Хоменко
Н.В., Малышевский А.М., Стежко Ю.С.
Выявление
атак в корпоративной сети и методы борьбы с ними
В данном докладе рассматриваются проблемы,
которые возникают в системах управления политикой безопасности корпоративных
сетей в случае внезапного
несанкционированного доступа. Эта тема приобретает все большую актуальность в
связи с расширением практики формирования внутрикорпопоративных сетевых систем
и увеличением попыток их атаковать.
Для решения этих проблем необходимо
проанализировать функции системы обнаружения и предотвращения вторжений в
корпоративную сеть и степень ее защищенности.
Начнем с анализа проблемных составляющих
степени защищенности системы. Обеспечение надежной защиты корпоративной сети —
очень сложный процесс, который представляет собой непрерывную и постоянную
последовательность действий по реализации комплекса мер информационной
безопасности. С моей точки зрения, наиболее уязвимым звеном в этой цепочке
действий является кадровый вопрос.
Большинство экспертов по безопасности рекомендуют начинать формирование системы
безопасности с тщательного отбора (в том числе по этическим и моральным
критериям) сотрудников, в задачи которых будет входить администрирование
корпоративной сети. Они получают доступ ко всем конфиденциальным материалам не
по статусу должности, а по возможности технического доступа к информации. А
поскольку они, как правило, не имеют долевого участия в прибылях компании, то
представляют собой одну из самых серьезных потенциальных угроз для безопасности
компании. Поэтому вполне очевидно, что люди, претендующие на эту работу, должны
быть тщательно проверены. Но система подбора кадров не анализируется в данном
докладе.
Хочу лишь акцентировать внимание на
должностных обязанностях таких сотрудников с точки зрения специальных знаний.
Следует учитывать, что специалист по безопасности информации отвечает за
разработку, реализацию и эксплуатацию системы обеспечения информационной
безопасности, направленной на поддержание целостности, пригодности и
конфиденциальности данных, накопленных в компании. В его функции входит
обеспечение и физической (технические средства, линии связи и удаленные
компьютеры), и логической (сами данные, прикладные программы, операционная
система) защиты информационных ресурсов.
Второй проблемой является архитектура
системы защищенности корпоративной сети. При ее формировании необходимо
разработать концепции и политики безопасности, которые будут приняты в компании
и которые неразрывно связаны с общим планом ее развития. В первую очередь нужно
определить список объектов, на которые могут быть направлены атаки.
Естественно, в данный список должны быть включены все критически важные узлы
корпоративной сети. Для этого необходимо провести аудит и анализ существующих и
возможных внешних и внутренних угроз, определить их источники и оценить риски.
Эти сведения позволят составить реальное представление о существующей и
прогнозируемой степени уязвимости корпоративной сети, а также о потребностях в
защите информационных ресурсов. При этом нужно учитывать возможность
организации атак как снаружи — от внешних, сторонних лиц и организаций (например, от хакеров, которые пытаются
проникнуть в корпоративную сеть), так и изнутри со стороны сотрудника компании,
который уже имеет к сети (ни в коем случае нельзя забывать об опасности
внутренних угроз).
По результатам проведенного анализа
возможных угроз определяются методы и средства обнаружения враждебного
воздействия и защиты от известных угроз, а также методы и средства реагирования
при инцидентах. С учетом всех обстоятельств принимаются решения о разработке и
реализации комплексных проектов на базе широкого спектра систем и решений,
сочетание которых позволяет обеспечить эффективную защиту информационных
ресурсов корпоративной сети.
А теперь более детально рассмотрим
средства обнаружения и предотвращения вторжений, а также инструменты анализа
защищенности ресурсов корпоративной сети от атак.
Прежде всего отметим, что в докладе не рассматриваются методы защиты
от таких злонамеренных действий, как использование побочных электромагнитных
излучений и наводок, — для противодействия подобного рода нарушениям должен
быть реализован комплекс организационно-технических мероприятий по физическому
контролю (размещение, охрана и т.п.) контролируемых узлов корпоративной сети.
В комплекс функций системы должно входить
обеспечение мониторинга, контроля и сбора информации о действиях легальных
пользователей корпоративной сети и возможность быстрой блокировки действий
нарушителя – организатора атаки.
Для этого необходимо собирать и
систематизировать информацию о следующих событиях в корпоративной сети:
- изменение файловой системы контролируемого узла
корпоративной сети;
- использование внешних устройств ввода-вывода
(дисководов, USB-устройств и т.п.);
- запуск и остановка процессов на контролируемом узле;
- локальная либо удаленная регистрация начала сеанса
работы пользователя, а также завершение работы пользователей;
- пользование принтеров и других периферийных
устройств;
- ведение статистики использования сетевых сервисов;
- изменение аппаратной и программной конфигурации
контролируемого узла.
При этом система управления политикой
безопасности и защиты от несанкционированного доступа должна иметь
распределенную архитектуру и включать такие компоненты, как программные
сенсоры, сервер управления сенсорами и консоль администратора. Программные
сенсоры устанавливаются на контролируемые узлы корпоративной сети и
обеспечивают сбор, фильтрацию и передачу параметров собранных событий серверу
управления сенсорами. Сервер управления сенсорами осуществляет хранение и
анализ информации о событиях, поступающих от сенсоров системы. Консоль
администратора служит для централизованного управления сервером управления
сенсорами и сенсорами системы, отображения результатов работы системы и
формирования отчетов.
Такая архитектура системы позволит с
большой долей вероятности обнаружить
атаки и злоупотребления в отношении узлов корпоративной сети компании (как
конкретного узла, так и целого сетевого сегмента).
Система обнаружения и предотвращения вторжений на
предприятии должна выполнять следующие задачи:
Обнаружить в реальном масштабе времени сетевые атаки
на сетевом уровне и уровне информационных узлов (рабочих станций и серверов);
Оперативно оповестить в случае обнаружения атаки и
предотвратить ее воздействие;
Блокировать атаку до того, как она будет реализована;
Обнаружить уязвимости, позволяющие реализовать атаку;
Устранить (компенсировать) уязвимости.
Основной принцип работы системы
обнаружения и блокировании сетевых атак в корпоративной сети со стороны как
внешних, так и внутренних нарушителей основывается на анализе пакетов данных,
циркулирующих в этой сети, и в последующем выявлении аномалий сетевого трафика
сети.
Для обнаружения вторжений в систему используется
несколько методов в комплексе: метод, основанный на выявлении сигнатур
известных атак, а также метод, базирующийся на анализе поведения сети. Первый
метод обеспечивает обнаружение атак посредством специальных шаблонов. В
качестве сигнатуры атаки могут выступать строка символов, семантическое
выражение на специальном языке, формальная математическая модель и др., причем
каждая сигнатура может быть соотнесена с соответствующей атакой нарушителя. При
получении исходных данных о сетевом трафике корпоративной сети система проводит
их анализ на соответствие определенным шаблонам или сигнатурам атак, хранимым в
постоянно обновляющейся базе данных системы. В случае обнаружения сигнатуры в
исходных данных система фиксирует факт обнаружения сетевой атаки и блокирует ее
дальнейшие действия. Преимуществом сигнатурного метода является его высокая
точность.
Второй метод выявления новых типов атак в
системе обнаружения вторжений основан на анализе поведения корпоративной сети и
использовании информации о штатном процессе функционирования корпоративной
сети. Принцип работы этого метода заключается в обнаружении несоответствия
между текущим режимом функционирования корпоративной сети и моделью штатного
режима работы, заложенной в параметрах работы метода. Любое несоответствие
рассматривается как информационная атака. В случае осуществления атаки, которая
может привести к выведению из строя узлов корпоративной сети, возможны
автоматическое завершение соединения с атакующим узлом, блокировка учетной
записи нарушителя (если он является сотрудником компании) или реконфигурация
межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем
соединения с атакующим узлом были запрещены.
Сетевые сенсоры, предназначенные для
защиты объектов сетевых сегментов корпоративной сети, обеспечивают перехват и
анализ всего сетевого трафика, передаваемого в рамках того сегмента, где они
установлены. Серверные сенсоры устанавливаются на серверы корпоративной сети и
обеспечивают защиту определенных сетевых сервисов сети. В числе таких сенсоров
могут быть серверные сенсоры для почтовых, файловых и Web-серверов, а также для серверов баз данных. На одном
сервере корпоративной сети может быть одновременно установлено несколько типов
сенсоров. Датчики выполняют функции управления серверными и сетевыми сенсорами,
а также функции обеспечения передачи информации между сенсорами и сервером
управления сенсорами. Сервер управления сенсорами обеспечивает централизованный
сбор, хранение и анализ информации, поступающей от серверных и сетевых сенсоров,
и дает возможность выявления распределенных сетевых атак на основе анализа
полученной информации. Консоль администратора предназначена для
централизованного управления компонентами системы и отображения результатов
работы системы.
Сообщение об обнаруженной атаке, как
правило, формируется в соответствии со стандартом IDMEF (Intrusion Detection Message Exchange Format) и
содержит следующую информацию: дата и время обнаружения атаки;
общее описание атаки, включая возможные ссылки на
дополнительные источники информации о выявленной атаке; символьный
идентификатор атаки по классификатору CVE (Common Vulnerabilities Exposures, http://cve.mitre.org) или CERT (Computer
Emergency Response Team, http://www.cert.org);
уровень приоритета обнаруженной атаки (низкий, средний или высокий); информация
об источнике атаки (IP-адрес, номер порта, доменное
имя и др.); информация об объекте атаки (IP-адрес, номер порта, доменное имя и др.); рекомендации
по устранению уязвимости, в результате которой был зафиксирован факт реализации
атаки.
База данных сигнатур атак системы
обнаружения и предотвращения вторжений должна регулярно обновляться.
Один из вариантов решения задач, описанных
выше, паостроен на основе ситем обнаружения вторжений ManHunt и IntruderAlert
компании Symantec, а так же сетевых сканеров безопасности NetRecon и
VulnerabilityAssesment. Решение может быть расширено системой контроля политики
безопасности установленной в организации Symantec Enterprise Security
Management. Проверка сетевого трафика осуществляется в режиме реального времени
на скоростях до 2 гигабит в секунду. Обнаруживаются известные и неизвестные
сетевые атаки, а также атаки «отказ в обслуживании» и попытки скрытного
сканирования сети. Механизмы корреляционного анализа событий, значительно
повышают оперативность выявления атак и вторжений. Гибкие варианты
развертывания и отличные возможности масштабирования способствуют сокращению
совокупной стоимости владения системы. Автоматические механизмы получения и развертывания
пакетов обновлений для систем безопасности. В состав решения включены мощные и
высокопроизводительные средства анализа сетевого трафика.
Преимущества описанного варианта – в
комплексной системе защиты информации от различного типа атак на различных
уровнях корпоративной информационной системы.
В случае применения всех вышеперечисленных
мер корпоративная сеть приобретает определенную степень безопасности и
защищенности от атак.
Какова надежность принятых мер? Ответ
может дать анализ защищенности на основе проведения регулярных, всесторонних
или выборочных тестов с целью выявления и устранения уязвимостей
программно-аппаратного обеспечения корпоративной сети: сетевых сервисов,
операционных систем, прикладного программного обеспечения, систем управления
базами данных, маршрутизаторов, межсетевых экранов, а также для проверки
наличия последних модулей обновления и т.п. При выявлении уязвимостей система
предоставляет администратору отчеты, содержащие подробное описание каждой
обнаруженной уязвимости, данные об их расположении в узлах корпоративной сети и
рекомендации по их коррекции или устранению. В состав системы анализа
защищенности входят сканеры безопасности, предназначенные для проведения
заданного множества проверок в соответствии с параметрами, определенными
администратором безопасности; сервер хранения результатов работы системы;
консоль администратора для централизованного управления системой. Сканер
безопасности представляет собой программное средство для удаленной или
локальной диагностики различных элементов сети на предмет выявления в них
уязвимостей, использование которых может привести к компьютерным нарушениям.
Основными пользователями таких сканеров являются системные администраторы и
специалисты по безопасности. Сканеры безопасности сокращают время, необходимое
для поиска уязвимостей, за счет автоматизации операций по оценке защищенности
систем. Принципы работы такого сканера заключается в том, что основной модуль
программы подсоединяется по сети к удаленному компьютеру. В зависимости от активных
сервисов формируются проверки и тесты. Найденная при сканировании каждого порта
служебная информация сравнивается с таблицей правил определения сетевых
устройств, операционных систем и возможных уязвимостей. На основе проведенного
сравнения делается вывод о наличии или отсутствии потенциальной уязвимости.
Система анализа защищенности требует
постоянного внимания и контроля. Любое изменение конфигурации корпоративной
сети компании, а также сетевого программного обеспечения должно быть
исследовано системой анализа защищенности. Несоответствие в конфигурации может
привести к увеличению количества ложных срабатываний, а также к появлению дыр в
безопасности. Работа системы основана на анализе сетевого трафика с
использованием метода сигнатур, поэтому система анализа защищенности требует
постоянного обновления базы уязвимостей. Эксплуатация данной системы имеет
смысл только при условии, что она развивается вместе с сетью, которую она
защищает. Разумеется, это предусматривает регулярное проведение тестов.
Подобные системы позволяют вести единую
базу данных шаблонов, вариантов реагирования и обновлений для всех компонентов
подсистемы безопасности, автоматизировать рутинные задачи администраторов
безопасности (обновление сигнатур атак, сканирование удаленных узлов и т.д.), а
также проводить всесторонний анализ различных событий путем корреляции данных
от разнообразных средств защиты.
В настоящее время многие компании,
занимающиеся вопросами информационной безопасности (например, Internet Security Systems и др.),
предлагают стратегию применения описанных выше систем в составе единых
комплексов, позволяющих осуществлять централизованное управление информационной
безопасностью корпоративной сети. С помощью единого управления всеми
компонентами подсистемы информационной безопасности корпоративной сети, а также
на основе сбора и анализа информации от различных компонентов в режиме
реального времени можно значительно повысить эффективность работы
администраторов безопасности, сократить число сотрудников соответствующих служб
и уменьшить затраты на их обучение.
По сообщению CNews.ru, в январе
этого года, в связи с наличием широкого спектра антишпионских программных
комплексов, компании McAfee, Symantec, Trend
Micro, ICSA Labs и Thompson
Cyber Security Labs объявили о
заключении соглашения по созданию методологий идентификации и тестирования для
технологий, обеспечивающих противодействие шпионским программам. Тестирование
продуктов будет основано на стандартизованных, независимых критериях оценки, а
в среде обнаружения и тестирования будут использоваться общие стандартные
образцы. По мнению участников проекта, за счет использования стандартных метрик
для оценки третьей стороной, а также наличия общего стандарта для образцов
можно будет сравнивать между собой характеристики продуктов, которые прежде с
трудом поддавались измерению.
Но остаются проблемы. Использование таких
средств защиты, как межсетевые экраны, системы контроля доступа пользователей и
т.п., не дает полной гарантии устойчивости корпоративной сети к атакам. Любое
программное или аппаратное обеспечение не является совершенным, и в нем имеются
уязвимости, позволяющие совершить какие-либо действия в нарушение
установленного порядка использования информационных ресурсов. Кроме того,
реагировать на несанкционированную активность или попытки взлома сети в режиме
реального времени практически очень сложно, если эти функции выполняются
вручную.
Поэтому своевременное обнаружение попыток
взлома информационных ресурсов и оперативная реакция на эти действия на основе
приведенных в докладе методов позволяют значительно повысить уровень
защищенности корпоративной сети.