Файл: Современные технические средства выявления инцидентов информационной безопасности.pdf

Классификация систем обнаружения вторжений

Существует несколько видов систем обнаружения вторжения. Рассмотрим виды систем IDS по способу мониторинга и по методам выявления атак. По способу мониторинга выделяют системы NIDS и HIDS.

NIDS

Под системами вида NIDS понимаются системы обнаружения вторжений уровня сети, которые мониторят всю информационную сеть. Если правильно расположить систему, то можно просматривать и анализировать работу довольно большой сети.

Такие системы просматривают все пакеты, поступающие в систему, без выбора. При этом параметры входящих пакетов сравниваются с параметрами предыдущих вторжений и с данными, заложенными в систему. Если система считает вхождение атакой, то она дает знать об этом пользователю.

При использовании таких систем стоит помнить о том, что они работают со всеми входящими запросами и если у вас большая сеть и большой входной поток, то система может просто не справится или пропустить из виду некоторую угрозу.

NIDS относятся к пассивным технологиям, поэтому их просто внедрять в новые топологии сетей. Они не принесут сбой в функционирование сети. В отличие от IDS IPS систем обнаружения и предотвращения вторжений, NIDS только регистрируют атаку, делают о ней запись и оповещают пользователя.

Большим минусом NIDS является, то что они не распознают зашифрованные данные. Это может привести к тому, что злоумышленники используют шифрованные данные для нанесения вреда, а система не сможет их увидеть.

К минусу также можно отнести неспособность системы увидеть саму атаку, то есть конкретно что произошло. Системы такого вида могут только оповестить вас о том, что несанкционированное действие случилось. И в таком случае пользователю, ответственному за работу такой системы, необходимо просмотреть все случаи и найти неполадки.

Еще одним недостатком является то, что система данного вида не распознает атаки фрагментированных пакетов. Такие атаки могут нарушить не только работу сети организации, но и самой системы NIDS. А если она выйдет из сбоя, то у вас можно будет «забрать» все что угодно.

HIDS

Системы данного вида просматривают только определенный компьютер. Они наблюдают за работой системы в целом, просматривая системные файлы и операционную систему. HIDS сканирует файлы, сопоставляя их с более ранней версией. При наблюдении изменений (удаления, изменения информации в системных файлах) система сразу сообщает о проблеме пользователю.

Большим плюсом является устойчивость систем обнаружения вторжений такого вида к шифрованному трафику. Это осуществляется за счет того, что данные, расположенные на компьютере, создаются перед процессом шифрования или после дешифровки.

Недостатком систем является то, что их очень просто можно заблокировать с помощью DoS атак. Это получается за счет того, что HIDS расположена на том же компьютере, который подвергается атаке. То есть атаке подлежит и сама система HIDS, что приводит к ее сбою.

К недостаткам также можно отнести то, что HIDS уменьшает эффективность работы самого компьютера, так как размещена на нем и на ее работу компьютер затрачивает определенные ресурсы.

IDS системы обнаружения вторжений атаки угроз различаются по методам выявления атак.

Системы, анализирующие сигнатуру. Если система использует такой метод, то ее анализ складывается на сравнении пакетов данных с прописанными видами атак. Достаточно эффективный метод, так как случаев ошибок или обнаружения ложных вторжений практически не выдает. Только правдивая информация.

Системы, использующие метод аномалий. Такие системы мониторят как компьютер, так и сеть. При этом изначально записывается нормальное поведение обоих, а затем система при работе сравнивает произошедшие события с нормальными и при отклонении реагирует, выдавая сообщения администратору. Плюсом является то, что не требуется хранить все сигнатуры атак, но минусом является большая вероятность распознавание системой правомерных действий за несанкционированные.

Системы, использующие метод политик. В данном случае в системе прописываются правила безопасности сети, то есть то с какими сетями можно работать, какие протокола являются безопасными для работы и т. д. Довольно надежные системы, но минусом является сложность заполнения базы данных с правилами.

Требования к системам обнаружения вторжений ФСТЭК

В нашей стране Федеральной службой по техническому и экспортному контролю (ФСТЭК) разработаны метод документы с требованиями к системам обнаружения вторжений.

Согласно информационному письму об утверждении требований к системам обнаружения вторжений, требования относятся к программным и аппаратным средствам, которые должны обеспечить защиту данных и информации, относящейся к гос. тайне и имеющей ограниченный доступ.

Выделяют два вида систем:

распознающие атаку на уровне сети,

распознающие сторонние вхождения на уровне компьютера (узла).

Разделение идет и на классы защиты. Из всего 6. Класс 1 является наивысшим и содержит требования к работе систем с данными, относящимися к гос. тайне. Класс 6 — самый низкий, к нему относятся системы, работающие с персональными данными.

Разработчикам систем обнаружения вторжений ФСТЭК выдает сертификат соответствия, в котором прописывается то, что разработанное программное обеспечение или средство прошло испытания и соответствует необходимым требованиям.

Примеры:

ALTELL NEO

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO, лежит открытая технология Suricata, дорабатываемая в соответствии с нашими задачами. В отличие от IDS/IPS Snort, применяемой остальными разработчиками, используемая нами система обладает рядом преимуществ, например, позволяет использовать GPU в режиме IDS, обладает более продвинутой системой IPS, поддерживает многозадачность (что обеспечивает более высокую производительность), и многое другое, в том числе полная поддержка формата правил Snort.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит 2-3 раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение функций IDS и IPS происходит на выбранном администратором интерфейсе устройства — одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функциональное отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Правила безопасности разрабатываются и совершенствуются сообществом Emerging Threats и основаны на многолетнем совместном опыте экспертов в области защиты от сетевых атак. Обновление правил происходит автоматически по защищенному каналу (для этого в ALTELL NEO должно быть настроено подключение к Интернету). Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов — от 1 до 3, при этом приоритет «1» является высоким, приоритет «2» — средним, приоритет «3» — низким.

В соответствии с данными приоритетами может быть назначено действие, которое будет выполнять система обнаружения и предотвращения вторжений ALTELL NEO в режиме реального времени при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть следующим:

Alert (режим IDS) — трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил;

Drop (режим IPS) — анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение;

Reject (режим IPS) — в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение;

Pass (режим IDS и IPS) — в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчёты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в централизованной системе управления ALTELL NEO собственной разработки, которая собирает исходные данные (alert’ы) с одного или нескольких устройств ALTELL NEO.

 Назначение и область применения

Программный комплекс «Ребус-СОВ» предназначен для обнаружения и (или) блокирования угроз безопасности информации, относящихся к вторжениям (преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации)):

со стороны внешних нарушителей из информационно-телекоммуникационных сетей;

со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе.

Программный комплекс «Ребус-СОВ» может использоваться на объектах вычислительной техники в качестве элемента системы защиты информации информационных систем, функционирующих на базе вычислительных сетей, и обрабатывающих государственную тайну и (или) конфиденциальную информацию, включая персональные данные.

 Состав:

«Консоль управления СОВ»;

«Сервер СОВ»;

«Агент СОВ»;

«Средство сбора данных и обнаружения вторжений»;

«Средство противодействия вторжениям».

Основные технические характеристики комплекса:

способы обнаружения вторжений: анализ сетевого трафика; анализ статистики сетевого трафика; контроль состава ЛВС; анализ журналов аудита ОС и ПО; анализ журналов аудита АПКЗИ «Ребус-М»;

способы противодействия вторжениям: блокировка станции; блокировка сетевого трафика; управление межсетевым экраном;

функционирование комплекса как на уровне сети, так и на уровне узла;

полное соответствие требованиям руководящих документов ФСТЭК России;

поддержка операционных систем Microsoft Windows, МСВС 3.0/5.0, Astra Linux Special Edition;

возможность функционирования в гетерогенных сетях;

возможность гибкой настройки автоматической реакции на вторжения;

расширяемая схема, позволяющая подключать дополнительные модули сбора данных и их анализа, а также реагирования, непосредственно на объекте без модификации исполняемых модулей изделия;

возможность использования комплекса на технических средствах, существующих на объектах.

 Функциональные возможности

Программный комплекс «Ребус-СОВ» позволяет решать следующие задачи:

обнаружение вторжений в информационной системе;

регистрация обнаруженных вторжений;

анализ обнаруженных вторжений;

реагирование на обнаруженные вторжения;

контроль состояния СОВ; учет специфики контролируемой информационной системы;

управление доступом к данным и функциям СОВ.

Для решения указанных задач ПК «Ребус-СОВ» выполняет следующие функции:

обнаружение вторжений на основе анализа сетевого трафика, проходящего через контролируемый узел информационной системы (станцию), в режиме, близком к реальному масштабу времени (сигнатурный анализ, статистический анализ, контроль состава локальной вычислительной сети);

обнаружение вторжений на основе сигнатурного анализа журналов аудита операционной системы и прикладного программного обеспечения;

обнаружение вторжений на основе анализа журналов аудита «Модернизированный аппаратно-программный комплекс защиты информации (АПКЗИ «Ребус-М»)»;

контроль нештатных сетевых подключений на узлах и в сети;

оперативное отображение информации о вторжениях, обнаруженных на контролируемых станциях;

оперативное реагирование на выявленные вторжения в ручном и автоматическом режиме;

отображение состояния агентских станций;

визуализацию собранной статистики о вторжениях;

централизованное управление блокировкой станций и сетевого трафика;

формирование отчетов c возможностью фильтрации выводимой информации.

Wireless IDS — это инструмент с открытым исходным кодом, который написан на Python и работает в окружении Linux. Этот инструмент будет сниффить окружающий вас воздушный трафик на подозрительную активность, такую как пакеты атаки WEP/WPA/WPS. Он делает следующее:

Выявляет отправку массовой необоснованной деатуентификации клиентам / точкам доступа, что может быть индикатором возможной WPA атаки в целях получения рукопожатий.

Продолжительную отправку данных точке доступа с использованием широковещательного MAC адреса, что может быть индикатором возможных атак на WEP.