Титул

Оглавление

Введение

Обзор методов обнаружения атак

Области применения систем обнаружения атак

Что могут и чего не могут системы обнаружения атак

Почему необходимо изучать продукты обнаружения атак и другие родственные продукты

Наиболее часто задаваемые вопросы

Обнаружение атак и анализ защищенности

Анализ уязвимостей

Краткие итоги и заключение

К первой странице

 

Области, где системы обнаружения атак, средства поиска уязвимостей и контроля целостности файлов наиболее всего пригодны для управления сетевой защитой

Управление сетевой защитой

Управление сетевой защитой - процесс, при котором определяется и поддерживается политика безопасности, процедуры и методы, необходимые для защиты сетевых ресурсов. Системы обнаружения атак и поиска уязвимостей предоставляют возможности, необходимые, как часть стандартной практики по управлению сетевой защитой.

Иерархия защиты

Следующая диаграмма представляет иерархию механизмов информационной безопасности. Она описывает средства защиты, которые составляют основу любой технологии защиты [Gartner Group, Conference Presentation, May, 1997].

Отметим, что для того, чтобы достичь определенных результатов в защите всего предприятия, уровни 1-3 должны существовать именно в этом порядке, тогда, технологии и продукты защиты на уровне 4 будут наиболее эффективными.

Рисунок 2 иллюстрирует существующие элементы рынка информационной защиты. Обнаружение атак и анализ уязвимостей соответствуют сектору, озаглавленному "Анализ" [Gartner Group, Conference Presentation, May, 1997].

Заметим, что в случае мониторинга и аудита остальных продуктов в таблице, обнаружение атак поддерживает все цели.

Почему межсетевых экранов недостаточно

Наиболее распространенный вопрос, - каким образом система обнаружения атак дополняет МСЭ. Один способ охарактеризовать разницу заключается в том, чтобы предоставить классификацию нарушений защиты по ИСТОЧНИКУ атаки, независимо от того, исходят они с внешней или с внутренней стороны сети организации. МСЭ действуют в качестве барьера между корпоративными (внутренними) сетями и внешним миром (сетью Internet) и фильтруют входящий трафик согласно установленной политики безопасности.

Это очень важная характеристика и, вероятно, можно было бы обеспечить достаточный уровень защищенности, если бы не следующие факты:

  1. Через МСЭ не обеспечивается полноценного доступа к сети Internet. Пользователи, по целому ряду причин, иногда по наивности, иногда из-за нетерпения, реализуют несанкционированные модемные соединения между своими системами, подключенными к внутренней сети и внешнему ISP или другими путями подключаются к сети Internet. МСЭ не может устранить риск, связанный с такими соединениями, поскольку он их никогда "не видит".

  2. Не всегда угрозы идут только с внешней стороны МСЭ. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей. Еще раз необходимо повторить, что МСЭ только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через МСЭ, то МСЭ не находит никаких проблем.
    Поскольку большинство организаций используют     шифрование для защиты файлов и внешних сетевых соединений (VPN), фокус противника будет сдвигаться к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, т.е. к внутренней сети. Таким образом, системы обнаружения атак станут еще более важными при развертывании инфраструктур защиты.

  3. МСЭ часто сами являются объектами атаки. Атаки и стратегии обхода МСЭ широко известны с тех пор, как появились первые МСЭ. Наиболее распространенная стратегия атаки заключается в том, чтобы использовать ТУННЕЛИРОВАНИЕ для обхода МСЭ. Туннелирование является методом инкапсуляции сообщения одного протокола (который может быть блокирован фильтрами МСЭ) внутри второго (другого) протокола [Bellovin, Steven M., and Cheswick, William R., Firewalls and Internet Security, Repelling the Wily Hacker, 1994, Addison-Wesley Publishing Company, p 76.].

 

Кто охраняет охрану? - Надежность и обнаружение атак

Есть еще один аспект для обсуждения, когда рассматривается важность систем обнаружения атак, это - необходимость мониторинга остальной инфраструктуры защиты. МСЭ, системы идентификации и аутентификации (I&A), системы разграничения доступа, виртуальные частные сети, СКЗИ и антивирусные системы - все они выполняют существенно важные функции по защите системы. Однако, играя такие жизненно важные роли, они являются главными целями хакерских атак. Не менее зловещим является и то, что эти системы управляются простыми смертными и, следовательно, также подвержены человеческим ошибкам. Вследствие нарушения конфигурации, полного выхода из строя или атаки, отказ любого из этих компонентов инфраструктуры защиты подвергает опасности защиту всех систем, которые они охраняют.

Путем мониторинга журналов регистрации, генерируемых этими системами, а также при помощи мониторинга активности системы на предмет наличия атак, системы обнаружения атак предоставляют дополнительную возможность оценки целостности остальной части инфраструктуры защиты. Системы анализа защищенности также допускают проверку новых конфигураций инфраструктуры защиты на предмет "брешей" и упущений, которые могут привести к нарушениям политики безопасности.

Управление системой защиты - обзор процесса

Защита - это не просто разовое устранение возникшей проблемы. Это непрерывный процесс отслеживания динамической среды, в которой ежедневно появляются новые угрозы. Рисунок 3 показывает обзор управления защитой.


Рис.3 Обзор процесса управления системой защиты

"Предупреждение" (prevention) охватывает все меры, предпринимаемые организациями с целью снижения рисков при защите своих систем. Большая часть классических, финансируемых правительством работ в области компьютерной защиты адресовано именно к этой области путем фокусирования внимания на разработке и внедрении более защищенного ПО для ОС и приложений. Кроме того, "предупреждение" охватывает выработку политики безопасности, шифрование, усиленную идентификацию и аутентификацию, а также МСЭ.

Механизмы на фазе обнаружения (detection) в основном представляются системами обнаружения атак, хотя антивирусные системы также попадают в эту категорию. Как показано на рисунке, обнаружение атак включает мониторинг выбранной системы (систем), анализ собранной информации, а затем, на основе настроек системы, реагирование на проблемы и генерация отчетов о них.

Результаты процесса обнаружения атак задают два других этапа управления защитой, - исследование проблем (investigation), которые были обнаружены, документирование причины (diagnosis), вызвавшей проблему и, либо устранение (resolution) проблемы, либо разработка средств для ее решения, если она возникает снова. Наиболее распространенное видение систем обнаружения атак в будущем заключается в том, что эти два последние этапа должны выполняться автоматически, или необходимо так реализовывать функции обнаружения, что необходимость в двух последних этапах практически отпадает.

Комбинацию фаз исследования и диагностики/решения часто называют реакцией на инцидент или обработкой инцидента. Организации должны выработать политику безопасности, процедуры и методы для решения проблем в данной области, поскольку они составляют остальную часть защиты.

 

НазадВперед

 

© Ребекка Бейс, ICSA , перевод Алексея Лукацкого, Юрия Цаплева, НИП "Информзащита"
Сайт управляется системой uCoz