Системы выявления атак обретают второе дыхание

Развитие программных средств и возрастающая угроза их безопасности вынуждают специалистов по сетевым технологиям пересмотреть существующие системы выявления атак.

Системам выявления атак (Intrusion Detection System, IDS) можно лишь посочувствовать: они завоевали репутацию услужливой ищейки, а их послужной список неустанно это подтверждает. Вместе с тем, вряд ли найдется другое подобное средство обеспечения безопасности, которое так хорошо справлялось бы со своей работой и в то же время столь энергично подвергалось критике.

Первые системы выявления атак предназначались для поиска узких мест в системе защиты и предупреждения администраторов о попытках хакеров воспользоваться наличием «дыр» или предпринять атаки по типу «отказ в обслуживании» (DoS). Со своей работой они справлялись очень неплохо, но в этом были свои плюсы и минусы.

В полном соответствии с обещаниями разработчиков, системы обнаружения вторжений первого поколения давали представление о трафике в отдельных сегментах сети и обо всех нетипичных проявлениях на основании анализа журнальных файлов на хосте. Такая информация позволяла определить, подвергалась ли защита атакам хакеров для получения доступа к критически важным сетевым ресурсам. Эти системы устанавливались в ключевых узлах сети — на уровне межсетевых экранов, коммутаторов, маршрутизаторов, серверов Web, баз данных и прочих обслуживающих устройств внутри предприятия.

Однако ранние системы выявления вторжений выдавали большое число сообщений и таким образом порождали огромные объемы информации о прохождении трафика по сети и через системы хоста, нередко посылая ложные сигналы тревоги, причем в немыслимом количестве. В свою очередь, будучи не в состоянии систематизировать и понять всю эту громаду данных, многие системные администраторы просто сводили к минимуму функции таких систем, а то и вовсе их отключали.

СМЕНИТЕ КОНЦЕПЦИЮ

По мнению специалистов по безопасности, прежняя концепция построения системы выявления атак в значительной степени ущербна. Для тех, кто действительно заинтересован в защите своих сетевых ресурсов, современный рынок предлагает более совершенные средства.

Производители, например, имеют в своем арсенале новые развитые способы обнаружения вторжений, более эффективные, чем метод поиска подозрительного шаблона, называемый также методом сопоставления сигнатур наиболее часто встречающихся типов атак. Реализованный в ранних системах выявления атак, именно он был причиной большого количества ложных сигналов тревоги.

Кроме того, поставщики увеличили производительность своих устройств в расчете на сети с пропускной способностью 100 Мбит/c. В настоящее время они предлагают более простые в развертывании и управлении специализированные устройства с IDS, а также начали поставку систем выявления атак, сочетающих в себе лучшие свойства двух основных типов IDS. (Краткое описание таких систем дается ниже.)

Надо заметить, что количество атак на сетевые приложения неуклонно растет. В этой неразберихе, для того чтобы «загнать хищника в угол», системным администраторам необходимо взять на вооружение разнообразные средства безопасности, включая системы выявления атак.

Например, некоммерческий координационный центр CERT в 1999 г. получил сообщения о 9859 инцидентах, связанных с нарушением безопасности. Это более чем в два раза превышает число инцидентов, зарегистрированных в 1998 г. (которое составляет 3734), и почти в пять раз превосходит аналогичный показатель 1997 г. (2134 случая).

В июне 2001 г. CERT сообщил об увеличении количества попыток вторжения с использованием программы SubSeven, разновидности «троянского коня», которую хакеры пытаются инсталлировать на компьютерах пользователей для получения полного контроля над ресурсами системы. CERT поясняет: «Действия SubSeven Trojan Horse напоминают нового «червя», осуществляющего поиск ранее подвергавшихся атакам систем, на которые была инсталлирована SubSeven».

В январе 2001 г. федеральный правительственный центр по защите национальной инфраструктуры (National Infrastructure Protection Center, NIPC) предупредил о подобной угрозе со стороны «червя» w32-Leaves.worm, основная цель которого — добиться полного контроля с удаленного компьютера над ресурсами зараженной машины, обычно при помощи каналов IRC (Internet Relay Chat).

Однако, по сведениям организаций, занимающихся вопросами безопасности, самой серьезной угрозой, исходящей от сообщества хакеров, стали атаки по типу «отказ в обслуживании» (DoS) или распределенные атаки по типу «отказ в обслуживании» (DDoS), число и разнообразие которых растет не по дням, а по часам. По утверждению NIPC, подобные атаки нацелены прежде всего на устройства и сети с выходом в Internet и особенно сайты электронной торговли. Расчет делается на выведение из строя устройства или сети за счет перегружения ее трафиком в такой степени, чтобы внешние пользователи не могли получить доступ к этим ресурсам, причем атаки проходят без грубого взлома файлов с паролями или кражи важной информации.

В марте 2001 г. NIPC приступил к изучению ряда спланированных нападений хакеров, предпринятых с целью нанести ущерб сайтам электронной торговли либо интерактивным банковским сайтам. По информации NIPC, 40 компаний из 20 штатов пали жертвами подобных атак, предпринятых организованными группами из Восточной Европы (особенно из России и Украины), которые использовали лазейки на серверах с установленными без заплат версиями операционных систем Microsoft Windows NT. Получив доступ, эта публика скачивала самую разнообразную информацию частного характера — в основном базы данных заказчиков, а также информацию о кредитных карточках. Взломщики не использовали полученные сведения в корыстных целях, поскольку не собирались совершать покупки по украденным кредиткам. Однако их действия вполне можно классифицировать как скрытое вымогательство: они предлагали платные услуги по исправлению систем с неустановленными заплатами.

ВТОРОЕ ДЫХАНИЕ

По мнению Эрика Хэммендингера, руководителя научно-исследовательских работ в области информационной безопасности из компании Aberdeen Group, пришло время снова обратиться к системам выявления атак, даже если первый опыт работы с ними был неудачен. Да и исследование объема этого рынка свидетельствует о том, что в ближайшие годы спрос на них будет только увеличиваться.

Аналитическая компания Frost&Sullivan, например, прогнозирует рост объема продаж этих систем с 62,3 млн долларов в 1999 г. до 264,4 млн долларов в 2001 г. и до 436,1 млн долларов в 2002 г. Другая аналитическая компания, IDC, рисует еще более впечатляющую картину, предсказывая увеличение продаж систем IDS с 350 млн долларов в 2001 г. до 443,5 млн долларов в 2002 г.

Хэммендингер считает, что возвращение системы выявления атак на передовые позиции в немалой степени связано с последними разработками: появлением специализированных устройств, новых методов выявления вторжений, усовершенствованных средств управления. Кроме того, при гибридном подходе мониторинг хостов и сети осуществляется с одной консоли. Наконец, эти современные системы могут справляться с трафиком высокоскоростных сетей.

Среди компаний-поставщиков IDS можно назвать уже неплохо зарекомендовавших себя в этой сфере Cisco Systems, Internet Security Systems (ISS), Intrusion.com, NFR Security, Symantec, а также недавно вышедших на этот рынок CyberSafe, Entercept Security Technologies и Enterasys Network.

Американский рынок буквально наводнили многочисленные провайдеры управляемых услуг защиты (Managed Security Services Provider, MSSP), предлагающие аутсорсинг услуг выявления вторжений. Среди них Activis, Exodus Communications, OneSecure, NetSolve, RedSiren Technologies, Riptech и Ubizen.

ДИАГНОСТИКА АНОМАЛИЙ

Как уже отмечалось, новые разработки, определяющие развитие рынка IDS, представляют собой усовершенствованные средства наблюдения и защиты от нежелательных атак, будь то вторжения в сеть или атаки по типу DoS/DDoS. Несомненно, одной из наиболее перспективных является методика выявления аномального поведения сети, которую все шире используют поставщики систем выявления атак на сеть.

Традиционная система выявления атак на сеть распознает трафик злоумышленника путем сопоставления его с шаблонами из предопределенного набора, а сама процедура называется «проверка сигнатур». Эти системы работают наподобие пакета антивирусных программ, пытаясь установить соответствие каждого из поступающих в сеть пакетов сигнатуре известной атаки, и эффективно отыскивают уже известные сигнатуры.

С другой стороны, достоинства систем выявления атак, где применяется метод поиска сигнатур, умаляют два принципиальных недостатка. Во-первых, они не в состоянии проникнуть в содержимое зашифрованных пакетов, а значит, атаки становятся невидимыми для системы. Во-вторых, хакеры часто видоизменяют сценарий этих атак, после чего проверка сигнатур теряет всякий смысл. Подобно тому, как антивирусный пакет беззащитен перед новым вирусом, пока поставщики не установят заплаты на свое программное обеспечение, так и разработчики системы выявления атак должны регулярно обновлять свои базы данных с сигнатурами. «...И еще неизвестно, многие ли из них это осознают», — размышляет Хэммендингер.

Система IDS на основе метода выявления аномалий проводит обследование пакетов для классификации и отслеживания событий в сети, чтобы установить различия между типичным и нетипичным ее поведением. Детекторы аномального поведения анализируют передачу данных между устройствами IP и отличают нормальный трафик от подозрительного без какого-либо сопоставления сигнатур.

Как заметил Чад Робинсон, ведущий аналитик в области научных разработок компании Robert Fransis Group, эти устройства не заботятся о содержании данных, передающихся по сети (в отличие от проверки сигнатур). «Их интересует только то, как проходил сеанс в сети, где было установлено соединение, в какое время и как быстро. Иными словами, не последовало ли за одним подозрительным соединением с каким-либо хостом аналогичное соединение с другим хостом», — поясняет он.

Чак Колоджи, менеджер по вопросам безопасности Internet компании IDC, подчеркивает, что при настройке системы выявления аномалий выбор точки отсчета приобретает определяющее значение. По его мнению, главная трудность заключается в том, «какой трафик принять за нормальный, а уж определить отклонение от нормы совсем не сложно». Колоджи и другие специалисты полагают, что метод поиска сигнатур следует использовать в сочетании с методом выявления аномалий. «Метод аномалий можно сравнить с поиском сигнатур, и, если в процессе неоднократного снятия показаний отклонение не обнаружилось, можно считать, что аномалия отсутствует», — рассуждает он.

Решения для анализа аномального поведения сети поставляют такие компании, как Cisco Systems, Enterasys Networks, Lancope, Intrusion.com, ISS и Resourse Technologies. Район Пакер, вице-президент по развитию бизнеса в компании Intrusion.com, заявляет, что продукт SecureNet, выпускаемый его компанией, — лидер в этой области. Эта система способна расшифровывать 26 протоколов, включая протоколы стека TCP/IP, а также ftp, IRC, NetBIOS, Network News Transfer Protocol (NNTP), POP3, Finger, Rlogin, Remote Procedure Call (RPC), SMTP и Trivial File Transfer Protocol (TFTP).

ПЕРЕХОД НА ВЫСОКУЮ СКОРОСТЬ

В настоящее время большинство предлагаемых систем выявления атак ориентируется на сети Ethernet с пропускной способностью 100 Мбит/c. В случае большей пропускной способности такие системы не могут проследить за всеми пакетами в сети и становятся менее эффективными. Когда же поставщики решений предлагают использовать свои системы IDS для сетей с пропускной способностью выше 100 Мбит/с, то, по словам Колоджи, их продуктам удается проверять лишь часть пакетов. «Вместе с тем, встречаются системы, которые вообще не в состоянии работать в сетях на 100 Мбит/с», — подчеркивает Хэммендингер.

Колоджи отмечает, что два производителя систем IDS — ISS и Intrusion.com — ориентируются на гигабитные скорости. Компании Cisco и Enterasys утверждают, что их системы выявления атак могут работать в сетях с пропускной способностью 100 Мбит/с.

Еще одна компания, Top Layer Networks, использует необычный подход для управления процедурой выявления вторжений в высокоскоростных сетевых средах. Ее система выявления атак AppSafe 3500 применяет процедуру зеркалирования потоков для копирования всех пакетов на конкретный порт AS 3500. Затем каждый порт распределяет весь поток между отдельными системами выявления атак, подключенными к AS 3500.

Марк Рой, заместитель директора по маркетингу компании Top Layer, утверждает, что его продукт выполняет общий анализ высокоскоростного гигабитного трафика и помогает сетевым администраторам составить политику защиты в отношении определенных видов трафика, причем последний может быть направлен на систему выявления атак и к межсетевому экрану одновременно. Он видит в этом два несомненных преимущества.

Во-первых, нагрузку становится возможным распределить между несколькими системами IDS — например, направить гигабитный поток на четыре различные системы IDS. В этом случае решается проблема измененных атак и заторов в сети во время перегрузки.

Во-вторых, данный продукт весьма эффективен для пресечения атак по типу «отказ в обслуживании». «Мы можем справляться с 14 наиболее популярными видами атак DoS на уровне пакетов, пытаясь определить мотивы и способ взаимодействия между клиентом и сервером — и таким образом распознавать вызывающую подозрение активность», — говорит Рой.

АППАРАТНЫЙ ПОДХОД

Аппаратная реализация системы выявления атак на сеть — новый этап развития средств обеспечения сетевой безопасности. Ранее программное обеспечение для мониторинга вторжений на ПК требовалось установить и сконфигурировать. Теперь же предлагаются устройства, представляющие собой программно-аппаратный модуль с заданной конфигурацией.

Система безопасности NetRanger производства компании Cisco была в числе первых подобных устройств, и Колоджи из IDC считает, что с таким продуктом компания Cisco становится лидером в этой области. Компании ISS, Intrusion.com и NFR Security также работают в этом направлении.

Новый подход интересен по нескольким причинам. Прежде всего, он устраняет многие проблемы, связанные с инсталляцией и эксплуатацией программных средств IDS на универсальных компьютерах. «Поставщики программного обеспечения IDS не могут оптимизировать эти системы для каждого процессора и под каждую версию операционной системы», — утверждает Колоджи.

Аппаратная реализация — это контролируемая среда, организованная в соответствии со спецификациями поставщика, поэтому программная часть системы выявления атак может быть сконфигурирована специально для данного применения. Кроме того, она избавляет от хлопот, связанных с операционной системой, особенно в организациях, работающих только на платформе Wintel или UNIX.

Наконец, аппаратно реализованные системы выявления атак предоставляют подразделениям ИТ, а также провайдерам услуг стандартные возможности «подключай и работай» (plug-and-play). Это особенно важно при развертывании таких систем в удаленных офисах, где не имеющие большого опыта конечные пользователи могут вручную установить физические соединения, оставляя заботу о настройке и конфигурации на централизованное попечение персонала ИТ.

ЛУЧШЕЕ ИЗ ДВУХ РЕШЕНИЙ

Поставщики систем IDS предлагают интегрированные решения, объединив в единой платформе управления достоинства систем выявления атак на хост и на сеть. В такой среде для получения связной картины активности сети консоль управления взаимодействует со средствами анализа трафика и журнальных файлов, реализованными в системах выявления атак на сеть и на хост.

Рон Гула, вице-президент компании Enterasys по системам IDS, напоминает, что получение коррелирующих данных с опрашиваемых сетевых устройств снижает вероятность ошибки и позволяет персоналу, ответственному за сетевую безопасность, отслеживать трафик на более высоком уровне. Например, факт однократного сканирования порта 80 на сервере Web через единственный маршрутизатор, скорее всего, не повод говорить о произведенной атаке, но обнаружение многочисленных попыток сканирований через несколько маршрутизаторов позволит утверждать это с уверенностью.

По мнению Пола Проктора, CentraxICE от компании CyberSafe — одна из таких «гибридных» систем выявления атак. Она объединила продукт Centrax 3.0 компании CyberSafe и ICEPak от Network ICE для диагностики трафика как в сетевых сегментах, так и на хостах.

Семейство Dragon компании Enterasys Network напоминает продукт производства CyberSafe. По словам представителя компании Symantec, на рынок вскоре будет выпущена гибридная система IDS для диагностики вторжений путем анализа событий на хосте, а также с помощью контроля сетевого трафика. Заметим, что и компания Cisco, работая совместно с Entercept Security Technologies, намеревается наделить свою систему на базе сети возможностью диагностики вторжений на уровне хоста.

По мнению Гула, система для корпоративных сетей Enterasys также весьма привлекательна для провайдеров управляемых услуг безопасности (Managed Security Service Provider, MSSP), когда им необходим мониторинг систем выявления вторжений не только в сети поставщика, но и в многочисленных сетях заказчиков. Среди клиентов Enterasys он называет такие компании, как RipTech, OneSecure и TrustWave.

ВОСПОЛЬЗУЙТЕСЬ АУТСОРСИНГОМ

По словам Робинсона из компании Robert Frances Group, несмотря на усовершенствование технологии IDS, организациям, обеспокоенным несанкционированными вторжениями и атаками по типу «отказ в обслуживании», следует рассмотреть обращение к сторонним услугам мониторинга систем выявления атак заказчика с помощью Internet. Обратиться к провайдерам управляемых услуг безопасности имеет смысл по нескольким причинам.

Не последняя из этих причин — стоимость, полагает Робинсон. Компании с незначительным количеством персонала да к тому же без большого опыта работы в области безопасности могут существенно выгадать, воспользовавшись услугами MSSP. Он утверждает, что для поддержания в рабочем состоянии мониторинговой программы IDS требуется пять человек наемного персонала с круглосуточным графиком работы по три восьмичасовые смены (с дополнительным персоналом на время отпуска, на случай больничного и т. п.). «Напрасно рассчитывать на то, что вам удастся ограничиться затратами в 10 тыс. долларов на приобретение IDS. Потребуется еще нанять специалиста, который обойдется по меньшей мере в 50 тыс. долларов в год, а с пятью специалистами вы можете потратить целое состояние (эти средства пойдут на их подготовку и содержание)», — поясняет он.

Итак, «нужно сесть и тщательно подсчитать отдачу от инвестиций (Return of Investment, ROI)», — советует Робинсон. Проводя подобные вычисления, отдел ИТ должен решить, имеется ли у них достаточный опыт работы с такими критичными системами, готовы ли они поставить под угрозу доходы бизнеса или доверие заказчика — ведь компания рискует потерять репутацию, подвергнувшись атакам хакеров или атакам по типу DoS/DDoS.

Провайдеры управляемых услуг безопасности рекламируют высокий уровень квалификации своего персонала, заявляя, что опытный специалист лучше справляется с расшифровкой головоломных записей журнальных файлов и тревожных сообщений системы IDS, которые сбивают с толку обычных сотрудников.

В этом, конечно же, есть доля правды. Провайдер управляемых услуг безопасности Ubizen, например, имеет лабораторию разведки безопасности, как ее называет руководитель технического отдела и соучредитель компании Кристоф Хайгенс. Компания отслеживает известные и вновь возникающие уязвимые места защиты, разрабатывает и поддерживает свои собственные базы данных сценариев атак. Хайгенс также обращает внимание на то, что собранная информация позволяет аналитикам службы безопасности OnelineQuardian достичь такого уровня квалификации, который могут обеспечить немногие компании.

Скорее всего, системы выявления атак не нуждаются в сочувствии. Теперь они уже не надоедают слишком частыми ложными сигналами тревоги. Современная система IDS вооружила сетевых администраторов усовершенствованным инструментарием, она способна помочь им в отражении нежелательных атак злоумышленников как изнутри, так и извне корпоративной сети.

Джим Карр — зам. главного редактора Network Magazine. С ним можно связаться по адресу: jcarr@cmp.com.

Различные виды систем выявления атак

Инструментальные средства выявления атак, представленные на рынке, используют несколько методик контроля за злонамеренными действиями, причем две из них — выявление атак на хост и на сеть — наиболее распространены. Некоторые специалисты относят в эту категорию еще и системы обнаружения атак на настольную систему, среди прочих можно указать так называемые приманки (honeypot и honeynet).

Системы выявления атак на хост — это программное обеспечение, устанавливаемое на сетевом компьютере, например на сервере Web или сервере приложений. Они отслеживают и анализируют записи в журналах событий операционной системы на хосте и исключительно полезны при мониторинге внутренних угроз, поскольку могут выявить попытки несанкционированного доступа к закрытой информации или ресурсам со стороны работников компании.

Система обнаружения атак на сеть представляет собой программное обеспечение, установленное на отдельно работающем компьютере либо на специализированном устройстве. Она отслеживает и анализирует пакеты, составляющие сетевой трафик, проверяя каждый из них. Пол Проктор, руководитель технического отдела в подразделении Centrax компании CyberSafe, упоминает также систему выявления атак на сетевой узел, которая распознает пакеты, направляемые к одному сетевому узлу.

Аналогичный продукт для настольной системы предоставляет защиту на уровне файлов. В этом случае уделяется внимание не мониторингу сетевого трафика, а проверке специфической активности на отдельных системах в поисках возможных атак на файлы либо на записи в реестре Windows. Системы обнаружения атак на настольную систему оказывают неоценимую помощь при обнаружении «троянского коня».

Одиночные приманки (honeypot) — программное обеспечение, специально предназначенное для того, чтобы быть атакованным. Оно эмулирует известные уязвимые места, другие системы или представляет собой модифицированную рабочую систему, так что при попытке атаки злоумышленник оказывается как бы в клетке.

Сетевые приманки (honeynet) — это сеть рабочих систем, устанавливаемая за межсетевым экраном. Она предназначена для провокации злоумышленников. Когда такая сеть подвергается атаке, вся сопутствующая информация собирается и анализируется. Это позволяет изучить методы, тактику и мотивы вероятных вторжений.

Ресурсы Internet

В Сети можно найти большой объем информации по вопросам выявления атак: документы, книги, сайты Web, а также сетевые файлы, содержащие ответы на часто задаваемые вопросы по этой тематике и ссылки. Ниже предлагаются наиболее полезные из них.

Статью «Как воспрепятствовать атакам по типу «отказ в обслуживании» Дэвида Мора, Джеффри М. Волкера и Стефана Сэваджа можно найти по адресу: http://www.cs.usd.edu/~savage/papers/UsenixSec01.pdf.

Координационный центр CERT (http://www.cert.org) предоставляет разнообразную информацию, статистические данные и полезные советы по вопросам выявления вторжений.

Национальный центр защиты инфраструктуры (NIPC, http://www.nipc.gov), подобно CERT, публикует сведения о выявлении вторжений.

Институт SANS (http://www.sans.org) предлагает обзор новостей по безопасности за неделю «Security News of the Week», а также курсы повышения квалификации по вопросам безопасности. В частности, проект «Согласованные меры по противодействию атакам по типу «отказ в обслуживании» (http://www.sans.org/ddos) интересен для тех, кто отвечает за безотказность работы сети.

DOSHelp (http://www.doshelp.com) содержит информацию, справки и все, что касается атак по типу «отказ в обслуживании».

Институт компьютерной безопасности (The Computer Security Institute) (http://www.gocsi.com), которым владеет компания CMP Media, основательница Network Magazine, предоставляет необходимые сведения о защите сетевых систем от атак.

Рассматриваемые продукты