Файл: Виды и состав угроз информационной безопасности (Методы анализа сетевой информации).pdf

Рассмотрение существующих классификаций стоит начать с работы Питера Мелла под названием: «Компьютерные атаки: что это и как им противостоять». В этой работе все возможные сетевые атаки делятся на следующие типы:

удаленное проникновение представляет собой тип атак, позволяющих реализовать удаленное управление компьютером через сеть; в качестве примеров можно привести атаки с использованием программ BackOrifice или NetBus;
локальное проникновение является типом атак, приводящих к получению несанкционированного доступа к узлу, на который они направлены; в качестве примера можно привести атаку с использованием программы GetAdmin;
удаленный отказ в обслуживании является типом атак, позволяющим нарушить функционирование системы в рамках глобальной сети; в качестве примеров можно привести атаки trinOO или Teardrop;
локальный отказ в обслуживании является типом атак, позволяющим нарушить функционирование системы в рамках локальной сети. Примером такой атаки является запуск и внедрение враждебной программы, загружающей центральный процессор бесконечным циклом, приводящим к невозможности обработки запросов других приложений;
атаки с использованием сетевых сканеров являются типом атак, которые основаны на использовании сетевых сканеров, представляющих собой программы, анализирующие топологию сети и обнаруживающих доступные для атаки сервисы; в качестве примеров можно привести атаку с использованием утилиты nmap;
атаки с использованием сканеров уязвимостей являются типом атак, которые основаны на использовании сканеров уязвимостей, представляющих собой программы, осуществляющие поиск уязвимостей на узлах сети, которые в дальнейшем могут быть применены для реализации сетевых атак; в качестве примеров сетевых сканеров можно привести системы Shadow Security Scanner и SATAN;
атаки с использованием взломщиков паролей являются типом атак, которые основаны на использовании взломщиков паролей, представляющих собой программы, подбирающие пароли пользователей; например, программа Crack для ОС Unix или программа LOphtCrack для ОС Windows;
атаки с использованием анализаторов протоколов являются типом атак, которые основаны на использовании анализаторов протоколов, представляющих собой программы, «прослушивающие» сетевой трафик. С их помощью можно автоматизировать поиск в сетевом трафике такой информации, как информацию о кредитных картах, идентификаторы и пароли пользователей и другие подобные данные. В качестве примерамов анализаторов сетевых протоколов можно привести программы NetXRay компании Network Associates, Microsoft Network Monitor или Lan Explorer^[11].

Данная классификация с практической точки зрения является достаточно полной, так как она охватывает почти все возможные действия злоумышленника. Но для противодействия сетевым атакам этой классификации недостаточно, за счет того, что ее использование в данном виде не позволяет определять элементы сети, которые подвержены воздействию той или иной атаки, а также последствия, к которым может привести успешная реализация атак. В этом случае в анализ не включается самый важный компонент, который является моделью угроз безопасности, с построения которой должны начинаться все мероприятия по обеспечению защиты информации^{^[12]} [1].

2.2. Классификация Internet Security Systems

Аналогичным классификации Питера Мелла недостатком страдает и более компактная классификация, которая предложена компанией IBM Internet Security Systems, Inc., содержащая всего лишь пять типов атак:

попытки несанкционированного доступа;
сбор информации;
системные атаки;
подозрительная активность;
отказ в обслуживании^[13].

В своих продуктах, предназначенных для защиты серверов, сетей, и рабочих станций (таких как, к примеру, System scanner, Real Secure и другие подобыне) компания IBM Internet Security Systems использует несколько других классификационных признаков возможных сетевых атак, более эффективных с точки зрения защиты от вторжений. Опишем их подробнее.

Классификация по степени риска имеет большое практическое значение, за счет возможности ранжирования опасностей атак по таким классам, как:
- высокий класс, при котором, успешная реализация атаки позволяет атакующему немедленно получить права администратора, доступ к машине или обойти межсетевые экраны. В качестве примеров можно привести атаку, которая основана на использовании ошибки в программном обеспечении Sendmail и позволяет атакующему исполнять любую команду на сервере;
- средний класс, при котором успешная реализация атаки потенциально может дать атакующему доступ к машине. В качестве примеров можно привести ошибки в сервере NIS, которые позволяют атакующему получить файл с гостевым паролем;
- низкий класс, при котором успешная реализации атаки даст атакующему возможность получить облегчающие задачу взлома сведения. В качестве примеров можно привести использование сервиса finger, с помощью которого атакующий может определить список пользователей сервера и попытаться получить доступ к машине с использованием атаки по словарю.
Классификация по типу атаки позволяет судить о том, может ли атака быть осуществлена только локально или удаленно:
- осуществляемые удаленно;
- осуществляемые локально;
Классификация по подверженному данной атаке программному обеспечению. Например: Microsoft Internet Explorer.

Кроме того, существует классификация по характеру используемых в атаке действий:

"черные ходы" — атаки, которые основаны на использовании недокументированных разработчиками возможностях программного обеспечения, имеющих возможность приведения к выполнению пользователем несанкционированных операций на атакуемом сервере;
атаки типа "отказ в обслуживании" — атаки, которые основаны на использовании ошибок, позволяющих атакующему сделать какой-либо сервер недоступным для легитимных пользователей;
распределенные атаки типа "отказ в обслуживании", при которых несколько программ или пользователей посылают большое количество фиктивных запросов на сервер, приводя его тем самым в нерабочее состояние;
неавторизованный доступ;
потенциально незащищенная операционная система^[14].

К недостаткам данных классификационных признаков можно отнести то, что они не позволяют описать цель и последствия атаки. К примеру, классификационный признак по характеру действий содержит два класса атак типа «отказ в обслуживании», но вместе с тем не содержит классов, описывающих атаки, направленные на перехват трафика^{^[15]} [1, 2].

2.3. Классификация Nessus

В классификации, использованной в известном программном продукте Nessus, который предназначен для анализа безопасности серверов, был применен отличный от предыдущих классификаций подход. В нем используется классификация "по характеру уязвимости", где берется используемая для реализации атаки уязвимость:

ошибки в CGI скриптах;
"черные ходы";
ошибки в программах — FTP-серверах;
атаки типа "отказ в обслуживании";
ошибки в реализации межсетевых экранов;
наличие на компьютере сервиса Finger или ошибки в реализующих этот сервис программах;
ошибки, которые позволяют атакующему удаленно получить права администратора;
ошибки, которые позволяют имеющему терминальный вход на сервер пользователю получить права администратора;
уязвимости, которые позволяют атакующему удаленно получить любой файл с сервера;
ошибки в программах — SMTP-серверах;
ошибки в программах — RPC-серверах;
ошибки в программах — NIS-серверах;
неиспользуемые сервисы
не вошедшие в другие категории прочие ошибки.

Кроме того, по типу программной среды они подразделяются на:

уязвимости в определенном сервисе;
уязвимости в определенном программном обеспечении;
уязвимости в операционной системе^[16].

С целью определения уязвимости в операционной системе используется параметр Host/OS, уязвимости в определенном программном обеспечении и в конкретных сервисах классифицируются по группам.

В данной классификации, по сравнению с предыдущими, более детально проработаны атаки, которые используют уязвимости в сетевом, прикладном и системном программном обеспечении. Но данная классификация не охватывает всех существующих сетевых атак. За пределами рассмотрения остаются такие опасные атаки, как направленные на сетевое оборудование атаки, перехват данных и атаки типа "отказ в обслуживании". Положительной чертой данной классификации является наличие класса " не вошедшие в другие категории прочие ошибки", так как благодаря этому классу данная классификация формально применима к любой, в том числе новой, атаке. Но, с другой стороны, этот класс не несет пользы, поскольку не содержит никакой дополнительной информации^{^[17]}.

Как видно из приведенных выше классификаций, далеко не все они являются полными. В некоторых случаях под видом единой классификации делается попытка объединения нескольких проведенных по разным характеристическим параметрам классификаций.

Появление новых атак приводит к снижению эффективности применения существующих классификаций, поэтому их использование без внесения изменений не представляется возможным. Данная ситуация объясняется огромным количеством различных сетевых атак и постоянным появлением новых атак, некоторые из которых не подчиняются критериям существующих классификаций.

Таким образом, применение существующих классификаций нельзя назвать рациональным. Существует объективная необходимость в создании новой гибкой классификационной схемы возможных сетевых атак, построенной с учетом указанных выше недостатков^{^[18]} [2, 3].

2.4. Классификация Милославской и Толстого

Из отечественных вариантов наиболее краткая и информативная классификация приведена в книге Толстого и Милославской. В ней все системы обнаружения атак делятся на минимальное количество классов. Из таких классов можно назвать деление на активные и пассивные атаки по поведению после обнаружения, деление атак по расположению источника результатов аудита в регистрационных файлах хоста или сетевых пакетах, деление атак на поведенческие и интеллектуальные по методу обнаружения^{^[19]}.

Данная классификация наилучшим образом подходит для построения первичных фильтров систем обнаружения атак, поскольку позволяет ответить на вопрос о том, как должны различать атаки, как именно системы обнаружения атак анализируют информацию, какие технологии для этого использовать^{^[20]} [1, 4].

3.1. Классификация по способу реагирования

По способам реагирования на обнаруживаемые угрозы системы IDS можно разделить на два типа: активные и. пассивные Пассивные системы в случае идентификации вторжения обычно создают детальный отчет о произошедшем, который включает лог сетевой атаки, оповещают службу безопасности, к примеру, по электронной почте, и предоставляют рекомендации по устранению выявленной уязвимости. Активные IDS помимо всего вышеперечисленного пытаются противостоять вторжению. Их действия могут включать в себя как разрыв текущего злонамеренного соединения, так и полное блокирование атакующего путем изменения конфигурации межсетевого экрана или иным способом^{^[21]}.

На данный момент самым распространенным типом подобных систем являются активные IDS. Идеология пассивных IDS более подходит к существующим проектам типа систем-ловушек либо сетей на их основе, задача которых представляет как можно более правдоподобную эмуляцию уязвимой системы и сервисов, при этом с сохранением полной истории происходящего, не создавая дополнительной преграды для нарушителя и не выдавая себя. В итоге с высокой долей вероятности удается определить новые методы компрометации системы^{^[22]} [6, 7].

3.2. Классификация по способу выявления атаки

По способу выявления атаки системы IDS принято делить на две категории:

обнаружение злоупотреблений;
обнаружение аномального поведения.

Технология обнаружения аномального поведения основана на следующем. Аномальное поведение пользователя часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить высокая загрузка центрального процессора, большое число соединений за короткий промежуток времени и другие подобные активности^{^[23]}.