ЗАЩИТА ДАННЫХ
Прежде чем устремить взгляд на перспективные технологии обнаружения и отражения сетевых атак, оглянемся назад и проследим эволюцию систем защиты информации.
70-е годы. ПК в организациях еще очень редки, а те, что есть, не объединены в единую вычислительную сеть. Вопросы обеспечения информационной безопасности решаются за счет встроенных защитных механизмов операционных систем.
Начало 80-х годов. Появляются локальные вычислительные сети, объединяющие несколько компьютеров. Угроза атак невелика, и администраторы вручную проверяют регистрационные журналы системы защиты на предмет обнаружения “следов”, оставленных злоумышленниками.
Середина 80-х - начало 90-х годов. Масштаб сетей постепенно растет. Уже не редкость, когда сеть предприятия объединяет сотни и тысячи компьютеров, находящихся в различных, в том числе и географически удаленных точках. Администратор сети уже не способен вручную проверять все журналы регистрации - для этих целей создаются средства автоматической проверки журналов (automated log checkers). Примером такого средства можно назвать систему LogEvent Manager, разработанную фирмой March Information Systems, впоследствии поглощенной компанией Internet Security Systems. Подобные программы загружают журналы регистрации с удаленных компьютеров на рабочее место администратора безопасности, где осуществляется их анализ. Хотя администратору уже не надо вручную обращаться к каждому компьютеру для анализа его журнала регистрации, остается проблема, состоящая в том, что приходится обрабатывать огромные объемы данных.
Для решения этой задачи были разработаны средства для автоматического обнаружения в журналах регистрации событий, указывающих на нарушение политики безопасности. Эти средства получили название систем обнаружения атак на уровне хоста (Host-based Intrusion Detection Systems, IDS) или мониторов регистрационных файлов (Log-File Monitors).
Архитектуры систем защиты
Существуют две типичные архитектуры таких систем: автономная система и агент - менеджер. Первая слишком проста и в настоящее время в коммерческих продуктах практически не встречается. Программы, созданные на ее основе, нужно устанавливать на каждый контролируемый компьютер. Связь между автономными системами, установленными на различных компьютерах, отсутствует, и журналы регистрации администратору приходится загружать на свой компьютер с помощью других средств либо анализировать эти журналы, осуществляя удаленный вход на каждый компьютер. Очевидно, что в крупных, территориально распределенных сетях это нереально.
Для современных сетей более эффективна архитектура агент - менеджер, поскольку информация о событиях, регистрируемых агентами на каждом контролируемом компьютере, передается на центральную консоль (менеджер). С этой же консоли производится управление удаленными агентами и их настройка.
К достоинствам систем обнаружения атак, анализирующих журналы регистрации, можно отнести:
- возможность обнаружения атаки на конкретный узел;
- возможность оценить итоги атаки. Поскольку IDS работает с событиями, уже зафиксированными в журнале регистрации, можно с уверенностью утверждать, была отражена атака или нет;
- эффективность применения в коммутируемых сетях и сетях с канальным шифрованием.
Однако у таких систем есть и свои недостатки. Они не могут обнаружить атаки, направленные на те узлы, где не ведутся журналы регистрации, или на платформы, для которых не существует соответствующего программного обеспечения. Кроме того, их нельзя использовать для раннего обнаружения атак.
Для решения этих проблем были разработаны системы обнаружения атак на уровне сети (Network-based IDS): они анализируют сетевой трафик в реальном масштабе времени и сравнивают его с заранее определенными сигнатурами атак. У сетевых IDS есть два основных преимущества. Во-первых, один агент такой системы может просматривать целый сегмент сети с большим числом узлов. Могут быть обнаружены атаки против любых элементов сети предприятия, начиная от маршрутизаторов и межсетевых экранов и заканчивая Web-серверами и серверами баз данных. Во-вторых, сетевые IDS способны идентифицировать атаки в реальном времени, благодаря чему могут быть оперативно предприняты меры противодействия.
Назовем другие достоинства таких систем.
3 Злоумышленник не может скрыть следы своей деятельности. При обнаружении атак в реальном времени IDS сетевого уровня используют текущий сетевой трафик, поэтому хакер не может удалить следы своего присутствия. Анализируемые данные содержат не только информацию о методе атаки, но и сведения, которые могут помочь при идентификации злоумышленника и фигурировать в качестве доказательства в суде. Однако, поскольку многие хакеры хорошо знакомы с журналами регистрации, они знают, как манипулировать этими файлами для сокрытия следов своей деятельности, чтобы снизить эффективность систем уровня ОС, пользующихся этой информацией для обнаружения атаки.
3 Системы могут обнаруживать неудавшиеся атаки или подозрительную деятельность. IDS сетевого уровня, установленная с наружной стороны межсетевого экрана (МСЭ), способна фиксировать атаки, нацеленные на защищаемые ресурсы, даже если экран отразит эти попытки. Системы защиты, установленные на узлах внутри сетевого периметра, не видят отраженных атак, которые не достигают узлов, защищенных МСЭ. Между тем эта потерянная информация может иметь очень важное значение при оценке и совершенствовании политики безопасности.
Тем не менее системы обнаружения сетевых атак на уровне сети имеют и свои недостатки.
Во-первых, их применение в высокоскоростных сетях связано с определенными проблемами. Современные коммерческие системы защиты, несмотря на декларируемую возможность работы с сетями Fast Ethernet (100 Мбит/с), не могут эффективно работать в сетях с пропускной способностью выше 80 Мбит/с, следовательно, при скорости передачи информации свыше 100 Мбит/с (например, для канала ATM OC-3) они неприменимы.
Во-вторых, сетевые IDS неэффективно работают в коммутируемых сетях и сетях с канальным шифрованием.
Отметим, что IDS сетевого и системного уровней со своими достоинствами и преимуществами эффективно дополняют друг друга и взаимоустраняют недостатки.
Завершая краткое описание имеющихся решений в области обнаружения атак, попробуем ответить на вопрос: подойдут ли эти решения в их современном виде для защиты сетей в недалеком будущем?
На этот счет есть серьезные сомнения. Сети стали настолько сложными, что их трудно контролировать существующими методами. Число узлов растет с небывалой скоростью. С появлением гигабитных скоростей и коммутируемых виртуальных частных сетей объем передаваемого по сетям трафика возрос на несколько порядков. Возникает необходимость в совершенно новых подходах к обнаружению атак, позволяющих справиться с этими проблемами.
Рассмотрим такие подходы к созданию ПО средств защиты, которые позволят эффективно обнаруживать новые атаки, возможно, лишь в следующем тысячелетии.
Микроагенты
Как уже отмечалось, нынешние программы обнаружения атак относятся либо к классу сетевых (network-based), либо к классу системных (host-based) продуктов. Однако идеальным решением было бы создание системы, совмещающей в себе обе технологии, т. е. на каждый контролируемый узел должен быть установлен агент системы обнаружения атак, который контролировал бы атаки не только на прикладном уровне (ОС и приложений), но и сетевые атаки, направленные на данный узел. По сравнению с существующими решениями такой подход имеет несколько преимуществ.
Во-первых, высокая скорость работы сети уже не представляет проблемы, поскольку указанный агент не просматривает трафик всей сети, останавливаясь лишь на трафике данного узла. Во-вторых, расшифровка пакетов осуществляется прежде, чем они достигнут агента. И наконец, благодаря тому, что агент размещается непосредственно на каждом контролируемом компьютере, коммутируемые сети не накладывают ограничений на их использование.
Эти агенты объединяют достоинства сетевого модуля слежения, работающего в реальном масштабе времени, с тактическими преимуществами агента системного уровня. К настоящему времени о разработках в этой области объявила только компания Internet Security Systems (ISS), запланировавшая выпуск продукта под названием Micro Agent к концу года. Эти микроагенты будут дополнять сетевые и системные модули слежения ПО обнаружения атак RealSecure, созданного той же компанией.
Нейросети
Почти все современные подходы к процессу обнаружения атак базируются на некоторой форме анализа контролируемого пространства на основе правил. Под контролируемым пространством подразумеваются журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Экспертная система состоит из наборов правил, подготовленных специалистом. К сожалению, чтобы соответствовать постоянно меняющимся требованиям, такие системы должны регулярно обновляться. Хотя экспертные системы предлагают интеллектуальные средства просмотра данных в журналах регистрации, необходимые обновления администратор должен вводить вручную. Если обновления производиться не будут, это приведет к ослаблению возможностей экспертной системы. В худшем случае снизится степень защищенности всей сети, пользователи же будут введены в заблуждение относительно ее действительного уровня.
Обнаружение атаки, распределенной во времени либо между несколькими злоумышленниками, для экспертной системы затруднительно. Методы сетевых атак постоянно совершенствуются, хакеры используют индивидуальные подходы и следят за регулярными изменениями ПО и аппаратных средств избранных ими жертв. Из-за большого разнообразия видов атак даже специальные постоянные обновления базы данных правил экспертной системы никогда не обеспечат их стопроцентной идентификации.
Одним из путей преодоления этих проблем стало использование нейронных сетей. Нейросеть, проводя анализ информации, позволяет оценить, согласуются ли полученные ею данные с распознаваемыми характеристиками. В этом и заключается ее отличие от экспертных систем, устанавливающих соответствие тех характеристик, которые она рассматривает, и тех, которые заложены в базе данных правил. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от способности системы к анализу примеров (способности к обучению).
Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Ее реакция анализируется, и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальному периоду обучения нейросеть набирается опыта по мере того, как она проводит анализ данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности “изучать” характеристики умышленных атак и идентифицировать элементы, отличные от тех, что наблюдались ею в сети прежде.
Есть два варианта реализации нейросетей в системах обнаружения атак. Первый включает объединение нейросети с существующей или видоизмененной экспертной системой. Второй подход предполагает реализацию нейросети как отдельно стоящей системы обнаружения атак. На рынке пока нет коммерческих реализаций ни того ни другого варианта. Однако уже известны научно-исследовательские проекты с их применением - например, использование данных, собираемых уже упомянутой системой RealSecure, в качестве входных для нейросети.
Представление данных в системах обнаружения атак
Для эффективного обнаружения атак необходимо контролировать и подробно записывать большое число событий, происходящих в информационной системе. В результате образуется значительный объем данных, которые по большей части не представляют интереса, но сохраняются в надежде, что их анализ позволит своевременно обнаружить подозрительное событие. Необходимость хранения этих объемов данных обуславливает две задачи:
- разработка механизмов эффективного использования дискового пространства для хранения журналов регистрации и данных сетевого трафика;
- возможность представления администратору лишь интересующих его данных.
Хотя эти две задачи взаимосвязаны, коснусь только второй. Многие специалисты сталкивались с ситуацией, когда система обнаружения атак генерирует сотни, а в крупных сетях - и тысячи записей о происходящих событиях. Проанализировать эти события вручную не под силу. И хотя в имеющихся на рынке системах обнаружения атак существуют механизмы объединения нескольких однотипных событий в группы, эти средства еще далеки от совершенства.
В настоящий момент методы эффективного представления данных разрабатываются различными производителями и исследовательскими центрами. Например, компания ISS в конце июня этого года объявила о создании “технологии слияния” (Fusion Technology). Эта технология позволит группировать сообщения о сотнях однотипных событий, зарегистрированных как системой RealSecure, так и другими средствами защиты, в одно-два уведомления, которые будут отражены на экране консоли управления. В этом же направлении движется и исследовательский центр COAST, где создана группа по разработке эффективного формата журналов регистрации и представления данных администратору безопасности. Из российских разработчиков такие механизмы реализует НИП “Информзащита” в своей новой технологии управления информационной безопасностью “Беркут”.
Принятие решений, прогнозирование атак
В будущем системы обнаружения атак должны стать более интеллектуальными по сравнению со своими предшественниками. Это касается не только самого процесса обнаружения атак, который может быть реализован с помощью различных механизмов, в том числе описанных выше нейросетей. Интеллектуальными станут такие процессы, как выбор метода реакции на атаку и прогнозирование новых атак на корпоративную сеть. Первым шагом в создании таких систем можно назвать разработку компанией ISS продукта под названием SAFEsuite Decisions. Он позволяет получать данные от различных средств защиты - межсетевых экранов, систем анализа защищенности и обнаружения атак. Эти данные можно анализировать, обобщать и на их основе определять подверженность того или иного узла либо сегмента сети атакам со стороны как внешних, так и внутренних злоумышленников. Сведения об уязвимых местах, полученные от систем анализа сетевой защиты, наряду с информацией о частоте атак, которую выдают межсетевые экраны и системы обнаружения атак, установленные в различных сегментах сети, позволяют прогнозировать нападения, включая скоординированные атаки, осуществляемые сразу несколькими хакерами.
Заключение
На сегодняшний день обнаружение атак является трудным делом. И если компания открывает все больше дверей к своим корпоративным ресурсам, эта проблема будет усугубляться. Приобретая систему обнаружения атак, необходимо анализировать не только ее сиюминутные достоинства, но и потенциальные возможности развития и расширения.
С автором статьи можно связаться по адресу: luka@infosec.ru.
