Лекция №23 Обнаружение и предотвращение вторжений

Рис. 1. Подсистема предотвращения вторжений в ИС

Download 1,06 Mb.

bet	2/7
Sana	24.02.2022
Hajmi	1,06 Mb.
	#190559
Turi	Лекция

1 2 3 4 5 6 7

Bog'liq
Лекция 9

Рис. 1. Подсистема предотвращения вторжений в ИС.
Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, сканеров уязвимости, средств устранения уязвимостей, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.
Сканеры уязвимости осуществляют поиск и выявление уязвимостей в КИС. Сервер управления получает информацию от сенсоров обнаружения атак и управляет ими. Обычно на серверах осуществляются консолидация и корреляция событий. Для более глубокой обработки важных событий средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.
Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции. Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.
Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.
Обнаружение вторжений системой IPS
В процессе выявления вторжений используются следующие методы анализа событий:

обнаружение аномального поведения (Anomaly-based), при котором определяются аномальные (ненормальные) события;
обнаружение злоупотреблений (Misuse Detection или Signature-based), при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), описывающему известную атаку. Шаблон известной атаки называется сигнатурой.

Обнаружение аномального поведения
Технология обнаружения атак путем идентификации аномального поведения основана на следующей гипотезе. Аномальное поведение пользователя (то есть атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. События при попытке вторжения отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены.
Примером аномального поведения могут служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т. п. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния. Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети подсистема обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании».
При использовании такой технологии возможны два крайних случая:

обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак;
пропуск атаки, которая не подпадает под определение аномального поведения.

Второй случай более опасен, чем ложное отнесение аномального поведения к классу атак.
При настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами:

построение профиля пользователя является трудно формализуемой и трудоемкой задачей, требующей от администратора большой предварительной работы;
определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из двух вышеназванных крайних случаев.

Технология обнаружения аномалий ориентирована на выявление новых типов атак. Однако ее недостаток – необходимость постоянного обучения. Пока технология обнаружения аномалий не получила широкого распространения. Связано это с тем, что данная технология трудно реализуема на практике. Однако сейчас наметился определенный интерес к ней.
Обнаружение злоупотреблений
Суть другого подхода к обнаружению атак – обнаружение злоупотреблений – заключается в описании атаки в виде сигнатуры (Signature) и поиске данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации).
В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность.
Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Следует заметить, что антивирусные резидентные мониторы являются частным случаем подсистемы обнаружения атак, но поскольку эти направления изначально развивались параллельно, то принято разделять их. Поэтому данная технология обнаружения атак очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные атаки. Однако системы данного типа не могут обнаруживать новые, еще не известные виды атак.
Подход, реализованный в таких системах, достаточно прост, и именно на нем основаны практически все системы обнаружения атак. Однако при эксплуатации и этих систем администраторы сталкиваются с проблемами. Первая проблема заключается в создании механизма описания сигнатур, то есть языка описания атак. Вторая проблема, связанная с первой, заключается в том, как описать атаку,
чтобы зафиксировать все возможные ее модификации.
Следует отметить, что для достоверного обнаружения факта вторжения недостаточно найти некий характерный шаблон трафика, или сигнатуру. Для успешного обнаружения вторжений современная IPS должна обладать следующими свойствами и функциями:

использовать знания о топологии защищаемой сети;
проводить анализ сеанса взаимодействия с учетом протоколов, используемых для передачи данных;
выполнять восстановление фрагментированных IP-пакетов до их анализа, не передавать фрагменты IP-дейтаграмм без проверки;
отслеживать попытки создания перекрывающихся фрагментов IP-дейтаграмм, попытки перезаписи содержимого TCP- сегментов и предотвращать их;
обеспечивать проверку соответствия логики/форматов работы по протоколу соответствующим RFC;
выполнять статистический анализ данных;
поддерживать механизмы сигнатурного поиска;
обладать возможностью обучения и самообучения.

Кроме того, поскольку IPS может принимать решения о блокировании трафика, необходимо обеспечить надежное и безопасное удаленное управление IPS.
Средства конфигурирования IPS должны быть удобны для конечных пользователей. Большинство IPS поддерживают возможность задания пользовательских правил обнаружения вторжений для возможности подстройки IPS под конкретную среду или требования конкретного заказчика.
Предотвращение вторжений в ИС
Система обнаружения и предотвращения вторжений IPS охватывает решения следующих задач:

предотвращение вторжений системного (хостового) уровня;
предотвращение вторжений сетевого уровня;
защита от DDoS-атак.

Предотвращение вторжений системного уровня
Средства предотвращения вторжений системного (хостового) уровня HIPS (Host-based IPS) действуют на уровне информационных узлов. Подсистема HIPS обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц.
Агенты (локальные сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельном информационном узле. Средства HIPS анализируют файлы журнала и ведут мониторинг пользовательской, сетевой и системной активности на узле информационной системы. Логически локальные сенсоры устанавливаются между ядром
ОС и пользовательским приложением. Локальные сенсоры перехватывают вызовы, обращенные к системе, сопоставляют их с правилами доступа, определенными политикой безопасности, и затем разрешают или запрещают доступ к ресурсам. Некоторые локальные сенсоры сличают запросы с БД известных сигнатур атак или аномального поведения.
Преимуществами данной подсистемы являются возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрация аномальной деятельности конкретного пользователя.
К недостаткам можно отнести невозможность обнаружения комплексных аномальных событий, необходимость установки средств HIPS на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.
Средства предотвращения вторжений системного (хостового) уровня HIPS могут быть установлены на рабочей станции или сервере. При этом IPS уровня хоста реализуется несколькими способами:

в виде программного обеспечения, интегрированного в операционную систему. Пока все решения ограничиваются ОС семейства UNIX;
в виде прикладного ПО, устанавливаемого на рабочей станции или сервере поверх операционной системы. Выпускается многими производителями: IBM (IBM Internet Security Systems), ESET (ESET NOD32 Smart Security), McAfee, Лаборатория Касперского (Kaspersky Internet Security) и др. Кроме отражения сетевых атак, такие IPS обладают еще большим количеством полезных функций: контроль доступа к USB, создание замкнутой программной среды, контроль

Предотвращение вторжений сетевого уровня
Подсистема предотвращения вторжений сетевого уровня NIPS (Network-based IPS ) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.
Программные или программно-аппаратные средства Network IPS (сетевые сенсоры) анализируют сетевой трафик определенных узлов или сегментов сети, а также сетевые, транспортные и прикладные протоколы взаимодействия.
Для обнаружения вторжения используется либо сравнение битной последовательности проходящего потока данных с эталонным образцом (сигнатурой) атаки, либо фиксация подозрительной (аномальной) сетевой активности посредством анализа сетевого трафика или нарушений правил политики безопасности. В случае обнаружения попыток атаки применяются меры противодействия.
В качестве мер противодействия могут выполняться:

блокирование выбранных сетевых пакетов;
изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
сохранение выбранных пакетов для последующего анализа;
регистрация событий и оповещение ответственных лиц.

Дополнительной возможностью данных средств является сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.
IPS сетевого уровня могут быть реализованы как:

выделенные аппаратные устройства (Security Appliance), которые могут быть установлены на периметре корпоративной сети и в ряде случаев внутри нее. Такие устройства – наиболее распространенный вариант. Основными производителями подобных средств являются компании Check Point, Cisco Systems (Cisco ASA), Fortinet (FortiGate), Palo Alto (Palo Alto Networks PA-xxxx).
решения, интегрированные в инфраструктуру корпоративной сети.

Решения, интегрированные в инфраструктуру, гораздо эффективнее выделенных аппаратных устройств:

стоимость интегрированного решения ниже стоимости автономного (Stand-alone) устройства;
ниже и стоимость внедрения (финансовая и временная) такого решения – можно не менять топологию сети;
надежность выше, так как в цепочке прохождения трафика отсутствует дополнительное звено, подверженное отказам;
интегрированные решения предоставляют более высокий уровень защиты за счет более тесного взаимодействия с за щищаемыми ресурсами.

Сама интеграция может быть выполнена различными путями:

Download 1,06 Mb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7