Найти и обезвредить

А. Лукацкий, "Обнаружение атак"

Эта обстоятельная книга посвящена системам обнаружения вторжений (Intrusion Detection System, IDS) - системам, которые многие администраторы и организации рассматривают до сих пор как нечто экзотическое и необязательное. Действительно, казалось бы, зачем они нужны, если доступ к сети надежно защищен межсетевым экраном с тщательно продуманными правилами политики безопасности? Представляемая книга - первая ласточка, пока единственное издание на русском языке об этой сравнительно новой области средств защиты информации. Книга поможет специалистам понять, какое место в комплексе средств безопасности занимают системы обнаружения вторжений. Хочется надеяться, что после ее выхода популярность таких систем возрастет, а значит, повысится и надежность защиты.

Поясняя актуальность проблематики обнаружения атак, автор ссылается на проверку защищенности 8932 информационных систем министерства обороны США, которые привели к следующим результатам: в 7860 случаев (88%) проникновения были успешными, только в 390 системах (5%) атаки были обнаружены и в 19 случаях (0,24%) администраторы сообщили об этом в соответствующие инстанции! Цифры действительно впечатляют. Они говорят, во-первых, о том, что сети плохо защищены, а во-вторых, что чаще всего администраторы даже не замечают фактов взлома своих систем. А раз не замечают, то ничему и не учатся, оставляя все те же лазейки для повторных атак. И тут на помощь приходят системы обнаружения вторжений. Их главное назначение - автоматизация процесса анализа ситуации при подготовке атаки, во время ее проведения и после завершения. Это ослабляет зависимость защиты сети от бдительности администратора, к тому же автоматизация анализа многочисленных записей в журналах регистрации событий межсетевых экранов и других средств защиты - большое подспорье для тех администраторов, кто добросовестно выполняет свои обязанности и регулярно пытается просмотреть все записи в журналах.

Книга А. Лукацкого не ограничивается рассмотрением только систем обнаружения вторжений. Три первые главы книги фактически являются введением в проблематику систем безопасности и полезны всем, кто ею занимается. Первая глава полностью посвящена описанию случаев, иллюстрирующих полезность IDS. В ней приведена классификация ситуаций, когда межсетевой экран оказывается проницаемым для злоумышленника: например, при атаке через туннель VPN из скомпрометированной сети, с внутренней по отношению к периметру защиты, стороны и т. п. Примеры из практики достаточно убедительно показывают, что дело не в плохой конфигурации межсетевого экрана, а в самом принципе его работы. Экран, несмотря на то что обладает памятью и анализирует последовательность событий, конфигурируется на блокирование трафика с заранее предсказуемыми признаками, например по IP-адресам или протоколам. Так что факт компрометации внешней сети, с которой у него был установлен защищенный каналом и которая до сих пор вела себя вполне корректно, в правилах экрана отразить нельзя. Точно так же, как и неожиданную попытку легального внутреннего пользователя скопировать файл с паролями. Подобные подозрительные действия может обнаружить только система со встроенными агентами во многих точках сети, причем она должна следить не только за трафиком, но и за обращениями к критическим ресурсам операционных систем, а также иметь перечень подозрительных действий (сигнатур атак) пользователей. Таковой и является система обнаружения вторжений. Она не дублирует действия межсетевого экрана, а дополняет их, производя, кроме того, автоматический анализ всех журналов событий, имеющихся у сетевых устройств и средств защиты, чтобы попытаться найти следы атаки, если ее не удалось зафиксировать в реальном времени.

Вводная часть книги содержит детальное описание распространенных типов атак и основные подходы, применяемые для их распознавания.

В основной части рассмотрены различные аспекты систем обнаружения вторжений - принципы их работы, основные критерии сравнения и выбора систем разных производителей, описание продуктов IDS ведущих производителей, особенности установки, конфигурирования и эксплуатации таких систем.

В целом вместо концептуальной глубины и абстрактных схем ситуаций автор отдает предпочтение ясности понимания и примерам из жизни. Примеров действительно много - как из мировой, так и российской практики. Благодаря этому книгу с интересом прочитают даже те, кто, не имея явного стимула к изучению IDS, неравнодушны к общим проблемам безопасности.

К изданию прилагается диск, где содержатся материалы с описанием решений по обнаружению атак (а также кое-что из программного обеспечения данного класса с временными лицензиями) компаний-лидеров в области информационной безопасности - Internet Security Systems, Check Point Software, Symantec, Rainbow Technologies.