Система обнаружения атак RealSecure

Наряду с технологией анализа защищенности процесс адаптивного управления безопасностью сети включает и технологию обнаружения атак. В комплекс средств адаптивного управления безопасностью SAFEsuite входит система обнаружения атак RealSecure.

Система RealSecure позволяет обнаруживать враждебную деятельность на от­дельных узлах (на уровне операционной системы), распознавать атаки на корпо­ративную сеть (на уровне сети) и реагировать на эти атаки соответствующим обра­зом. Обнаружение атак (вторжений) производится в режиме реального времени как путем выявления некоторых статистических закономерностей графика и срав­нения их со специальными масками, хранящимися в базе данных, так и путем сле­жения за нарушениями закономерностей, ранее сформированных для защищаемой системы.

Система обнаружения атак RealSecure может использоваться для защиты внеш­него доступа (например, из Internet) и обеспечения безопасности во внутренней сети. Как известно, по статистике до 75% всех инцидентов в корпоративной сети про исходит по вине сотрудников организации.

Отличительная особенность системы обнаружения атак RealSecure состоит в том, что она может функционировать и на уровне сети, и на уровне хоста. В первом слу­чае система RealSecure анализирует весь сетевой трафик, а во втором - журналы регистрации операционной системы (EventLog и syslog).

Система обнаружения атак RealSecure использует распределенную архитектуру и содержит два основных компонента - RealSecure Detector и RealSecure Manager.

Компонент RealSecure Detector отвечает за обнаружение атак и реагирование на них и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем «про­слушивания» трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле. Компонент RealSecure Manager отвечает за настройку и сбор инфор­мации от RealSecure Detector.

Управление компонентами системы RealSecure 3.0 можно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, под­ключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). В последнем случае не требуется устанавливать консоль RealSecure Ma­nager. Для облегчения работы в распределенной сети, в которой ответственность за управление сетью возложена на несколько подразделений, возможна установ­ка нескольких консолей, одновременно управляющих всеми модулями обнаруже­ния атак.

Система RealSecure состоит изтрех подсистем:

• подсистема обнаружения атак;
• подсистема реагирования на атаки;
• подсистема управления модулями.

Подсистема обнаружения следит за сетевым графиком и в случае обнаружения нападений оповещает о них подсистему управления. Подсистема обнаружения позволяет выявить большое количество атак (атаки на Web-серверы, сканирова­ние сети пакетом SATAN, атаки SYN Flood и Ping Death и многие другие). Число детектируемых атак постоянно растет.

При обнаружении нападения подсистема реагирования выполняет действия, заданные администратором: например, оповещение администратора путем посыл­ки сообщения на консоль, завершение соединения с нападающим узлом, вызов специальных сценариев или программ обработки ситуаций.

Подсистема управления позволяет с одного места - администратора безопас­ности - управлять несколькими подсистемами обнаружения, установленными на разных защищаемых сегментах. Эта подсистема обладает удобным графическим

интерфейсом.

Рассмотрим подробнее варианты реагирования на обнаруживаемые атаки. Воз­можности реагирования на атаки являются определяющими для любой системы обнаружения атак. В системе RealSecure такие варианты можно разделить на три

типа:

• уведомление ( notification );
• запоминание ( storage );
• активное реагирование ( active response ).

Уведомления можно посылать на одну или несколько консолей управления (Re­alSecure Manager), по электронной почте или по факсу, телефону и пейджеру. Пре­дусмотрена генерация управляющих SNMP-последовательностей для показа ин­формации о контролируемых событиях в системах сетевого управления. Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном форматах. В последнем случае система RealSecure сохраняет содержание всего графика. При; этом воз­можно воспроизведение всех действий нарушителя с заданной скоростью для по­следующего анализа. Во многих случаях такая возможность помогает разобраться в том, каким образом злоумышленник проник в корпоративную сеть и что необ­ходимо противопоставить ему в дальнейшем.

В случае осуществления атаки, которая способна привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с ата­кующим узлом, блокировка учетной записи нарушителя (если он является со­трудником организации) или реконфигурация межсетевых экранов и маршрути­заторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены. В частности, при использовании в корпоративной сети межсетевых экранов фирм Checkpoint (Firewall-1), Raptor (Raptor Eagle) и Trusted Informati­on Systems (Gauntlet) система RealSecure позволяет в случае обнаружения атаки динамически изменять некоторые настройки этих межсетевых экранов (напри­мер, правила фильтрации, запрещающие доступ в корпоративную сеть со сторо­ны нападающих узлов).

Система Real Secure поддерживает протокол компании Checkpoint SAMP (Sus­picious Activity Monitoring Protocol). Данная возможность позволяет автомати­чески реконфигурировать сертифицированный Гостехкомиссией РФ межсетевой экран Checkpoint Firewall-1. Система Real Secure может «инструктировать» меж­сетевой экран, запрещая доступ с атакующего узла. Реконфигурация начинается в течение нескольких миллисекунд после начала атаки, тем самым предотвращая проникновение нарушителя через межсетевой экран в корпоративную сеть орга­низации. Аналогичная возможность предусмотрена и для маршрутизаторов фир­мы Cisco.

Система RealSecure не снижает производительности сети не только в случае ра­боты с Ethernet, Token Ring, но и при работе с высокоскоростными магистралями типа Fast Ethernet и FDDI. Аналогично другим системам, входящим в семейство SAFEsuite, система RealSecure работает под управлением ОС Windows NT, SunOS, Solaris, HP UX, AIX, Linux.