Файл: Виды и состав угроз информационной безопасности (Модуль слежения).pdf
Добавлен: 23.05.2023
Просмотров: 101
Скачиваний: 3
СОДЕРЖАНИЕ
1.1. Классификация Питера Мелла
1.2. Классификация Internet Security Systems
1.4. Классификация Милославской и Толстого
2. Технологии обнаружения атак
2.1. Методы анализа сетевой информации
2.2. Классификация систем обнаружения атак IDS
2.2.1. Классификация по способу реагирования
2.2.2. Классификация по способу выявления атаки
2.2.3. Классификация по способу сбора информации об атаке
2.2.4. Классификация по методу анализа информации
2.3. Компоненты и архитектура IDS
2.3.2. Подсистема обнаружения атак
2.3.6. Подсистема реагирования
2.3.7. Подсистема управления компонентами
Введение
Системы выявления признаков компьютерных атак и обнаружения сетевых вторжений для информационных систем уже давно применяются в качестве ключевого из необходимых рубежей обороны информационных систем. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия, как защита по периметру, динамическая и стационарная защита. Помимо этого, стали появляться собственные термины, такие как, например, проактивные средства защиты.
Исследования в области обнаружения атак на компьютерные системы и сети по большому счету ведутся за рубежом уже более 25 лет: исследуются признаки атак, а также эксплуатируются и разрабатываются средства и методы обнаружения попыток несанкционированного проникновения через системы межсетевой и локальной защиты — на физическом и логическом уровнях. На самом деле сюда можно отнести в том числе исследования в области побочных электромагнитных излучений и наводок, так как электромагнитный тамперинг имеет свои прямые аналоги в уже ставшей обычной для рядового компьютерного пользователя сетевой среде. На российском рынке широко представлены коммерческие системы обнаружения атак и вторжений от иностранных компаний, таких как NetPatrol, ISS RealSecure, Cisco, Snort и другие, и в тоже время практически не представлены комплексные решения от разработчиков из России. Данный аспект вызван тем, что многие отечественные разработчики и исследователи реализуют системы обнаружения атак с сохранением аналогии типовых решений и архитектур уже известных систем, не стараясь особенно увеличить эффективность превентивного обнаружения атак и алгоритмов реагирования на них. Конкурентные преимущества в данном сегменте российского рынка достигаются обычно за счет существенного снижения цены и надежд на стремление покупателей к поддержке отечественного производителя.
На сегодняшний день системы обнаружения атак и вторжений обычно являются аппаратно-программными или программными решениями, которые автоматизируют процесс контроля протекающих в компьютерной сети или системе событий, а также самостоятельно анализируют данные события с целью поиска признаков проблем безопасности. Так как количество различных способов и типов организации несанкционированных проникновений в чужие компьютерные сети за последние годы значительно увеличилось, системы обнаружения атак стали необходимым компонентом инфраструктуры безопасности большинства организаций. Этому способствует огромное количество литературы по данному вопросу, которую потенциальные злоумышленники внимательно изучают, а также все более изощренные методы и сложные подходы к обнаружению попыток взлома информационных систем.
Современные системы обнаружения вторжений имеют различную архитектуру. Классификации систем обнаружения атак следует уделить отдельное внимание, так как часто используя общепринятую классификацию систем обнаружения атак, специалисты принимают решение о том, какой из программных продуктов применить в той или иной ситуации.
На данный момент существует деление всех систем на локальные и сетевые. Локальные системы обнаружения атак размещаются на отдельных нуждающихся в защите компьютерах и анализируют различные события, такие как программные вызовы или действия пользователя. Сетевые системы обычно устанавливаются на выделенных для этих целей компьютерах для анализа трафика, циркулирующего в локальной вычислительной сети. Также различают методики обнаружения злоумышленного и аномального поведения пользователей.
Системы обнаружения аномального поведения основаны на том, что системы обнаружения атак известны некоторые признаки, которые характеризуют допустимое или правильное поведение объекта наблюдения. Под правильным или нормальным поведением понимаются действия, которые не противоречат политике безопасности и выполняются объектом. Системы обнаружения злоумышленного поведения основаны на том, что заранее известны некоторые признаки, которые характеризуют поведение злоумышленника. Экспертные системы являются наиболее распространенной реализацией технологии обнаружения злоумышленного поведения.
Целью данной работы является изучение разновидностей видов и угроз информационной безопасности и методов борьбы с ними.
Объектом исследования является понятие угроз безопасности в целом, предметом исследования – технологии обнаружения данных угроз.
В рамках исследования рассмотрены задачи:
- рассмотрение классификации сетевых атак;
- изучение методов обнаружения сетевых атак;
- классификация систем обнаружения атак;
- обзор методов реагирования на атаки.
1. Классификация сетевых атак
Эффективная защита от потенциальных сетевых атак невозможна без их детальной классификации, которая облегчает задачу противодействия им и их выявление. На сегодняшний день известно большое количество различных типов классификационных признаков. В качестве таких признаков может быть выбрано, например, разделение на активные и пассивные, внутренние и внешние атаки, неумышленные и умышленные и другие подобные классификации. К сожалению, несмотря на мало применимость на практике некоторых из существующих классификаций, они активно используются при выборе системы обнаружения атак и их эксплуатации[1] [1].
1.1. Классификация Питера Мелла
Рассмотрение существующих классификаций стоит начать с работы Питера Мелла под названием: «Компьютерные атаки: что это и как им противостоять». В этой работе все возможные сетевые атаки делятся на следующие типы:
- удаленное проникновение представляет собой тип атак, позволяющих реализовать удаленное управление компьютером через сеть; в качестве примеров можно привести атаки с использованием программ BackOrifice или NetBus;
- локальное проникновение является типом атак, приводящих к получению несанкционированного доступа к узлу, на который они направлены; в качестве примера можно привести атаку с использованием программы GetAdmin;
- удаленный отказ в обслуживании является типом атак, позволяющим нарушить функционирование системы в рамках глобальной сети; в качестве примеров можно привести атаки trinOO или Teardrop;
- локальный отказ в обслуживании является типом атак, позволяющим нарушить функционирование системы в рамках локальной сети. Примером такой атаки является запуск и внедрение враждебной программы, загружающей центральный процессор бесконечным циклом, приводящим к невозможности обработки запросов других приложений;
- атаки с использованием сетевых сканеров являются типом атак, которые основаны на использовании сетевых сканеров, представляющих собой программы, анализирующие топологию сети и обнаруживающих доступные для атаки сервисы; в качестве примеров можно привести атаку с использованием утилиты nmap;
- атаки с использованием сканеров уязвимостей являются типом атак, которые основаны на использовании сканеров уязвимостей, представляющих собой программы, осуществляющие поиск уязвимостей на узлах сети, которые в дальнейшем могут быть применены для реализации сетевых атак; в качестве примеров сетевых сканеров можно привести системы Shadow Security Scanner и SATAN;
- атаки с использованием взломщиков паролей являются типом атак, которые основаны на использовании взломщиков паролей, представляющих собой программы, подбирающие пароли пользователей; например, программа Crack для ОС Unix или программа LOphtCrack для ОС Windows;
- атаки с использованием анализаторов протоколов являются типом атак, которые основаны на использовании анализаторов протоколов, представляющих собой программы, «прослушивающие» сетевой трафик. С их помощью можно автоматизировать поиск в сетевом трафике такой информации, как информацию о кредитных картах, идентификаторы и пароли пользователей и другие подобные данные. В качестве примерамов анализаторов сетевых протоколов можно привести программы NetXRay компании Network Associates, Microsoft Network Monitor или Lan Explorer[2].
Данная классификация с практической точки зрения является достаточно полной, так как она охватывает почти все возможные действия злоумышленника. Но для противодействия сетевым атакам этой классификации недостаточно, за счет того, что ее использование в данном виде не позволяет определять элементы сети, которые подвержены воздействию той или иной атаки, а также последствия, к которым может привести успешная реализация атак. В этом случае в анализ не включается самый важный компонент, который является моделью угроз безопасности, с построения которой должны начинаться все мероприятия по обеспечению защиты информации[3] [1].
1.2. Классификация Internet Security Systems
Аналогичным классификации Питера Мелла недостатком страдает и более компактная классификация, которая предложена компанией IBM Internet Security Systems, Inc., содержащая всего лишь пять типов атак:
- попытки несанкционированного доступа;
- сбор информации;
- системные атаки;
- подозрительная активность;
- отказ в обслуживании [4].
В своих продуктах, предназначенных для защиты серверов, сетей, и рабочих станций (таких как, к примеру, System scanner, Real Secure и другие подобыне) компания IBM Internet Security Systems использует несколько других классификационных признаков возможных сетевых атак, более эффективных с точки зрения защиты от вторжений. Опишем их подробнее.
- Классификация по степени риска имеет большое практическое значение, за счет возможности ранжирования опасностей атак по таким классам, как:
- высокий класс, при котором, успешная реализация атаки позволяет атакующему немедленно получить права администратора, доступ к машине или обойти межсетевые экраны. В качестве примеров можно привести атаку, которая основана на использовании ошибки в программном обеспечении Sendmail и позволяет атакующему исполнять любую команду на сервере;
- средний класс, при котором успешная реализация атаки потенциально может дать атакующему доступ к машине. В качестве примеров можно привести ошибки в сервере NIS, которые позволяют атакующему получить файл с гостевым паролем;
- низкий класс, при котором успешная реализации атаки даст атакующему возможность получить облегчающие задачу взлома сведения. В качестве примеров можно привести использование сервиса finger, с помощью которого атакующий может определить список пользователей сервера и попытаться получить доступ к машине с использованием атаки по словарю.
- Классификация по типу атаки позволяет судить о том, может ли атака быть осуществлена только локально или удаленно:
- осуществляемые удаленно;
- осуществляемые локально;
- Классификация по подверженному данной атаке программному обеспечению. Например: Microsoft Internet Explorer.
Кроме того, существует классификация по характеру используемых в атаке действий:
- "черные ходы" — атаки, которые основаны на использовании недокументированных разработчиками возможностях программного обеспечения, имеющих возможность приведения к выполнению пользователем несанкционированных операций на атакуемом сервере;
- атаки типа "отказ в обслуживании" — атаки, которые основаны на использовании ошибок, позволяющих атакующему сделать какой-либо сервер недоступным для легитимных пользователей;
- распределенные атаки типа "отказ в обслуживании", при которых несколько программ или пользователей посылают большое количество фиктивных запросов на сервер, приводя его тем самым в нерабочее состояние;
- неавторизованный доступ;
- потенциально незащищенная операционная система[5].
К недостаткам данных классификационных признаков можно отнести то, что они не позволяют описать цель и последствия атаки. К примеру, классификационный признак по характеру действий содержит два класса атак типа «отказ в обслуживании», но вместе с тем не содержит классов, описывающих атаки, направленные на перехват трафика[6] [1, 2].
1.3. Классификация Nessus
В классификации, использованной в известном программном продукте Nessus, который предназначен для анализа безопасности серверов, был применен отличный от предыдущих классификаций подход. В нем используется классификация "по характеру уязвимости", где берется используемая для реализации атаки уязвимость:
- ошибки в CGI скриптах;
- "черные ходы";
- ошибки в программах — FTP-серверах;
- атаки типа "отказ в обслуживании";
- ошибки в реализации межсетевых экранов;
- наличие на компьютере сервиса Finger или ошибки в реализующих этот сервис программах;
- ошибки, которые позволяют атакующему удаленно получить права администратора;
- ошибки, которые позволяют имеющему терминальный вход на сервер пользователю получить права администратора;
- уязвимости, которые позволяют атакующему удаленно получить любой файл с сервера;
- ошибки в программах — SMTP-серверах;
- ошибки в программах — RPC-серверах;
- ошибки в программах — NIS-серверах;
- неиспользуемые сервисы
- не вошедшие в другие категории прочие ошибки.
Кроме того, по типу программной среды они подразделяются на: