Общие понятия о системах обнаружения и предотвращения вторжений

    И снова здравствуйте. В преддверии старта курса «Реверс-инжиниринг» решили поделиться с вами небольшой статьей по информационной безопасности, которая хоть и имеет довольно косвенное отношение к реверс-инжинирингу, но для многих может стать полезным материалом.





    Глобальный рынок продуктов информационной безопасности развивается под воздействием быстро растущего многообразия сложных и комплексных угроз, что приводит к непосредственному влиянию на бизнес, и становятся востребованными не только для крупных и средних, но и для малых организаций. В настоящее время ситуация обстоит таким образом, когда традиционные средства защиты, такие как межсетевой экран и антивирус, не способны обеспечить надлежащий уровень защиты внутренней сети организации, ведь вредоносное программное обеспечение может «замаскироваться» и отправлять пакеты, которые с точки зрения межсетевого экрана выглядят полностью легитимными. Существует множество коммерческих решений, способных обеспечить надлежащий уровень защиты внутренней сети организации, однако сегодня мы остановимся на таком классе решений, как системы обнаружения вторжений и системы предотвращения вторжений. В англоязычной литературе это Intrusion Detection Systems (IDS) и Intrusion Prevention Systems (IPS).

    Различия между ними заключаются лишь в том, что одна может автоматически блокировать атаки, а другая просто предупреждает об этом.

    Решения данного класса бывают как коммерческими (проприетарными), так и с открытым исходным кодом, и в умелых руках могут стать отличным дополнением к общей системе защиты организации. Данный класс средств защиты относится к методу отслеживания несанкционированных попыток получения доступа к защищаемым ресурсам организации, называемый мониторингом управления доступом. Он нацелен на выявление и регистрацию недостатков в безопасности внутренней инфраструктуры – сетевые атаки, попытки несанкционированного доступа или повышения привилегий, работа вредоносного программного обеспечения и т.д. Таким образом, по сравнению с межсетевым экраном, контролирующим только параметры сессии, IDS и IPS анализируют передаваемые внутренние потоки данных, находя в них последовательности битов, которые могут представлять из себя вредоносные действия или события. Помимо этого, они могут осуществлять мониторинг системных журналов и других файлов регистрации деятельности пользователей.

    Но обо всем по порядку. Итак, IDS – система обнаружения вторжений, предназначенная для регистрации подозрительных действий в сети, и уведомляет о них ответственного за информационную безопасность сотрудника с помощью передачи сообщения на консоль управления, отправки электронного письма, SMS-сообщения на мобильный телефон и т.п.

    Традиционная IDS состоит из сенсоров, которые просматривают сетевой трафик или журналы и передают анализаторам, анализаторы ищут в полученных данных вредоносный характер и в случае успешного обнаружения – отправляет результаты в административный интерфейс. В зависимости от места расположения IDS делятся на сетевые (network-based IDS, NIDS) и хостовые (host-based, HIDS). По названию понятно, что одна отслеживает весь сетевой трафик того сегмента, где она установлена, а другая в пределах единственного компьютера. Для более понятной классификации IDS необходимо выделить еще два подмножества, которые делятся по типу анализируемого трафика: IDS, основанная на протоколе (Protocol-based IDS, PIDS), которая анализирует коммуникационные протоколы со связанными системами или пользователями, а также IDS, основанная на прикладных протоколах (Application Protocol-based IDS, APIDS), предназначенная для анализа данных, передаваемых с использованием специфичных для определенных приложений протоколов.

    Естественно, вредоносную активность в анализируемом трафике обнаружить можно разными способами. Поэтому в IDS существуют следующие характеристики, отличающие друг от друга различные типы технологий IDS и описать их можно следующим образом:

    • Сигнатурные IDS. Отслеживают определенные шаблоны в трафике и работают подобно антивирусному программному обеспечению. Недостатки данного подхода: сигнатуры должны быть в актуальном состоянии и IDS подобного типа не способны выявить незнакомые атаки. Данную категорию также можно разделить на два типа: сигнатурные IDS, отслеживающие шаблоны – сравнивают сетевые пакеты с сигнатурами, и отслеживающие состояние – сравнивают действия с шаблонами. Уверен, что принцип работы сигнатурной NIDS, отслеживающей шаблоны, известен и понятен. Что касается сигнатурной IDS, отслеживающие состояние, то здесь следует уяснить понятие состояния, которым оперирует IDS. Любое изменение в работе системы (запуск программного обеспечения, ввод данных, взаимодействие приложений между собой и т.д.) приводит к изменению состояния. Что касается IDS, то первоначальное состояние – перед началом атаки, а скомпрометированное состояние – после осуществления атаки, т.е. успешное заражение.
    • IDS, основанные на аномалиях. Данный тип IDS не использует сигнатур. Он основан на поведении системы и перед началом работы происходит этап обучения «нормальной» деятельности системы. Поэтому она способна выявлять незнакомые атаки. Аномалии, в свою очередь, в данной категории делятся на три типа: статистические – IDS создает профиль штатной деятельности системы и сравнивает весь проходящий трафик и деятельность с этим профилем; аномалии протоколов – IDS анализирует трафик с целью выявления фрагментов нелегитимного использования протоколов; аномалии трафика – IDS выявляет нелегитимные действия в сетевом трафике.
    • IDS, основанные на правилах. Данные IDS используют «ЕСЛИ ситуация ТОГДА действие» программирование, основанное на правилах. IDS на основе правил похожи на экспертные системы, т.к. экспертная система представляет из себя совместную работу базы знаний, логических выводов и программирования на основе правил. В данном случае знания – это правила, а анализируемые данные можно назвать фактами, к которым применяются правила. Например: «ЕСЛИ пользователь administrator авторизовался в System1 И сделал изменение в File2 ЗАТЕМ запустил «Утилиту3» ТОГДА отправить уведомление», т.е. если пользователь зашел в систему 1 и сделал изменение в файле 2, а затем запустил утилиту 3, то отправить уведомление.

    Таким образом, IDS у нас может предупреждать о вредоносной активности, но зачастую задача стоит именно предотвратить на ранней стадии вредоносную активность. В этом может помочь IPS, которая упоминалась ранее. Методы ее работы относятся к своевременным (превентивным) и проактивным, в отличие от IDS, выполняющей детективные функции. Стоит отметить, что IPS является подклассом IDS, поэтому основана на ее методах обнаружения атак. IPS может работать как на уровне хоста (HIPS), так и на уровне сети (NIPS). Возможность предотвращения атак реализована за счет того, что сетевая IPS, как правило, встраивается «в разрыв» сети и пропускает через себя весь трафик, а также имеет внешний интерфейс, на который приходит трафик и внутренний интерфейс, который пропускает трафик далее, если он признается безопасным. Существует также возможность работы с копией трафика в режиме мониторинга, но тогда мы теряем основной функционал данной системы.

    Глобально IPS можно разделить на те, которые анализируют трафик и сравнивают с известными сигнатурами и те, которые на основе анализа протоколов ищут нелегитимный трафик, основываясь на базе знаний о найденных ранее уязвимостях. За счет второго класса обеспечивается защита от неизвестного типа атак. Что касается методов реагирования на атаки, то их накопилось большое количество, но из основных можно выделить следующие: блокирование соединения с помощью TCP-пакета с RST-флагом или посредством межсетевого экрана, перенастройка коммуникационного оборудования, а также блокирование записей пользователей или конкретного хоста в инфраструктуре.

    В конечном итоге, наиболее эффективной идеей защиты инфраструктуры является совместное использование средств IDS и IPS в одном продукте – межсетевом экране, который с помощью глубокого анализа сетевых пакетов, обнаруживает атаки и блокирует их. Стоит отметить, что речь идет только об одном рубеже защиты, который, как правило, расположен за межсетевым экраном. И чтобы добиться комплексной защиты сети, необходимо использовать весь арсенал средств защиты, например UTM (Unified Threat Management) – совместно работающие межсетевой экран, VPN, IPS, антивирус, средства фильтрации и средства антиспама.

    Столкнувшись с рядом архитектурных проблем, следующим витком развития подобных систем у мировых вендоров стал межсетевой экран нового поколения (NGFW, Next Generation Firewall), который выигрывает за счет параллельного анализа одного и того же трафика всеми средствами защиты, разбора трафика для проверки антивирусом в памяти, а не после того, как он сохранится на жесткий диск, а также за счет анализа протоколов 7 уровня OSI, который позволяет анализировать работу конкретных приложений.
    OTUS. Онлайн-образование
    348,73
    Цифровые навыки от ведущих экспертов
    Поделиться публикацией

    Похожие публикации

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое