Завдання, що переслідуються у боротьбі з хакерами, досить очевидні:

Повідомлення: про спробу несанкціонованого доступу має бути відомо негайно;

Відбиття атаки та мінімізація втрат: щоб протистояти зловмиснику, слід негайно розірвати сеанс зв'язку з ним;

Перехід у контрнаступ: хакер має бути ідентифікований та покараний.

Саме такий сценарій використовувався при тестуванні чотирьох найбільш популярних системвиявлення мережевих атак із присутніх сьогодні на ринку. Програмне забезпечення BlackICE та ICEcap виробництва Network ICE отримало Блакитну стрічку за доблесть, виявлену у битві з хакерами, та титул «Продукт світового класу» (World Class Award) за чудові засоби моніторингу мережного трафіку та видачі попереджувальних повідомлень.

BlackICE - спеціалізований додаток-агент, який призначений виключно для виявлення зловмисників. Виявивши непроханого гостя, воно направляє звіт про цю подію керуючому модулю ICEcap, що аналізує інформацію, що надійшла від різних агентів, і локалізувати атаку на мережу, що прагне.

Проте протестовані продукти трьох інших виробників теж непогано справлялися зі своїми обов'язками. Так, програмне забезпечення Intruder Alert компанії Axent Technologies більше схоже на інструментарій для фахівців в області. інформаційної безпекиоскільки воно надає максимальну гнучкість у визначенні стратегій захисту мережі. Пакет Centrax виробництва CyberSafe влаштований за принципом "все в одному": у його складі нам вдалося виявити засоби контролю за системою безпеки, моніторингу трафіку, виявлення атак та видачі попереджувальних повідомлень. Система eTrust Intrusion Detection корпорації Computer Associates, навпаки, особливо сильна функціями контролю за інформаційною безпекою та управління стратегіями захисту, хоча й у цьому продукті реалізовані засоби видачі попереджень у режимі реального часу, шифрування даних та виявлення атак.

Загальна тривога

Хакери нечасто безцеремонно вторгаються у вашу мережу зі зброєю в руках. Натомість вони вважають за краще перевірити, чи надійні запори на задніх дверях і чи всі вікна ви зачинили. Вони непомітно аналізують зразки трафіку, що входить у вашу мережу і виходить із неї, окремі IP-адреси, а також видають зовні нейтральні запити, адресовані окремим користувачам та мережевим пристроям.

Для виявлення цих майстерно закамуфльованих ворогів доводиться встановлювати інтелектуальне програмне забезпечення детектування мережевих атак, що має високу чутливість. Придбаний продукт повинен попереджати адміністратора не лише про випадки явного порушення системи інформаційної безпеки, а й про будь-які підозрілі події, які на перший погляд здаються абсолютно невинними, а насправді приховують повномасштабну атаку хакерів.

Немає потреби доводити, що про будь-яку активну спробу зламування системних паролів адміністратор повинен бути повідомлений негайно. Але припустимо, що один із комп'ютерів мережі отримав ping-запит від керуючого додатка pcANYWHERE. Джерелом такої події може бути як зареєстрований віддалений користувач зазначеного ПЗ, так і хакер, який прагне встановити зв'язок із незахищеною станцією-клієнтом, де інстальовано програму pcANYWHERE. В обох випадках ця ситуація має бути відзначена для подальшого поглибленого аналізу.

Попередження, що генеруються агентами BlackICE, дуже конкретні, щоб не сказати прямолінійні. Ось приклади повідомлень, що видаються ними: «Атака BackOrifice», «Команда ping від pcANYWHERE», «Unix-команда scan». Подібний текст не змусить адміністратора засумніватися в характері зареєстрованої події, а в більшості випадків і її важливості. Крім того, продукт дозволяє адміністратору налаштувати зміст власних попереджувальних повідомлень, але за великим рахунком у цьому немає потреби.

Дуже корисною властивістю розробок Network ICE, а також пакету Intruder Alert компанії Axent Technologies є можливість завантаження найсвіжіших сигнатур хакерських атакіз сервера фірми-виробника: адже саме сигнатури дозволяють точно ідентифікувати зловмисника. Правда, знайти сигнатури, що нас цікавили, для ПЗ Intruder Alert виявилося не так просто, зате на сервері корпорації Network ICE ми відразу знайшли все що потрібно.

Засобами сповіщення адміністратора пальму першості могли б розділити згаданий пакет Intruder Alert і система Centrax виробництва CyberSafe, однак вони перетворяться на ефективний засіб відбиття зовнішніх нападів тільки після того, як будуть визначені набори правил, що стосуються захисту даних, задані тексти попереджувальних повідомлень і повідомлення їх видачі. Іншими словами, ці дві розробки є скоріше інструментарієм для побудови власної системи детектування мережевих атак. Щоб повною мірою скористатися їх можливостями, організація повинна мати у своєму штаті програмістів відповідної кваліфікації або мати бюджет, що дозволяє замовити подібну роботу за схемою аутсорсингу.

Як написано в "Посібнику користувача" до пакету Intruder Alert, "необхідно виконати компонування правил захисту для виявлення таких витончених атак, в яких використовуються мережеві зонди або SYN-запити". Наведена фраза викликала в нас непідробне здивування, оскільки згадані в ній атаки широко поширені й незрозуміло, чому засоби їхнього виявлення треба розробляти з нуля.

Незважаючи на те, що всі продукти, що випробовувалися, легко встановлюються, управління системами Intruder Alert і Centrax простим не назвеш. Скажімо, якщо Centrax видає попереджувальне повідомлення невідомого чи невизначеного змісту (а така ситуація неодноразово мала місце в наших тестах), адміністратор навряд чи зуміє швидко визначити, що ж, власне, сталося, особливо якщо для уточнення діагнозу йому доведеться звернутися до файлів реєстрації подій . Ці файли відрізняються вичерпною повнотою, проте розробники, мабуть, вирішили, що звичайній людині достатньо лише натякнути, про що може йтися, і характер того, що відбувається, буде безпомилково ідентифіковано. У реєстраційних журналах цієї системи є описи виданих попереджень, але немає їх ідентифікаторів. Адміністратор бачить адреси портів, до яких належали підозрілі запити, або параметри інших операцій, але не отримує жодної інформації про те, що все це може означати.

Зазначена обставина сильно знижує цінність повідомлень, що видаються в режимі реального часу, оскільки неможливо відразу збагнути, чи відображає опис події реальну загрозу системі безпеки або це лише спроба провести більш ретельний аналіз трафіку. Іншими словами, купувати названі продукти має сенс лише в тому випадку, якщо у штаті вашої організації є досвідчені фахівці з інформаційної безпеки. Втім, фірма CyberSafe, як і її конкуренти Axent та Network ICE, за окрему плату надає професійні консалтингові послуги у цій галузі.

Програмне забезпечення eTrust Intrusion Detection корпорації Computer Associates є чимось більшим, ніж просто систему моніторингу мережевої активності та виявлення хакерських атак. Цей продукт здатний не тільки декодувати пакети різних протоколів і службовий трафік, але і перехоплювати їх для подальшого виведення на консоль, що управляє вихідному форматі. Система виробництва CA здійснює моніторинг всього трафіку TCP/IP та попереджає адміністратора про випадки порушення встановлених стратегій у сфері інформаційної безпеки. Правда, ця технологія не підтримує такого ж рівня деталізації наборів правил, як Intruder Alert.

У жодному разі продукт Computer Associates не варто скидати з рахунків. Подання захоплених мережних пакетів у їхньому початковому форматі дозволяє адміністратору використовувати eTrust для читання електронної пошти, перегляду вмісту Web-сторінок, які завантажують користувачі на свої комп'ютери, та ідентифікації запитуваних ними документів. Все це помітно полегшує спостереження за підозрілими видами мережевої активності. Однак, щоб досягти справжнього розмаїття типів мережевих атак, що виявляються цим пакетом, адміністратору доведеться спочатку витратити неабияку кількість часу на розробку наборів правил та інтеграцію їх у систему eTrust Intrusion Detection.

У запалі боротьби

З метою перевірити здатність кожного з пакетів виявити спробу вторгнення і дати ворога гідну відсіч, ми спробували зімітувати кілька серйозних атак хакерів на тестову мережу. Єдиними продуктами, які зуміли розпізнати всі здійснені атаки і згенерувати відповідні попередження, виявилися BlackICE та ICEcap компанії Network ICE. Всі інші пропустили окремі події, які становили серйозну загрозу безпеці мережі, в основному через неможливість детально описати стратегії захисту. Наприклад, у відповідь на атаку типу BackOrifice програми Centrax і Intruder Alert просто не могли нічого зробити, оскільки не знали, до якого типу належить загроза, що виникла. Ці два продукти виявилися особливо складними в плані конфігурування, тому напад типу BackOrifice нам просто не вдалося описати. Що ж до згаданих BlackICE і ICEcap, атаки, що моделювалися, відразу ж виявлялися і ми негайно отримували попереджувальні повідомлення.

Не можна не визнати, що зрештою не всі загрози були пізнані через те, що ми не мали достатнього досвіду роботи з цими складними продуктами, адже після кількох спроб нам таки вдалося залатати дірки, які спочатку виникли в системі мережевого захисту. Однак у реального життяніхто не може дозволити собі розкіш другого чи третього «підходу до снаряду», особливо зіткнувшись із новим типом несанкціонованого доступу, який несе реальну загрозу бізнесу компанії. Ось чому ми віддали свої симпатії розробкам фірми Network ICE: вони опинилися у стані повної бойової готовності одразу після інсталяції.

У процесі відбиття атак ворога легко захопитися захистом ресурсів корпоративної мережі як такої. Але не можна забувати і про безпеку віддалених працівників. У цьому відношенні нам здалося особливо корисним присутність у складі ПЗ BlackICE персонального брандмауера, призначеного для користувачів, які працюють в мережі своєї організації через з'єднання, що комутується. Як відомо, з віддаленим доступом пов'язана найбільша кількість лазівок для недоброзичливців, і система BlackICE була єдиною з протестованих продуктів, що забезпечує комплексний захист віддалених та мобільних користувачів.

BlackICE видає попереджувальні повідомлення безпосередньо на екран віддаленої станції-клієнта, а не намагається негайно відправити їх на керуючу консоль корпоративної мережі. Це дозволяє користувачеві оперативно зреагувати на те, що відбувається. Втім, у наступних версіях цього продукту ми все ж таки сподіваємося побачити функцію генерації звітів, яка передає інформацію про напад, якому зазнав віддалений комп'ютер, на центральну адміністративну консоль, оскільки аналіз цих відомостей допоміг би боротися з аналогічними атаками надалі.

Однак детектування спроб несанкціонованого доступу та видача попереджувальних повідомлень – це лише півсправи. Програмні засобимережевий захист повинен зупинити дії хакера і прийняти контрзаходи. У цьому сенсі найкраще враження на нас справили пакети Intruder Alert і Centrax, ті самі, що викликали чималі нарікання щодо налаштування конфігурації. Якщо програми фірми Network ICE і eTrust миттєво закривають загрозливі сеанси зв'язку, то системи Intruder Alert і Centrax йдуть ще далі. Наприклад, додаток компанії Axent Technologies можна налаштувати таким чином, що він запускатиме на виконання той чи інший командний файл залежно від характеру зареєстрованих подій, скажімо перезавантажувати сервер, який зазнав атаки, що призводить до відмови в обслуговуванні.

Відбивши атаку, хочеться відразу перейти у контрнаступ. Програми BlackICE та Centrax підтримують таблиці з ідентифікаторами хакерів. Ці таблиці заповнюються після простеження всього шляху до «логовище», де причаївся ворог. Можливості програмного забезпечення BlackICE особливо вражають, коли справа доходить до виявлення джерела атаки, розташованого всередині або поза мережею: незважаючи на численні хитромудрі маневри, нам так і не вдалося зберегти інкогніто.

А ось система eTrust вразила нас ступенем проникнення в характер діяльності кожного користувача мережі, що часто навіть не підозрює про те, що він перебуває під пильним наглядом. Одночасно цей пакет надає найбільш повну (і, мабуть, найбільш точну) інформацію про зловмисників та їхнє розташування. У ході тестування, скориставшись ПО BlackICE, ми спробували виявити передбачуваних хакерів усередині мережі, а потім за допомогою пакету eTrust визначити їхнє точне місцезнаходження.

Завершуючи тему, відзначимо, що додаток Centrax здатний створювати так звані файли-приманки, привласнюючи другорядному файлу багатозначну назву на кшталт «Ведомость.xls» і тим самим вводячи в оману зайве цікавих користувачів. Такий алгоритм видається нам занадто прямолінійним, але і він може послужити непогану службу - з його допомогою вдається «застукати» співробітників за «прочісування» корпоративної мережі щодо виявлення конфіденційної інформації.

Кожен із протестованих продуктів генерує звіти про підозрілі випадки мережної активності. Висока якістьтаких звітів та зручністю роботи з ними виділяються додатки ICEcap та eTrust Intrusion Detection. Останній пакет відрізняється особливою гнучкістю, можливо тому, що веде своє походження від декодера протоколів. Зокрема, адміністратор може проаналізувати мережеві події в проекції на окремі ресурси, чи то протоколи, станції-клієнти чи сервери. У eTrust передбачено безліч попередньо розроблених форматів звітів. Їх добре продумана структура помітно полегшує виявлення зловмисників і дозволяє покарати користувачів, що провинилися.

Резюме

Кожен продукт має свої сильні та слабкі сторони, тому рекомендувати його можна лише для вирішення певних завдань. Якщо мова йдепро захист комутованих мереж, непоганим вибором, на наш погляд, є розробки Network ICE, Axent Technologies та CyberSafe. Пакет eTrust Intrusion Detection корпорації CA ідеальний для своєчасного повідомлення про випадки порушення етики бізнесу, наприклад, про використання ненормативної лексики в повідомленнях електронної пошти. Системи Intruder Alert і Centrax є чудовим інструментарієм для консультантів з питань інформаційної безпеки та організацій, які мають штат професіоналів у даній галузі. Однак тим компаніям, які не можуть дозволити собі вдатися до послуг високооплачуваних гуру, ми рекомендуємо встановити продукти компанії Network ICE. Ці програми замінять справжнього експерта з мережевого захисту краще будь-хтоіншої системи з тих, що будь-коли траплялася нам на очі.

ПРО АВТОРА

Тер Парнелл – консультант з телекомунікаційних технологій та незалежний автор з Далласа (шт. Техас). З ним можна зв'язатися по електронній пошті:

SYN-атаки

Ці спроби вивести з ладу корпоративний сервер, який в результаті змушений на запити про обслуговування відповідати відмовою (denial-of-service), несуть досить серйозну загрозу бізнесу компаній, що надають своїм клієнтам послуги по глобальній мережі. Суть нападу зводиться до того, що зловмисник генерує тисячі запитів SYN (запитів на встановлення з'єднання), адресованих серверу, що атакується. Кожен запит забезпечується фальшивою адресою джерела, що значно ускладнює точну ідентифікацію самого факту атаки та відстеження атакуючого. Прийнявши черговий запит SYN, сервер припускає, що йдеться про початок нового сеансу зв'язку та переходить у режим очікування передачі. Незважаючи на те, що дані після цього не надходять, сервер повинен почекати визначений час(максимум 45 секунд), перш ніж розірвати з'єднання. Якщо кілька тисяч таких помилкових запитів будуть направлені на сервер протягом лічені хвилини, він виявиться перевантаженим їх обслуговуванням, так що на обробку цих запитів про надання того чи іншого сервісу ресурсів просто не залишиться. Іншими словами, в результаті SYN-атаки справжнім користувачам буде відмовлено в обслуговуванні.

Архітектурні варіації

Здатність того чи іншого додатка виявляти зловмисників безпосередньо залежала від його архітектури та від зусиль, потрібних для налаштування конфігурації продукту. У всіх системах, що тестувалися, за винятком eTrust Intrusion Detection корпорації Computer Associates, використана модель програмних агентів, які спочатку встановлюються на мережевих пристроях, а потім здійснюють збір інформації про потенційні атаки та пересилають її на консоль. Агенти виявляють випадки порушення встановлених стратегій захисту та після цього генерують відповідні повідомлення. Системи на базі агентів є найкращим рішеннямдля комутованих мереж, оскільки у таких мережах немає будь-якої однієї точки, якою обов'язково проходить весь трафік. Замість стежити за єдиним з'єднанням, агент здійснює моніторинг всіх пакетів, що приймаються або надсилаються пристроєм, де він встановлений. Внаслідок цього зловмисникам не вдається «відсидітися» за комутатором. Сказане можна проілюструвати з прикладу продукції фірми Network ICE. Програмі BlackICE відведено роль агента, що встановлюється повністю автономному операційному середовищі, наприклад на комп'ютері віддаленого користувача або одному з вузлів корпоративної мережі передачі. Виявивши хакера, який атакує віддалену машину, агент видасть попередження безпосередньо на її екран. Якщо ж аналогічна подія виявиться зафіксовано в корпоративній мережі, повідомлення про спробу несанкціонованого доступу буде передано іншому додатку - ICEcap, що містить засоби мережного моніторингу. ICEcap збирає та зіставляє інформацію, що надходить від різних підлеглих йому агентів, і це дає можливість оперативно виявляти події, що дійсно загрожують безпеці мережі. Система eTrust, навпаки, ґрунтується на централізованій архітектурі. Вона встановлюється на центральному вузлі та аналізує трафік у підвідомчому мережевому сегменті. Відсутність агентів не дозволяє даному продукту відстежувати всі події в мережі, що комутується, оскільки в ній неможливо вибрати єдиний «оглядовий майданчик», звідки вся мережа була б видна як на долоні.

Процедура тестування

Для вивчення функціональних можливостейпрограм виявлення мережевих атак у тестову мережу було об'єднано три сервери під Windows NT 4.0, брандмауер, п'ять робочих станцій з операційної системою Windows NT Workstation та десять комп'ютерів під Windows 95 або 98. Клієнтські комп'ютерибули оснащені процесорами Pentium II-266, а сервери - процесорами Pentium III тактовою частотою 500 МГц. На окремому комп'ютері (також з процесором Pentium III-500) було встановлено брандмауер Raptor Firewall for NT 5.0.1 компанії Axent Technologies. Зазначений брандмауер ми сконфігурували таким чином, що комп'ютери мережі у відповідь на запити, що надходили ззовні, могли надавати найбільш загальновживані сервіси на кшталт DNS, HTTP і telnet, проте будь-яка взаємодія із зовнішнім світом за протоколами FTP і SMTP допускалася тільки через брандмауер. Втім, для імітації атаки, що призводить до відмови в обслуговуванні, ми дозволили брандмауеру пропускати SYN-запити. Після інсталяції продукту ми запустили сценарії, що дозволили змоделювати традиційну мережну активність: звернення до документів, баз даних та Web-серверів, а також надсилання та отримання повідомлень електронної пошти. Потім ми зробили кілька відкритих атак хакерів на тестову мережу і ряд замаскованих підозрілих дій. Тут були і спроба прямого несанкціонованого вторгнення, і атака за допомогою SYN-запитів, і сканування трафіку на окремих портах, а також сканування пакетів, що стробує і розділяється, атака типу BackOrifice і видача команд ping до всіх вузлів мережі. Перейшовши в наступ на мережу, ми тут же реєстрували видачу попереджувальних повідомлень, факти активізації засобів захисту даних (у тому числі на основі наборів правил), що ініціюються системами, що тестувалися, і роботу механізмів виявлення джерела атаки. Згодом нам вдалося також проаналізувати зміст згенерованих звітів, результати стеження за діями «хакера» та рекомендації в галузі мережевого захисту, видані окремими системами. Якщо продукт радив адміністратору зробити коригувальні дії або виправити помилку в конфігурації, ми скрупульозно дотримувалися цих рекомендацій, а потім робили атаку повторно. У разі, коли системі вдавалося ідентифікувати обурювача спокою, ми перевіряли, наскільки ця ідентифікація відповідає дійсності. Нарешті, у всіх додатках оцінювалися функції управління видачею повідомлень та генерацією звітів про зафіксовані події, а також простота використання продуктів.

Повна назва таких систем, це системи запобігання та виявлення атак. Або ж називають СОА як один із підходів до . Принцип роботи СОА полягає у постійному огляді активності, що відбувається в інформаційній системі. А також при виявленні підозрілої активності вживати певних механізмів щодо запобігання та подачі сигналів певним особам. Такі системи мають вирішувати.

Існує кілька засобів і типових підходів у виявленні атак, які зменшують.

Часи, коли для захисту вистачало одного брандмауера, минули. На сьогодні підприємства реалізують потужні та величезні структуровані системи захисту для обмеження підприємства від можливих загроз та ризиків. З появою таких атак, як атак на відмову в обслуговуванні (DDoS), адреса відправника пакетів не може дати вам однозначну відповідь, чи була проти вас атака спрямована чи випадкова. Потрібно знати, як реагувати на інцидент, а також як ідентифікувати зловмисника (Рис.1).

Виявити зловмисника можна за такими особливостями до дії:

• реалізує очевидні проколи
• реалізує неодноразові спроби на входження до мережі
• намагається замістити свої сліди
• реалізує атаки у різний час

Малюнок 1

Також можна поділити зловмисників на випадкових та досвідчених. Перші ж при невдалій спробі доступу до сервера підуть на інший сервер. Другі будуть проводити аналітику щодо ресурсу, щоб реалізувати наступні атаки. Наприклад адміністратор бачить у журналі IDS, що хтось сканує ваші порти поштового сервера, Потім з тієї ж IP-адреси надходять команди SMTP на 25 порт. Те, як діє зловмисник, може дуже багато сказати про його характер, наміри тощо. На рис.2 показаний алгоритм ефективного виявлення атак. Усі послуги виявлення атак використовують початкові алгоритми:

• виявлення зловживань
• виявлення аномалій

Малюнок - 2

Для хорошого розміщення систем виявлення, потрібно скласти схему мережі з:

• межі сегментів
• мережеві сегменти
• об'єкти з довірою та без
• ACL – списки контролю доступу
• Служби та сервери які є

Звичайна помилка — те, що шукає зловмисник під час аналізу вашої мережі. Оскільки система виявлення атак використовує аналіз трафіку, виробники визнають, що використання загального порту для перехоплення всіх пакетів без зниження продуктивності неможливо. Так що ефективне налаштуваннясистем виявлення дуже важливе завдання.

Засоби виявлення атак

Технологія виявлення атак має справлятися з наступним:

• Розпізнавання популярних атак та попередження про них певних осіб
• Розуміннянезрозумілих джерел даних про атаки
• Можливість управління методами захисту не-спеціалістами у сфері безпеки
• Контроль усіх дій суб'єктів інформаційної мережі(програм, користувачів тощо)
• Звільнення або зниження функцій персоналу, який відповідає за безпеку, поточних рутинних операцій з контролю

Найчастіше системи виявлення атакможуть реалізовувати функції, які розширюють спектр застосування. Наприклад:

• Контроль ефективності. Можна розташувати систему виявлення після міжмережевого екрану, щоб визначити правил, що бракують, на міжмережевому екрані.
• Контроль вузлів мережі із застарілим ПЗ
• Блокування та контроль доступу до деяких ресурсів Internet. Хоча вони далекі від можливостей таких як мережевих екранів, але якщо немає грошей на покупку мережного екрану, можна розширити функції системи виявлення атак
• Контроль електронної пошти. Системи можуть відстежувати віруси в листах, а також аналізувати вміст вхідних та вихідних листів

Найкраща реалізація досвіду та часу професіоналів у сфері інформаційної безпеки полягає у виявленні та усуненні причинреалізації атак, а чи не виявлення самих атак. Усунувши причину, через яку можлива атака, збереже багатьом тимчасового та фінансового ресурсу.

Класифікація систем виявлення атак

Існує безліч класифікацій систем виявлення атак, однак найтоповішою є класифікація за принципом реалізації:

• host-based - система спрямована на конкретний вузол мережі
• network-based - система спрямована на всю мережу або сегмент мережі

Системи виявлення атак, які стоять на конкретних комп'ютерах, зазвичай аналізують дані з журналів реєстрації ОС і різних додатків. Однак останнім часом випускаються програми, які тісно інтегровані з ядром ОС.

Плюси систем виявлення атак

Комутація дозволяє управляти великими мережами, як кількома невеликими мережевими сегментами. Виявлення атак лише на рівні конкретного вузла дає ефективнішу роботу у комутованих мережах, оскільки дозволяє поставити системи виявлення тих вузлах, де це необхідно.

Системи мережного рівня не потребують, щоб на хості ставилося ПЗ системи виявлення атак. Для контролю мережевого сегмента потрібен лише один сенсор, незалежно від кількості вузлів у даному сегменті.

Пакет відправлений від зловмисника не буде повернений назад. Системи які працюють на мережевому рівні, реалізують виявлення атак при живому трафіку, тобто в масштабі реального часу. Аналізована інформація включає дані, які будуть доказом у суді.

Системи виявлення які працюють на мережному рівні, не залежать від ОС. Для таких систем байдуже, яка саме ОС створила пакет.

Технологія порівняння із зразками

Принцип такий, що відбувається аналіз наявності у пакеті певної постійної послідовності байтів — шаблон чи сигнатури. Наприклад, якщо пакет протоколу IPv4 та транспортного протоколу TCPвін призначений порту номеру 222 і в полі даних містить рядок fooЦе можна вважати атакою. Позитивні сторони:

• найпростіший механізм виявлення атак;
• дозволяє жорстко зіставити зразок з пакетом, що атакує;
• працює всім протоколів;
• сигнал про атаку достовірний, якщо зразок вірно визначений.

Негативні сторони:

• якщо атака нестандартна, є можливість пропустити її;
• якщо зразок надто узагальнений, то ймовірний великий відсоток хибних спрацьовувань;
• Можливо, що доведеться створювати кілька зразків для однієї атаки;
• Механізм обмежений аналізом одного пакета, вловити тенденцію та розвиток атаки неможливо.

Технологія відповідності стану

Так як атака за своєю сутністю це не одиничний пакет, а потік пакетів, цей метод працює з потоком даних. Проходить перевірка кількох пакетів з кожного з'єднання, перш ніж робиться вердикт.
Якщо порівнювати з попереднім механізмом, то рядок fooможе бути у двох пакетах, foі o. Результат спрацьовування двох методів я думаю зрозумілий.
Позитивні сторони:

• цей метод трохи складніший від попереднього методу;
• повідомлення про атаку правдиве, якщо зразок достовірний;
• дозволяє сильно ув'язати атаку із зразком;
• працює всім протоколів;
• ухилення від атаки складніше, ніж у минулому методі.

Негативні сторони:

• Усі негативні критерії ідентичні як і попередньому методі.

Аналіз із розшифровкою протоколу

Цей метод реалізує огляд атак на окремі протоколи. Механізм визначає протокол і застосовує відповідні правила. Позитивні сторони:

• якщо протокол точно визначено, то знижується вірогідність помилкових спрацьовувань;
• дозволяє жорстко ув'язати зразок з атакою;
• дозволяє виявити випадки порушення правил роботи з протоколами;
• дозволяє вловлювати різні варіанти атак на основі однієї.

Негативні сторони:

• Механізм є складним для налаштування;
• Імовірний високий відсоток помилкових спрацьовувань, якщо стандарт протоколу дозволяє різночитання.

Статичний аналіз

Цей метод передбачає реалізації логіки визначення атак. Використовується статистична інформація для аналізу трафіку. Прикладом таких атак буде виявлення сканування портів. Для механізму даються граничні значення портів, які можна реалізовані одному хості. У такій ситуації поодинокі легальні підключення у сумі дадуть прояв атаки. Позитивні сторони:

• Є такі типи атак, які можуть бути виявлені лише цим механізмом.

Негативні сторони:

• Такі алгоритми вимагають складного тонкого додаткового налаштування.

Аналіз на основі аномалій

Цей механізм використовується не для чіткого виявлення атак, а для виявлення підозрілої активності, яка відрізняється від нормальної. Основна проблема налаштування такого механізму, це визначення критерію нормальноюактивності. Також потрібно враховувати допустимі відхилення від звичайного трафіку, які не є атакою. Позитивні сторони:

• Правильно налаштований аналізатор виявляє навіть невідомі атаки, але потрібна додаткова робота з введення нових правил та сигнатур атак.

Негативні сторони:

• Механізм не показує опис атаки за кожним елементом, а повідомляє свої підозри щодо ситуації.
• Що робить висновки, не вистачає корисної інформації. У мережі найчастіше транслюється марна.
• Визначальний чинник це функціонування.

Варіанти реакцій на виявлені атаки

Виявити атаку це стать справи, потрібно ще й зробити певні дії. Саме варіанти реагування визначають ефективність системи виявлення атак. Нижче наведемо такі варіанти реагування.

Категорія ~ Безпека - Ігор (Адміністратор)

Про запобігання та виявлення вторгнень

Минули ті часи, коли вірус був просто вірусом, а все інше було "тим що треба"! Зараз все не зовсім так. Найвідоміша небезпека – це програми під загальною назвою «шкідливі програми» (Malware). Такі програми постійно розвиваються і є серйозною загрозою вашій безпеці.

На додаток до вже звичних модулів роботи з файлами, реєстром і додатками, Malware Defender також включає модуль моніторингу мережі, що включає в себе можливість так само переглядати всі з'єднання. Це робить його ідеальним компаньйоном для тих, хто використовує стандартний брендмауер Windows, і не хоче заглиблюватися у світ брендмауерів та захисту мережі.

Незважаючи на те що дана програмамає велику кількість плюсів, все ж таки її складність використання для звичайного користувача - робить її безумовно не масштабною. Звичайно, помилки можуть бути виправлені шляхом зворотної зміни правил дозволу, правда якщо ви не заборонили життєво важливі функції системи, тоді є ймовірність, що повернутися назад буде не так вже й просто.

Програма запобігання вторгненню WinPatrol - потужний інструмент для всіх користувачів

допомагає захистити комп'ютери всіх країн уже понад десять років. Ця програма має безліч шанувальників. Нещодавно її було оновлено для більшої сумісності з Windows Vista/7. Головною метою програми є попередження користувача про внесення змін до системи, які можуть бути наслідком роботи шкідливих програм. Щоб досягти мети, вона робить моментальний знімок налаштувань системи. І у разі будь-яких змін повідомляє користувача. WinPatrol у своїй роботі використовує евристичний підхід, який дає більше впевненості в тому, що у вас не з'явиться нових шкідливих програм, ніж традиційні сканери сигнатури, які сильно залежать від наявності оновлень.

WinPatrol попередить вас про будь-які нові зміни, які намагаються зробити програми. Можна сказати, що WinPatrol є достатньо ефективним засобомпо боротьбі з цілим рядом шкідливих програм, таких як: черв'яки, троянські програми, програми, що модифікують cookie, рекламне та шпигунське програмне забезпечення. Багато можливостей налаштування системи (такі як " ", " завдання " і т.д.), які розкидані у ній, продубльовані в інтерфейсі WinPatrol, що дозволяє швидко і зручно відстежувати стан системи. Також ви можете використовувати WinPatrol для фільтрації небажаних cookie та IE-додатків.

Станом на V19.0, WinPatrol став "хмарним рішенням". Більшість додаткової функціональності доступна тільки користувачам платної версії Plus. Спільнота користувачів WinPatrol дозволяє розраховувати на гарну Зворотній зв'язоку разі виникнення проблем. При чому всі вирішення розглянутих проблем доступні як користувачам безкоштовної версії, і платної.

Програма запобігання вторгнення MJ Registry Watcher моніторинг реєстру та файлової системи

ще одна утиліта, про яку, можливо, знає не так багато людей, але яка є досить непоганою. Це досить проста програмаз відстеження реєстру, файлів та директорій, яка гарантує безпеку найважливіших місць вашої системи. Вона споживає дуже мало ресурсів систем. Метод дії дуже простий. Кожні 30 секунд програма опитує систему. Якщо необхідно, час опитування можна змінити. Всі налаштування утиліти зберігаються в конфігураційному файлі, що дуже зручно, коли вам необхідно мати можливість швидко налаштувати утиліту "під себе". MJ Registry Watcher не лише опитує систему на зміни, але й практично миттєво перехоплює управління більшості змін у ключах реєстру, файлах та папках. Видалення ключів у реєстрі також перехоплюється у рамках опитування системи.

Список ключів та файлів, які будуть відстежуватися, повністю настроюється користувачем. Не треба лякатися. MJ Registry Watcher має власні списки, які підійдуть для більшості користувачів. Для роботи з цією утилітою, користувач повинен мати середні знання про систему. Цю утиліту особливо оцінять користувачі, які вважають за краще забезпечувати багаторівневий захист шляхом використання безлічі невеликих спеціалізованих утиліт. Утиліта не потребує встановлення. Просто скачайте та запустіть.

Програма також включає: моніторинг процесів, моніторинг роботи з файлами та папками, моніторинг електронної пошти та модуль для роботи з карантином.

Посібник із швидкого вибору (посилання для завантаження безкоштовних програм виявлення та запобігання вторгненням)

Malware Defender

		Забезпечує комплексний захист, включаючи моніторинг мережі.
		Звичайним користувачам буде не просто розібратися, оскільки Домашня сторінкакитайською мовою.
		http://www.softpedia.com/get/Security/Secure-cleaning/Malware-Defender.shtml
		-------------
		1.9 MB 2.8 Unrestricted freeware Windows 2K/XP/2003/2008/Vista/7

WinPatrol

		Забезпечує комплексний захист.
		При наведенні на іконку у списку запущених програм(знизу праворуч) показує повідомлення "Scotty is currently on patrol", що дуже звично.
		http://www.winpatrol.com/
		https://www.winpatrol.com/mydownloads/
		900 kb 29.0.2013 Unrestricted Freeware Windows
		Доступна 64 бітна версія

Зловмиснику, щоб отримати доступ до інформації Вашої компанії, необхідно пройти декілька ешелонів захисту. При цьому він може використовувати вразливість та некоректні налаштування кінцевих робочих станцій, телекомунікаційного обладнання або соціальну інженерію. Атаки на інформаційну систему (ІВ) відбуваються поступово: проникнення в обхід політик інформаційної безпеки (ІБ), поширення в ІС зі знищенням слідів своєї присутності і лише потім безпосередньо атака. Весь процес може тривати кілька місяців, і навіть років. Найчастіше ні користувач, ні адміністратор ІБ не підозрюють про аномальні зміни в системі і атаку, що проводиться на неї. Все це призводить до загроз порушення цілісності, конфіденційності та доступності інформації, що обробляється в ІС.

Для протидії сучасним атакам недостатньо традиційних засобів захисту, як-от міжмережні екрани, антивіруси тощо. Потрібна система моніторингу та виявлення потенційно можливих атак та аномалій, що реалізує такі функції:

• виявлення спроб вторгнень у інформаційні системи;
• детектування атак у мережі або її сегментах, що захищається;
• відстеження неавторизованого доступу до документів та компонентів інформаційних систем;
• виявлення вірусів, шкідливих програм, троянів, ботнетів;
• відстеження таргетованих атак.

Важливо врахувати, що й у ІВ компанії обробляється інформація, підлягає обов'язкового захисту відповідно до вимогами російського законодавства (наприклад, персональні дані), необхідно використовувати сертифіковані засоби захисту, які пройшли процедуру оцінки відповідності регуляторами ФСТЭК Росії та/або ФСБ Росії.

С-Терра СОВ

Протягом багатьох років компанія «С-Терра СіЕсПі» виробляє VPN-продукти для організації криптографічного захисту даних, що передаються, та міжмережевого екранування. У зв'язку зі збільшеними потребами користувачів у підвищенні загального рівня безпеки ІВ компанія «С-Терра СіЕсПі» розробила спеціальний засіб захисту інформації, що забезпечує виявлення атак та аномальних активностей.

С-Терра СОВ є засіб захисту, що дозволяє адміністраторам інформаційної безпеки виявляти атаки, ґрунтуючись на аналізі мережевого трафіку. В основі роботи засобу захисту лежить використання механізмів сигнатурного аналізу.

При аналізі мережного трафіку за допомогою сигнатурного методу адміністратор завжди зможе точно встановити, який пакет або група пакетів викликали спрацювання сенсора, що відповідає за детектування аномальної активності. Всі правила чітко визначені, для багатьох з них можна простежити весь ланцюжок: від інформації про деталі вразливості та методи її експлуатації, до результуючої сигнатури. У свою чергу, база правил сигнатур широка і регулярно оновлюється, тим самим гарантуючи надійний захистІС компанії.

Для мінімізації ризиків від нових атак нульового дня, для яких відсутні сигнатури, до складу продукту С-Терра СОВ включений додатковий метод аналізу мережевої активності – евристичний. Цей метод аналізу активності будується з урахуванням евристичних правил, тобто. на основі прогнозу активності ІС та її зіставлення з нормальною «шаблонною» поведінкою, які формуються під час режиму навчання даної системи на основі її унікальних особливостей. За рахунок застосування даного механізму захисту С-Терра СОВ дозволяє виявити нові, раніше невідомі атаки або будь-яку іншу активність, що не потрапила ні під якусь конкретну сигнатуру.

Поєднання сигнатурного та евристичного аналізів дозволяє виявити несанкціоновані, нелегітимні, підозрілі дії з боку зовнішніх та внутрішніх порушників. Адміністратор ІБ може прогнозувати можливі атаки, а також виявляти вразливості для запобігання їх розвитку та впливу на ІВ компанії. Оперативне детектування виникаючих загроз дозволяє визначити розташування джерела атаки по відношенню до локальної мережі, що захищається, що полегшує розслідування інцидентів ІБ.

Таблиця 1.Функціональність С-Терра СОВ

Можливості продукту	Докладний опис
Варіанти виконання	Програмно-апаратний комплекс У вигляді віртуальної машини
Операційна система	Debian 7
Визначення атак	Сигнатурний аналіз Евристичний аналіз
Управління	Графічний інтерфейс Командна строка
Реєстрація атак	Запис до системного журналу Відображення в графічний інтерфейс
Оновлення бази даних сигнатур	Off-line режим On-line режим
Механізми оповіщення	Виведення на консоль адміністратора Електронна пошта Інтеграція із SIEM-системами
Робота з інцидентами	Вибірковий контроль окремих об'єктів мережі Пошук, сортування, впорядкування даних у системному журналі Включення/відключення окремих правил та груп правил
Додаткові механізми захисту	Захист каналу керування з використанням технології VPN IPsec за ГОСТ 28147-89, ГОСТ Р 34.10-2001/2012 та ГОСТ Р 34.11-2001/2012 Контроль цілісності програмної частини та конфігурації СОВ
Сертифікати відповідності	Очікується сертифікація ФСТЕК Росії: СОВ 4, ПДВ 4, ОУД 3

Система виявлення атак С-Терра СОВ має зручний інтерфейс, управління та контроль здійснюється за захищеним каналом із застосуванням технології IPsec на вітчизняних криптоалгоритмах ГОСТ.

Використання С-Терра СОВ як компонент захисту підвищує загальний рівень захищеності ІВ завдяки постійному аналізу змін її стану, виявлення аномалій та їх класифікації. Наочний та функціональний веб-інтерфейс управління та контролю над системою виявлення вторгнень, а також наявність додаткових утиліт управління дозволяє коректно налаштувати сенсори подій, ефективно обробляти та представляти результати аналізу трафіку.

Схема включення С-Терра СОВ

С-Терра СОВ розміщується у сегменті локальної мережі(наприклад, DMZ-зоні), весь трафік, що циркулює в цьому сегменті, дублюється і перенаправляється на засіб захисту через "дзеркальний" span-порт комутатора. Управління здійснюється через окремий інтерфейс захищеним каналом. Більш детальна схема включення до ІС компанії представлена ​​на малюнку 1.

Малюнок 1.Схема включення окремих С-Терра СОВ та С-Терра Шлюз

На одному пристрої можуть працювати С-Терра Шлюз для шифрування трафіку і міжмережевого екранування, а також С-Терра СОВ – для виявлення мережевих атак. Детальна схема такого включення представлена ​​на малюнку 2.

Малюнок 2.Схема включення спільної праціС-Терра СОВ та С-Терра Шлюз

Вибір продуктів

С-Терра СОВ поставляється у вигляді програмно-апаратного комплексу або у вигляді віртуальної машини для популярних гіпервізорів (VMware ESX, Citrix XenServer, Parallels, KVM).

Вибір конкретного виконання залежить від обсягів інформації, що передається по мережі, кількості використовуваних сигнатур та інших факторів.

Якщо кращою є апаратна платформа, то є можливість вибрати із трьох варіантів продуктивності аналізу інформації – для швидкостей 10, 100 та 1000 Мбіт/с.

Продуктивність Віртуальної СОР може змінюватися в широких межах і залежить від настройок гіпервізора і ресурсів апаратної платформи, на якій віртуальна СОР працює.

Отримати допомогу у виборі продуктів та обладнання, а також розрахунок вартості рішення для вашої організації Ви можете звернувшись до наших менеджерів:
- по телефону +7 499 940-90-61
– або електронною поштою:
Вам обов'язково допоможуть!

Перші системи, що дозволяли виявляти підозрілу мережеву активність у корпоративних інтрамережах, з'явилися майже 30 років тому. Можна згадати, наприклад, систему MIDAS, розроблену 1988 року. Однак це був скоріше прототип.

Перешкодою до створення повноцінних систем даного класу довгий час була слабка обчислювальна потужність масових комп'ютерних платформ, і працюючі рішення були представлені лише через 10 років. Дещо пізніше на ринок вийшли перші комерційні зразки систем виявлення вторгнень (СОВ, або IDS — Intrusion Detection Systems).

На сьогоднішній день завдання виявлення мережевих атак — одна з найважливіших. Її значущість зросла через ускладнення як методів атак, так і топології та складу сучасних інтрамереж. Якщо раніше для виконання успішної атаки зловмисникам було достатньо використати відомий стек експлойтів, тепер вони вдаються до більш витончених методів, змагаючись у кваліфікації зі спеціалістами на стороні захисту.

Сучасні вимоги до IDS

Системи виявлення вторгнень, зареєстровані в реєстрі російського програмного забезпечення, здебільшого використовують сигнатурні методи. Або заявляють визначення аномалій, але аналітика, як максимум, оперує даними не детальніше за тип протоколу. «Плутон» заснований на глибокому аналізі пакетів з визначенням програмного забезпечення. «Плутон» накладає дані пакета на специфіку даних хоста — більш точна і гнучка аналітика.

Раніше поверхневий аналіз та сигнатурні методи успішно виконували свої функції (тоді зловмисники намагалися експлуатувати вже відомі вразливості ПЗ). Але в сучасних умовах атаки можуть бути розтягнуті в часі (так звані APT), коли їхній трафік маскується шляхом шифрування та обфускації (заплутування), тоді сигнатурні методи малоефективні. Крім того, сучасні атаки використовують різні способиобходу IDS.

В результаті трудовитрати на конфігурування та підтримку традиційних систем виявлення вторгнень можуть перевищити розумні межі, і найчастіше бізнес приходить до висновку, що таке заняття є лише зайвою витратою ресурсів. У результаті IDS існує формально, виконуючи лише завдання присутності, а інформаційні системи підприємства залишаються беззахисними. Така ситуація загрожує ще більшими втратами.

IDS нового покоління

СОВ ПАК "Плутон", розроблений компанією "Інфосистеми Джет" - це високопродуктивний комплекс нового покоління для виявлення мережевих атак. На відміну від традиційних IDS «Плутон» поєднує одночасний аналіз мережевих пакетів сигнатурним і евристичним методами із збереженням даних оточення, надає глибоку аналітику та розширення набору даних для розслідування. Передові методи визначення потенційних загроз, які доповнюються ретроспективними даними про мережевому оточенні, трафіку, а також логами системи роблять «Плутон» важливим елементом системи захисту інформації підприємства. Система здатна виявляти ознаки комп'ютерних атакта аномалій у поведінці вузлів мережі в каналах зв'язку пропускною здатністю більше 1 Гбіт/с.

Окрім виявлення ознак комп'ютерних атак на інформаційні системи «Плутон» забезпечує серйозний захист власних компонентів, а також захист каналів зв'язку: у разі відмови обладнання з'єднання не буде перервано. Усі компоненти «Плутон» функціонують у замкнутому програмному середовищі – це робить неможливим запускстороннього програмного коду і є додатковою гарантією від зараження шкідливою програмою. Тому можна бути впевненим, що "Плутон" не стане для зловмисників "вікном" у вашу мережу і не перетвориться на "головний біль" для мережевиків та безпечників.

«Плутон» ретельно стежить за своїм «здоров'ям», контролюючи цілісність конфігурації компонентів системи, даних про зібрані мережеві події інформаційної безпеки та мережевий трафік. Тим самим забезпечується коректність функціонування компонентів системи та, відповідно, стабільність її роботи. А застосування спеціальних мережевих плат у складі компонентів рішення дозволяє виключити розрив каналів зв'язку навіть за повного виходу обладнання з ладу або відключення електроживлення.

Зважаючи на складність впровадження систем виявлення вторгнень, а також постійне збільшення пропускну здатністьУ каналах зв'язку, ми передбачили можливість гнучкого горизонтального масштабування компонентів комплексу. Якщо виникне потреба підключити до системи додаткові мережні сенсори, для цього достатньо встановити додатковий сервер управління, зв'язавши його в кластер з існуючим. При цьому обчислювальні потужності обох серверів будуть логічно поєднані в єдиний ресурс. Таким чином, збільшення продуктивності системи стає дуже простим завданням. Крім того, система має стійку відмову архітектуру: у разі відмови одного з компонентів потік подій автоматично перенаправляється на резервні компоненти кластера.

В основі «Плутон» лежить наш більш ніж 20-річний досвід розгортання та експлуатації комплексних системзахисту. Ми знаємо найчастіші проблеми замовників та недоліки сучасних рішень класу IDS. Наша експертиза дозволила виявити найактуальніші завдання та допомогла знайти оптимальні шляхи їх вирішення.

На даний момент йде покомпонентна сертифікація комплексу «Плутон» щодо вимог до систем виявлення вторгнень рівня мережі (2-й клас захисту) та на відсутність недекларованих можливостей (2-й рівень контролю).

Функції "Плутон":

Виявлення в мережевому трафіку ознак комп'ютерних атак, у тому числі розподілених у часі, сигнатурним та евристичним методами;

Контроль аномальної активності вузлів мережі та виявлення ознак порушення корпоративної безпекової політики;

. накопичення та зберігання:

— ретроспективних даних про виявлені події інформаційної безпеки з глибиною зберігання, що настроюється;

- інвентаризаційної інформації про мережеві вузли (профілі хоста);

— інформації про мережеві комунікації вузлів, у тому числі статистики споживання трафіку (від мережевого до прикладного рівня за моделлю OSI);

— метаданих про файли, що передаються між вузлами мережі;

Передача результатів аналізу мережного трафіку у зовнішні системи захисту підвищення ефективності виявлення інцидентів ІБ різного типу;

Надання доказової бази за фактами комп'ютерних атак та мережевих комунікацій для розслідування інцидентів.