[ЗВУК] Добрый день, уважаемые слушатели.
Наша сегодняшняя лекция будет посвящена системам обнаружения и предотвращения
компьютерных атак или далее по тексту «системы обнаружения атак».
Мы под этим словосочетанием будем подразумевать именно системы обнаружения и
предотвращения компьютерных атак в широком смысле.
В чем различие, далее по ходу сегодняшней лекции я поясню.
Наша сегодняшняя лекция будет состоять из следующих разделов: мы обсудим назначение
систем обнаружения и предотвращения компьютерных атак; объясним,
что такое компьютерная атака; сформулируем ряд требований к системам обнаружения и
предотвращения компьютерных атак; введем их классификацию; рассмотрим
некоторые классы более подробно; далее обсудим аспекты размещения
систем обнаружения и предотвращения атак в информационной системе; и критерии выбора
таких систем для внедрения в той или иной информационной системе.
Первый вопрос, который мы сегодня рассмотрим: назначение
систем обнаружения и предотвращения компьютерных атак.
То есть по сути ответим на вопрос, для чего нужно что-то еще сверх политики
безопасности, о которой мы говорили на предыдущей лекции.
Политика безопасности объединяет в себе все меры обеспечения защиты информации,
о которых мы говорили в еще более ранних лекциях данного курса,
и по сути превращает их в единую систему,
действующую как единый организм, как единое целое.
Неужели этого не достаточно?
Оказывается, что недостаточно.
Практика применения различных средств защиты и безопасности,
необязательно именно компьютерных или именно безопасности информации,
показывает, что если есть какие-то средства обеспечения безопасности,
которые действуют по неким правилам, по неким алгоритмах, то нарушитель,
который имеет достаточно времени на то, чтобы за ними понаблюдать, их изучить,
рано или поздно находит какие-либо уязвимости, с помощью которых
он может реализовать свои вредоносные намерения, свои преступные замыслы.
Здесь можно обратиться, например, к многочисленным кинофильмам,
книгам про разведчиков времен войны и различных боевых действий.
Сколько бы не охраняем ни был объект,
почти всегда находится какой-то задний вход, какое-то не очень охраняемое место,
какое-то уязвимое звено в защите, какое-то слабое звено в защите,
которое может быть преодолено, и с помощью этого реализуется некая атака на объект.
И вот, собственно, для того чтобы предотвратить и хотя бы обнаружить
различные вредоносные воздействия на нашу систему,
мы и вводим еще одну сущность, еще один эшелон защиты информации,
а именно системы обнаружения и предотвращения компьютерных атак.
Основное назначение таких систем — это выявление действий нарушителей,
не блокируемых другими средствами обеспечения защиты информации,
а также информирование о таких действиях службы безопасности.
То есть, по сути, системы обнаружения и предотвращения компьютерных
атак — это некий наблюдатель, который следит за тем, что происходит.
И если средства защиты, явно видимые нарушителю,
начинают каким-то образом изучаться, исследоваться,
в них нарушитель начинает искать слабые места, пытаться так или иначе проверить
их реакцию на какие-то свои действия или тем паче их успешно преодолевает,
то такая система должна немедленно оповестить службу безопасности,
с тем чтобы могли бы быть приняты активные ответные меры.
Введем два определения, точнее, определим два часто используемых вместе,
иногда противопоставляемых понятия.
Во-первых, система обнаружения вторжений.
Это понятие, используемое в основном в русскоязычной литературе,
ему тем не менее соответствует почти дословный перевод в англоязычной
литературе — Intrusion Detection System — система обнаружения вторжений (собственно,
дословно так и есть).
Под ним обычно подразумевается средство защиты информации,
предназначенное для выявления нарушений политики безопасности организации.
То есть такая система, которая реагирует на ситуации, в которых
уже совершено какие-то вредоносное воздействие, что-то уже нарушено.
При этом этому понятию противопоставляется иногда понятие система обнаружения атак,
а в английском языке ему соответствует понятие Intrusion Prevention System
— система предотвращения вторжений, а это уже, в свою очередь,
средство защиты информации, предназначенное для выявления действий,
потенциально способных угрожать безопасности системы и, как следствие,
приводить к нарушению политики безопасности организации.
Иными словами, это средство более широко действует,
нежели система обнаружения вторжений, но обнаруживает не только уже реализовавшиеся
нарушения политики безопасности, но и различные попытки такого нарушения,
различные попытки изучения системы безопасности информационной
системы и любые подобные несанкционированные или вредоносные,
или потенциально вредоносные действия со стороны как нарушителей, так и, возможно,
пользователей информационной системы.
Не будем забывать о том, что у нас любые пользователи информационной системы,
действуя халатно, могут выступать в роли нарушителей и, соответственно,
источников угроз.
На системы обнаружения и предотвращения атак возлагаются следующие задачи:
обнаружение признаков осуществляемых атак, то есть каких-то явлений,
которые могут свидетельствовать о том, что реализуется атака; обнаружение действий,
которые могут быть частью подготовки к атаке, то есть различных приемов
изучения системы; обнаружение предпосылок к реализации атак (уязвимостей,
действий нарушителя); и своевременное информирование администратора безопасности
об обнаруженных явлениях в информационной системе.
Ну здесь речь идет, естественно, о нежелательных явлениях.
Не обязательно вредоносных, а о нежелательных.
Проблема со средствами защиты информации,
которые были перечислены в политике безопасности, заключается в том, что они,
во-первых, главным образом направлены на предотвращение удаленных воздействий,
то есть от внешнего нарушителя они защищают информационную систему, и,
кроме того, им присущи следующие свойства, которые делают их уязвимыми.
Не потому что они плохие, просто это такие присущие им свойства.
Они действую на основе правил.
Ну в самом деле, межсетевой экран, как правило, фильтрует сетевые пакеты
на основе правил, на основе которых он либо разрешает передачу такого пакета,
либо пакет блокирует.
Также на основе правил действует система разграничений и контроля доступа.
Есть пользователь, у него есть какие-то соответствующие ему полномочия в системе,
ну и, соответственно, просто по, например, матрице доступа или по
сопоставлению уровня допуска и уровня секретности принимается решение о том,
следует ли данному субъекту предоставить доступ к данному объекту.
Данные механизмы защиты, данные средства защиты имеют уязвимости.
О некоторых из них мы поговорим мы чуть далее.
И эти средства постоянно активны и, соответственно,
постоянно видны нарушителю, он может их изучать,
то есть пытаться на них так или иначе воздействовать и смотреть, что будет.
Ну например,
что будет если он попробует пройти авторизацию от имени своего начальника.
Как на это среагирует система?
Будет ли заблокирована учетная запись начальника.
Может быть, это можно использовать злоумышленно, можно например,
несколько раз попробовать некорректно авторизоваться,
после чего уже у руководителя будут проблемы с прохождением авторизации,
поскольку его учетная запись будет, например,
на какой-то период времени заблокирована как скомпрометированная.
И данные средства защиты информации описаны в политике безопасности,
их присутствие не скрывается, а из этого следует, что нарушитель может получить
по ним или по аналогичным средствам защиты информации документацию, почитать,
создать у себя в какой-то лаборатории их аналоги,
изучить всесторонне и максимально подготовиться к реализации атаки.
Для межсетевых экранов уязвимости таковы: они действуют на основе правил,
как было сказано; могут иметь исключения для привилегированных пользователей,
которыми могут воспользоваться нарушители; они не контролируют сетевую активность
внутри сегментов сети, ну а при этом они контролируют активность
только в штатных путях доступа к внешней сети.
Если кто-то из пользователей создает свой отдельный несанкционированный
канал доступа к сети Интернет, то, как правило,
межсетевой экран такой канал не контролирует.
Что же касается системы контроля и разграничения доступа,
то ее уязвимости таковы: в случае успешного прохождения субъектом
авторизации его дальнейшие действия не контролируются.
То есть единственным рубежом безопасности здесь является этап
прохождения авторизации, как правило, усиленной процедурой аутентификации.
Кроме того, такая система уязвима к действиям привилегированного пользователя,
то есть администратора этой системы.
Он может менять настройки, может менять правила.
Во многих случаях может реализовывать атаки на, например,
базу эталонных образцов, то есть пароли или биометрическая информация,
и таким образом настраивать эту систему так, чтобы нарушитель мог вполне корректно
и успешно пройти процедуру аутентификации и, как следствие, авторизации.
И такая система, конечно же, уязвима к административному воздействия.
Речь идет о том, что представители руководства организации могут
административными решениями потребовать себе избыточных полномочий, ну с целью
контроля, с целью ощущения того, что они полностью контролируют систему,
могут в ней совершить любое действие, не требуя ничьего согласования или,
тем более, утверждения, а это, как мы знаем, приводит к уязвимости.
Избыточные полномочия — это уязвимость,
поскольку чем больше полномочий у того или иного пользователя,
тем более его учетная запись становится привлекательной для нарушителя.
Системы же обнаружения и предотвращения атак со своей стороны
призваны обеспечить контроль со стороны службы безопасности над всем
происходящим в информационной системе с целью выявления вредоносных действий,
даже формально не нарушающих политику безопасности,
то есть повышение полномочий, попытка изучения работы механизмов защиты
информации и подобных действий.
[ЗВУК] [ЗВУК]
Сорокин Александр ВладимировичСтарший преподаватель
