Атака на Three A Group
По данным агентства lnternet.ru, internet-холдинг Three A Group объявил о том, что 23 декабря 2000 г. был взломан сервер, на котором находятся корпоративный сайт компании, проект "Дети.ru" и торговая система "Леспром.ru". К середине 29 декабря была полностью восстановлена работа только www.3ag.ru. Как сообщил генеральный директор холдинга, несмотря на то, что пострадали сразу три сайта, основным объектом атаки, скорее всего, стал именно "Леспром.ru". Руководство этого проекта, открывшегося поздней осенью 2000 г., рассчитывало на солидное внимание представителей лесной промышленности. После взлома значительная часть информации о 350 клиентах, зарегистрированных на сервере за время его существования, была полностью утеряна. Этот факт позволяет руководству Three A Group расценивать данное происшествие как проявление недобросовестной конкуренции. Кроме того, на предположение о целенаправленном взломе именно этого ресурса наводит тот факт, что база "Леспром.ru" была хорошо защищена, и усилия, необходимые для проникновения в нее без определенной заинтересованности, были бы не оправданы.
Заключение
В данной главе я попытался свести воедино имеющиеся данные об атаках и атакующих. Эта систематизация дает необходимый базис для понимания технологий обнаружения атак, описываемых в следующих главах. Как было показано, не будь уязвимостей в компонентах ИС, то нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишут люди, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели "один-к-одному", то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии — технологии обнаружения атак, о которых и начнется рассказ в следующей главе.
Глава 3
Введение в обнаружение атак
"Непобедимость заключена в себе самом, возможность победы
заключена в противнике. Поэтому тот, кто хорошо сражается,
может сделать себя непобедимым, но не может заставить
противника обязательно дать себя победить."
Сунь-цзы, "Трактат о военном искусстве"
Введение
Обнаружение атак — механизм, который применяется не только в области информационной безопасности. Данный механизм находит свое применение и в датчиках движения (охранная сигнализация), и в системах обнаружения телефонного или финансового мошенничества, и в артиллерийских системах самонаведения и т. д. Объем этой книги не позволяет рассмотреть все упомянутые области применения технологий обнаружения атак. В ней я представлю только информационный аспект этой технологии, т. е. обнаружение атак на узлы корпоративной сети.
Главная задача средств, реализующих технологии обнаружения атак (как и других систем защиты), заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы, и сделать их понятными для тех, кто не является экспертом в области защиты информации. Собственно, не обязательно использовать автоматизированные инструментальные средства. Практически все атаки можно обнаружить путем ручного" анализа журналов регистрации. Или же использовать встроенные в ОС средства. Это позволит существенно снизить затраты на развертывание инфраструктуры обнаружения атак. Однако время на осуществление этого процесса возрастет многократно. Кроме того, "ручной" или автоматизированный неспециализированный анализ не позволяет своевременно обнаружить и предотвратить многие атаки. Именно поэтому и применяются специальные автоматизированные средства, настроенные только на обнаружение нарушений политики безопасности. Основной упор в книге делается именно на них, однако не обходятся вниманием также универсальные средства и ручные методы.
Необходимо отметить, что технология обнаружения атак, с одной стороны, еще очень незрела, а с другой — постоянно привлекает новых производителей и разработчиков, которые появляются как грибы после дождя. Только за 1999-2000 гг. возникло более 50 фирм, предлагающих свои услуги в этой области. А число коммерческих и свободно распространяемых средств обнаружения атак давно перевалило за сотню. Вместе с тем, также быстро они и исчезают или поглощаются более мощными соперниками. Но, несмотря на недостаток теоретических основ технологии обнаружения атак, существуют достаточно эффективные методы, используемые сегодня. Эти методы — их достоинства и недостатки — описываются в данной книге.
Как и многие другие механизмы защиты, технология обнаружения атак должна решать несколько главных задач.
· Снижение нагрузки на персонал (или освобождение от нее), отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами ИС.
· "Понимание" зачастую непонятных источников информации об атаках.
· Возможность управления средствами защиты не экспертами в области безопасности.
· Контроль всех действий субъектов ИС (пользователей, программ, процессов и т. д.).
· Распознавание известных атак и предупреждение о них соответствующего | персонала.
Можно видеть, что некоторые из этих задач могут быть решены встроенными в операционные системы или приложения механизмами. Например, контроль всех действий пользователей или программ в ОС Windows NT и Unix может быть осуществлен путем ручного анализа журналов регистрации EventLog и syslog соответственно. Однако процесс такого анализа достаточно трудоемок и требует выполнения большого числа рутинных операций, что в результате приводит к упущению из вида некоторых нарушений.
Как показал опрос, проведенный в 1999 году компаниями InformationWeek и PricewaterhouseCoopers, среди 2700 специалистов в области информационной безопасности из 49 стран мира 37% опрошенных используют в своей сети технологии обнаружения атак. При этом каждый из опрошенных обнаружил при помощи этих технологий в своей сети злоумышленников (табл. 3.1). Что характерно: количество компаний, взявших на вооружение системы обнаружения атак, за последний год выросло почти в два раза (в 1998 году это число составляло 29% от 1900 опрошенных) [ЛукацкийЗ-99]. Согласно данному отчету "люди стали меньше тратить времени на "ручной" поиск свидетельств об атаке и теперь они могут реагировать на инциденты в реальном режиме времени. Инструментальные средства обнаружения атак облегчают этот процесс и позволяют отказаться от ручных операций, что существенно экономит время персонала безопасности". Это наблюдение важно для понимания потому, что в соответствии с проведенным опросом недостаток времени является одним из основных барьеров при повышении уровня защищенности корпоративных ресурсов.
Таблица 3.1. Источники предупреждений об атаках
| 1998 год | 1999 год | |
| Предупреждения коллег | ||
| Анализ журналов регистрации серверов, межсетевых экранов | ||
| Системы обнаружения атак | ||
| Материальный ущерб | ||
| Предупреждения заказчиков и клиентов |
Очень интересная статистика приводится относительно процента использования технологий обнаружения атак в правительственных и коммерческих организациях США (табл. 3.2).
Таблица 3.2. Распределение по организациям,
использующим технологии обнаружения атак
| Сектор рынка | Число использующих технологии обнаружения атак из опрошенных, % |
| Аэрокосмические агентства и организации | |
| Банки и финансовые институты | |
| Телекоммуникационные компании | |
| Консалтинговые компании | |
| Образовательные учреждения | |
| Правительственные учреждения | |
| Высокотехнологичные компании | |
| Страховые компании | |
| Промышленные организации | |
| Медицинские организации | |
| Военные ведомства | |
| Другие | |
| Итого (средне значение) |
Еще около 30% организаций, участвующих в опросе (а всего их было 745), планируют применение этой технологии (табл. 3.3).
Таблица 3.3. Распределение по организациям,
применение технологии обнаружения атак
| Сектор рынка | Число использующих технологии обнаружения атак из опрошенных, % |
| Аэрокосмические агентства и организации | |
| Банки и финансовые институты | |
| Телекоммуникационные компании | |
| Консалтинговые компании | |
| Образовательные учреждения | |
| Правительственные учреждения | |
| Высокотехнологичные компании | |
| Страховые компании | |
| Промышленные организации | |
| Медицинские организации | |
| Военные ведомства | |
| Другие | |
| Итого (средне значение) |
Очень часто технологии обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения.
· Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ, и, тем самым, определить недостающие правила на межсетевом экране.
· Контроль узлов сети с не установленными дополнениями (patch, hotfix service pack и т. п.) или узлов с устаревшим программным обеспечением. Например, система RealSecure имеет возможность выявления уязвимой версии Internet Explorer, а системы System Scanner и Internet Scanner обнаруживают узлы с не установленными обновлениями операционной системы.
· Блокирование определенных узлов Internet и контроль доступа к ним. Хотя системам обнаружения атак далеко по эффективности до межсетевых экранов и систем контроля доступа к различным URL, например, WebSENSE или surfCONTROL, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам Internet, например, к Web-серверам порнографического содержания. Это бывает предпочтительно тогда, когда в организации нет денег на приобретение и межсетевого организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, в результате чего функции МСЭ разделяются системой обнаружения атак, маршрутизатором и proxy-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов. Например, sex, job, crack и т. д.
· Контроль электронной почты. Системы обнаружения атак могут быть применены для контроля неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например, рассылки резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных "сторожей" им далеко, они все же выполняют поставленную задачу достаточно эффективно.
Лучшая практика задействования времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении именно причин реализации атак, нежели чем в обнаружении самих атак. Устранив причины возникновения атак, администратор тем самым исключает и сам факт потенциальной реализации атак. Иначе нападение будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.