[МУЗЫКА] На этапе непосредственной реализации атак в дело вступают классические системы обнаружения атак, то есть системы, которые обнаруживают уже реальную активность нарушителей. Такие системы предназначены для обнаружения атак во время их реализации, то есть для обнаружения активных действий нарушителя. И такие системы также могут быть как сетевыми, так и узловыми, а узловые — на уровне операционной системы или на уровне прикладного программного обеспечения, включая здесь и системы управления базами данных. При обнаружении атак на уровне сети сильными сторонами являются независимость от конкретных операционных систем на узлах сети, обнаружение на основе сетевых протоколов. Подобная система анализа уязвимостей, система обнаружения атак сетевого уровня работают с сетевым трафиком, перехватывают сетевые пакеты и на их основе обнаруживают различные атаки, направленные, например, на вывод различных узлов сети из строя, то есть атаки типа «Отказ в обслуживании», либо какие-то иные вредоносные воздействия, например, передача вредоносных программ возможна в сетевых пакетах. Все зависит от того, какие настройки применены на данной системе. Возможность обнаружения атак, не предполагающих воздействия на программное обеспечение, как раз таки атак типа «Отказ в обслуживании», это самое главное достоинство систем обнаружения атак на этом уровне. При этом такие системы позволяют обеспечить полный контроль над сетевым взаимодействием узлов сети, обнаружение атак, не обнаруживаемых на других уровнях. Речь идет о том, что сетевые пакеты могут протоколироваться сетевыми системами обнаружения атак, и в итоге администратор безопасности может полностью восстановить картину сетевого взаимодействия между отдельными узлами сети или отдельных узлов сети с глобальной сетью Интернет и таким образом восстановить весь сценарий атаки с тем, чтобы усилить средства защиты информации и не допустить подобных атак в дальнейшем. Другими достоинствами обнаружения атак на сетевом уровне является обнаружение подозрительных действий в сети информационной системы, например, слишком высокая интенсивность сетевого трафика, какие-то некорректные параметры сетевых пакетов, свидетельствующие о том, что в информационной системе может нарушаться политика безопасности или наблюдаться какие-то сбои работы оборудования. Обнаружение атак на уровне сети отличается высокой оперативностью обнаружения атак и реакции на них, практически в реальном времени: нарушитель еще только воздействует на свою цель, а это воздействие уже может быть обнаружено и пресечено. При этом такую атаку нарушителю трудно скрыть, поскольку все сетевые пакеты протоколируются, и при этом администратор получает возможность контролировать одновременно большое число узлов сети просто за счет контроля сетевого трафика между ними. Не лишено и недостатков, к сожалению, обнаружение атак на уровне сети. И таковыми недостатками является, во-первых, зависимость от сетевых протоколов, возможности их обработки... Известно, что даже ряд популярных систем не со всеми сетевыми протоколами способны работать. Это вопрос развития системы обнаружения атак, но если речь идет об использовании нарушителем какого-то редкого, малоиспользуемого сетевого протокола, то велика вероятность того, что система обнаружения атак на уровне сети не способна полностью обрабатывать пакеты, соответствующие данному протоколу. А это приведет к тому, что атака не будет обнаружена. Неприменимы подобные системы, хотя бы в части исследования пользовательских данных, в случае, если в информационной системе применяется шифрование передаваемых данных. И, разумеется, при обнаружении атак на этом уровне будут пропущены атаки, направленные на конкретные уязвимости в операционной системе и прикладном программном обеспечении узлов сети. Если же затем перейти на уровень операционной системы, то здесь в качестве сильных сторон можно назвать возможность контролировать события безопасности в формате «субъект — действие — объект», то есть полностью протоколировать, кто из субъектов какие воздействия на объекты пытался предпринимать и получил ли он положительный результат, то есть добился ли успеха, потому что действие может завершиться и неудачей. Например, субъект попытался открыть файл на чтение, но, поскольку у него отсутствуют соответствующие права, ему было отказано. Еще одна сильная сторона — это возможность обнаруживать атаки, пропускаемые на уровне сети. Речь идет о том, что атаки на конкретные уязвимости операционной системы на уровне сети могут не обнаруживаться как атаки, а вот именно на этом уровне они будут опознаны. И, наконец, обнаружение атак на уровне операционной системы позволяет контролировать действие пользователей и аномалии в их активности. То есть создавать так называемый «профиль пользователя», изучать его поведение в течение некоторого времени, значительного, допустим, месяца или даже более длительного срока, создавать какие-то статистические параметры его поведения, а далее — отслеживать различные нарушения такого шаблона, который был создан в процессе изучения. Еще ряд достоинств можно назвать у обнаружения атак на данном уровне. Это возможность работы в сетях с шифрованием передаваемых данных в случае, если расшифрование происходит немедленно по получении. Далее, максимальный контроль событий на конкретном узле сети достигается именно на этом уровне обнаружения атак. Ну, и на этом уровне можно определить конкретное воздействие и его результат в случае атаки — его успеха или неудачи. Недостатками обнаружение атак на данном уровне является, например, возможность пропуска атак на конкретное программное обеспечение. То есть какие-то воздействия, которые на уровне сети и операционной системы воспринимаются как корректные и не нарушающие политику безопасности, могут при этом быть воздействием на конкретные уязвимости программного обеспечения. Например, отправка какого-то запроса к базе данных, который приведет к тому, что в базе данных будут некорректно изменены записи. Еще один недостаток заключается в том, что обнаружение атак на уровне операционной системы может оказаться неэффективным из-за уязвимости операционной системы. Мы с вами говорили о вредоносном программном обеспечении, которое позволяет в операционной системе скрывать те или иные вредоносные воздействия. Ну, по этой причине сама операционная система может не получить каких-то системных сообщений о происходящих действиях. В этом случае система обнаружения атак, если она связана с штатными средствами информирования операционной системы, может тоже оказаться как бы ослепленной. Для узлов без операционной системы, естественно, обнаружение атак на этом уровне неприменимо. При этом в случае обнаружения атак на этом уровне нагрузка ложится именно на ресурсы конкретного узла, то есть такой подход является весьма ресурсоемким. И, разумеется, для функционирования подобного рода систем обнаружения атак требуется согласование с конкретной операционной системой, установленной на узле сети. Если не соответствует система и операционная система, установленная на узле, то она либо вовсе неприменима, либо, если речь идет, например, об операционных системах одного семейства, но разных версий, то получается ограниченная применимость систем обнаружения атак на данном уровне. Если же мы опускаемся еще ниже, на уровень прикладного программного обеспечения, то сильными сторонами можно назвать возможность обнаружения атак на конкретные приложения, с учетом уязвимостей именно этих приложений, тех атак, которые были раньше пропущены, например, все той же атаки с некорректным запросом к базе данных. И за счет того, что могут быть выбраны только те прикладные программы, которые действительно заслуживают обеспечения безопасности, можно снизить ресурсоемкость по сравнению с уровнем обнаружения атак в соответствующей операционной системе. Недостатками обнаружения атак на данном уровне является то, что атаки на более высоких уровнях не рассматриваются вовсе, а также что требуется актуальная база известных уязвимостей конкретных прикладных программ для того, чтобы такие системы обнаружения атак работали эффективно. [МУЗЫКА] [МУЗЫКА]
