Обнаружение следов атак
Мы знаем, что нам позволит распознать в контролируемых ресурсах признаки атаки. Мы также знаем, какие методы можно использовать, чтобы на основе имеющихся признаков определить нарушения политики безопасности на контролируемых ресурсах. Этому была посвящена глава 4. Теперь я хочу описать, как мы будем обнаруживать эти нарушения.
При обнаружений следов атак необходимо учитывать следующие аспекты [Firth 1-97]:
q контроль целостности программ, файлов данных и других информационных ресурсов, подлежащих защите;
q анализ деятельности пользователей и процессов, а также сетевого трафика в контролируемой системе;
q контроль физических форм нападений на элементы ИС, в том числе и на отчуждаемые источники хранения информации (например, mobile rack);
q расследование администраторами и другими надежными источниками (например, CIRT) необычных действий.
В соответствии с этой классификацией действия, связанные с обнаружением атак и описанные в табл. 5.1 могут быть выполнены как в автоматизированном, так и в ручном режиме (рис. 5.1).
Таблица 5.1. Факторы, связанные с обнаружением атак
Фактор | Действия |
Контроль целостности данных | Просмотр непредвиденных изменений каталогов и файлов |
Контроль деятельности процессов и пользователей, а также сетевого трафика | Анализ журналов регистрации ОС, СУБД, прикладных и сетевых приложений |
Анализ механизмов уведомлении (alert) и сообщений (system message) от подсистем мониторинга систем (в т. ч. и операционных) и сети | |
Анализ выполняемых процессов на предмет непредвиденного поведения | |
Контроль физических форм вторжения | Обнаружение неизвестных и несанкционированных устройств (например, модемов), подключенных к системе |
Просмотр следов неавторизованного доступа к физическим ресурсам | |
Расследование инцидентов | Анализ отчетов пользователей и данных из внешних источников о поведении системы, процессов, программ и сетевых событиях |
Причем автоматизированный анализ также делится на две категории — универсальный и специализированный анализ. Первый осуществляется при помощи средств, встроенных в программное обеспечение. Например, к таким средствам могут быть отнесены анализатор протоколов Network Monitor или система обработки журналов регистрации Event Viewer. Специализированный анализ реализуется средствами, предназначенными именно для обнаружения нарушений политики безопасности. К таким системам относятся RealSecure, Tripwire, System Scanner и т. д.
Рис. 5.1.Варианты проведения анализа информации об атаках
Ручные методы абсолютно бесплатны (если не брать в расчет зарплату специалиста, осуществляющего анализ), однако не обеспечивают своевременности обнаружения атак и тем более реагирования на них. Кроме того, методы не применимы в крупных, территориально-распределенных сетях.
Однако в некоторых случаях использование этих методов обосновано. Например, в удаленных филиалах, на некритичных сегментах и узлах, при отсутствии необходимых денежных средств и т. д. Также эти методы предпочтительны после применения автоматизированного анализа, т.к. несмотря на все их преимущества, некоторые атаки очень трудно обнаружить без привлечения ручного анализа и человеческого разума. В таком случае объемы обрабатываемых вручную данных становятся на порядки ниже их первоначального объема. Ну и, наконец, ручной анализ позволяет специалистам области безопасности повысить свою квалификацию.
Автоматизированные универсальные методы более эффективны, чем ручные методы, однако и они не в состоянии обнаружить нарушения политики безопасности. Все, что они могут, — это облегчить обработку больших объемов информации, осуществлять фильтрацию и выборки данных, которые затем анализируются вручную. Как видно, и в этом случае не обойтись без ручной работы.
И последний вариант выполнения действий, описанных в табл. 5.1, — это применение специализированных систем, которые отличаются от универсальных наличием логики. Как правило, эти системы обладают обширной базой нарушений политики безопасности (признаков атак или уязвимостей), которые и можно обнаружить в источниках информации, используя определенные методы (системы обнаружения злоупотреблений или аномалий).
Однако не следует делать вывод, что только специализированные системы являются лучшим выбором из всех. Опираясь на сообщения, генерируемые этими средствами, можно пропустить или неправильно интерпретировать некоторые события. Поэтому иногда нельзя довольствоваться тем, что вам "говорит" система обнаружения атак, даже самая совершенная. Приходится опускаться на уровень ручного анализа данных, собранных не только системой обнаружения атак, но и другими средствами (например, сетевыми анализаторами).