Системы обнаружения и предотвращения вторжений

ВВЕДЕНИЕ
Вторжение определяется как любое действие злоумышленника, направленное на получение доступа к информации и изменение нормального функционирования системы. Хотя атака на систему является просто средством саморекламы, общая цель злоумышленника обычно заключается в нанесении ущерба компании.Предотвращение вторжения включает в себя реализацию мер по снижению вероятности успешного вторжения. Меры по предотвращению вторжений включают разработку и внедрение соответствующей политики безопасности; планирование, внедрение и эффективное использование мер и средств информационной безопасности (например, межсетевых экранов, систем обнаружения вторжений); определение источников и методов вторжения; обучение персонала обнаружению и предотвращению угроз безопасности информационных систем. Эти меры предназначены для минимизации ущерба, который может понести организация, и восстановления нормальной работы систем.
НЕОБХОДИМОСТЬ СОЗДАНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК
Системы обнаружения атак (ARS) используются в коммерческих целях с 1990-х годов и работают по принципу подачи сигнала тревоги при обнаружении вторжения. Сигнал тревоги может быть в виде звукового и/или видео предупреждения, например, звукового сигнала или световой вспышки. Также можно установить "тихий" сигнал тревоги, при котором на мобильный телефон отправляется текстовое сообщение. Большинство систем оповещения позволяют администратору многократно реагировать на конкретную угрозу и отправлять соответствующие оповещения; в дополнение к оповещению администратора системы по SMS или электронной почте, если информационная безопасность организации передана на аутсорсинг, можно оповестить отдельную компанию. В современных системах SOA является частью системы предотвращения вторжений (IPS), которая не только обнаруживает вторжения, но и предотвращает их с помощью проактивных методов. Поскольку эти системы часто устанавливаются вместе, современные системы информационной безопасности принято называть системами обнаружения и предотвращения вторжений (IDS).Согласно документу NIST, существует несколько причин, по которым IDS развертываются и используются- Предотвращение вторжений.- Для обнаружения нарушителей (например, для определения IP-адресов).- Потому что атаки необходимо обнаруживать на ранних стадиях.- Необходимость документирования существующих угроз информационной безопасности (ИБ) для организации.- Необходимость мониторинга качества контроля информационных систем.- Необходимость сбора информации о вторжениях для улучшения диагностики, восстановления и устранения причин вторжений.ИСУП является сдерживающим фактором, который снижает способность потенциальных злоумышленников к атакам. Еще одна причина для внедрения IDS заключается в том, что сетевые устройства не всегда защищены от известных уязвимостей и новых типов атак.Существует множество факторов, которые могут ухудшить безопасность информационных систем организации. Например, программное обеспечение, используемое для сканирования сетей на наличие уязвимостей, может быть несовершенным или неадекватным. Даже при правильном выявлении уязвимостей не всегда удается быстро реагировать на угрозы. ITSS может определить поведение злоумышленников, которые сканируют системы безопасности и ИТ-сети организации.Одной из целей IDS является регистрация появления угроз в информационных системах организации. В этом случае SOOPV используется для сбора информации о состоянии ИБ организации с целью своевременного повышения уровня защиты системы в целом и отдельных компонентов безопасности.Наконец, если атаку невозможно предотвратить, SOOP используется для анализа произошедшей атаки, например, как она была проведена, каких эффектов достиг злоумышленник и какие методы были использованы. Эта информация важна для устранения пробелов в системе безопасности и предотвращения будущих атак. Эта информация также может использоваться для обнаружения и преследования злоумышленников.
ВАРИАНТЫ РЕАЛИЗАЦИИ СОПВ
Согласно NIST 800-94, единственной особенностью, отличающей СПВ от СОА, является ее способность обнаруживать угрозы и предотвращать их исполнение. Информационные системы могут быть защищены следующими способами- Сброс сетевого подключения или сеанса, использованного в атаке.- Блокирование доступа к учетным записям пользователей и IP-адресам.- Блокирование доступа к определенным хостам, службам, приложениям или ресурсам.- Изменение параметров политики безопасности, например, изменение конфигурации сетевых устройств для предотвращения доступа злоумышленников к потенциальным целям или включение брандмауэров для блокирования атак.- Если уязвимость обнаружена, установите необходимые обновления.- Изменить характер атаки, например, удалить вирусный файл из письма и разрешить чтение прикрепленных к нему незараженных файлов.СОПВ может быть запущен как часть сетевой системы или только на определенных компьютерах (хостах). Эти две системы показаны на схеме ниже. СОПВ на базе хоста (ХСОПВ) защищает сервер или данные, хранящиеся на хост-компьютере.Сетевые СОПВ (ССОПВ) защищают ИТ-сети. ССОПВ можно разделить на беспроводные ССОПВ и ССОПВ с сетевым анализатором поведения (АПС). Последняя проверяет сетевой трафик и обнаруживает типичные элементы атак DDoS и вредоносных программ.
МЕТОДЫ И СРЕДСТВО СНИЖЕНИЯ РЕАКТИВНОЙ СОСТАВЛЯЮЩЕЙССОП
В устанавливается на устройствах, подключенных к сети. В этом случае он выполняет функцию изучения трафика в этой области сети и поиска элементов, имеющих отношение к атаке. Если атака обнаружена, администратор получает уведомление; ССОПВ может обнаружить гораздо больше угроз, чем OSS, но гораздо сложнее в настройке и обслуживании.Для проверки входящих пакетов и обнаружения атак ССОПВ сравнивает пакеты с базой данных сигнатур, хранящейся в аппаратном обеспечении ССОПВ.Пакет считается аутентифицированным, если он соответствует требованиям хотя бы одного признанного стандарта протокола Интернета и связан с операционной системой или стеком протоколов приложений. Многие типы атак, такие как DoS и DDoS, осуществляются путем отправки неправильно сформированных пакетов или большого количества стандартных пакетов. Многие типы атак, такие как DoS и DDoS, используют уязвимости протокола, посылая неправильно сформированные пакеты или большое количество стандартных пакетов.Важным преимуществом свободного программного обеспечения является то, что оно может поддерживать большие сети с небольшим количеством оборудования. В целом, ССОПВ использует пассивный подход к обнаружению атак. Поэтому, будучи развернутой в существующей сети, она не оказывает существенного влияния на нормальное функционирование сети. Несомненным преимуществом ССОПВ является то, что трудно обнаружить атаки извне.Недостатками ССОПВ являются- Он должен обрабатывать весь сетевой трафик, что возможно не во всех сетях.- Анализ зашифрованных пакетов невозможен.- Для оценки ущерба, нанесенного атакой, требуется участие руководства.ХСОПВ также называют System Integrity Checker. Главное преимущество СОПВ в том, что он может проверять зашифрованный трафик и определять, произошла ли атака, и ХСОПВ не подвержен влиянию изменений в сетевых протоколах. Он также может обнаружить несанкционированное использование программного обеспечения и приложений путем анализа журналов.Однако ХСОПВ сложнее в настройке и обслуживании, чем ССОПВ, и потребляет больше дискового пространства. Кроме того, ХСОПВ не может отслеживать сканирование сети. Кроме того, он отслеживает всю активность на выбранных компьютерах, что снижает общую производительность.
МЕТОДЫ ОБНАРУЖЕНИЯ СОПВ
Существует множество различных методов IPS, но три наиболее распространенных - это методы на основе сигнатур, статистические методы и методы анализа пакетов с учетом состояния.Методы на основе сигнатур исследуют сетевой трафик и ищут элементы в базе данных сигнатур. Это наиболее распространенный метод, поскольку большинство атак имеют четкую сигнатуру. Эти характеристики даются в виде подписей. Однако база данных сигнатур должна постоянно обновляться, иначе новые атаки невозможно будет идентифицировать. Атаки с временными интервалами сложнее обнаружить, поскольку метод сигнатур анализирует сетевую активность за небольшие временные интервалы. Одним из решений для преодоления этого недостатка является хранение и обработка данных на больших временных интервалах. Однако для этого требуется большое количество дискового пространства и вычислительной мощности.Статистические методы основаны на сборе статистики трафика во время нормальной работы сети. Полученные статистические данные сравниваются с текущим состоянием сети с помощью статистических методов через определенные промежутки времени. Если сетевая активность превышает определенный порог, ответственный сотрудник информируется об этом. Статистика может включать использование памяти и процессора, типы полученных пакетов и их количество и т.д. Преимуществом этого метода является возможность выявления новых типов атак. К сожалению, этот метод требует больше памяти и вычислительной мощности. Кроме того, не всегда возможно обнаружить статистически малые изменения в атаке с помощью этого метода. Если поведение пользователей компьютерной системы невозможно предсказать, этот метод неэффективен, поскольку может дать большое количество ложных срабатываний.Анализ состояния протокола - это метод мониторинга всех коммуникаций между внешними и внутренними системами путем записи источника, пункта назначения и времени передачи пакетов. Согласно NIST SP 800-94, анализ протокола - это процесс сравнения априорно известного профиля активности каждого состояния протокола или события Согласно NIST SP 800-94, анализ протокола - это процесс сравнения априорно известного профиля активности каждого состояния протокола или события для выявления выбросов. Этот подход опирается на общий профиль поставщика, который определяет, как протокол должен и не должен использоваться. Данные, собранные во время работы системы, используются для обнаружения атак, использующих большое количество запросов. Этот процесс иногда называют глубокой проверкой пакетов. Его также можно использовать для изучения сеансов входа в систему с целью обнаружения "подозрительной" активности.Основным недостатком этой техники является высокая стоимость мониторинга всех коммуникаций. Если сетевой протокол (IP, UDP, TCP и т.д.) не нарушает никаких стандартов, система не сможет определить вторжение.Поведение IPS зависит от выбранного метода обнаружения и конфигурации системы. В зависимости от конфигурации система может собрать дополнительную информацию о вторжении, изменить сетевые настройки, подать сигнал тревоги или остановить вторжение. При настройке ARS необходимо правильно рассчитать реакцию системы на угрозу. Например, если реакция системы IPS на атаку типа "отказ в обслуживании" заключается в уменьшении количества активных сетевых соединений, то атака, по сути, достигла своей цели.Ответы на угрозы можно разделить на проактивные и реактивные. Проактивное реагирование относится к действиям, предпринимаемым после обнаружения угрозы ИБ. Этот ответ включает в себя сбор дополнительной информации, изменение сетевого окружения и борьбу со злоумышленником. Пассивная реакция заключается в передаче собранной информации ответственному лицу и ожидании непосредственного участия администратора. Администратор обычно выбирает набор действий после анализа собранных данных. Предпочтительна модель "после ответа".
ЗАКЛЮЧЕНИЕ
Системы обнаружения и предотвращения вторжений являются важной составляющей в комплексе мер по организации защиты информации в информационной системе организации. В СОПВ имеет место уязвимости и их нужно компенсировать другими средствами. Таким образом, СОПВ может выполнять следующие функции:· слежение и анализ системных событий и пользовательского поведения;· тестирование настроек системы безопасности;· создание основы нормального состояния системы, с последующим сравнением текущих состояний;· распознавание элементов системных событий, относящихся к известным атакам;· распознавание нормальной работы сети;· управление аудитом операционных систем и ведение логов генерируемых данных;· извещение персонала о обнаруженных атаках;· выполнять внешними экспертам функции мониторинга информационной безопасности.К сожалению, в СОПВ имеет место некоторые ограничения на использование. К таким ограничениям можно отнести:· несвоевременное обнаружение, уведомление и реагирование на атаки при большом потоке входящей информации;· сложность обнаружения новых видов или вариантов уже известных атак;· невозможность эффективно реагировать на атаки злоумышленников, обладающих высокой квалификацией;· отсутствие возможности исследовать атаки без участия человека;· не обеспечивает надежную защиту от атак, направленных на уничтожение СОПВ.Размещение и внедрение СОПВ не всегда является простой задачей. При установке СОПВ следует учитывать множество условий: настройка системы, особенности построения информационной сети организации. Одной из основных проблем внедрения СОПВ является управление системой.
СПИСОК ЛИТЕРАТУРЫ
1. Scarfone K., Mell P. Guide to Intrusion Detection and Prevention Systems (IDPS) // NIST Special Publication 800-94. Gaithersburg, MD 20899-8930, 2007. - 127с.2. Fry C., Nystrom M. Security monitoring. - Sebastopol: O'Reilly Media, Inc., 2009. - 248c.3.Scarfone K., Bace R. NIST SP 800-31 // NIST, 2001. - 51c.