Атака на Министерство обороны США

По данным агентства Росбизнесконсалтинг, за первые семь месяцев 2000 г. на компьютерные сети Минобороны США и Пентагона было совершено 14 тысяч хакерских нападений, сообщает Washington Post, ссылаясь на данные Пентагона. Большинство этих нападений не принесли значительного ущерба. Однако в отдельных случаях хакеры, которые, по некоторым данным, работали на иностранные разведслужбы, взломали засекреченную компьютерную сеть Пентагона и "скачали" из нее большие объемы информации. Как сообщают сотрудники Пентагона, компьютерные системы Минобороны США при этом не пострадали. Газета напоминает, что в 1999 г. Пентагон зафиксировал 22 тысячи 144 попытки проникновения или нанесения ущерба компьютерной сети. Около 3% этих попыток (примерно 600 случаев) привели к временному прекращению работы сети и нанесли прочий незначительный ущерб. Около 1% попыток (примерно 200 случаев) увенчались успехом, и хакеры успешно проникли в засекреченную компьютерную сеть Пентагона. Таким образом, по предварительным данным, в текущем году число хакерских нападений на секретные компьютерные сети Пентагона и Минобороны США возросло почти на 10% Как заявил Артур Мани, помощник министра обороны по вопросам контроля, коммуникаций и разведки, число хакерских нападений имеет стойкую тенденцию к увеличению.

Анализ трафика загруженной сети

Обнаружение атак на сетевом уровне способно контролировать трафик сети, но только в одной точке. Во-первых, не все сетевые пакеты являются видимыми для систем обнаружения атак. Например, в коммутируемых сетях. Во-вторых, по мере того, как объемы передаваемого трафика возрастают, поддержание требуемого уровня соответствующей обработки загруженных сегментов сети становится невозможным, и анализ, осуществляемый системой обнаружения атак, либо отстает от пропускной способности сети, либо вообще происходит отказ сенсора системы обнаружения. Действительно, сами продавцы приводят следующую максимальную пропускную способность, при которой они демонстрировали свои продукты для работы без потерь со 100% анализом всего трафика, — в среднем на уровне 65 Мбит/с. И хотя существуют средства и для высокоскоростных и загруженных сетей (например, для 1Гбит/с), универсального решения на сегодняшний день не найдено.

Атака на гонконгского провайдера

"Юный хакер из Гонконга был приговорен к шестимесячному заключению за то, что предпринял атаку на сеть крупнейшего местного internet-провайдера", — сообщило 18 декабря 2000 г. агентство Lenta.ru со ссылкой на агентство Reuters. 19-летний хакер был обвинен в намеренном нанесении ущерба в результате серии атак на сеть провайдера Cable & Wireless HKT. В результате одной из его атак, осуществленной в январе этого года, сеть не функционировала более часа. Полиция, расследовавшая дело, говорит, что это первый в Гонконге случай, когда за компьютерное хулиганство выносят такой суровый приговор.

Заключение

Технологии обнаружения атак позволяют решить целый ряд задач, повышающих защищенность узлов корпоративной сети.

· Мониторинг и анализ пользовательской, сетевой и системной активности.

· Аудит системной конфигурации и обнаружение уязвимостей.

· Контроль целостности файлов и других ресурсов корпоративной сети.

· Распознавание шаблонов действий, отражающих известные атаки.

· Статистический анализ шаблонов аномальных действий.

· Автоматическую инсталляцию обновлений ПО, поставляемых продавцом.

· Инсталляцию и поддержание работы серверов-ловушек для записи информации о нарушителях.

Однако не стоит думать, что системы обнаружения атак — это панацея от всех бед. У них есть своя, хоть и широкая, но все-таки ограниченная область применения. Например, они могут быть использованы для текущего контроля определенных уязвимостей, имеющихся на некоторых узлах сети. Другой пример — контроль эффективности межсетевых экранов. Но не надо ждать от систем обнаружения атак невозможного. Они не могут (на сегодняшнем этапе развития информационных технологий):

· компенсировать неэффективность механизмов аутентификации и идентификации;

· проводить анализ атак без человеческого участия;

· устранить слабости сетевых протоколов;

· устранить проблемы в надежности и целостности ИС;

· эффективно анализировать весь трафик в высокоскоростных сетях.

Независимо от того, как обнаруживаются атаки — вручную или автоматически, все эти способы основаны на "трех китах":

· признаках, описывающих нарушения политики безопасности. При этом сами типы нарушений были описаны в главе 2;

· источниках информации, в которой ищутся признаки нарушений политики безопасности;

· методах анализа информации, получаемой из соответствующих источников в целях поиска признаков атак.

Знание этих трех составляющих позволяет вам с одинаковой эффективностью обнаруживать атаки как вручную, так и автоматизированно. Именно этим трем китам и посвящена следующая глава. Ручные и автоматизированные неспециализированные средства рассматриваются в дальнейших главах. Вся оставшаяся часть книги посвящена специализированным системам обнаружения атак.

Глава 4

Наши рекомендации