[ «ДИПЛОМНЫЙ ПРОЕКТ на тему: Внедрение системы защиты информации в коммерческом банке. по специальности 230201.65 Информационные системы и технологии Студент Мишарин Михаил Леонидович Руководитель к.т.н., доцент Роганов ...»
Министерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТУРИЗМА И СЕРВИСА»
Факультет сервиса
Кафедра информационных систем и технологий
ДИПЛОМНЫЙ ПРОЕКТ
на тему: Внедрение системы защиты информации в коммерческом банке.по специальности 230201.65 «Информационные системы и технологии»
Студент Мишарин Михаил Леонидович Руководитель к.т.н., доцент Роганов Андрей Арьевич Москва
РЕФЕРАТ
ДП.03.01.Д.09/09.14.ПЗ Изм. Лист № докум. Подпись Дата Разраб. Лит. Лист Листов Мишарин М.Л.у Пров. Роганов А. А. Реферат гр. ИСД-09-2, РГУТиС Н. конт Роганов А. А.
Утв. Роганов А. А.
Реферат Пояснительная записка содержит 100 листов отчета, 7 рисунков, таблиц, 3 части отчета, 25 использованных источников.
Ключевые слова:
СОВ; Система обнаружения вторжений; СПВ; IDS; IPS; Внедрение;
Коммерческий банк В данной дипломной работе рассмотрены вопросы, связанные с внедрением системы обнаружения и предотвращения вторжений для обеспечения информационной безопасности филиала коммерческого банка ЗАО «Южный».
В ходе выполнения работы была разработана комплексная система информационной безопасности, удовлетворяющей требованиям стандарта банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», информационной безопасности защищаемого объекта, в результате которого выявлены состав источников и носителей информации, выявлены возможные атаки на информационную систему банка.
Лист ДП.03.01.Д.09/09.14.ПЗ Изм. Лист № докум. Подпись Дата Essay Explanatory note contains 100 pages of the report, 7 figures, 2 tables, 3 parts of the report, 25 sources used.
Keywords:
Intrusion Detection System; SPV; IDS; IPS; introduction; commercial bank In this thesis work addressed issues related to the introduction of intrusion detection and prevention of information security branch of a commercial bank JSC "Juzhniy".
In the course of work has developed a comprehensive information security system that complies with Bank of Russia "Information security organizations of the banking system of the Russian Federation", the information security of the protected object, which resulted in the composition of the identified sources and media, identified the possible channels of information leakage.
Лист ДП.03.01.Д.09/09.14.ПЗ Изм. Лист № докум. Подпись Дата
СОДЕРЖАНИЕ
ДП.03.01.Д.09/09.14.ПЗ Н. конт Роганов А. А.Введение……………………………………………………………...10 стр 1. Аналитическая часть ……………………………………………...15 стр 1.1 Анализ объекта исследования…………………………………..16 стр 1.1.1 Характеристика деятельности банка…………………………16 стр 1.1.2 Организационная структура…………………………………..17 стр 1.2 Анализ и виды сетевых атак…………………………………….21 стр 1.2.1 Основные виды сетевых атак ………………………………...21 стр 1.2.2 Классификация компьютерных атак………………………….24 стр 1.3 Методы и средства защиты от сетевых атак …………………...27 стр 1.3.1 Анализ средств и методов защиты ЛВС……………………...27 стр 1.4 Анализ принципов работы IDS-системы……………………….34 стр 1.4.1 Классификация и анализ СОА………………………………...35 стр 1.4.2 Архитектура IDS……………………………………………….40 стр 1.4.3 Цели использования IDS………………………………………41 стр 1.4.4 Стратегия управления IDS…………………………………….42 стр 1.4.5 СОА в реальном времени и отложенный анализ …………….44 стр 1.4.6 Локальные и сетевые СОА…………………………………….45 стр 1.4.7 Обнаружение атаки, основанное на сигнатурах..……………51 стр 1.4.8 Обнаружение атаки по аномальному поведению……………53 стр 2. Проектная часть…………………………………………………...59 стр Изм. Лист № докум. Подпись Дата 2.1 Техническое задание на внедрение IDS-системы……………...60 стр 2.1.1 Перечень сведений о заказчике……………………………….60 стр 2.1.2 Назначение внедряемой системы……………………………..60 стр 2.1.3 Цель создания системы обнаружения вторжений…………...60 стр 2.1.4 Целевая аудитория……………………………………………..61 стр 2.1.5 Требования к защите информации от несанкционированного доступа………………………………………………………………..61 стр 2.1.5.1 Требования, предъявляемые к информационной Безопасности…………………………………………………………61 стр 2.1.5.2 Требования, предъявляемые к антивирусной защите……..62 стр 2.1.5.3 Требования, предъявляемые к программным продуктам…62 стр 2.1.5.4 Требования, предъявляемые к аппаратным продуктам…...64 стр 2.2 Исследование рынка IDS-систем……………………………….65 стр 2.2.1 Обзор рынка IDS-систем……………………………………...65 стр 2.2.1.1 Cisco IPS ……………………………………………………..67 стр 2.2.1.2 Sourcefire IPS, Adaptive IPS и Enterprise Threat Management…………………………………………………………..68 стр 2.2.1.3 McAfee Network Security Platform …………………………68 стр 2.2.1.4 Stonesoft StoneGate IPS ……………………………………..70 стр 2.2.1.5 Детектор атак АПКШ «Континент» ……………………….71 стр 2.3 Выбор IDS-системы……………………………………………..72 стр Изм. Лист № докум. Подпись Дата 2.3.1 Система предотвращения вторжений StoneGate IPS………...73 стр 2.4 Внедрение IDS-системы…………………………………………79 стр 2.4.1 Мероприятия по подготовке к вводу СОВ в эксплуатацию…80 стр 2.4.1.1. Мероприятия по обучению и проверке квалификации Персонала……………………………………………………………..80 стр 2.4.1.2. Поставка технических, программных и программно-аппаратных средств………………………………………………………………..80 стр 2.4.1.3. Проведение монтажных и пуско-наладочных работ ……..80 стр 2.4.1.4. Проведение опытной эксплуатации………………………..81 стр 2.4.1.5. Проведение приемочных испытаний………………………81 стр 2.4.2 Включение IDS в сеть………………………………………....83 стр 2.4.3 Размещение сенсоров………………………………………….84 стр 2.4.4 Тестирование работы IDS……………………………………..86 стр 2.4.5 Основные ошибки, возникающие при внедрении…………...86 стр 3. Экономическая часть……………………………………………...88 стр 3.1 Маркетинговые исследования…………………………………..89 стр 3.2 Расчет стоимости системы………………………………………91 стр Заключение…………………………………………………………...94 стр Список использованной литературы……………………………….97 стр Изм. Лист № докум. Подпись Дата
ВВЕДЕНИЕ
Н. конт Роганов А. А.В настоящее время в кредитно–финансовой сфере России происходят значительные изменения. Совершенствуется законодательная база, интенсивно развиваются информационно–коммуникационные технологии, появляются новые платёжные инструменты, новые субъекты платежной системы, широко внедряются безналичные платежи, электронные деньги и дистанционные расчёты. Вместе с положительными тенденциями этот процесс, к сожалению, сопряжен и с новыми рисками.
организации в той или иной степени ими пользуется. Компания чаще всего состоит из большого числа подразделений и отделов, которые находятся на значительном удалении друг от друга. Чтобы организовать слаженную работу информацией между собой. Помочь в этом случае могут компьютерные сети.
В рамках одного филиала компьютеры соединяются посредством ЛВС. Все ЛВС компании пользуются соединением через глобальную сеть интернет. Это удобно и практично, но создает проблемы, которые связанны с защитой и злоумышленниками в корыстных целях, если руководство компании не Информация может быть модифицирована, уничтожена и т.п.
Стратегия действий злоумышленника часто включает проведение атак или вывод из строя устройств защиты, обеспечивающих безопасность конкретной цели. Корпоративная система предотвращения атак контролирует работу межсетевых экранов, шифрующих маршрутизаторов, основных серверов и файлов, являющихся важными элементами других механизмов Изм. Лист № докум. Подпись Дата защиты, и тем самым обеспечивает для обслуживаемой корпоративной системы дополнительные уровни защищенности. Система распознает первые признаки атаки и реагирует на них, минимизируя возможные последствия полной неготовности к «нападению». В случае сбоев или отказа других защитных устройств (из-за ошибок конфигурации, пользователей, атаки и т.д.), не всегда заметного сразу, система обнаружения атак вовремя распознает проблему и выдает службе информационной безопасности оповещение, позволяющее оперативно принять меры против заранее выявленных угроз.
Пропущенная атака может обойтись бизнесу крайне дорого. Не обнаруженные вовремя DoS-атаки уже неоднократно выводили из строя платежные системы банков, позволяя злоумышленникам пользоваться простоем компонентов систем в корыстных целях. Зафиксированы нередкие случаи банкротства компаний в результате грамотно спланированных атак на ресурсы корпоративной сети.
Данная ситуация может нанести солидный ущерб состоянию компании.
Из этого следует, что продуманная и хорошо организованная система безопасности позволит избежать либо сократить потерю важных данных организации, тем самым значительно уменьшить непредвиденные затраты.
В этих условиях первоочередное значение приобретает дальнейшее совершенствование комплекса мер (технологий и механизмов) обеспечения стабильности и бесперебойности функционирования платёжной инфраструктуры в Российской Федерации.
Важным элементом данного комплекса является создание системы управления рисками и организация эффективной системы обеспечения ИБ банковской системы Российской Федерации. Таким образом, проблема организации комплексной системы защиты информации в банковской сфере приобретает актуальность в современных условиях.
Изм. Лист № докум. Подпись Дата Данная тема является комплексной, целью выполнения моей дипломной работы является, внедрение эффективной IDS-системы для сбора и анализа информации о событиях информационной безопасности для предотвращения вторжения в информационную систему коммерческого банка ЗАО «Южный», т. к. негативные последствия сбоев в работе могут нанести ущерб репутации, интересам собственников и клиентов.
Для достижения поставленной цели необходимо сформулировать задачи работы. Основные задачи, решаемые при выполнении настоящей дипломной работы:
информационную систему коммерческого банка.
Исследование состояния ИС банка.
Рассмотрение принципов действия, состава, возможности IDSсистемы.
Разработка техническое задания на внедрение IDS-системы.
Маркетинговый анализ и расчет конечной стоимость системы Данная дипломная работа является актуальной, так как:
Постоянно растет число рисков по вторжению в ИС банка, поэтому необходимо использование современных средств защиты для Рассматриваемая и внедряемая СОВ является популярной и её применение должно быть исследовано;
На рынке информационных технологий существует потребность в обнаружении ранее неизвестных атак, так как они появляются с Объектом исследования является филиал Банка «ЮЖНЫЙ».
Изм. Лист № докум. Подпись Дата информационной безопасности филиала банка ЗАО «ЮЖНЫЙ» стандарту банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» СТО БР ИББС-1.0-2010 «Общие положения».
В ходе выполнения настоящей дипломной работы были предложены организационные, инженерно-технические, программно-аппаратные.
Дипломная работа состоит из введения, трёх глав, и заключения.
Во введении обосновывается актуальность темы дипломной работы, формулируются основные решаемые задачи и цель работы, и обосновывается её практическая значимость.
В первой главе осуществляется анализ угроз связанных с вторжением в информационную систему коммерческого банка. Проводится исследование рассматривается нормативно-правовая основа информационной безопасности безопасности банка «ЮЖНЫЙ».
Во второй главе рассматриваются принципы действия, состав, возможности IDS-системы, определяются требования к системе комплексной защиты информации, осуществляется выбор и внедрение технических средств обеспечения текущего уровня информационной безопасности банка ЗАО «ЮЖНЫЙ».
В третьей главе приводится экономическое обоснование построения и эксплуатации комплексной системы защиты информации;
Изм. Лист № докум. Подпись Дата В заключении содержатся основные выводы и рекомендации по выполненной дипломной работе.
Комплексная система защиты информации, разработанная в результате выполнения дипломной работы, соответствует законодательным актам и руководящим документам, принятым в РФ. Проектные и организационные решения, программно-аппаратные средства, предложенные в дипломной работе, могут быть использованы для организации защиты информации в большинстве отделений банка.
Изм. Лист № докум. Подпись Дата Н. конт Роганов А.А.
Объектом исследования является коммерческий банк ЗАО “Южный”, основанный в 2001 году, и специализирующийся на обслуживании физических лиц, индивидуальных предпринимателей и предприятий малого бизнеса. Сеть банка формируют 632 офиса в 52 регионах страны, головной офис находится в Москве. Банк предлагает клиентам основные банковские продукты, принятые в международной финансовой практике. В числе предоставляемых услуг:
депозитные операции, подкрепленные гибкой политикой стимулирования кредитование различных видов (ипотечный, потребительский, товарный обслуживание текущих счетов, позволяющее перечислять средства безналичным способом;
расчетно-кассовые операции, то есть, движение средств по поручению клиента с использованием банковских счетов;
предоставление карт и управление карточными счетами;
денежные переводы различных видов;
различные виды кредитования (пополнение оборотных средств, и т.п.);
открытие депозитов;
обслуживание текущих счетов;
всевозможные пластиковые карты (зарплатные, премиальные, для открытия овердрафта сотрудниками);
Изм. Лист № докум. Подпись Дата лизинг: с его помощью покрывается стоимость купленного и сданного в эксплуатацию оборудования;
инкассация (включая сохранность и доставку средств компании).
Часть услуг доступна клиентам в круглосуточном режиме, для чего используются современные телекоммуникационные технологии.
Деятельность ЗАО «Южный» осуществляется в соответствии с генеральной лицензией Банка России № 1623 от 15.10.2012г.
Органами управления Банка являются:
Общее собрание акционеров, Коллегиальный исполнительный орган - Правление Банка, Единоличный исполнительный орган Президент, Председатель Общее собрание акционеров является высшим органом управления Банком. Акционерами могут быть юридические и (или) физические лица. К компетенции Общего собрания акционеров относятся следующие вопросы:
внесение изменений и дополнений в Устав Банка;
реорганизация Банка;
избрание членов Наблюдательного совета Банка;
избрание Президента, Председателя Правления Банка и досрочное прекращение его полномочий;
Банк ЗАО «Южный» является юридическим лицом и со своими представительствами, филиалами и их внутренними структурными подразделениями составляет единую систему. Филиалы и представительства Банка не являются юридическими лицами и действуют на основании положений, утвержденных Правлением Банка.
Изм. Лист № докум. Подпись Дата акционеров банка, принимающее важнейшие решения.
приведена на Рис. Для предотвращения утечки информации создают службу ИБ и отдел ИТ, которая занимается вопросами:
выявление нарушений информационной безопасности и проведение служебных расследований по выявленным нарушениям;
разработка нормативно-методических документов по обеспечению информационной безопасности банка;
предоставление информации по вопросам информационной безопасности в регулирующие (ЦБ) и контролирующие органы (МВД);
информационной безопасности;
Изм. Лист № докум. Подпись Дата информационной безопасности.
Организационная структура Департамента ИБ банка ЗАО «Южный»
представлена на Рис. нормативно-методических документов по обеспечению ИБ банка, а также производит выявление нарушений ИБ и проведение служебных расследований по выявленным нарушениям ИБ. Результатом работы отдела является организация деятельности по проведению служебных расследований нарушений информационной безопасности, а также привлечение нарушителей к ответственности, составление отчетов и других аналитических документов по вопросам информационной безопасности. В рамках обеспечения информационной безопасности отдел ИТ выполняет часть работ по внедрению и сопровождению систем и средств защиты информации, в том числе – разграничение доступа штатными средствами операционных и прикладных систем, обеспечение антивирусной защиты, реализацию парольной политики, сопровождение межсетевых экранов и другое. В рамках технического обеспечения ИБ в банке внедрены и используются аппаратные средства, Изм. Лист № докум. Подпись Дата которые представлены техническими устройствами, предназначенными для защиты информации от разглашения, утечки или несанкционированного доступа.
Используемые аппаратные средства:
Check Point IPS-1 - средства обнаружения вторжений;
СЗИ НСД Аккорд-АМДЗ - средства защиты от несанкционированного Аппаратно-программный комплекс шифрования «CISCO ASA 5510», позволяет обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных, конфиденциальность при передаче информации по открытым каналам связи, организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций. Объединяет в себе межсетевой экран и средство построения Используемые программные средства:
Для разграничения доступа к информации ограниченного пользования используются штатные средства WindowsServer;
информации на защищаемых устройствах после использования;
KasperskyInternetSecurityи Symantec – ПО для защиты от вредоносных программ, контроля серверов, веб-контроля и контроля устройств.
MaxPatrol - системы контроля защищенности и соответствия стандартам.
DeviceLock - ПО для управления правами доступа к дисководам, USB, Протоколирование. Мониторинг.
MailArchiva – система архивирования.
Изм. Лист № докум. Подпись Дата Аппаратный комплекс СЗИ НСД «Аккорд-АМДЗ» - это аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.
В целях обеспечения информационной безопасности ЗАО «Южный»
руководствуется, в соответствии с законодательством РФ, определенным перечнем нормативных актов Сетевая атака - это действия злоумышленника, целью которых может являться несанкционированное получение доступа к ресурсу сети, выведение из строя программного обеспечения, модификация данных, кража персональной информации, сбор информации о сети, недоступность ресурса.
Вирус - это вредоносное программное обеспечение, особенностью которого является способность к самовоспроизведению и внедрению своего кода в другие программные файлы, модифицируя их.
Действия вирусов могут привести к некорректной работе программ, сбоям в работе операционной системы, увеличению объема трафика, модификации или исчезновению файлов, появлению непредусмотренных сообщений, изображений или звуковых эффектов, утечке конфиденциальной информации, а также другим нежелательным последствиям. Так как количество вирусов постоянно увеличивается, то классифицировать их достаточно сложно, а описать все существующие и вовсе не представляется возможным. В настоящее время, наиболее оптимальной защитой является использование различного антивирусного программного обеспечения.
Mailbombing - отправка огромного количества email сообщений с целью отказа работы почтового ящика, а иногда и почтового сервера. Методы Изм. Лист № докум. Подпись Дата защиты: ограничение числа лиц знающих почтовый адрес, настройка почтовых фильтров на стороне сервера.
IP-spoofing подразумевает использование для атаки чужого ip адреса, из диапазона ip адресов, с которых разрешен доступ к определенным ресурсам сети. Целью данной атаки может являться скрытие реального адреса атакующего, перенаправление трафика на подставной ip адрес и другое.
Наиболее часто для защиты используется сопоставление MAC и IP адресов.
Man-in-the-Middle - для реализации такой атаки необходим доступ к пакетам передаваемым по сети, как правило, это атака изнутри. Целью данного вида атаки является кража и фальсификация передаваемой информации. Для борьбы с данным видом атаки используется шифрование.
Flood - атака с огромным количеством запросов, приводящая к недоступности ресурса.
Сетевая разведка - сбор информации о сети с помощью сканирования портов, DNS запросов, эхо тестирования открытых портов. Сканирование портов сами по себе атакой не являются, но, как правило, ей предшествуют, так как это один из способов получить информацию об удаленном компьютере. Суть данного способа заключается в сканировании UDP/TCPпортов, которые используются сетевыми сервисами на нужном компьютере для выявления их состояния. Более того, сканирование дает злоумышленнику необходимые сведения об операционной системе, что позволяет подобрать еще более подходящие типы атак. Для борьбы с данными видами атак можно использовать систему обнаружения вторжений (IDS).
Buffer overflow - данный вид атаки использует уязвимости в исходных кодах программ, позволяющих выйти за границы выделенного буфера памяти и вызвать аварийное завершение приложения или выполнить некий бинарный код от имени пользователя, получив тем самым контроль над системой.
Изм. Лист № докум. Подпись Дата Для защиты от подобного рода атак требуется оптимизация кода и верификация входных данных. Со стороны пользователя программного обеспечения не рекомендуется работать под учетной записью администратора, имеющей полные права в системе.
BotNet - сеть состоящая из компьютеров, зараженных вредоносным используются для рассылки спама, организации DDOS атак, фишинга, брутфорса.
Brute-force - атака нацеленная на взлом пароля к какому-либо ресурсу методом перебора. Используется два метода: перебор всех возможных вариантов и использование специальных словарей. Основным методом защиты является установка длинных сложных паролей.
DOS (Denial of Service) - атака, целью которой является недоступность ресурса.
DDOS (Distributed Denial of Service) - распределенная атака (обычно флуд), производимая с большого числа компьютеров, целью которой является недоступность ресурса.
В качестве защиты от DDOS атак используются такие методы как фильтрация трафика на аппаратном уровне, настройка firewall-а и webсервера.
Spam - массовая рассылка информационных, рекламных или иных сообщений лицам незаинтересованным в их получении.
Phishing конфиденциальной информации, это могут быть авторизационные данные для доступа к какому-либо ресурсу, номера кредитных карт, пин-коды и многое другое. Для получения этой информации, производится массовая рассылка писем, якобы от представительства компании, содержащих ссылку на внешне Изм. Лист № докум. Подпись Дата идентичную страницу официального сайта, где необходимо пройти авторизацию или ввести какие-либо данные. Способы защиты: проверять имя ресурса и использовать антивирусное программное обеспечение.
Эффективная защита от потенциальных сетевых атак невозможна без их противодействия им. В настоящее время известно большое количество различных типов классификационных признаков. В качестве таких признаков может быть выбрано, например, разделение на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные и т.д. К сожалению, несмотря на то, что некоторые из существующих классификаций мало применимы на практике, их активно используют при выборе СОА и их эксплуатации.
Все возможные сетевые атаки делятся на следующие типы:
удаленное проникновение (от англ. remote penetration) — это тип атак, которые позволяют реализовать удаленное управление компьютером через сеть; например, атаки с использованием программ NetBus или локальное проникновение (от англ. local penetration) — это тип атак, которые приводят к получению несанкционированного доступа к узлу, на который они направлены; примером такой атаки является атака с использованием программы GetAdmin;
удаленный отказ в обслуживании (от англ. remote denial of service) — тип атак, которые позволяют нарушить функционирование системы в рамках глобальной сети; пример такой атаки — Teardrop или trinOO;
локальный отказ в обслуживании (от англ. local denial of service) — тип атак, позволяющих нарушить функционирование системы в рамках локальной сети. В качестве примера такой атаки можно привести Изм. Лист № докум. Подпись Дата внедрение и запуск враждебной программы, которая загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений;
атаки с использованием сетевых сканеров (от англ. network scanners) — это тип атак, основанных на использовании сетевых сканеров — программ, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки; пример: атака с использованием утилиты атаки с использованием сканеров уязвимостей (от англ. vulnerability scanners) — тип атак, основанных на использовании сканеров уязвимостей — программ, осуществляющих поиск уязвимостей на узлах сети, которые в дальнейшем могут быть применены для реализации сетевых атак; примерами сетевых сканеров могут служить системы SATAN и Shadow Security Scanner;
атаки с использованием взломщиков паролей (от англ. password crackers) — это тип атак, которые основаны на использовании взломщиков паролей — программ, подбирающих пароли пользователей; например, программа LOphtCrack для ОС Windows или программа Crack для ОС атаки с использованием анализаторов протоколов (от англ. sniffers) — это тип атак, основанных на использовании анализаторов протоколов — программах, "прослушивающих сетевой трафик. С их помощью можно автоматизировать поиск в сетевом трафике такой информации, как идентификаторы и пароли пользователей, информацию о кредитных картах и т. д. Примерами анализаторов сетевых протоколов являются программы Microsoft Network Monitor, NetXRay компании Network практической точки зрения, так как она охватывает почти все возможные Изм. Лист № докум. Подпись Дата действия злоумышленника. Однако для противодействия сетевым атакам этого недостаточно, так как ее использование в данном виде не позволяет определять элементы сети, подверженные воздействию той или иной атаки, а также последствия, к которым может привести успешная реализация атак. В таком случае мы не включаем в анализ самый важный компонент, а именно — модель угроз безопасности, с построения которой должны начинаться все мероприятия по обеспечению защиты информации.
По степени риска (от англ. Risk Factor); имеет большое практическое значение, так как позволяет ранжировать опасность атак по следующим классам:
высокий (High) — атаки, успешная реализация которых позволяет атакующему немедленно получить доступ к машине, получить права администратора или обойти межсетевые экраны (например, атака, основанная на использовании ошибки в ПО позволяет атакующему исполнять любую команду на сервере);
средний (Medium) — атаки, успешная реализация которых потенциально может дать атакующему доступ к машине. Например, ошибки в сервере, позволяющие атакующему получить файл с гостевым паролем;
низкий (Low) — атаки, при успешной реализации которых атакующий может получить сведения, облегчающие ему задачу взлома данной машины. Например атакующий может определить список пользователей сервера и, используя атаку по словарю, попытаться получить доступ к По типу атаки (Attack Type); позволяет судить о том, может ли атака быть осуществлена удаленно, или только локально:
Изм. Лист № докум. Подпись Дата Как видно из описанных классификаций, далеко не все они являются полными. В некоторых случаях под видом единой классификации делается попытка объединить несколько классификаций, проведенных по разным характеристическим параметрам.
применения существующих классификаций, поэтому их использование без внесения изменений не представляется возможным. Данная ситуация объясняется огромным количеством различных сетевых атак и постоянным появлением новых атак, некоторые из которых не подчиняются критериям существующих классификаций.
Таким образом, применение существующих классификаций нельзя назвать рациональным. Существует объективная необходимость в создании построенной с учетом указанных выше недостатков.
Обнаружение атак – это процесс распознавания и реагирования на подозрительную деятельность, направленную на сетевые или вычислительные ресурсы. Эффективность технологии во многом зависит от того, какие методы анализа полученной информации применяют. В настоящее время наряду со статистическим методом используется ряд новых методик, таких как экспертные системы и нейронные сети. Разберем каждый метод по отдельности.
преимущества: использование зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.
Изм. Лист № докум. Подпись Дата В самом начале использования данного метода определяются профили используемого профиля от эталона рассматривается как несанкционированная деятельность. Статистические методы универсальны, так как не требуют знаний о возможных атаках и уязвимостях системы. Однако при их использовании могут возникать некоторые трудности, связанные, например, с тем, что их можно «обучить» воспринимать несанкционированные действия как нормальные. Поэтому наряду со статистическим анализом применяются дополнительные методики.
Экспертные системы. Этот метод обнаружения атак является весьма формулируется в виде правил, которые, зачастую, записывают в виде последовательности действий или в форме сигнатуры. Если выполняется любое из этих правил, то тут же принимается решение о наличии несанкционированной деятельности. Одно из главных достоинств этого метода — практически полное отсутствие ложных тревог. Для того чтобы экспертные системы всегда оставались актуальными, необходимо постоянно обновлять применяемые базы данных постоянно. Недостаток такого метода заключается в невозможности отражения неизвестных атак. Даже если атаку из базы данных немного изменят, то это уже может стать серьезным препятствием для ее обнаружения.
Нейронные сети. Из-за того, что хакеров и вариантов атак становится с каждым днем все больше, экспертные системы, даже в условиях постоянного обновления баз данных не могут дать гарантии точной идентификации каждого возможного вторжения. Как один из способов преодоления данной проблемы используются нейронные сети. Нейронная сеть анализирует согласуются данные с распознаваемыми ей характеристиками. Для этого нейросеть обучают точной идентификации на подобранной выборке примеров Изм. Лист № докум. Подпись Дата из предметной области. Реакция нейронной сети подвергается анализу, после чего систему настраивают таким образом, чтобы достичь удовлетворительных результатов. По мере того, как нейросеть проводит анализ данных, она набирается дополнительного опыта.
Из-за того, что названные методы обнаружения атак имеют свои недостатки, их, как правило, используют в совокупности для обеспечения более надежной защиты.
Сегодня системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system, аналогичный русскоязычный термин — СОВ/СОА) — необходимый элемент защиты от сетевых атак. Основное предназначение подобных систем — выявление фактов неавторизованного доступа в корпоративную сеть и принятие соответствующих мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения и перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника.
Существует несколько технологий IDPS, которые различаются по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов все типы IDPS выполняют следующие функции:
Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов или SIEM-систему;
Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert, и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDPS. Возможна также программируемая реакция с использованием скриптов.
Изм. Лист № докум. Подпись Дата Генерация отчетов. Отчёты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).
Технология IPS дополняет технологию IDS тем, что может самостоятельно не только определить угрозу, но и успешно заблокировать ее. В этом сценарии функциональность IPS гораздо шире, чем у IDS:
IPS блокирует атаку (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям);
IPS изменяет защищаемую среду (изменение конфигурации сетевых устройств для предотвращения атаки);
инфицированный файл и отправляет его получателю уже очищенным, либо работает как прокси, анализируя входящие запросы и отбрасывая данные в заголовках пакетов).
Но кроме очевидных плюсов эти системы имеют своим минусы.
Например, IDPS не всегда может точно определить инцидент ИБ, либо ошибочно принять за инцидент нормальное поведение трафика или пользователя. В первом варианте принято говорить о событии false negative, во втором варианте говорят о событии false positive. Следует иметь в виду, что невозможно полностью исключить их возникновение, поэтому организация в каждом случае может самостоятельно решить риски какой из двух групп следует либо минимизировать, либо принять.
Система обнаружения вторжений предназначена для:
автоматического выявления определенного класса информационных воздействий на защищаемую автоматизированную информационную систему, которые могут быть классифицированы как компьютерные атаки;
блокирования развития деструктивных последствий от выявленных компьютерных атак.
Изм. Лист № докум. Подпись Дата пользователями и выявляют факты, аномальные или опасные сетевые активности.
Средства IDS/IPS способны обнаружить многие типы сетевых вторжений и вести ответные действия на нарушения, оперативно отражая атаки.
информацию обо всех потоках данных, поступающих в корпоративную сеть из удаленных источников, блокирует либо оповещает о выявленных потенциальных опасностях и позволяет за счет проактивного подхода более запланированных враждебных воздействий. Корпоративная система предотвращения атак является составной частью стратегии безопасности предприятия и обеспечивает организациям наиболее масштабируемый, гибкий и полный метод безопасной, надежной, экономичной и эффективной конкуренции в мире электронного бизнеса.
Intrusion detection system (IDS) или Intrusion prevention system (IPS) – это программные и аппаратные средства, предназначенные для обнаружения и/или предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.
IDS/IPS-системы используются для обнаружения аномальных действий в сети, которые могут нарушить безопасность и конфиденциальность данных, например: попытки использования уязвимостей программного обеспечения;
конфиденциальным данным; активность вредоносных программ и т.д.
Изм. Лист № докум. Подпись Дата В целом, IPS аналогичны IDS. Главное же отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.
IDS, в свою очередь, обычно состоит из:
системы сбора событий;
системы анализа собранных событий;
хранилища, в котором накапливаются собранные события и результаты базы данных об уязвимостях (этот параметр является ключевым, так как чем больше база у производителя, тем больше угроз способна выявлять консоли управления, которая позволяет настраивать все системы, осуществлять мониторинг состояния защищаемой сети, просматривать выявленные нарушения и подозрительные действия.
По способам мониторинга IPS-системы можно разделить на две большие группы: NIPS (Network Intrusion Prevention System) и HIPS (Host Intrusion Prevention System). Первая группа ориентирована на сетевой уровень и корпоративный сектор, в то время как представители второй имеют дело с информацией, собранной внутри единственного компьютера, а следовательно могут использоваться на персональных компьютерах. Сегодня HIPS часто входят в состав антивирусных продуктов, поэтому, в контексте данной статьи, эти системы мы рассматривать не будем.
Protocol-based IPS, PIPS. Представляет собой систему (либо агент), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.
Изм. Лист № докум. Подпись Дата Application Protocol-based IPS, APIPS. Представляет собой систему (или агент), которая ведет наблюдение и анализ данных, передаваемых с протоколов. Например, отслеживание содержимого SQL-команд.
Что касается форм-фактора, IPS-системы могут быть представлены как в виде отдельного «железного» решения, так и в виде виртуальной машины или софта.
Системы предотвращения вторжений появились на стыке двух технологий: межсетевых экранов (firewall) и систем обнаружения вторжений (IDS). Первые умели пропускать трафик через себя, но анализировали лишь заголовки IP-пакетов. Вторые же, напротив, «умели» всё то, чего были лишены межсетевые экраны, то есть анализировали трафик, но не могли как-либо влиять на ситуацию, так как устанавливались параллельно и трафик через себя не пропускали. Взяв лучшее от каждой технологии, появились IPS-системы.
Становление современных IPS-систем, шло через четыре направления.
Первое направление – развитие IDS в inline-IDS. Другими словами, необходимо было встроить IDS-систему в сеть не параллельно, а последовательно. Решение оказалось простым и эффективным: IDS поместили между защищаемыми и незащищаемыми ресурсами. Из этого направления, вероятнее всего, развились программные варианты IPS Второе направление становления IPS не менее логичное: эволюция межсетевых экранов. Как вы понимаете, им не хватало глубины анализа пропускаемого через себя трафика. Добавление функционала глубокого проникновения в тело данных и понимания передаваемых протоколов позволило стать межсетевым экранам настоящими IPS-системами. Из этого направления, вероятнее всего, развились аппаратные IPS.
Изм. Лист № докум. Подпись Дата Третьим «источником» стали антивирусы. От борьбы с «червями», «троянами» и прочими вредоносными программами до IPS-систем оказалось совсем недалеко. Из этого направления, вероятнее всего, развились HIPS.
Наконец, четвёртым направлением стало создание IPS-систем «с нуля».
Здесь, собственно, и добавить нечего.
Что же касается проблем, у IPS, как и у любых других решений, они были. Основных проблем выделяли три:
большое количество ложных срабатываний;
автоматизация реагирования;
большое число управленческих задач.
С развитием систем, эти проблемы успешно решались. Так, к примеру, для снижения процента ложных срабатываний начали применять системы корреляции событий, которые «выставляли приоритеты» для событий и помогали IPS-системе эффективнее выполнять свои задачи.
Всё это привело к появлению IPS-систем следующего поколения (Next минимальными функциями:
Работать в режиме реального времени без воздействия (или с минимальным воздействием) на сетевую активность компании;
Выступать в качестве единой платформы, объединяющей в себе как все преимущества предыдущего поколения IPS, так и новые возможности:
контроль и мониторинг приложений; использование информации из сторонних источников; анализ содержимого файлов.
Система обнаружения атак — это программный или программноаппаратный комплекс, предназначенный для выявления и по возможности Изм. Лист № докум. Подпись Дата предупреждения действий, угрожающих безопасности информационной системы.
Первые прототипы СОА появились в начале 1980-х годов и были ориентированы в первую очередь на защиту автономных ЭВМ, не объединенных в сеть.
Обнаружение атак производилось путем анализа журналов регистрации событий постфактум. Современные системы в основном ориентированы на защиту от угроз, направленных из сети, поэтому их архитектура существенным образом поменялась. Вместе с тем основные подходы к обнаружению атак остались прежними. Рассмотрим классификацию и принципы работы СОА более подробно.
1.4.1 Классификация и анализ систем и методов обнаружения атак Актуальность исследований в области защиты информации в компьютерных сетях вызвана значительным увеличением за последние годы количества инцидентов, связанных с нарушением политики безопасности организаций.
Изм. Лист № докум. Подпись Дата Системы обнаружения атак появились сравнительно недавно и являются одной из составляющих системы защиты информации компьютерной сети.
Система обнаружения атак (IDS - Intrusion Detection System) - это комплекс технических и программных средств, предназначенных для автоматизации процесса сбора и мониторинга событий, происходящих в компьютерной системе или сети, и дальнейшего анализа этих событий с целью выявления признаков нарушения безопасности объекта мониторинга.
Системы обнаружения атак используются с различными целями, среди которых можно выделить две основные:
с целью получения достаточного количества данных для расследования факта совершения атаки и выявления злоумышленника;
с целью повышения защищенности объекта защиты путем быстрого реагирования на обнаруженную атаку и устранения как самой атаки, так и ее последствий.
Кроме этого системы обнаружения атак могут быть использованы с другими целями, например:
для выявления и устранения уязвимостей объекта защиты;
для предотвращения атак, так как использование IDS увеличивает риск для атакующего быть обнаруженным;
для оценки существующих угроз;
для контроля качества администрирования созданной политики безопасности.
В настоящее время существует ряд систем обнаружения атак, которые используют различные методы мониторинга и анализа событий.
Однако системы, использующие этот метод, характеризуются высоким показателем ложных срабатываний.
Изм. Лист № докум. Подпись Дата Таким образом, метод обнаружения аномалий пока не может быть использован как основной метод обнаружения атак, но элементы обнаружения аномалий могут быть использованы совместно с методом обнаружения злоупотреблений, улучшая характеристики системы обнаружения атак.
Методы реагирования на обнаруженную атаку. Реакция на атаку выражается в действиях, направленных на защиту и (или) восстановление нормальной работы защищаемого объекта после обнаружения атаки.
Выделяют активные и пассивные методы реагирования. При активном реагировании действия выполняются самой IDS, в то время как при пассивном реагировании выполнение действий возложено на человека, а система лишь сообщает об обнаружении атаки.
К группе активных методов относятся:
событии (например, если сетевая IDS собирала пакеты, передаваемые только определенному IP-адресу или порту, то при обнаружении подозрительного события она может перейти в режим сбора всех настроек брандмауэра гак, чтобы доступ в сеть пакетов с определенным IP-адресом источника был блокирован) с целью прекратить атаку, как К группе пассивных методов относится генерация сигналов и уведомлений с целью информировать пользователя об обнаружении атаки.
Наиболее распространенный способ информировать пользователя о наступлении какого-либо события - это показать диалоговое окно на экране компьютера с информацией о событии. Информация может быть самой разнообразной: от простого уведомления о том, что атака произошла, до Изм. Лист № докум. Подпись Дата инструментальных средств, с помощью которых эта атака была совершена, а также возможных последствий атаки.
Сообщения также могут быть переданы удаленно с помощью компьютерной сети или посредством других средств связи, например, мобильной или пейджинговой. Основным недостатком удаленной передачи информации является повышение ее уязвимости. Поэтому использование альтернативных средств связи повышает надежность передачи. Также при передаче информации может быть использовано шифрование.
Представленная базовая структура показывает состав и взаимодействие функциональных компонентов системы обнаружения атак. Приведенная классификация позволяет проанализировать методы обнаружения атак и сделать следующие выводы:
имеют лучшие характеристики в сравнении с монолитными системами;
мониторинговым и блокирующим IDS, являются противоположными, эти функции могут быть реализованы в одной системе обнаружения атак при условии, что такая IDS будет иметь два режима работы:
мониторинговый и блокирующий;
режиме, в общем случае имеют лучшие характеристики в сравнении с системами, работающими в пакетном режиме;
уровне хоста и на уровне приложений в одной системе обнаружения, а также совместное использование методов обнаружения аномалий и методов обнаружения злоупотреблений улучшает характеристики IDS;
Изм. Лист № докум. Подпись Дата используемого метода зависит от целей использования системы и принятой политики безопасности.
Работоспособность системы обнаружения атак можно оценить по таким показателям, как: точность обнаружения, своевременность обнаружения, количество обнаруживаемых атак, отказоустойчивость. Показателем точности обнаружения атак является количество ложных срабатываний (false alarms) системы обнаружения. Чем меньше этот показатель, тем эффективнее работает система. Своевременное обнаружение атаки дает возможность своевременно отреагировать на нее. Количество обнаруживаемых атак характеризует способность системы обнаруживать все атаки или только некоторое их подмножество. Чем выше этот показатель, тем эффективнее работает система. Сама IDS должна быть защищена от атак, а также иметь низкий показатель ошибок и сбоев в работе.
Системы обнаружения атак можно классифицировать по разным критериям Изм. Лист № докум. Подпись Дата Система обнаружения атак непосредственно взаимодействует, как минимум, с двумя системами - хостом и объектом защиты. На базе хоста работает ядро 108 (например, подсистема анализа данных, интерфейс взаимодействия с пользователем, подсистема реагирования). На объекте защиты расположены детекторы IDS. Возможны два способа расположения хоста и объекта защиты:
а) в пределах одной компьютерной системы (рис. а), Изм. Лист № докум. Подпись Дата Рис.5 Расположение IDS относительно других систем в пределах одной В первом случае все компоненты IDS расположены в пределах одной компьютерной системы, т. е. IDS имеет монолитную архитектуру. Во втором случае IDS имеет распределенную архитектуру.
Функциональные требования, предъявляемые к IDS, зависят от целей ее расследования факта совершения атаки и выявления злоумышленника, система обнаружения атак должна работать в режиме мониторинга (мониторинговая IDS) и, как правило, не выявлять себя до тех пор, пока вся необходимая информация не будет получена. Если же целью использования IDS является повышение защищенности объекта защиты, то нужно как можно быстрее ликвидировать атаку и вернуть объект защиты в нормальное состояние, не заботясь о том, сколько данных об атаке было получено. По такому принципу работают блокирующие IDS.
Несмотря на то, что требования, предъявляемые к мониторинговым и блокирующим IDS, являются противоположными, эти функции могут быть Изм. Лист № докум. Подпись Дата реализованы в одной системе обнаружения атак при условии, что такая IDS будет иметь два режима работы - мониторинговый и блокирующий.
Стратегия управления предписывает то, как будет происходить управление компонентами IDS. Выделяют три способа управления:
централизованное, частично распределенное и полностью распределенное.
При централизованном управлении все процессы IDS (сбор данных, их анализ и реагирование на обнаруженную атаку) управляются из одного пункта управления. При частично распределенном управлении процессы сбора данных и обнаружения атак управляются из локального пункта управления, а процесс реагирования - из одного или нескольких центральных пунктов управления, которые, в свою очередь, могут быть связаны иерархически. В данном случае предполагается, что локальные пункты управления расположены в пределах локальной сети, а центральные пункты управления могут располагаться за ее пределами. При полностью распределенном управлении, IDS должна иметь архитектуру, основанную на агентах.
Отдельным классом систем обнаружения атак являются распределенные системы. Их основным отличием является перераспределение функций сбора данных между несколькими «агентами» — программными датчиками, установленными на узлах информационной системы. Агенты могут собирать информацию непосредственно с компьютера, на который они установлены, или анализировать данные, передаваемые по сети. Наиболее принципиальным моментом при внедрении распределенных СОА является организация информационного обмена между отдельными агентами системы. Конечной целью этого обмена является принятие решения о факте атаки.
Преимуществом использования распределенных систем является возможность собирать и анализировать значительно больший объем информации, что позволяет обнаруживать широкий спектр атак. В этом Изм. Лист № докум. Подпись Дата отношении наиболее эффективным является решение, объединяющее методологию локальных и сетевых СОА в единое целое. С другой стороны, распределенные системы обладают рядом недостатков, наиболее существенным из которых является меньшая защищенность их компонентов.
Во-первых, сбор данных с нескольких узлов создает дополнительную нагрузку на сеть, которая, в случае полномасштабной атаки, может превысить ее пропускную способность. Во- вторых, обмен информацией по сети подразумевает наличие открытых портов, потенциально доступных для атаки на отказ в обслуживании (переполнение очереди входящих TCP-соединений).
В-третьих, на узлах информационной системы возможно внедрение вредоносного программного обеспечения, которое будет блокировать работу агента или пытаться подделывать информацию, им передаваемую.
Отдельной задачей, возникающей при проектировании распределенных СОА, является выбор идеологии процедуры принятия решения. Возможны несколько вариантов процедуры, отличающиеся степенью централизации.
Наиболее простым является вариант процедуры с предельной степенью централизации, когда агенты занимаются лишь сбором данных и передачей их центральному узлу СОА — модулю принятия решения. Этот модуль анализирует поступающую информацию и выносит решение о факте атаки.
Данный вариант характеризуется большим объемом передаваемых по сети данных, что повышает вероятность обнаружения факта работы СОА злоумышленником и делает систему уязвимой к атакам на отказ в обслуживании. Наиболее очевидным решением по использованию такого типа СОА является их установка в рамках подсетей небольшого размера, что позволит обойти проблему перегрузки сети пакетами, сгенерированными системой. Увеличение масштабов сети требует многоступенчатого подхода к принятию решения.
Он заключается в том, что выделяются промежуточные модули принятия решения, которые собирают данные только с ограниченного числа Изм. Лист № докум. Подпись Дата «своих» агентов и передают на верхний уровень гораздо меньший объем информации, дополненный промежуточным решением. При любом варианте реализации процедуры принятия решения, очевидно, что первоочередной становится задача обеспечения защищенности самой СОА.
1.4.5 Обнаружение в реальном времени и отложенный анализ подразделяются на «системы реального времени» и «системы отложенной обработки». Системы отложенной обработки анализируют содержимое журналов регистрации событий или массив предварительно записанного трафика, а системы реального времени — входящий поток событий от программных датчиков. Очевидно, что адекватное реагирование на попытку реализации атаки, включая ее предотвращение, возможно только при использовании систем реального времени. В то же время это не означает, что СОА реального времени «лучше», чем системы отложенной обработки. Так, СОА реального времени, не имеющая функций по предотвращению атак, заведомо менее эффективна, чем аналогичная система с отложенной обработкой, поскольку в системе реального времени одним из основных критериев эффективности является простота используемых алгоритмов, а не их оптимальность с позиций надежности обнаружения атак. Поэтому выбор того или иного типа СОА должен делаться исходя из анализа задач, которые ставятся перед системой обнаружения.
Временные соотношения между процессом сбора данных и их анализом.
Среди систем обнаружения атак можно выделить два вида систем:
системы, работающие в реальном режиме времени (непрерывный режим);
системы, работающие с временным интервалом между сбором данных и их анализом (пакетный режим), Изм. Лист № докум. Подпись Дата В первом случае анализ данных производится по мере поступления их от детекторов.
Во втором случае данные накапливаются за некоторый промежуток времени (например, за сутки), а затем выполняется их анализ.
Апостериорный анализ может использоваться со следующей целью:
расследование информационных преступлений и инцидентов;
выявление атак, не являющихся информационным преступлением (сбор информации об инфраструктуре сети, сканирование портов и пр.);
сбор информации об уязвимостях информационной системы с целью их анализ активности отдельных пользователей;
минимизация системных требований к СОА.
Основной целью использования систем обнаружения атак реального времени является быстрое реагирование на попытки реализации атак, в том числе пресечение этих попыток. В связи с этим типичными процедурами для данных систем является анализ и фильтрация трафика на сетевом и транспортном уровнях модели OSI. Чтобы сократить производительные затраты, часто рассматриваются лишь заголовки пакетов, а их содержимое «отбрасывается». Это, очевидно, значительно сокращает перечень обнаруживаемых атак.
1.4.6 Локальные и сетевые системы обнаружения атак СОА, использующие информацию, получаемую от персонального компьютера, на который они установлены, обычно называют локальными (host-based).
ориентированные на анализ всего доступного сетевого трафика, называют сетевыми (network-based).
Изм. Лист № докум. Подпись Дата Рассмотрим, какая информация может использоваться локальными СОА для выявления попыток атаки.
Отслеживание попыток входящих и исходящих TCP- и UDP-соединений. В несанкционированных подключений к отдельным портам, а также попытки сканирования портов.
Анализ входящего и исходящего сетевого трафика на предмет наличия «подозрительных» пакетов. «Досмотру» могут подлежать как поля заголовков пакетов, так и их содержимое.
Отслеживание попыток регистрации на локальной ЭВМ. В случае интерактивной регистрации может накладываться ограничение на время регистрации, а в случае регистрации по сети можно ограничить перечень сетевых адресов, с которых разрешается вход в систему. Отдельное внимание уделяется множественным неудачным попыткам регистрации, которые могут иметь место в случае атаки «подбор пароля методом Отслеживание активности пользователей, наделенных повышенными полномочиями в системе (суперпользователь root в UNIX-системах, пользователи группы Администраторы в ОС Windows). Так как в широком суперпользователя, могут отслеживаться попытки регистрации этого пользователя в системе в неразрешенное время, попытки сетевой регистрации суперпользователя и т. д.
Проверка целостности отдельных файлов или ключей реестра (для Windows-систем).
Несанкционированные действия взломщика могут заключаться в попытках внесения изменений в базу данных пользователей или в модификации отдельных настроек системы. Контроль целостности критичных областей данных позволит СОА обнаружить попытку реализации атаки.
Изм. Лист № докум. Подпись Дата Сетевые СОА собирают и анализируют все доступные им сетевые несанкционированных потоков информации от одного узла сети к другому. В связи с этим точка подключения СОА должна обеспечивать максимальный охват трафика, циркулирующего в сегменте сети. Обычно такие системы подключаются к специальному порту коммутатора либо устанавливаются непосредственно на маршрутизаторе сети. СОА данного класса гораздо эффективнее, чем локальные, способны обнаруживать факт сканирования портов, а также выявлять попытки атак на «отказ в обслуживании». Кроме того, если система обнаружения установлена на шлюзе, обеспечивающем доступ из локальной сети в Интернет, то путем фильтрации нежелательных пакетов может обеспечиваться защита этой локальной сети от внешних атак.
Получается, что СОА выполняет в этом случае функции межсетевого экрана (либо управляет им). Таким образом, сетевые системы обнаружения атак находят свое применение в информационных системах, где установка пользователей затруднительна, и там, где требуется изолировать сетевой сегмент от внешней угрозы. Необходимо отметить, что анализ интенсивного потока данных требует существенных вычислительных затрат, поэтому аппаратные требования к узлу, на котором устанавливается такая СОА, могут быть очень высокими. Наиболее критичной эта проблема становится при попытке защиты сети, содержащей несколько сотен компьютеров и имеющей выход в Интернет. К этому классу относятся большинство сетей крупных предприятий.
Источники данных. Наиболее распространенный способ классификации систем обнаружения атак - по источникам данных. Одни системы используют для обнаружения атаки сетевые пакеты, в то время как другие системы прикладными программами.
Изм. Лист № докум. Подпись Дата Таким образом, по источникам данных можно выделить:
Системы обнаружения атак, работающие на уровне сети, захватывают и анализируют сетевые пакеты. Одна IDS, установленная в одном из сегментов сети, может контролировать сетевой трафик в пределах всего сегмента и, таким образом, охранять все хосты этого сегмента. Распределенная сетевая система обнаружения атак может контролировать компьютерную сеть с большим количеством хостов. Внедрение сетевой IDS Tie должно вызвать каких-либо существенных изменений в структуре сети и повлиять на ее работу. При внедрении и использовании сетевых систем обнаружения атак могут возникнуть следующие трудности:
сбор и анализ сетевых пакетов в сетях с интенсивным трафиком требует большого объема памяти и высокой производительности вычислительной машины и может не дать положительного результата при распознавании распределенных во времени атак;
так как зашифрованная информация не может быть проанализирована, то шифрование данных, передаваемых по сети (например, при использовании Virtual Private Network), исключает использование сетевой IDS;
оборудования ограничивает возможности или усложняет использование сетевой системы обнаружения атак.
Системы обнаружения атак, работающие на уровне хоста, анализируют информацию, собранную в пределах отдельной компьютерной системы, например, о системных событиях, о процессах, о поведении пользователя.
Такой подход позволяет делать достаточно точные выводы о наличии атаки и сопровождать эти выводы поясняющей информацией, например, о Изм. Лист № докум. Подпись Дата пользователе или процессе, вовлеченном в атаку. Распределенная система обнаружения атак, работающая на уровне хоста, позволяет отслеживать состояние многих хостов. В сравнении с сетевыми системами обнаружения атак, системы обнаружения атак, работающие на уровне хоста, имеют следующие преимущества:
- возможность обнаружения атак, которые принципиально не могут быть обнаружены на уровне сети (например, атаки, действие которых - возможность достоверного обнаружения факта совершения атаки и устранение ее последствий (сетевые IDS часто могут обнаружить только признаки атаки, но не факт ее совершения).
Недостатками систем обнаружения атак, работающих на уровне хоста, являются:
так как IDS расположена и работает на базе хоста, то атака, направленная на хост (например, DoS-атака), может вывести из строя так как IDS использует вычислительные ресурсы объекта своего мониторинга, то повышаются требования к его техническим IDS на уровне хоста не может обнаружить те атаки, которые можно определить на уровне сети (например, сетевое сканирование).
подмножеством систем обнаружения атак, работающих на уровне хоста, и анализируют события, которые генерируют программы. Такие системы позволяют выполнять тщательный мониторинг взаимодействия пользователя и программы и. таким образом, выявлять неавторизованную деятельность конкретного пользователя. Системы обнаружения атак, работающие на уровне Изм. Лист № докум. Подпись Дата приложений, более уязвимы к атакам, чем системы обнаружения атак, работающие на уровне хоста.
Возможности каждого метода обнаружения атак (на уровне сети, хоста или приложения) в отдельности ограничены и не позволяют обнаруживать все виды атак. В то же время эти методы не являются взаимоисключающими, а скорее дополняют друг друга. Таким образом, наиболее эффективной системой обнаружения атак будет та, которая интегрирует методы обнаружения атак на уровне сети, на уровне хоста и на уровне приложений.
Основные подходы к обнаружению атак практически не изменились за последнюю четверть века, и, несмотря на громкие заявления разработчиков, можно с уверенностью утверждать, что концептуально обнаружение атак базируется либо на методах сигнатурного анализа, либо на методах обнаружения аномалий. Возможно также совместное использование указанных выше методов.
Используются два основных метода анализа событий для определения атак: определение злоупотреблений (Misuse Dtection) и определение аномалий (Anomaly Dtection). Первый подход основан на выявлении признаков известных недопустимых данных. В настоящее время этот метод используется практически во всех коммерческих системах. Второй подход основан на определении недопустимых отклонений от нормального поведения объекта. Этот метод был и остается предметом дальнейших исследований.
злоупотреблений, анализируют деятельность объекта, просматривая события или последовательности событий и сравнивая их с предопределенными образцами известных атак. Такие образцы называют сигнатурами (signatures), а сам метод иногда называют методом определения атак на основе сигнатур (Signature-Based Dtection). Соответствие сигнатуры некоторому событию (или последовательности событий) указывает на наличие атаки.
Изм. Лист № докум. Подпись Дата 1.4.7 Обнаружение атаки, основанное на сигнатурах.
Сигнатурный анализ основан на предположении, что сценарий атаки известен и попытка ее реализации может быть обнаружена в журналах регистрации событий или путем анализа сетевого трафика. В идеале администратор информационной системы должен устранить все известные ему уязвимости. На практике, однако, данное требование может оказаться невыполнимым, так как в результате может существенным образом пострадать функциональность ИС. Не исключено также, что людские и материальные затраты, необходимые для устранения этих уязвимостей, могут превысить стоимость информации, обрабатываемой системой. Системы предназначены для решения обозначенной проблемы, так как в большинстве случаев позволяют не только обнаружить, но и предотвратить реализацию атаки на начальной стадии ее выполнения.
Процесс обнаружения атак в данных системах сводится к поиску заранее определяется способом описания атаки. Наиболее простым является описание атаки при помощи набора правил (условий). Применительно к анализу сетевых пакетов эти правила могут включать определенные значения отдельных полей заголовка пакета (IP-адрес и порт источника или получателя, установленные флаги, размер пакета и т.д.). При анализе журналов регистрации событий правила могут ограничивать время регистрации пользователя в системе, количество попыток неправильного ввода пароля в течение короткого промежутка времени, а также наличие изменений в критических файлах системы. Таким образом, описание атаки отражает, вопервых, характер передаваемой информации и, во-вторых, совокупность реакций системы на реализацию атаки. Если описать текущее состояние информационной системы совокупностью пар атрибут значение, а события Изм. Лист № докум. Подпись Дата представить, как действия, связанные с изменением этих атрибутов, то для описания атаки может использоваться теория конечных автоматов. В этом случае реализации каждой атаки соответствует последовательность переходов характеризующее реализацию данной атаки. Условия и направление перехода определяются набором правил, как было описано выше. Такой подход к описанию сценария атаки является более точным, чем описание при помощи набора правил, так как позволяет учитывать динамику развития атаки и выявлять попытки реализации атак, скрытых в интенсивном потоке событий, сгенерированных злоумышленником для прикрытия своих истинных намерений.
Применение методов сигнатурного анализа требует от разработчика СОА выбора или создания специального языка, позволяющего описывать регистрируемые системой события, а также устанавливать соответствия определяющими факторами эффективной работы системы обнаружения, так как, в конечном счете, на этом языке будут сформулированы правила, по которым выявляется атака. Реагирование на попытку реализации атаки может включать как простое извещение администратора информационной системы, так и более активные меры: разрыв установленного соединения, отключение уязвимой службы, перепрограммирование межсетевого экрана на отклонение пакетов, полученных от выявленного системой злоумышленника, а также другие меры, препятствующие «успешному» завершению атаки.
Все СОА, использующие метод обнаружения атак по сигнатуре, имеют в своем составе базу данных известных атак (их сигнатур). Очевидно, что к принципиальным недостаткам рассматриваемого класса СОА относится невозможность обнаружения атак, сигнатуры которых отсутствуют в базе данных.
Изм. Лист № докум. Подпись Дата Поэтому, чтобы обеспечить эффективную работу системы обнаружения, эта база должна регулярно обновляться. Обычно возможность обновления, в том числе автоматического, предусмотрена разработчиками системы.
Преимуществами систем, использующих сигнатурный анализ, являются низкая вероятность «ложной тревоги» (ошибочного обнаружения атаки при ее фактическом отсутствии), а также относительная простота настройки.
Сигнатурой называют шаблон, который определяет соответствующую атаку. Обнаружение атаки по сигнатурам — это процесс сравнения сигнатуры с возможным инцидентом.
Данный метод очень эффективен при обнаружении известных угроз, но неэффективен при неизвестных (не имеющих сигнатур) атаках.
Определение злоупотреблений позволяет:
низком показателе ложных срабатываний;
средства и приемы, используемые атакующим для реализации атаки.
В то же время анализаторы, работающие по принципу определения злоупотреблений, не способны выявить ту атаку, для которой нет образца. Это может быть либо неизвестная до сих пор атака, либо известная атака, которая выполнена необычно и, следовательно, не соответствует своему образцу. В любом случае система обнаружения атак, использующая метод обнаружения, основанный на сигнатурах, требует периодического обновления базы сигнатур.
Подход к обнаружению атак, основанный на попытке обнаружения аномального поведения системы, также был впервые предложен в 1980-х годах. Основной предпосылкой применения указанного подхода является то, Изм. Лист № докум. Подпись Дата что в процессе «штатного» функционирования информационная система находится в некотором равновесном состоянии. Попытка реализации атаки ведет к выходу системы из этого состояния, причем факт выхода может быть зафиксирован. При создании СОА, работающих по принципу обнаружения аномалий, должны быть решены три задачи. Во-первых, необходимо разработать способ описания состояния информационной системы. Это нетривиальная задача, так как должна быть учтена как статическая, так и динамическая составляющие. Например, должны быть описаны типичные для системы потоки данных, передаваемых по сети. Во-вторых, необходимо разработать алгоритмы, при помощи которых будет автоматически (или с вмешательством администратора) составляться описание реальной работающей системы — ее «профиль». Это нужно для того, чтобы «научить»
СОА различать штатный режим работы информационной системы. В-третьих, необходимо выбрать математические методы, которые будут использоваться для обнаружения аномалий в процессе функционирования системы. Другими словами, должны быть определены механизмы принятия решения о попытке атаки защищаемой системы. Очевидно, что используемые механизмы принятия решения в первую очередь зависят от того, как была описана система.
Данный метод основан на сравнении нормальной активности событий с активностью событий, отклоняющихся от нормального уровня. У IPS, использующих этот метод, есть так называемые «профили», которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени.
Например, в профиль может быть записано повышение веб-трафика на 13 % в рабочие дни. В дальнейшем IPS использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением, при превышении которого на консоль управления администратора Изм. Лист № докум. Подпись Дата безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе многих атрибутов, взятых из поведенческого анализа пользователей. Например, по количеству отосланных электронных писем, количеству неудачных попыток входа в систему, уровню загрузки процессора сервера в определенный период времени и т. д. В результате данный метод позволяет достаточно эффективно блокировать атаки, которые обошли фильтрацию сигнатурного анализа, тем самым обеспечивая защиту от хакерских атак.
информационной системы является количество отклоненных входящих TCPсоединений, а точнее — среднее значение и дисперсия указанного параметра.
В случае штатной работы системы количество отклоняемых соединений должно быть незначительным. Если злоумышленник начнет исследовать уязвимость системы при помощи сканирования портов, то есть попытается реализовать атаку «сканирование портов», количество отклоненных TCPсоединений резко возрастет. Такой скачок может быть обнаружен различными способами. Во- первых, может быть применен статистический критерий равенства средних значений двух случайных величин. Для его использования, правда, необходимо сделать два достаточно неоднозначных предположения: о нормальности распределений случайных величин и о равенстве их дисперсий.
Во-вторых, что представляется более уместным, могут быть применены математические методы, известные под общим названием «методов обнаружения разладки». Эти методы специально разрабатывались для решения подобного класса задач, первоначально связанных с контролем систем слежения и управления. В-третьих, могут применяться математические методы распознавания образов. Известны также разработки, использующие нейросетевые методы анализа, однако о практическом внедрении этих методов в коммерческих программных продуктах до сих пор не сообщается.
Изм. Лист № докум. Подпись Дата Основным преимуществом использования подхода, основанного на обнаружении аномального поведения системы, является теоретическая возможность обнаружения новых, не описанных ранее, атак. Данная возможность основана на предположении, что атака по определению представляет собой набор действий, нехарактерных для штатного режима работы системы. Насколько эффективно будут выявляться новые атаки, определяется опять же способом описания состояния системы и количеством обнаружения, используемых в рассматриваемом классе СОА, не являются детерминированными. Это означает, что все решения принимаются на основе статистического анализа и, следовательно, могут содержать ошибки.
Возможны два класса ошибок: «пропуск атаки» и «ложная тревога».
адекватности описания текущего состояния системы. «Ложная тревога» может иметь место в том случае, если в информационной системе наблюдается пользователей (или процессов).
Например, если на всех компьютерах локальной сети, имеющей подключение к Интернет, будет установлена антивирусная программа, запрограммированная на обновление антивирусных баз в одно и то же время каждые два дня, то одновременная попытка всех компьютеров подключиться к одному серверу Интернет будет интерпретироваться СОА как вирусная атака. Поэтому именно высокую вероятность «ложной тревоги» обычно называют главным недостатком систем обнаружения атак, основанных на обнаружении аномальной активности. Еще одним недостатком принято считать сложность настройки («обучения») системы, так как этот процесс взаимодействия элементов информационной системы. В связи с этим Изм. Лист № докум. Подпись Дата обнаружения аномальной активности, на рынке практически нет, хотя разработки этих систем непрерывно ведутся ввиду их перспективности.
аномалий, анализируют деятельность объекта на уровне сети, хоста или приложения с целью выявить его ненормальное (аномальное) поведение.
Работа анализаторов по методу определения аномалий базируется на допущении, что признаком атаки служит некоторое отклонение от нормального поведения объекта. Сначала анализаторы создают профили нормального поведения пользователей, хостов и сетевых соединений на основе данных, собранных при нормальной работе объекта мониторинга.
Затем текущие данные сравниваются с этими профилями для определения отклонений.
Несмотря на то, что в банке используется большое количество средств обеспечения ИБ, вопросы обнаружения и предотвращения вторжений реализован не в полном объеме, так как средства и системы мониторинга ИБ (ПО DeviceLock и MailArchiva) не перекрывают все каналы утечки конфиденциальной информации. Таким образом, для управления ИБ предотвращения вторжений, которая позволила бы контролировать все каналы утечек.
Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.
Изм. Лист № докум. Подпись Дата Задача защиты в данном случае сводится к максимальной изоляции системы банка как от внешней сети, так и от других приложений в рамках локального компьютера. На сегодняшний день 100 % защиты для этого не существует, но внедрение СОВ позволит значительно сократить количество угроз и уменьшить вероятность финансовых потерь в организации.
Изм. Лист № докум. Подпись Дата Н. конт Роганов А. А.
Техническое задание является основным рабочим документом, на основании которого происходит процесс внедрения системы обнаружения вторжений. Корректно составленное техническое задание позволяет отобразить все этапы работ на предприятии.
Банк «Южный» является финансово-кредитным учреждением, которое оказывает услуги частным лицам в сфере операций с деньгами, ценными бумагами, а также перечень государственных услуг. Банк является зарегистрированным юридическим лицом на территории Российской Федерации, что подтверждает наличием лицензии, выданной Центральным Банком.
Основным назначением данного IDS-продукта является создание единой системы обеспечения безопасности на предприятии. В рамках проекта должны быть проанализированы и автоматизированы следующие бизнеспроцессы:
Анализ безопасности финансовой деятельности компании;
Обеспечение безопасности данных клиентов;
Процесс контроля сетевого трафика компании;
Обеспечение политики безопасности учетных записей пользователей Целью создания системы является повышение уровня безопасности данных клиента и сотрудников банка, повышение качества и безопасности проведения платежей на предприятии, создание полноценной системы контроля сетевого трафика внутри подразделения, использование аппаратных Изм. Лист № докум. Подпись Дата ресурсов рациональным способом, контроль действий сотрудников банка программных путем, сформировать нормативно-правовую документацию по IDS-системе.
Чтобы выделить комплекс мер необходимо рассмотреть и выделить ключевые группы пользователей системы. Основной целевой аудиторией являются:
Посетители банка (подразделения);
Администраторы внутренних информационных систем.
2.1.5.1 Требования, предъявляемые к информационной Обеспечение информационной безопасности с помощью IDS-систем должно удовлетворять следующим основным требованиям:
Защитные меры должны обеспечиваться комплексом инженернотехнических и программно-аппаратных средств и поддерживающим комплексом организационных мер.
Методы защиты системы должны обеспечиваться на всех этапах обработки информации и работать во всех режимах функционирования, в том числе при проведении регламентных и Все средства, внедряемые на различных этапах работ, не должны ухудшать функциональное состояние системы.
Изм. Лист № докум. Подпись Дата В системе должны присутствовать методы разграничения прав пользователей. Сторонние пользователи не должны получать доступ 2.1.5.2 Требования, предъявляемые к антивирусной защите Средства антивирусной защиты должны быть установлены на всех местах конечных пользователей, аппаратного обеспечения и других сторонних устройствах, которые используются в информационном пространстве предприятия. Другие аспекты данного процесса должны регулироваться внутренними нормативно-правовыми актами предприятия.
функциональные возможности:
нейтрализации вирусов и протоколированием вирусной активности Должны быть предусмотрены меры по автоматической инсталляции средства антивирусной защиты на всех аппаратных ресурсах Должны быть предусмотрены меры по автоматическому обновлению средств антивирусной защиты на всех аппаратных ресурсах Возможность ведения и просмотра журналов всех вирусных атак;
Возможность администрирования всех продуктов антивирусной 2.1.5.3 Требования, предъявляемые к программным продуктам Программные продукты, используемые на предприятии должны быть учтены в списке, соответствующего программного обеспечения. Если такие продукты отсутствуют, то должны быть приняты соответствующие Изм. Лист № докум. Подпись Дата организационные меры IT-отделом. Программные продукты должны удовлетворять следующим требованиям:
Программы не должны вносить лишний трафик, снижающий уровень безопасности предприятия. Исключением в данном случае является Процесс функционирования программных продуктов не должен пытаться получить доступ к программам, которые работают с персональными данными пользователя.
Программное обеспечение не должно наносить вред аппаратным ресурсам информационной среды. Если программа вносит свои функционирования относительно принятой политики безопасности.
Возможность обновления программ должна быть настроена с использованием опций настройки времени обновления. Если время обновления приходится на пиковую нагрузку инфраструктуры предприятия, то необходимо сообщить об этом системному Программные продукты, работающие в режиме «клиент-сервер»
должны выполнять шифрование данных от несанкционированного Пользователь, являющийся сотрудником банка должен следовать единой политике безопасности, распространенной на предприятии и закрепленной соответствующей документацией.
В качестве основного требования безопасности рабочей среды пользователя является использование групповых политик на предприятии.
Рамки групповых политик должны разграничивать действия пользователя и не давать ему отклоняться от должностных полномочий.
Изм. Лист № докум. Подпись Дата Политика безопасности должна быть строго выделена на серверном аппаратной обеспечении. Основным программным компонентом является серверная операционная система. Комплекс мер принятых для поддержания её безопасности должен удовлетворять следующим требованиям:
Серверная операционная система должна быть настроена на высокий уровень политики безопасности, то есть использовать принятые в системе методы шифрования данных учетных записей;
должны обеспечивать свою бесперебойную функциональность;
Количество служб, запущенных на сервере должно удовлетворять требованиям пользователей. Если количество служб превышает потребность, то стоит сократить соответствующие настройки;
В случае выхода из строя программной компоненты сервер должен прекратить функционирование в данной области или суметь обработать ошибку должным образом;
Доступ к серверу должны иметь только администраторы.
2.1.5.4 Требования, предъявляемые к аппаратным продуктам Аппаратное обеспечение должно предоставлять необходимые услуги информационной системы. В случае выхода из строя каких-либо компонентов функциональности системы, то необходимо понизить уровень обращений к необходимому компоненту. Если её действия не оказывают серьезного влияния на систему, то можно продолжить использовать соответствующую компоненту. Все аппаратные ресурсы должны быть обеспечены необходимой защитой от внешнего воздействия и уровень доступа к ним должен быть ограничен.
Изм. Лист № докум. Подпись Дата Говоря о мировом рынке IPS-систем, эксперты часто ссылаются на отчёты Gartner, и в первую очередь на «волшебный квадрат» (Gartner Magic Quadrant for Intrusion Prevention Systems, July 2013). На 2013 год ситуация была такова:
Рис.6 Распределение рынка IPS-систем в мире. Информация Gartner, июль Прослеживались явные лидеры в лице McAfee, Sourcefire и HP, к которым очень стремилась всем известная Cisco.
Изм. Лист № докум. Подпись Дата Однако лето 2013 внесло свои коррективы. Вначале мая по различным тематическим блогам и форумам пронеслась волна обсуждений, поднятая анонсом сделки между McAfee и Stonesoft. Американцы собирались купить финского «визионера», громко заявившего о себе несколько лет назад, открыв новый вид атак AET (Advanced Evasion Techniques).
Тем не менее, на этом сюрпризы не закончились и, буквально спустя пару месяцев, корпорация Cisco объявила о заключении соглашения с Sourcefire и покупке этой компании за рекордные $2.7 млрд. Причины были более чем весомые. Sourcefire известна своей поддержкой двух разработок с открытым кодом: механизма обнаружения и предотвращения вторжений Snort и антивируса ClamAV. При этом технология Snort стала стандартом де-факто для систем предупреждения и обнаружения вторжений. Суть же в том, что на российском рынке Cisco Systems является основным поставщиком решений по сетевой безопасности. Она одной из первых пришла на российский рынок, ее соответственно, нет ничего необычного в том, что решения по сетевой безопасности также заказывают у этой компании.
Кроме того, Cisco Systems ведет очень грамотную деятельность по продвижению своей линейки безопасности на российском рынке. И в настоящий момент ни одна компания не может сравниться с Cisco Systems по уровню работы с рынком, как в маркетинговом плане, так и в плане работы с партнерами, госорганизациями, регуляторами и пр. Отдельно стоит отметить, сертификации по российским требованиям, тратя на них намного больше, чем другие западные производители, что также способствует сохранению лидирующего положения на российском рынке. И, если с мировым рынком IPS-систем всё более-менее понятно, – в скором времени произойдёт «перетасовка» лидеров – то с российским рынком не всё так просто и прозрачно. Как уже было отмечено выше, отечественный рынок имеет свою Изм. Лист № докум. Подпись Дата специфику. Во-первых, большую роль играет сертификация. Во-вторых, конкурентоспособные IPS-решения российского производства фактически отсутствуют. Известны три российских решения данного типа: «Аргус», «Форпост» и «РУЧЕЙ-М» (не позиционируется как IPS). Найти «Аргус» или «РУЧЕЙ-М» в Интернете и купить не представляется возможным. Решение сертифицированное решение, полностью основанное на коде SNORT (и этого разработчики не скрывают). Разработчик не предоставляет свое решение на тестирование, продукт никак не продвигается на рынке, то есть создается впечатление, что РНТ продвигает его только в собственные проекты.
Соответственно, увидеть эффективность этого решения не представляется возможным.
К упомянутым трём системам можно также отнести комплекс «РУБИКОН», который позиционируется компанией «Эшелон» не только как сертифицированный межсетевой экран, но и как система обнаружения вторжений. К сожалению, информации по нему не так много.
Последнее решение от российского производителя, которое удалось представляющая собой, по их словам, «доработанную» открытую технологию Surricata, которая использует актуальные базы сигнатур из открытых источников (National Vulnerability Database и Bugtrax). Всё это вызывает больше вопросов, чем понимания.
Тем не менее, исходя из предложений интеграторов, можно продолжить список предлагаемых на российском рынке IPS-систем и дать краткое описание для каждого из решений:
Cisco IPS предоставляет следующие возможности:
Изм. Лист № докум. Подпись Дата Предотвращение вторжения более 30000 известных эксплоитов;
Автоматическое обновление сигнатур с глобального сайта Cisco предотвращения вторжений атак со стороны Internet;
Передовые исследования и опыт Cisco Security Intelligence Operations;
Поддержка широкого спектра вариантов развертывания в режиме, Всё это позволяет защитить сеть от таких атак, как:
Заражённые приложения (application abuse).
2.2.1.2 Sourcefire IPS, Adaptive IPS и Enterprise Threat Management Среди главных преимуществ выделяют:
Разработка систем на основе SNORT;
Гибкие правила;
Интеграция с MSSP;
Технология пассивной прослушки (нулевое влияние на сеть);
Работа в реальном масштабе времени;
Поведенческое обнаружение аномалий в сети (NBA);
Персонализация событий.
Изм. Лист № докум. Подпись Дата Ранее, IntruShield Network Intrusion Prevention System сертифицирован ФСТЭК Интеллектуальное управление безопасностью Решение позволяет сократить число специалистов и затраты времени, необходимые для мониторинга и расследования событий безопасности, и развертываниями. Благодаря направляемому детальному анализу метод последовательного раскрытия обеспечивает нужную информацию именно тогда и там, где она нужна, а иерархическое управление обеспечивает масштабирование.
Защита от угроз обеспечивается благодаря ядру сигнатур на основе анализа уязвимостей, которое преобразовано в платформу нового поколения путем интеграции самой современной технологии анализа поведения и сопоставления множества событий. «Малоконтактные» средства защиты на основе сигнатур позволяют удерживать операционные затраты на низком уровне и эффективно защищают от известных угроз, а передовая технология анализа поведения и сопоставления событий обеспечивают защиту от угроз следующего поколения и «нулевого дня».
Использование глобальной СОВ от вредоносных программ Решение улучшает уровень сетевой безопасности, способствует оптимизации системы сетевой безопасности, наращивая ее экономическую эффективность. Кроме того, решение позволяет согласовывать сетевую безопасность с бизнес-программами для достижения стратегических целей.
Изм. Лист № докум. Подпись Дата Быстродействие и масштабируемость Сбор информации и контроль. Получение информации о действиях пользователей и устройствах, которая прямо интегрируется в процесс обнаружения и предотвращения вторжений, которая использует различные декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов, обнаружения любых видов сканирования сетей, адаптивное применение сигнатур (виртуальное профилирование).
Особенностью Stonesoft IPS является наличие встроенной системы анализа событий безопасности, которая значительно уменьшает трафик, передаваемый от IPS до системы управления, и количество ложных срабатываний. Первоначальный анализ событий производится сенсором Stonesoft IPS, затем информация от нескольких сенсоров передается на анализатор, который осуществляет корреляцию событий. Таким образом, несколько событий могут указывать на распределенную во времени атаку или на сетевого червя - когда решение о вредоносной активности принимается на основании нескольких событий из «общей картины», а не по каждому отдельному случаю.
Ключевые возможности StoneGate IPS:
Обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей сети режиме;
Применение фирменной технологии АЕТ (Advanced Evasion Techniques) - технологии защиты от динамических техник обхода;
Изм. Лист № докум. Подпись Дата Обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
Возможность обработки фрагментированного сетевого трафика;
Возможность контроля нескольких сетей с разными скоростями;
декодирование протоколов для точного определения специфических атак, в том числе и внутри SSL соединений;
возможность обновления базы данных сигнатур атак из различных источников (возможен импорт сигнатур из Open Source баз);
блокировка или завершение нежелательных сетевых соединений;
анализ «историй» событий безопасности;
анализ протоколов на соответствие RFC;
Встроенный анализатор событий, позволяющий эффективно снижать Создание собственных сигнатур атак, шаблонов анализа атак, аномалий Централизованное управление и мониторинг, простая в использовании и одновременно гибкая в настройке система генерации отчетов.
Детектор атак «Континент» предназначен для автоматического обнаружения сетевых атак методом динамического анализа трафика стека протоколов TCP/IP. Детектор атак «Континент» реализует функции системы обнаружения вторжений (СОВ) и обеспечивает разбор и анализ трафика с целью выявления компьютерных атак, направленных на информационные ресурсы и сервисы.
Основные возможности детектора атак «Континент»:
Централизованное управление и контроль функционирования при помощи центра управления системой «Континент».
Изм. Лист № докум. Подпись Дата Сочетание сигнатурных и эвристических методов обнаружения атак.
Оперативное реагирование на выявленные вторжения.
Оповещение ЦУС о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени.
Выявление и регистрация информации об атаках.
Анализ собранной информации.
Рынок IPS-систем нельзя назвать спокойным. 2013 год принёс две важные сделки, способные внести серьёзные коррективы, как в российском, так и в мировом масштабе. Речь идёт о противостоянии двух «тандемов»:
сертифицированных решений, а поглощение такой известной компании, как Sourcefire должно лишь укрепить заслуженное первое место. В то же время, поглощение Stonesoft, по сути, открывает для McAfee отличные возможности экспансии российского рынка, т.к. именно Stonesoft была первой зарубежной компанией, сумевшей получить на свои решения сертификат ФСБ (этот сертификат даёт гораздо больше возможностей, чем сертификат ФСТЭК).
К сожалению, отечественные производители пока не радуют бизнес, предпочитая развивать активность в сфере госзаказа. Такое положение вещей вряд ли положительно скажется на развитии этих решений, так как давно известно, что без конкуренции продукт развивается гораздо менее эффективно и, в конечном счёте, деградирует.
Процесс выбора сетевой системы обнаружения вторжений состоит из трех основных этапов: определение требований к системе и выбор отвечающей им системы, задание сетевой конфигурации, указание набора событий, на которые будет реагировать система.
Изм. Лист № докум. Подпись Дата Прежде всего необходимо определить требования, которые будут предъявляться к системе. Затем следует проанализировать текущую конфигурацию сети и наметить точки установки сенсоров IDS. Кроме того, на этой стадии желательно предусмотреть техническую возможность масштабирования IDS в будущем.
При выработке бюджета принимается решение о покупке коммерческой IDS (например, RealSecure компании Internet Security Systems) или установке одной из бесплатных открытых реализаций IDS (например, Snort). В случае приобретения коробочного варианта программного обеспечения вы получите, вероятнее всего, поддержку и обновление продукта. Остановив свой выбор на бесплатном ПО, вам придется загрузить дистрибутив либо в исходных кодах, либо скомпилированный для той или иной ОС и самостоятельно осуществить установку, настройку и сопровождение системы. Поддержка бесплатного продукта редко оказывается полноценной, хотя компания-разработчик бесплатного продукта может предложить оплатить ее на фиксированный срок.
Надо отметить, что использование бесплатного ПО необязательно сведет расходы к минимуму, точно так же коммерческое ПО не всегда является дорогим. При подсчете стоимости решения следует учитывать и временной фактор, т. е. какое время потребуется на развертывание коммерческой и бесплатной IDS при прочих равных условиях. Принятие неверного решения на этой стадии приведет к кратковременной экономии, но росту затрат в будущем. В предложение к руководству о внедрении системы обнаружения вторжений желательно включить фактор возврата инвестиций, имея в виду те средства, которые компания сохранит благодаря правильно настроенной системе обнаружения вторжений, а также вернет в результате судебного процесса над злоумышленником, взломавшим систему, если вина последнего будет доказана благодаря отчетам системы обнаружения вторжений.
«