Обнаружение и предотвращения вторжений в информационную систему

Введение.

 

Сетевые и  информационные технологии меняются настолько  быстро, что статичные защитные механизмы, к которым относятся системы  разграничения доступа, МЭ, системы  аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей  обнаруживать нарушения, которые не могут быть идентифицированы при  помощи традиционных моделей контроля доступа, является технология обнаружения  вторжений.

По существу, процесс обнаружения  вторжений  является процессом оценки подозрительных действий, которые происходят в корпоративной  сети. Иначе говоря, обнаружение вторжения — это  процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

 

 

 

 

 

 

 

 

Обнаружение и  предотвращение вторжений

Подсистема обнаружения  и предотвращения вторжений включает в себя:

Подсистемы/функции	Варианты решения
Предотвращение вторжений  системного уровня	Cisco Security Agent   Check Point Endpoint Security   Symantec Endpoint Protection   Trend Micro OfficeScan Corporate Edition   IBM Proventia Server IPS   Kaspersky Total Security
Предотвращение вторжений  сетевого уровня	Cisco IPS Sensor   Cisco IOS IPS   Модули Cicso IDS и IPS   Check Point IPS-1   Check Point Interspect   IBM Proventia Network IPS   Juniper Intrusion Prevention   McAfee IntruShield IPS
Защита от DDoS атак	Peakflow SP   Cisco Guard   Cisco Traffic Anomaly Detector

Таблица 1. Подсистемы обнаружения и предотвращения вторжений

Обнаружение вторжений –  это процесс мониторинга событий, происходящих в информационной системе  и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения  политики информационной безопасности. Предотвращение вторжений - процесс  блокировки выявленных вторжений.

Средства подсистемы обнаружения  и предотвращения вторжений автоматизируют данные процессы и необходимы в организации  любого уровня, чтобы предотвратить  ущерб и потери, к которым могут  привести вторжения.

По способу мониторинга  средства подсистемы делятся на:

• средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
• средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.

 

Выделяется несколько  методов анализа событий:

• обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
• обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.

 

В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Сервер управления получает информацию от сенсоров и управляет  ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки  важных событий, средства предотвращения вторжений системного уровня интегрируются  с подсистемой мониторинга и  управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов  подсистемы. Обычно это программное  средство, устанавливаемое на рабочей  станции.

Для организации централизованного  администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой  управления средствами защиты организации.

Необходимо учитывать, что  только комплексное использование  разных типов средств подсистемы позволяет достигнуть всестороннего  и точного обнаружения и предотвращения вторжений.

Предотвращение  вторжений системного уровня

Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.

Преимуществами данной подсистемы является возможность контроля доступа  к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.

К недостаткам можно отнести  не возможность обнаруживать комплексных  аномальных событий, использование  дополнительные ресурсы защищаемой системы, необходимость установки  на все защищаемые узлы. Кроме того, уязвимости операционной системы могут  нарушить целостность и работу сенсоров.

Варианты решения:

Cisco Security Agent
Check Point Endpoint Security
Symantec Endpoint Protection
Trend Micro OfficeScan Corporate Edition
IBM Proventia Server Intrusion Prevention System
Kaspersky Total Security

 

Предотвращение  вторжений сетевого уровня

Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают  сетевой трафик определенных узлов  или сегментов сети и анализируют  сетевые, транспортные и прикладные протоколы взаимодействия.

Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры  будут обнаружены в сетевом пакете, применяются меры противодействия.

 

 

В качестве мер  противодействия, может выполняться:

• блокирование выбранных сетевых пакетов;
• изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
• сохранения выбранных пакетов для последующего анализа;
• регистрация событий и оповещение ответственных лиц.

 

Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для  получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой  контроля эффективности защиты информации.

Пример решения предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рисунке:

Рисунок 1. Пример решения  предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems 

Варианты решения:

Cisco IPS Sensor
Cisco IOS IPS
Модули Cicso IDS и IPS
Check Point IPS-1
Check Point Interspect
IBM Proventia Network IPS
Juniper Intrusion Prevention
McAfee IntruShield IPS

 

Защита от DDoS атак

Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный  отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

• обнаружение вторжения;
• определение источника вторжения;
• предотвращение вторжения.

 

 

 

 

 

Решение для операторов связи

Данное решение позволяет  операторам связи предложить своим  клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

Бизнес-преимущества внедряемого решения:

• возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
• возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
• улучшается управляемость сетевой инфраструктурой;
• возможность предоставления абонентам отчетов об атаках.

 

Данное решение позволяет  операторам связи предложить своим  клиентам защиту от распределенных DoS-атак, одновременно укрепить и защитить собственные сети. Фундаментальной задачей решения является удаление аномального трафика из канала связи и доставка только легитимного трафика.

Провайдер услуг может  предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

• выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся «онлайновой» торговлей, финансовые структуры и другие предприятия, занимающиеся электронной коммерцией. Выделенная услуга обеспечивает возможность очистки передаваемого трафика, а также дополнительные возможности обнаружения DDoS-атак и активацию процедур очистки трафика по требованию клиента;
• услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих «онлайновых» сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки

 

Архитектура решения

Рисунок 2. Архитектура решения  защиты от DDoS-атак для операторов связи

Архитектура решения предлагает упорядоченный подход к обнаружению  распределенных DoS-атак, отслеживанию их источника и подавлению распределенных DoS-атак.

В начале своей работы средствам  защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов. После процесса обучения система переходит в режим мониторинга трафика и в случае обнаружения аномальной ситуации, системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты. Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении в режим защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит очистку его очистку. После этого очищенный трафик перенаправляется в сеть.