Средства анализа защищенности операционной системы

Средства этого класса предназначены для проверки настроек операционной системы, влияющих на ее защищенность. Такие настройки определяют:

– учетные записи пользователей, например длину пароля и срок его действия;

– права пользователей на доступ к критичным системным файлам;

– уязвимые системные файлы;

– установленные патчи и т.п.

Системы анализа защищенности на уровне ОС могут быть использованы также для контроля конфигурации операционных систем.

В отличие от средств анализа защищенности сетевого уровня, данные системы проводят сканирование не снаружи, а изнутри анализируемой системы, то есть они не имитируют атаки внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet Security Systems) позволяют автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации.

Как уже отмечалось, средств анализа защищенности операционной системы существует меньше, чем средств проверки сети. Одна из наиболее известных систем COPS (Computerized Oracle and Password Systems), разработанная соавтором системы SATAN Д. Фармером совместно с Ю. Спаффордом из лаборатории COAST. Также широко известны системы System Security Scanner и Security Policy Manager компании Internet Security Systems, Kane Security Analyst компании Intrusion Detection и ряд других.

 

10.2.3 Общие требования к выбираемым средствам анализа защищенности

Остановимся на некоторых общих характеристиках и требованиях к средствам анализа защищенности, которые нужно учитывать при выборе и приобретении этих средств [51].

Обязательным требованием, которое предъявляется к выбираемой системе, является отсутствие необходимости изменения сетевой инфраструктуры предприятия. Иначе затраты на такую реорганизацию могут превысить стоимость самой системы анализа защищенности. В настоящий момент только система Internet Scanner компании Internet Security Systems удовлетворяет этому требованию.

При неправильном применении средств анализа защищенности ими могут воспользоваться злоумышленники для проникновения в корпоративную сеть.

Поэтому средства анализа защищенности должны быть обеспечены механизмами разграничения доступа к своим компонентам и собранным данным. К числу таких механизмов можно отнести:

– ограничение на запуск данных средств только пользователем с правами администратора;

– шифрование архивов данных сканирования;

– аутентификацию соединения при удаленном управлении;

– определение специальных прав на работу с каталогами и т.п.

Необходимо обратить внимание на наличие следующих возможностей процесса обнаружения уязвимостей:

– увеличения скорости сканирования за счет параллельной обработки нескольких устройств или сервисов;

– посылки уведомлений на каждый сканируемый узел сети для предотвращения несанкционированного использования системы;

– настройки на эксплуатационные требования сети для минимизации ложных

срабатываний.

Постоянные изменения состояния корпоративной сети влияют на ее защищенность. Поэтому хорошая система анализа защищенности должна иметь режим работы по расписанию, чтобы, не дожидаясь, пока администратор вспомнит о ней, самой проверить уязвимости узлов сети и не только оповестить администратора о возникших проблемах, но и порекомендовать способы устранения выявленных уязвимостей. Если же такая возможность не предусмотрена в системе анализа защищенности, то необходимо поинтересоваться у поставщика, может ли предлагаемая система работать из командной строки. Такая возможность позволит воспользоваться встроенными в операционную систему сервисами, позволяющими запускать заданные программы по расписанию (например, службу расписания АТ для ОС Windows NT или CRON для ОC UNIX).

Одной из важных характеристик, на которую необходимо обратить внимание, является наличие системы генерации отчетов. Независимо от эффективности используемых механизмов обнаружения уязвимостей средства анализа защищенности вряд ли найдут применение в организации, если в них отсутствует система генерации отчетов. Эта система должна позволять создавать документы различной степени детализации и для различных категорий пользователей, начиная от технических специалистов и заканчивая руководителями организации.

Форма представления данных в отчетах имеет немаловажное значение. Документ, насыщенный только текстовой информацией, не принесет пользы. Использование же графики наглядно продемонстрирует руководству все проблемы с безопасностью в сети организации. Обязательным условием при выборе средств анализа защищенности является наличие в отчетах рекомендаций по устранению найденных проблем.

Постоянное обнаружение новых уязвимостей требует, чтобы система анализа защищенности имела возможность пополнять базы данных уязвимостей.

Это может быть реализовано как при помощи специального языка описания уязвимостей (например, АРХ в системах компании ISS, CASL в системе CyberCop Scanner), так и путем периодического пополнения уязвимостей, обеспечиваемого производителем системы. Для последующего анализа изменений уровня защищенности узлов корпоративной сети выбираемое средство должно позволять накапливать сведения о проведенных сеансах сканирования.

Эффективность применения систем анализа защищенности будет достигнута только в том случае, если они обладают соответствующей поддержкой, учитывающей последние изменения в области обеспечения информационной безопасности. Информация об уязвимостях должна постоянно пополняться. Например, система SATAN не может быть рекомендована как надежное и эффективное средство, так как последние изменения в нее вносились несколько лет назад.

Однако следует отметить, что информация об уязвимости обычно появляется в базе данных системы не раньше, чем ей найдется «противоядие». Это является определенным недостатком всех способов поиска уязвимостей, поскольку злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной уязвимости.

Технологии обнаружения атак

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся и системы разграничения доступа, и межсетевые экраны, и системы аутентификации, сильно ограничены и во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.

По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак – это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем, нечеткой логики и заканчивая использованием нейронных сетей [50].

Статистический метод

Основные преимущества статистического подхода – это использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.

Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем:

1. Статистические системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность.

2. Очень трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность.

3. Статистические системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя характерно отсутствие шаблона типичного поведения или привычны несанкционированные действия.

Экспертные системы

Экспертная система состоит из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления базы данных. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приведет к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Из недостатков основным является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.

Нейронные сети

Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак.

Любое разделение атаки либо во времени, либо среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и их методов даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики заложенным в базу данных правилам, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества анализа примеров поставленной задачи.

Сначала нейросеть «обучают» правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется, и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения нейросеть также «набирает опыт» с течением времени, по мере того как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

⇐ Предыдущая12345Следующая ⇒

Поделиться: