Обнаружение вторжений

Для эффективного обнаружения вторжений необходимо знать, что должно и что не должно находиться в сети

Камерон Стардевант

Около года назад база данных Калифорнийского университета (UCLA) была взломана хакерами. Тот факт, что свыше 800 тыс. записей хранившейся там персональной информации были уязвимыми в течение целых 13 месяцев, показывает, что все достижения в сфере обнаружения вторжений бесполезны, если их не внедряют в практику.

21 ноября прошлого года технические специалисты UCLA обратили внимание на необычный характер трафика, свидетельствовавший о наличии бреши, которая сделала уязвимыми имена, даты рождения, адреса и номера полисов социального страхования студентов и работников университета, причем это обнаружилось через год с лишним после хакерского взлома. Этот случай тем более досаден и непонятен, что за время после налета на UCLA неведомых и имевших неизвестные цели хакеров появился целый класс новых средств обнаружения сетевых аномалий и предупреждения утечек данных, не говоря уже о новом поколении инструментов обнаружения и блокирования вторжений в сеть.    

Шаг третий: обнаружение вторжений

В 2001 г. в разделе "Обнаружение" журнал eWeek в одной из статей серии "Пять шагов к корпоративной безопасности" писал, что обнаружение сетевых атак является не только технологией, но в равной мере и искусством. Это по-прежнему так. Однако техническая сторона дела теперь значительно усовершенствована, отчасти благодаря законодательным нормам, заставившим некоторые организации обратить внимание на свои способы хранения, использования и передачи персональных данных.

Однако впечатляющие факты взлома хранилищ данных в UCLA и других местах создают ощущение, что ряд организаций по-прежнему не придает особой ценности персональным данным и не утруждает себя контролем за обеспечением их безопасности.

Хотя нормативные акты представляются менее эффективным методом защиты частной информации, похоже, что надежды на саморегулирование - вещь еще более призрачная.

Эта суровая правда недавно подтвердилась в Министерстве по делам ветеранов (VA). В мае 2006 г. у одного из его сотрудников украли гигантский объем данных - 26 млн. персональных записей, хранившихся в ноутбуке. По уверению ФБР, вора, который проник в жилище этого человека, заинтересовал сам ноутбук, а не содержавшаяся в нем информация. Тем не менее существующие средства контроля безопасности могли бы предупредить менеджеров VA о факте копирования большой массы ценных данных на мобильное устройство. Доступные в это время системы вполне могли бы предотвратить несанкционированный перенос такой информации на ноутбук.

Иногда случается, что технология все же не может помешать злонамеренному использованию персональных данных. Примером является утечка 145 тыс. персональных записей, сделанных в компании ChoicePoint, которая в 2005 г. непреднамеренно передала их в руки мошенников. Жулики, воспользовавшись слабостью методов защиты, сумели завладеть добычей, выдав себя за клиентов данной фирмы. Но даже в этом случае ПО контроля за утечками данных, вероятно, могло бы добавить еще один уровень аутентификации, ограничивающий свободу использования бизнес-процессов.

За время, прошедшее после публикации отчета eWeek в 2001 г., появился целый класс средств предотвращения утечек информации, выявляющих непредусмотренное использование данных и сигнализирующих или осуществляющих блокировку в случае неразрешенного переноса данных. Инструменты компаний Vontu, GTB Technologies, Verdasys, Reconnex, Tablus и Vericept (это лишь некоторые из производителей) действуют по одинаковому принципу обнаружения и блокирования неразрешенных форм работы с данными, даже если это делают сотрудники предприятия. Большинство подобных продуктов ориентировано на запросы регулирующих организаций - как правило, в сфере финансового обслуживания или здравоохранения.

В UCLA, которому приходится хранить большие объемы секретных и персональных данных, по-видимому, не применяли средств предотвращения утечек, что нанесло ущерб и студентам вуза, и его преподавателям, и служебному персоналу. Это очень плохо. Но несмотря на то что сообщения о крупных утечках данных из UCLA, VA, ChoicePoint и других организаций прогремели по всему миру, можно ручаться, что работающие системы обнаружения предотвратили куда более серьезные инциденты.

Миссия ИТ-менеджеров по безопасности очень сложна - им важно точно установить, что их упреждающие меры действительно защищают от действий злоумышленников.

Доказать, что системы обнаружения работают, - это целое искусство. Для этого необходимо уметь генерировать отчеты таким образом, чтобы они были понятны и неспециалистам в ИТ.

В ряде случаев полезны экспериментальные тесты программ для контроля доступа - например, средств однопарольной аутентификации - с графической демонстрацией неудавшихся попыток получить доступ к данным. Отчеты, генерируемые при тестовом подключении средств предупреждения утечек, зачастую очень наглядно показывают их способность защищать от действий злоумышленников.

Система LANShield фирмы ConSentry зондирует серверы Active Directory на предмет присвоения пользовательских ролей.

Роли содержат правила политики, управляющей сетевым доступом разных пользователей

В этом аспекте наши сегодняшние рекомендации отличаются от советов 2001 г., когда мы фокусировали внимание на оценке уязвимостей и тестах на проникновение. Учитывая приобретенный опыт, мы теперь советуем ИТ-менеджерам помещать в центр архитектуры безопасности авторизованное использование данных и применять оценку рисков для определения мер защиты важных данных и систем. ИТ-менеджеры должны четко знать, что понимается под допустимым и официально разрешенным использованием данных и систем, и уметь пресекать любые действия, выходящие за эти границы.

Практически все продукты для обеспечения безопасности, тестируемые в лаборатории eWeek Labs (особенно претендующие на способность защищать от атак "zero-day", использующих еще не известные общественности уязвимости), действуют на базе закрепленных норм правильного поведения пользователей.

Однако средства безопасности, которые будут лишь выявлять непредусмотренное использование данных и систем, вряд ли очень понравятся руководству организаций. Негибкие системы, не умеющие адаптироваться, скажем, к пиковым выбросам трафика под конец месяца или к трафику новых приложений, тормозят производительность труда. Поэтому нас интересуют продукты, позволяющие ИТ-специалистам, контактирующим с бизнес-подразделениями, формировать политику безопасности как неотъемлемый аспект развертывания средств обнаружения.

Проверяя инструменты обнаружения утечек, мы, в частности, обращаем особое внимание на наличие возможности - для авторизованных пользователей - вносить изменения в функции мониторинга. ИТ-менеджеры, оценивающие продукты этой категории, должны рассматривать такую функциональность как одну из приоритетных характеристик покупаемой системы. Действительно, при решении задач обнаружения нельзя обойтись без глубокого знания того, какой трафик должен циркулировать в сети организации и какие именно данные и транзакции работают для бизнеса.

Хотя поставщики средств обнаружения часто делают упор на простоте инсталляции продукта и его интеграции в сеть, надо понимать элементарную истину: если люди не будут разбираться в трафике и схемах использования данных, предоставляемых этими инструментами, то действия злоумышленников останутся незамеченными. И наконец, возможно, придется уделить серьезное внимание процедурам управления изменениями режимов работы в сетях, чтобы снизить количество ложных тревог, нередко генерируемых средствами обнаружений.

С техническим директором eWeekLabs Камероном Стардевантом можно связаться по адресу: cameron_sturdevant @ziffdavis.com.