Обнаружение атак

Определение

Обнаружение атак — это одновременно и наука, и искусство, задача которых — установить, что компьютерная система или сеть используется некорректным образом или без соответствующих прав. Система обнаружения атак (IDS — intrusion-detection system) осуществляет мониторинг системных и сетевых ресурсов и выполняемых действий и на основе информации, собранной из этих источников, уведомляет администраторов в случае обнаружения возможного проникновения злоумышленников.

Если межсетевой экран выступает в роли стража, проверяющего документы каждого, кто проходит через двери вашего офиса, то система выявления атак напоминает сеть датчиков, которые сообщают, что кто-то проник в систему, где именно это произошло и какие действия предприняты нарушителем.

Межсетевые экраны работают только в точке входа в сеть и обрабатывают только те пакеты, которые передаются в сеть и из сети. Как только злоумышленник проник за межсетевой экран, он может перемещаться по сети, как захочет. Именно в такой ситуации крайне важно вовремя выявить атаку.

Для обнаружения нарушителей используется несколько подходов. Многие эксперты советуют применять комбинацию методов, а не полагаться только на один механизм.

Решение на базе хоста

Возможно, самая известная система класса IDS — Tripwire, программа, написанная в 1992 году Юджином Спаффордом и Жене Ким. В Tripwire реализован так называемый подход хостового агента. Этот агент устанавливается на хосте и проверяет, какие изменения происходят в системе, следя за тем, чтобы основные файлы не модифицировались.

Агент изначально устанавливается в только что развернутой системе, имея своей целью контролировать неизменность установок хоста, и записывает важные атрибуты системных файлов. Программное обеспечение агента периодически сравнивает текущее состояние этих файлов с хранимыми атрибутами и сообщает о любых подозрительных изменениях.

При другом подходе, также предусматривающем использование хоста, выполняется мониторинг всех пакетов данных, как только они передаются на хост или отсылаются с него. Этот подход, по существу, предполагает индивидуальное обслуживание межсетевого экрана. При получении подозрительного пакета включается тревога. Среди коммерческих хостовых продуктов чаще других применяются Intruder Alert компании Symantec и Centrax компании CyberSafe.

Подобные системы выявления атак анализируют все пакеты в сегменте сети, отмечая те, которые кажутся подозрительными. Сетевая система IDS ведет поиск сигнатур атак — индикаторов того, что данные пакеты передаются в рамках той или иной атаки на систему. Сигнатуры могут базироваться на содержимом текущих пакетов и проверяться путем сравнения последовательностей битов с известными шаблонами атак. Например, система может вести поиск шаблонов, соответствующих попыткам изменить системные файлы.

Нередко сетевые атаки используют возможности протоколов. Злоумышленники часто ищут изъяны в Сети, испытывая на прочность популярные, но неумело администрируемые Web-серверы, серверы файлов и др. Сигнатуры таких атак выявляются за счет анализа попыток связаться с сетевыми портами, назначенными сетевым службам, которые часто оказываются уязвимыми.

При атаке, в которой используется сигнатура заголовка, пакеты TCP/IP имеют искаженные или нелогичные заголовки. Например, злоумышленник может попытаться послать пакет, который одновременно просит закрыть и открыть TCP-соединение; такой пакет в некоторых системах может вызвать атаку типа «отказ от обслуживания».

К коммерческим продуктам подобного типа относятся Secure Intrusion Detection System (ранее известный как Cisco NetRanger) компании Cisco Systems, RealSecure компании Internet Security Systems и NetProwler компании Symantec.

Знание и поведение

Системы обнаружения атак можно разделить на две категории — те, что действуют на базе знаний, и те, что анализируют поведение. Большинство современных коммерческих систем опираются на полученные ранее знания, выполняя поиск сигнатур известных атак при анализе изменений в системе или потоков пакетов в сети. Эти системы надежны и генерируют довольно мало ошибочных уведомлений о проникновении, но они могут выявить только тех нарушителей, которые используют уже известные методы. Такие системы часто оказываются бесполезными в случае новых видов атак, поэтому их следует постоянно обновлять, добавляя свежую информацию.

Системы IDS, опирающиеся на поведенческие характеристики, анализируют действия, пытаясь выявить атаки за счет мониторинга системной или сетевой активности и помечая любые действия, которые кажутся подозрительными. Такого рода действия могут включать тревогу, часто ложную. Хотя ложные срабатывания характерны для IDS, анализирующих поведенческие характеристики, эти системы позволяют выявить атаки, о которых ранее никогда не сообщалось.

Еще один тип инструментальных средств выявления атак — так называемая «приманка», в качестве которой выступает абсолютно изолированная система, созданная с целью предложить хакерам заманчивую ловушку. Администраторы одного очень известного Web-сайта используют идею приманок для обработки всех входящих запросов. Любые атаки на приманку их инициаторам кажутся успешными, что дает администраторам время мобилизоваться, зарегистрировать и отследить злоумышленника, не подвергая риску критически важные системы.

Развертывание системы обнаружения атак требует серьезного планирования. Как и в случае обнаружения вирусов, решения IDS, размещаемые на хосте и выполняющие мониторинг изменений в системах и файлах, должны быть установлены сразу же после инсталляции программного обеспечения на новом компьютере. В противном случае всегда есть вероятность, что целостность системы будет нарушена еще до интеграции в среду средств выявления атак.

Еще важнее иметь процедуру «чистки», которая запускается в случае проникновения злоумышленника в систему. Далеко не всегда лучший способ при обнаружении атаки — выдернуть вилку из розетки.

В зависимости от того, какие системы подверглись атаке, и того, как вы собираетесь обращаться с пойманными «с поличным» хакерами, часто предпочтительнее не пытаться самим бороться с ними, а сообщить в правоохранительные органы, которые смогут найти злоумышленников. Такое решение не должно приниматься в спешке; методы и процедуры, регулирующие поведение пользователей, пострадавших от атаки хакеров, лучше подготовить заранее. Вы хотите не допустить проникновения, но вы также хотите его выявить и определить, где именно это произошло.