- Таких романов нынче нет. Не хотите ли разве русских?
- А разве есть русские романы?.. Пришли, батюшка, пожалуйста, пришли!
А.С. Пушкин, “Пиковая дама”
На недавней конференции “Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти” был представлен ряд новых отечественных разработок в области обнаружения атак. За последний год это уже не первый случай, когда отечественные программисты представляют российскому потребителю свои наработки в этой сфере. Аналогичные исследования ведут многие вузы и научные институты. Казалось бы, можно считать, что наша страна не отстает от Запада и идет в ногу со временем, создавая вполне востребованные и эффективные средства защиты корпоративной сети. Однако при том, что уже можно насчитать с десяток различных систем обнаружения атак, разработанных российскими специалистами, по моему мнению, в стране сейчас отсутствуют компании, действительно способные создать систему корпоративного уровня, которая могла бы соперничать с решениями компаний Internet Security Systems (www.iss.net), Cisco (www.cisco.com), Symantec (www.symantec.com) и Enterasys (www.enterasys.com).
Чтобы обосновать это утверждение, необходимо сделать небольшой экскурс в технологию обнаружения атак. При создании систем используются два основных подхода:
- обнаружение аномального поведения с помощью хорошо зарекомендовавшего себя аппарата математической статистики. Данный подход срабатывает, как правило, при обнаружении DoS-атак, когда множество запросов к узлу посылается за короткий промежуток времени, и т. п. Этот же подход пытаются применять при контроле поведения пользователя в информационной системе. Типичные действия пользователя описываются в шаблоне, отклонения от которого и признаются аномалией, требующей вмешательства соответствующих служб;
- обнаружение злоупотреблений, основанное на сигнатурах - последовательностях байтов или действий, характеризующих несанкционированную деятельность. Этот подход знаком всем по антивирусным системам, которые построены именно по этому принципу.
Сейчас трудно отдать предпочтение какому-то определенному методу обнаружения атак. Каждый имеет свою область применения и рассчитан на обнаружение определенных типов атак - например, “троянцы” и “черви” проще всего находить, опираясь на сигнатуры, а лавины пакетов, выводящие из строя сети целиком, - основываясь на данных контроля статистики. Специалисты отмечают, что эти методы используются в современных системах обнаружения атак в соотношении 70/30 в пользу сигнатурного подхода, хотя в последнее время наметилась тенденция к более широкому применению статистических методов. Появился даже специальный термин, описывающий системы данного класса, - Statistical IDS.
При этом системы обнаружения атак могут быть ориентированы на предприятия разного масштаба - от малого и среднего бизнеса (SMB) до крупных корпораций. Создать решение для SMB-рынка довольно легко. Мало того, их и создавать не нужно. Уже существует свободно распространяемая система обнаружения атак Snort (www.snort.org) - достаточно взять ее исходные тексты и использовать в своем изделии. Некоторые компании так и поступают. Например, “Элко” (www.elco.ru) и “Инфосистемы Джет” (www.jet.msk.su) встроили Snort в свои межсетевые экраны “Эльф” и Z-2 соответственно. Я оставлю за пределами статьи вопрос использования решений “open source” в коммерческой системе информационной безопасности. Сошлюсь только на мнение CIO нефтяной компании ЮКОС Андрея Кельманзона, который считает, что возможность поддержки со стороны производителя ПО является основным преимуществом коммерческого ПО. Тем более, что непосредственно стоимость лицензии программного обеспечения составляет, по данным Gartner Group, не более 15% от совокупной стоимости владения ПО, включающей в себя цену самого компьютера, затраты на внедрение и эксплуатацию системы защиты и т. д. Свободно распространяемое или условно-бесплатное ПО - удел небольших компаний, которым проще решать вопросы с его управлением, обновлением и поддержкой. А зрелые и крупные предприятия четко понимают необходимость планирования своей информационной политики, что требует знания перспектив и некоторых гарантий развития продукта.
Вместе с тем нельзя утверждать, что свободно распространяемое ПО неприменимо в крупных компаниях. Мне известно несколько примеров использования системы Snort в организациях, которые очень серьезно относятся к своей безопасности и имеют достаточно средств на приобретение коммерческих систем защиты. Однако такие факты скорее исключение, чем правило. Связано это с тем, что специалисты, применяющие систему Snort в своей сети, “срослись” с нею и без них это средство корпоративной защиты информации станет абсолютно неэффективным. Еще один вариант использования свободно распространяемых систем обнаружения атак в крупных компаниях - работа по принципу “не класть все яйца в одну корзину”, т. е. дублирование коммерческого ПО таких известных производителей, как Internet Security Systems, Cisco, Enterasys.
Однако пойдем дальше. В отличие от небольших компаний крупным корпорациям может очень дорого обойтись пропущенная атака. Известны примеры, когда платежные системы банков подвергались DoS-атакам и выходили из строя, после чего злоумышленники пользовались простоем компонентов системы в своих целях. Более того, уже были случаи банкротства компаний в результате грамотно спланированной атаки на ресурсы корпоративной сети (см. статью “Атаки на операторов связи”, PC Week/ RE, № 21/2002, с. 16). Поэтому на первое место выходит необходимость грамотно построенной подсистемы обновления, которая сама автоматически “стучится” к серверу, загружает новые сигнатуры и потом так же автоматически распределяет полученные обновления по всем управляемым сенсорам системы обнаружения атак. Однако дело не только в наличии такой подсистемы, но и в том, кто будет создавать новые сигнатуры. В уже упомянутых компаниях - мировых грандах информационной безопасности работают специальные группы экспертов (например, подразделения Symantec Security Response или X-Force в составе Internet Security Systems), в круглосуточном режиме занимающиеся исследованием и поиском новых уязвимостей, для которых и разрабатываются соответствующие сигнатуры. Квалифицированные специалисты есть и в России, но они разрознены и трудятся на вольных хлебах. Таким образом, выходит, что ни одна отечественная компания не имеет в своем штате достаточного количества специалистов, способных своевременно и на должном уровне разрабатывать сигнатуры для постоянно появляющихся новых способов проникновения и нападения на корпоративные сети.
Апологеты свободно распространяемых систем обращают внимание на возможность создавать собственные сигнатуры, не дожидаясь, пока их разработает сам производитель системы обнаружения атак. Действительно, это большое подспорье для специалистов, отвечающих за эксплуатацию таких систем. У коммерческих продуктов вроде RealSecure (www.iss.net), SecureNet (www.intrusion.com), NFR NID (www.nfr.com) и им подобных также существует свой язык описания атак, но на практике эта функция почти не используется. Опрос, проведенный на сайте WhiteHats (www.whitehats.com), показал, что более половины всех пользователей не знают, как создавать свои сигнатуры даже с помощью такого мощного механизма расширения функциональных возможностей систем обнаружения. Кроме того, как видно из практики, у администраторов все время обычно уходит на повседневные рутинные операции и создавать сигнатуры им просто некогда.
Понимая, что невозможно организовать команду, круглосуточно создающую новые сигнатуры, некоторые российские компании и вузы пошли по пути построения системы обнаружения атак, использующей “аномальный” подход. Понять их можно: получив такую систему и настроив один раз, ее не надо будет регулярно обновлять, так как она работает по имеющимся шаблонам поведения пользователя или контролируемой системы. Все бы ничего, но существуют реальные трудности задания таких шаблонов. Кроме того, возможность контроля аномальной активности, даже будучи настроенной, может помочь в обнаружении далеко не всех атак, а только узкого их спектра, а это означает, что системы, построенные по этому методу, не могут служить единственно верным средством защиты.
Учитывая все вышесказанное, приходится с сожалением признать, что сейчас в России нет ни одной системы обнаружения атак, которая могла бы составить реальную конкуренцию западным аналогам. Разработать защитные средства, использующие сигнатурный подход и при этом адекватные постоянно меняющейся ситуации, российские компании пока не могут. А применять системы, обнаруживающие аномалии, еще не готовы компании-заказчики - не только в России, но и во всем мире. Остается лишь надеяться, что либо отечественные разработчики смогут в скором времени построить действительно эффективную инфраструктуру для создания конкурентоспособных систем обнаружения атак, либо методы обнаружения аномального поведения станут более эффективными и выйдут за рамки научных исследований и в результате их можно будет использовать в реальной жизни. (Либо, если проблема ИБ будет в должной мере осознана государством, оно возьмет на себя часть координационной и финансовой нагрузки. - Прим. гл. ред.)
Алексей Викторович Лукацкий - автор книг “Обнаружение атак”, “Атака из Internet” и “Protect Your
Information with Intrusion Detection”, а также курсов “Введение в обнаружение атак” и “Выбор системы обнаружения атак”. Связаться с ним можно по адресу:luka@infosec.ru.