Управления рисками
Обнаружение атак и управление рисками. Обнаружение атак как метод управления рисками. Сигнатуры как основной механизм выявления атак. Стандарты, определяющие правила взаимодействия между компонентами. IDS как средство управления рисками и их оценка.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 04.02.2009 |
| Размер файла | 1,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННО - ТЕЛЕКОМУНИКАЦИННЫХ ТЕХНОЛОГИЙ
Курсовая работа
по дисциплине: «Менеджмент информационной безопасности».
на тему: «Обнаружение атак, управления рисками
Выполнил: студент гр. ИБД - 53 С
Пархоменко Д. Г.
Киев 2008
СОДЕРЖАНИЕ
Предисловие
Обнаружение атак и управление рисками
Сетевые атаки
Обнаружение атак как метод управления рисками
Оценка серьезности сетевой атаки
Ограничение межсетевых экранов
Анализ подозрительного трафика
Сигнатуры как основной механизм выявления атак
Анализ сетевого трафика и анализ контента
Пример анализа подозрительного трафика
IDS как средство управления рисками
Типовая архитектура системы выявления атак
Стандарты, определяющие правила взаимодействия между компонентами системы выявления атак
Литература
Предисловие
В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором развития любой отечественной компании. При этом, как правило, основное внимание уделяется требованиям и рекомендациям соответствующей российской нормативно-методической базы в области защиты информации. Вместе с тем многие ведущие отечественные компании сегодня используют некоторые дополнительные инициативы, направленные на обеспечение устойчивости и стабильности функционирования корпоративных информационных систем для поддержания непрерывности бизнеса в целом. В чем сущность этих инициатив и насколько они могут быть полезными для вашей компании? Давайте посмотрим вместе. Для этого сначала вспомним основные успехи развития российской нормативно-методической базы в области защиты информации в 2001-2003 гг., а затем остановимся на некоторых инициативах ведущих отечественных компаний.
В 2002 году в рамках деятельности Гостехкомиссии при Президенте РФ подготовлены и согласованы специальные требования и рекомендации по защите конфиденциальной информации, а также соответствующие методики. Летом 2002 года был утвержден ГОСТ Р ИСО/МЭК 15408-2002 (части 1, 2, 3) «Критерии оценки безопасности информационных технологий» на основе прямого применения международного стандарта ИСО/МЭК 15408-99. Продолжается работа над следующими нормативными документами по стандартизации (РД Гостехкомиссии):
Руководство по разработке профилей защиты и заданий по информационной безопасности;
Руководство по регистрации профилей защиты;
Методика оценки профилей защиты и заданий по информационной безопасности;
Автоматизированный комплекс разработки профилей защиты и заданий по информационной безопасности.
Кроме того, разрабатывается шесть профилей защиты для конкретных систем и средства информационных технологий, в том числе для некоторых операционных систем, межсетевых экранов и других компонент информационных технологий. В дальнейшем планируется создание более 20 профилей защиты.
В январе 2002 года в рамках деятельности ФАПСИ принят Федеральный закон «Об электронной цифровой подписи». С 1 июля 2002 года введена в действие новая версия стандарта ЭЦП ГОСТ РЗИ.10-01 на основе операций в группе точек эллиптических кривых. Новый стандарт по своим характеристикам, например криптостойкости и скорости, существенно превосходит предыдущий стандарт ЭЦП. Продолжается подготовка отечественных нормативных документов для создания национальной инфраструктуры с открытым распределением ключей (Public Key Infrastructure - PKI) и национальной иерархической системы удостоверяющих центров.
Дополнительные инициативы отечественных компаний в области защиты конфиденциальной информации обусловлены ростом интереса со стороны директоров служб автоматизации (CIO), служб безопасности (CISO), а также исполнительных директоров (СЕО) ведущих отечественных компаний к постановке и решению следующих задач:
анализа информационных рисков компании и управления ими;
оценки непрерывности бизнеса организации;
оценки экономической эффективности корпоративных систем защиты информации;
оценки совокупной стоимости владения (ТСО) системы защиты информации;
оценки возврата инвестиций (ROI) компании в информационную безопасность (ИБ);
планирования и управления бюджетом на ИБ.
Основной из перечисленных задач является анализ и управление информационными рисками. Действительно, большинство руководителей, ответственных за организацию режима информационной безопасности, наверняка задавалось вопросом: «Как оценить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив его развития?». Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории Российской Федерации. Поэтому выбор методов оценки уровня безопасности корпоративной информационной системы обязательно требует ответа на следующие вопросы: в соответствии с какими критериями и показателями производить оценку эффективности системы защиты информации, и в том числе - как оценить и/или переоценить информационные риски предприятия? Вот почему в дополнение к имеющимся требованиям, рекомендациям и руководящим документам Гостехкомисии при Президенте РФ и ФАПСИ приходится адаптировать к российским условиям и применять на практике методики международных стандартов (ISO 17799, ISO 9001, ISO 15408, BSI и пр.), а также использовать внутренние корпоративные методики количественного анализа информационных рисков и оценивания экономической эффективности инвестиций в защиту информации, например, методики совокупной стоимости владения (ТСО) и возврата инвестиций (ROI).
Современные технологии анализа рисков позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Подобная оценка особенно важна в тех случаях, когда к информационной системе предприятия предъявляются повышенные требования в области информационной безопасности. Сегодня есть ряд методик анализа информационных рисков, в том числе с привлечением CASE-средств, адаптированных к применению в отечественных условиях. Существенно, что квалифицированно выполненный анализ информационных рисков позволяет:
провести сравнительную оценку по критерию «эффективность-стоимость» различных вариантов защиты информации;
выбрать адекватные контрмеры для защиты информации;
оценить уровень остаточных информационных рисков компании.
Кроме того, инструментальные средства анализа рисков, основанные на современных базах данных и знаний в области защиты информации, дают возможность построить:
структурные и объектно-ориентированные модели современных корпоративных информационных систем;
модели угроз и модели рисков, связанных с отдельными составляющими элементами КИС, и таким образом выявлять те сегменты и объекты информационных систем, риск нарушения безопасности которых является критическим, то есть неприемлемым;
различные модели защиты информационных систем, а также сравнивать между собой по критерию «эффективность-стоимость» варианты мер по защите (контрмер) и также вести контроль выполнения требований к организации режима информационной безопасности на предприятии.
Глава 1 Обнаружение атак и управление рисками
Понятие риска является фундаментальным для любой области человеческой деятельности. Чем бы мы ни занимались, всегда есть вероятность того, что цели нашей деятельности по тем или иным причинам не будут достигнуты. Само наше существование сопряжено с серьезными рисками, в результате реализации которых мы можем понести более или менее серьезный ущерб. Таким образом, под риском понимается возможность понести ущерб. На протяжении всей нашей жизни мы постоянно вполне осознанно или подсознательно занимаемся оценкой различных рисков: переходя через дорогу, обменивая рубли на доллары или вставляя дискету в дисковод.
В сфере информационной безопасности оценка рисков играет такую же первостепенную роль, как и во всех других областях человеческой деятельности. Из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности в современном высокотехнологичном обществе, государство, организации и отдельные личности несут весьма ощутимый ущерб, подсчитать который вряд ли кому-либо удастся.
Величина риска определяется вероятностью успешного выполнения угрозы и величиной ущерба, который в результате будет нанесен. Возможный ущерб далеко не всегда может быть выражен в денежных единицах, а вероятность успешной реализации угрозы вообще не поддается точной оценке. Поэтому наши оценки рисков весьма приблизительны. Их точность зависит от того, насколько хорошо мы ориентируемся в текущей ситуации, правильно ли представляем себе природу и способы реализации угроз, а также от нашей способности анализировать и оценивать их последствия.
Оценив риски, необходимо решить, что с ними делать. Этот процесс называется управлением рисками.
Задача управления рисками включает выбор контрмер, позволяющих снизить величины рисков до приемлемой величины, и обоснование этого выбора.
Управление рисками предполагает оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью принятия контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.
Контрмеры могут снизить уровни рисков различны жми способами:
уменьшая вероятность осуществления угроз безопасности;
ликвидируя уязвимости или понижая их величину;
уменьшая величину возможного ущерба;
способствуя восстановлению ресурсов АС, которым был нанесен ущерб;.
выявляя атаки и другие нарушения безопасности.
В этой главе рассматривается комплекс вопросов, касающихся выявления атак.
1.1 Сетевые атаки
С увеличением зависимости мировой экономики и государственных структур от Internet возрастает и уровень риска, связанного с сетевыми атаками на ресурсы сетей, подключенных к Internet. Атаки через Глобальную сеть становятся мощным средством ведения информационных войн между государствами, совершения преступлений в финансовой и других сферах, включая акты терроризма. 22 сентября 2001 г. Американским институтом изучения технологий обеспечения безопасности (Institute for Security Technology Studies At Dartmouth College) был опубликован отчет под названием «Кибератаки во время войны с терроризмом» (Cyber Attacks During The War on Terrorism: A Predictive Analysis). Данный отчет содержит анализ ситуаций, в которых политические конфликты стимулировали рост числа сетевых атак на ресурсы Internet. С этой точки зрения изучались конфликты между Индией и Пакистаном, Израилем и Палестиной, NATO и Сербией, США и Китаем из-за столкновения между китайским истребителем и американским самолетом-разведчиком. Целью предпринятого исследования было прогнозирование ситуации в Internet в результате проведения США широкомасштабной антитеррористической кампании после трагедии 11 сентября 2001 г. Хотя в данном исследовании как объекты нападения рассматривались Internet-ресурсы, принадлежащие США, сделанные выводы применимы и ко всем остальным государствам, включая Россию.
Потенциальные источники сетевых атак были разделены на следующие группы:
террористические группы;
хакеры, одобряющие действия террористов или ненастроенные против США;
государства, считающиеся оплотом мирового терроризма, против которых может быть направлена антитеррористическая кампания США (в том числе Афганистан, Сирия, Иран, Ирак, Судан и Ливия);
любопытствующие и самоутверждающиеся хакеры.
В качестве основных целей сетевых атак обсуждались:
подмена страниц на Web-серверах (Web defacing) в США и странах-союзницах, распространение дезинформации и пропаганды;
атаки «отказ в обслуживании» (DoS) на критичные элементы информационной инфраструктуры в США и странах-союзницах с использованием сетевых червей и вирусов, уязвимостей сетевого ПО;
НСД к Internet-ресурсам США и стран-союзниц, результатом которых является повреждение критичных элементов информационной инфраструктуры и нарушение целостности жизненно важной информации.
Основные выводы по результатам анализа:
физические атаки сразу же сопровождаются ростом числа сетевых атак;
количество, сложность и скоординированность сетевых атак неизменно возрастают;
сетевые атаки направлены против особо критичных сетевых ресурсов, к числу которых относятся серверы и активное сетевое оборудование, подключенные к Internet.
Проведенное исследование позволило рекомендовать в качестве первоочередных мер обеспечения безопасности во время войны с терроризмом следующие:
повышение документирования (logging) и оповещения (alert) в системах выявления сетевых атак;
незамедлительное сообщение о подозрительной активности в правоохранительные органы с целью проведения расследования и принятия предупредительных мер;
следование стандартам и внедрение передового опыта в области обеспечения информационной и физической безопасности, регулярное обновление ПО, защита от вирусов, установка систем выявления атак и МЭ;
принятие рекомендованных мер защиты против известных программных средств реализации атак (exploites) и резервное копирование критичных информационных ресурсов;
применение методов фильтрации IP-пакетов (ingress and egress filtering) на маршрутизаторах и МЭ для защиты от DoS-атак.
Как видно из представленных рекомендаций, наряду со стандартными средствами защиты, без которых немыслимо нормальное функционирование АС (таких как МЭ, системы резервного копирования и антивирусные средства), необходимы еще и IDS (системы выявления атак) - основное средство борьбы с сетевыми атаками.
В настоящее время IDS начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако имеется ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Приведем некоторые из них:
большая стоимость коммерческих IDS;
малая эффективность современных IDS, характеризующихся большим числом ложных срабатываний и несрабатываний (false positives and false negatives);
требовательность к ресурсам и порой неудовлетворительная производительность IDS уже на скорости 100 Мбит/с в сетях;
недооценка рисков, связанных с сетевыми атаками;
отсутствие в организации методики анализа рисков и управления ими, позволяющей руководству адекватно оценивать величину риска и обосновывать стоимость реализации контрмер;
необходимость в высокой квалификации экспертов по выявлению атак, без которой невозможно внедрение и развертывание IDS.
Для России характерны также незначительная зависимость информационной инфраструктуры предприятий от Internet и финансирование мероприятий, обеспечивающих информационную безопасность, по остаточному принципу, что не способствует приобретению дорогостоящих средств защиты для противодействия сетевым атакам.
Тем не менее процесс внедрения IDS в практику поддержания ИБ продолжается, в том числе и в России.
Американский институт SANS учредил программу профессиональной сертификации специалистов по выявлению атак - GIAC Certified Intrusion Analyst (GCIA). Сертификат GCLA, будучи свидетельством практических навыков специалиста, ценится в США даже выше, чем, скажем, CISSP (Certified Information Systems Security Professional), учрежденный ISC (International Security Consortium) и являющийся эталоном профессиональной зрелости в сфере ИБ.
В основе большинства ошибок при принятии решений, в том числе по защите от сетевых атак, лежит неправильная оценка рисков. Точность идентификации и оценки рисков, связанных с любым видом деятельности, выступает в качестве основной характеристики профессиональной зрелости специалиста в предметной области. При отсутствии адекватной оценки рисков сложно ответить на вопросы о том, с чего следует начинать построение системы защиты информации, какие ресурсы и от каких угроз надо защищать и какие контрмеры считать приоритетными. Трудно также решать проблему необходимости и достаточности того или иного набора контрмер и их адекватности существующим рискам.
Таким образом, вопрос оценки рисков, связанных с сетевыми атаками, является важнейшим и рассматривается в первую очередь.
1.2 Обнаружение атак как метод управления рисками
Обнаружение атак сегодня - один из методов управления рисками. Деятельность по обнаружению сетевых атак при помощи сетевых IDS заключается в мониторинге сетевого трафика между атакующими и атакуемыми системами, нахождении и анализе подозрительного трафика, оценке уровня серьезности атаки и величины риска, связанного с ее реализацией, а также принятии решения о реагировании на атаку. Поиск подозрительного трафика, а зачастую и определение уровня серьезности атаки выполняется IDS автоматически. Наиболее распространенным методом обнаружения атак является сигнатурный анализ, используемый во всех коммерческих IDS и рассматриваемый ниже. Оценка величины риска, связанного с сетевой атакой, требует участия эксперта. На основании оценки риска решается вопрос о реагировании на атаку. Если риск незначителен, то не исключено, что атака вообще не заслуживает внимания. В то же время, в отдельных случаях, может понадобиться принятие незамедлительных мер реагирования.
Рассмотрим методику оценки рисков, связанных с реализацией сетевых атак, принятую в SANS/GIAC.
1.2.1 Оценка серьезности сетевой атаки
Атаки разной степени критичности требуют разного уровня реагирования. Критичность атаки (Severity) определяется величиной риска в результате ее реализации. Величина риска, в свою очередь, зависит от вероятности успешного проведения атаки и величины возможного ущерба, а величина возможного ущерба - от степени критичности ресурсов (Criticality), против которых направлена атака. На вероятность успешного выполнения атаки (Lethality) влияет эффективность методов и величина уязвимости системы защиты, с помощью которых она предпринимается. Величина уязвимости напрямую связана с эффективностью контрмер на системном (System countermeasures) и сетевом уровнях (Network countermeasures), применяемых для противодействия данному виду угроз.
Формула для нахождения уровня серьезности атаки выглядит следующим образом:
SEVERITY = (CRITICALITY + LETHALITY) - (SYSTEM COUNTERMEASURES + NETWORK COUNTERMEASURES).
Данной формулой можно воспользоваться для оценки величины рисков из-за атак, выявленных при помощи IDS, при анализе результатов мониторинга сетевого трафика. Обычно интерес представляют только те атаки, для которых величина риска превышает некоторое пороговое значение.
Уровень серьезности атаки (SEVERITY) устанавливается по числовой шкале от -10 до+10.
SEVERITY {-10,10} - величина риска, связанного с реализацией сетевой атаки.
Критичность сетевого ресурса (CRITICALITY) определяется по 5-балльной шкале исходя из предназначения данного сетевого ресурса и выполняемых им функций. На практике обычно ориентируются на следующую шкалу:
5 - МЭ, DNS-сервер, маршрутизатор;
4 - почтовый шлюз;
2 - рабочая станция UNIX;
1 - персональные компьютеры MS-DOS, Windows 3.11.
Для определения вероятности успешного выполнения атаки и возможного ущерба (LETHALITY) принята следующая шкала:
5 - атакующий может получить права суперпользователя на удаленной системе;
4 - отказ в обслуживании в результате реализации сетевой атаки;
3 - получение прав непривилегированного пользователя на удаленной системе, например путем перехвата пароля, передаваемого по сети в открытом виде;
2 - раскрытие конфиденциальной информации из-за несанкционированного сетевого доступа, например атака null session на системы Windows;
1 - вероятность успеха предпринятой атаки очень мала.
Эффективность принятых контрмер системного уровня (SYSTEM COUNTERMEASURES) можно оценить по следующей шкале:
5 - современная ОС, загружены все программные коррекции (пакеты обновления), имеются дополнительные (наложенные) сетевые средства защиты (например, tcp wrappers или secure shell);
3 - устаревшая версия ОС, не установлены некоторые программные коррекции;
1 - отсутствуют специализированные средства защиты, не сформирована политика управления паролями, пароли передаются по сети в открытом виде.
Следующая шкала служит для оценки эффективности контрмер сетевого уровня (NETWORK COUNTERMEASURES):
5 - МЭ, реализующий принцип минимизации привилегий, является единственной точкой входа в сеть;
4 - МЭ и наличие дополнительных точек входа в сеть;
2 - МЭ, разрешающий все, что явным образом не запрещено (разрешительная политика управления доступом).
Как уже было отмечено, данная методика оценки рисков, связанных с сетевыми атаками, используется в SANS/GIAC при анализе подозрительных фрагментов сетевого трафика (detects), обнаруженных с помощью сетевых IDS.
1.3 Ограничения межсетевых экранов
В настоящее время становится очевидным недостаточность традиционных МЭ для защиты сетей от угроз со стороны Internet, поскольку они не обеспечивают защиту от целого класса угроз безопасности (в том числе от угроз, направленных против самих МЭ). Традиционные средства защиты информации, включая МЭ, эффективны только против известных уязвимостей. Они вряд ли способны помешать хакерам в поиске новых способов реализации атак. Для этого предназначены специальные средства выявления атак - IDS. Мало того, нередко приходится наблюдать ситуации, когда установка МЭ только снижает общую защищенность корпоративной сети от угроз со стороны Internet. Неправильно настроенный МЭ создает в системе защиты «дырку», порой большую, чем его отсутствие.
Напрашивается аналогия с американским экспериментом по оснащению всех такси антиблокировочными системами тормозов (ABS), предназначенными для увеличения безопасности автомобиля. По статистике число ДТП с участием таксистов в результате этого эксперимента увеличилось, так как водители стали вести себя на дорогах более рискованно, больше доверяя тормозам. Таким образом, оказалось, что ABS увеличивает безопасность только в случае сохранения водителем прежнего стиля управления автомобилем.
Тот же самый принцип справедлив по отношению к МЭ и любым другим средствам защиты.
Добавление в систему нового средства защиты увеличивает общую защищенность системы лишь при условии, что существующая практика обеспечения безопасности не изменилась в сторону ослабления механизмов защиты.
Устанавливая МЭ, сетевые администраторы, полагаясь на реализуемые МЭ механизмы защиты, нередко отказываются от каких-либо дополнительных мер по поддержанию защиты от угроз со стороны внешней сети, которые необходимы при отсутствии МЭ. В результате общая защищенность сети от внешних атак может либо увеличиться, либо остаться неизменной, либо (и это вполне вероятно) снизиться. Происходит это потому, что администраторы и пользователи сети склонны всецело доверять МЭ и переоценивать его роль в деле защиты сети от внешних угроз со стороны Internet. Они представляют себе МЭ как некий щит, закрывающий их от дождя, града, снега, штормов и прочей непогоды. При этом забывают, что в щите имеется немало дырок, а иногда он даже может напоминать решето. «Дырки» в щите нужны для общения с внешним враждебным миром. По ошибке, и это совсем не исключено, могут быть открыты не те «дырки» или «дырки» окажутся слишком большими, к тому же «дырки» в щите иногда удается пробить снаружи.
Таким образом, для обеспечения адекватного уровня защиты МЭ следует обязательно дополнять специальными средствами выявления атак. На эту тему имеется уже достаточно много публикаций, поэтому нет необходимости еще раз отстаивать данный тезис, иллюстрируя его большим количеством примеров, взятых из печального опыта российских и зарубежных компаний. Однако, устанавливая МЭ, руководство российских компаний пока не торопится выделять средства на приобретение и эксплуатацию систем выявления атак.
1.4 Анализ подозрительного трафика
1.4.1 Сигнатуры как основной механизм выявления атак
Системы выявления атак IDS решают задачу мониторинга информационной системы на сетевом, системном и прикладном уровнях с целью обнаружения нарушений безопасности и оперативного реагирования на них. Сетевые IDS служат в качестве источника данных для анализа сетевых пакетов, a IDS системного уровня (хостовые - host based) анализируют записи журналов аудита безопасности ОС и приложений. При этом методы анализа (выявления атак) остаются общими для всех классов IDS.
Было предложено немало различных подходов к решению задачи обнаружения атак (в общем случае речь идет о преднамеренной активности, включающей, помимо атак, действия, выполняемые в рамках предоставленных полномочий, но нарушающие установленные правила политики безопасности). Однако все существующие IDS можно разделить на два основных класса: одни применяют статистический анализ, другие - сигнатурный анализ.
Статистические методы базируются на предположении о том, что активность злоумышленника всегда сопровождается какими-то аномалиями, изменением профиля поведения пользователей, программ и аппаратуры.
Основным методом выявления атак, принятым в большинстве современных коммерческих продуктов, является сигнатурный анализ. Относительная простота данного метода позволяет с успехом внедрять его в практику. IDS, применяющие сигнатурный анализ, обычно ничего «не знают» о правилах политики безопасности, реализуемых МЭ (поэтому в данном случае речь идет не о преднамеренной активности, а только об атаках). Основной принцип их функционирования - сравнение происходящих в системе/сети событий с сигнатурами известных атак - тот же, что используется в антивирусном ПО.
Общие критерии оценки безопасности ИТ (ISO 15408) содержат набор требований FAU_SAA под названием «Анализ данных аудита безопасности» (Security audit analysis). Эти требования определяют функциональность IDS, которые ищут злоумышленную активность методами как статистического, так и сигнатурного анализа.
Компонент FAU_SAA2 «Выявление аномальной активности, основанное на применении профилей» (Profile based anomaly detection) предполагает обнаружение аномальной активности с помощью профилей системы, определяющих опасные с точки зрения безопасности действия пользователей системы, и выявление этих действий. С целью установления степени опасности действий того или иного пользователя вычисляются соответствующие «рейтинги недоверия» к пользователям. Чем больше опасность действий пользователя, тем выше его «рейтинг недоверия». Когда «рейтинг недоверия» достигает установленного критического значения, предпринимаются предусмотренные политикой безопасности действия по реагированию на злоумышленную активность.
Компоненты FAU_SAA3 «Простая эвристика атаки» (Simple attack heuristics) и FAU_SAA4 «Сложная эвристика атаки» (Complex attack heuristics) предусматривают выполнение сигнатурного анализа для поиска злоумышленной активности. В случае атаки FAU_SAA4 сигнатура задает последовательность событий, являющуюся признаком нарушения установленных в системе правил политики безопасности.
1.4.2 Анализ сетевого трафика и анализ контента
Существует два не исключающих друг друга подхода к выявлению сетевых атак: анализ сетевого трафика и анализ контента. В первом случае изучаются лишь заголовки сетевых пакетов, во втором - их содержимое.
Конечно, наиболее полный контроль информационных взаимодействий обеспечивается только путем анализа всего содержимого сетевых пакетов, включая их заголовки и области данных. Однако с практической точки зрения такая задача трудновыполнима из-за огромного объема данных, которые пришлось бы обрабатывать. Современные IDS начинают испытывать серьезные проблемы с производительностью уже при скорости 100 Мб/с в сетях. Поэтому в большинстве случаев целесообразно прибегать для выявления атак к анализу сетевого трафика, в некоторых случаях сочетая его с анализом контента.
Концептуально сигнатура сетевой атаки практически не отличается от сигнатуры вируса. Она представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Так, перечисленные ниже признаки могут рассматриваться в качестве сигнатур атак:
примеры сигнатур атак, используемых при анализе трафика (заголовков сетевых пакетов):
в заголовке TCP-пакета установлен порт назначения 139 и флаг ООВ (Out of Band), что является признаком атаки аля WinNuke;
установлены одновременно противоречащие друг другу флаги ТСР-паке-та: SYN и FIN. Посредством данной комбинации флагов во многих атакующих программах удается обходить фильтры и мониторы, проверяющие только установку одиночного SYN-флага;
пример сигнатуры атаки, применяемой при анализе контента:
"GET. cgi-bin/etc/passwd". Появление такой строки в области данных HTTP-пакета свидетельствует о наличии эксплойтов типа phf, php или aglimpse.
Методы анализа контента имеют еще один существенный недостаток. Они не работают, когда атакующие программы (DDoS, trojans) обращаются к шифрованию трафика. Например, в Back Orifice trojan или Barbwire DDoS-команды, передаваемые между клиентом и сервером (менеджером и агентом), шифруются посредством алгоритма blowfish. Методы обнаружения такого рода атак ограничиваются анализом заголовков сетевых пакетов.
1.4.3 Пример анализа подозрительного трафика
Покажем, как управление рисками, связанными с сетевыми атаками, реализуется на практике. Прежде всего необходимо установить и настроить какую-нибудь систему мониторинга сетевого трафика, например NFR, NetProwler, Tcpdump+Shadow и т.п. После этого можно приступать к анализу подозрительного трафика, событий и разного рода сетевых атак, оценивать риски и управлять ими.
В качестве примера подозрительного трафика, заслуживающего внимания эксперта, рассмотрим фрагмент журнала регистрации событий программы Tcpdump - листинг 1.
Данный формат удобен для выполнения практических работ при сдаче экзамена на степень GCIA (GIAC Intrusion Analyst) в SANS/GIAC.
Источник данных. Тестовая ЛВС.
IDS, сгенерировавшая сообщение об атаке. Tcpdump v.3.6.2.
Формат данных сообщения. Tcpdump пользуется следующим форматом для отображения ТСР-пакетов:
time (hh:mm:ss.microseconds);
network interface name [ethO in our case];
source IP address . source port > destination IP address . destination port;
TCP flags ["" - indicates that all the flag bits set to 0, "P" - PUSH flag, "F" - FIN flag, "S" - SYN flag, "R" - RESET flag];
beginning sequence number:ending sequence number(data bytes transfered);
ack the sequence number of the next block of data expected from the other end of the TCP connection;
win the number of bytes free in the receive buffer for receipt of data from the other end of the TCP connection;
<nop,nop,timestamp 6007121 17250647> - tcp options:
пор - nо operation [pad options to 4-byte boundaries];
timestamp - carries a timestamp for each segment;
(DF) don't fragment flag set;
(ttl time to live value, id IP identifier).
Вероятность подделки IP-адреса отправителя атакующей стороной. В данном случае между сторонами был установлен сеанс связи, поэтому вероятность подделки IP-адреса невелика. Однако нельзя исключать возможность внедрения атакующего в сеанс связи (session hijacking) - в случае взаимодействия между системами Windows предсказание номера TCP-пакета является тривиальной задачей. Для осуществления атаки такого вида атакующий хост должен быть подключен к линии связи между взаимодействующими сторонами (man-in-the-middle).
Описание атаки. Данный фрагмент трафика свидетельствует об атаке «отказ в обслуживании», направленной против ОС Windows 95/NT через порт NetBIOS, известной под названием WinNuke (CVE-1999-0153).
Атака выполняется путем отправки out-of-band data на 139-й порт атакуемого хоста, что нередко приводит к «зависанию» Windows-системы. И другие ОС могут оказаться уязвимыми по отношению к этому виду атаки, например SCO OpenServer 5.0 также ей подвержен.
Ожидаемый результат данного вида DoS-атаки - «зависание» атакуемой системы.
Механизм осуществления атаки. Программу, реализующую данный вид атаки, можно найти в Internet. Когда Windows-система получает пакет с установленным флагом URGENT, она ожидает, что за этим флагом последуют данные. Отсутствие данных после флага URG приводит ее в замешательство. Эта особенность Windows-систем (на которых не установлены соответствующие программные коррекции) способствует успеху DoS-атаки Winnuke. Сервис Netbios (ТСР-порт 139) известен в качестве наиболее подверженного данной уязвимости и чаще всего атакуемого. Однако потенциально не исключена возможность успешного проведения данного вида атаки и через другие порты.
Такая атака может быть предпринята как удаленно, так и локально (то есть с той же машины, на которой запускается программа Winnuke).
Система Windows NT. Успех данной атаки против системы Windows NT приводит к зависанию системы и появлению «синего экрана смерти». Последствия атаки обычно заключаются в потере пользователем несохраненных документов (изменений).
Системы Windows 95, Windows for Workgroups 3.11. В случае успешного проведения этой атаки против систем Windows for Workgroups или Windows 95 на экране выводится сообщение о программной ошибке - «синий экран», уведомляющий пользователя о том, что приложение не отвечает. Последствия атаки: пользователь, как правило, теряет несохраненные документы (изменения).
Ссылки на источники информации об атаке/уязвимости. Описание атаки Win-nuke можно найти по следующим ссылкам:
http://support.microsoft.сom/support/kb/articles/q179/1/29.asp:
http://ciac.llnl.gov/ciac/bulletins/h-57.shtml:
ftp://ftp.sco.com/SSE/security_bulletins/SB.98:01a
Цели атаки и мотивация атакующей стороны (адресность и целенаправленность атаки). На вопрос о целях и мотивации атакующей стороны существует два ответа: 1. Данная атака является адресной и направлена против конкретной системы, содержащей соответствующую уязвимость. 2. Это сканирование сети в поисках систем, в которых имеется данная уязвимость.
Для правильного ответа необходимо дополнительное изучение журналов регистрации событий на МЭ и IDS с целью выяснения предыстории рассматриваемого события.
Величина риска. Величина риска (Severity), ассоциированного с этим событием, рассчитывается по формуле:
(Criticality + Lethality) - (System Countermeasures + Network Countermeasures) = Severity.
Оцениваем:
критичность атакуемого хоста - Criticality: 2 (хост Windows 2000);
возможные последствия - Lethality: 0 (хосты Win2000 не подвержены данной уязвимости, следовательно, последствия отсутствуют);
эффективность контрмер системного уровня - Sys Counters: 5 (установлены последние программные коррекции);
эффективность контрмер сетевого уровня - Net Counters: 5 (атакуемый хост расположен за фильтрующим маршрутизатором и МЭ во внутренней сети).
Тогда Severity: (2 + 1) - (5 + 5) = -7.
Таким образом, уровень риска в данном случае существенно меньше 0 (событие, не заслуживающее серьезного внимания эксперта).
Рекомендации по защите. Поскольку величина риска очень мала, о защите в данном случае вообще не стоит беспокоиться. Однако в общем случае можно дать следующие рекомендации по защите:
лучшим способом защиты от подобного рода атак со стороны внешней сети традиционно признается применение МЭ. Блокирование сервиса Netbios на МЭ и маршрутизаторе, выполняющих функции внешнего шлюза корпоративной сети, является обычной практикой;
периодическое сканирование сети при помощи сканера - хорошая профилактическая мера против таких атак (конечно, если базы данных уязвимостей сканера регулярно обновляются);
если результаты сканирования сети выявили Windows-системы, уязвимые по отношению к данному виду атаки, то на них необходимо установить пакет программных коррекций от Microsoft (SP4 или более старшая версия), который можно найти по адресу: http://support.microsoft.com/support/ntserver/content /servicepacks/.
1.5 IDS как средство управления рисками
1.5.1 Типовая архитектура системы выявления атак
Типовая архитектура системы выявления атак, как правило, включает следующие компоненты:
сенсор (средство сбора информации);
анализатор (средство анализа информации);
средства реагирования;
средства управления.
Конечно, все эти компоненты могут функционировать на одном компьютере и даже в рамках одного приложения, однако чаще всего они территориально и функционально распределены. Такие компоненты IDS, как анализаторы и средства управления, опасно размещать за МЭ во внешней сети, так как если они будут скомпрометированы, то злоумышленник сможет получить доступ к информации о структуре внутренней защищаемой сети на основе анализа базы правил, используемой IDS.
Типовая архитектура системы выявления атак изображена на рис. 7.1. Сетевые сенсоры перехватывают сетевой трафик, в качестве источников информации для хостовых сенсоров служат журналы регистрации событий ОС, СУБД и приложений. Информация о событиях также может быть получена хостовым сенсором непосредственно от ядра ОС, МЭ или приложения. Анализатор, размещаемый на сервере безопасности, проводит централизованный сбор и анализ информации, поступающей от сенсоров.
Средства реагирования могут находиться на станциях мониторинга сети, МЭ, серверах и рабочих станциях ЛВС. Типичный набор действий по реагированию на атаки включает оповещение администратора безопасности (посредством электронной почты, вывода сообщения на консоль или отправки на пейджер), блокирование сетевых сессий и пользовательских регистрационных записей с целью немедленного прекращения атак, а также протоколирование действий атакующей стороны.
Средства управления предназначены для администрирования всех компонентов системы обнаружения атак, разработки алгоритмов выявления нарушений безопасности и реагирования на них (политик безопасности), а также для просмотра информации о нарушениях и генерации отчетов.
Рис. 7.1. Типовая архитектура системы выявления атак
1.5.2 Стандарты, определяющие правила взаимодействия между компонентами системы выявления атак
Необходимость стандартизации форматов данных и протоколов обмена данными, применяемых в IDS, обусловлена причинами, перечисленными ниже. Для защиты ЛВС, подключенных к сети Internet, от распределенных скоординированных атак необходимо обеспечить определенную степень взаимодействия между IDS, предназначенными для защиты различных точек входа в разные ЛВС. Например, в случае атаки против одной ЛВС, правила реагирования на которую предусматривают изменение конфигурации МЭ путем блокирования IP-адреса источника атаки, соответствующие изменения должны быть произведены на всех МЭ, служащих для защиты остальных ЛВС. Для этого необходим обмен информацией об источнике атаки и способе реагирования между различными IDS.
Центральным компонентом IDS является анализатор (analysis engine) - специализированное программное ядро, предназначенное для анализа данных, поступающих от сенсоров, и принятия решений о способах реагирования на подозрительные события. Стандартизация протоколов и форматов обмена данными между анализатором, с одной стороны, и сенсорами и средствами реагирования, с другой, позволяет применять общее программное ядро анализатора с различными типами сенсоров и средств реагирования.
Процесс стандартизации протоколов и форматов обмена данными, используемых в IDS, начался уже довольно давно. Рассмотрим несколько популярных форматов данных, с помощью которых через Internet обмениваются информацией о нарушениях безопасности.
Литература
1. Абрамов А.В., Панасенко СП., Петренко С.А. VPN-решения для российских компаний // Конфидент. Защита информации. - № 1. - 2001. - С. 62-67.
2. Алексенцев А.И. О концепции защиты информации (к постановке вопроса) // Безопасность информационных технологий. - № 4. - 1998. - С. 10-14.
3. Алексенцев А.И. Защита информации. Сводный словарь основных понятий и терминов // Безопасность информационных технологий. - № 4. - 1998. -С.101-108.
4. Астахов А. Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности //Jet Info. - № 11(90). -2000.
5. Бабин С.А. Аудит сетей как фактор обеспечения безопасности сетей // Антонюк-Консалтинг. Сети и системы связи. - № 3. - 1998.
6. Баранов А.В., Петренко С.А. Системная интеграция и безопасность компьютерных сетей // Конфидент. Защита информации. - № 2. - 2001. - С. 34-39.
7. Батурин Ю.М. Проблемы компьютерного права. - М.: Юридическая литература, 1991.
8. Беляев А.В., Петренко С.А. Криптографические стандарты третьего тысячелетия // Chip-Россия. - № 7. - 2001. - С. 146-151.
9. Беляев А.В., Панасенко СП., Петренко С.А. Перспективы прикладной криптографии // Конфидент. Защита информации. - № 6. - 2001. - С. 70-79.
10. Березин А.С., Петренко С.А. Сейф для бизнеса // Конфидент. Защита информации. - № 4- 5. - 2002. - С. 132-135.
11. Березин А.С., Петренко С.А. Построение корпоративных защищенных виртуальных частных сетей//Конфидент. Защита информации. -№ 1. -2001. -С 54-61.
12. Березин А.С., Петренко С.А. Безопасность корпоративной информационной системы глазами бизнеса// Экспресс-электроника. - № 9. - 2002. - С. 84-87.
13. Березин А.С., Зима В.М., Петренко С.А. VPN-технологии: организация защищенного обмена конфиденциальной информацией // Конфидент. Защита информации. - № 6. - 2000. - С. 90-
Подобные документы
Концепция адаптивного управления безопасностью. Средства анализа защищенности сетевых протоколов и сервисов. Компоненты и архитектура IDS. Классификация систем обнаружения атак. Поиск уязвимостей в современных системах IDS. Методы реагирования на атаки.
курсовая работа [488,5 K], добавлен 13.12.2011Компьютерные атаки и технологии их обнаружения. Сетевые системы нахождения атак и межсетевые экраны. Программные средства анализа защищенности и отражения угроз. Внедрение программных средств выявления атак для информационной системы предприятия.
курсовая работа [53,6 K], добавлен 16.03.2015Основные методы атак на информацию и способы защиты от компьютерных злоумышленников. Системы и технологии информационной безопасности, определение угроз и управление рисками. Понятие криптосистемы, построение антивирусной защиты и работа брандмауэров.
курсовая работа [52,5 K], добавлен 31.08.2010Обобщенная модель процесса обнаружения атак. Обоснование и выбор контролируемых параметров и программного обеспечения для разработки системы обнаружения атак. Основные угрозы и уязвимые места. Использование системы обнаружения атак в коммутируемых сетях.
дипломная работа [7,7 M], добавлен 21.06.2011Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Удобство и возможности системы предотвращения атак Snort, типы подключаемых модулей: препроцессоры, модули обнаружения, модули вывода. Методы обнаружения атак и цепи правил системы Snort. Ключевые понятия, принцип работы и встроенные действия iptables.
контрольная работа [513,3 K], добавлен 17.01.2015Способы применения технологий нейронных сетей в системах обнаружения вторжений. Экспертные системы обнаружения сетевых атак. Искусственные сети, генетические алгоритмы. Преимущества и недостатки систем обнаружения вторжений на основе нейронных сетей.
контрольная работа [135,5 K], добавлен 30.11.2015Классификация сетевых атак по уровню модели OSI, по типу, по местоположению злоумышленника и атакуемого объекта. Проблема безопасности IP-сетей. Угрозы и уязвимости беспроводных сетей. Классификация систем обнаружения атак IDS. Концепция XSpider.
курсовая работа [508,3 K], добавлен 04.11.2014Обзор известных методов обеспечения безопасности Web-транзакций. Протокол SSL/TLS как эффективный метод обеспечения их защищенности. Анализ и моделирование существующих атак на протокол SSL/TLS. Особенности защиты сети "клиент-сервер" от такого рода атак.
дипломная работа [2,6 M], добавлен 05.06.2011Проблема безопасности операционных систем. Функции подсистемы безопасности. Идентификация пользователей, программные угрозы (атаки). Типы сетевых атак. Жизненный цикл разработки безопасных программных продуктов. Оценка атак на программное обеспечение.
презентация [1,4 M], добавлен 24.01.2014
