Особенности систем обнаружения атак на сетевом и операционном уровнях

Как было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровнях [50]. Использование метода обнаружения атак в сетевом трафике имеет определенные достоинства:

– один агент сетевой системы обнаружения атак может просматривать целый сегмент сети с многочисленными хостами, в то время как для метода обнаружения атак на операционном уровне необходимо на каждый анализируемый узел устанавливать свой агент. Этот метод позволяет обнаруживать атаки против всех элементов сети предприятия, начиная от маршрутизаторов и заканчивая прикладными приложениями;

– системы, построенные с учетом этого метода, могут определять атаки в реальном времени;

– обнаружение неудавшихся атак или подозрительной деятельности. Система обнаружения атак IDS сетевого уровня, установленная с наружной стороны межсетевого экрана, может обнаруживать атаки, нацеленные на ресурсы за МЭ, даже несмотря на то, что МЭ, возможно, отразит эти попытки.

Принципиальное преимущество сетевых систем обнаружения атак состоит в том, что они идентифицируют нападения прежде, чем те достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети.

Однако системы обнаружения сетевых атак также имеют и свои недостатки:

– такие системы трудно применимы в высокоскоростных сетях. Все современные коммерческие системы – несмотря на то, что производители анонсируют их возможность работы с сетями Fast Ethernet (100 Мбит/с) – не могут работать в сетях с пропускной способностью выше 60-80 Мбит/с;

– сетевые IDS неэффективно работают в коммутируемых сетях и сетях с канальным шифрованием.

Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Используя знание того, как должна себя «вести» операционная система, средства обнаружения, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако часто это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого процесса обнаружения, существенно снижает производительность защищаемого хоста.

Такие системы обнаружения атак сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации. Поэтому они, в принципе, не применимы для высококритичных систем, работающих в режиме реального времени (например, системы «Операционный день банка» или системы диспетчерского управления).

Системы уровня ОС «не видят» отраженных атак, которые не достигают узлов за межсетевым экраном. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности.

Однако оба эти подхода применимы для защиты предприятия или организации. Если требуется защитить один или несколько узлов, то неплохим выбором могут быть системы обнаружения атак на уровне хоста.

Если требуется защитить большую часть сетевых узлов организации, то лучшим выбором будут системы обнаружения атак на уровне сети, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи сетевой системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост.

Идеальным решением была бы система обнаружения атак, объединяющая в себе оба эти подхода. Этому требованию удовлетворяет система RealSecure, разработанная компанией Internet Security Systems. В состав данной системы входят сетевой и системный агенты, обнаруживающие атаки на уровне сети и хоста соответственно.

Существует еще одна классификация систем обнаружения атак. Она делит системы по тому признаку, когда анализируются данные, - в масштабе реального времени или после совершения события. Как правило, системы обнаружения атак на уровне сети работают в режиме реального времени, в то время как системы, функционирующие на уровне хоста, обеспечивают автономный анализ регистрационных журналов операционной системы или приложений. Однако бывают и исключения. Например, системный агент вышеупомянутой системы RealSecure функционирует в масштабе реального времени.

Преимущества и недостатки каждого из подходов зависят от того, как будет применяться система обнаружения атак. В случае высококритичных систем, таких как, например, «Банковский операционный день», обнаружение атак в режиме реального времени является обязательным, поскольку злоумышленник может проникнуть в систему, сделать все необходимое и исчезнуть в течение нескольких минут или даже секунд.

Автономный анализ в режиме off-line также имеет немаловажное значение. Он позволяет проводить более подробное исследование того, когда и как злоумышленники проникли в систему. Это дает возможность выработать эффективные меры противодействия нападавшим злоумышленникам. Такой анализ может быть реализован по-разному, начиная от простой генерации отчета с информацией обо всех или выбранных прошедших событиях и заканчивая воспроизведением (playback) в реальном времени всех действий, выполняемых при атаке (как это, например, реализовано в системе RealSecure).

Методы реагирования

Атака не только должна быть обнаружена, необходимо еще правильно и своевременно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории [44]:

– уведомление;

– хранение;

– активное реагирование.

Применение той или иной реакции зависит от многих факторов.

Уведомление - самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Такими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону. Последние два варианта присутствуют всистеме обнаружения атак RealSecure американской компании Internet Security Systems.

К категории «уведомление» относится также посылка управляющих последовательностей другим системам, например, системам сетевого управления или межсетевым экранам (Check Point Firewall-1, Raptor Firewall и т.д.). В первом случае используется стандартизованный протокол SNMP, а во втором - внутренние или стандартизованные (например, SAMP) протоколы.

Сохранение – к этой категории относятся два варианта реагирования:

– регистрация события в базе данных;

– воспроизведение атаки в масштабе реального времени.

Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо пропустить атакующего в сеть компании и зафиксировать все его действия. Это позволит администратору безопасности затем воспроизводить в масштабе реального времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать успешные атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное реагирование – к этой категории относятся следующие варианты реагирования:

– блокировка работы атакующего;

– завершение сессии с атакующим узлом;

– управлением сетевым оборудованием и средствами защиты.

Системы обнаружения атак могут предложить следующие конкретные варианты реагирования: блокировку учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурацию межсетевых экранов и маршрутизаторов и т.д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, их надо использовать очень аккуратно, так как неправильное их применение может привести к нарушению работоспособности всей корпоративной информационной системы.

 

⇐ Предыдущая12345

Поделиться: