Задачи, преследуемые в борьбе с хакерами, достаточно очевидны:

Уведомление: о предпринятой попытке несанкционированного доступа должно быть известно немедленно;

Отражение атаки и минимизация потерь: чтобы противостоять злоумышленнику, следует незамедлительно разорвать сеанс связи с ним;

Переход в контрнаступление: хакер должен быть идентифицирован и наказан.

Именно такой сценарий использовался при тестировании четырех наиболее популярных систем выявления сетевых атак из присутствующих сегодня на рынке. Программное обеспечение BlackICE и ICEcap производства Network ICE получило Голубую ленту за доблесть, проявленную в сражении с хакерами, и титул «Продукт мирового класса» (World Class Award) за превосходные средства мониторинга сетевого трафика и выдачи предупреждающих сообщений.

BlackICE - специализированное приложение-агент, которое предназначено исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию, поступившую от разных агентов, и стремящемуся локализовать атаку на сеть.

Впрочем, протестированные продукты трех других производителей тоже неплохо справлялись со своими обязанностями. Так, ПО Intruder Alert компании Axent Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, поскольку оно предоставляет максимальную гибкость в определении стратегий защиты сети. Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его составе нам удалось обнаружить средства контроля за системой безопасности, мониторинга трафика, выявления атак и выдачи предупреждающих сообщений. Система eTrust Intrusion Detection корпорации Computer Associates, напротив, особенно сильна функциями контроля за информационной безопасностью и управления стратегиями защиты, хотя и в этом продукте реализованы средства выдачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.

Общая тревога

Хакеры нечасто бесцеремонно вторгаются в вашу сеть с оружием в руках. Вместо этого они предпочитают проверить, надежны ли запоры на задней двери и все ли окна вы закрыли. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее, отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные отдельным пользователям и сетевым устройствам.

Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное ПО детектирования сетевых атак, обладающее высокой чувствительностью. Приобретаемый продукт должен предупреждать администратора не только о случаях явного нарушения системы информационной безопасности, но и о любых подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительности скрывают полномасштабную хакерскую атаку.

Нет нужды доказывать, что о всякой активной попытке взлома системных паролей администратор должен быть извещен немедленно. Но предположим, что один из компьютеров сети получил ping-запрос от управляющего приложения pcANYWHERE. Источником такого события может быть как зарегистрированный удаленный пользователь указанного ПО, так и хакер, стремящийся установить связь с незащищенной станцией-клиентом, где инсталлировано приложение pcANYWHERE. В обоих случаях эта ситуация должна быть отмечена для последующего углубленного анализа.

Предупреждения, генерируемые агентами BlackICE, очень конкретны, чтобы не сказать прямолинейны. Вот примеры выдаваемых ими сообщений: «Атака BackOrifice», «Команда ping от pcANYWHERE», «Unix-команда scan». Подобный текст не заставит администратора усомниться в характере зарегистрированного события, а в большинстве случаев и в его важности. Кроме того, продукт позволяет администратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет никакой необходимости.

Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert компании Axent Technologies является возможность загрузки самых свежих сигнатур хакерских атак с сервера фирмы-производителя: ведь именно сигнатуры позволяют точно идентифицировать злоумышленника. Правда, отыскать интересовавшие нас сигнатуры для ПО Intruder Alert оказалось не так-то просто, зато на сервере корпорации Network ICE мы сразу нашли все что нужно.

По средствам уведомления администратора пальму первенства могли бы разделить упомянутый пакет Intruder Alert и система Centrax производства CyberSafe, однако они превратятся в эффективное средство отражения внешних нападений только после того, как будут определены наборы правил, относящиеся к защите данных, заданы тексты предупреждающих сообщений и сконфигурированы сценарии их выдачи. Другими словами, эти две разработки представляют собой скорее инструментарий для построения собственной системы детектирования сетевых атак. Чтобы в полной мере воспользоваться их возможностями, организация должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу по схеме аутсорсинга.

Как написано в «Руководстве пользователя» к пакету Intruder Alert, «необходимо выполнить компоновку правил защиты для выявления таких изощренных атак, в которых используются сетевые зонды или SYN-запросы». Приведенная фраза вызвала у нас неподдельное удивление, поскольку упомянутые в ней атаки широко распространены и непонятно, почему средства их выявления надо разрабатывать с нуля.

Несмотря на то что все испытывавшиеся продукты легко инсталлируются, управление системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выдает предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отличаются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обычному человеку достаточно только намекнуть, о чем может идти речь, и характер происходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификаторов. Администратор видит адреса портов, к которым относились подозрительные запросы, либо параметры других операций, но не получает никакой информации о том, что же все это может означать.

Отмеченное обстоятельство сильно снижает ценность сообщений, выдаваемых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь попытка провести более тщательный анализ трафика. Иными словами, покупать названные продукты имеет смысл лишь в том случае, если в штате вашей организации есть опытные специалисты по информационной безопасности. Впрочем, фирма CyberSafe, как и ее конкуренты Axent и Network ICE, за отдельную плату оказывает профессиональные консалтинговые услуги в данной области.

Программное обеспечение eTrust Intrusion Detection корпорации Computer Associates представляет собой нечто большее, чем просто систему мониторинга сетевой активности и выявления хакерских атак. Этот продукт способен не только декодировать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система производства CA осуществляет мониторинг всего трафика TCP/IP и предупреждает администратора о случаях нарушения установленных стратегий в области информационной безопасности. Правда, эта разработка не поддерживает такого же уровня детализации наборов правил, как Intruder Alert.

В любом случае продукт Computer Associates не стоит сбрасывать со счетов. Представление захваченных сетевых пакетов в их первоначальном формате позволяет администратору использовать eTrust для чтения электронной почты, просмотра содержимого Web-страниц, которые загружают пользователи на свои компьютеры, и идентификации запрашиваемых ими документов. Все это заметно упрощает наблюдение за подозрительными видами сетевой активности. Однако чтобы достичь подлинного разнообразия типов сетевых атак, выявляемых этим пакетом, администратору придется сначала потратить изрядное количество времени на разработку наборов правил и интеграцию их в систему eTrust Intrusion Detection.

В пылу борьбы

С целью проверить способность каждого из пакетов обнаружить попытку вторжения и дать неприятелю достойный отпор мы попытались сымитировать несколько серьезных хакерских атак на тестовую сеть. Единственными продуктами, сумевшими распознать все предпринятые атаки и сгенерировать соответствующие предупреждения, оказались BlackICE и ICEcap компании Network ICE. Все остальные пропустили отдельные события, представлявшие серьезную угрозу сетевой безопасности, в основном из-за невозможности детально описать стратегии защиты. Например, в ответ на атаку типа BackOrifice программы Centrax и Intruder Alert просто не могли ничего предпринять, поскольку не знали, к какому типу относится возникшая угроза. Эти два продукта оказались особенно сложными в плане конфигурирования, так что нападение типа BackOrifice нам просто не удалось описать. Что же касается упомянутых BlackICE и ICEcap, моделировавшиеся атаки сразу же выявлялись и мы немедленно получали предупреждающие сообщения.

Нельзя не признать, что в конечном счете не все угрозы были опознаны из-за того, что мы не обладали достаточным опытом работы с этими сложными продуктами, ведь после нескольких попыток нам удалось-таки залатать дыры, которые первоначально возникли в системе сетевой защиты. Однако в реальной жизни никто не может позволить себе роскошь второго или третьего «подхода к снаряду», особенно столкнувшись с новым типом несанкционированного доступа, несущего реальную угрозу бизнесу компании. Вот почему мы отдали свои симпатии разработкам фирмы Network ICE: они оказались в состоянии полной боевой готовности сразу после инсталляции.

В процессе отражения атак неприятеля легко увлечься защитой ресурсов корпоративной сети как таковой. Но нельзя забывать и о безопасности удаленных сотрудников. В этом отношении нам показалось особенно полезным присутствие в составе ПО BlackICE персонального брандмауэра, предназначенного для пользователей, которые работают в сети своей организации через коммутируемое соединение. Как известно, с удаленным доступом связано наибольшее число лазеек для недоброжелателей, и система BlackICE была единственным из протестированных продуктов, обеспечивающим комплексную защиту удаленных и мобильных пользователей.

BlackICE выдает предупреждающие сообщения непосредственно на экран удаленной станции-клиента, а не пытается немедленно отправить их на управляющую консоль корпоративной сети. Это позволяет пользователю оперативно среагировать на происходящее. Впрочем, в последующих версиях этого продукта мы все же надеемся увидеть функцию генерации отчетов, передающую информацию о нападении, которому подвергся удаленный компьютер, на центральную административную консоль, поскольку анализ этих сведений помог бы бороться с аналогичными атаками в дальнейшем.

Однако детектирование попыток несанкционированного доступа и выдача предупреждающих сообщений - это только полдела. Программные средства сетевой защиты должны остановить действия хакера и принять контрмеры. В этом смысле наилучшее впечатление на нас произвели пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies можно настроить таким образом, что оно будет запускать на выполнение тот или иной командный файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.

Отразив атаку, хочется сразу перейти в контрнаступление. Приложения BlackICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполняются после прослеживания всего пути до «логовища», где затаился неприятель. Возможности программного обеспечения BlackICE особенно впечатляют, когда дело доходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.

А вот система eTrust поразила нас степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находится под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках и их расположении. В ходе тестирования, воспользовавшись ПО BlackICE, мы попытались выявить предполагаемых хакеров внутри сети, а затем при помощи пакета eTrust определить их точное местонахождение.

Завершая тему, отметим, что приложение Centrax способно создавать так называемые файлы-приманки, присваивая второстепенному файлу многозначительное название вроде «Ведомость.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алгоритм представляется нам слишком прямолинейным, но и он может сослужить неплохую службу - с его помощью удается «застукать» сотрудников за «прочесыванием» корпоративной сети на предмет выявления конфиденциальной информации.

Каждый из протестированных продуктов генерирует отчеты о подозрительных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. Последний пакет отличается особенной гибкостью, возможно, потому, что ведет свое происхождение от декодера протоколов. В частности, администратор может проанализировать сетевые события в проекции на отдельные ресурсы, будь то протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разработанных форматов отчетов. Их хорошо продуманная структура заметно облегчает обнаружение злоумышленников и позволяет наказать провинившихся пользователей.

Резюме

Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите коммутируемых сетей, неплохим выбором, на наш взгляд, являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection корпорации CA идеален для своевременного уведомления о случаях нарушения этики бизнеса, например об употреблении ненормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax являются прекрасным инструментарием для консультантов по вопросам информационной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услугам высокооплачиваемых гуру, мы рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.

ОБ АВТОРЕ

Тер Парнелл - консультант по телекоммуникационным технологиям и независимый автор из Далласа (шт. Техас). С ним можно связаться по электронной почте:

SYN-атаки

Эти попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service), таят в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов SYN (запросов на установление соединения), адресованных атакуемому серверу. Каждый запрос снабжается фальшивым адресом источника, что значительно затрудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос SYN, сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то что данные после этого не поступают, сервер обязан выждать определенное время (максимум 45 секунд), перед тем как разорвать соединение. Если несколько тысяч таких ложных запросов будут направлены на сервер в течение считанных минут, он окажется перегружен их обслуживанием, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате предпринятой SYN-атаки настоящим пользователям будет отказано в обслуживании.

Архитектурные вариации

Способность того или иного приложения выявлять злоумышленников напрямую зависела от его архитектуры и от усилий, требующихся для настройки конфигурации продукта. Во всех тестировавшихся системах, за исключением eTrust Intrusion Detection корпорации Computer Associates, использована модель программных агентов, которые сначала инсталлируются на сетевых устройствах, а затем осуществляют сбор информации о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответствующие сообщения. Системы на базе агентов являются наилучшим решением для коммутируемых сетей, поскольку в таких сетях не существует какой-либо одной точки, через которую обязательно проходит весь трафик. Вместо того чтобы следить за единственным соединением, агент осуществляет мониторинг всех пакетов, принимаемых или отправляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором. Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе BlackICE отведена роль агента, устанавливаемого в полностью автономной операционной среде, например на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. ICEcap собирает и сопоставляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопасности сети. Система eTrust, напротив, основана на централизованной архитектуре. Она устанавливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все события в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смотровую площадку», откуда вся сеть была бы видна как на ладони.

Процедура тестирования

Для изучения функциональных возможностей программ обнаружения сетевых атак в тестовую сеть были объединены три сервера под Windows NT 4.0, брандмауэр, пять рабочих станций с операционной системой Windows NT Workstation и десять компьютеров под Windows 95 или 98. Клиентские компьютеры были оснащены процессорами Pentium II-266, а серверы - процессорами Pentium III с тактовой частотой 500 МГц. На отдельном компьютере (также с процессором Pentium III-500) был установлен брандмауэр Raptor Firewall for NT 5.0.1 компании Axent Technologies. Указанный брандмауэр мы сконфигурировали таким образом, что компьютеры сети в ответ на поступавшие извне запросы могли предоставлять наиболее общеупотребительные сервисы вроде DNS, HTTP и telnet, однако любое взаимодействие с внешним миром по протоколам FTP и SMTP допускалось только через брандмауэр. Впрочем, для имитации атаки, приводящей к отказам в обслуживании, мы разрешили брандмауэру пропускать SYN-запросы. После инсталляции продукта мы запустили сценарии, позволившие смоделировать традиционную сетевую активность: обращение к документам, базам данных и Web-серверам, а также отправку и прием сообщений электронной почты. Затем мы предприняли несколько открытых хакерских атак на тестовую сеть и ряд замаскированных подозрительных действий. Здесь были и попытка прямого несанкционированного вторжения, и атака при помощи SYN-запросов, и сканирование трафика на отдельных портах, а также стробирующее и разделяемое сканирование пакетов, атака типа BackOrifice и выдача команд ping ко всем узлам сети. Перейдя в наступление на сеть, мы тут же регистрировали выдачу предупреждающих сообщений, факты активизации средств защиты данных (в том числе на основе наборов правил), инициируемые тестировавшимися системами, и работу механизмов обнаружения источника атаки. Впоследствии нам удалось также проанализировать содержание сгенерированных отчетов, результаты слежения за действиями «хакера» и рекомендации в области сетевой защиты, выданные отдельными системами. Если продукт советовал администратору произвести корректирующие действия или исправить ошибку в конфигурации, мы скрупулезно следовали этим рекомендациям, а затем предпринимали атаку повторно. В том случае, когда системе удавалось идентифицировать возмутителя спокойствия, мы проверяли, насколько эта идентификация соответствует действительности. Наконец, у всех приложений оценивались функции управления выдачей уведомлений и генерацией отчетов о зафиксированных событиях, а также простота использования продуктов.

Полное название таких систем, это системы предотвращения и обнаружения атак . Или же называют СОА как один из подходов к . Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать .

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают .

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

• реализует очевидные проколы
• реализует неоднократные попытки на вхождение в сеть
• пытается замести свои следы
• реализует атаки в разное время

Рисунок — 1

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

• выявление злоупотреблений
• выявление аномалий

Рисунок — 2

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

• границы сегментов
• сетевые сегменты
• объекты с доверием и без
• ACL — списки контроля доступа
• Службы и сервера которые есть

Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.

Средства обнаружения атак

Технология обнаружения атак должна справляться со следующим:

• Распознавание популярных атак и предупреждение о них определенных лиц
• Понимание непонятных источников данных об атаках
• Возможность управления методами защиты не-специалистами в сфере безопасности
• Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
• Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю

Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:

• Контроль эффективность . Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
• Контроль узлов сети с устаревшим ПО
• Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
• Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем

Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.

Классификация систем обнаружения атак

Существует множество классификаций систем обнаружения атак, однако самой топовой есть классификация по принципу реализации:

• host-based — система направлена на конкретный узел сети
• network-based — система направлена на всю сеть или сегмент сети

Системы обнаружения атак которые стоят на конкретных компьютерах, обычно анализируют данных из журналов регистрации ОС и разных приложений. Однако в последнее время выпускаются программы которые тесно интегрированные с ядром ОС.

Плюсы систем обнаружения атак

Коммутация разрешает управлять большими сетями, как несколькими небольшими сетевыми сегментами. Обнаружение атак на уровне конкретного узла дает более эффективную работу в коммутируемых сетях, так как разрешает поставить системы обнаружения на тех узлах, где это нужно.

Системы сетевого уровня не нуждаются, что бы на хосте ставилось ПО системы обнаружения атак. Для контроля сетевого сегмента, нужен только один сенсор, независимо от количества узлов в данном сегменте.

Пакет отправленный от злоумышленника, не будет возвращен назад. Системы которые работают на сетевом уровне, реализуют обнаружение атак при живом трафике, тоесть в масштабе реального времени. Анализируемая информация включает данные, которые будут доказательством в суде.

Системы обнаружения которые работают на сетевом уровне, не зависят от ОС. Для таких систем все равно, какая именно ОС создала пакет.

Технология сравнения с образцами

Принцип таков, что идет анализ наличия в пакете определенной постоянной последовательности байтов — шаблон или сигнатуры. К примеру, если пакет протокола IPv4 и транспортного протокола TCP, он предназначен порту номеру 222 и в поле данных содержит строку foo , это можно считать атакой. Положительные стороны:

• самый простой механизм обнаружения атак;
• разрешает жестко сопоставить образец с атакующим пакетом;
• работает для всех протоколов;
• сигнал об атаке достоверен, если же образец верно определен.

Отрицательные стороны:

• если атака нестандартная, есть вероятность пропустить ее;
• если образец слишком обобщен, то вероятен большой процент ложных срабатываний;
• Возможно что придется создавать несколько образцов для одной атаки;
• Механизм ограничен анализом одного пакета, уловить тенденцию и развитие атаки не возможно.

Технология соответствия состояния

Так как атака по своей сущности это не единичный пакет, а поток пакетов, то этот метод работает с потоком данных. Проходит проверка несколько пакетов из каждого соединения, прежде чем делается вердикт.
Если сравнивать с предыдущим механизмом, то строка foo может быть в двух пакетах, fo и o . Итог срабатывания двух методов я думаю понятен.
Положительные стороны:

• этот метод немного сложнее от предыдущего метода;
• сообщение об атаке правдиво, если образец достоверный;
• разрешает сильно увязать атаку с образцом;
• работает для всех протоколов;
• уклонение от атаки более сложнее чем в прошлом методе.

Отрицательные стороны:

• Все отрицательные критерии идентичны как и в прошлом методе.

Анализ с расшифровкой протокола

Этот метод реализует осмотр атак на отдельные протоколы. Механизм определяет протокол, и применяет соответственные правила. Положительные стороны:

• если протокол точно определен, то снижается вероятность ложных срабатываний;
• разрешает жестко увязать образец с атакой;
• разрешает выявить случаи нарушения правил работы с протоколами;
• разрешает улавливать разные варианты атак на основе одной.

Отрицательные стороны:

• Механизм является сложным для настройки;
• Вероятен высокий процент ложных срабатываний, если стандарт протокола разрешает разночтения.

Статический анализ

Этот метод предполагает реализации логики для определения атак. Используются статистическая информация для анализа трафика. Примером выявления таких атак будет выявление сканирования портов. Для механизма даются предельные значения портов, которые могут быть реализованы на одном хосте. В такой ситуации одиночные легальные подключения в сумме дадут проявление атаки. Положительные стороны:

• Есть такие типы атак, которые могут быть выявлены только этим механизмом.

Отрицательные стороны:

• Такие алгоритмы требуют сложной тонкой дополнительной настройки.

Анализ на основе аномалий

Этот механизм используется не для четкого обнаружения атак, а для обнаружения подозрительной активности, которая отличается от нормальной. Основная проблема настройки такого механизма, это определения критерия нормальной активности. Также нужно учитывать допустимые отклонения от обычного трафика, которые не есть атакой. Положительные стороны:

• Правильно настроенный анализатор выявляет даже неизвестные атаки, но нужно дополнительная работа по вводу новых правил и сигнатур атак.

Отрицательные стороны:

• Механизм не показывает описание атаки по каждому элементу, а сообщает свои подозрение по ситуации.
• Что бы делает выводы, не хватает полезной информации. В сети зачастую транслируется бесполезная.
• Определяющий фактор это среда функционирования.

Варианты реакций на обнаруженные атаки

Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования.

Категория ~ Безопасность – Игорь (Администратор)

О предотвращении и обнаружении вторжений

Прошли те времена, когда вирус был просто вирусом, а все остальное было "тем что надо"! Сейчас же все не совсем так. Наиболее известная опасность - это программы под общим названием «вредоносные программы» (Malware). Такие программы постоянно развиваются и представляет собой серьезную угрозу вашей безопасности.

В дополнение к уже привычным модулям работы с файлами, реестром и приложениями, Malware Defender также включает в себя модуль мониторинга сети, включающий в себя возможность так же просматривать все соединения. Это делает его идеальным компаньоном для тех, кто использует стандартный брендмауэр Windows, и не хочет углубляться в мир брендмауэров и защиты сети.

Несмотря на то, что данная программа имеет большое количество плюсов, все же ее сложность использования для обычного пользователя - делает ее определенно не масштабной. Конечно, ошибки могут быть исправлены путем обратного изменения правил разрешения, правда если вы не запретили жизненно важные функции системы, тогда есть вероятность, что вернуться назад будет не так уж просто.

Программа предотвращения вторжения WinPatrol мощный инструмент для всех пользователей

помогает защитить компьютеры всех стран уже более десяти лет. У данной программы множество поклонников. Недавно она была обновлена для большей совместимости с Windows Vista/7. Главной целью программы является предупреждение пользователя о внесении изменений в систему, которые могут быть последствием работы вредоносных программ. Для того чтобы достигнуть цели, она делает моментальный снимок настроек системы. И в случае любых изменений оповещает пользователя. WinPatrol в своей работе использует эвристический подход, который дает больше уверенности в том, что у вас не появится новых вредоносных программ, нежели традиционные сигнатурные сканеры, которые сильно зависят от наличия обновлений.

WinPatrol предупредит вас о любых новых изменениях, которые пытаются произвести программы. Можно сказать, что WinPatrol является достаточно эффективным средством по борьбе с целым рядом вредоносных программ, таких как: черви, троянские программы, программы, модифицирующие cookie, рекламное и шпионское ПО. Множество возможностей настройки системы (такие как " ", "задания" и т.д.), которые раскиданы в ней же, продублированы в интерфейсе WinPatrol, что позволяет быстро и удобно отслеживать состояние системы. Также вы можете использовать WinPatrol для фильтрации нежелательных cookie и IE-дополнений.

По состоянию на V19.0, WinPatrol стал "облачным решением". Большая часть дополнительной функциональности доступна только пользователям платной версии Plus. Сообщество пользователей WinPatrol позволяет рассчитывать на хорошую обратную связь при возникновении проблем. При чем, все решения рассмотренных проблем доступны как пользователям бесплатной версии, так и платной.

Программа предотвращения вторжения MJ Registry Watcher мониторинг реестра и файловой системы

еще одна утилита, о которой, может быть, знает не так уж много людей, но которая является достаточно неплохой. Это достаточно простая программа по отслеживанию реестра, файлов и директорий, которая гарантирует безопасность наиболее важных мест вашей системы. Она потребляет очень мало ресурсов систем. Метод действия очень простой. Каждые 30 секунд программа опрашивает систему. Если необходимо, то время опроса можно изменить. Все настройки утилиты хранятся в конфигурационном файле, что очень удобно, когда вам необходимо иметь возможность быстро настроить утилиту "под себя". MJ Registry Watcher не только опрашивает систему на изменения, но также практически мгновенно перехватывает управление большинства изменений в ключах реестра, файлах и папках. Удаление ключей в реестре также перехватывается в рамках опроса системы.

Список ключей и файлов, которые будут отслеживаться, полностью настраивается пользователем. Не надо пугаться. MJ Registry Watcher имеет собственные списки, которые подойдут большинству пользователей. Для работы с этой утилитой, пользователь должен обладать средними знаниями о системе. Эту утилиту особенно оценят пользователи, которые предпочитают обеспечивать многоуровневую защиту путем использования множества небольших специализированных утилит. Утилита не требует установки. Просто скачайте и запустите.

Программа также включает: мониторинг процессов , мониторинг работы с файлами и папками, мониторинг электронной почты и модуль для работы с карантином.

Руководство по быстрому выбору (ссылки для скачивания бесплатных программ обнаружения и предотвращения вторжений)

Malware Defender

		Обеспечивает комплексную защиту, включая мониторинг сети.
		Обычным пользователям будет не просто разобраться, так как домашняя страница на китайском языке.
		http://www.softpedia.com/get/Security/Secure-cleaning/Malware-Defender.shtml
		-------------
		1.9 MB 2.8 Unrestricted freeware Windows 2K/XP/2003/2008/Vista/7

WinPatrol

		Обеспечивает комплексную защиту.
		При наведении на иконку в списке запущенных программ (снизу справа) показывает сообщение "Scotty is currently on patrol", что не очень привычно.
		http://www.winpatrol.com/
		https://www.winpatrol.com/mydownloads/
		900 kb 29.0.2013 Unrestricted Freeware Windows
		Доступна 64 битная версия

Злоумышленнику, чтобы получить доступ к информации Вашей компании, необходимо пройти несколько эшелонов защиты. При этом он может использовать уязвимости и некорректные настройки конечных рабочих станций, телекоммуникационного оборудования или социальную инженерию. Атаки на информационную систему (ИС) происходят постепенно: проникновение в обход политик информационной безопасности (ИБ), распространение в ИС с уничтожением следов своего присутствия и только потом непосредственно атака. Весь процесс может занять несколько месяцев, или даже лет. Зачастую ни пользователь, ни администратор ИБ не подозревают об аномальных изменениях в системе и проводимой на нее атаке. Все это приводит к угрозам нарушения целостности, конфиденциальности и доступности информации, обрабатываемой в ИС.

Для противодействия современным атакам недостаточно традиционных средств защиты, таких как межсетевые экраны, антивирусы и т.п. Требуется система мониторинга и обнаружения потенциально возможных атак и аномалий, реализующая следующие функции:

• обнаружение попыток вторжений в информационные системы;
• детектирование атак в защищаемой сети или ее сегментах;
• отслеживание неавторизованного доступа к документам и компонентам информационных систем;
• обнаружение вирусов, вредоносных программ, троянов, ботнетов;
• отслеживание таргетированных атак.

Важно учесть, что если в ИС компании обрабатывается информация, подлежащая обязательной защите в соответствии с требованиями российского законодательства (например, персональные данные), то необходимо использовать сертифицированные средства защиты, прошедшие процедуру оценки соответствия регуляторами ФСТЭК России и/или ФСБ России.

С-Терра СОВ

На протяжении многих лет компания «С-Терра СиЭсПи» производит VPN-продукты для организации криптографической защиты передаваемых данных и межсетевого экранирования. В связи с возросшими потребностями пользователей в повышении общего уровня безопасности ИС, компания «С-Терра СиЭсПи» разработала специальное средство защиты информации, обеспечивающее обнаружение атак и аномальных активностей.

С-Терра СОВ представляет собой средство защиты, позволяющее администраторам информационной безопасности выявлять атаки, основываясь на анализе сетевого трафика. В основе работы данного средства защиты лежит использование механизмов сигнатурного анализа.

При анализе сетевого трафика с помощью сигнатурного метода администратор всегда сможет точно установить, какой конкретно пакет или группа пакетов вызвали срабатывание сенсора, отвечающего за детектирование аномальной активности. Все правила чётко определены, для многих из них можно проследить всю цепочку: от информации о деталях уязвимости и методах её эксплуатации, до результирующей сигнатуры. В свою очередь, база правил сигнатур обширна и регулярно обновляется, тем самым гарантируя надежную защиту ИС компании.

Для минимизации рисков от принципиально новых атак нулевого дня, для которых отсутствуют сигнатуры, в состав продукта С-Терра СОВ включен дополнительный метод анализа сетевой активности – эвристический. Этот метод анализа активности строится на основе эвристических правил, т.е. на основе прогноза активности ИС и ее сопоставления с нормальным «шаблонным» поведением, которые формируются во время режима обучения данной системы на основе ее уникальных особенностей. За счет применения данного механизма защиты, С-Терра СОВ позволяет обнаружить новые, ранее неизвестные атаки или любую другую активность, не попавшую ни под какую конкретную сигнатуру.

Сочетание сигнатурного и эвристического анализов позволяет обнаружить несанкционированные, нелегитимные, подозрительные действия со стороны внешних и внутренних нарушителей. Администратор ИБ может прогнозировать возможные атаки, а также выявлять уязвимости для предотвращения их развития и влияния на ИС компании. Оперативное детектирование возникающих угроз позволяет определить расположение источника атаки по отношению к локальной защищаемой сети, что облегчает расследование инцидентов ИБ.

Таблица 1. Функциональность С-Терра СОВ

Возможности продукта	Подробное описание
Варианты исполнения	Программно-аппаратный комплекс В виде виртуальной машины
Операционная система	Debian 7
Определение атак	Сигнатурный анализ Эвристический анализ
Управление	Графический интерфейс Командная строка
Регистрация атак	Запись в системный журнал Отображение в графическом интерфейсе
Обновление базы данных сигнатур	Off-line режим On-line режим
Механизмы оповещения	Вывод на консоль администратора Электронная почта Интеграция с SIEM-системами
Работа с инцидентами	Выборочный контроль отдельных объектов сети Поиск, сортировка, упорядочивание данных в системном журнале Включение/отключение отдельных правил и групп правил
Дополнительные механизмы защиты	Защита канала управления с использованием технологии VPN IPsec по ГОСТ 28147-89, ГОСТ Р 34.10-2001/2012 и ГОСТ Р 34.11-2001/2012 Контроль целостности программной части и конфигурации СОВ
Сертификаты соответствия	Ожидается сертификация ФСТЭК России: СОВ 4, НДВ 4, ОУД 3

Система обнаружения атак С-Терра СОВ имеет удобный интерфейс, управление и контроль осуществляется по защищенному каналу с применением технологии IPsec на отечественных криптоалгоритмах ГОСТ.

Использование С-Терра СОВ в качестве компонента защиты повышает общий уровень защищенности ИС благодаря постоянному анализу изменений ее состояния, выявлению аномалий и их классификации. Наглядный и функциональный веб-интерфейс управления и контроля над системой обнаружения вторжений, а также наличие дополнительных утилит управления, позволяет корректно настроить сенсоры событий, эффективно обрабатывать и представлять результаты анализа трафика.

Схема включения С-Терра СОВ

С-Терра СОВ размещается в сегменте локальной сети (например, DMZ-зоне), весь трафик, циркулирующий в этом сегменте, дублируется и перенаправляется на средство защиты через «зеркалирующий» span-порт коммутатора. Управление осуществляется через отдельный интерфейс по защищенному каналу. Более подробная схема включения в ИС компании представлена на рисунке 1 .

Рисунок 1. Схема включения отдельных С-Терра СОВ и С-Терра Шлюз

На одном устройстве могут одновременно работать С-Терра Шлюз для шифрования трафика и межсетевого экранирования, а также С-Терра СОВ – для обнаружения сетевых атак. Подробная схема такого включения представлена на рисунке 2 .

Рисунок 2. Схема включения совместной работы С-Терра СОВ и С-Терра Шлюз

Выбор продуктов

С-Терра СОВ поставляется в виде программно-аппаратного комплекса или в виде виртуальной машины для популярных гипервизоров (VMware ESX, Citrix XenServer, Parallels, KVM).

Выбор конкретного исполнения зависит от объемов передаваемой по сети информации, количества используемых сигнатур и других факторов.

Если предпочтительной является аппаратная платформа, то есть возможность выбрать из трех вариантов производительности анализа информации – для скоростей 10, 100 и 1000 Мбит/с.

Производительность Виртуальной СОВ может изменяться в широких пределах и зависит от используемых настроек гипервизора и ресурсов аппаратной платформы, на которой виртуальная СОВ работает.

Получить помощь в выборе продуктов и оборудования, а также расчет стоимости решения для вашей организации Вы можете, обратившись к нашим менеджерам:
– по телефону +7 499 940-90-61
– или по электронной почте:
Вам обязательно помогут!

Первые системы, позволявшие выявлять подозрительную сетевую активность в корпоративных интрасетях, появились без малого 30 лет назад. Можно вспомнить, например, систему MIDAS, разработанную в 1988 году. Однако это был скорее прототип.

Препятствием к созданию полноценных систем данного класса долгое время была слабая вычислительная мощность массовых компьютерных платформ, и по-настоящему работающие решения были представлены лишь спустя 10 лет. Несколько позже на рынок вышли первые коммерческие образцы систем обнаружения вторжений (СОВ, или IDS — Intrusion Detection Systems)…

На сегодня задача обнаружения сетевых атак — одна из важнейших. Ее значимость возросла ввиду усложнения как методов атак, так и топологии и состава современных интрасетей. Если прежде для выполнения успешной атаки злоумышленникам было достаточно использовать известный стек эксплойтов, теперь они прибегают к гораздо более изощренным методам, соревнуясь в квалификации со специалистами на стороне защиты.

Современные требования к IDS

Системы обнаружения вторжений, зарегистрированные в реестре российского программного обеспечения, в большинстве своем используют сигнатурные методы. Либо заявляют определение аномалий, но аналитика, как максимум, оперирует данными не детальнее типа протокола. «Плутон» же основан на глубоком анализе пакетов с определением программного обеспечения. «Плутон» накладывает данные пришедшего пакета на специфику данных хоста — более точная и гибкая аналитика.

Ранее поверхностный анализ и сигнатурные методы успешно выполняли свои функции (тогда злоумышленники пытались эксплуатировать уже известные уязвимости ПО). Но в современных условиях атаки могут быть растянуты во времени (так называемые APT), когда их трафик маскируется путем шифрования и обфускации (запутывания), тогда сигнатурные методы малоэффективны. Кроме того, современные атаки используют различные способы обхода IDS.

В результате трудозатраты на конфигурирование и поддержку традиционных систем обнаружения вторжений могут превысить разумные пределы, и зачастую бизнес приходит к выводу, что такое занятие — только лишняя трата ресурсов. В результате IDS существует формально, выполняя лишь задачу присутствия, а информационные системы предприятия остаются по-прежнему беззащитными. Такая ситуация чревата еще большими потерями.

IDS нового поколения

СОВ ПАК «Плутон», разработанный компанией «Инфосистемы Джет» — это высокопроизводительный комплекс нового поколения для обнаружения сетевых атак. В отличие от традиционных IDS «Плутон» сочетает в себе одновременный анализ сетевых пакетов сигнатурным и эвристическим методами с сохранением данных окружения, предоставляет глубокую аналитику и расширение набора данных для расследования. Передовые методы определения потенциальных угроз, которые дополняются ретроспективными данными о сетевом окружении, трафике, а также логами системы, делают «Плутон» важным элементом системы защиты информации предприятия. Система способна выявлять признаки компьютерных атак и аномалий в поведении узлов сети в каналах связи пропускной способностью более 1 Гбит/с.

Помимо обнаружения признаков компьютерных атак на информационные системы «Плутон» обеспечивает серьезную защиту собственных компонентов, а также защиту каналов связи: в случае отказа оборудования соединение не будет прервано. Все компоненты «Плутон» функционируют в замкнутой программной среде — это делает невозможным запуск стороннего программного кода и служит дополнительной гарантией от заражения вредоносной программой. Поэтому можно быть уверенным, что «Плутон» не станет для злоумышленников «окном» в вашу сеть и не превратится в «головную боль» для сетевиков и безопасников.

«Плутон» тщательно следит за своим «здоровьем», контролируя целостность конфигурации компонентов системы, данных о собранных сетевых событиях информационной безопасности и сетевом трафике. Тем самым обеспечивается корректность функционирования компонентов системы и, соответственно, стабильность ее работы. А применение специальных сетевых плат в составе компонентов решения позволяет исключить разрыв каналов связи даже при полном выходе оборудования из строя или отключении электропитания.

Принимая во внимание сложности внедрения систем обнаружения вторжений, а также постоянное увеличение пропускной способности каналов связи, мы предусмотрели возможность гибкого горизонтального масштабирования компонентов комплекса. Если возникнет необходимость подключить к системе дополнительные сетевые сенсоры, для этого будет достаточно установить дополнительный сервер управления, связав его в кластер с существующим. При этом вычислительные мощности обоих серверов будут логически объединены в единый ресурс. Таким образом увеличение производительности системы становится очень простой задачей. Кроме того, система обладает отказоустойчивой архитектурой: в случае отказа одного из компонентов поток событий автоматически перенаправляется на резервные компоненты кластера.

В основе «Плутон» лежит наш более чем 20-летний опыт развертывания и эксплуатации комплексных систем защиты. Мы знаем наиболее частые проблемы заказчиков и недостатки современных решений класса IDS. Наша экспертиза позволила выявить наиболее актуальные задачи и помогла найти оптимальные пути их решения.

На текущий момент идет покомпонентная сертификация комплекса «Плутон» по требованиям к системам обнаружения вторжений уровня сети (2-й класс защиты) и на отсутствие недекларированных возможностей (2-й уровень контроля).

Функции «Плутон»:

Выявление в сетевом трафике признаков компьютерных атак, в том числе распределенных во времени, сигнатурным и эвристическим методами;

Контроль аномальной активности узлов сети и выявление признаков нарушения корпоративной политики безопасности;

. накопление и хранение:

— ретроспективных данных об обнаруженных событиях информационной безопасности с настраиваемой глубиной хранения;

— инвентаризационной информации о сетевых узлах (профиле хоста);

— информации о сетевых коммуникациях узлов, в том числе статистики потребления трафика (от сетевого до прикладного уровня по модели OSI);

— метаданных о передаваемых между узлами сети файлах;

Передача результатов анализа сетевого трафика во внешние системы защиты для повышения эффективности выявления инцидентов ИБ различного типа;

Предоставление доказательной базы по фактам компьютерных атак и сетевых коммуникаций для расследования инцидентов.