Выбор системы обнаружения атак

В предыдущих главах описывались различные аспекты, связанные с техноло­гией обнаружения атак. Однако все это теория. Как на практике применить имеющиеся знания и выбрать именно ту технологию, которая максимально эффективно будет предотвращать, обнаруживать и блокировать различные атаки? Ответу на этот вопрос и посвящена данная глава. В ней я рассмотрю критерии оценки систем обнаружения атак и вопросы, которые надо задавать поставщику при ее приобретении. Затем будут разобраны приемы тестирова­ния приобретенной системы [Эдвардс 1-99]. В заключение будет представлен краткий обзор рынка средств обнаружения атак с упором на средства, пред­лагаемые в России, и я опишу их характерные особенности.

В рекламе любой системы обнаружения атак обычно указывается, сколько именно и какие атаки регистрируются. Однако в этих материалах ничего не написано, сколько ресурсов (временных, финансовых, людских) вам потре­буется, чтобы система обнаружения выявляла то, что так красочно анноти­ровано в рекламных листовках. И желательно задать эти вопросы еще до того, как вы заплатили деньги за систему. Иначе может иметь место инте­ресная ситуация: система выполняет все заявленные требования, но не в вашем сетевом окружении.

Случай из жизни

Известен случай, когда один из высокопоставленных руководителей одной ор­ганизации услышал на одном из семинаров про одну широко известную систе­му обнаружения атак. Он дал указание о приобретении этой системы. Каково же было его удивление, когда сотрудники отдела информатизации пришли к нему и заявили, что покупка не может быть применена в данной организации. Стали разбираться. Оказалось, что на семинаре представитель производителя заявил, что предлагаемая им система обнаруживает атаки для сетей TCP/IP, в т. ч. и для построенных на основе Novell NetWare. Однако в той сети, для ко­торой было куплено рекламируемое ПО, в качестве базового использовался не стек TCP/IP, а стек IPX/SPX, что не позволило на полную мощность задейство­вать приобретенную систему обнаружения атак.

Только тестирование и помощь квалифицированного поставщика или спе­циализированной компании помогут ответить на многие вопросы, связан­ные с выбором и реальной эксплуатацией выбираемой системы. К таким вопросам можно отнести: время на внедрение системы, ее производитель­ность, эксплуатационную стоимость и т. п.

Первое, что необходимо сделать еще до начала инсталляции системы обнаружения атак, — это понять, где она будет установлена и какие задачи она будет решать. Без ответа на эти вопросы применение даже самого эффективного средства будет просто бесполезным. Выяснив решаемые задачи, вы тем самым сможете понять, какой технологии отдать предпочтение — обнаружению атак науровне сети, ОС, СУБД или приложений. Возможно, что на разных участках вашей корпоративной сети вы найдете применение всем этим технологиям. Но прежде чем покупать систему обнаружения атак, вы должны точно понимает ЧТО, ОТ КОГО и ОТ ЧЕГО, КАК и ЧЕМвыхотите защитить (если вы читаете эту книгу, то вопрос "ЗАЧЕМ защищаться?" перед вами уже не стоит).

Независимо от выбранной системы обнаружения атак нужно рассмотреть следующие аспекты:

q защищаемые ресурсы;

q наиболее вероятные атаки;

q объекты (протоколы, адреса, порты, файлы и т.д.), доступные извне для защищаемого ресурса;

q субъекты (пользователи, приложения и т.п.), использующие этот ресурс;

q показатели доступности и производительности для защищаемого ресурса;

q кто и как будет управлять выбираемой системой обнаружения атак;

q масштабы потенциального роста защищаемого ресурса и, как следствие возможность масштабирования системы обнаружения атак.

Это позволит правильно и быстро установить, настроить и эксплуатировать приобретенную систему обнаружения атак.

Предварительный анализ

Что защищать?

Прежде чемприобретать дорогостоящие средства обнаружения атак, необходимо осознать, какие ресурсы подлежат защите. Возможно, после такого анализа вы поймете, что не стоит тратить средства на покупку понравившейся вам системы, а достаточно обойтись организационными мерами или встроенными защитными механизмами. В каждой организации имеются свои ресурсы, требующие защиты. Но можно выделить наиболее общие категории таких ресурсов:

q файловые серверы;

q серверы баз данных;

q телекоммуникационные серверы;

q маршрутизаторы;

q межсетевые экраны и иные средства периметровой защиты;

q Web-, FTP- и почтовые серверы;

q рабочие станции, обрабатывающие критическую и важную информацию (например, транспортные машины в банках).

Даже простое перечисление критичных для организации ресурсов поможет понять, какую технологию обнаружения атак выбрать для их защиты. Напри­мер, для файловых серверов на первое место выходят средства контроля цело­стности, позволяющие отслеживать несанкционированные изменения файлов. Для маршрутизаторов приоритетными будут системы обнаружения атак на уровне сети. И так далее. В табл. 8.1 перечислены категории важных ресурсов и наиболее часто применяемые для их защиты технологии обнаружения атак.

Таблица 8.1. Первостепенные технологии обнаружения атак для

различных типов узлов корпоративной сети

Ресурсы

Технологии обнаружения атак

Файловые серверы     Серверы баз данных   Телекоммуникационные серверы     Маршрутизаторы   Межсетевые экраны и иные средства периметровой защиты     Web-, FTP- и почтовые серверы   Рабочие станции

Системы контроля целостности Системы обнаружения атак на уровне ОС   Системы обнаружения атак на уровне СУБД Системы обнаружения атак на уровне ОС Системы анализа защищенности на уровне СУБД   Системы обнаружения атак на уровне сети Системы обнаружения атак на уровне ОС Системы анализа защищенности на уровне сети   Системы обнаружения атак на уровне сети   Системы обнаружения атак на уровне сети Системы обнаружения атак на уровне ОС Системы анализа защищенности на уровне сети Системы анализа защищенности на уровне ОС   Системы обнаружения атак на уровне приложений Системы обнаружения атак на уровне сети Системы обнаружения атак на уровне ОС Системы контроля целостности Системы анализа защищенности на уровне сети Системы анализа защищенности на уровне OС   Системы обнаружения атак на уровне ОС

От чего защищать?

Разумеется от атак и злоупотреблений. Однако, как показано в главе 2, различных типов таких несанкционированных действии имеется очень большое количество. Приобретать системы, защищающие от всех атак, нецелесообразно, да и систем таких не существует. Поэтому, прежде всего вы должны проанализировать наиболее вероятные атаки для ваших ресурсов. Например, вы хотите поставить под охрану сервер под управлением Windows NT. При этом распознавание сетевых вторжений вы возлагаете на систему обнаружения атак на уровне сети, установленную в том же сегменте. Это сразу сужает круг вероятных атак на ваш NT-сервер. То есть сразу можно сказать, что вам надо выбрать систему обнаружения атак на уровне ОС, которая анализирует журналы регистрации или деятельность пользователей. При этом система должна поддерживать именно ОС Windows NT, а не какую другую. Таким образом, проведя пятиминутную предварительную оценку, вы тем самым существенно сузили круг возможных средств до двух-трех, облегчили себе правильный выбор и сэкономив деньги на приобретение системы, которая могла бы выполнять функции или поддерживать ОС, которые никогда бы не использовались в вашей организации.

От кого защищать?

Попробуйте задать этот вопрос обычному человеку и в абсолютном большинстве случаев вы получите ответ: "От хакеров". Не вдаваясь в терминологию, можно сказать, что по мнению большинства наших сограждан основная опасность исходит именно от внешних злоумышленников, которые проникают в компьютерные системы банков и военных организаций, перехватывают управление спутниками и т.д. Весь этот ажиотаж вызван средствами массовой информации, которые за последние полгода выдали немало публикаций и репортажей о хакерах и их опасности. Стоит только вспомнить репортажи телекомпании НТВ о питерских хакерах, которые вторгались в американские банки и переводили миллионы долларов на подстваные счета, или публикации о российских «профессионалах-одиночках», которые проникали в компьютерные сети Пентагона, крали важнейшую информацию с грифом "TOP SECRET" и оставляли после себя надписи: "Здесь был Вася!"

Не спорю, такая опасность существует и нельзя ее недооценивать. Но! Она слишком уж преувеличена. Обратимся к уже упоминавшейся в главе 2 статистике. Ее цифры неумолимы. До 70—80% всех компьютерных преступлений связаны с внутренними нарушениями, т.е. осуществляются сотрудниками компании. Нынешними или уволенными. Представьте, что вам удалось найти лазейку в системе информационной безопасности какой-либо организации. Через эту "дыру" вы проникаете в корпоративную сеть, а затем, в святая святых — к финансовым данным или перспективным разработкам. И что? Не являясь специалистом в области, в которой работает компания, разобраться без посторонней помощи в мегабайтах и гигабайтах информации попросту невозможно. Злоумышленник, использующий уязви­мости в системе защиты, будет находиться в растерянности, не зная, что из открытой перед ним информации представляет ценность, а что — является бесполезным хламом. Можно провести интересную аналогию. Допустим, что вы, зная только русский язык, попали в трущобы Пекина, в которых все указатели содержат что-то на китайском языке, а вам надо в аэропорт. Воз­можно, вы туда и попадете, но только после долгих блужданий и объяснений с местными жителями на пальцах. Свой сотрудник — совсем другое дело. Он знает, что к чему. Он может реально оценить стоимость той или иной информации. И зачастую он обладает привилегиями, которые не являются необходимыми для него [Лукацкий 6-00].

"Зачем моему сотруднику обкрадывать меня?" — спросите вы. Причин мо­жет быть множество. Однако к самым распространенным можно отнести неудовлетворенность своим положением или зарплатой, затаенную обиду и т. д. Можно привести массу случаев, когда сотрудник, считая, что его на работе не ценят, совершал компьютерное преступление, приводящее к. многомиллионным убыткам. В широко известном примере с проникновени­ем в американский Ситибанк также не обошлось без помощи "своего". Од­нако это обычно умалчивается в публикациях или считается неважным". Другой пример — сотрудник при увольнении затаил обиду на весь свет и хочет отомстить своим обидчикам, т.е. компании или ее руководству. Если в своей работе он имел достаточно широкие, права, то используя их, он мо­жет очень существенно навредить и после своего ухода. Ведь обычно уволь­нение сотрудника сопровождается изъятием у него пропуска и только. Во всех системах запись о нем, как правило, остается и он по-прежнему может использовать вычислительные ресурсы компании в своих целях. В "лучшем" варианте особого вреда он не нанесет. Например, известен случай, когда после увольнения бывший сотрудник отдела автоматизации одной компа­нии еще в течение года пользовался доступом в Internet, зарегистрирован­ным на данную компанию. При увольнении этого специалиста никто не удосужился сменить пароли, к которым он имел доступ в рамках своих слу­жебных обязанностей. На самом деле никто так и не заметил, что бывший сотрудник пользуется доступом в Internet, и он мог и дальше наносить ущерб (хоть и небольшой) своей бывшей компании. Однако эта компания развалилась и больше не смогла оплачивать приходящие к ней счета за ус­луги Internet. Этот случай достаточно показательный, т.к. иллюстрирует очень распространенную практику увольнения в российских компаниях. Однако самая большая беда может исходить не от уволенных или обижен­ных обычных сотрудников (например, операционистов), а от тех, кто обле­чен очень обширными полномочиями и имеет доступ к широкому спектру самой различной информации. По преимуществу это специалисты отделов автоматизации, информатизации и телекоммуникаций, которые обладают сведениями о паролях ко всем системам, используемым в организации. Ихквалификация, знания и опыт, примененные во вред, могут привести к очень большим проблемам. Кроме того, таких нарушителей очень трудно обнаружить, поскольку они обладают достаточными знаниями о системе защиты организации, чтобы обойти используемые защитные механизмы. Именно поэтому при построении системы защиты необходимо защищаться не только и не столько от внешних злоумышленников, сколько от злоумышленников внутренних. При этом уже упоминаемые в начале книги "классические" системы защиты (например, межсетевые экраны или серверы аутентификации) ориентированы именно вовне.

Как защищать?

На этот, казалось бы, простой вопрос ответить не так-то легко. С одной стороны, можно поступить не мудрствуя — купить рекламируемые средства защиты, установить у себя в организации и потом хвалиться перед коллегами, что вот у меня есть современнейшая система защиты, которая также используется в Министерстве обороны США. Если компания богата, то она может позволить себе этот путь. Однако необходимо правильно расходовали имеющиеся в распоряжении средства. Во всем мире сейчас принято развертывать комплексную систему защиты, следуя нескольким этапам. Первый, — информационное обследование, — самый важный. Именно здесь определяется, от чего в первую очередь следует защищаться компании. На этом же этапе строится так называемая модель нарушителя, которая описывает вероятный облик злоумышленника, т. е. его квалификацию, имеющиеся средства для реализации тех или иных атак, обычное время действия и т. п. И здесь же вы получаете ответ на два вопроса, которые задавались "Зачем и от кого надо защищаться?".

На этом же этапе выявляются и анализируются возможные пути реализации угроз безопасности, оценивается вероятность и ущерб от их проведения в жизнь. По результатам анализа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты. Пока вы не перешли к следующему этапу, может быть рекомендовано не приобретать достаточно дорогие защитные системы, а воспользоваться имеющимися в распоряжении. Например, в случае наличия в организации мощного маршрутизатора может статься предпочтительней задействовать встроенные в него защитные функции, а не приобретать межсетевой экран.

Наряду с анализом существующей технологии должна осуществляться разработка организационно-распорядительных документов, дающих необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра охранных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т. п. То есть результатом этого этапа является разработанная и утвержден­ная руководством компании политика безопасности.

Следующим шагом построения комплексной системы информационной безопасности является приобретение, установка и настройка рекомендован­ных на предыдущем этапе средств и механизмов обеспечения информаци­онной безопасности. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и др.

Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал. Как уже упоминалось, укрепив­шаяся в России обстановка такова, что пока таких специалистов мало. Выходом из сложившейся ситуации могут быть курсы повышения квалификации, на которых сотрудники отделов защиты информации и служб безопасности, получат все необходимые практические знания для использования имеющихся средств защиты, выявления угроз безопасности и их предотвращения.

Однако на этом процесс обеспечения безопасности не заканчивается. С течением времени имеющиеся оборудование и программное обеспечение ус­таревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимостей и атак, меняется технология обработки информации, совершенствуются про­граммные и аппаратные средства, приходит и уходит персонал компании. И необходимо периодически пересматривать разработанные организацион­но-распорядительные документы, проводить обследование ИС или ее под­систем, обучать новый персонал, обновлять средства защиты. Следование описанной выше последовательности построения комплексной системы обеспечения защиты информации поможет достичь необходимого и доста­точного уровня защищенности вашей автоматизированной системы,

Чем защищать?

Ответы на первые четыре вопроса (что, от чего, от кого и как?) позволят сузить круг выбираемых систем до 2—3, что качественно облегчит их выбор и ускорит процесс тестирования. В табл. 8.1 перечислены технологии, кото­рые могут использоваться для защиты важных ресурсов корпоративной сети. При этом вы можете выбрать любую из технологий. Однако далеко не все­гда самый очевидный выбор является самым правильным. Например, вы хотите защитить файловый сервер. Казалось бы, лежащий на поверхности вывод — это применение систем контроля целостности. Однако представим себе, что на файловом сервере происходят ежесекундные изменения храни­мых файлов. Каждое такое событие приводит к проверке его санкционированности со стороны системы контроля целостности. Разумеется, это не может не сказаться на производительности файлового сервера. Вероятна даже ситуация, когда файловый сервер будет настолько занят решением вопроса целостности своих файлов, что захватит 100% всех системных pecyрсов и тем самым блокирует все запросы пользователей на доступ к файлам сервера. В этом случае целесообразнее применять систему обнаружения атак на уровне ОС или выбрать небольшое число самых важных файлов, целостность которых должна контролироваться. Аналогичные примеры можно привести и для других технологий.

Потребители систем

Обнаружения атак

Рассмотрим типичные группы потребителей системы обнаружения атак, что позволит правильно сформировать список основных критериев для ее выбора. Зачем нужно деление на группы потребителей? Потому что каждая группа предъявляет к системам обнаружения атак свои требования, которые могут существенно отличаться от требований других пользователей. Напри­мер, если вы представляете небольшую компанию, имеющую одну точку выхода в Internet, которая и защищается при помощи системы обнаружение атак, то наличие в ней механизма централизованного управления удаленными сенсорами имеет для вас второстепенное значение. Для крупной же компании этот критерий является одним из основных.

Итак, можно выделить несколько категорий потребителей систем обнаружения атак.

q Небольшие компании, не имеющие удаленных филиалов и офисов.

q Средние и крупные компании с филиалами, рассредоточенными по всей стране.

q Транснациональные корпорации, чьи офисы расположены в различных странах мира.

q Провайдеры Internet.

q Поставщики услуг в области защиты информации (аутсорсинговые компании).

Небольшие компании

Эта категория — наиболее типичная и является одним из основных потребителей систем обнаружения атак. В качестве такого потребителя может выступать небольшой банк, компьютерная фирма, государственное унитарное предприятие, университет и др. Особенность данной категории в наличии одной точки выхода в Internet, небольшого числа узлов в локальной сети, централизованном управлении всеми ресурсами, и т.д.