БЕЗОПАСНОСТЬ
Системы обнаружения атак (IDS) вошли в жизнь отечественных компаний. Как свидетельствуют результаты опроса, проведенного российским представительством консалтинговой фирмы Ernst & Young в сентябре 2001 г. (www.cnews.ru/comments/security/ey_survey_rus.shtml), 38% организаций используют в своей деятельности эти решения. И хотя, на мой взгляд, отчет не совсем точно отражает российскую специфику (все-таки Ernst & Young ориентируется на крупные компании, оставляя малый и средний бизнес за пределами анализа), можно с уверенностью сказать, что технология обнаружения атак уже не является темной лошадкой для отечественных специалистов в области защиты информации.
Однако если спросить у них, что же способна делать система обнаружения атак, то в абсолютном большинстве случаев ответ будет следующим: “Как что? Обнаруживать атаки, например Denial of Service, и реагировать на них”. С одной стороны, это соответствует действительности. Но с другой+ Системы обнаружения атак перестали быть рядовым средством защиты. Теперь это современные многофункциональные комплексы, призванные решать большой спектр задач. Некоторые из них рассмотрены в статье.
Резервирование межсетевого экрана
Часто злоумышленники выводят из строя межсетевые экраны с целью бесконтрольного проникновения в корпоративную сеть. Чтобы снизить вероятность такого проникновения, можно использовать IDS, функционирующие на уровне сети, для временного резервирования функций межсетевого экрана (рис. 1). Эти системы могут фильтровать сетевой трафик по различным полям заголовка IP-пакета, что позволяет организовать довольно мощный пакетный фильтр, почти не уступающий по своим возможностям настоящему межсетевому экрану.
Рис. 1. Резервирование межсетевого экрана
Кроме того, системы обнаружения атак могут заменить межсетевой экран во время регламентных работ по обновлению его ПО или тестирования.
Контроль доступа к файлам
Для контроля доступа к файлам обычно применяются системы защиты информации от несанкционированного доступа, сертифицированные Государственной технической комиссией при Президенте РФ, например Secret Net. Однако в некоторых случаях, когда речь идет о файлах, содержащих стратегически важную информацию (скажем, о файлах паролей или о базе данных), такие системы не могут быть использованы. Связано это с тем, что ни одно из представленных на российском рынке средств (как правило, отечественной разработки) не функционирует под управлением ОС семейства Unix, в частности ОС Solaris, Linux, HP-UX и AIX. Эти системы защиты идеально подходят для платформы Windows, иногда Netware, но в Unix от них нет никакого толку. И тогда на помощь приходят системы обнаружения атак, функционирующие на отдельных узлах (так называемые host-based IDS). При этом могут быть использованы системы, анализирующие журналы регистрации (например, RealSecure Server Sensor) или системные вызовы (Entercept).
Контроль неблагонадежных сотрудников и утечки конфиденциальной информации
Нередко сотрудники компании используют доступ в Интернет в личных целях - для поиска работы, рассылки спама и других несанкционированных действий. Все это приводит к потере производительности труда, увеличению расходов на оплату услуг и т. д. По предварительным оценкам, любая отечественная фирма ежегодно теряет $825 на каждого сотрудника, проводящего в Интернете всего один час в день по личным мотивам. И это еще щадящие цифры. По другим данным, 80% всех пользователей передают сообщения личного характера с рабочего компьютера.
Лишний раз напоминать об опасности утечки конфиденциальной информации через корпоративную электронную почту не приходится. За последний год с такими случаями столкнулось до 90% организаций, имеющих доступ в Интернет: несанкционированному распространению подвергались тексты программ, договоров, финансовых документов, информация о клиентах и т. д.
Для предотвращения таких действий и обнаружения неблагонадежных сотрудников можно применять известные на российском рынке средства контроля содержимого, например семейства MIMEsweeper или SurfControl, а при отсутствии таковых - специально настроенные для этой цели сетевые системы обнаружения атак. Механизм их работы позволяет контролировать сетевой трафик по заданным ключевым словам и фразам (таким, как “конфиденциально”, “резюме”, “поиск работы”), отслеживать случаи передачи файлов с заданным именем (допустим, salary.xls) или расширением и обращений к определенным серверам (например, www.job.ru).
Антивирусная защита
С помощью аналогичных механизмов можно обнаруживать и некоторые разновидности вирусов и троянских коней, заполонивших российский сегмент Интернета. Эпидемии Red Code, Blue Code, Nimda и т. д. лишний раз продемонстрировали недооценку использования антивирусных средств. Только один вирус I LOVE YOU в 2000 г. нанес ущерб в 15 млрд. долл. (!) во всем мире. А помимо вирусов и Интернет-червей сетям организаций грозят и другие опасности, приводящие к безвозвратной утере файлов и данных, - Java-аплеты, управляющие элементы ActiveX и т. д.
Системы обнаружения атак применимы и в данном случае (рис. 2). И хотя они не заменят классическую антивирусную систему в полном объеме, все же они воздвигнут дополнительную преграду на пути вирусов и троянских коней в корпоративную сеть.
Рис. 2. IDS-системы в качестве антивирусной защиты
Контроль действий администратора
Всем известно, что в России ИТ-специалисты не всегда получают зарплату, соответствующую их знаниям. Кроме того, в некоторых организациях еще и закручивают гайки, ограничивая возможности администраторов к самосовершенствованию. В результате обида и недовольство сотрудников ИТ-подразделений растет. Может сыграть определенную роль грубое слово со стороны руководства или отсутствие движения по служебной лестнице. В итоге из чувства мести администраторы могут несанкционированно, а зачастую и бесконтрольно изменять конфигурацию сетевого оборудования, важных серверов и других устройств с целью нанесения ущерба организации или шантажа руководителя.
Системы обнаружения атак, функционирующие как на уровне сети, так и на уровне конкретного узла, могут быть использованы для контроля несанкционированных изменений защищаемых узлов со стороны пользователей, обладающих административными привилегиями. В данном случае эти системы выступают в качестве дополнительного средства контроля. Администраторы могут подчистить один журнал регистрации, второй+ Но запись о проведенных несанкционированных действиях сохранится в третьем, и нарушитель не уйдет от расплаты.
Контроль доступа к Интернет-ресурсам
Абсолютное большинство компаний сталкивается с потерей производительности труда и бесполезной тратой рабочего времени на посещение серверов, ненужных для выполнения непосредственных должностных обязанностей. Очень интересна статистика в этой области:
- 32,6% Интернет-пользователей не имеет четких целей при Web-серфинге;
- 28% пользователей совершает покупки в Интернет-магазинах, не покидая рабочего места:
- объем порнографического трафика, передаваемого в рабочее время (с девяти утра до пяти вечера) составляет 70% от всего порнотрафика в Интернете.
С целью выявления таких злоупотреблений применяются средства контроля содержимого или межсетевые экраны. Однако иногда нет возможности приобрести эти средства. Поэтому такие функции, как контроль использования Интернет-ресурсов, можно переложить на системы обнаружения атак, отслеживающие в сетевом трафике заданные ключевые слова или обращения к определенным серверам.
Обнаружение неизвестных устройств
Нередки случаи, когда злоумышленники подключают свои компьютеры к критичным сегментам сети с целью получения доступа к передаваемой конфиденциальной информации. Анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик, циркулирующий между узлами критичного сегмента. Злоумышленники получают доступ к паролям, передаваемым в незащищенном виде по большинству протоколов, построенных на базе стека TCP/IP. В частности, беззащитны протоколы HTTP, FTP, Telnet, POP3, IMAP и др. Открытой остается и информация, передаваемая между SQL-сервером и клиентским ПО.
Часто сотрудники компаний, в которых Web-доступ регламентируется, подключают к своим компьютерам модемы и используют их для доступа в Интернет в обход защитных механизмов. С помощью модемов, например, обновляются различные юридические и бухгалтерские программы. Наконец, их используют для доступа к рабочему месту из дома. Все это представляет большую угрозу для многих фирм, поскольку компьютеры, к которым подключены модемы, никак не защищены и любой злоумышленник, обнаруживший такой “черный ход”, может воспользоваться им для несанкционированного доступа к ресурсам, требующим обязательной защиты.
Системы обнаружения атак позволяют находить в контролируемых сегментах сети посторонние адреса от “чужих” компьютеров и узлов, а также отслеживать возросший по непонятной причине трафик от какой-либо рабочей станции, ранее в такой активности не замеченной, что может свидетельствовать о проникновении на нее злоумышленника (рис. 3).
Рис. 3. Контроль подключения сетевых устройств с помощью IDS
Анализ эффективности настроек межсетевого экрана
Межсетевой экран - необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить должный уровень сетевой безопасности можно только при правильной его настройке. Установить такой экран без проведения необходимого обследования - все равно что пригласить в свою сеть злоумышленника.
Установка сетевых сенсоров системы обнаружения атак внутри и снаружи охраняемого экраном периметра позволяет проверить эффективность настроек путем сравнения числа атак на разных участках.
Анализ информационных потоков
Нередки ситуации, когда сотрудники отделов защиты информации не владеют достоверными данными о применяемых в защищаемых сегментах сети протоколах. С помощью систем обнаружения атак можно контролировать не только протоколы и сервисы, но и частоту их использования, что позволяет построить схему информационных потоков в организации и карту сети - атрибут инфраструктуры защиты.
Анализ данных от сетевого оборудования
Журналы регистрации маршрутизаторов и иных сетевых устройств являются до-полнительным источником информации об атаках, направленных на информационные ресурсы корпоративной сети. Однако они редко анализируются на предмет обнаружения следов несанкционированной деятельности, потому что практически отсутствуют или очень дорого стоят средства (например, netForensics), решающие эту задачу.
Функция сбора журналов регистрации и анализа событий в них может быть возложена на систему обнаружения атак, выступающую в качестве Syslog-сервера, которая сможет не только осуществить централизованный сбор, но и обнаружить атаки и злоупотребления в этих журналах. Кроме того, это дополнительная мера защиты журналов регистрации от несанкционированного изменения, так как события, фиксируемые маршрутизаторами, сразу передаются на сенсор системы обнаружения атак, что не позволяет злоумышленнику удалить или изменить компрометирующие его следы.
Сбор доказательств и расследование инцидентов
Системы обнаружения атак могут и должны быть использованы для сбора доказательств несанкционированной деятельности. Для этого они наделены следующими функциями:
- запись событий, происходящих во время атаки, используемая для дальнейших исследований и анализа;
- имитация несуществующих приложений с целью введения злоумышленника в заблуждение (так называемый режим обманной системы);
- расширенный анализ журналов регистрации прикладных и системных приложений, серверов баз данных, Web-серверов и т. д.;
- исследование событий безопасности перед выполнением каких-либо действий;
- получение DNS-, MAC-, NetBIOS- и IP-адресов компьютера злоумышленника.
Заключение
В целом отмечу, что описанные здесь сценарии позволяют существенно расширить область применения систем обнаружения атак и найти новых заказчиков для таких широко известных на российском рынке систем, как RealSecure, CiscoSecure IDS и Snort.
С автором можно связаться по адресу: luka@infosec.ru.