|
Обнаружение атакСистемы обнаружения атак представляют собой инструменты управления защитой, которые:
Основные факторы систем обнаружения атакПодход к мониторингу На прикладном уровне Датчики обнаружения атак прикладного уровня собирают информацию на уровне приложения. Примеры прикладного уровня включают журналы регистрации, генерируемые ПО для управления базами данных, Web-серверами или МСЭ. Вместе с развитием электронной коммерции, защита будет в большей степени фокусироваться на процессах взаимодействия между пользователями и прикладными программами и данными. Преимущества мониторинга на прикладном уровне:
Недостатки:
На системном уровне Агенты обнаружения атак системного уровня (также называемые сенсорами) собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе. Эта информация представляется иногда в форме журналов регистрации операционной системы. Она может также включать журналы регистрации, генерируемые процессами ОС и т.п. Достоинства:
Недостатки:
Целенаправленный подход (Target-Based Approach) Контроль целостности (см. раздел 3.2.4.3) позволяет реализовать стратегию эффективного мониторинга, сфокусированную на системах, в которых целостность данных и целостность процессов играет наиболее важную роль. Этот подход позволяет контролировать конкретные файлы, системные объекты и атрибуты системных объектов на происходящие изменения, обращая особое внимание скорее на КОНЕЧНЫЙ результат атаки, а не на ПОДРОБНОСТИ развития атаки. Некоторые системы используют проверки КОНТРОЛЬНЫХ СУММ (подсчитывая то значение, которое зависит от оригинального состава системного объекта) для обнаружения нарушений целостности. Достоинства:
Недостатки:
На сетевом уровне Датчики обнаружения атак на сетевом уровне собирают информацию из самой сети. Эта информация, как правило, собирается посредством захвата и анализа пакетов, используя набор сетевых интерфейсов в беспорядочном (promiscuous) режиме; однако, некоторые агенты интегрируются в сетевые аппаратные средства. Достоинства:
Недостатки:
Интегрированные подходы Некоторые продукты обнаружения атак объединяют датчики прикладного, системного и сетевого уровней. Достоинства:
Недостатки:
Время сбора и анализа информации Как только определены места установки агентов системы обнаружения атак, наибольший интерес представляет время сбора и анализ информации. Пакетно-ориентированные или интервальные методы (Batch or Interval Oriented) В пакетно-ориентированных (также называемых интервально-ориентированными) подходах, механизмы аудита ОС или другие агенты системного уровня регистрируют информацию о каждом событии в файлах, и система обнаружения атак периодически анализирует эти файлы на предмет атак или злоупотреблений. Достоинства:
Таким образом, возможно, гораздо легче рассмотреть в качестве доказательств системные журналы регистрации, собранные и обработанные в пакетном режиме. Недостатки анализа в пакетном режиме:
Реальный масштаб времени Системы, работающие в реальном масштабе времени, обеспечивают сбор и анализ информации, а также генерацию отчетов (с возможными вариантами реагирования) на постоянной основе. Термин "реальный масштаб времени" используется здесь также как и в системах управления процессами; т.е. процесс обнаружения происходит достаточно быстро и можно успеть предотвратить атаку. Заметим, что, несмотря на то, что это определение применимо к системам, которые затрачивают миллисекунды на проведение анализа, оно также может описывать более медлительные системы. Системы, работающие в реальном масштабе времени, предоставляют широкий диапазон сигналов тревоги в реальном масштабе времени (многие поддерживают внесистемные механизмы генерации сигналов тревоги, такие как e-mail, пейджеры и посылка сообщений на телефон), а также автоматически реагируют на атаки. Типовые варианты реагирования изменяются от самого простого уведомления до высокочувствительного мониторинга, отключения сетевого соединения от источника атаки или изменения настроек системы с целью минимизации повреждения. Достоинства:
Недостатки:
Место анализа В том, что касается датчиков, функции анализа могут выполняться на сетевом и системном уровнях, или на обоих уровнях сразу. Проведение анализа строго на системном уровне имеет преимущество в том, что сводится к минимуму нагрузка на сеть. Однако также есть и недостаток, который заключается в том, что невозможно обнаруживать широкий диапазон атак, нацеленных на сеть (например, хакер последовательно прыгает по сети, проводя атаки типа "подбор пароля" против каждого хоста). Объединение необработанных (raw) данных и процесса проведения анализа строго на сетевом уровне (в случае систем с датчиками, как на сетевом, так и на системном уровнях) предлагает возможность обнаружения атак, которые охватывают более чем один хост в сети. Недостаток этого подхода заключается в том, что сетевая нагрузка, связанная с передачей необработанной информации к модулям анализа может быть велика. В том, что касается местоположения датчика, оптимальной стратегией является стратегия, при которой анализ осуществляется как на сетевом, так и на системном уровнях. Анализ, осуществляемый на системном уровне, может быть простым или сложным в зависимости от природы поступающей информации, генерируемой датчиком на данном хосте или сигнатуре, с которой эта информация согласуется. Анализ на сетевом уровне может использовать результаты от анализа на системном уровне и использовать их для обнаружения признаков атаки на сеть или подозрительной деятельности без оказания большой нагрузки на сеть. Более того, в крупных сетях, подход такого типа может использоваться иерархически. То есть группы хостов могут генерить данные для модуля анализа на сетевом уровне, который, в свою очередь, передает собственные результаты другому модулю анализа, который собирает результаты от большого количества других модулей анализа на сетевом уровне и т.д. Эта иерархическая структура позволяет продуктам обнаружения атак успешно работать даже в очень крупных организациях. Типы анализа Анализ сигнатур Сигнатуры - это шаблоны, соответствующие известным атакам или злоупотреблениям в системах. Они могут быть простыми (строка знаков, соответствующая поиску отдельного условия или команды) или сложными (изменение состояния защиты, записанное как формальное математическое выражение). Анализ сигнатуры представляет собой проверку соответствия настроек системы и активности пользователя с базой данных известных атак и уязвимостей. Большинство коммерческих продуктов обнаружения атак проводят анализ сигнатур в сравнении с базой данных известных атак, поставляемой продавцом. Дополнительные сигнатуры, установленные клиентом, также могут быть добавлены как часть процесса конфигурации системы обнаружения атак. Большинство продавцов также проводят периодические обновления базы данных сигнатур, как часть соглашений по проведению технического обслуживанию программного обеспечения. Достоинство анализа сигнатур заключается в том, что он позволяет сенсорам собирать компактный (узкий) набор системных данных, снижая, таким образом, загруженность системы. Если база данных сигнатур атак не является чрезвычайно большой (скажем, сотни тысяч или миллионы сложных сигнатур), анализ сигнатур является более эффективным, чем статистический анализ из-за отсутствия плавающей точки вычислений. Статистический анализ Статистический анализ находит отклонения от обычных шаблонов, характерных для нормального режима работы. Эту характеристику, наиболее распространенную в исследовательских настройках, можно найти во многих коммерческих продуктах обнаружения атак. Статистические профили создаются для системных объектов (например, пользователи, файлы, директории, устройства и т.д.) путем измерения различных атрибутов нормального использования (например, количество входов в систему, количество отказов в доступе, время суток и т.д.). Средние частоты и величины переменных вычисляются для каждого типа обычного использования. О возможных атаках сообщается, когда наблюдаемые значения выпадают из нормального диапазона. Например, статистический анализ должен сигнализировать о необычном событии, если зарегистрированный пользователь, который никогда ранее не входил в сеть в нерабочее время (от 8 часов утра до 6 часов вечера), вдруг вошел в систему в 2 часа ночи. Достоинства статистического анализа:
Недостатки статистического анализа (в настоящее время):
Контроль целостности Контроль целостности фокусируется на некотором аспекте или виде файла, объекта, который был изменен. Это часто затрагивает атрибуты файла и директории, содержание и потоки данных. Анализ целостности часто использует сильные криптографические механизмы, называемые message digest (или hash) algorithms, которые могут распознавать даже незначительные изменения. Достоинства:
Недостатки:
Реакции при обнаружении атаки или злоупотреблении Некоторые системы обнаружения атак сетевого уровня позволяют устанавливать желаемую реакцию на обнаруженную проблему. Эта характеристика привлекает внимание многих людей, работающих в области управления защитой, особенно из-за увеличения частоты атак типа "отказ в обслуживании". Изменения сетевой среды Типичная реакция на обнаруженную сетевую атаку заключается в том, чтобы предпринять шаги для изменения сетевой среды (окружения) системы после атаки. Это изменение может состоять из завершения соединения, используемого хакером, и реконфигурации сетевых устройств для блокировки дальнейшего доступа к сайту с того же самого адреса источника. Механизмы реагирования предназначены для того, чтобы позволить системным администраторам активно действовать в рамках их полномочий для сведения к минимуму повреждений, связанных с обнаруженной атакой. Несмотря на то, что это наиболее популярная тема всех дискуссий, потери, наносимые источником атаки, являются болезненными с этой точки зрения. Протокол TCP/IP, основа Internet-соединений, допускает подмену пакетов источника адресации; таким образом, возмездие против предполагаемого источника атаки может в действительности нанести вред непричастной к событию стороне, чьи IP-адреса были подделаны для атаки. Другая ценная характеристика системы обнаружения атак заключается в изучении информационных ресурсов путем установки агентов и механизмов аудита для сбора большего количества информации о подозрительном соединении. Это также может включать сбор информации, которая позволяет воспроизвести атаку. Эта реакция позволяет системному администратору собирать информацию, которая поддерживает наиболее точные сведения о намерениях хакера. Она также позволяет собирать информацию, которая, возможно, поможет организовать уголовное расследование или какое-либо другое разбирательство при идентификации тех, кто является ответственным за атаку. Проверка достоверности Квалифицированные злоумышленники будут пытаться нацелиться на сенсоры системы обнаружения атак или модули анализа. В этом случае является уместной реакция на достоверность, при которой датчики и/или модули анализа опрашиваются по очереди для того, чтобы определить продолжают ли они работать правильно. Уведомление в реальном масштабе времени Наконец, большинство систем, работающих в реальном масштабе времени, позволяют системному администратору выбрать широкий ряд механизмов сигнализирования о тревогах для того, чтобы уведомлять ответственных лиц об обнаруженных атаках. Сигналы тревоги могут уведомлять персонал, отвечающий за защиту по e-mail, по пейджеру, мгновенно посылая сообщения с появлением информации о проблеме на консоли. Сообщение на консоль является стандартным, кроме того, многие системы допускают широкий ряд визуальных и аудио-сигналов, как часть сигнала тревоги. Вопросы эксплуатации и управления Покупатели требуют гибкости в адаптации систем обнаружения атак для своих собственных сетевых сред. Следующие характеристики помогут использовать эти продукты для конкретных нужд. Конфигурация Невозможно найти две совершенно одинаковые организации. Каждая организация имеет различные системы защиты и управления, связанные с заданием политики безопасности, с различными наборами аппаратных и программных средств, включенных в сетевое окружение их систем, с различными платформами, с различными группами пользователей и функциональными политиками. Таким образом, первая проблема, стоящая перед покупателем, который приобретает систему обнаружения атак, это - инсталляция и установка системы. Много продуктов, особенно те, что предназначены для работы в Windows NT-средах, поставляются с ясными, краткими указаниями, включая документацию по инсталляции. Однако конфигурация этих продуктов по-прежнему представляет собой трудоемкий процесс. Подсистема управления аудитом Продукты, которые включают агенты системного уровня, обычно используют механизмы аудита ОС. Эти продукты предлагают более совершенные интерфейсы пользователя для органов управления аудитом ОС, что позволяет пользователям конкретизировать какую информацию и каким образом собирать. Генерация отчетов Одно из преимуществ систем обнаружения атак заключается в наглядности проводимых действий в процессе управления защитой системы. Ключ к наглядности этих проводимых действий (например, для менеджмента верхнего звена, внутренних аудиторов и персонала) заключается в документировании обнаруженных проблем. Большинство средств обнаружения атак имеют возможность легко генерировать отчеты; многие предлагают возможность экспорта отчета с данными в базы данных для последующего анализа и архивации. Многие системы предлагают многочисленные места хранения отчетов (например, на жестком диске, экране и в HTML-формате), с характеристиками, позволяющими пользователю генерировать отчеты с различной степенью детализации в зависимости от того, кому предназначен отчет. Управление Как только продукт обнаружения атак сконфигурирован для данного сетевого окружения системы, следующий этап - это реальный запуск системы. Элементарные функции управления включают запуск и останов системы, установку расписания запуска проверок, при котором определенные виды деятельности должны иметь место, и установка того, какие сигналы тревоги должны подаваться. При выполнении функций управления возникает другой важный момент: защита и надежность самой системы обнаружения атак. Один из путей решения этой проблемы - требование аутентификации до того, как система начнет реагировать на команды управления и конфигурации. Это снижает риск того, что противник получит доступ к системе и скомпрометирует ее. Доказательство достоверности В некоторых случаях системы обнаружения атак используются для того, чтобы убедиться в правильности функционирования других частей инфраструктуры защиты (например, МСЭ). В этом доказательстве достоверности, система обнаружения атак анализирует информацию как из внутренней, так и из внешней области, охватывающей рассматриваемый механизм защиты, и затем сравнивает результаты. Механизм признается достоверным, когда система обнаружения атак предоставляет доказательства того, что атака (ощущаемая на наружной стороне) блокируется механизмом (и, следовательно, она не чувствуется внутри). Системы анализа защищенности часто используются как часть этого процесса подтверждения достоверности, и они функционируют синхронно с системами обнаружения атак. Целостность системы При заданной роли систем обнаружения атак и чувствительности информации, которую они иногда содержат, разработчики системы обратили большое внимание на средства анализа, необходимые для защиты самой системы. Стандартная стратегия хакеров заключается в том, чтобы определить, какие механизмы защиты установлены и затем предпринять шаги для их дискредитации и обмана. Таким образом, можно предположить (допустить), что системы обнаружения атак будут работать во враждебном сетевом окружении. Соответственно, многие характеристики включены в системы с целью свести к минимуму изменения, которые система успешно отражает или, что еще хуже, которые будут использованы в качестве стартовой площадки для атаки. Некоторые продавцы предоставляют встроенные механизмы лицензирования, которые позволяют только уполномоченным клиентам использовать систему обнаружения атак. Это снижает риск того, что если ПО украдено у покупателя или продавца, противник смог бы использовать его для мониторинга других машин или для зондирования их на уязвимости. Другая стратегия защиты использует усиленное шифрование для обеспечения защиты каналов связи между сенсорами, модулями анализа и консолями управления. Это снижает риск того, что противник может перехватить выходные данные датчика для конкретной системы с тем, чтобы удалить или модифицировать данные о своей несанкционированной деятельности. Некоторые продавцы используют цифровые сигнатуры и алгоритмы хэширования для защиты обновлений базы данных сигнатур от подделки противниками. Это позволяет осуществить распределение новых сигнатур атак, чувствительных ко времени, среди покупателей без риска повреждения. Другие характеристики
Некоторые продавцы предлагают ПО сервера-ловушки для того, чтобы допустить более точную характеризацию уровней угрозы для сетевого окружения системы покупателя. Сервер-ловушка - это как раз тот самый сервер, основная задача которого заключается в том, чтобы привлечь внимание хакера. Он оборудован чувствительными агентами, которые собирают информацию о местоположении хакера, пути атаки и свойствах атаки. Сервер-ловушка собирает и записывает эту информацию в надежное место. Некоторые decoy-серверы также предоставляют характеристики, которые создают "тюремные" условия, в которых хакер сбивается с направления - условия, при которых атаки не могут нанести ущерба операционным системам.
|
|||||||||||||||||||||||||||||||||||||||||||||||||
мини-реклама
Фэнтези сериал Волчонок смотреть онлайн без регистрации бесплатно на volchonok-serial.ru. | ||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|