Системы обнаружения атак на уровне узла. Теперь обратимся к недостаткам, свойственным только системам обнаружения атак
Теперь обратимся к недостаткам, свойственным только системам обнаружения атак, функционирующим на уровне конкретного узла.
Объем журналов регистрации
Один из основных недостатков, связанных с системами обнаружения атак на уровне узла — необходимость хранения больших объемов данных. Особенно актуальной эта проблема становится для серверов, на которых осуществляется очень интенсивная работа. Все производимые действия должны фиксироваться, что приводит к практически неконтролируемому "распуханию" журналов регистрации.
Длительность хранения
Данная проблема очень тесно замыкается на размером журналов регистрации, т. к. длительность хранения регистрируемых данных напрямую связана с их накоплением. Чем дольше хранятся журналы регистрации, тем больше данных в них содержится. С одной стороны, объем данных увеличивается, тем самым эффективнее происходит их анализ, и с тем большей вероятностью мы можем судить о сложных или растянутых во времени атаках. Но с другой стороны такие объемы данных очень трудно хранить в течение длительного периода времени.
Снижение производительности
Контроль всех действий, производимых на защищаемом с помощью системы обнаружения атак компьютере, приводит к тому, что производительность данного компьютера снижается. В системах, контролирующих текущую деятельность пользователя или другого субъекта сети, это проявляется наиболее ярко, т. к. средствам обнаружения атак приходится встраиваться в каждую цепочку обращений к системным ресурсам и проверять ее санкционированность. В системах анализа журналов регистрации эта проблема менее актуальна, но она также присутствует, поскольку запись в журнал регистрации всех действий изменяет в худшую сторону производительность контролируемого узла.
Защита журналов регистрации
Следующая проблема, присущая системам обнаружения атак на уровне узла — это защита журналов регистрации от несанкционированного доступа. В системах, функционирующих на уровне сети, в которых подлежащие учету данные хранятся только на центральной консоли (в случае архитектуры клиент-сервер), информация с удаленных сетевых сенсоров, постепенно накапливаемая на них, передается на консоль достаточно быстро, что не приводит к ее длительному хранению на самом сенсоре. Для систем, анализирующих события на конкретных узлах, ситуация несколько иная. Их на порядок-другой больше, чем систем, обнаруживающих сетевые атаки. Кроме того, если сетевые сенсоры можно надежно защитить, т. к. единственное их назначение — обнаружение атак, то системные сенсоры устанавливаются на узлах, для которых обнаружение атак — не основная, а второстепенная, задача. Эти узлы выполняют совершенно другие функции — обработку транзакций, хранение файлов, предоставление Web-услуг и т. д. Если число лиц, имеющих доступ к сетевым сенсорам, можно ограничить одним-двумя, то для системных сенсоров такое ограничение неприменимо. К узлам, на которых они функционируют, могут иметь доступ десятки, сотни, а иногда и тысячи (например, к Web-серверу) пользователей. Именно поэтому задача защиты регистрируемых данных становится очень значимой именно для системных сенсоров.
Типы и детализация регистрируемых событий
Помимо уже названных проблем, нельзя обойти стороной еще одну, не менее важную, чем и остальные. Существующие операционные системы и особенно приложения регистрируют далеко не все события, которые возможны в анализируемом программном обеспечении. Мало того, даже если некоторые события и фиксируются, то зачастую детализация этих событий оставляет желать лучшего. Особенно сильно этим "грешит" продукция компания Microsoft.
Отсутствие универсального формата хранения данных
Также существуют проблемы с выработкой единого формата журнала регистрации событий для систем обнаружения атак. Этот аспект связан с ограничениями и особенностями, свойственными различным источникам сведений об атаках. Например, приведем крайний случай — две операционные системы — Unix и DOS. События этих двух ОС очень существенно отличаются друг от друга. Некоторые операции Unix неприменимы к DOS, например, использование межпроцессорных связей в многопроцессорных системах. С другой стороны, загрузка и выгрузка резидентных программ в DOS не имеет адекватного аналога в Unix. Поэтому трудно выработать единый для двух ОС формат журнала регистрации. И хотя работы в этой области ведутся уже достаточно давно (например, проект лаборатории CERIAS по созданию универсального формата данных для подсистем аудита или расширенный формат журнала регистрации межсетевых экранов и VPN-устройств WELF компании WebTrends Corporations), их завершение ожидается очень не скоро.
Заключение
Как показано в данной главе, системы обнаружения атак не являются панацеей от всех бед и не могут служить единственным средством защиты, используемым в корпоративной сети. Они, как и практически все другие средства (не только защиты), имеют свою область применения и свои ограничения, которые необходимо знать и не ставить перед этими средствами нереальных задач. Понимание данных проблем позволит правильно спланировать создание инфраструктуры обнаружения атак.
Глава 12