Нові технології запобігання інформаційних атак порушника

1. Чи захищені сучасні інформаційні системи від атак порушників?
2. Системи виявлення атак - структура і функціональні завдання
3. Як системи виявлення атак збирають вихідні дані про ІС?
4. Яким чином системи виявлення атак виявляють атаки порушників?
5. Які можливості СОА з реагування на виявлені атаки?
6. А чи можна не тільки виявити, але і запобігти атаці?
7. Запобігання атак на мережевому рівні ІС
8. Запобігання атак на системному рівні ІС
9. Методика тестування СОА
10. Висновок
11. література:

Назад до списку статей

Чи захищені сучасні інформаційні системи від атак порушників?

Створення високоефективних і багатофункціональних інформаційних систем (ІС) дозволяє в даний час реалізувати їх в самих різних сферах життя сучасного суспільства. ІС дозволяють автоматизувати та підвищити ефективність обробки інформації шляхом застосування відповідного програмного і апаратного забезпечення. Однак використання ІС одночасно загострює і проблеми захисту ресурсів цих систем від загроз інформаційної безпеки. Однією з таких найбільш критичних загроз є можливість реалізації порушником інформаційних атак, спрямованих, наприклад, на порушення працездатності ІС або отримання несанкціонованого доступу до інформації, що зберігається в ІС. Необхідно відзначити, число інформаційних атак за останні роки характеризується неухильним зростанням. Так за даними Координаційного центру негайного реагування CERT (http://www.cert.org), число атак на ІС, зафіксованих в 2002 році, становить 74 тис., Що в два рази перевищує аналогічний показник 2001 [1]. Для протидії інформаційним атакам в даний час все частіше застосовуються спеціальні системи захисту - системи виявлення атак.

Системи виявлення атак - структура і функціональні завдання

Системи виявлення атак (СОА) представляють собою спеціалізовані програмно-апаратні комплекси, призначені для виявлення інформаційних атак в ІС. Типова архітектура систем виявлення атак включає в себе наступні компоненти (рис. 1):

• модулі-датчики (або модулі-сенсори), призначені для збору необхідної інформації про функціонування ІС;

• модуль виявлення атак, що виконує обробку даних, зібраних датчиками, з метою виявлення інформаційних атак порушника;

• модуль реагування на виявлені атаки;

• модуль зберігання даних, в якому зберігається вся конфігураційна інформація, а також результати роботи системи виявлення атак. Таким модулем, як правило, є стандартна СУБД, наприклад MS SQL Server, Oracle або DB2;

• модуль управління компонентами системи виявлення атак.

Всі перераховані вище модулі системи виявлення атак можуть бути реалізовані як у вигляді одного, так і декількох програмно-апаратних компонентів.

Як системи виявлення атак збирають вихідні дані про ІС?

Системи виявлення атак збирають всю інформацію, необхідну їм для виявлення атак, за допомогою мережевих (network-based) і хостових (host-based) модулів-датчиків [2]. Мережеві датчики призначені для збору інформації про всі пакетах даних, переданих в рамках того мережевого сегмента, де встановлений датчик. Мережеві датчики реалізуються у вигляді окремого програмно-апаратного блоку, що підключається до сегмента ІС. Хостової ж датчики встановлюються на робочі станції і сервери ІС, і збирають інформацію про всі події, що відбуваються на цих вузлах системи. Як правило, більша частина існуючих СОА використовують обидва типи датчиків для того, щоб була можливість збору максимального обсягу даних, необхідного для виявлення інформаційних атак. Типова схема розміщення СОА в ІС в цьому випадку передбачає установку мережевих датчиків до і після брандмауера (МЕ), що дозволяє забезпечити контроль його функціонування і захист. Одночасно мережеві датчики можуть бути встановлені в сегментах, де розміщення хостових датчиків на кожен комп'ютер недоцільно внаслідок високих матеріальних витрат. Хостової ж датчики системи виявлення атак встановлюються на найбільш критичних серверах ІС, які повинні бути захищені від інформаційних атак (рис. 2).

Мал. 1. Типова архітектура систем виявлення атак

Мал. 2. Типова схема розміщення модулів-датчиків СОА в ІС
Натисніть, щоб збільшити картинку

Яким чином системи виявлення атак виявляють атаки порушників?

Функції виявлення атак в ІС виконуються СОА за допомогою двох типів модулів виявлення атак (МВА) - сигнатурних і поведінкових. Сигнатурні МВА мають вбудовані засоби для створення та зберігання внутрішніх моделей інформаційних атак, які і отримали найменування сигнатурних. Як сигнатури атаки можуть виступати: рядок символів, семантичне вираження на спеціальній мові, формальна математична модель ін. Кожна сигнатура в загальному випадку може бути співвіднесена з певною атакою порушника.

Алгоритм роботи сигнатурних МВА виглядає наступним чином. При отриманні вихідних даних від модулів-датчиків МВА проводять їх аналіз на предмет наявності в них сигнатур атак. У разі виявлення сигнатури в вихідних даних, МВА фіксує факт виявлення інформаційної атаки порушника. Перевагою сигнатурних МВА є їх висока точність роботи, а очевидним недоліком - неможливість виявлення тих атак, сигнатури яких відсутні в базі даних МВА.

Поведінкові МВА, на відміну від сигнатурних, базуються не на внутрішніх моделях інформаційних атак, а на моделях штатного процесу функціонування ІС. Для створення таких моделей, як правило, застосовуються статистичні, нейромережеві і імунні методи. Принцип роботи поведінкових МВА полягає в виявленні невідповідності між поточним режимом функціонування ІС і моделлю штатного режиму роботи, закладеної в МВА. Будь-яке таке невідповідність розглядається поведінковими МВА як інформаційна атака. Перевагою МВА даного типу є можливість виявлення нових атак без необхідності постійної зміни параметрів функціонування модуля. Недоліком же таких МВА є складність створення точної моделі штатного режиму функціонування ІС.

Які можливості СОА з реагування на виявлені атаки?

Після виявлення в ІС атаки системи виявлення атак має можливість зробити певні дії у відповідь, спрямовані на її блокування. За реалізацію цих дій відповідає модуль реагування системи виявлення атак. Читачеві цілком ймовірно буде цікаво дізнатися, які методи реагування вже реалізовані в ряді існуючих комерційних систем виявлення атак.

Базовим методом реагування системи виявлення атак є оповіщення адміністратора ІС про виявлену атаці. Система виявлення атак може повідомити адміністратора наступними способами:

• висновком відповідного повідомлення на консоль управління адміністратора;
• посилкою адміністратору повідомлення засобами електронної пошти;
• шляхом формування SNMP-trap повідомлення і подальшої його посилкою в систему управління (наприклад, HP OpenView, IBM Tivoli, CA Unicenter і ін.).

Повідомлення про виявлену атаці, як правило, формується відповідно до проекту Міжнародного стандарту IDMEF ( Intrusion Detection Message Exchange Format ), Який визначає модель представлення даних, що генеруються СОА, в форматі XML. Відповідно до цього стандарту повідомлення, що посилаються адміністратору безпеки, містять наступну інформацію:

• дату і час виявлення атаки;
• загальний опис атаки, включаючи можливі посилання на додаткові джерела інформації про виявлену атаці;
• символьний ідентифікатор атаки за класифікатором CVE ( Common Vulnerabilities Exposures ) Або CERT ( Computer Emergency Response Team );
• рівень пріоритету виявленої атаки (низький, середній або високий);
• інформацію про джерело атаки (IP-адреса, номер порту, доменне ім'я та ін.);
• інформацію про об'єкт атаки (IP-адреса, номер порту, доменне ім'я та ін.);
• рекомендації щодо усунення вразливості, в результаті якої був зафіксований факт реалізації атаки.

Крім простого оповіщення адміністратора про факт виявлення атаки існуючі СОА можуть реалізувати і ряд інших типів реагування, таких як:

• блокування TCP-з'єднання, за яким була реалізована атака. Таке закриття реалізується шляхом посилки суб'єктам з'єднання спеціального TCP-сегмента з встановленим прапором RST;
• запуск заданої зовнішньої програми з певними параметрами. Наявність такої функції модуля реагування дозволяє адміністратору системи виявлення атак доповнювати існуючі методи реагування своїми власними, реалізованими у вигляді зовнішніх підпрограм;
• реконфігурація брандмауера з метою блокування трафіку, що надходить від хоста порушника. В даний час велика частина існуючих міжмережевих екранів має відповідні зовнішні інтерфейси, що забезпечують взаємодію МЕ з СОА. Прикладом такого інтерфейсу є інтерфейс OPSEC для брандмауера CheckPoint FW-1;
• блокування облікового запису внутрішнього користувача ІС, який є потенційним джерелом атаки. Облікові записи повинні блокуватися на заданий період часу за допомогою хостових датчиків СОА.

А чи можна не тільки виявити, але і запобігти атаці?

Читачеві буде неважко помітити, що всі розглянуті вище методи реагування СОА реалізуються вже після того, як була виявлена ​​атака. Тому це може бути чревате нанесенням значної шкоди ІС. Наявність такого недоліку в усіх СОА першого покоління ініціювало розробку принципово нових технологій, що дозволяють не тільки виявляти, але запобігати інформаційні атаки. Характерно, що в даний час ці технології вже реалізовані в декількох зарубіжних СОА.

Добре відомо, що на мережевому рівні ІС виконується мережеве взаємодія між хостами системи за допомогою різних протоколів. На системному ж рівні проводяться локальні операції системного і прикладного програмного забезпечення ІС, які виконуються на хостах системи. Звідси і запобігання атак на мережевому рівні передбачає використання мережевих датчиків, а на системному - хостових датчиків СОА. Для того, щоб зрозуміти наскільки ефективними можуть бути нові методи блокування інформаційних атак розглянемо більш докладно технології запобігання атак на різних рівнях ІС більш докладно.

Запобігання атак на мережевому рівні ІС

Технологія запобігання атак на мережевому рівні може бути реалізована тільки за допомогою спеціалізованих мережевих датчиків, структура і алгоритм роботи яких описуються нижче. Мережеві датчики в цьому випадку виконуються у вигляді окремих апаратних блоків, які встановлюється в канали зв'язку таким чином, щоб весь мережевий трафік проходив через цей блок. Для цього датчик оснащується двома мережевими адаптерами, що функціонують в «змішаному» режимі (promiscuous mode), через які передбачається проходження всієї інформації, що передається в сегменті ІС. Структура такого датчика показана на рис. 3.

Мал. 3. Структура мережевого датчика СОА

Принцип роботи компонентів мережевого датчика СОА полягає в наступному.

Пакети даних надходять на вхід одного з двох адаптерів, встановлених в мережевому датчику. Далі вони записуються в буферну пам'ять датчика, звідки зчитуються МВА. У МВА дані аналізуються з метою виявлення інформаційних атак порушника. При необхідності можуть бути задіяні наявні в МВА механізми IP-дефрагментації і збірки TCP-сесій. В процесі проведення аналізу пакетів даних модуль звертається до бази даних сигнатур атак і профілів (призначення її буде розглянуто нижче). У разі виявлення атаки інформація про це направляється в модуль реагування, який і визначає оптимальний метод реакції системи виявлення атак. Крім описаних вище стандартних методів реагування модуль може прийняти рішення і про видалення тих пакетів, за допомогою яких реалізується атака. Така операція і дозволяє мережному датчику блокувати виявлену інформаційну атаку [3]. У разі ж якщо пакети даних, що проходять через датчик, не становлять небезпеки для ІС, вони передаються далі по заданому маршруту.

Вельми важливо сказати і про те, що алгоритм функціонування МВА мережевого датчика дозволяє використовувати два методи виявлення інформаційних атак - сигнатурний і профільний. Сенс сигнатурного методу аналізу полягає у виявленні атак на основі відомих шаблонів або сигнатур, які зберігаються у відповідній базі даних датчика (рис. 3). Профільний же метод виявлення призначений для виявлення «аномального» мережевого трафіку, параметри якого не відповідають параметрам профілю ІС, також зберігається в базі даних датчика. Будь аномальний трафік, виявлений в ІС, буде розцінюватися датчиком як спроби реалізації атаки і підлягає блокуванню. Профільний метод виявлення атак відноситься до групи поведінкових методів аналізу (див. Вище). Технологічно передбачається, що мережевий датчик для кожного з хостів ІС зобов'язаний зберігати окремий профіль трафіку, який може отримувати або відправляти хост. При цьому завдання полягає в тому, що трафік, параметри якого не відповідають значенням параметрів профілю, видаляється із загального інформаційного потоку. Як приклад можна привести параметри профілю HTTP-трафіку, який може надходити в Web-сервер ІС (табл. 1).

Таблиця 1

IP-адреси відправника
HTTP-трафіку
Параметр визначає діапазон IP-адрес хостів, від яких можуть надходити HTTP-запити до Web-серверу Номери TCP-портів
Web-сервера
Параметр задає допустимі номери TCP-портів, з яких до Web-північ можуть надходити HTTP-запити Методи формування HTTP-запитів параметр визначає дозволені методи формування HTTP-запитів до Web-серверу Інформаційні ресурси Web-сервера Параметр задає допустимі інформаційні ресурси, доступ до яких може бути отриманий за допомогою HTTP-запитів Параметри HTTP-запиту Параметр визначає допустимі значення параметрів, які можуть міститися в HTTP-запити до ресурсів Web-сервера

Аналогічні профілі задаються і по відношенню до інших типів мережевого трафіку, що циркулює в ІС.

Перевага профільного методу полягає в тому, що він створює можливість для запобігання не тільки відомих в даний час інформаційних атак, але і великого числа несанкціонованих впливів порушників, які ще не вивчені в достатній мірі і реалізація яких пов'язана з порушенням параметрів, закладених в профілі. Так, наприклад, введення обмеження на допустимі значення параметрів HTTP-запитів дозволяє блокувати такі атаки, як Code Red, Code Red II, Nimbda [4], а також всі їх подальші модифікації. Крім того, профільний метод не зберігає сигнатури конкретних мережевих атак і, отже, не вимагає постійного оновлення сигнатурної бази.

Управління компонентами мережевого датчика проводиться за допомогою окремого модуля управління, у функціях якого закладена здатність змінювати параметри роботи кожного з компонентів. Реалізуються ці функції по командам, який формується в центральному модулі управління СОА (рис. 1) і направляються мережевого датчику по виділеному каналу зв'язку через окремий мережевий адаптер (рис. 3).
Результати роботи мережевого датчика записуються в локальній базі даних, доступ до вмісту якої адміністратор безпеки ІС може отримати з використанням модуля управління мережевого датчика.
Одним із прикладів комерційних СОА, що реалізують технологію запобігання атак на мережевому рівні, може служити система «IntruShield» компанії IntruVert (http://www.intruvert.com).

Запобігання атак на системному рівні ІС

Технологія запобігання інформаційних атак на системному рівні реалізується на рівні хостів ІС з використанням хостових датчиків СОА. Цей підхід дозволяє запобігти два типи інформаційних атак:

• мережеві атаки, реалізовані порушником віддалено шляхом посилки об'єкту нападу серії пакетів даних з метою порушити інформаційну безпеку хоста;

• системні атаки, реалізовані порушником локально за допомогою несанкціонованого запуску програм, також з метою порушити інформаційну безпеку хоста. Прикладами таких програм є інформаційні віруси, програми типу «Троянський кінь», програми, спрямовані на несанкціоноване підвищення прав доступу та ін.

Захист від атак цього типу забезпечується мережевими і системними компонентами хостових датчиків, типова структура яких відображена на Рис. 4.

Мал. 4. Структура хостового датчика

Алгоритм функціонування мережевого компонента багато в чому повторює алгоритм роботи мережевого датчика. Мережевий компонент перехоплює всі пакети даних, що надходять на хост ІС, аналізує їх і відфільтровує ті, які можуть становити небезпеку для хоста. Аналіз проводиться або на основі сигнатур, або на основі профілю трафіку хоста. Мережевий компонент, на відміну від датчика, перехоплює і аналізує пакети даних на різних рівнях моделі взаємодії відкритих систем. Це дає можливість запобігати атакам, які реалізуються по кріптозащіщённим IPSec- і SSL / TLS-з'єднанням. Мережевий компонент датчика може складатися з декількох окремих програмних модулів, що запускаються на хості. Так, наприклад, для перехоплення і аналізу HTTP-трафіку, що надходить в Web-сервер MS Internet Information Services, він може включати в себе окремий модуль, виконаний у вигляді ISAPI-фільтра, який дозволяє перехоплювати весь вхідний HTTP-трафік на прикладному рівні і видаляти те HTTP-запросы, которые не соответствуют заданному профилю.

Важливо підкреслити, що системний компонент хостового датчика дозволяє перехоплювати і аналізувати системні виклики всіх додатків, запущених на вузлі ІС. Аналіз проводиться на основі сигнатур або на основі профілю хоста ІС. У кожному з перехоплених системних викликів аналізуються наступні параметри:

• ім'я процесу / додатки, який ініціював системний виклик;
• обліковий запис користувача, від імені якого виконується системний виклик;
• ідентифікатор ресурсу, до якого спрямований системний виклик;
• параметри системного виклику і ін.

У разі встановлення факту порушення системним викликом інформаційної безпеки хоста, він піддається блокування. Такий механізм аналізу і обробки системних викликів дозволяє запобігти системні атаки порушників.

Параметри функціонування додатків, які можна контролювати з використанням системного компонента, і їх опис наведено в таб. 2.

Таблиця 2

Найменування параметраОпис

Доступ додатків до файлової системи хоста

Параметр контролює доступ додатків до файлової системи хоста. З використанням цього параметра компонент може запобігти несанкціонованому доступу до рахунків користувачів з боку деяких додатків

Доступ додатків до системних конфігураційним файлів операційної системи (ОС) хоста

Параметр дозволяє контролювати доступ додатків до реєстру, системним бібліотекам та іншим конфігураційним файлів ОС. За допомогою цього параметра компонент може заборонити внесення змін до цих системні файли, що дозволить забезпечити захист від програм типу «Троянський кінь», а також програм, спрямованих на несанкціоноване отримання адміністраторських прав

Параметри виклику системних функцій з програми

Параметр дозволяє блокувати ті системні виклики, значення параметрів яких не відповідають заданим обмеженням. Це дозволяє запобігти системні атаки, спрямовані на переповнення буфера програм (buffer overflow attacks), що призводять до несанкціонованого виконання коду на хості

Середовище виконання програми

Параметр системного компонента блокує запити додатки на запис в ту область пам'яті, яка не належить цьому додатку. Це дозволяє забезпечити захист від інформаційних вірусів, а також програм, спрямованих на несанкціоноване отримання адміністраторських прав

Велика частина наведених вище параметрів аналізується системним компонентом за допомогою профільного методу. При цьому для кожного програму або комплект програм визначається свій власний профіль роботи. Так, наприклад, профіль HTTP-сервера повинен дозволяти доступ Web-додатків тільки до Web-ресурсів, що включає в себе HTML-документи, ASP-сценарії, CGI-модулі та ін. Доступ до всіх інших інформаційних ресурсів хоста, включаючи системні конфігураційні файли ОС , повинен бути заборонений.

Сигнатурний аналіз системних викликів дозволяє виявляти відомі системні атаки. Прикладами таких атак є «GetAdmin» і «SecHole», які реалізуються шляхом запуску на локальній машині спеціальних програм, що дозволяють несанкціоновано отримати адміністраторські права доступу до хосту.

Прикладами комерційних СОА, що реалізують технологію запобігання інформаційних атак на системному рівні, є програмні комплекси «Entercept» компанії Entercept Technologies , «StormWatch» компанії OKENA і «Форпост» (ЗАТ «РНТ»).

Методика тестування СОА

Оскільки нове покоління СОА здатне не тільки виявляти, але і запобігати інформаційні атаки, то до тестування систем цього класу потрібно інший підхід. В першу чергу це пов'язано з тим, що тестування повинні піддаватися не тільки функції виявлення атак, а й функції їх блокування. Для тестування СОА, що реалізують технологію запобігання атак на мережевому рівні, можуть використовуватися спеціалізовані системи аналізу захищеності, що дозволяють змоделювати заданий безліч мережевих атак порушника. В цьому випадку ефективність СОА буде визначатися кількістю допущених помилок першого і другого роду. Під помилкою першого роду розуміється блокування СОА легального мережевого запиту, який не є атакою. Помилка другого роду виникає в тому випадку, якщо СОА не змогла блокувати реальну мережеву атаку.

Тестування СОА, що реалізують технологію запобігання атак на системному рівні, реалізується способом, аналогічним тому, який застосовується на мережевому рівні ІС. Єдина відмінність полягає в тому, що тут, крім усього іншого, необхідно проводити моделювання системних атак порушника. Іншими словами потрібно провести установку програм типу «Троянський кінь», активізувати інформаційний вірус, несанкціоновано змінити системні файли ОС хоста і ін. Ефективність СОА цього типу оцінюється шляхом підрахунку кількості помилок першого і другого роду, допущених системою в процесі свого функціонування.

Висновок

Проведений аналіз нових методів захисту інформаційних ресурсів ІС дозволяє констатувати, що вони створюють можливість не тільки виявляти, але і запобігати атакам, як на мережевому, так і на системному рівнях ІС. Це дає право автору зробити висновок про те, що такі технології забезпечують якісно новий рівень захисту від інформаційних атак порушника. В першу чергу це пов'язано з тим, що вони переводять існуючі СОА з розряду пасивних в клас активних засобів протидії атакам порушника.

Важливо відзначити і той факт, що російські компанії, що працюють в області інформаційної безпеки, також ініціювали розробку аналогічних технологій захисту від інформаційних атак і в даний час вже готові представити на ринок нові продукти. Це дозволить вітчизняним системам виявлення атак в перспективі гідно конкурувати із зарубіжними аналогами.

література:

[1] В.А. Сердюк. Перспективи розвитку нових технологій виявлення інформаційних атак. Системи безпеки зв'язку і телекомунікацій, №5, 2002
[2] В.А. Сердюк. Системи виявлення комп'ютерних атак і їх роль в захисті інформаційних мереж. BYTE / Росія, №10, 2000..
[3] SM Avdoshin, VA Serdiouk. Some approaches to information security of communication networks. Informatica, Slovenia, №26, 2002
[4] Theuns Verwoerd, Ray Hunt. Intrusion detection techniques and approaches. Computer Communications, №25, 2002