База данных Common Vulnerabilities and Exposures
Как уже упоминалось в главе 2, среди специалистов в области обнаружения атак отсутствует единство терминологии, приводящее к путанице и непониманию друг друга. Для устранения описанной неразберихи с именованием уязвимостей и атак в 1999 году компания MITRE Corporation предложила решение, независимое от производителя средств анализа защищенности обнаружения атак и т. д. [Mann1-99]. Данное решение было реализовано в виде базы данных CVE (Common Vulnerabilities and Exposures). Это позволило разработчикам указывать только одно название уязвимости, понятное всем профессионалам.
В подготовке базы данных CVE помимо экспертов MITRE принимали участие специалисты многих известных компаний и организаций. В их числе-ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, SANS, UC Davis Computer Security Lab, CERIAS и др. На момент написания книги в базе CVE содержалось более 1000 описаний уязвимостей.
База данных ICAT
Национальный институт стандартов США (NIST) также не остался в стороне от исследований в области обнаружения атак. Одной из важных разработок NIST в этой области является база данных ICAT (Internet Categorization of Attacks Toolkit) [Mell2-99]. Эта база, доступная в Internet по адресу http://icat.nist.gov/, объединяет и индексирует базы данных уязвимостей и атак, разработанных различными организациями и центрами: CERIAS, Fed-CIRC, ISS X-Force, NIAP, SANS, SecurityFocus (бывший Bugtraq и NT Bugtraq), VulDa и т. д. Помимо указанных центров базу данных ICAT пополняют сценарии атак, получаемые с "хакерских" серверов http://www.rootshell.com, http://infilsec.com и им подобных.
Результатом работы NIST стало одно из крупнейших хранилищ описаний уязвимостей и атак, тесно связанное с базой CVE и насчитывающее к 9 марта 2001 года более 2300 записей. Данные, попадающие в ICAT, после проведения соответствующих исследований могут быть включены и в базу CVE. В отличие от других, в частности, описанных в главе 2 баз данных, ICAT формализует каждую из уязвимостей по 40 различным характеристикам, которые определяют:
· производителя уязвимого программно-аппаратного обеспечения (на момент написания книги число таких производителей превышало 500);
· название и версию программно-аппаратного обеспечения;
· степень риска (высокую, среднюю, низкую);
· источник попадания в ICAT (CERT, X-Force, Microsoft, SecurityFocus и т. д.);
· источник использования уязвимости (удаленный или локальный);
· тип атаки, которую может позволить осуществить данные уязвимости (например, "отказ в обслуживании");
· результат, к которому может привести использование уязвимости (нарушение доступности и т. д.);
· тип уязвимости (переполнение буфера, выход за границы условия и т. д.);
· операционную систему, имеющую уязвимость;
· тип приложения (сервер приложений, протокол, стек протоколов, ОС);
· тип записи ("уже имеется в CVE, — кандидат на попадание в CVE");
· дата занесения в базу ICAT.
Но это не все. Необходимо добавить, что кроме разработки базы данных ICAT институт NIST в 2001 году также подготовил документ, описывающий требования к системам обнаружения атак.
База данных Intrusion Data Library Enterprise
Однако, несмотря на большой вклад в сферу информационной безопасности, проекты CVE и ICAT ориентированы только на ведение единой базы данных уязвимостей. Для описания атак эта база мало приспособлена. Чтобы устранить имеющийся недостаток, институт SRI (http://www.sri.com/) разработал базу данных атак IDLE (Intrusion Data Library Enterprise). Библиотека IDLE, формат которой основан на XML, предназначена для помощи разработчикам, исследователям, тестерам и операторам различных систем обнаружения атак. При этом данная библиотека позволяет хранить различную информацию о проявлениях атаки:
· записи журналов регистрации операционной системы;
· фрагменты сетевого трафика;
· записи журналов регистрации прикладного ПО;
· изменения файлов.
В настоящий момент доступна первая тестовая версия IDLE, которая используется в проектах SRI. Кроме того, данный проект координируется лабораторией UC Davis Computer Security Lab. О поддержке проекта коммерческими производителями пока ничего не известно. Что характерно: язык разметки XML используется и уже упоминаемой группой IDWG.
Проекты DARPA
Управление перспективных исследований МО США DARPA финансирует большое количество проектов в области обнаружения атак. В частности, помимо уже упомянутого стандарта CIDF, лаборатория Дэвиса совместно с Компанией Boeing разрабатывают протокол IDIP (Intruder Detection and Isolation Protocol), предназначенный для взаимодействия между системами обнаружения атак, межсетевыми экранами и маршрутизаторами. Как и о других проектах, ведомых DARPA, о нем очень мало информации, и он вряд ли выйдет за пределы государственных учреждений США.
Российские стандарты
Российские специалисты также пытаются не отставать от своих зарубежных коллег, но финансовые трудности, политические нюансы, а также неразбериха с законодательством и наличие нескольких систем сертификации средств защиты не позволили пока разработать какой-либо конкретный документ. Причем в отличие от Запада, российские организации в первую очередь подготавливают документы, предназначенные для сертификации средств обнаружения атак, а не ориентированные на требования к их тестированию. На момент написания книги мне довелось слышать о разработке соответствующих руководств для сертификации на соответствие требованиям защиты информации в трех системах — Гостехкомиссии, ФАПСИ и ФСБ. При этом в Гостехкомиссию различными организациями-разработчиками подавались три, совершенно различные версии руководящих правил. Проект одного из документов описан в [Галатенко1-99]. По предварительным оценкам, утверждение одного из проектов руководящего стандарта запланировано на конец 2001 — начало 2002 года.
Глава 14