БЕЗОПАСНОСТЬ
Анатолий Шарков, Виктор Сердюк
Как известно, большая часть нарушений корпоративной политики безопасности приходится на работников компаний, то есть внутренних пользователей ИС. Это дает повод говорить о формировании весьма опасной "пятой колонны", действия которой могут привести к катастрофическим последствиям.
В последние годы защита ИС от подобных актов преимущественно обеспечивается специализированными средствами разграничения доступа пользователей к ресурсам. С помощью этих средств каждому пользователю назначаются определенные права, в соответствии с которыми ему разрешается (или запрещается) локальный доступ к информации, хранящейся в его компьютере, либо дистанционный доступ по каналам связи к информации на других компьютерах.
И все же этот подход не решает всей проблемы защиты информационных ресурсов от внутренних злоумышленников. Связано это с двумя обстоятельствами: 1) средства разграничения локального доступа не защищают от авторизованных пользователей, пытающихся выполнить несанкционированные действия. Так, кто-то из них может непреднамеренно установить и запустить на своей рабочей станции вредоносное ПО. Средства разграничения доступа не могут воспрепятствовать ни записи на внешние носители, ни выводу на печать конфиденциальной информации, к которой пользователь легально получил доступ. Для выявления подобных действий на ранней стадии следует применять системы активного мониторинга рабочих станций ЛВС; 2) средства разграничения дистанционного доступа не обеспечивают защиту от сетевых атак со стороны собственных сотрудников. Для таких атак используются уязвимости серверов и рабочих станций ИС, например нестойкие пароли, некорректные настройки и ошибки в прикладном и системном ПО и т. д. Успешное проведение сетевых атак может привести к нарушению конфиденциальности, целостности или доступности информации в системе. Для их своевременного обнаружения и блокирования необходимо применять так называемые IDS-системы (Intrusion Detection Systems - системы обнаружения атак, СОА).
Следовательно, обеспечение эффективной защиты от внутренних нарушителей информационной безопасности требует использования дополнительных средств - систем активного мониторинга рабочих станций (САМ), а также СОА. Рассмотрим эти средства более подробно.
Системы обнаружения атак
СОА предназначены для выявления сетевых атак и противодействия им. Это специализированное программно-аппаратное обеспечение с типовой архитектурой (рис. 1) включает в себя следующие компоненты:
· модули-датчики для сбора информации о сетевом трафике ИС;
· модуль выявления атак, выполняющий обработку данных с датчиков;
· модуль реагирования на атаки;
· модуль хранения конфигурационной информации, а также информации об обнаруженных атаках (в его роли, как правило, выступает стандартная СУБД);
· модуль управления компонентами СОА.
Рис. 1. Типовая архитектура систем обнаружения атак
В составе СОА может быть использовано два типа датчиков - сетевые и хостовые. Каждый сетевой датчик собирает информацию о пакетах данных, передаваемых в том сегменте ИС, где он установлен. Хостовые же датчики устанавливаются на серверы и предназначаются для сбора информации о пакетах данных, поступающих на сервер.
Информация, собранная сетевыми и хостовыми датчиками, анализируется СОА с целью выявления атак нарушителей. Аналитические методы делятся на две основные группы - сигнатурные и поведенческие.
Сигнатурные методы описывают каждую атаку в виде специальной модели, или сигнатуры. В качестве таковой может выступать строка символов, семантическое выражение на специальном языке, формальная математическая модель и т. п. Алгоритм работы этих методов заключается в поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками СОА. В случае обнаружения искомого СОА фиксирует факт информационной атаки, которая соответствует найденной сигнатуре. Преимуществом сигнатурных методов является их высокая точность работы, а очевидным недостатком - невозможность обнаружения тех атак, сигнатуры которых не определены данными методами.
Поведенческие методы в отличие от сигнатурных базируются не на моделях информационных атак, а на моделях штатного процесса функционирования ИС. С помощью поведенческих методов удается обнаружить отклонения в функционировании ИС от штатного режима работы, заложенного в параметрах метода. Любое такое несоответствие рассматривается как информационная атака. Преимущество методов данного типа заключается в том, что они обнаруживают новые атаки, не требуя для этого постоянно изменять параметры функционирования модуля. Недостатком же является сложность создания точной модели штатного режима функционирования ИС.
Выявив в ИС атаку, СОА имеет возможность предпринять определенные ответные действия, направленные на ее блокировку. За реализацию этих действий отвечает модуль реагирования СОА, действующий активным либо пассивным способом. К пассивным способам реагирования относится простое оповещение администратора безопасности. К активным же можно отнести следующие методы:
· блокирование TCP-соединения, по которому была реализована атака. Для этого субъектам соединения посылается специальный TCP-сегмент с установленным флагом RST;
· запуск заданной внешней программы с определенными параметрами. Такая функция позволяет администратору СОА дополнять существующие методы реагирования своими собственными, реализуемыми в виде внешних подпрограмм;
· реконфигурация межсетевого экрана с целью блокирования трафика, поступающего от нарушителя. Большинство современных брандмауэров способно взаимодействовать с СОА через соответствующие интерфейсы (в качестве примера такого интерфейса можно назвать OPSEC для CheckPoint FW-1).
Поскольку СОА сама может стать объектом атаки злоумышленников, ее обязательно следует оснастить подсистемой собственной безопасности.
Примерами коммерческих СОА являются системы "Форпост" российской фирмы РНТ (www.rnt.ru), RealSecure компании ISS (www.iss.net) и NetProwler разработки Symantec (www.symantec.com).
Необходимо отметить, что одни только СОА не решают всей проблемы защиты от несанкционированных действий внутренних пользователей ИС. Это в первую очередь связано с тем, что СОА обнаруживают лишь те атаки, которые можно выявить посредством анализа пакетов данных, циркулирующих в ИС. Выявлять же несанкционированные действия, не связанные с сетевым трафиком ИС, они не могут. Как уже отмечалось выше, для выявления и блокирования таких действий необходимы системы активного мониторинга.
Системы активного мониторинга рабочих станций ИС
Системы активного мониторинга рабочих станций ИС (САМ), так же как и СОА, предназначены для выявления и блокирования информационных атак, но не на уровне сети, а на уровне рабочих станций ИС. Архитектура систем активного мониторинга аналогична структуре СОА, отображенной на рис. 1. Датчики САМ устанавливаются на рабочие станции пользователей ИС и позволяют собирать информацию обо всех происходящих на них событиях и объектах:
· о приложениях, запускаемых на рабочих станциях;
· о пользователях, работающих на станции в текущий момент времени;
· о файловом доступе приложений;
· о сетевом трафике, который формируется приложениями ИС, и т. п.
Собранная информация поступает в модуль анализа данных САМ и обрабатывается там. Предварительно администратор безопасности должен настроить модуль анализа САМ, т. е. определить требования, которые разрешают или запрещают пользователям ИС выполнение определенных операций на рабочих станциях. Совокупность таких требований представляет собой политику безопасности САМ как часть более общей политики безопасности организации (например, некоторым пользователям может быть запрещена работа с принтерами или доступ к определенным файлам). Любое событие, зафиксированное датчиками САМ и нарушающее заданные правила, считается информационной атакой. Политика безопасности САМ может включать в себя разные группы требований, формируемые на основе двух базовых принципов:
· "все, что не запрещено, - разрешено". Политика безопасности САМ, построенная на основе этого принципа, явно определяет те действия пользователей, выполнение которых запрещено. При этом все остальные их действия считаются разрешенными. Для выявления нарушений такой политики используются сигнатурные методы анализа;
· "все, что не разрешено, - запрещено". Политика безопасности САМ, построенная на основе этого принципа, явно определяет только разрешенные действия пользователей. Все остальные действия согласно этой политике являются нарушениями, которые определяются поведенческими методами анализа.
При выявлении нарушений политики безопасности САМ, так же как и СОА, может реализовать пассивные и активные методы реагирования, то есть оповестить администратора безопасности (путем отправки соответствующего сообщения по электронной почте или же его отображения на консоли) об обнаруженных несанкционированных действиях пользователей либо блокировать действия пользователей, нарушающие заданную политику. Системы активного мониторинга могут сочетать активные и пассивные методы реагирования.
САМ также должна быть оснащена подсистемой собственной безопасности, позволяющей защитить ее компоненты от несанкционированных воздействий и обеспечивающей целостность ПО.
Примером коммерческой САМ является система "Урядник/Enterprise Guard", разработанная отечественной компанией IDS-Technology (www.ids-tech.ru), которая входит в Ассоциацию защиты информации (www.azi.ru).
Агенты САМ позволяют собирать разнообразную информацию о работе клиентов ИС. На основе анализа этой информации САМ выявляет события, нарушающие политику безопасности, и адекватно реагирует на них:
· информирует администратора безопасности через консоль или по электронной почте;
· блокирует станцию-нарушитель и работу приложения, нарушившего политику безопасности;
· генерирует снимок рабочей области станции-нарушителя;
· предупреждает пользователя, нарушившего политику безопасности.
Системы активного мониторинга можно использовать в качестве автономных и функционально-независимых средств защиты, предназначенных для выявления нарушений политики безопасности ИС. Однако комплексный подход к информационной безопасности ИС обеспечивается совместной работой систем обнаружения атак и активного мониторинга рабочих станций ИС.
Комплексное использование систем обнаружения и активного мониторинга ИС
Рассмотрим функциональные различия СОА и САМ на основе ряда показателей (см. таблицу).
Из представленных данных можно видеть, что САМ являются для СОА дополнительным средством, обеспечивающим обнаружение внутренних атак. СОА не могут выявлять такие атаки самостоятельно - у них нет механизмов сбора и анализа информации на уровне рабочих станций. С другой стороны, информация, собранная датчиками САМ, может служить доказательной базой при расследовании инцидентов, выявленных средствами СОА.
Рассмотрим пример совместного использования СОА и САМ. Предположим, что СОА зафиксировала атаку на один из серверов ИС с IP-адреса, принадлежащего внутренней рабочей станции, на которой установлен датчик САМ. Знание только одного IP-адреса не позволяет доказать причастность пользователя к атаке, поскольку адрес станции мог быть преднамеренно искажен нарушителем. В этом случае для поиска доказательств помогут данные, собранные датчиком САМ. Для расследования инцидента САМ могут предоставить регистрационное имя пользователя, работавшего за станцией в момент проведения атаки, перечень приложений, запущенных на станции, информацию о сетевом трафике, сформированном запущенными приложениями, и другие данные. Их анализ позволит определить степень вины пользователя в инциденте. Более того, если выяснится, что попавший под подозрение сотрудник невиновен, то анализ информации с других датчиков САМ укажет истинного нарушителя.
Рассмотрим схему размещения СОА и САМ на примере типовой ИС, состоящей из трех сегментов (см. рис. 2):
· демилитаризованной зоны, в которой расположены информационные ресурсы, доступные любым внешним и внутренним пользователям ИС;
· серверов, ресурсы которых доступны только внутренним пользователям ИС;
· рабочих станций пользователей.
Рис. 2. Схема совместного размещения компонентов СОА и САМ
Хостовые датчики СОА устанавливаются на все серверы ИС, размещенные в сегменте демилитаризованной зоны и в сегменте внутренних серверов. Эти датчики обеспечивают обнаружение информационных атак на прикладном уровне тех сетевых служб, которые функционируют на серверах ИС. Сетевые датчики СОА должны находиться в каждом сегменте ИС для своевременного выявления атак на канальном и сетевом уровнях. Датчики САМ, в свою очередь, инсталлируются на рабочие станции ИС для выявления несанкционированных действий, нарушающих заданную политику безопасности. Консоль управления СОА и САМ размещается на компьютере администратора безопасности ИС.
Заключение и выводы
Зарождение "пятой колонны" нарушителей информационной безопасности заставляет пересмотреть стратегию защиты ИС. На протяжении длительного времени эта задача решалась лишь при помощи средств разграничения доступа, не позволяющих защитить ИС от внутренних сетевых атак, равно как и от действий пользователей, которые не связаны напрямую с правилами разграничения доступа к информационным ресурсам ИС. Поэтому и обеспечить полную защиту ИС от внутренних нарушителей не представлялось возможным. Для защиты от внутренних угроз необходимо использовать СОА и САМ, совместное функционирование которых дает возможность комплексно подойти к вопросу защиты от внутренних атак и значительно повысить уровень информационной безопасности корпоративной информационной системы.
С авторами можно связаться по адресу: info@ids-tech.ru.
Сравнение систем обнаружения атак и систем активного мониторинга