS, как правило, не используют сигнатуры, а значит, не требуют постоянного обновления баз. Они контролируют гораздо больше системных параметров: процессы, целостность системных файлов и реестра, записи в журналах и многое другое.

Чтобы полностью владеть ситуацией, необходимо контролировать и сопоставлять события как на сетевом уровне, так и на уровне хоста. Для этой цели были созданы гибридные IDS, которые коллектят данные из разных источников (подобные системы часто относят к SIM - Security Information Management). Среди OpenSource-проектов интересен Prelude Hybrid IDS, собирающий данные практически со всех OpenSource IDS/IPS и понимающий формат журналов разных приложений (поддержка этой системы приостановлена несколько лет назад, но собранные пакеты еще можно найти в репозиториях Linux и *BSD).

В разнообразии предлагаемых решений может запутаться даже профи. Сегодня мы познакомимся с наиболее яркими представителями IDS/IPS-систем.

Объединенный контроль угроз

Современный интернет несет огромное количество угроз, поэтому узкоспециализированные системы уже не актуальны. Необходимо использовать комплексное многофункциональное решение, включающее все компоненты защиты: файервол, IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам-фильтр. Такие устройства получили название UTM (Unified Threat Management, объединенный контроль угроз). В качестве примеров UTM можно привести Trend Micro Deep Security , Kerio Control , Sonicwall Network Security , FortiGate Network Security Platforms and Appliances или специализированные дистрибутивы Linux, такие как Untangle Gateway, IPCop Firewall, pfSense (читай их обзор в статье «Сетевые регулировщики», ][_01_2010).

Suricata

Бета-версия этой IDS/IPS была представлена на суд общественности в январе 2010-го после трех лет разработок. Одна из главных целей проекта - создание и обкатка совершенно новых технологий обнаружения атак. За Suricata стоит объединение OISF, которое пользуется поддержкой серьезных партнеров, включая ребят из US Department of Homeland Security. Актуальным на сегодня является релиз под номером 1.1, вышедший в ноябре 2011 года. Код проекта распространяется под лицензией GPLv2, но финансовые партнеры имеют доступ к не GPL-версии движка, которую они могут использовать в своих продуктах. Для достижения максимального результата к работе привлекается сообщество, что позволяет достигнуть очень высокого темпа разработки. Например, по сравнению с предыдущей версией 1.0, объем кода в 1.1 вырос на 70%. Некоторые современные IDS с длинной историей, в том числе и Snort, не совсем эффективно используют многопроцессорные/многоядерные системы, что приводит к проблемам при обработке большого объема данных. Suricata изначально работает в многопоточном режиме. Тесты показывают, что она шестикратно превосходит Snort в скорости (на системе с 24 CPU и 128 ГБ ОЗУ). При сборке с параметром ‘—enable-cuda’ появляется возможность аппаратного ускорения на стороне GPU. Изначально поддерживается IPv6 (в Snort активируется ключом ‘—enable-ipv6’), для перехвата трафика используются стандартные интерфейсы: LibPcap, NFQueue, IPFRing, IPFW. Вообще, модульная компоновка позволяет быстро подключить нужный элемент для захвата, декодирования, анализа или обработки пакетов. Блокировка производится средствами штатного пакетного фильтра ОС (в Linux для активации режима IPS необходимо установить библиотеки netlink-queue и libnfnetlink). Движок автоматически определяет и парсит протоколы (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP и SCTP), поэтому в правилах необязательно привязываться к номеру порта (как это делает Snort), достаточно лишь задать действие для нужного протокола. Ivan Ristic, автор Mod_security, создал специальную библиотеку HTP, применяемую в Suricata для анализа HTTP-трафика. Разработчики прежде всего стремятся добиться точности обнаружения и повышения скорости проверки правил.

Вывод результатов унифицирован, поэтому можно использовать стандартные утилиты для их анализа. Собственно, все бэк-энды, интерфейсы и анализаторы, написанные для Snort (Barnyard, Snortsnarf, Sguil и т. д.), без доработок работают и с Suricata. Это тоже большой плюс. Обмен по HTTP подробно журналируется в файле стандартного формата Apache.

Основу механизма детектирования в Suricata составляют правила (rules). Здесь разработчики не стали пока ничего изобретать, а позволили подключать рулсеты, созданные для других проектов: Sourcefire VRT (можно обновлять через Oinkmaster), и Emerging Threats Pro . В первых релизах поддержка была лишь частичной, и движок не распознавал и не загружал некоторые правила, но сейчас эта проблема решена. Реализован и собственный формат rules, внешне напоминающий снортовский. Правило состоит из трех компонентов: действие (pass, drop, reject или alert), заголовок (IP/порт источника и назначения) и описание (что искать). В настройках используются переменные (механизм flowint), позволяющие, например, создавать счетчики. При этом информацию из потока можно сохранять для последующего использования. Такой подход, применяемый для отслеживания попыток подбора пароля, более эффективен, чем используемый в Snort метод, который оперирует пороговым значением срабатывания. Планируется создание механизма IP Reputation (вроде SensorBase Cisco, см. статью «Потрогай Cisco» в ][_07_2011).

Резюмируя, отмечу, что Suricata - это более быстрый движок, чем Snort, полностью совместимый с ним по правилам и бэк-эндам и способный проверять большие сетевые потоки. Единственный недостаток проекта - скудная документация, хотя опытному админу ничего не стоит разобраться с настройками. В репозиториях дистрибутивов уже появились пакеты для установки, а на сайте проекта доступны внятные инструкции по самостоятельной сборке из исходников. Есть и готовый дистрибутив Smooth-sec , построенный на базе Suricata.

Samhain

Выпускаемый под OpenSource-лицензией Samhain относится к хостовым IDS, защищающим отдельный компьютер. Он использует несколько методов анализа, позволяющих полностью охватить все события, происходящие в системе:

• создание при первом запуске базы данных сигнатур важных файлов и ее сравнение в дальнейшем с «живой» системой;
• мониторинг и анализ записей в журналах;
• контроль входа/выхода в систему;
• мониторинг подключений к открытым сетевым портам;
• контроль файлов с установленным SUID и скрытых процессов.

Программа может быть запущена в невидимом режиме (задействуется модуль ядра), когда процессы ядра невозможно обнаружить в памяти. Samhain также поддерживает мониторинг нескольких узлов, работающих под управлением разных ОС, с регистрацией всех событий в одной точке. При этом установленные на удаленных узлах агенты отсылают всю собранную информацию (TCP, AES, подпись) по зашифрованному каналу на сервер (yule), который сохраняет ее в БД (MySQL, PostgreSQL, Oracle). Кроме того, сервер отвечает за проверку статуса клиентских систем, распространение обновлений и конфигурационных файлов. Реализовано несколько вариантов для оповещений и отсылки собранной информации: e-mail (почта подписывается во избежание подделки), syslog, лог-файл (подписывается), Nagios, консоль и др. Управление можно осуществлять с помощью нескольких администраторов с четко установленными ролями.

Пакет доступен в репозиториях практически всех дистрибутивов Linux, на сайте проекта есть описание, как установить Samhain под Windows.

StoneGate Intrusion Prevention System

Это решение разработано финской компанией, которая занимается созданием продуктов корпоративного класса в сфере сетевой безопасности. В нем реализованы все востребованные функции: IPS, защита от DDoS- и 0day-атак, веб-фильтрация, поддержка зашифрованного трафика и т. д. С помощью StoneGate IPS можно заблокировать вирус, spyware, определенные приложения (P2P, IM и прочее). Для веб-фильтрации используется постоянно обновляемая база сайтов, разделенных на несколько категорий. Особое внимание уделяется защите от обхода систем безопасности AET (Advanced Evasion Techniques). Технология Transparent Access Control позволяет разбить корпоративную сеть на несколько виртуальных сегментов без изменения реальной топологии и установить для каждого из них индивидуальные политики безопасности. Политики проверки трафика настраиваются при помощи шаблонов, содержащих типовые правила. Эти политики создаются в офлайн-режиме. Администратор проверяет созданные политики и загружает их на удаленные узлы IPS. Похожие события в StoneGate IPS обрабатываются по принципу, используемому в SIM/SIEM-системах, что существенно облегчает анализ. Несколько устройств легко можно объединить в кластер и интегрировать с другими решениями StoneSoft - StoneGate Firewall/VPN и StoneGate SSL VPN. Управление при этом обеспечивается из единой консоли управления (StoneGate Management Center), состоящей из трех компонентов: Management Server, Log Server и Management Client. Консоль позволяет не только настраивать работу IPS и создавать новые правила и политики, но и производить мониторинг и просматривать журналы. Она написана на Java, поэтому доступны версии для Windows и Linux.

StoneGate IPS поставляется как в виде аппаратного комплекса, так и в виде образа VMware. Последний предназначен для установки на собственном оборудовании или в виртуальной инфраструктуре. И кстати, в отличие от создателей многих подобных решений, компания-разработчик дает скачать тестовую версию образа.

IBM Security Network Intrusion Prevention System

Система предотвращения атак, разработанная IBM, использует запатентованную технологию анализа протоколов, которая обеспечивает превентивную защиту в том числе и от 0day-угроз. Как и у всех продуктов серии IBM Security, его основой является модуль анализа протоколов - PAM (Protocol Analysis Module), сочетающий в себе традиционный сигнатурный метод обнаружения атак (Proventia OpenSignature) и поведенческий анализатор. При этом PAM различает 218 протоколов уровня приложений (атаки через VoIP, RPC, HTTP и т. д.) и такие форматы данных, как DOC, XLS, PDF, ANI, JPG, чтобы предугадывать, куда может быть внедрен вредоносный код. Для анализа трафика используется более 3000 алгоритмов, 200 из них «отлавливают» DoS. Функции межсетевого экрана позволяют разрешить доступ только по определенным портам и IP, исключая необходимость привлечения дополнительного устройства. Технология Virtual Patch блокирует вирусы на этапе распространения и защищает компьютеры до установки обновления, устраняющего критическую уязвимость. При необходимости администратор сам может создать и использовать сигнатуру. Модуль контроля приложений позволяет управлять P2P, IM, ActiveX-элементами, средствами VPN и т. д. и при необходимости блокировать их. Реализован модуль DLP, отслеживающий попытки передачи конфиденциальной информации и перемещения данных в защищаемой сети, что позволяет оценивать риски и блокировать утечку. По умолчанию распознается восемь типов данных (номера кредиток, телефоны…), остальную специфическую для организации информацию админ задает самостоятельно при помощи регулярных выражений. В настоящее время большая часть уязвимостей приходится на веб-приложения, поэтому в продукт IBM входит специальный модуль Web Application Security, который защищает системы от распространенных видов атак: SQL injection, LDAP injection, XSS, JSON hijacking, PHP file-includers, CSRF и т. д.

Предусмотрено несколько вариантов действий при обнаружении атаки - блокировка хоста, отправка предупреждения, запись трафика атаки (в файл, совместимый с tcpdump), помещение узла в карантин, выполнение настраиваемого пользователем действия и некоторые другие. Политики прописываются вплоть до каждого порта, IP-адреса или зоны VLAN. Режим High Availability гарантирует, что в случае выхода из строя одного из нескольких устройств IPS, имеющихся в сети, трафик пойдет через другое, а установленные соединения не прервутся. Все подсистемы внутри железки - RAID, блок питания, вентилятор охлаждения - дублированы. Настройка, производящаяся при помощи веб-консоли, максимально проста (курсы обучения длятся всего один день). При наличии нескольких устройств обычно приобретается IBM Security SiteProtector, который обеспечивает централизованное управление, выполняет анализ логов и создает отчеты.

McAfee Network Security Platform 7

IntruShield IPS, выпускавшийся компанией McAfee, в свое время был одним из популярных IPS-решений. Теперь на его основе разработан McAfee Network Security Platform 7 (NSP). В дополнение ко всем функциями классического NIPS новый продукт получил инструменты для анализа пакетов, передаваемых по внутренней корпоративной сети, что помогает обнаруживать зловредный трафик, инициируемый зараженными компами. В McAfee используется технология Global Threat Intelligence, которая собирает информацию с сотен тысяч датчиков, установленных по всему миру, и оценивает репутацию всех проходящих уникальных файлов, IP- и URL-адресов и протоколов. Благодаря этому NSP может обнаруживать трафик ботнета, выявлять 0day-угрозы и DDoS-атаки, а такой широкий охват позволяет свести к нулю вероятность ложного срабатывания.

Не каждая IDS/IPS может работать в среде виртуальных машин, ведь весь обмен происходит по внутренним интерфейсам. Но NSP не испытывает проблем с этим, он умеет анализировать трафик между VM, а также между VM и физическим хостом. Для наблюдения за узлами используется агентский модуль от компании Reflex Systems, который собирает информацию о трафике в VM и передает ее в физическую среду для анализа.

Движок различает более 1100 приложений, работающих на седьмом уровне OSI. Он просматривает трафик при помощи механизма контент-анализа и предоставляет простые инструменты управления.

Кроме NIPS, McAfee выпускает и хостовую IPS - Host Intrusion Prevention for Desktop, которая обеспечивает комплексную защиту ПК, используя такие методы детектирования угроз, как анализ поведения и сигнатур, контроль состояния соединений с помощью межсетевого экрана, оценка репутации для блокирования атак.

Где развернуть IDS/IPS?

Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:

• Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) - так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
• Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем IDS. В дальнейшем потребуется периодически корректировать правила.
• Большинство настроек IPS установлены с расчетом на типичные сети. В определных случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело.
• Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.

Заключение

Победителей определять не будем. Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных Распространяемый по OpenSource-лицензии Snort прекрасно документирован, имеет достаточно большую базу и хороший послужной список, чтобы быть востребованным у сисадминов. Совместимый с ним Suricata вполне может защитить сеть с большим трафиком и, главное, абсолютно бесплатен.

Обнаружения вторжений представляет собой процесс выявления несанкционированного доступа или попыток несанкционированного доступа к ресурсам АС.

Система обнаружения вторжений(Intrusion Detection System(IDS)) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.

Сигнатура – совокупность событий или действий, характерные для данного типа угрозы безопасности.

Сенсор получает сетевой пакет.

Пакет передается ядру для анализа.

Проверяется совпадение сигнатуры.

Если совпадений нет, то от узла получается следующий пакет.

Если есть совпадение, то появляется предупреждающее сообщение.

Происходит вызов модуля ответного реагирования.

Ошибки первого и второго рода:

Ошибки второго рода, когда нарушитель воспринимается системой безопасности, как авторизованный субъект доступа.

Все системы, использующие сигнатуры для проверки доступа, подвержены ошибкам второго рода, в том числе антивирусы, работающие на антивирусной базе.

Функционирование системы IDS во многом аналогично межсетевому экрану. Сенсоры получают сетевой трафик, а ядро, путем сравнения полученного трафика, с записями имеющихся базами сигнатур, пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой дополнительный компонент, который может быть использован для оперативного блокирования угрозы, например, может быть сформированного новое правило для межсетевого экрана.

Существует две основных категории IDS:

IDS уровня сети. В таких системах сенсор функционирует на выделенном для этих целей хосте(узле), защищаемом сегменте сети. Обычно он работает в прослушивающем режиме, чтобы анализировать весь ходящий по сегменту сетевой трафик.

IDS уровня хоста. В случае, если сенсор функционирует на уровне хоста для анализа может быть использована следующая информация:

1. Записи стандартных средств. Протоколирование ОС.

   Информация об использованных ресурсах.

   Профили ожидаемого поведения пользователя.

Каждый из типов IDS имеет свои достоинства и недостатки.

IDS уровня сети не снижает общую производительность системы, а IDS уровня хоста более эффективно выявляет атаки и позволяет анализировать активность, связанную с отдельным хостом. На практике целесообразно применять оба этих типа.

Протоколирование и аудит

Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование(регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующая все события, относящиеся к информационной безопасности. Аудит – анализ протоколирования информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

Назначения механизма регистрации и аудита:

Обеспечение подотчетности пользователей и администратора.

Обеспечение возможности реконструкции последовательности событий(например при инцидентах).

Обнаружение попыток нарушения режима информационной безопасности.

Выявление технических проблем, напрямую не связанных с информационной безопасностью.

Протоколируемые данные заносятся в регистрационный журнал, который представляет собой хронологически-упорядоченную совокупность записи результатов деятельности субъектов АС, влияющих на режим информационной безопасности. Основными полями такого журнала являются следующие:

Временная метка.

Тип события.

Инициатор события.

Результат события.

Так, как системные журналы являются основными источниками информации для последующего аудита и выявления нарушения безопасности должен быть поставлен вопрос о защите их от не санкционированной модификации. Система протоколирования должна быть спроектирована таким образом, чтобы не один пользователь, включая администраторов, не мог произвольным образом изменять записи системных журналов.

Поскольку файлы журналов хранятся на том или ином носителе, рано или поздно может возникнуть проблема нехватки пространства на этом носителе, при этом реакция системы может быть различной, например:

Продолжить работу системы, без протоколирования.

Заблокировать систему до решения проблемы.

Автоматически удалять самые старые записи в системном журнале.

Первый вариант является наименее приемлемым с точки зрения безопасности.

Соответствующий английский термин - Intrusion Detection System (IDS) . Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий , неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов , троянов и червей)

Обычно архитектура СОВ включает:

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Виды систем обнаружения вторжений [ | ]

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP , была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP . Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer’s Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.

См. также [ | ]

Примечания [ | ]

1. Anderson, James P., "Computer Security Threat Monitoring and Surveillance, " Washing, PA, James P. Anderson Co., 1980.
2. Denning, Dorothy E., "An Intrusion Detection Model, " Proceedings of the Seventh IEEE Symposium on Security and Privacy, May 1986, pages 119-131
3. Lunt, Teresa F., "IDES: An Intelligent System for Detecting Intruders, " Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy, November 22-23, 1990, pages 110-121.
4. Lunt, Teresa F., "Detecting Intruders in Computer Systems, " 1993 Conference on Auditing and Computer Technology, SRI International

Обнаружение вторжений - это еще одна задача, выполняемая сотрудниками, ответственными за безопасность информации в орга­низации, при обеспечении защиты от атак. Обнаружение вторжений - это активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему. В идеальном случае такая система лишь выдаст сигнал тревоги при попытке проникновения. Обнаружение вторжений помогает при идентификации активных уг­роз посредством оповещений и предупреждений о том, что злоумыш­ленник осуществляет сбор информации, необходимой для проведения атаки. В действительности это не всегда так.

Системы обнаружения вторжений (IDS) появились давно. Первыми из них можно считать ночной дозор и сторожевых собак. Дозорные и сторожевые собаки выполняли две задачи: они определяли иницииро­ванные кем-то подозрительные действия и пресекали дальнейшее про­никновение злоумышленника. Как правило, грабители избегали встречи с собаками и, в большинстве случае, старались обходить стороной зда­ния, охраняемые собаками. То же самое можно сказать и про ночной до­зор. Грабители не хотели быть замеченными вооруженными дозорными или охранниками, которые могли вызвать полицию.

Сигнализация в зданиях и в автомобилях также является разно­видностью системы обнаружения вторжений. Если система оповеще­ния обнаруживает событие, которое должно быть замечено (напри­мер, взлом окна или открытие двери), то выдается сигнал тревоги с зажиганием ламп, включением звуковых сигналов, либо сигнал тре­воги передается на пульт полицейского участка. Функция пресечения проникновения выполняется посредством предупреждающей наклей­ки на окне или знака, установленного перед домом. В автомобилях, как правило, при включенной сигнализации горит красная лампочка, предупреждающая об активном состоянии системы сигнализации.

Все эти примеры основываются на одном и том же принципе: об­наружение любых попыток проникновения в защищенный периметр объекта (офис, здание, автомобиль и т. д.). В случае с автомобилем или зданием периметр защиты определяется относительно легко. Стены строения, ограждение вокруг частной собственности, двери и окна автомобиля четко определяют защищаемый периметр. Еще од­ной характеристикой, общей для всех этих случаев, является четкий критерий того, что именно является попыткой проникновения, и что именно образует защищаемый периметр.

Если перенести концепцию системы сигнализации в компьютер­ный мир, то получится базовая концепция системы обнаружения вторжений. Необходимо определить, чем в действительности являет­ся периметр защигы компьютерной системы или сети. Очевидно, что периметр защиты в данном случае - это не стена и не ограждение.

Периметр защиты сети представляет собой виртуальный пери­метр, внутри которого находятся компьютерные системы. Этот пери­метр может определяться межсетевыми экранами, точками разделения соединений или настольными компьютерами с модемами. Данный пе­риметр может быть расширен для содержания домашних компьютеров сотрудников, которым разрешено соединяться друг с другом, или парт­неров по бизнесу, которым разрешено подключаться к сети. С появле­нием в деловом взаимодействии беспроводных сетей периметр защиты организации расширяется до размера беспроводной сети.

Сигнализация, оповещающая о проникновении грабителя, предна­значена для обнаружения любых попыток входа в защищаемую об­ласть, когда эта область не используется.

Система обнаружения вторжений IDS предназначена для разгра­ничения авторизованного входа и несанкционированного проникно­вения, что реализуется гораздо сложнее. Здесь можно в качестве при­мера привести ювелирный магазин с сигнализацией против грабите­лей. Если кто-либо, даже владелец магазина, откроет дверь, то срабо­тает сигнализация. После этого владелец должен уведомить компа­нию, обслуживающую сигнализацию, о том, что это он открыл мага­зин, и что все в порядке. Систему IDS, напротив, можно сравнить с охранником, следящим за всем, что происходит в магазине, и выяв­ляющим несанкционированные действия (как, например, пронос ог­
нестрельного оружия). К сожалению, в виртуальном мире «огне­стрельное оружие» очень часто остается незаметным.

Вторым вопросом, который необходимо принимать в расчет, яв­ляется определение того, какие события являются нарушением пери­метра безопасности. Является ли нарушением попытка определить работающие компьютеры? Что делать в случае проведения известной атаки на систему или сеть? По мере того как задаются эти вопросы, становится понятно, что найти ответы на них не просто. Более того, они зависят от других событий и от состояния системы-цели.

Существуют два основных типа IDS: узловые (HIDS) и сетевые (NIDS).

Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.

Узловые IDS (H1DS) представляют собой систему датчиков, за­гружаемых на различные сервера организации и управляемых цен­тральным диспетчером. Датчики отслеживают различные типы собы­тий и предпринимают определенные действия на сервере либо пере­дают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет опре-
делить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.

Вероятно возникновение разногласий, связанных с управлением и настройкой, между администраторами безопасности (управляющими работой IDS) и системными администраторами. Так как процесс дол­жен постоянно находиться в активном состоянии, необходима хоро­шая координация в их работе.

Существует пять основных типов датчиков HIDS: анализаторы журналов; датчики признаков; анализаторы системных вызовов; анализаторы поведения приложений; контролеры целостности файлов.

Следует заметить, что количество датчиков HIDS увеличивается, и некоторые продукты предлагают функциональные возможности, преду­сматривающие использование датчиков более чем пяти основных видов.

Анализаторы журналов. Анализатор журнала представляет со­бой именно то, что отражает само название датчика. Процесс выпол­няется на сервере и отслеживает соответствующие файлы журналов в системе. Если встречается запись журнала, соответствующая некото­рому критерию в процессе датчика HIDS, предпринимается установ­ленное действие.

Большая часть анализаторов журналов настроена на отслеживание записей журналов, которые могут означать событие, связанное с безопасностью системы. Администратор системы, как правило, мо­жет определить другие записи журнала, представляющие определен­ный интерес.

Анализаторы журналов, в частности, хорошо адаптированы для от­слеживания активности авторизованных пользователей на внутренних системах. Таким образом, если в организации уделяется внимание кон­тролю за деятельностью системных администраторов или других поль­зователей системы, можно использовать анализатор журнала для от­слеживания активности и перемещения записи об этой активности в область, недосягаемую для администратора или пользователя.

Датчики признаков. Датчики этого типа представляют собой на­боры определенных признаков событий безопасности, сопоставляе­мых с входящим трафиком или записями журнала. Различие между датчиками признаков и анализаторами журналов заключается в воз­можности анализа входящего трафика.

Анализаторы системных вызовов. Анализаторы системных вы­зовов осуществляют анализ вызовов между приложениями и опера­ционной системой для идентификации событий, связанных с безо­пасностью. Датчики HIDS данного типа размещают программную спайку между операционной системой и приложениями. Когда при­ложению требуется выполнить действие, его вызов операционной системой анализируется и сопоставляется с базой данных признаков. Эти признаки являются примерами различных типов поведения, ко­торые являют собой атакующие действия, или объектом интереса для администратора IDS.

Анализаторы поведения приложений. Анализаторы поведения приложений аналогичны анализаторам системных вызовов в том, что они применяются в виде программной спайки между приложениями и операционной системой. В анализаторах поведения датчик проверяет вызов на предмет того, разрешено ли приложению выполнять данное действие, вместо определения соответствия вызова признакам атак.

Контролеры целостности файлов. Контролеры целостности файлов отслеживают изменения в файлах. Это осуществляется по­средством использования криптографической контрольной суммы или цифровой подписи файла. Конечная цифровая подпись файла бу­дет изменена, если произойдет изменение хотя бы малой части ис­ходного файла (это могут быть атрибуты файла, такие как время и да­та создания). Алгоритмы, используемые для выполнения этого про­цесса, разрабатывались с целью максимального снижения возможно­сти для внесения изменений в файл с сохранением прежней подписи.

При изначальной конфигурации датчика каждый файл, подлежа­щий мониторингу, подвергается обработке алгоритмом для создания начальной подписи. Полученное число сохраняется в безопасном месте. Периодически для каждого файла эта подпись пересчитывает- ся и сопоставляется с оригиналом. Если подписи совпадают, это оз­начает, что файл не был изменен. Если соответствия нет, значит, в файл были внесены изменения.

Сетевые IDS. NIDS представляет собой программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в системе в неразборчивый режим работы, при кото­ром сетевой адаптер пропускает весь сетевой трафик (а не только трафик, направленный на данную систему) в программное обеспече­ние NIDS. После этого происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. Если это так, то генерируется со­ответствующее событие.

На данный момент большинство систем NIDS базируется на при­знаках атак. Это означает, что в системы встроен набор признаков атак, с которыми сопоставляется трафик в канале связи. Если происходит атака, признак которой отсутствует в системе обнаружения вторжений, система NIDS не

замечает эту атаку. NIDS-системы позволяют указы­вать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслежи­вания трафика, не соответствующего признакам атак.

Чаще всего при применении NIDS используются две сетевые кар­ты (рис. 33). Одна карта используется для мониторинга сети. Эта кар­та работает в «скрытом» режиме, поэтому она не имеет IP-адреса и, следовательно, не отвечает на входящие соединения.

У скрытой карты отсутствует стек протоколов, поэтому она не может отвечать на такие информационные пакеты, как пинг-запросы. Вторая сетевая карта используется для соединения с системой управ­ления IDS и для отправки сигналов тревоги. Эта карта присоединяет­ся к внутренней сети, невидимой для той сети, в отношении которой производится мониторинг.

Обнаружения вторжений - это программные или аппаратные средства обнаружения атак и вредоносных действий. Они помогают сетям и компьютерным системам давать им надлежащий отпор. Для достижения этой цели IDS производит сбор информации с многочисленных системных или сетевых источников. Затем система IDS анализирует ее на предмет наличия атак. В данной статье будет предпринята попытка ответить на вопрос: "IDS - что это такое и для чего она нужна?"

Для чего нужны системы обнаружения вторжения (IDS)

Информационные системы и сети постоянно подвергаются кибер-атакам. Брандмауэров и антивирусов для отражения всех этих атак оказывается явно недостаточно, поскольку они лишь способны защитить «парадный вход» компьютерных систем и сетей. Разные подростки, возомнившие себя хакерами, беспрерывно рыщут по интернету в поисках щелей в системах безопасности.

Благодаря всемирной паутине в их распоряжении очень много совершенно бесплатного вредоносного софта - всяких слеммеров, слепперов и тому подобных вредных программ. Услугами же профессиональных взломщиков пользуются конкурирующие компании для нейтрализации друг друга. Так что системы, которые обнаруживают вторжение (intrusion detection systems), - насущная необходимость. Неудивительно, что с каждым днем они все более широко используются.

Элементы IDS

К элементам IDS относятся:

• детекторная подсистема, цель которой - накопление событий сети или компьютерной системы;
• подсистема анализа, которая обнаруживает кибер-атаки и сомнительную активность;
• хранилище для накопления информации про события, а также результаты анализа кибер-атак и несанкционированных действий;
• консоль управления, при помощи которой можно задавать параметры IDS, следить за состоянием сети (или компьютерной системы), иметь доступ к информации про обнаруженные подсистемой анализа атаки и неправомерные действия.

Кстати, многие могут спросить: "Как переводится IDS?" Перевод с английского звучит как "система, которая застает на горячем незваных гостей".

Основные задачи, которые решают системы обнаружения вторжений

Система обнаружения вторжений имеет две основные задачи: анализ и адекватная реакция, основанная на результатах этого анализа. Для выполнения этих задач система IDS осуществляет следующие действия:

• мониторит и анализирует активность пользователей;
• занимается аудитом конфигурации системы и ее слабых мест;
• проверяет целостность важнейших системных файлов, а также файлов данных;
• проводит статистический анализ состояний системы, основанный на сравнении с теми состояниями, которые имели место во время уже известных атак;
• осуществляет аудит операционной системы.

Что может обеспечить система обнаружения вторжений и что ей не под силу

С ее помощью можно добиться следующего:

• улучшить параметры целостности ;
• проследить активность пользователя от момента его вхождения в систему и до момента нанесения ей вреда или произведения каких-либо несанкционированных действий;
• распознать и оповестить про изменение или удаление данных;
• автоматизировать задачи мониторинга интернета с целью поиска самых последних атак;
• выявить ошибки в конфигурации системы;
• обнаружить начало атаки и оповестить об этом.

Система IDS это сделать не может:

• восполнить недостатки в сетевых протоколах;
• сыграть компенсаторную роль в случае наличия слабых механизмов идентификации и аутентификации в сетях или компьютерных системах, которые она мониторит;
• также следует заметить, что IDS не всегда справляется с проблемами, связанными с атаками на пакетном уровне (packet-level).

IPS (intrusion prevention system) - продолжение IDS

IPS расшифровывается как "предотвращение вторжения в систему". Это расширенные, более функциональные разновидности IDS. IPS IDS системы реактивны (в отличие от обычной). Это означает, что они могут не только выявлять, записывать и оповещать об атаке, но также и выполнять защитные функции. Эти функции включают сброс соединений и блокировку поступающих пакетов трафика. Еще одной отличительной чертой IPS является то, что они работают в режиме онлайн и могут автоматически заблокировать атаки.

Подвиды IDS по способу мониторинга

NIDS (то есть IDS, которые мониторят всю сеть (network)) занимаются анализом трафика всей подсети и управляются централизованно. Правильным расположением нескольких NIDS можно добиться мониторинга довольно большой по размеру сети.

Они работают в неразборчивом режиме (то есть проверяют все поступающие пакеты, а не делают это выборочно), сравнивая трафик подсети с известными атаками со своей библиотеки. Когда атака идентифицирована или же обнаружена несанкционированная активность, администратору посылается сигнал тревоги. Однако следует упомянуть, что в большой сети с большим трафиком NIDS иногда не справляются с проверкой всех информационных пакетов. Поэтому существует вероятность того, что во время «часа пик» они не смогут распознать атаку.

NIDS (network-based IDS) - это те системы, которые легко встраивать в новые топологии сети, поскольку особого влияния на их функционирование они не оказывают, являясь пассивными. Они лишь фиксируют, записывают и оповещают, в отличие от реактивного типа систем IPS, о которых речь шла выше. Однако нужно также сказать о network-based IDS, что это системы, которые не могут производить анализ информации, подвергнутой шифрованию. Это существенный недостаток, поскольку из-за все более широкого внедрения виртуальных частных сетей (VPN) шифрованная информация все чаще используется киберпреступниками для атак.

Также NIDS не могут определить, что случилось в результате атаки, нанесла она вред или нет. Все, что им под силу, - это зафиксировать ее начало. Поэтому администратор вынужден самостоятельно перепроверять каждый случай атаки, чтобы удостовериться в том, что атакующие добились своего. Еще одной существенной проблемой является то, что NIDS с трудом фиксирует атаки при помощи фрагментированных пакетов. Они особенно опасны, поскольку могут нарушить нормальную работу NIDS. Что это может означать для всей сети или компьютерной системы, объяснять не нужно.

HIDS (host intrusion detection system)

HIDS (IDS, мониторящие хост (host)) обслуживают лишь конкретный компьютер. Это, естественно, обеспечивает намного более высокую эффективность. HIDS анализируют два типа информации: системные логи и результаты аудита операционной системы. Они делают снимок системных файлов и сравнивают его с более ранним снимком. Если критично важные для системы файлы были изменены или удалены, то тогда администратору посылается сигнал тревоги.

Существенным преимуществом HIDS является способность выполнять свою работу в ситуации, когда сетевой трафик поддается шифровке. Такое возможно благодаря тому, что находящиеся на хосте (host-based) источники информации можно создавать перед тем, как данные поддаются шифрованию, или после их расшифровки на хосте назначения.

К недостаткам данной системы можно отнести возможность ее блокирования или даже запрещения при помощи определенных типов DoS-атак. Проблема здесь в том, что сенсоры и некоторые средства анализа HIDS находятся на хосте, который подвергается атаке, то есть их тоже атакуют. Тот факт, что HIDS пользуются ресурсами хостов, работу которых они мониторят, тоже сложно назвать плюсом, поскольку это, естественно, уменьшает их производительность.

Подвиды IDS по методам выявления атак

Метод аномалий, метод анализа сигнатур и метод политик - такие подвиды по методам выявления атак имеет система IDS.

Метод анализа сигнатур

В этом случае пакеты данных проверяются на наличие сигнатур атаки. Сигнатура атаки - это соответствие события одному из образцов, описывающих известную атаку. Этот метод достаточно эффективен, поскольку при его использовании сообщения о ложных атаках достаточно редки.

Метод аномалий

При его помощи обнаруживаются неправомерные действия в сети и на хостах. На основании истории нормальной работы хоста и сети создаются специальные профили с данными про это. Потом в игру вступают специальные детекторы, которые анализируют события. При помощи различных алгоритмов они производят анализ этих событий, сравнивая их с «нормой» в профилях. Отсутствие надобности накапливать огромное количество сигнатур атак - несомненный плюс этого метода. Однако немалое количество ложных сигналов про атаки при нетипичных, но вполне законных событиях в сети - это несомненный его минус.

Метод политик

Еще одним методом выявления атак является метод политик. Суть его - в создании правил сетевой безопасности, в которых, к примеру, может указываться принцип взаимодействия сетей между собой и используемые при этом протоколы. Этот метод перспективен, однако сложность заключается в достаточно непростом процессе создания базы политик.

ID Systems обеспечит надежной защитой ваши сети и компьютерные системы

Группа компаний ID Systems на сегодняшний день является одним из лидеров рынка в области создания систем безопасности для компьютерных сетей. Она обеспечит вас надежной защитой от кибер-злодеев. С системами защиты ID Systems вы сможете не переживать за важные для вас данные. Благодаря этому вы сможете больше наслаждаться жизнью, поскольку у вас на душе будет меньше тревог.

ID Systems - отзывы сотрудников

Прекрасный коллектив, а главное, конечно, - это правильное отношение руководства компании к своим сотрудникам. У всех (даже неоперившихся новичков) есть возможность профессионального роста. Правда, для этого, естественно, нужно проявить себя, и тогда все получится.

В коллективе здоровая атмосфера. Новичков всегда всему обучат и все покажут. Никакой нездоровой конкуренции не ощущается. Сотрудники, которые работают в компании уже многие годы, с радостью делятся всеми техническими тонкостями. Они доброжелательно, даже без тени снисходительности отвечают на самые глупые вопросы неопытных работников. В общем, от работы в ID Systems одни приятные эмоции.

Отношение руководства приятно радует. Также радует то, что здесь, очевидно, умеют работать с кадрами, потому что коллектив действительно высокопрофессиональный подобрался. Мнение сотрудников практически однозначно: они чувствуют себя на работе как дома.