Отсутствие механизма доказательств для судебных разбирательств

Логическим завершением деятельности системы обнаружения атак является сбор неопровержимых доказательств для суда или службы внутреннего контроля. Однако многие из уже описанных выше проблем не позволяют собрать достаточно данных для этого. В качестве примера можно привести неоднозначную идентификацию злоумышленника или возможность подмены адреса источника атаки. Кроме того, обычно блюстители закона не имеют достаточных знаний и квалификации, чтобы разбираться в сообщениях, создаваемых системами обнаружения атак. Поэтому такие системы должны включать механизмы, облегчающие сбор доказательств и представление их в Форме, удобной для понимания служителями Фемиды. Пока только некоторые системы обнаружения атак умеют делать это. К ним относятся RealSecure Network Sensor и SecureNet PRO. Данные системы обладают механизмом Массировки событий (event trace), который позволяет записать все реализуемые злоумышленником действия в той последовательности и с той скоростью, с которыми они реализовывались. Впоследствии администратор в любое заданное время может "прокрутить" (replay или playback) необходимую последовательность событий с заданной скоростью (в реальном режиме времени, с ускорением или замедлением), чтобы проанализировать деятельность злоумышленника. Это позволит понять его квалификацию, используемые средства атаки и, в том числе, собрать необходимые доказательства противоправной деятельности.

Системы обнаружения атак на уровне сети

Теперь я хотел бы от общих проблем, присущих любым классам систем обнаружения атак, перейти к анализу средств, работающих на сетевом уровне.
Именно эти системы пользуются наибольшей популярностью.

Коммутируемые сети

Коммутируемые сети ставят множество проблем перед сетевыми системами обнаружения атак, а также перед сетевым анализом в принципе. Есть много путей решения этой проблемы, но они не всегда являются удовлетворительными. Более подробно об этом говорилось в главе 9.

Сети с канальным шифрованием

Очевидно, что если трафик зашифрован, то обнаружить в нем какую-либо атаку невозможно. Детально этот случай продемонстрирован на рис. 1.7. Несмотря на то, что шифрование усиливает защиту и не позволяет злоумышленникам получить несанкционированный доступ к передаваемым данным, в случае неправильного использования этих возможностей они становятся препятствием для обеспечения надежной защиты. Ведь помимо шифрования важных данных с тем же успехом могут быть зашифрованы и атаки. Особенно актуальной рассматриваемая проблема становится в распределенных сетях, состоящих из нескольких офисов, взаимодействующих по общим каналам связи и защищенных при помощи VPN-устройств. Если злоумышленник "залезет" в один из филиалов, то по VPN-соединению он проникнет в другой офис. И ни одна периметровая система защиты, в т. ч. и система обнаружения атак, не заметит его.

Другая проблема связана с тем, что многие хакерские средства, особенно новые разновидности "троянских коней" и средств реализации распределенных атак (например, TFN2K), зашифровывают все команды и другой трафик, передаваемые между собой. Это также не позволяет достоверно обнаружить и своевременно пресечь несанкционированную деятельность.

Модемы

Системы обнаружения атак уровня сети не всегда могут распознать атаки, извне направленные на узлы сети, на которых установлены модемы. Если модем используется как точка входа в корпоративную сеть, то обнаружить атаки, осуществляемые через него, достаточно легко. Однако более эффективным способом выявления атак, осуществляемых через модемы, является применение систем обнаружения атак, функционирующих на уровне узла и систем анализа защищенности (например, Internet Scanner или System Scanner).

Нехватка ресурсов

Системы обнаружения атак на уровне сети устанавливаются в наиболее важных сетевых сегментах. Они должны быть способны не отставать от сетевого оборудования, анализировать и сохранять информацию от десятков и сотен узлов в сети. Очевидно, что очень трудно найти систему, которая смогла бы эффективно это делать.

Ниже описаны наиболее типичные проблемы, связанные с нехваткой ресурсов.

Высокоскоростные сети

В настоящее время сетевые сенсоры систем обнаружения атак не могут успешно справляться с атаками в сильно загруженных сегментах, например, свыше 100 Мбит/с. И хотя существуют решения, позволяющие совладать и с таким трафиком, на момент написания этой книги они были достаточно редки и, что самое неприятное, — очень дороги. К таким решениям можно отнести BlackICE, Cisco Catalyst 6000 IDS Module, ManHunt, Dragon Sensor и совместную разработку компаний Internet Security Systems и Top Layer. Bсe эти продукты позволяют обнаруживать атаки в "гигабитном" трафике, а некоторые из них также функционируют в сетях ATM.