"Человек - самое уязвимое место в системе безопасности.."
Главная » Защита информации » Технологии систем обнаружения сетевых атак

Технологии систем обнаружения сетевых атак

Общее

Полное название таких систем, это системы предотвращения и обнаружения атак. Или же называют СОА как один из подходов к защиты информации. Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать проблемы защиты информации в сетях.

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают угрозы информационной безопасности.

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

  • реализует очевидные проколы
  • реализует неоднократные попытки на вхождение в сеть
  • пытается замести свои следы
  • реализует атаки в разное время

идентификация злоумышленника по действиям

Рисунок — 1

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

  • выявление злоупотреблений
  • выявление аномалий

алгоритм для повышения эффективности выявления атак

Рисунок — 2

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

  • границы сегментов
  • сетевые сегменты
  • объекты с доверием и без
  • ACL — списки контроля доступа
  • Службы и сервера которые есть

Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.

Средства обнаружения атак

Технология обнаружения атак должна справляться со следующим:

  • Распознавание популярных атак и предупреждение о них определенных лиц
  • Понимание непонятных источников данных об атаках
  • Возможность управления методами защиты не-специалистами в сфере безопасности
  • Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
  • Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю

Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:

  • Контроль эффективность межсетевых экранов. Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
  • Контроль узлов сети с устаревшим ПО
  • Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
  • Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем

Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.

Классификация систем обнаружения атак

Существует множество классификаций систем обнаружения атак, однако самой топовой есть классификация по принципу реализации:

  • host-based — система направлена на конкретный узел сети
  • network-based — система направлена на всю сеть или сегмент сети

Системы обнаружения атак которые стоят на конкретных компьютерах, обычно анализируют данных из журналов регистрации ОС и разных приложений. Однако в последнее время выпускаются программы которые тесно интегрированные с ядром ОС.

Плюсы систем обнаружения атак

Коммутация разрешает управлять большими сетями, как несколькими небольшими сетевыми сегментами. Обнаружение атак на уровне конкретного узла дает более эффективную работу в коммутируемых сетях, так как разрешает поставить системы обнаружения на тех узлах, где это нужно.

Системы сетевого уровня не нуждаются, что бы на хосте ставилось ПО системы обнаружения атак. Для контроля сетевого сегмента, нужен только один сенсор, независимо от количества узлов в данном сегменте.

Пакет отправленный от злоумышленника, не будет возвращен назад. Системы которые работают на сетевом уровне, реализуют обнаружение атак при живом трафике, тоесть в масштабе реального времени. Анализируемая информация включает данные, которые будут доказательством в суде.

Системы обнаружения которые работают на сетевом уровне, не зависят от ОС. Для таких систем все равно, какая именно ОС создала пакет.

Технология сравнения с образцами

Принцип таков, что идет анализ наличия в пакете определенной постоянной последовательности байтов — шаблон или сигнатуры. К примеру, если пакет протокола IPv4 и транспортного протокола TCP, он предназначен порту номеру 222 и в поле данных содержит строку foo, это можно считать атакой. Положительные стороны:

  • самый простой механизм обнаружения атак;
  • разрешает жестко сопоставить образец с атакующим пакетом;
  • работает для всех протоколов;
  • сигнал об атаке достоверен, если же образец верно определен.

Отрицательные стороны:

  • если атака нестандартная, есть вероятность пропустить ее;
  • если образец слишком обобщен, то вероятен большой процент ложных срабатываний;
  • Возможно что придется создавать несколько образцов для одной атаки;
  • Механизм ограничен анализом одного пакета, уловить тенденцию и развитие атаки не возможно.

Технология соответствия состояния

Так как атака по своей сущности это не единичный пакет, а поток пакетов, то этот метод работает с потоком данных. Проходит проверка несколько пакетов из каждого соединения, прежде чем делается вердикт.
Если сравнивать с предыдущим механизмом, то строка foo может быть в двух пакетах, fo и o. Итог срабатывания двух методов я думаю понятен.
Положительные стороны:

  • этот метод немного сложнее от предыдущего метода;
  • сообщение об атаке правдиво, если образец достоверный;
  • разрешает сильно увязать атаку с образцом;
  • работает для всех протоколов;
  • уклонение от атаки более сложнее чем в прошлом методе.

Отрицательные стороны:

  • Все отрицательные критерии идентичны как и в прошлом методе.

Анализ с расшифровкой протокола

Этот метод реализует осмотр атак на отдельные протоколы. Механизм определяет протокол, и применяет соответственные правила. Положительные стороны:

  • если протокол точно определен, то снижается вероятность ложных срабатываний;
  • разрешает жестко увязать образец с атакой;
  • разрешает выявить случаи нарушения правил работы с протоколами;
  • разрешает улавливать разные варианты атак на основе одной.

Отрицательные стороны:

  • Механизм является сложным для настройки;
  • Вероятен высокий процент ложных срабатываний, если стандарт протокола разрешает разночтения.

Статический анализ

Этот метод предполагает реализации логики для определения атак. Используются статистическая информация для анализа трафика. Примером выявления таких атак будет выявление сканирования портов. Для механизма даются предельные значения портов, которые могут быть реализованы на одном хосте. В такой ситуации одиночные легальные подключения в сумме дадут проявление атаки. Положительные стороны:

  • Есть такие типы атак, которые могут быть выявлены только этим механизмом.

Отрицательные стороны:

  • Такие алгоритмы требуют сложной тонкой дополнительной настройки.

Анализ на основе аномалий

Этот механизм используется не для четкого обнаружения атак, а для обнаружения подозрительной активности, которая отличается от нормальной. Основная проблема настройки такого механизма, это определения критерия нормальной активности. Также нужно учитывать допустимые отклонения от обычного трафика, которые не есть атакой. Положительные стороны:

  • Правильно настроенный анализатор выявляет даже неизвестные атаки, но нужно дополнительная работа по вводу новых правил и сигнатур атак.

Отрицательные стороны:

  • Механизм не показывает описание атаки по каждому элементу, а сообщает свои подозрение по ситуации.
  • Что бы делает выводы, не хватает полезной информации. В сети зачастую транслируется бесполезная.
  • Определяющий фактор это среда функционирования.

Варианты реакций на обнаруженные атаки

Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования:

  • Уведомление на консоль, или на другой элемент защиты системы ( на межсетевой экран)
  • Звуковое оповещение об атаке
  • Генерация управляющих последовательностей SNMP для систем сетевого управления
  • Оповещение об атаке злоумышленника 🙂 при таком неожиданном повороте, возможно он прекратит атаку
  • Регистрация обнаруживаемых событий. В качестве журнала может выступать:
    • системный журнал
    • текстовый файл обычны/snort
    • база данных
  • Трассировка событий, запись всех действий в той последовательности и с той скоростью, с которой проводил злоумышленник. Затем квалифицированный человек, может пересмотреть эти события, и понять характер и квалификацию самого злоумышленника
  • Реконфигурация сетевого оборудования. Поступает сигнал на маршрутизатор или межсетевой экран, где меняется список контроля доступа.
  • Блокирование сетевого трафика
  • Прерывание событий атакующего:
    • Блокировка учеткой записи пользователя, который делает атаку
    • перехват соединения и посылка пакета с флагом RST

Ниже наведены элементы, на основе которых можно проводить механизмы обнаружения атак: