https://bugtraq.ru/library/books/icsa/chapter6/

Обнаружение атак

Системы обнаружения атак представляют собой инструменты управления защитой, которые:

• Собирают информацию от целого ряда системных источников.
• Анализируют эту информацию на предмет наличия шаблонов, отражающих злоупотребления или необычную деятельность.
• В некоторых случаях автоматически реагируют на обнаруженную деятельность.
• Генерируют отчет с результатами, полученными в течение процесса обнаружения.

Основные факторы систем обнаружения атак

Подход к мониторингу

На прикладном уровне

Датчики обнаружения атак прикладного уровня собирают информацию на уровне приложения. Примеры прикладного уровня включают журналы регистрации, генерируемые ПО для управления базами данных, Web-серверами или МСЭ. Вместе с развитием электронной коммерции, защита будет в большей степени фокусироваться на процессах взаимодействия между пользователями и прикладными программами и данными.

Преимущества мониторинга на прикладном уровне:

• Этот подход позволяет нацелиться на точно структурированные действия в системе (например, можно контролировать пользователя, использующего определенную возможность приложения).

Недостатки:

• Уязвимости прикладного уровня могут подорвать целостность и эффективность подходов к обнаружению и мониторингу на прикладном уровне.

На системном уровне

Агенты обнаружения атак системного уровня (также называемые сенсорами) собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе. Эта информация представляется иногда в форме журналов регистрации операционной системы. Она может также включать журналы регистрации, генерируемые процессами ОС и т.п.

Достоинства:

• Системы могут контролировать доступ к информации в виде "кто получил доступ и к чему".
• Системы могут отображать аномальную деятельность конкретного пользователя.
• Системы могут отслеживать изменения режимов работы, связанные со злоупотреблениями.
• Системы могут работать в шифрованном сетевом окружении.
• Системы могут работать в коммутируемой сетевой среде.

Недостатки:

• Сетевая деятельность не видна для детекторов системного уровня.
• Запуск механизмов аудита может потребовать использования дополнительных ресурсов.
• Когда контрольные журналы используются в качестве источников данных, они могут потребовать довольно большого дискового пространства для хранения.
• Уязвимости ОС могут нарушить целостность агентов и анализаторов системного уровня.
• Агенты системного уровня должны использоваться только на специальной платформе, которая увеличивает стоимость эксплуатации.
• Расходы на стоимость эксплуатации и управление, связанные со средствами системного уровня, как правило, значительно выше, чем в других подходах.

Целенаправленный подход (Target-Based Approach)

Контроль целостности (см. раздел 3.2.4.3) позволяет реализовать стратегию эффективного мониторинга, сфокусированную на системах, в которых целостность данных и целостность процессов играет наиболее важную роль. Этот подход позволяет контролировать конкретные файлы, системные объекты и атрибуты системных объектов на происходящие изменения, обращая особое внимание скорее на КОНЕЧНЫЙ результат атаки, а не на ПОДРОБНОСТИ развития атаки. Некоторые системы используют проверки КОНТРОЛЬНЫХ СУММ (подсчитывая то значение, которое зависит от оригинального состава системного объекта) для обнаружения нарушений целостности.

Достоинства:

• Поскольку нет зависимости от старых записей режимов работы, контроль целостности может обнаруживать атаки, которые другие методологии определить не могут.
• Этот подход допускает надежное обнаружение, как местоположения, так и наличия атак, которые видоизменяют систему (например, "троянских коней").
• Из-за того, что собственные воздействия и влияния данного механизма являются незначительными, этот подход может быть полезным для мониторинга систем с умеренной полосой пропускания для обработки данных.
• Этот подход является эффективным для определения того, какие файлы необходимо заменить для того, чтобы восстановить систему, а не переинсталлировать все с оригинального источника или с резервной копии, как это часто делается.

Недостатки:

• В зависимости от количества файлов, системных объектов и атрибутов объектов, для которых вычисляются контрольные суммы, этот подход может все же оказать заметное влияние на производительные системы.
• Этот подход не очень хорошо подходит для осуществления обнаружения в реальном масштабе времени, поскольку он контролирует результаты атак, а не сами атаки, когда они находятся в развитии.

На сетевом уровне

Датчики обнаружения атак на сетевом уровне собирают информацию из самой сети. Эта информация, как правило, собирается посредством захвата и анализа пакетов, используя набор сетевых интерфейсов в беспорядочном (promiscuous) режиме; однако, некоторые агенты интегрируются в сетевые аппаратные средства.

Достоинства:

• Данные поступают без каких-либо специальных требований для механизмов аудита.
• Внесение агента сетевого уровня не оказывает влияния на существующие источники данных.
• Агенты сетевого уровня могут контролировать и обнаруживать сетевые атаки (например, атаки типа SYN flood или packet storm).

Недостатки:

• Несмотря на то, что некоторые системы сетевого уровня могут делать заключения из сетевого трафика, о том, что происходит на хостах, они не могут дать результирующих команд для запуска их на хосте. Это представляет проблему в обнаружении, когда осуществляется различение между ошибкой пользователя и враждебной деятельностью.
• Агенты сетевого уровня не могут сканировать протоколы или содержание, если сетевой трафик зашифрован.
• Обнаружение атак и мониторинг на сетевом уровне становятся более затрудненными в современных коммутируемых сетях. Коммутируемые сети образуют сетевой сегмент для каждого хоста. Таким образом, работа мониторов (устройств контроля) сетевого уровня сводится к контролю одного хоста. Сетевые коммутаторы, которые поддерживают порт мониторинга или порт сканирования, могут, по крайней мере, частично решить эту проблему.
• Современные подходы к мониторингу на сетевом уровне не могут работать с высокоскоростными сетями.

Интегрированные подходы

Некоторые продукты обнаружения атак объединяют датчики прикладного, системного и сетевого уровней.

Достоинства:

• Когда используются агенты на прикладном, системном и сетевом уровнях, система может нацелиться на какую-либо деятельность на любом или на всех уровнях.
• Довольно легко просмотреть шаблоны атак с течением времени и через сетевое пространство; это является очень важным при анализе повреждений и восстановлении системы; это также помогает в исследовании инцидента и организации судебных разбирательств (например, возбуждение уголовного дела).

Недостатки:

• Отсутствуют промышленные стандарты, касающиеся возможности взаимодействия отдельных компонентов обнаружения атак; таким образом, трудно или невозможно объединить компоненты от разных продавцов.
• Более трудно осуществлять управление и эксплуатацию интегрированных систем.

Время сбора и анализа информации

Как только определены места установки агентов системы обнаружения атак, наибольший интерес представляет время сбора и анализ информации.

Пакетно-ориентированные или интервальные методы (Batch or Interval Oriented)

В пакетно-ориентированных (также называемых интервально-ориентированными) подходах, механизмы аудита ОС или другие агенты системного уровня регистрируют информацию о каждом событии в файлах, и система обнаружения атак периодически анализирует эти файлы на предмет атак или злоупотреблений.

Достоинства:

• Эти подходы хорошо подходят для сетевых сред, в которых уровни риска атак являются низкими и потери от одной атаки являются существенными (например, финансовые институты). В таких средах пользователи часто более заинтересованы в объяснении этих проблем, чем в немедленном реагировании на подозрительные инциденты. В такой ситуации пакетно-ориентированный анализ, вероятно, объединен с другим исследовательским процессом для того, чтобы идентифицировать человека, ответственного за инцидент и начать судебное разбирательство инцидента в суде.
• Схемы анализа в пакетном режиме оказывают меньшую нагрузку на системы, чем анализ в реальном масштабе времени, особенно, когда интервалы сбора являются короткими и объемы собираемых данных соответственно небольшими.
• Анализ и сбор информации в пакетно-ориентированном подходе особенно хорошо подходит для организаций, в которых людские и системные ресурсы ограничены. Организации, у которых нет постоянного персонала, отвечающего за безопасность, возможно, найдут, что сигналы тревоги в реальном масштабе времени, генерируемые системами обнаружения атак, не нужны. При таких обстоятельствах нет смысла терпеть нагрузку от обработки данных, связанную с сигналами тревоги и анализом в реальном масштабе времени
• Атаки на компьютерные системы часто включают повторяющиеся атаки на те же самые цели. Например, хакер может войти в систему благодаря атаке, связанной со подбором пароля, затем инсталлировать троянского коня для того, чтобы возвратиться позже и продолжить атаку. Анализ в пакетном режиме может, как правило, распознавать такие атаки.
• Многие современные легальные методы, связанные со сбором информации о компьютерном преступлении, были разработаны на основе ручного анализа и сбора информации в пакетном режиме.

Таким образом, возможно, гораздо легче рассмотреть в качестве доказательств системные журналы регистрации, собранные и обработанные в пакетном режиме.

Недостатки анализа в пакетном режиме:

• Пользователи будут редко наблюдать инциденты до того, как они завершатся.
• Таким образом, фактически нет возможности активного учета инцидентов по мере того, как они происходят, в попытке свести повреждения к минимуму.
• Сбор информации при анализе в пакетном режиме требует наличия большого дискового пространства у системы, производящей анализ. В результате в случае промышленных сетей это может привести к громадному количеству данных.

Реальный масштаб времени

Системы, работающие в реальном масштабе времени, обеспечивают сбор и анализ информации, а также генерацию отчетов (с возможными вариантами реагирования) на постоянной основе. Термин "реальный масштаб времени" используется здесь также как и в системах управления процессами; т.е. процесс обнаружения происходит достаточно быстро и можно успеть предотвратить атаку. Заметим, что, несмотря на то, что это определение применимо к системам, которые затрачивают миллисекунды на проведение анализа, оно также может описывать более медлительные системы. Системы, работающие в реальном масштабе времени, предоставляют широкий диапазон сигналов тревоги в реальном масштабе времени (многие поддерживают внесистемные механизмы генерации сигналов тревоги, такие как e-mail, пейджеры и посылка сообщений на телефон), а также автоматически реагируют на атаки. Типовые варианты реагирования изменяются от самого простого уведомления до высокочувствительного мониторинга, отключения сетевого соединения от источника атаки или изменения настроек системы с целью минимизации повреждения.

Достоинства:

• В зависимости от скорости анализа атаки могут обнаруживаться достаточно быстро, что позволяет системным администраторам своевременно прервать их.
• В зависимости от скорости и точности анализа системные администраторы могут довольно быстро провести обработку инцидента (с целью восстановления нарушенных характеристик системы).
• В случаях, которые имеют место на системах, которые допускают возможность уголовного преследования, системные администраторы могут собрать информацию, которая позволит им осуществить эффективную идентификацию и преследование нарушителей.

Недостатки:

• Данные анализа в отличие от post facto-систем стремятся потреблять как можно больше памяти и вычислительных ресурсов.
• Имеются серьезные проблемы, связанные с автоматическими реакциями, которые пытаются нанести вред атакующим системам; эта черта присуща некоторым системам, работающим в реальном масштабе времени.
• Наиболее важной является конфигурация систем, работающих в реальном масштабе времени; плохо сформированная система может сгенерить так много ложных сигналов тревоги, что реальная атака пройдет незамеченной.

Место анализа

В том, что касается датчиков, функции анализа могут выполняться на сетевом и системном уровнях, или на обоих уровнях сразу. Проведение анализа строго на системном уровне имеет преимущество в том, что сводится к минимуму нагрузка на сеть. Однако также есть и недостаток, который заключается в том, что невозможно обнаруживать широкий диапазон атак, нацеленных на сеть (например, хакер последовательно прыгает по сети, проводя атаки типа "подбор пароля" против каждого хоста).

Объединение необработанных (raw) данных и процесса проведения анализа строго на сетевом уровне (в случае систем с датчиками, как на сетевом, так и на системном уровнях) предлагает возможность обнаружения атак, которые охватывают более чем один хост в сети. Недостаток этого подхода заключается в том, что сетевая нагрузка, связанная с передачей необработанной информации к модулям анализа может быть велика.

В том, что касается местоположения датчика, оптимальной стратегией является стратегия, при которой анализ осуществляется как на сетевом, так и на системном уровнях. Анализ, осуществляемый на системном уровне, может быть простым или сложным в зависимости от природы поступающей информации, генерируемой датчиком на данном хосте или сигнатуре, с которой эта информация согласуется. Анализ на сетевом уровне может использовать результаты от анализа на системном уровне и использовать их для обнаружения признаков атаки на сеть или подозрительной деятельности без оказания большой нагрузки на сеть. Более того, в крупных сетях, подход такого типа может использоваться иерархически. То есть группы хостов могут генерить данные для модуля анализа на сетевом уровне, который, в свою очередь, передает собственные результаты другому модулю анализа, который собирает результаты от большого количества других модулей анализа на сетевом уровне и т.д. Эта иерархическая структура позволяет продуктам обнаружения атак успешно работать даже в очень крупных организациях.

Типы анализа

Анализ сигнатур

Сигнатуры - это шаблоны, соответствующие известным атакам или злоупотреблениям в системах. Они могут быть простыми (строка знаков, соответствующая поиску отдельного условия или команды) или сложными (изменение состояния защиты, записанное как формальное математическое выражение).

Анализ сигнатуры представляет собой проверку соответствия настроек системы и активности пользователя с базой данных известных атак и уязвимостей. Большинство коммерческих продуктов обнаружения атак проводят анализ сигнатур в сравнении с базой данных известных атак, поставляемой продавцом. Дополнительные сигнатуры, установленные клиентом, также могут быть добавлены как часть процесса конфигурации системы обнаружения атак. Большинство продавцов также проводят периодические обновления базы данных сигнатур, как часть соглашений по проведению технического обслуживанию программного обеспечения.

Достоинство анализа сигнатур заключается в том, что он позволяет сенсорам собирать компактный (узкий) набор системных данных, снижая, таким образом, загруженность системы.

Если база данных сигнатур атак не является чрезвычайно большой (скажем, сотни тысяч или миллионы сложных сигнатур), анализ сигнатур является более эффективным, чем статистический анализ из-за отсутствия плавающей точки вычислений.

Статистический анализ

Статистический анализ находит отклонения от обычных шаблонов, характерных для нормального режима работы. Эту характеристику, наиболее распространенную в исследовательских настройках, можно найти во многих коммерческих продуктах обнаружения атак. Статистические профили создаются для системных объектов (например, пользователи, файлы, директории, устройства и т.д.) путем измерения различных атрибутов нормального использования (например, количество входов в систему, количество отказов в доступе, время суток и т.д.). Средние частоты и величины переменных вычисляются для каждого типа обычного использования. О возможных атаках сообщается, когда наблюдаемые значения выпадают из нормального диапазона. Например, статистический анализ должен сигнализировать о необычном событии, если зарегистрированный пользователь, который никогда ранее не входил в сеть в нерабочее время (от 8 часов утра до 6 часов вечера), вдруг вошел в систему в 2 часа ночи.

Достоинства статистического анализа:

• Система может обнаруживать, таким образом, неизвестные атаки.
• Статистические методы могут позволять обнаруживать более сложные атаки, такие, которые имеют место в течение довольно протяженных периодов времени.

Недостатки статистического анализа (в настоящее время):

• Противнику сравнительно легко обмануть детектор и он воспримет деятельность, соответствующую атаке, в качестве нормальной из-за последовательного изменения режима работы с течением времени.
• В статистических детекторах вероятность получения ложных сообщений об атаке является гораздо более высокой, чем в сигнатурных системах.
• Статистические детекторы не очень хорошо обрабатывают изменения в деятельности пользователя (например, когда менеджер исполняет обязанности подчиненного в критической ситуации). Этот недостаток может представлять большую проблему в организациях, где изменения являются частыми. В результате это может привести как к ложным сообщениям об опасности, так и к ложным отрицательным сообщениям (пропущенным атакам).

Контроль целостности

Контроль целостности фокусируется на некотором аспекте или виде файла, объекта, который был изменен. Это часто затрагивает атрибуты файла и директории, содержание и потоки данных. Анализ целостности часто использует сильные криптографические механизмы, называемые message digest (или hash) algorithms, которые могут распознавать даже незначительные изменения.

Достоинства:

• Любая успешная атака, при которой были изменены файлы, даже если использовались rootkits или перехватчики сетевых пакетов, будет определяться независимо от того, использовался ли для определения атаки анализ сигнатур или статистический анализ.

Недостатки:

• Поскольку современные реализации этого подхода стремятся работать в пакетном (batch)-режиме, они приводят к реагированию на атаки не в реальном масштабе времени.

Реакции при обнаружении атаки или злоупотреблении

Некоторые системы обнаружения атак сетевого уровня позволяют устанавливать желаемую реакцию на обнаруженную проблему. Эта характеристика привлекает внимание многих людей, работающих в области управления защитой, особенно из-за увеличения частоты атак типа "отказ в обслуживании".

Изменения сетевой среды

Типичная реакция на обнаруженную сетевую атаку заключается в том, чтобы предпринять шаги для изменения сетевой среды (окружения) системы после атаки. Это изменение может состоять из завершения соединения, используемого хакером, и реконфигурации сетевых устройств для блокировки дальнейшего доступа к сайту с того же самого адреса источника. Механизмы реагирования предназначены для того, чтобы позволить системным администраторам активно действовать в рамках их полномочий для сведения к минимуму повреждений, связанных с обнаруженной атакой.

Несмотря на то, что это наиболее популярная тема всех дискуссий, потери, наносимые источником атаки, являются болезненными с этой точки зрения. Протокол TCP/IP, основа Internet-соединений, допускает подмену пакетов источника адресации; таким образом, возмездие против предполагаемого источника атаки может в действительности нанести вред непричастной к событию стороне, чьи IP-адреса были подделаны для атаки.

Другая ценная характеристика системы обнаружения атак заключается в изучении информационных ресурсов путем установки агентов и механизмов аудита для сбора большего количества информации о подозрительном соединении. Это также может включать сбор информации, которая позволяет воспроизвести атаку. Эта реакция позволяет системному администратору собирать информацию, которая поддерживает наиболее точные сведения о намерениях хакера. Она также позволяет собирать информацию, которая, возможно, поможет организовать уголовное расследование или какое-либо другое разбирательство при идентификации тех, кто является ответственным за атаку.

Проверка достоверности

Квалифицированные злоумышленники будут пытаться нацелиться на сенсоры системы обнаружения атак или модули анализа. В этом случае является уместной реакция на достоверность, при которой датчики и/или модули анализа опрашиваются по очереди для того, чтобы определить продолжают ли они работать правильно.

Уведомление в реальном масштабе времени

Наконец, большинство систем, работающих в реальном масштабе времени, позволяют системному администратору выбрать широкий ряд механизмов сигнализирования о тревогах для того, чтобы уведомлять ответственных лиц об обнаруженных атаках. Сигналы тревоги могут уведомлять персонал, отвечающий за защиту по e-mail, по пейджеру, мгновенно посылая сообщения с появлением информации о проблеме на консоли. Сообщение на консоль является стандартным, кроме того, многие системы допускают широкий ряд визуальных и аудио-сигналов, как часть сигнала тревоги.

Вопросы эксплуатации и управления

Покупатели требуют гибкости в адаптации систем обнаружения атак для своих собственных сетевых сред. Следующие характеристики помогут использовать эти продукты для конкретных нужд.

Конфигурация

Невозможно найти две совершенно одинаковые организации. Каждая организация имеет различные системы защиты и управления, связанные с заданием политики безопасности, с различными наборами аппаратных и программных средств, включенных в сетевое окружение их систем, с различными платформами, с различными группами пользователей и функциональными политиками. Таким образом, первая проблема, стоящая перед покупателем, который приобретает систему обнаружения атак, это - инсталляция и установка системы.

Много продуктов, особенно те, что предназначены для работы в Windows NT-средах, поставляются с ясными, краткими указаниями, включая документацию по инсталляции. Однако конфигурация этих продуктов по-прежнему представляет собой трудоемкий процесс.

Подсистема управления аудитом

Продукты, которые включают агенты системного уровня, обычно используют механизмы аудита ОС. Эти продукты предлагают более совершенные интерфейсы пользователя для органов управления аудитом ОС, что позволяет пользователям конкретизировать какую информацию и каким образом собирать.

Генерация отчетов

Одно из преимуществ систем обнаружения атак заключается в наглядности проводимых действий в процессе управления защитой системы. Ключ к наглядности этих проводимых действий (например, для менеджмента верхнего звена, внутренних аудиторов и персонала) заключается в документировании обнаруженных проблем.

Большинство средств обнаружения атак имеют возможность легко генерировать отчеты; многие предлагают возможность экспорта отчета с данными в базы данных для последующего анализа и архивации. Многие системы предлагают многочисленные места хранения отчетов (например, на жестком диске, экране и в HTML-формате), с характеристиками, позволяющими пользователю генерировать отчеты с различной степенью детализации в зависимости от того, кому предназначен отчет.

Управление

Как только продукт обнаружения атак сконфигурирован для данного сетевого окружения системы, следующий этап - это реальный запуск системы. Элементарные функции управления включают запуск и останов системы, установку расписания запуска проверок, при котором определенные виды деятельности должны иметь место, и установка того, какие сигналы тревоги должны подаваться. При выполнении функций управления возникает другой важный момент: защита и надежность самой системы обнаружения атак. Один из путей решения этой проблемы - требование аутентификации до того, как система начнет реагировать на команды управления и конфигурации. Это снижает риск того, что противник получит доступ к системе и скомпрометирует ее.

Доказательство достоверности

В некоторых случаях системы обнаружения атак используются для того, чтобы убедиться в правильности функционирования других частей инфраструктуры защиты (например, МСЭ). В этом доказательстве достоверности, система обнаружения атак анализирует информацию как из внутренней, так и из внешней области, охватывающей рассматриваемый механизм защиты, и затем сравнивает результаты. Механизм признается достоверным, когда система обнаружения атак предоставляет доказательства того, что атака (ощущаемая на наружной стороне) блокируется механизмом (и, следовательно, она не чувствуется внутри). Системы анализа защищенности часто используются как часть этого процесса подтверждения достоверности, и они функционируют синхронно с системами обнаружения атак.

Целостность системы

При заданной роли систем обнаружения атак и чувствительности информации, которую они иногда содержат, разработчики системы обратили большое внимание на средства анализа, необходимые для защиты самой системы. Стандартная стратегия хакеров заключается в том, чтобы определить, какие механизмы защиты установлены и затем предпринять шаги для их дискредитации и обмана. Таким образом, можно предположить (допустить), что системы обнаружения атак будут работать во враждебном сетевом окружении. Соответственно, многие характеристики включены в системы с целью свести к минимуму изменения, которые система успешно отражает или, что еще хуже, которые будут использованы в качестве стартовой площадки для атаки.

Некоторые продавцы предоставляют встроенные механизмы лицензирования, которые позволяют только уполномоченным клиентам использовать систему обнаружения атак. Это снижает риск того, что если ПО украдено у покупателя или продавца, противник смог бы использовать его для мониторинга других машин или для зондирования их на уязвимости.

Другая стратегия защиты использует усиленное шифрование для обеспечения защиты каналов связи между сенсорами, модулями анализа и консолями управления. Это снижает риск того, что противник может перехватить выходные данные датчика для конкретной системы с тем, чтобы удалить или модифицировать данные о своей несанкционированной деятельности.

Некоторые продавцы используют цифровые сигнатуры и алгоритмы хэширования для защиты обновлений базы данных сигнатур от подделки противниками. Это позволяет осуществить распределение новых сигнатур атак, чувствительных ко времени, среди покупателей без риска повреждения.

Другие характеристики

Некоторые продавцы предлагают ПО сервера-ловушки для того, чтобы допустить более точную характеризацию уровней угрозы для сетевого окружения системы покупателя. Сервер-ловушка - это как раз тот самый сервер, основная задача которого заключается в том, чтобы привлечь внимание хакера. Он оборудован чувствительными агентами, которые собирают информацию о местоположении хакера, пути атаки и свойствах атаки. Сервер-ловушка собирает и записывает эту информацию в надежное место. Некоторые decoy-серверы также предоставляют характеристики, которые создают "тюремные" условия, в которых хакер сбивается с направления - условия, при которых атаки не могут нанести ущерба операционным системам.