Система обнаружения

Существующие  подходы к решению задач обнаружения  вторжений зачастую отличаются не только реализацией методов обнаружения, но и своей архитектурой, уровнем  детализации и типами обнаружения  вторжений. Естественно, что у каждой системы есть свои достоинства и  недостатки. Несмотря на постоянное развитие применяемых при разработке СОА  технологий, о легкости развертывания, эксплуатации и модификации систем обнаружения вторжений придется забыть, все существующие разработки имеют тенденцию лишь к усложнению. Технологии взлома постоянно совершенствуются, атаки становятся комбинированными и распространяются с очень большой  скоростью, поэтому к современным СОА выдвигаются все более жесткие и сильные требования. Очевидно, что для соответствия своей задаче СОА должны реализовывать две основные рассмотренные выше технологии, в той или иной степени взаимодополняющие друг друга.

Если  рассматривать СОА с точки  зрения методов обнаружения атак, то, очевидно, это должны быть системы, включающие в себя множество модулей, реализующих различные подходы  — c учетом различных типовых сегментов  защищаемых сетей. Перед большинством СОА уже стоит проблема повышения  быстродействия, так как современные  компьютерные сети становятся все более  быстрыми. По мере внедрения СОА  в эксплуатацию повышаются требования к масштабируемости и простоте управления системами обнаружения. В будущем  СОА, видимо, разделятся на две категории, которые будут использовать различные  подходы для малых корпоративных  сетей и для больших, сложных  по своей топологии компьютерных интрасетей территориально распределенных корпораций.

Таким образом, требования и особенности  современных компьютерных сетей, такие  как повышение надежности сетей, повышение мобильности, иерархическая  структура сетей, различные требования к безопасности — все это накладывает  отпечаток на технологии и подходы, которые должны быть уже сегодня  реализованы в системах обнаружения  атак.

Концепция обнаружения компьютерных угроз, а не атак

При построении современной системы  обнаружения вторжений необходимо, прежде всего, сформировать правильные взгляды на информационные процессы, проходящие не только в компьютерной сети, но и во всей информационной системе (ИС). Система обнаружения компьютерных вторжений и атак, по сути, является специализированной системой обработки информации, предназначенной для чрезвычайно быстрого анализа огромного объема данных совершенно разного вида. Для того чтобы определить наиболее точно критерии эффективности такой системы и оценить параметры, которые наиболее сильно влияют на скорость и точность работы, необходимо проанализировать — какого рода данные будут обрабатываться в системе и каким образом это должно происходить.

При этом следует учитывать тот факт, что система обнаружения атак должна функционировать адекватно  угрозам безопасности, характерным  для рассматриваемых объектов информационной системы, поэтому исходной позицией является выявление перечня угроз, характерных для данной ИС.

К сожалению, практически все существующие системы обнаружения компьютерных атак лишены функциональности, позволяющей  связывать риски и угрозы безопасности с происходящими в сетевой  и локальной вычислительной среде  событиями. В результате такого одностороннего анализа, когда в расчет принимаются  только технические параметры сети, причем их весьма ограниченное количество, страдает в первую очередь качество обнаружения атак.

Более того, пользователь такой системы  никогда не получит той информации, ради которой эти системы эксплуатируются  — информации о реализации угроз  безопасности, которым подвержена защищаемая сетевая и локальная инфраструктура.

Обнаружение угроз безопасности

Для описания нового подхода введем понятия, которые будут применяться в  дальнейшем. Под информационной системой в данной работе будет пониматься совокупность технических средств (компьютеров, коммуникационного оборудования, линий передачи данных), при помощи которых обеспечивается обработка  информации в организации.

Под угрозой информационной системе  будем понимать потенциально возможное  действие, предпринимаемое злоумышленником, которое может привести к прямому  или косвенному ущербу.

Атакой  на ИС будем называть действие или  некоторую последовательность действий, предпринимаемых злоумышленником  для достижения несанкционированного результата, в обход установленных  политик безопасности.

В нашем предложении рассматриваются  действия, направленные на нарушение  установленных владельцем правил функционирования системы, выполняемые при помощи различных средств вычислительной техники.

Целью предлагаемой концепции обнаружения  угроз информационной безопасности является определение новых требований и принципов конструирования  систем обнаружения компьютерных атак, ориентированных на комплексную  обработку информации о защищаемой инфраструктуре для своевременного выявления и предупреждения о  возможности реализации угроз, присущих информационной системе.

На  сегодня пирамида информационной обработки  данных в современной СОА выглядит следующим образом (см. Рис. 2).

Рисунок 2. Информационная пирамида

Верхняя часть информационной пирамиды —  это риски и угрозы, присущие рассматриваемой  системе. Ниже располагаются различные  варианты реализаций угроз (атаки), и  самый нижний уровень — это  признаки атак. Конечный пользователь, равно как и система обнаружения  атак, имеет возможность регистрировать только процесс развития конкретной атаки или свершившийся факт атаки  по наблюдаемым характерным признакам. Признаки атаки — то, что мы реально  можем зафиксировать и обработать различными техническими средствами, а следовательно, необходимы средства фиксации признаков атак.

Если  данный процесс рассматривать во времени, то можно говорить, что определенные последовательности наблюдаемых признаков  порождают события безопасности. События безопасности могут переводить защищаемые объекты информационной системы в небезопасное состояние. Следовательно, для системы обнаружения  атак необходим информационный срез достаточной полноты, содержащий все  события безопасности, произошедшие в информационной системе за рассматриваемый  период. Кроме того, поднимаясь вверх  по пирамиде, для события безопасности можно указать, к реализации какого вида угроз оно может привести, для того чтобы в процессе развития атаки производить прогнозирование  ее развития и принимать меры по противодействию угрозам, которые  может вызывать данная атака.

Методология обработки данных в современных  информационных системах подразумевает  повсеместное использование многоуровневости. Для СОА нового типа можно выделить следующие крупные уровни, на которых возможно осуществление доступа к обрабатываемой информации:

1. Уровень прикладного ПО, с которым работает конечный пользователь информационной системы. Прикладное программное обеспечение зачастую имеет уязвимости, которые могут использовать злоумышленники для доступа к обрабатываемым данным ПО.
2. Уровень СУБД. Уровень СУБД является частным случаем средств прикладного уровня, но должен выделяться в отдельный класс в силу своей специфики. СУБД, как правило, имеет свою собственную систему политик безопасности и организации доступа пользователей, которую нельзя не учитывать при организации защиты.
3. Уровень операционной системы. Операционная система компьютеров защищаемой ИС является важным звеном защиты, поскольку любое прикладное ПО использует средства, предоставляемые именно ОС. Бесполезно совершенствовать качество и надежность прикладного ПО, если оно эксплуатируется на незащищенной ОС.
4. Уровень среды передачи. Современные ИС подразумевают использование различных сред передачи данных для взаимосвязи аппаратных компонентов, входящих в состав ИС. Среды передачи данных являются на сегодня одними из самых незащищенных компонентов ИС. Контроль среды передачи и передаваемых данных является одной из обязательных составляющих механизмов защиты данных.

Иллюстративно уровни обработки потоков данных в информационной системе представлены на Рис. 3.

Рисунок 3. Уровни обработки  информации в информационной системе

Исходя  из вышесказанного, можно сделать  вывод, что любые средства защиты информации, в том числе и системы  обнаружения и предупреждения атак, обязаны иметь возможность анализировать  обрабатываемые и передаваемые данные на каждом из выделенных уровней. Требование присутствия системы обнаружения  атак на каждом функциональном уровне информационной системы приводит к  необходимости выделения подсистемы регистрации событий безопасности в отдельный комплекс информационных зондов СОА, обеспечивающих сбор информации в рамках всей сети информационной системы. В то же время, разнородность программно-аппаратных платформ и задач, решаемых различными объектами ИС, требует применения модульной архитектуры информационных зондов для обеспечения возможности максимальной адаптации к конкретным условиям применения.

Использование знаний об угрозах  ИБ для обнаружения  атак на информационную систему

Угрозы  информационной безопасности, как правило, каким-либо образом взаимосвязаны  друг с другом. Например, угроза захвата  уязвимого веб-сервера узла сети может привести к реализации угрозы полного захвата управления данным узлом, поэтому в целях прогнозирования  и оценки ситуации целесообразно  учитывать вероятностную взаимосвязь  угроз.

Если  рассмотреть U — множество угроз  безопасности рассматриваемой информационной системы, то u_i О U — i-я угроза. В предположении, что множество угроз конечно, будем считать, что реализация i-ой угрозы может с некоторой вероятностью приводить к возможности реализации других угроз. При этом возникает задача вычисления P(u|u_i1,u_i2,...,u_ik) — вероятности реализации угрозы u, при условии реализации угроз u_i1,u_i2,...,u_ik (см. Рис. 4).

Рисунок 4. Вид графа зависимости  угроз ИБ

Наиболее  надежно атаку можно обнаружить, имея как можно более полную информацию о произошедшем событии. Как видно  из предыдущих разделов, современные  системы чаще всего фиксируют  атаки по наличию определенной, вполне конкретной сигнатуры.

Расширив  этот подход, мы можем акцентировать  внимание на процесс выделения в  компьютерных атаках различных этапов (фаз) их реализации [1]. Выделение фаз атак, особенно ранних, является важным процессом, который, в конечном счете, позволяет обнаружить атаку в процессе ее развития. Однако сделать это возможно лишь определив соответствующим образом перечень угроз информационной системе, которые могут реализовываться на каждой из фаз атаки, и соответствующим образом отразив данный факт в классификации. В самом крупном приближении выделяются три основных фазы атаки: сетевая разведка, реализация, закрепление и сокрытие следов.

Анализ  взаимосвязи угроз с фазами атаки  и прогнозирования наиболее вероятных  угроз, которые могут быть реализованы  злоумышленником, является важной задачей обеспечения ИБ. Это необходимо для своевременного принятия решений по блокировке злонамеренных воздействий.

Следующим элементом концепции обнаружения  атак является классификация. Вопросы  классификации компьютерных атак до сих пор активно исследуются. Основная задача разработки классификации  компьютерных атак состоит в том, чтобы обеспечить удобство использования  данной классификации на практике. Основные требования к классификации  таковы: непересекающиеся классы, полнота, применимость, объективность, расширяемость, конечность. Интересные подходы к  классификации сетевых атак предложены в [2]. Классификация угроз безопасности должна учитывать структуру и фазы проведения атаки на компьютерные системы, определять такие атрибуты как источники и цели атаки, их дополнительные характеристики, многоуровневую типизацию. Модель обнаружения вторжений должна строиться на базе разработанной классификации.

Таким образом, в перспективе необходимо решение следующих задач —  определение наиболее вероятной  реализации угрозы на текущий момент времени для того, чтобы иметь  представление, какие последствия  могут в кратчайшее время ожидать  информационную систему, а также  составление прогноза развития ситуации с целью определения наиболее вероятной реализации угроз в  будущем.

Повышение эффективности систем обнаружения атак — интегральный подход

Вообще  говоря, современные системы обнаружения  вторжений и атак еще далеки от эргономичных и эффективных, с точки  зрения безопасности решений. Повышение  же эффективности следует ввести не только в области обнаружения  злонамеренных воздействий на инфраструктуру защищаемых объектов информатизации, но и с точки зрения повседневной "боевой" эксплуатации данных средств, а также экономии вычислительных и информационных ресурсов владельца  данной системы защиты.