Лекция 17-18. Основы защиты информации

Лекция 17-18. Основы защиты информации

Угрозы безопасности информации и информационной системы

Вредоносные программы

Вредоносные программы классифицируются следующим образом: Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь - программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправдана - и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т.д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИС в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно.

Вирус - программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающей способностью к дальнейшему размножению.

Считается, что вирус характеризуется двумя основными особенностями:

1) способностью к саморазмножению;

2) способностью к вмешательству в вычислительный процесс (т. е. к получению возможности управления).

Наличие этих свойств, как видим, является аналогом паразитирования в живой природе, которое свойственно биологическим вирусам. В последние годы проблема борьбы с вирусами стала весьма актуальной, поэтому очень многие занимаются ею. Используются различные организационные меры, новые антивирусные программы, ведется пропаганда всех этих мер. В последнее время удавалось более или менее ограничить масштабы заражений и разрушений. Однако, как и в живой природе, полный успех в этой борьбе не достигнут.

Червь - программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наилучший способ защиты от червя -- принятие мер предосторожности против несанкционированного доступа к сети.

Захватчик паролей - это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей -- необходимое условие надежной защиты.

Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.

IDS и IPS

На сегодняшний день в сфере компьютерной безопасности существует два принципиально разных подхода к защите от проникновений в корпоративные сети. Первый и более старый из них это IDS (Intrusion Detection Systems, IDS). IDS – это система призванная обнаружить попытки проникновения в частную сеть и сообщить системному администратору о факте вторжения. Эта технология защиты информации используется довольно давно и уже завоевала популярность среди заказчиков.

IDS защищает компьютер от атаки, незаконного использования и компрометации. Некоторые системы IDS основаны на знаниях и заранее предупреждают администраторов о вторжении, используя базу данных распространённых атак. Системы IDS, основанные на поведении, напротив, обнаруживают аномалии, которые часто являются признаком активности злоумышленников, отслеживая использование ресурсов. Некоторые IDS — отдельные службы, работающие в фоновом режиме и анализирующие активность пассивно, регистрируя все подозрительные пакеты извне. Другие мощные средства выявления вторжений получаются в результате сочетания стандартных системных средств, изменённых конфигураций и подробного ведения журнала с интуицией и опытом администратора. Найти средство, подходящее для вашей организации, можно, познакомившись с различными приёмами обнаружения вторжения.

Однако, многие аналитики считают, что сегодня существует более эффективный и удобный способ борьбы с хакерами. Эта система – Intrusion Prevention System, IPS. Аббревиатура IPS в области информационной безопасности закреплена за системами и решениями, которые служат для предотвращения нападений. Под ней подразумевается набор технологий, которые появились на стыке межсетевых экранов и систем обнаружения нападений IDS. От межсетевых экранов в IPS взят принцип активного вмешательства в сетевое взаимодействие или поведение программ, а от IDS – интеллектуальные методы мониторинга происходящих событий. Таким образом, IPS не только обнаруживает нападения, но и пытается предотвратить их. В России решения IPS появились еще в составе межсетевых экранов или классических систем IDS. Сегодня, на рынке есть и специализированные продукты, такие как семейство аппаратных IPS компании NetScreen. Среди продуктов IPS аналитики выделяют пять типов компонентов, каждый из которых выполняет свои функции и может комбинироваться с другими.

Сетевая IDS

Устройство, которое анализирует проходящие через него IP-пакеты, пытаясь найти в них признаки атаки по заранее определенным правилам и сигнатурам, называется сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они не только выискивают случаи ненормального и нестандартного использования сетевых протоколов, но и пытаются блокировать все несоответствия.

Коммутаторы седьмого уровня

Сетевые устройства, которые определяют маршруты IP-пакетов в зависимости от типа приложения, называются коммутаторами седьмого уровня (приложений). Их можно использовать для разных целей: создание кластеров, балансировки нагрузки, раздельного хранения данных по типам, а также для защиты. Подозрительные пакеты такие устройства либо полностью уничтожают, либо перенаправляют на специальный сервер для дальнейшего анализа. Этот тип IPS хорошо отражает атаки, направленные на отказ в обслуживании и на совместный взлом нескольких служб.

Экран приложений

Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложений (application firewall/IDS). Он отслеживает не сетевое взаимодействие, а поведение программ и библиотек, работающих с сетью. Такой экран может работать и по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся продукты, которые вначале запоминают штатную работу приложения, а в последствии фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные атаки, но их необходимо устанавливать на каждый компьютер и «переобучать» при изменении конфигурации приложений.

Гибридные коммутаторы

Есть технологии, которые объединят в себе экраны приложений и коммутаторы седьмого уровня, - это гибридные коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, в начале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они могут отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется каждый раз переобучать заново при каждом изменении конфигурации системы.

Ловушки

К категории IPS относятся также приложения-ловушки, которые пытаются активно вмешиваться в процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше всего комбинировать с коммутаторами – гибридными или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем для защиты.

Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которого хорошо дополняет другие. При этом они не конкурируют с уже существующими средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.

Смогут ли системы предотвращения несанкционированных проникновений в корпоративные сети справится со своей задачей? Этим вопросом озабочены не только заказчики IPS, уже существующие и потенциальные, но и производители систем обнаружения проникновений, пытающиеся понять, каким образом справится с технологией, которая угрожает основам их бизнеса. Превосходство IPS по сравнению с IDS выделяется особенно ярко на фоне растущих требований клиентов к созданию более эффективных средств предотвращения несанкционированных вторжений в их сети. Но поскольку технологии становятся все сложнее, корпоративные клиенты чаще испытывают трудности при выявлении различий между «истинными» IPS и их упрощенными версиями, а также при интеграции IPS с различными элементами сетевых инфраструктур.

Ложные срабатывания – один из самых серьезных недостатков IDS – представляет собой весьма обременительную ношу при нехватке опыта обеспечения внутренней безопасности, а постоянно сокращающиеся бюджеты заставляют вновь и вновь поднимать вопросы, связанные с приоритетами обработки соответствующих событий. Технологии IPS позволяют избежать получения фальсифицированных позитивных результатов благодаря различным механизмам.

Лекция 17-18. Основы защиты информации