Запросы сервисов и yслуг

Другой способ идентификации атаки заключается в анализе тех сервисов и услуг, которые наиболее часто запрашиваются субъектом (пользователем, процессом и т. п.) в своей повседневной деятельности. Например, если по долгу службы сотрудникам необходимо получить доступ в Internet, то можно составить список часто используемых в работе Web-серверов и отслеживать обращения к серверам, не включенным в этот список, которые могут расцениваться как нарушение политики безопасности. Запросы определенных файлов, посылка (и прием) электронной почты по конкретным адресам, работа с некоторыми сервисами (например, FTP или Telnet) и иные типы активности также можно отнести к индикаторам нарушений политики безопасности.

Пользовательские и системные профили

Использование профилей является более общим подходом, чем анализ запросов сервисов и услуг или системных ресурсов. Пользовательские и системные профили сами по себе включают в себя эти запросы. Но также они дополнены и новыми параметрами, учитывающими специфику конкретного пользователя, процесса или узла. Например, временем пиковых и минимальных нагрузок, длительностью типичного сеанса работы, обычным временем входа в систему и выхода из нее и т. д. Отклонения параметров текущего сеанса работы субъекта контролируемой системы от заданных в профиле могут свидетельствовать об аномальном поведении.

Другие параметры

Существуют и другие признаки, которые позволяют идентифицировать нарушения политики безопасности. К ним относится и уже приведенный выше пример с вводом и авторизацией банковского платежа. Однако допустим, что указанные операции осуществляются на разных рабочих местах, но одним и тем же сотрудником. Это также позволяет нечистоплотным сотрудникам производить переводы денег на подставные счета. В реальности такой ситуации никогда не должно возникать, и функции ввода и подтверждения финансовой транзакции распределяются не только между различными компьютерами, но и между разными сотрудниками банка.

Обнаружение действий, приписываемых пользователю, который уволен (но учетная запись которого по непонятным причинам не удалена из контролируемой системы) или находится в отпуске, также является нарушением политики безопасности.

Необъяснимые проблемы

Любая проблема, которая возникает в корпоративной сети, может (и должна) служить поводом для дополнительных разбирательств. Даже если в процессе расследования выяснится, что проблема не относится к области защиты, то сам факт ее обнаружения положительно влияет на функционирование и работоспособность информационной системы. К числу таких необъяснимых проблем можно отнести нижеперечисленные примеры.

· Проблемы с программным и аппаратным обеспечением. Выход из строя маршрутизатора, перезагрузка сервера или невозможность запуска системного сервиса или процесса может говорить о попытке атаки типа "отказ в обслуживании".

· Проблемы с системными ресурсами. Внезапная нехватка дискового пространства может свидетельствовать о появлении в системе "бомбы", которая представляет собой упакованный файл небольшого размера, который при разархивировании раскрывается в файл размером в сотни мегабайтом (такие "шалости" были очень распространены в сети FIDO в начале-середине 90-х годов).

· Проблемы с производительностью системы. Удаленные во времени ответы от шлюза в Internet или от сервера приложений могут маскировать атаку типа "отказ в обслуживании".

· Необъяснимое поведение пользователя. Неожиданное обращение к не запрашиваемому ранее ресурсу может скрывать под собой тот факт, что злоумышленник перехватил или подобрал пароль авторизованного пользователя и пытается в рамках его полномочий получить доступ к важным данным.

Яйцо кукушки

Классическим примером обнаружения злоумышленника является история, описываемая в [Столл1-96]. В этой книге рассказывается о том, как специалист по компьютерам и астроном по образованию Клиффорд Столл случайно выявил несоответствие в системе учета "машинного" времени. При контроле работы этой системы было обнаружено "заимствование" нескольких секунд машинного времени некоторым пользователем, за которые не было заплачено. Недостача составила всего 75 центов. В результате расследования был найден злоумышленник, вторгшийся в десятки совершенно секретных систем Пентагона.

Заголовки

Данный признак используется только в системах анализа защищенности, о которых будет рассказываться дальше. Многие сетевые сервисы на каждый запрос к ним создают определенный ответ, который называется заголовком или "шапкой" (banner). Анализ информации (например, номера версии), полученной из заголовка, позволяет сделать вывод о наличии или отсутствии уязвимости в сетевом сервисе.

Цифровой "отпечаток пальца"

Этот признак также задействуется в системах анализа защищенности и основан не на проверках заголовков, а на сравнении цифрового "отпечатка пальца" (fingerprint) фрагмента программного обеспечения с "отпечатком" известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого признака являются контрольные суммы или даты анализируемого программного обеспечения. Несоответствие эталонного значения текущему характеризует изменение контролируемого объекта (программы или файла данных) в том числе осуществленное и в результате атаки.