Сигнатурные системы обнаружения вторжений, основанные на опыте предыдущих атак, не справляются с поставленными задачами. По мнению некоторых экспертов, спасительными станут решения, созданные на основе анализа поведения системы IPS Intrusion Prevention Systems.
Для современных распределенных открытых сетей уже недостаточно обеспечить безопасность только границ сети, или ее периферии. Данные должны быть также защищены в том месте, где они находятся в самой конечной точке (на хосте). Технологии «безопасность в конечной точке» (endpoint security) по своей природе являются технологиями реагирования, то есть использующими сигнатуры, выработанные по результатам анализа произошедшей атаки. Эти технологии (персональные межсетевые экраны, антивирусные сканеры и программные продукты, осуществляющие аудит или проверку целостности) также были фрагментированы, направлены на решение ограниченных задач, вынуждали вводить в действие множество агентов (и всеми ими необходимо управлять), и увеличивали тяготы администрирования.
Происходящие в последнее время атаки, такие как Slammer или NIMDA, ускользают от внимания программных средств, основанных на распознавании сигнатур, и быстро распространяются через серверы и настольные компьютеры, прежде чем становится возможным какое-либо обновление систем защиты.
Программные «заплатки» на те бреши в защите, через которые происходит атака, появились только шесть месяцев спустя. Система безопасности предприятия должна держать под контролем сотни тысяч конечных точек. Это, в сочетании с все возрастающим количеством обнаруживаемых брешей в защите, ведет к тому, что латанию систем «заплатками» не видно конца.
Технология обнаружения вторжения
Технологии обнаружения вторжения бывают двух основных видов либо работающие на уровне хоста (host-based) , либо в сети (network-based). Продукты, предназначенные для обнаружения вторжения, представлены как программным обеспечением, так и аппаратными средствами, которые служат для того, чтобы следить за возможной злонамеренной деятельностью в каком-либо устройстве или в сети.
Всё, что происходит с сетью и с ресурсами, программное обеспечение, предназначенное для обнаружения вторжения, сравнивает с перечнем сигнатур, о которых известно, что они отражают злонамеренную деятельность. Как это вписывается в общую стратегию безопасности? В организациях, для которых соединение с интернетом является существенным средством ведения бизнеса, возрастает нагрузка на традиционные технологии сетевой безопасности, и соответствующие напряженные точки становятся заметнее.
Сетевые системы обнаружения вторжений
Сетевые системы обнаружения вторжений (NIDS) это резидентные сетевые системы с программным обеспечением, постоянно осуществляющие анализ пакетов, циркулирующих в сети. Данные, заключенные в этих пакетах, сравниваются с базой данных сигнатур известных сетевых атак. Если данные, проходящие по сети, не совпадают с какой-либо известной атакой, упомянутой в базе данных, тогда трафик не вызывает подозрений.
Напротив, если данные пакета совпадают с известной атакой, может быть предусмотрено какое-либо реагирование. В качестве такого реагирования может подаваться сигнал, регистрируемый в системном журнале или отображаемый на страничке сетевого администратора.
Хостовые системы обнаружения вторжений
Хостовые системы обнаружения вторжений (HIDS) появились в результате длительного слежения за файлами журналов, отображающих результаты аудита. При использовании традиционных систем администраторам приходится просматривать журналы в конце дня, чтобы обнаружить какую-либо подозрительную деятельность, происходившую в течение определенного периода времени.
Эта работа не только утомительная, но также и несвоевременная. Системы HIDS предлагают локального агента, который выполняет то же самое сканирование по мере появления событий. По мере того, как события регистрируются в журнале, локальный агент программного обеспечения, установленного на данном ресурсе, сверяет это событие со всеми событиями, зарегистрированными в базе данных атак.
Некоторые системы HIDS также способны отслеживать содержание журналов, создаваемых приложениями, и выявлять там свидетельства дополнительных атак. Системы HIDS также способны следить за местными файлами, обнаруживая в них любые изменения или модификации. Если событие соответствует профилю атаки, система HIDS посылает сигнал и выполняет одно из ряда возможных действий с целью ослабить ущерб, причиненный враждебной деятельностью.
Ограничения реактивных технологий системы IDS
Всем технологиям системы IDS присущи те же самые критические недостатки, что и другим традиционным технологиям обеспечения безопасности информации они являются пассивными и реактивными. Поскольку эти решения основаны на обнаружении сигнатур, даже при правильной инсталляции и эффективном администрировании некоторые атаки будут причинять ущерб ресурсам сети и файлам на индивидуальных машинах. Это серьезный недостаток, присущий как сетевым системам IDS, так и хостовым системам IDS.
Рост уязвимости
Технологии безопасности, основанные на использовании сигнатур, возникли в середине 1990-х годов, когда было известно лишь несколько видов уязвимости. По сведениям CERT, в 1995 году сообщалось только о 171 виде уязвимости. Если какой-либо продукт, основанный на использовании сигнатуры, мог обновляться дюжиной новых сигнатур в месяц это было относительно хорошо для обеспечения безопасности сети.
За прошедшее с тех пор время количество известных видов уязвимости возросло и ситуация изменилась до неузнаваемости. Количество видов уязвимости, о которых сообщается ежегодно, растет экспоненциально, и этому не предвидится конца.
Различные мутации еще более увеличивают результат. Те продукты, которые обеспечивают безопасность за счет использования сигнатур, должны иметь сигнатуру, чтобы они могли защитить от атак. В течение 2001 требовалось ежедневно шесть новых сигнатур.
Как ожидается, в настоящее время это число приближается к дюжине новых сигнатур ежедневно. Становится очевидно, что система безопасности, основанная на сигнатурах, не всегда способна справляться с такой ситуацией. При экспоненциальном росте известных уязвимых мест следует предположить, что подходящей сигнатуры для данной атаки может и не найтись вовремя.
Обслуживание сигналов и ложных срабатываний
Технологии, основанные на сравнении образцов и сигнатур, обладают таким недостатком, как относительно высокая вероятность ложного срабатывания, также как и несрабатывания защиты, когда на основе сигнатур подаются ложные сигналы, сообщающие о возможной враждебной деятельности, в то время как в действительности хост и сеть ведут себя правильно.
Эти ложные срабатывания загружают консоли администратора, понижают эффективность работы и продукта, и администратора, принуждают администратора реагировать на сигналы, достоверность которых не гарантирована.
Другой подход
Требуется другой подход, а именно такой, при котором можно было бы обнаружить атаку на такое уязвимое место, о котором не только не сообщалось, но которое еще даже не обнаружено. Интересно, что существует некоторая общность атак, которая может быть использована для того, чтобы сделать именно это.
Жизненный цикл системной атаки
Все атаки следуют одной и той же логической схеме.
Уязвимые цели выявляются на стадии проб. Задача этой стадии состоит в том, чтобы найти те компьютеры, которые могут быть атакованы.
Рабочий код переносится в уязвимую цель на стадии проникновения. Задача этой стадии состоит в том, чтобы заставить цель выполнить обработку рабочего кода, придерживаясь некоторого вектора атаки, наподобие переполнения буфера.
При успешной попытке рабочий код старается закрепиться на цели. Задача стадии закрепления состоит в том, чтобы гарантировать исполнение кода атаки и его доступность для атакующего даже после перезагрузки целевой системы.
Когда атакующий имеет доступ к сети организации, он расширяет атаку на другие цели. На стадии распространения происходит поиск уязвимых устройств среди ближайшего окружения, куда можно было бы внедрить рабочий код.
Повреждение возникает только на стадии паралича. Выполняется удаление файлов, система отказывает, и начинается распределенная атака типа «отказ в обслуживании».
Между стадиями внедрение и закрепление проходит главная разделительная линия. Эти две стадии в значительной степени подвержены мутациям (то есть «отпечаток» атаки непрерывно изменяется). Они также в значительной степени могут быть скрыты от методов защиты, использующих технологии уклонения, такие как кодировка web-строк с помощью Unicode, или совмещение фрагментов пакета.
Поскольку идентификация атаки на стадии внедрения иногда сопряжена с необходимостью интерпретации (попытка предугадать, как целевой компьютер будет обрабатывать сетевой пакет), здесь возможно появление ложных сигналов.
Наоборот, последние три стадии очень стабильны во времени. Существует ограниченное количество враждебных действий, которые атакующий может предпринять: это модификация операционной системы, добавление новой учетной записи пользователя, открытие исходящего сетевого соединения и стирание файлов.
Этот перечень остается достаточно стабильным; например, «червь» Morris в 1988 году причинял те же самые повреждения, что и «червь» NIMDA в 2001 году. Кроме того, поскольку такие действия, как модификация бинарных файлов операционной системы, является исключительным и необычным событием, на этих стадиях значительно легче обеспечить точную идентификацию атак.
Вкратце, поскольку каждая из атак выглядит по-своему, попытки идентифицировать атаки на ранних стадиях их жизненного цикла приводят к гонкам в обновлении сигнатур. Безопасность системы должна обеспечиваться на всех этапах атаки, и в особенности на последних трех этапах, когда причиняются повреждения.
Система обнаружения вторжений, основанная на сигнатурах, не выдерживает натиска угроз и запаздывает. Современные продукты предлагают радикальный переход от этой неадекватной технологии к анализу поведения, направленного на осуществление атаки и причинение ущерба компьютерным системам.
Типы поведения
Вместо того, чтобы концентрировать внимание на атаках, система безопасности, основанная на поведении, сосредоточивается на предотвращении враждебной деятельности на хосте.
Если обращать внимание на поведение, тогда можно обнаружить и блокировать любые действия, причиняющие ущерб, независимо от типа происходящей атаки. Например, один из типов поведения, влияющих на безопасность, может заключаться в том, что Web-сервер добавляет в систему новую учетную запись пользователя.
Существует множество возможных типов атак (обнаруживаемых на стадии внедрения), которые способны делать это. Если система безопасности основана на сигнатуре, то такая система должна знать сигнатуры всех этих типов атак, тогда как системе безопасности, основанной на поведении, этого не требуется.
Виды поведения, влияющего на безопасность, можно разбить на три класса:
Враждебная деятельность. Этот тип поведения представляет собой то, что обычно проявляется на последних трех стадиях жизненного цикла атаки. К примерам относятся несанкционированное видоизменение операционной системы или стирание файлов. Поскольку враждебная деятельность всегда является нежелательной, развернуть систему безопасности на этом уровне очень недорого. Для того, чтобы остановить враждебную деятельность, требуется лишь незначительная доводка конфигурации системы.
Деятельность относительно политики. Такая деятельность, хотя и не обязательно является враждебной, все же нежелательна. Например, сетевой администратор может захотеть, чтобы пользователи не применяли для загрузки файлов программу, выполняющую мгновенную доставку почты, поскольку при этом файлы не подвергаются сканированию корпоративным антивирусным сканером электронной почты. Такой подход, когда разрешено все, что не запрещено явно, дает возможность пользователям быстро реализовывать директивы политики, полученные от старшего руководителя.
Изоляция приложения. Для обеспечения самого высокого уровня безопасности системы можно полностью заблокировать какое-либо приложение. Для этих приложений разрешено только такое поведение, которое является заведомо безопасным. Если очерчены принудительные границы хорошего поведения, то со всем, что выходит за эти границы, будь то новая атака или просто ошибка, можно разобраться очень эффективно. По существу, подход, когда запрещено все, что не разрешено явно, предлагает самый высокий возможный уровень безопасности системы, но при этом требуется больше усилий для точной настройки системы. Тем не менее, для некоторых систем требуется (или оправдан) именно такой жесткий уровень контроля.
Организации в большинстве своем удовлетворяются тем, что враждебная деятельность остановлена, и никогда не расширяют контроль, основанный на поведении, до такой степени, чтобы включить в него деятельность относительно политики или изоляцию приложения.
Таким образом, именно системы обнаружения вторжений, основанные на анализе поведения, могут остановить как известные, так и ранее не встречавшийся виды несанкционированной деятельности и именно поэтому их название изменилось на «Системы предотвращения вторжений» (IPS Intrusion Prevention Systems).
Михаил Кадер / Cisco
Алексей Раевский: Пользователи задумываются о защите информации только после ее утечки
О тенденция, проблемах и перспективах рынка ИБ в России, а также об эффективной защите информации в интервью CNews.ru рассказал Алексей Раевский, генеральный директор компании SecurIT.
CNews.ru: Появление стандарта ИСО 154082002 в значительной степени облегчает выход отечественных разработчиков на мировые рынки со своими решениями. В какой степени российские компании заинтересованы в освоении международных рынков, ведь многие игроки по-прежнему испытывают дефицит ресурсов для развития?
Алексей Раевский: На мой взгляд, появление этого стандарта очень позитивный сдвиг для российского рынка систем информационной безопасности. В последнее время Россия взяла уверенный курс на интеграцию в глобальное мировое сообщество, и эта интеграция должна осуществляться на всех уровнях. Принятие международного стандарта благоприятно и для российского рынка, поскольку на нем смогут полноценно работать производители систем информационной безопасности, и для отдельных российских компаний, которые не хотят ограничивать сферу своей деятельности государственной границей РФ. Ведь получить такой сертификат в Европе или США для российской компании на порядок сложнее и накладнее, чем у себя дома.
CNews.ru: В прошлом году ваша компания вышла на рынок Литвы. Является ли это признаком того, что SecurIT основательно закрепилась на внутреннем рынке России?
Алексей Раевский: Во-первых, как определить момент, когда компания закрепилась на рынке? Если речь идет о репутации компании, о том, какое место она занимает в сознании своих потенциальных клиентов, то, на мой взгляд, в этом смысле нельзя расслабляться и говорить, «все, мы закрепились». Хорошая репутация создается годами, и работать над этим надо ежедневно. Для нас первоочередная задача заключается именно в том, чтобы в глазах клиентов выглядеть компанией, предлагающей высококачественные и удобные в использовании системы информационной безопасности, разработанные с использованием самых передовых технологий и учитывающие основные потребности клиентов. А положение на рынке это уже вторично.
Во-вторых, мы не считаем, что выходить на зарубежные рынки нужно только после достижения определенного положения дома. Если есть спрос на наши продукты в Литве, в Германии или в Гондурасе мы будем рассматривать варианты сотрудничества и продвижения на этих рынках.