Системы обнаружения атак на сетевом и операционном уровне

Как было отмечено выше, существуют два класса систем, обнаруживающих атаки на сетевом и операционном уровне [58].

Использование метода обнаружения атак в сетевом графике имеет определен­ные достоинства:

• один агент сетевой системы обнаружения атак может просматривать целый сегмент сети с многочисленными хостами, в то время как для метода обнару­жения атак на операционном уровне необходимо на каждый анализируемый узел устанавливать свой агент. Этот метод позволяет обнаруживать атаки против всех элементов сети предприятия, начиная с атак на маршрутизато­ры и заканчивая атаками на прикладные приложения;
• системы, построенные с учетом данного метода, могут определять атаки в ре­альном масштабе времени;
• обнаружение неудавшихся атак или подозрительной деятельности. Систе­ма обнаружения атак IDS сетевого уровня, установленная с наружной сто­роны межсетевого экрана, может обнаруживать атаки, нацеленные на ресур­сы за МЭ, даже несмотря на то что МЭ, возможно, отразит эти попытки.

Принципиальное преимущество сетевых систем обнаружения атак состоит в том, что они идентифицируют нападение прежде, чем оно достигнет атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не тре­буют установки на различные платформы, используемые в организации. Кроме того, системы обнаружения атак на уровне сети практически не снижают произ­водительности сети.

Однако нельзя не отметить и некоторые недостатки:

• такие системы трудно применять в высокоскоростных сетях. Все современ­ные коммерческие системы, хотя и анонсируют возможность работы с сетя­ми Fast Ethernet (100 Мбит/с), не могут работать в сетях с пропускной спо­собностью выше 60-80 Мбит/с;
• сетевые IDS неэффективно работают в коммутируемых сетях и сетях с ка­нальным шифрованием.

Системы обнаружения атак на уровне хоста были созданы для работы под управ­лением конкретной операционной системы, что накладывает на них определенные ограничения. Используя знание того, как должна себя «вести» операционная сис­тема, средства обнаружения, построенные с учетом подобного подхода, иногда мо­гут выявить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако часто это достигается большой ценой, потому что постоянная регистра­ция, необходимая для выполнения такого процесса, существенно снижает произ­водительность защищаемого хоста.

Подобные системы обнаружения атак сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации. Поэтому они в принципе не применимы для высококритичных систем, работаю­щих в режиме реального времени (например, система «Операционный день бан­ка» или система диспетчерского управления).

Системы уровня ОС не видят отраженных атак, которые не достигают узлов за межсетевым экраном. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности.

Однако оба вышеуказанных подхода могут найти применение для защиты пред­приятия или организации. Если требуется защитить один или несколько узлов, то неплохим выбором могут быть системы обнаружения атак на уровне хоста.

Если требуется защитить большую часть сетевых узлов организации, то лучшим выбором будут системы обнаружения атак на уровне сети, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемо­го при помощи сетевой системы обнаружения атак. Она сможет без дополнитель­ной настройки защищать дополнительные узлы, меж тем как в случае применения системы, функционирующей на уровне хостов, понадобятся ее установка и на­стройка на каждый защищаемый хост.

Идеальным решением была бы система обнаружения атак, сочетающая оба на­званных подхода. Данному требованию удовлетворяет разработка RealSecure ком­пании Internet Security Systems Inc. В состав этой системы входят сетевой и сис­темный агенты, обнаруживающие атаки на уровне сети и хоста соответственно.

Существует еще одна классификация систем обнаружения атак. Она делит сис­темы по способу анализа данных - в реальном масштабе времени или после совер­шения события. Как правило, системы обнаружения атак на уровне сети работают в режиме реального времени, в то время как системы, функционирующие на уров­не хоста, обеспечивают автономный анализ регистрационных журналов ОС или приложений. Однако бывают и исключения. Например, системный агент вышеупо­мянутой системы RealSecure функционирует в реальном масштабе времени.

Преимущества и недостатки каждого из подходов зависят от того, как будет при­меняться система обнаружения атак. Для высококритичных систем, таких как, на­пример, «Банковский операционный день», обнаружение атак в режиме реального времени обязательно, поскольку злоумышленник может проникнуть в систему, сде­лать все необходимое и исчезнуть в течение нескольких минут или даже секунд.

Автономный анализ в режиме off-line также имеет немаловажное значение. Он позволяет проводить более подробное исследование того, когда и как злоумыш-ленники проникли в вашу систему. Это дает возможность выработать эффектив­ные меры противодействия нападавшим нарушителям. Такой анализ может быть реализован по-разному, начиная от простой генерации отчета с информацией обо всех или выбранных прошедших событиях и заканчивая воспроизведением (play­back) в реальном времени всех действий, производимых при атаке (как это, на­пример, реализовано в системе RealSecure).

Методы реагирования

Атака не только должна быть обнаружена, необходимо еще правильно и своевре­менно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории [58,59]:

• уведомление;
• хранение;
• активное реагирование.

Применение той или иной реакции зависит от многих факторов.

Уведомление. Самым простым и широко распространенным методом уведомле­ния является отправка администратору безопасности сообщений об атаке на кон­соль системы обнаружения атак. Такая консоль может быть установлена не у каж­дого сотрудника, отвечающего в организации за безопасность; кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необхо­димо применение иных механизмов уведомления. Такими механизмами могут быть отправка сообщений по электронной почте, на пейджер, по факсу или теле­фону. Последние два варианта присутствуют в системе обнаружения атак RealSe-cure американской компании Internet Security Systems Inc.

К категории «уведомление» относится также посылка управляющих последова­тельностей к другим системам, в частности сетевого управления, или к межсетевым экранам (Checkpoint Firewall-1, Raptor Firewall и т.д.). В первом случае использу­ется стандартизованный протокол SNMP, а во втором — внутренние или стандар­тизованные (например, SAMP) протоколы.

Сохранение. К категории «сохранение» относятся два варианта реагирования:

• регистрация события в базе данных;
• воспроизведение атаки в реальном масштабе времени.

Первый вариант широко распространен и в других системах защиты. Для реа­лизации второго бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности за­тем воспроизвести в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, проанализировать «успешные» атаки и пре­дотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное реагирование. К этой категории относятся следующие варианты реа­гирования:

• блокировка работы атакующего;
• завершение сессии с атакующим узлом;
• управлением сетевым оборудованием и средствами защиты.

Системы обнаружения атак могут предложить конкретные варианты реаги­рования: блокировку учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурацию межсетевых экранов и маршрутизаторов и т.д. Эта категория механизмов реагирования, с одной сто­роны, достаточно эффективна, а с другой, их надо использовать очень аккуратно, так как неправильное их применение может привести к нарушению работоспо­собности всей корпоративной информационной системы.