Найти и обезвредить
Материал разместил: -Дата публикации: 21-06-2003

Обнаружение вторжения - тема, широко обсуждаемая как в популярной литературе, пресс-релизах IT-компаний, так и в академических журналах и информационных бюллетенях по защите информации. В своих работах эксперты отмечают, что основная задача системы обнаружения вторжения (СОВ) состоит в том, чтобы не допустить или во многом смягчать ущерб, наносимый "взломом" или вторжением в ресурсы информационной системы (прежде всего, в ресурсы систем критических приложений, от нормальной работы которых во многом зависит устойчивое развитие бизнеса компании) путем выявления подозрительных действий нарушителя на ранней стадии реализации.

Это и определяет то внимание, которое уделяется системам обнаружения вторжений в последние годы. Однако большинство современных систем этого класса весьма дорогостоящие продукты, поэтому потенциальному покупателю важно знать, что он покупает за те деньги, которые производитель системы обнаружения вторжений запросил за свой продукт.

В том случае, если вы приняли решение, что для защиты системы вам необходима именно система обнаружения вторжений, то необходимо как можно внимательнее подойти к вопросу о ее приобретении и развертывании. Осторожное планирование, поэтапное развертывание и специализированное обучение персонала обязательно должны присутствовать среди шагов, которые необходимо предпринять с целью уменьшения затрат дорогостоящего развертывания,  высоких затрат обслуживания при максимизации выгоды защиты организации и возвращения инвестиций.

Настоящая статья предназначается в первую очередь потенциальным покупателям систем обнаружения вторжений. Она предоставляет базовую информацию о системах этого класса, что должно помочь организациям избежать традиционных промахов в приобретении, развертывании и поддержании систем обнаружения вторжений. Статья подготовлена по материалам Лаборатории информационных технологий Национального института стандартов США[1] (Information Technology Laboratory of the National Institute of Standards and Technology,  ITL NIST) – одного из признанных лидеров в области обеспечения защиты информации. В статье охвачены следующие вопросы:

  • определение понятия «обнаружение вторжения»;
  • причины, заставляющие приобретать системы обнаружения вторжений;
  • типы систем обнаружения вторжений;
  • алгоритмы мониторинга данных;
  • алгоритмы анализа вторжения;
  • системы обнаружения вторжений, которые автоматически отвечают на нападения;
  • инструментальные средства, дополняющие системы обнаружения вторжений;
  • ограничения систем обнаружения вторжений;
  • развертывание систем обнаружения вторжений, и
  • будущее систем этого класса.

 

1. Определение понятия "Обнаружение вторжения"

Эксперты NIST дают следующее определение этому понятию. Обнаружение вторжения – это процесс обнаружения неправомочного использования или нападения на отдельный компьютер или компьютерную сеть. В свою очередь, системы обнаружения вторжений – это программные или программно-аппаратные системы, призванные обнаруживать такое неправомочное использование. СОВ может обнаружить попытки поставить под угрозу конфиденциальность, целостность и доступность информационных ресурсов как отдельного компьютера, так и сети организации.

Как правило, предполагается, что вторжения могут организовываться внешним противником со стороны Интернет,авторизованным в системе пользователем, который неправильно использует свои полномочия и данные, а также неавторизованным пользователем, который пытается получить неправомочные привилегии в системе.

 

2. Причины, заставляющие приобретать СОВ

Сегодня возможности обнаружения вторжения становятся необходимыми добавлениями к инфраструктуре защиты информации каждой крупной компании. Вопрос о том необходима ли СОВ, для профессионалов защиты информации уже не стоит, однако возникают вопросы, а какая именно система подойдет именно для вашей информационной системы?  Кроме того, значительная цена подобных продуктов заставляет внимательно подходить к обоснованию необходимости ее использования. Существует, по крайней мере, три серьезных повода для приобретения СОВ: возможность обнаруживать нападения и другие нарушения защиты, которые не могут быть предотвращены; препятствовать противнику исследовать сеть, а также иметь возможность документировать вторжение в информационную систему организации.

2.1. Обнаружение нападений, которые не могут быть предотвращены

Подготовленный противник, используя известные методы, может проникнуть во многие сети. Это достаточно часто случается, когда уязвимость в сети, о которой стало известно, не устраняется в кратчайший срок. Например, во многих системах, созданных несколько лет назад, операционные системы просто не могут быть модифицированы в силу тог, что их производитель больше не сопровождает. В современных системах администраторы не имеют достаточно времени, чтобы установить все необходимые исправления в значительное число компьютеров крупной организации. Кроме того, как правило, бывает очень сложно корректно отобразить политику безопасности, принятую в организации, на все механизмы управления доступом. Это ведет к тому, что уполномоченные пользователи часто могут исполнять неправомочные действия. Помимо этого пользователи могут также затребовать сетевые услуги и протоколы, которые, будут в дальнейшем использованы противником для организации атаки.

В идеале конечно можно выявить все уязвимости системы, однако на практике это вряд ли возможно. Поэтому, лучший подход в защите сети может состоять в том, чтобы использовать СОВ для обнаружения факта проникновения противника в систему, используя недостаток, который в силу особенностей построения системы невозможно было устранить. Все же лучше знать, что на систему совершено нападение, и организовать восстановление повреждений, чем вовсе не знать, что в систему проник посторонний.

2.2. Препятствование противнику исследовать сеть

Компьютер или сеть без СОВ дают противнику время для неспешного изучения всех архитектурных особенностей системы, поиску уязвимостей при полной безнаказанности подобных действий. Даже в случае, если существует единственная уязвимость в такой сети, целеустремленный противник, в конечном счете, найдет ее и с успехом воспользуется.

Та же самая сеть, но с установленной СОВ  представляет собой намного более серьезный вызов хакеру-взломщику. Хотя противник может продолжить исследовать сеть на наличие уязвимостей, СОВ обнаружить эти попытки, предпримет меры по блокированию этих попыток и может информировать администратора системы о необходимости предпринять соответствующие действия.

2.3. Документирование вторжения

Проведение расследования по факту вторжения и последующая модернизация системы защиты предполагает, что точно и доказательно установлен факт, что в сеть исследовалась противником на предмет выявления уязвимостей или, что она была успешно атакована. Кроме того, важно знать частоту и характеристики нападений, чтобы понять, какие меры защиты являются адекватными.

СОВ может фиксировать число, характеристики и параметры реализуемых вторжений как от внутреннего, злонамеренного пользователя системы, так и от внешнего противника, обеспечивая, таким образом, легитимную основу для обоснования бюджета расходов на защиту информации.

Использование СОВ для решения этой задачи важно, так как значительное число руководителей по ошибке полагают, что никто (посторонние или посвященные лица) не интересуются возможностью вторжения в их сети.

 

3. Типы систем обнаружения вторжений

На сегодняшний день существует несколько различных типов СОВ, отличающихся различными алгоритмами мониторинга данных и подходами к их анализу. Каждому типу системы соответствуют те или иные особенности использования, преимущества и недостатки. Как правило, СОВ может контролировать события на трех различных уровнях: сеть, отдельный компьютер и приложение. СОВ может анализировать эти события, используя два метода: обнаружение сигнатуры и обнаружение аномалии. Некоторые СОВ также имеют способность автоматически ответить на обнаруженные нападения. Далее мы кратко рассмотрим особенности каждого типа систем обнаружения вторжений.

3.1. Подходы к  мониторингу данных

Один из способов классификации СОВ основывается на уяснении того, что она собственно контролируют. Некоторые СОВ контролируют весь сетевой трафик и анализируют сетевые пакеты, чтобы выявить те из них, которые характеризуют тот или иной класс нападения. Другие СОВ разворачиваются на отдельных компьютерах, они контролируют операционную систему на предмет выявления признаков вторжения. Все остальные, как правило, контролируют отдельные приложения.

СОВ защищающие сегмент сети

Этот класс СОВ в настоящее время наиболее распространен среди коммерческих продуктов. Такая система обнаруживает нападения, фиксируя и анализируя сетевые пакеты. Оперируя с сетевым трафиком единственная СОВ этого класса может обеспечивать контроль больших объемов информации. СОВ такого класса обычно состоит из нескольких специализированных серверов, которые анализируют сетевой трафик в различных сегментах сети и передают сообщения о возможном нападении на централизованную консоль управления. Так как никакие другие приложения не работают на серверах, используемых СОВ, они могут быть защищены от нападения, в том числе и специальными средствами. Многие из них могут функционировать в «стелс»-режиме, что делает чрезвычайно трудным для нападающего обнаружить присутствие и определить их местонахождение в сети.

Преимущества:

  • несколько удачно расположенных СОВ этого класса могут контролировать большую сеть;
  • развертывание СОВ этого класса оказывает незначительное воздействие на существующую сеть. Подобные СОВ, как правило, обычно пассивные устройства, которые перехватывают сетевой трафик не загружая сеть служебными потоками. Таким образом, достаточно незначительно модифицировать сеть, чтобы развернуть СОВ этого класса, причем с минимальным затратами на инсталляцию.
  • СОВ этого класса может быть весьма защищенной от нападений на нее саму, к тому же возможно сделать ее отдельные узлы невидимыми для нападающих.

Недостатки:

  • СОВ, защищающие сегмент сети, могут иметь серьезные проблемы при попытке контроля всех пакетов в большой или перегруженной сети, поэтому они, могут быть не в состоянии распознавать нападение, начатое в момент высокой загрузки сети. Некоторые разработчики пытаются решить эту проблему, полностью реализуя СОВ на основе аппаратных средств, которые намного быстрее. Потребность быстро анализировать пакеты  также вынуждает разработчиков пытаться обнаружить нападения с минимальными затратами вычислительных ресурсов, что серьезно снижает эффективность обнаружения;
  • многие из преимуществ СОВ этого класса не могут быть реализованы в современных коммутируемых сетях. Коммутаторы разделяют сеть на ряд небольших сегментов (обычно один высокоскоростной канал Ethernet на сервер) и обеспечивают выделенные каналы между серверами, обслуживаемыми тем же самым коммутатором. Большинство коммутаторов не обеспечивает универсальные порты управления, что уменьшает контролирующий диапазон датчика СОВ. В коммутаторах, которые обеспечивают такие порты управления, часто отдельный порт не может отразить весь трафик, проходящий через коммутатор;
  • СОВ, защищающие сегмент сети, не могут анализировать зашифрованную информацию. Это становится все более серьезной проблемой, поскольку использование шифрования становится популярным как компаниями, так и нападающими;
  • большинство СОВ рассматриваемого класса не сообщают, действительно ли нападение было успешно. Они сообщают только то, что нападение было инициировано. После обнаружения нападения, администраторы должны вручную исследовать каждый атакованный сервер, чтобы определить, действительно ли в этот сервер проник нарушитель.

СОВ, защищающие отдельный сервер

СОВ, защищающие отдельный сервер, работают, анализируя активность процессов на конкретном сервере, на котором они установлены. Кроме того, они собирают информацию о сервере, который они контролируют. Это позволяет СОВ анализировать действия на сервере с высокой степенью детализации и точно определять, кто из пользователей выполняет злонамеренные действия в операционной системе сервера.

Некоторые СОВ этого класса имеют возможность управления группой серверов, подготавливая централизованные отчеты о возможных нападениях, которые обобщаются на консоли администратора защиты. Другие генерируют сообщения, которые являются совместимыми с системами управления сетью.

Преимущества:

  • СОВ, защищающие отдельный сервер, могут обнаруживать нападения, которые не обнаружимы СОВ, защищающими сегмент сети, так как они имеют представление о событиях, локализованных на конкретном сервере;
  • СОВ этого класса может работать в сети, которая использует шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю;
  • СОВ этого класса может работать в коммутируемых сетях.

Недостатки:

  • механизмы сбора информации должны, как правило, устанавливаться и поддерживаться на каждом сервере, который будет контролироваться;
  • так как части систем постоянно находятся на атакуемом главном компьютере, СОВ этого класса могут быть атакованы и заблокированы подготовленным противником;
  • СОВ этого класса не может контролировать ситуацию во всей сети, так как СОВ видит только сетевые пакеты, которые получает сервер, на котором она установлена;
  • СОВ этого класса часто имеют трудности в обнаружении и противодействии нападениям с отказом в обслуживании;
  • СОВ этого класса используют вычислительные ресурсы сервера, который они контролируют, снижая тем самым эффективность его работы.

СОВ на основе защиты приложений

СОВ на основе защиты приложений контролируют события, проявляющиеся в пределах отдельного приложения. Часто СОВ этого класса обнаруживает нападения, анализируя системные журналы приложения. Имея возможность связываться непосредственно с приложением посредством служебного интерфейса, а также, имея большой запас прикладных знаний о приложении, СОВ этого класса, имеют более детальное представление о подозрительной деятельности в приложении.

Преимущества:

  • СОВ на основе защиты приложений может контролировать деятельность с очень высокой степенью детализации, которая часто позволяет им прослеживать неправомочную деятельность индивидуальных пользователей;
  • СОВ этого класса часто может работать в зашифрованных средах, так как они взаимодействуют с приложением, которое само выполняет это шифрование.

Недостатки:

СОВ этого класса может быть более уязвима, чем СОВ на основе защиты отдельного сервера к атакам, в результате которых системы обнаружения вторжений будут отключены противником, так как они работают как простые приложения на том сервере, который они контролируют.

Ряд экспертов отмечает, что различие между СОВ на основе защиты приложений и СОВ на основе защиты отдельного сервера не всегда четко прослеживается, поэтому в дальнейшем оба эти класса будем относить к системам обнаружения вторжений на основе защиты отдельного сервера.

3.2. Подходы к анализу событий

На сегодняшний день есть два основных подхода к анализу событий с целью обнаружить нападения: обнаружение сигнатуры и обнаружение аномалии. Обнаружение сигнатуры - достаточно старая методика, используемая большинством коммерческих систем; вместе с тем, обнаружение аномалии по общему признанию новая и перспективная область, которая является сегодня темой многих исследований и используется в ограниченном множестве коммерческих СОВ.

СОВ на основе сигнатуры

Подход к обнаружению вторжения на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, которые уникально описывают известное нападение. Таким образом, СОВ на основе сигнатуры должна быть заранее запрограммирована, чтобы обнаружить каждое известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах.

Преимущества:

СОВ на основе сигнатуры весьма эффективны при обнаружении нападений, не генерируя значительное число ложных тревог.

Недостатки:

  • СОВ на основе сигнатуры должна быть заранее запрограммирована, чтобы обнаружить каждое нападение и таким образом должна постоянно модифицироваться сигнатурами новых нападений;
  • во многих СОВ этого класса сами сигнатуры определены достаточно узко, что препятствует им обнаруживать варианты традиционных нападений, сигнатура которых незначительно отличается от имеющейся в базе системы.

СОВ на основе выявления аномалии

 СОВ на основе выявления аномалии обнаруживает нападения, идентифицируя необычное поведение (аномалии) на сервере или в сети. Принцип их функционирования базируется на том, что нападающие ведут себя по-иному чем "нормальные" пользователи и таким образом могут быть обнаружены системами, которые идентифицируют эти различия. СОВ на основе выявления аномалии устанавливает базис нормального поведения, профилируя специфических пользователей или сетевые подключения и затем статистически выявляет случаи, когда контролируемая деятельность отклоняется от нормы.

К сожалению, на сегодняшний день СОВ этого класса пока еще часто производит большое количество ложных срабатываний. Однако, несмотря на эту слабость, исследователи утверждают, что СОВ на основе выявления аномалии способны обнаружить нападения никогда прежде не замеченное, в отличие от СОВ на основе сигнатуры, которые полагаются на результаты анализа прошлых нападений. Некоторые коммерческие СОВ реализуют ограниченные формы обнаружения аномалии, однако немногие, если таковые вообще имеются, полагаются исключительно на эту технологию. Вместе с тем, обнаружение аномалии остается областью активных исследований и в ближайшие годы в этой области возможны серьезные прорывы.

Преимущества:

СОВ на основе выявления аномалии обнаруживают необычное поведение и таким образом имеют возможность обнаружить нападения, без необходимости быть заранее запрограммированными.

Недостатки:

  • алгоритмы обнаружения аномалии обычно производят большое количество ложных срабатываний, активизируясь из-за непредсказуемого характера пользователей и сетей;
  • алгоритмы обнаружения аномалии часто требуют обширных “обучающих выборок” на основе системных отчетов с результатами вторжений, чтобы выявлять нормальные образцы поведения.

3.3. СОВ, которые автоматически отвечают на нападения

Так как человек-администратор не всегда доступен в тот момент, когда происходит нападение, некоторые СОВ могут быть сконфигурирован так, чтобы автоматически ответить на нападения. Самая простая форма автоматизированного ответа - уведомление администратора. После обнаружения нападения, СОВ может послать по электронной почте  или пейджеру письмо администратору с кратким описанием произошедшего события. Более активный ответ может остановить продвижение нападения и затем блокировать дальнейшие попытки нападающих. Как правило, СОВ не обладает способностью блокировать действия конкретного человека, но вместо этого они могут блокировать конкретные IP-адреса, с которых работает нападающий.

Очень трудно автоматически остановить подготовленного и хорошо осведомленного нарушителя, но СОВ часто может удерживать опытных нападающих или останавливать хакеров-новичков, используя следующие возможности:

  • разрыв подключений TCP, вводя пакеты сброса в подключения нападающего с адресатом нападения;
  • реконфигурирование маршрутизаторов и систем сетевой защиты с целью блокировать пакеты от IP-адреса нападающего;
  • реконфигурирование маршрутизаторов и систем сетевой защиты, чтобы блокировать протоколы, используемые нападающим, и
  • в критических ситуациях, реконфигурируя маршрутизаторы и системы сетевой защиты, разъединить все текущие подключения, используя специфические сетевые интерфейсы.

Более агрессивный способ ответить нападающему предусматривает возможность предпринять ряд наступательных действий против нападающего, а также пытаться активно получить информацию о сервере нападающего. Однако сам этот ответ может быть достаточно опасен для организации, так как он, скорее всего, будет незаконным и принесет убытки невинным пользователям Интернет.

Безусловно, опасно позволить СОВ автоматически начать подобный ответ, но стратегия ограниченного автоматизированного "ответного удара" иногда используются для систем критических приложений. Вместе с тем рекомендуется заранее проработать все юридические вопросы по применению таких вариантов ответа.

 

4. Инструментальные средства, дополняющие СОВ

Существует несколько инструментальных средств, которые дополняют СОВ и часто обозначаются разработчиками как полноценные СОВ, так как они исполняют подобные функции. Ниже обсуждаются эти инструментальные средства, а также то, как они могут расширить возможность обнаружения вторжения.

4.1. Системы Honey Pot и Padded Cell

Несколько новых добавлений к линейке продуктов обнаружения вторжения недавно были представлены на рынке систем защиты информации. Важно понять, чем эти программы отличаются от традиционных СОВ.

Горшки меда (Honey Pots) - системы-приманки, которые пытаются соблазнять нападающего далеко от критических систем. Подобные системы заполнены информацией, которая является достаточно ценной, но была изготовлена специально для этой системы, и к которой не обращается законный пользователь. Таким образом, когда доступ к "горшку меда" обнаружен, есть высокая вероятность, что это и есть нападение.

Мониторы и регистраторы вторжения на "горшке меда" обнаруживают несанкционированные акции и собирают информацию о действиях нападающего. Цель "горшка меда" состоит в том, чтобы перенаправить нападающего от доступа к критическим системам, собрать информацию о деятельности нападающего, и поощрить нападающего оставаться в системе достаточно долго, чтобы дать время администраторам хорошо подготовиться с ответом.

Системы "Психиатрическая палата" (Padded Cell) реализуют несколько иной подход. Вместо того чтобы привлекать нападающих с помощью реальных данных, Padded Cell ждет, пока обычная СОВ обнаружит вторжение. После этого нападающий передается специальному серверу системы Padded Cell. Сам нападающий не может понять, что что-то случилось, но он находится теперь в моделируемой среде, где никакого вреда нанести не может. Подобно "горшку меда", эта моделируемая среда может быть заполнена реальными данными, чтобы убедить нападающего, что нападение идет согласно плану.

Системы Padded Cell предлагают уникальные возможности контролировать действия нападающего. Специалисты в области СОВ с успехом использовали Padded Cell и системы Honey Potс конца 80-х годов прошлого века, но до недавнего времени никакие коммерческие продукты этих систем не были доступны.

Преимущества:

  • нападающий может быть отклонен от целевой системы, которую он не может повредить;
  • администраторы имеют время, чтобы решить, как ответить противнику;
  • действия нападающего могут легко контролироваться, а результаты могут использоваться для совершенствования системы защиты;
  • система на основе «Honey Pot»может быть эффективна в выявлении злонамеренных лиц, работающих в качестве авторизованных пользователей.

Недостатки:

  • Honey Pot и Padded Cell  еще не достаточно показали себя, чтобы стать широко распространенными технологиями защиты;
  • опытный нападающий, когда-то отклоненный в систему приманки, может в следующий раз запустить более враждебное нападение против систем организации;
  • необходим высокий уровень подготовки для администраторов и руководителей службы безопасности, чтобы использовать эти системы;
  • юридические значения использования таких устройств еще недостаточно определены.

4.2. Инструментальные средства оценки уязвимости

Инструментальные средства оценки уязвимости определяют, уязвимы ли в данный момент сеть или отдельный сервер к известным нападениям. Так как эта деятельность связана с фактическим обнаружением нападений, то эти инструментальные средства упоминаются иногда как инструментальные средства обнаружения вторжения. Они разделяются на два класса: пассивные и активные.

Пассивные инструментальные средства оценки уязвимости просматривают данные на сервере, на котором они постоянно и находятся, с целью выявления опасных конфигураций в настройках, версий программ, в отношении которых известно, что они содержат уязвимости, а также слабые пароли.

Активные инструментальные средства оценки постоянно находятся на сервере и просматривают всю сеть организации в поисках уязвимостей в настройках серверов. Инструмент может идентифицировать определенные версии программного обеспечения и определить присутствие или отсутствие связанных с защитой исправлений (патчей и апдейтов). Активный инструмент оценки сравнивает эту информацию с библиотекой номеров версии, известных как опасные, и определяет, уязвимы ли серверы к известным нападениям.

 

5. Ограничения СОВ

Существующие программы обнаружения вторжения имеют ограничения, о которых нужно знать до покупки и развертывания СОВ. Среди них, прежде всего, выделяют следующие:

  • несмотря на заявления разработчиков, большинство СОВ не масштабируются также хорошо как большинство корпоративных решений. Проблема включает недостаток в гибкости и  возможности интеграции с другими инструментальными средствами защиты и сложными системами управления сетью, неспособность СОВ оценить и визуализировать корпоративные угрозы, а также неспособность специалистов организаций оценить большое количество сигналов, сгенерированных сотнями или тысячами датчиков СОВ;
  • многие СОВ создают большое количество ложных срабатываний, которые тратят впустую время администраторов и могут даже инициализировать повреждения в случае автоматического ответа на подобное ложное срабатывание;
  • в то время как почти все СОВ выставлены на продажу как системы "реального времени", в условиях повышенной сетевой активности реакция СОВ может занять несколько минут до генерации сообщения и начала автоматического ответа на нападение;
  • СОВ обычно не может обнаруживать недавно разработанные способы нападения или варианты существующих нападений. Это является серьезной проблемой, поскольку 30-40 новых компьютерных нападений регистрируются практически каждый месяц. Нападающий может просто ждать появления нового способа нападения и затем быстро проникнуть в целевую сеть;
  • автоматические ответы СОВ часто неэффективны против сложных нападений. Они обычно останавливают хакера-новичка, но, ненадлежащим образом сконфигурированные, могут повредить нормальной работе сети, прерывая легитимный сетевой трафик;
  • СОВ должен обслуживаться квалифицированным персоналом защиты, чтобы получить максимальные выгоды и понимать значение того, что СОВ обнаруживает;
  • обслуживание СОВ и контроль может потребовать привлечения существенного ресурса персонала;
  • многие СОВ не отказоустойчивы - они недостаточно защищены от нападения или саботажа;
  • многие СОВ не имеют функций, которые позволяют определять скоординированные нападения;
  • СОВ не может использоваться в изоляции, она должна быть частью структуры защиты информации в организации.

 

6. Развертывание СОВ

Технология обнаружения вторжения - необходимое добавление к инфраструктуре защиты информации каждой большой организации. Однако, учитывая слабости, свойственные некоторым из сегодняшних программ, и относительно ограниченного уровня подготовки большинства администраторов систем, просто необходимо осторожное планирование и подготовка всех мероприятий по приобретению и развертыванию системы, моделирование возможных ситуаций, ее всестороннее испытание и специализированное обучение персонала для эффективного использования СОВ.

Так, в частности, эксперты NIST предлагают выполнять полный анализ требований, тщательно выбирая стратегию обнаружения вторжения и техническое решение, которое является совместимым с сетевой инфраструктурой организации, принятой политикой и наличием необходимых ресурсов. Возможно, следует практиковать совместное развертывание СОВ несколькими организациями или в отдельных подразделениях одной организации, чтобы получить опыт развертывания, а также установить, какие ресурсы необходимы для функционирования и обслуживания таких систем.

Существует большой разброс в требованиях к ресурсам для каждого типа СОВ. СОВ требует существенной подготовки и регулярного взаимодействия специалистов, участвующих в ее сопровождении. Организации должны иметь соответствующую политику защиты, планы и процедуры на местах так, чтобы персонал знал, как реагировать на все виды тревог, которые СОВ инициирует.

Эксперты NIST рекомендуют рассмотрение комбинации СОВ на основе защиты сегмента сети и СОВ на основе защиты отдельного сервера в масштабах всего предприятия. Сначала целесообразно развернуть СОВ на основе защиты сегмента сети, так как они обычно самые простые в установке и обслуживании. После этого возможно дополнительное усиление системы защиты путем развертывания СОВ на основе защиты отдельных серверов для защиты наиболее важных и критичных серверов компании.

"Honey pots" должны использоваться обоснованно и только организациями с высококвалифицированным техническим персоналом, которые желают экспериментировать с передовыми технологиями защиты.

Padded Cell в настоящее время недоступны за исключением отдельных  исследовательских прототипов.

 

6.1. Развертывание СОВ на основе защиты сегмента сети

На сегодняшний день практикуется ряд вариантов развертывания СОВ на основе защиты сети, каждому из них соответствуют свои преимущества:

1. Местоположение СОВ: позади внешней системы сетевой защиты (межсетевых экранов).

Преимущество: система видит нападения, которые проникают через оборонительный периметр сети из внешнего мира.

2. Местоположение: впереди внешней системой сетевой защиты.

Преимущество: доказывает, что нападения из Internet регулярно проводятся против сети.

3. Местоположение: На опорных сетевых каналах.

 Преимущество: Обнаружение неправомочной деятельности в пределах сети и мониторинг большого объема сетевого трафика.

4. Местоположение: В критической подсети: выявление атак на критические ресурсы.

 

6.2. Развертывание СОВ на основе защиты отдельного сервера

СОВ на основе защиты отдельного сервера может предоставить дополнительный уровень защиты, как только организация развернула СОВ на основе защиты сети. Однако это может потребоваться много времени для установки СОВ данного класса на всех серверах предприятия. Поэтому, часто предпочтительно начать установку этих СОВ только на критических серверах. Подобное построение системы защиты уменьшит совокупные затраты развертывания и позволит персоналу сосредотачиваться на сигналах, сгенерированных от наиболее важных серверов сети.

Как только функционирование и обслуживание СОВ на основе защиты отдельного сервера станут рутинными и будут в совершенстве освоены персоналом, организации, которые придают особое значение вопросам защиты информации, могут рассмотреть вопрос об установке таких СОВ на большинстве их серверов. В этом случае целесообразно приобретать системы, которые имеют простое в использовании централизованное управление и информирование администратора безопасности о фактах возможных вторжений, что позволит упростить управление значительным числом серверов компании.

 

7. Будущее СОВ

Исследовательские работы в области создания СОВ стали активными после 1985 года, но крупномасштабное коммерческое использование СОВ не начиналось вплоть до 1996 года. Сегодня рынок средств обнаружения вторжений активно растет. По данным IDC, в 1998 году продажи инструментальных средств СОВ достигли 100 миллионов долларов США, в 2001 году – 350 миллионов, а в 2002 уже 443,5 миллионов долларов! По ряду оценок, этот сегмент рынка должен продолжить свой рост и в ближайшее время превысить полмиллиарда долларов! Из этой хронологии очевидно, что, в то время как исследовательские работы активизируются в области СОВ, активизируется и реклама этих продуктов, но вместе с тем эти системы все еще остаются на начальной стадии своего развития

Некоторые СОВ получили отрицательную рекламу из-за большого количества ложных срабатываний, недостатка универсальности и недостаточной интеграции с системами управления сетью предприятия. Вместе с тем, тенденции развития этого направления средств защиты информации позволяет предположить, что в самое ближайшее время значительное число проблем, связанных с функциональностью СОВ, будут разрешены.

 

8. Для получения дополнительной информации

Приобретение, развертывание и поддержание СОВ - сложная задача. К счастью, сегодня имеется много превосходных ресурсов как в виде книг, так и Интернет-ресурсов и семинаров, что позволяет ввести публику в технологию СОВ.

Несколько свободных ресурсов по проблеме СОВ доступны в Интернет:

  1. Краткий обзор СОВ и их возможностей приведен в книге “Введение в оценку обнаружения вторжения для системного и сетевого управления защиты”  (http://www.icsa.net/services/consortia/intrusion/intrusion.pdf).
  2. Обзору коммерческих систем СОВ, который позволяет легко сравнить их особенности, посвящена работа “Обзор систем обнаружения вторжения” изданный Лос-Аламосской национальной Лабораторией США (http://lib-www.lanl.gov/la-pubs/00416750.pdf).
  3. Информация по компьютерным нападениям может быть найдена в майском выпуске ITL Bulletin NIST  “Компьютерные нападения: чем они являются и как защититься от них” (http://www.nist.gov/itl/lab/bulletns/cslbull1.htm).
 
Сергей Гриняев

[1] ITL Bulletins, Nov. 1999

Теги: безопасность , угроза