Обнаружение следов атак

Мы знаем, что нам позволит распознать в контролируемых ресурсах при­знаки атаки. Мы также знаем, какие методы можно использовать, чтобы на основе имеющихся признаков определить нарушения политики безопасно­сти на контролируемых ресурсах. Этому была посвящена глава 4. Теперь я хочу описать, как мы будем обнаруживать эти нарушения.

При обнаружений следов атак необходимо учитывать следующие аспекты [Firth 1-97]:

q контроль целостности программ, файлов данных и других информацион­ных ресурсов, подлежащих защите;

q анализ деятельности пользователей и процессов, а также сетевого трафи­ка в контролируемой системе;

q контроль физических форм нападений на элементы ИС, в том числе и на отчуждаемые источники хранения информации (например, mobile rack);

q расследование администраторами и другими надежными источниками (например, CIRT) необычных действий.

В соответствии с этой классификацией действия, связанные с обнаружени­ем атак и описанные в табл. 5.1 могут быть выполнены как в автоматизиро­ванном, так и в ручном режиме (рис. 5.1).

Таблица 5.1. Факторы, связанные с обнаружением атак

Причем автоматизированный анализ также делится на две категории — универсальный и специализированный анализ. Первый осуществляется при помощи средств, встроенных в программное обеспечение. Например, к таким средствам могут быть отнесены анализатор протоколов Network Monitor или система обработки журналов регистрации Event Viewer. Специализированный анализ реализуется средствами, предназначенными именно для обнаружения нарушений политики безопасности. К таким системам относятся RealSecure, Tripwire, System Scanner и т. д.

Рис. 5.1.Варианты проведения анализа информации об атаках

Ручные методы абсолютно бесплатны (если не брать в расчет зарплату специалиста, осуществляющего анализ), однако не обеспечивают своевременности обнаружения атак и тем более реагирования на них. Кроме того, методы не применимы в крупных, территориально-распределенных сетях.

Однако в некоторых случаях использование этих методов обосновано. Например, в удаленных филиалах, на некритичных сегментах и узлах, при отсутствии необходимых денежных средств и т. д. Также эти методы предпочтительны после применения автоматизированного анализа, т.к. несмотря на все их преимущества, некоторые атаки очень трудно обнаружить без привлечения ручного анализа и человеческого разума. В таком случае объемы обрабатываемых вручную данных становятся на порядки ниже их первоначального объема. Ну и, наконец, ручной анализ позволяет специалистам области безопасности повысить свою квалификацию.

Автоматизированные универсальные методы более эффективны, чем ручные методы, однако и они не в состоянии обнаружить нарушения политики безопасности. Все, что они могут, — это облегчить обработку больших объемов информации, осуществлять фильтрацию и выборки данных, которые затем анализируются вручную. Как видно, и в этом случае не обойтись без ручной работы.

И последний вариант выполнения действий, описанных в табл. 5.1, — это применение специализированных систем, которые отличаются от универ­сальных наличием логики. Как правило, эти системы обладают обширной базой нарушений политики безопасности (признаков атак или уязвимостей), которые и можно обнаружить в источниках информации, используя опреде­ленные методы (системы обнаружения злоупотреблений или аномалий).

Однако не следует делать вывод, что только специализированные системы яв­ляются лучшим выбором из всех. Опираясь на сообщения, генерируемые этими средствами, можно пропустить или неправильно интерпретировать некоторые события. Поэтому иногда нельзя довольствоваться тем, что вам "говорит" система обнаружения атак, даже самая совершенная. Приходится опускаться на уро­вень ручного анализа данных, собранных не только системой обнаружения атак, но и другими средствами (например, сетевыми анализаторами).