Для ИТ-отделов компаний имеет смысл добиваться инвестиций в приобретение средств обнаружения вторжений и сетевых экранов, работающих на уровне приложений. Но и системы IDS должны остаться для обеспечения функций аудита как в целях общей безопасности, так и для возможного проведения экспертиз при расследовании инцидентов

После прошлогодней атаки червя Nachi Джо Грэнман, ИТ-менеджер в Rockford Health System, по его собственным словам, понял, что настало время перемен. «Чтобы вывести из строя наш мощный сетевой экран потребовалось заразить всего три машины, — сокрушался он. — Без доступа в Internet мы не могли обрабатывать заявки и вообще заниматься чем-либо».

В том же году, но чуть ранее, DoS-атака вывела из строя в Rockford Health System концентратор VPN. Сетевая система обнаружения вторжений (intrusion detection system, IDS) выявила атаку и подняла тревогу, но еще раньше недовольные пользователи атаковали Грэнмана по телефону. «Для меня их звонки — лучшая SNMP-сигнализация», — отметил он.

Отслеживание тревожных сообщений от IDS начало отнимать у Грэнмана все больше и больше времени. «Я был вынужден приходить на работу пораньше и проверять журналы IDS, тратить на них время за обедом, изучая новые записи прямо в кафетерии на экране ноутбука, а в Рождество из-за объявленной террористической угрозы мне пришлось регулярно проверять работу офисных систем из дома в режиме удаленного доступа».

Ситуация, в которой оказался Грэнман, типична. Сетевые экраны все еще являются необходимым элементом первой линии обороны, но традиционные брандмауэры справляются лишь с атаками на сетевом уровне. В случае нашествия червей или изощренных атак на уровне приложений с использованием постоянно открытых портов 80 (HTTP) и 443 (HTTPS) они, как правило, беспомощны. Системы обнаружения вторжений используют пассивные фильтры, через которые пропускается сетевой трафик с целью выявления активности злоумышленников. Для обнаружения атак на уровне приложений они используют технологию сигнатур и выявления аномального поведения, но обычно они эти атаки не блокируют, а только сообщают об их осуществлении. К моменту извещения администратора предотвращать масштабные повреждения системы часто бывает слишком поздно.

Завеса ложных тревог

Нынешним системам IDS свойственно генерировать ложные тревоги. «Наша IDS только добавляла неразберихи, предупреждая абсолютно обо всем», — говорит специалист по сетевой безопасности в энергетической компании, пожелавший остаться неназванным. «На самом деле мне трудно даже вспомнить хотя бы одну настоящую тревогу. У нас не было ни времени, ни сил, чтобы отслеживать все это».

В то же время Селим Нарт, архитектор сетевых решений в Vignette Software, говорит, что ложные тревоги — это проблема грамотного управления: «Вы можете потратить на расследование 20 часов, но, возможно, ему следовало бы уделить только 2 часа».

Низкая производительность систем IDS и проблемы с их управлением настолько заметны, что в отчете Gartner Information Security Hype Cycle, опубликованном еще в июне 2003 года, эти системы названы провальными. Вместо инвестиций в IDS специалисты Gartner рекомендовали организациям тратить деньги на сканирование уязвимостей, усиление защиты серверов и приобретение сетевых экранов с глубоким анализом пакетов, которые лучше приспособлены к предотвращению атак на уровне приложений, чем стандартные сетевые экраны. А недавно в Gartner посоветовали использовать системы предотвращения вторжений (Intrusion Prevention System, IPS), которые начали предлагать традиционные производители систем IDS, такие как Internet Security Systems, Netscreen Technologies и Network Associates, а также новички — TippingPoint Technologies, StillSecure и Top Layer Networks. Часто такие системы выполняются в виде отдельных устройств.

В отличие от систем IDS, которые просто следят за сетью и посылают тревожные сообщения, сетевые IPS блокируют атаки в момент их возникновения. Системы, размещаемые непосредственно на сервере приложений (host-based), которые разрабатываются, например, компаниями Entercept (теперь часть Network Associates) и Okena (вошла в состав Cisco), перехватывают системные вызовы и следят за изменениями в критически важных системных файлах, правах доступа к файлам и другими признаками начала атаки.

Но неужели системы IDS и вправду ушли в небытие и эти новые продукты их заменят? Большинство аналитиков, а также разработчиков IDS и IPS, с которыми нам удалось побеседовать, сошлись на мнении, что «пока еще нет».

Для ИТ-отделов компаний действительно имеет смысл добиваться инвестиций в приобретение IPS и сетевых экранов, работающих на уровне приложений. Но и системы IDS должны остаться для обеспечения функций аудита как в целях общей безопасности, так и для возможного проведения экспертиз при расследовании инцидентов. «По сути, в IDS и IPS использованы одни и те же методы, — говорит Джоел Макфарлэнд, менеджер по системам безопасности в подразделении Cisco VPN and Security Business Unit. — Поэтому всем им недостает точности в работе. Но когда вы имеете дело с сетью из сотен и тысяч узлов, это уже не столь важно. Первым делом надо стрелять, а потом уже задавать вопросы».

Вице-президент по стратегическим исследованиям в области ИТ-безопасности и рисков компании META Group Пол Проктор с ним согласен. «У большинства клиентов, с которыми мы работаем, IPS запущена в режиме IDS (то есть осуществляется лишь мониторинг), поскольку в запутанном мире бизнес-приложений ошибка в работе IPS может привести к отказу в обслуживании, инициированному самой системой, — замечает он. — IPS лучше всего подходит для блокирования узкой категории атак, в природе которых вы абсолютно уверены, зная при этом, что средства обнаружения, предусмотренные в сетевых экранах, с такой задачей не справляются. Для отслеживания всех остальных видов трафика, который может быть враждебным, а может и не быть, IDS все же более полезны».

Боб Уолдер, директор NSS Group, англо-французской компании, занимающейся независимым тестированием сетей и проверкой их безопасности, не считает производительность и точность срабатывания сегодняшних IDS- и IPS-продуктов низкими. В NSS провели масштабные испытания обоих типов решений и пришли к выводу, что продукты IDS и IPS вполне способны работать в гигабитных сетях, а также, что правильная их настройка позволяет сравнительно легко избежать ложных срабатываний.

«Конечно, если взять любую систему IDS или IPS и включить все фильтры, ложные срабатывания доставят вам немало хлопот, — говорит Уолдер. — Для работы с этими системами необходимо уделить некоторое время, чтобы настроить их и убедиться, что они установлены на правильном участке и пропускают через себя именно тот трафик, который вы хотели бы видеть свободно проходящим».

Тонкая настройка

Уолдер констатирует, что разработчикам систем IDS и IPS все лучше и лучше удается автоматизировать процесс настройки, который в ручном режиме отнимает много времени и является довольно болезненным. Например, для линейки продуктов UnityOne компании TippingPoint существуют рекомендованные производителем параметры, которые можно установить за несколько минут. Другие производители IDS, в том числе Cisco, Symantec и ISS, предлагают в своих продуктах аудит систем и другие функции, позволяющие сократить число ложных тревог, например, они проверяют, установлены ли все необходимые обновления для серверов Apache и IIS. «Поначалу настраивать нашу IDS от Cisco было сущим кошмаром, — говорит Нарт, — но после того как мы начали использовать технологию Cisco Threat Response, нам удалось снизить число ложных срабатываний, потратив совсем немного времени на конфигурирование».

Одним из недостатков IPS Уолдер считает их высокую стоимость. «Большинство этих продуктов все еще очень дороги по сравнению с IDS. И даже если цена на них будет снижена, цены на системы IDS опустятся еще ниже. Очень вероятно, что одновременно в них появятся и новые возможности. Из-за их дороговизны системы IPS целесообразно ставить для защиты периметра, демилитаризованных зон и, возможно, одной или двух критически важных подсетей. Скорее всего, в сети с несколькими сотнями подсетей вы не сможете позволить себе установить IPS для каждой из них».

На самом деле, одним из преимуществ использования IPS для блокирования известных червей и других атак по периметру корпоративной сети является то, что сократится число тревог, создаваемых внутренней IDS. Потребность постоянно отслеживать сигналы, поступающие от IDS, пропадет. IDS станет больше средством аудита, позволяющим убедиться в правильности вашей стратегии обеспечения ИТ-безопасности, и средством мониторинга менее критичных подсетей, нежели инструментом предотвращения серьезных атак. Она не будет выполнять функцию, с которой системы такого класса никогда хорошо не справлялись.

В Rockford Health System систему Attack Mitigator IPS компании Top Layer используют для защиты центра обработки данных. «Я постепенно включал фильтры, один за другим, чтобы быть уверенным, что мы не блокируем какой-либо бизнес-процесс», — говорит Грэнман. Система Attack Mitigator IPS обычно устанавливается вне сетевого экрана, ее методы, основанные на анализе поведения, особенно хорошо справляются с DoS-атаками. Грэнман, по его собственным словам, оставил работать старые IDS-системы там, где они были установлены, но теперь тратит гораздо меньше времени на просмотр их журналов.

Похожим образом поступили и специалисты известной телевизионной сети Weather Channel. Старая система Snort IDS, основанная на программном обеспечении с открытыми исходными текстами, была заменена ими на устройства UnityOne IPS компании TippingPoint. На некоторых внутренних сегментах корпоративной сети были установлены системы StealthWatch IDS компании Lanscope, выполняющие анализ поведения приложений. «Нам удалось снизить число тревог, поступающих от IDS, на 99%, — похвастался Джон Пенрод, директор Weather Channel по сетевым архитектурным решениям. — Раньше специалистам, отвечающим за безопасность и обслуживание корпоративной сети, приходилось тратить чуть ли не весь день на просмотр журналов IDS. Теперь у них высвободилось время на выполнение другой работы».

Другие альтернативы

Помимо систем IPS для защиты Web-серверов и различных объектов, входящих в демилитаризованные зоны корпоративной сети, можно применять и другие решения, например, межсетевые экраны для Web-приложений, такие как KaVaDo InterDo, NetContinuum NC-1000 Web Security Gateway, Sanctum AppShield и Teros Secure Application Gateway. Акцент в них сделан на особые уязвимости Web-серверов, которые могут быть не замечены системами IPS, поскольку те в принципе не способны идеально подходить для каждого приложения.

Защитить приложения, работающие с открытыми сетями, а также программы на особо важных внутренних серверах, можно попробовать при помощи устанавливаемых на сервер систем предотвращения вторжений. Функции глубокого анализа пакетов добавили в свои брандмауэры компании NetScreen и Check Point. В отличие от большинства устройств IPS и сетевых экранов для Web-серверов с алгоритмом защиты, реализованным на аппаратном уровне, продукты названных компаний являются чисто программными.

С ростом доверия пользователей к системам IPS и снижением их стоимости, когда-нибудь они смогут полностью вытеснить IDS. Возможно, что когда-нибудь межсетевые экраны, системы обнаружения и предупреждения вторжений, а также антивирусные, антиспамные и другие защитные программы кем-либо из производителей будут собраны в единый продукт. Но большинство аналитиков и разработчиков считают, что при сегодняшних проблемах в области ИТ-безопасности должна быть организована многоуровневая система защиты, в которой отдельные сетевые экраны, системы IPS и IDS установлены именно на тех участках, где со своей работой они справляются лучше всего.


IDS/IPS: несколько полезных советов

Реализация многоуровневого подхода к обеспечению сетевой безопасности, который позволит избавиться от чрезмерного количества ложных срабатываний, потребует предварительного стратегического планирования. Вот несколько мер, которые необходимо принять, чтобы добиться наилучших результатов.

Выясните все о своей сети. Соберите как можно больше информации о приложениях, ОС, тенденциях сетевого трафика и протоколах.

Составьте и введите в действие всеобъемлющую политику безопасности, четко определяющую, что можно и чего нельзя делать в вашей сети.

Используйте собранную информацию и составленную политику при выборе IDS- и IPS-решений, а также при выборе их сетевой «дислокации».

IPS рекомендуется использовать для защиты периметра и, возможно, одного-двух важнейших сегментов сети. Мониторинг остальных важных сегментов следует осуществлять при помощи IDS.

Подумайте о том, какой вариант защиты критически важных приложений в вашем случае будет наиболее удачным: при помощи хостовых систем предотвращения вторжений, межсетевого экрана для Web-приложений или посредством сочетания того и другого.

Выбирая IDS или IPS, удостоверьтесь, что система способна в удобной для вас форме отображать сведения об уведомлениях и «оперативную информацию», поддерживает возможность установки приоритетов при генерации уведомлений.

Убедитесь в наличии возможности быстро переключать IPS из режима мониторинга в режим блокирования трафика и обратно.

Не включайте сразу все фильтры IPS. Начните с активизации тех из них, которые блокируют наиболее явные и угрожающие безопасности именно вашей сети атаки. Затем включайте по одному остальные фильтры, оценивая последствия активизации каждого из них.

Подумайте о приобретении системы аудита и корреляции уведомлений, она поможет снизить количество ложных уведомлений.


Близкие родственники

Большинство решений категории IDS и IPS используют сочетание перечисленных в таблице методов идентификации атак с акцентом на одном из них

Сверка по шаблонам: мониторинг трафика на наличие последова-тельностей байтов, соответствующих "сигнатурам" - шаблонам известных атакСообщает подробную информацию об атаке; действует на всех протоколах; вероятность идентификации атак повышается за счет реализуемого некоторыми IDS поиска сигнатур, рассредоточенных по нескольким пакетам в целях обхода защитыБольшая доля ложных срабатываний; требует частого обновления базы сигнатур и обширной работы по настройке; атаки новых типов не распознаются до появления сигнатуры в базе; не определяются атаки известных типов, подвергнутые небольшой модификации; возможны проблемы с производительностью, нераспознавание известных атак на гигабитных сетях
Распознавание аномалий поведения: изучение шаблонов поведения трафика в штатном режиме работы сети и последующая идентификация атак по нарушениям этих "норм"В случае грамотного внедрения имеется возможность распознавания атак неизвестных типов; отсутствие необходимости обновления сигнатур; получение массы данных об использовании сетиТрудность определения "нормального"

("легитимного") трафика, особенно в сетях с очень высокой активностью; предоставляет не столь подробную информацию об атаках, как при анализе сигнатур; возможны ложные срабатывания после появления в сети новых серверов или приложений
Распознавание аномалий протоколов: анализ трафика на отклонения поведения протоколов от нормальногоПозволяет определять атаки новых типов; имеется возможность минимизации числа ложных срабатываний; более подробная информация об атаках, нежели в случае распознавания аномалий поведения; высокая пропускная способностьВозможность ложных срабатываний в случаях, когда используемые в сети приложения не отвечают стандартам RFC; уведомления не настолько детализированы, как в сигнатурных системах; уступает сигнатурным решениям в количестве распознаваемых атак

Поделитесь материалом с коллегами и друзьями