Классификация систем обнаружения атак

В предыдущей главе мы рассмотрели ручные способы обнаружения атак и приме­нение некоторых автоматизированных универсальных средств. Однако я надеюсь, что читатель все же понял неэффективность этих способов. По­этому со спокойной совестью я хотел бы перейти к специализированным системам, предназначенным именно для обнаружения атак.

Обнаруживать, блокировать и предотвращать нарушения политики безопас­ности можно несколькими путями. Первый, и самый распространенный способ — это рас­познавание уже реализуемых атак. То есть если обратиться к главе 2 и вспомнить этапы реализации атак (см. рис. 2.10), то в соответст­вии с предложенной классифи­кацией данный способ функционирует на втором этапе осуществления атаки. Этот способ применяется в "класси­ческих" системах обнаружения атак (например, Real­Secure Network Sensor или Cisco Secure IDS), межсетевых экранах (таких как Check Point Firewall-1), системах защиты информации от НСД (например, SecretNet) и т.п. Од­нако, "недостаток" средств данного класса в том, что атаки могут быть реа­лизо­ваны повторно. Они также повторно обнаруживаются и блокируются. И так далее, до бесконечности, что само собой разумеется, неэффективно, т.к. приводит к непо­зволительной трате временных, человеческих и материаль­ных ресурсов. Было бы правильнее предотвращать атаки еще до их осущест­вления. Это и есть второй спо­соб. Реализуется он путем поиска уязвимостей (то есть представляет собой обнару­жение потенциальных атак), которые могут быть использованы для совершения атаки. И, наконец, третий путь, — выявление уже совершенных атак и предотвра­щение их повторения в дальнейшем. В силу сказанного, системы обнаружения на­рушений поли­тики безопасности могут быть классифицированы по этапам развития атаки (рис. 6.1), как описано ниже.

q Системы, функционирующие на первом этапе осуществления атак и по­зво­ляющие обнаружить уязвимости информационной системы, исполь­зуемые наруши­телем. Иначе средства этой категории называются систе­мами анализа защищенно­сти (security assessment systems) или сканерами безопасности (security scanners). Примером такой системы является Inter­net Scanner или SATAN. Некоторые авторы считают неправильным при­числение систем анализа защищенности к классу средств обнаружения атак, однако, если следовать описанным выше принципам классифика­ции, то такое отнесение вполне логично.

q Системы, действующие на втором этапе осуществления атаки и позволяющие выявить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. Примером такой системы является RealSecure или Cisco Secure IDS. Помимо этого, в последнее время выделяется новый класс средств обнаружения атак — обманные системы (deception systems), которые более подробно будут описаны ниже. В качестве примера такой системы можно привести RealSecure OS Sensor или DTK.

q Системы, "выходящие на сцену" на третьем этапе осуществления атак, обнаруживающие уже совершенные атаки. Эти системы делятся на три класса — системы контроля целостности (integrity checkers), отслеживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации (log checkers). В качестве примеров таких систем могут быть названы Tripwire или RealSecure Server Sensor.

Помимо приведенной, существует еще одна распространенная классифика­ция систем обнаружения нарушения политики безопасности — по принципу реализации: host-based, т.е. обнаружение уязвимостей или атак, направленных на конкретный узел сети, и network-based, направленных на всю сеть или сегмент сети. Схема классификации систем обнаружения атак по уров­ню реализации представлена на рис. 6.2.

Обычно на этом дальнейшая детализация останавливается. Однако, основы­ваясь на классификации уровней информационной системы, введенной в главе 1, можно ввести еще три подуровня:

q Системы обнаружения атак на уровне прикладного ПО (application-based), выявляющие атаки на конкретные приложения (например, на Web-сервер). Примером такой системы является RealSecure OS Sensor или WebStalker Pro.

q Системы обнаружения атак на уровне ОС (OS-based), распознающие ата­ки на уровне операционной системы. Примером такой системы служит RealSecure Server Sensor или Intruder Alert.

q Системы обнаружения атак на уровне системы управления базами дан­ных (DBMS-based), обнаруживающие атаки на конкретные системы управления базами данных (СУБД).

Выделение средств обнаружения атак на СУБД в отдельную категорию свя­зано с тем, что современные СУБД уже вышли из разряда обычных при­кладных приложении и по многим своим характеристикам, в т.ч. и по сложности, приближаются к операционным системам. При этом системы обнаружения атак (точнее, системы анализа защищенности) на уровне СУБД могут функционировать как на самом узле, так и через сеть (например, Database Scanner). В свою очередь, система обнаружения атак на уровне сети может быть локализована и на конкретном узле для регистра­ции атак, направленных не на все узлы сегмента, а только на тот, на котором она установлена. Пример такой системы — RealSecure Server Sensor.