информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыСетевые кракеры и правда о деле ЛевинаСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Google прикрыл domain fronting 
 Opera VPN закрывается 
 13 уязвимостей в процессорах AMD 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / введение в обнаружение атак /
что могут и чего не могут системы обнаружения атак
ВВЕДЕНИЕ В ОБНАРУЖЕНИЕ АТАК
титул
оглавление
введение
обзор методов обнаружения атак
области применения систем обнаружения атак
что могут и чего не могут системы обнаружения атак
почему необходимо изучать системы обнаружения атак
наиболее часто задаваемые вопросы
технические концепции и определения
анализ уязвимостей
краткие итоги и заключение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон



The Bat!

Что могут и чего не могут системы обнаружения атак и соответствующие технологии

Каждый новый рынок страдает от преувеличений и неправильного понимания. Некоторые из утверждений, представленных в рекламных материалах, имеют под собой основу, некоторые - нет. Поэтому главная задача - научиться правильно, читать рекламную литературу по системам обнаружения атак.

Реальные преимущества

Они МОГУТ придать высокую степень целостности остальной части вашей инфраструктуры защиты

Системы обнаружения атак обеспечивают дополнительные уровни защиты для защищаемой системы, потому что они контролируют работу МСЭ, шифрующих маршрутизаторов, основных серверов и файлов, которые являются наиболее важными для других механизмов защиты. Стратегия действий злоумышленника часто будет включать проведение атак или вывод из строя устройств защиты, обеспечивающих безопасность конкретной цели. Системы обнаружения атак смогут распознать эти первые признаки атаки и, в принципе, отреагировать на них, сведя к минимуму возможные повреждения. Кроме того, когда эти устройства откажут либо из-за ошибок конфигурации, либо из-за атаки или ошибок со стороны пользователя, системы обнаружения атак могут распознать эту проблему, и осуществить уведомление нужного персонала.

Они МОГУТ придать смысл часто непонятной информации о системах, поступающей от систем, и сказать вам, что действительно происходит в них

Журналы регистрации являются особенно ценными источниками информации о том, что происходит внутри ваших систем. Также они часто являются непонятными, даже для опытных системных администраторов и лиц, отвечающих за безопасность. Системы обнаружения атак позволяют администраторам приспособиться, организоваться и понять, что "говорят" им эти информационные источники, часто позволяя найти проблемы до того, как будет нанесен ущерб.

Они МОГУТ проследить деятельность пользователя от точки входа до точки выхода или нанесения удара

По сравнению с устройствами защиты периметра, такими как МСЭ, системы обнаружения атак предлагают еще больше возможностей. Опытные хакеры часто могут проникать через МСЭ; таким образом, способность сравнивать текущую деятельность, соответствующую конкретному пользователю, является крайне важной для улучшения защиты.

Они МОГУТ распознать и сообщить об изменениях в файлах данных

Установка "троянских коней" в наиболее важных системных файлах является стандартным сценарием атаки. Аналогично наиболее распространенными методами являются изменение файлов с наиболее важной информацией с целью маскировки несанкционированной деятельности, мошенничества и т.п. Системы контроля целостности файлов используют криптографические контрольные суммы с целью сравнения текущих файлов с эталонными копиями и, в случае какого-либо несоответствия, позволяют быстро идентифицировать проблему.

Они МОГУТ выявить ошибки конфигурации вашей системы, которые имеют отношение к защите

Системы анализа защищенности позволяют осуществлять последовательный аудит и диагностику параметров конфигурации системы, которые могут привести к проблемам в защите. Вместе с этими продуктами предлагается обширная поддержка со стороны продавца и, как правило, они поставляются "под ключ", так что даже неопытный персонал, отвечающий за защиту, может найти сотни проблем, просто нажав на одну кнопку. Некоторые из этих предлагаемых продуктов даже включают автоматические fixes для устранения найденных проблем.

Они МОГУТ определить, когда ваша система подвергается конкретной атаке

Системы поиска уязвимостей также позволяют пользователю системы быстро определить, какие типы атаки могут быть направлены на эту систему. Опять же, сильная поддержка со стороны продавца позволяет неподготовленному персоналу, отвечающему за защиту, противодействовать хакерским атакам, направленным против их системы, и автоматически фиксировать результаты этих попыток атак. Эти продукты также предоставляют механизм осуществления контроля целостности механизмов, обеспечивающих инфраструктуру защиты. Для системного администратора гораздо лучше сразу же определить, что его МСЭ сконфигурирован неправильно, чем обнаружить это после того, как хакер успешно проникнет через него в вашу сеть.

Они МОГУТ облегчить вашему персоналу, отвечающему за управление системой, задачу мониторинга материалов сети Internet с целью поиска самых последних хакерских атак

Многие инструменты поиска уязвимостей и обнаружения атак поставляются с обширными базами сигнатур атак, при помощи которых они анализируют информацию, поступающую из вашей системы. Фирмы, разрабатывающие эти продукты, имеют в своем штате квалифицированный персонал, который следит за публикациями в сети Internet и других источниках с целью поиска сообщений и другой информации о новых хакерских инструментах для реализации атаки и новых методах атак. Затем они используют эту информацию для разработки новых сигнатур, которые поставляются клиентом для загрузки с Web-серверов или посылаются им посредством зашифрованных сообщений по электронной почте, или оба варианта сразу.

Они МОГУТ сделать возможным осуществление управления защитой ваших систем неопытным персоналом

Некоторые инструменты обнаружения атак и поиска уязвимостей предоставляют возможность персоналу, не имеющему достаточного опыта в области защиты информации, осуществлять управление характеристиками, связанными с защитой вашей системы. Обычно это реализуется при помощи графического интерфейса с множеством всевозможных подсказок, которые ведут пользователей через установку и конфигурацию логическим и легко понятным путем.

Они МОГУТ предоставить руководство, которое поможет вам на крайне важном этапе разработки собственной политики безопасности для ваших компьютерных активов

Многие продукты обнаружения атак и анализа уязвимостей представляют собой часть более исчерпывающего семейства средств анализа защищенности и обнаружения атак, которые включают инструменты для разработки политики безопасности. Они предоставят вам легко понятное руководство для разработки вашей политики безопасности, предлагающее вам информацию и ответы, которые позволят вам определить цели и разработать руководства по использованию ваших компьютерных систем.

Нереальные ожидания

Они не являются серебряными пулями

Защита - сложнейшая область с мириадой возможностей и трудностей. Существует принцип "слабого звена", согласно которому достаточно одной уязвимости на машине, которая позволит противнику получить доступ и в перспективе устроить хаос во всей сети. Время в данном случае также играет против вас. Не существует волшебных решений для устранения проблем, связанных с защитой сети, и продукты обнаружения атак не являются исключением из этого правила. Однако, как часть всестороннего управления защитой, они могут играть существенно важную роль в защите ваших систем.

Они НЕ МОГУТ компенсировать слабые механизмы идентификации и аутентификации

Хотя и есть утверждения, сделанные на основе исследований систем обнаружения атак, что сложнейший статистический анализ поведения (режима работы) пользователя может помочь в идентификации конкретного человека посредством наблюдения за его деятельностью в системе, этот факт довольно далек от того, что демонстрируется сейчас на практике. Поэтому мы по-прежнему должны опираться на средства аутентификации и идентификации пользователей. Лучше всего это осуществляется усиленными механизмами аутентификации (включая токенные или биометрические схемы и одноразовые пароли). Инфраструктура защиты, которая включает сильные механизмы аутентификации и идентификации, а также системы обнаружения атак, является более надежной, чем инфраструктура только с одной (той или другой) составляющей.

Они НЕ МОГУТ проводить исследования атак без участия человека

Инциденты случаются и в самых защищенных сетевых средах. Для того, чтобы свести к минимуму количество инцидентов (и вероятность каких-либо повреждений) необходимо проводить обработку инцидента. Необходимо исследовать атаки, определить, там, где это возможно, с какой стороны она осуществлялась, затем провести диагностику и устранить уязвимость, которая позволила возникнуть данной проблеме, подготовить отчет об атаке и ее подробностях для уполномоченных лиц, когда это необходимо. В некоторых случаях, особенно, когда в деле принимает участие квалифицированный злоумышленник, необходимо найти атакующего, затем организовать против него судебное преследование. Это единственный путь прекратить атаки. Однако система обнаружения атак не способна идентифицировать личность на другом конце соединения без участия человека. Самое лучшее, что она может сделать, это - идентифицировать IP-адрес системы, которая служила точкой входа хакера. Остальное - это обработка инцидента человеком.

Они НЕ МОГУТ понимать содержания политики безопасности вашей организации

Экспертные системы обнаружения атак возрастают в цене, когда они могут работать как системы предупреждения об опасности, идущей со стороны хакера (взломщика), так и в качестве модулей слежения за нарушениями политики безопасности. Эти функции позволяют не только выявить высококлассного хакера, запускающего атаку "teardrop" против вашего файлового сервера, но также позволяют определить программиста, пытающегося получить доступ к системе платежных ведомостей в нерабочее время. Однако эта проверка на соответствие принятой политики безопасности может существовать, если существует политика безопасности, которая служит в качестве шаблона для разработки методов обнаружения сигнатур.

Они НЕ МОГУТ компенсировать уязвимости в сетевых протоколах

TCP/IP и многие другие сетевые протоколы не осуществляют усиленной аутентификации исходного/конечного адресов хостов. Это означает, что исходный адрес, который отражается в пакетах, несущих атаку, не обязательно должен соответствовать реальному источнику атаки. Трудно идентифицировать, с какой системы осуществляется атака; трудно доказать идентичность хакера в уголовном суде, например, в случае гражданского или уголовного судебного разбирательства.

Они НЕ МОГУТ компенсировать проблемы качества или целостности информации, предоставляемой системой

Другими словами принцип "garbage in garbage out" по-прежнему применим. Данные, как таковые, представляют собой объект, который пытаются видоизменить хакеры. Многие хакерские инструменты (например, "cloak" и "zap") нацелены на системные журналы регистрации и выборочно стирают записи, соответствующие времени атаки и скрывающие маршруты движения хакеров. Это доказывает ценность интегрированных, временами избыточных, информационных ресурсов, когда каждый дополнительный ресурс увеличивает возможность получения информации, не измененной хакером.

Они НЕ МОГУТ анализировать весь трафик загруженной сети

Обнаружение атак на сетевом уровне способно контролировать трафик сети, но только в одной точке. Во-первых, задав наблюдательный пункт источников обнаружения атак сетевого уровня, которые опираются на сетевые карты, установленные в "беспорядочном" режиме, не все пакеты являются видимыми для систем. Во-вторых, по мере того, как объемы трафика возрастают, поддержание требуемого уровня соответствующей обработки загруженных сегментов сети становится невозможным, и анализ, осуществляемый модулем слежения, либо отстает, либо вообще происходит отказ данного сенсора. Действительно, сами продавцы приводят максимальную пропускную способность, при которой они демонстрировали свои продукты для работы без потерь со 100% анализом всего трафика, в среднем на уровне 65 Мбит/сек.

Они НЕ МОГУТ постоянно решать проблемы, связанные с атаками на уровне сетевых пакетов

Существуют уязвимости в сетевых системах обнаружения атак, основанные на захвате пакетов. Основа обнаружения уязвимостей заключается в интерпретации сетевой транзакции (обработкой запроса) системой обнаружения атак (на основе собственной реконструкции сетевой сессии) между узлом источника и узлом назначения, который действительно обрабатывает запрос (транзакцию) этой сетевой сессии. Таким образом, хорошо подготовленный противник может послать серию фрагментированных пакетов, которые будут ускользать от обнаружения, но запускать атаки на нужный узел. Что еще хуже, противник может использовать этот способ манипуляции пакетов для осуществления атаки типа "отказ в обслуживании" на саму систему обнаружения атак путем переполнения памяти, отводимой на очередь входящих пакетов.

Они НЕ МОГУТ работать с современными сетевыми аппаратными средствами и их возможностями

Работа с фрагментированными пакетами также может быть довольно проблематичной. Эта проблема имеет серьезные последствия, когда рассматриваются современные высокоскоростные АТМ-сети, которые используют фрагментацию пакетов в качестве средства оптимизации полосы пропускания. Другие проблемы, связанные с новшествами в сетевых технологиях, включают влияние коммутируемых сетей на системы обнаружения атак, основанные на перехвате пакетов. Влияние коммутируемых сетей заключается в образовании собственного "сетевого сегмента" для каждого хоста, таким образом, диапазон охвата для системы обнаружения атак сводится к одному хосту. Эта проблема может быть частично решена в тех коммутируемых сетях, которые предлагают возможности мониторинга портов или направлений передачи данных через мосты, соединяющие локальные сети; однако эти характеристики не являются универсальными в современном оборудовании.




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach