Средства обнаружения сетевых атак.Таблица 2.
Какие же меры позволяют повысить безопасность охраняемой территории?
Брандмауэры обороняют только периферию сети, и потому их установка еще не основание для полной безмятежности. Современный хакерский инструментарий настолько автоматизирован, что даже люди, не очень сведущие в сетевых и коммуникационных технологиях, могут без труда воспользоваться ими. В результате сетевые администраторы проявляют интерес к любым системам обеспечения информационной безопасности, которые попадают в их поле зрения. К счастью, сегодня на рынке уже присутствуют изощренные средства обнаружения незваных гостей, стремящихся незаконно проникнуть в ваши сетевые владения.
Такие средства, однако, не стоит воспринимать как законченные решения в области информационной безопасности. Они скорее являются еще одним интеллектуальным инструментом, помогающим реализовать стратегию защиты корпоративной сети наряду с другими компонентами вроде антивирусных приложений. Система обнаружения сетевых атак позволяет, в частности, провести мониторинг сетевой активности и выявить наиболее уязвимые места в сети или на отдельных хост-компьютерах. Более того, разные продукты данной категории неэквивалентны по функциональным возможностям (подробнее см. статью «Программы обнаружения сетевых атак» в этом номере). Вот почему крупные компании, серьезно беспокоящиеся о защите своих коммуникационных и информационных ресурсов, устанавливают сразу несколько детектирующих систем. Но наличие уже одного подобного продукта заметно повышает степень защищенности вашей организации по сравнению с той, которая имела место до его инсталляции.
Действующие лица
Программные средства, уведомляющие администратора об атаке на сервер или сеть либо только о попытке такой атаки, появились совсем недавно. Первые продукты этого типа были апробированы военным ведомством США в середине 90-х гг. Тем не менее за прошедшие несколько лет растущая армия поставщиков ПО успела выпустить несколько пакетов, нацеленных на выявление хакерских атак. Одни производители предлагают серверные продукты, обеспечивающие защиту операционных систем, Web-серверов и баз данных. Другие рассматривают проблему защиты с общесетевых позиций, и их разработки позволяют сканировать весь сетевой трафик в целях выявления пакетов сомнительного происхождения.
Что касается экономической стороны дела, то рынок детектирующих систем обоих типов испытывает бурный рост. По данным компании IDC, в 1997 г. его объем составлял 20 млн долл., а уже в прошлом году достиг 100 млн долл. Оценки дальнейшего развития весьма оптимистичны: аналитики IDC полагают, что мировые продажи программ обнаружения сетевых атак в 2005 г. перевалят за 500 млн долл.
В каждом из двух рыночных сегментов уже появился свой лидер. Если говорить о продуктах для хост-компьютеров, то в 1999 г. по объемам продаж здесь главенствовала Axent Technologies, предлагающая систему Intruder Alert (75% рынка). Около 9% пришлось на ODS Networks с продуктом Computer Misuse Detection System, и всего 6% досталось фирме Security Dynamics, выпускающей ПО Kane Security Monitor.
В сегменте сетевых систем обнаружения атак появились свои фавориты. Около половины от общемировых составили продажи продукта RealSecure, разработанного компанией Internet Security Systems (ISS). 23% рынка завладела Cisco Systems благодаря приобретению фирмы WheelGroup, создателя ПО NetRanger. Аналогичным образом — через покупку компании MEMCO (продукт SessionWall-3) — на этот рынок проникла и Computer Associates, ее доля составляет около 8%.
Одновременно с ростом емкости рынка увеличивается и число игроков на нем. В качестве примеров молодых компаний, начавших активную деятельность в этой области во второй половине 1999 г., можно назвать фирмы Network ICE и Intellitactics.
Появление новых фирм, подчас задающих тон в этом только зарождающемся сегменте рынка, положительно оценивается большинством аналитиков. По их мнению, решить проблемы, стоящие сегодня перед крупными и средними организациями в области защиты данных, могут только независимые разработчики, никак не связанные с титанами индустрии ПО. «Компании вроде Microsoft и Cisco перестают пользоваться доверием заказчиков, когда речь заходит о сетевой безопасности, — считает Джим Херли, аналитик из фирмы Aberdeen Group. — Пользователи открыто говорят об этом».
Тем не менее начинающим фирмам уже сегодня противостоят серьезные конкуренты. Их ряды не ограничиваются упомянутой выше корпорацией Cisco Systems. Известно, что серьезные разработки по технологиям обнаружения сетевых атак ведет корпорация IBM. В частности, в состав семейства Tivoli Cross-Site ею включено детектирующее приложение Haxor.
Основную проблему, сдерживающую широкое распространение продуктов рассматриваемого класса, представляют заоблачные цены, которые оказываются не по зубам небольшим компаниям — самой легкой добыче злоумышленников. Скажем, типичная стоимость серверного агента в таких системах составляет 4000 долл. В результате большинство организаций вынуждены устанавливать детектирующее ПО только на наиболее уязвимых сетевых узлах, например на брандмауэрах или на серверах с конфиденциальной информацией делового характера. Однако логично предположить, что по мере созревания технологий, расширения рынка и обострения конкуренции цены начнут снижаться.
Смотри в оба
В такой сфере, как средства обнаружения сетевых атак, процесс совершенствования бесконечен. Хакеры не устают изобретать все новые схемы проникновения в компьютерные системы. Стоящие по другую сторону баррикад разработчики детектирующих приложений отслеживают появляющиеся новинки и спешат предложить свои контрмеры. Вот почему выпускаемые продукты требуют постоянной модернизации и пользователям настоятельно рекомендуется устанавливать обновленные сигнатуры, позволяющие идентифицировать новые виды сетевых атак.
К сожалению, сегодня производители не располагают какими бы то ни было push-технологиями для упрощения процедуры постоянной модернизации приобретенного заказчиками программного обеспечения. Более того, даже самостоятельная загрузка пользователями обновлений для базы данных с сервера производителя, ставшая общим местом в индустрии антивирусного ПО, для поставщиков средств обнаружения сетевых атак пока еще в диковинку. Этот факт лишний раз указывает на незрелость данного сегмента рынка, недаром многие эксперты отмечают, что сегодня он находится в той стадии развития, которую индустрия антивирусных программ миновала несколько лет назад. Впрочем, под давлением пользовательского спроса дело должно измениться к лучшему.
В качестве потенциального выхода из создавшегося положения эксперты по системам сетевой безопасности рассматривают применение технологий искусственного интеллекта. Оно позволило бы распознавать угрозы отдельным компьютерам или сети в целом без использования файлов сигнатур, требующих постоянного обновления. Отдельные продукты предоставляют пользователям возможность добавлять в систему собственные сигнатуры сетевых атак (например, для защиты специфических приложений). Такая гибкость достигается путем включения в комплект поставки дополнительных инструментальных средств.
Существует и менее очевидный способ противостояния злоумышленникам; он сводится к попытке ввести их в заблуждение. Так, система безопасности в качестве своеобразной приманки может создать ложный сервер, а затем, накопив достаточный объем данных об атакующем его хакере, приступить к поимке последнего. Примером реализации этой идеи в коммерческом продукте может служить пакет ManHunt компании Recourse Technologies.
Довольно серьезная проблема связана с ложными срабатываниями, когда система по ошибке принимает авторизованного пользователя за чужака. По заявлению аналитиков, разработчики систем детектирования неуклонно снижают вероятность подобных событий, однако процесс этот пока идет крайне медленно.
Существенным недостатком многих систем обнаружения атак является их неспособность выдавать предупреждающие сообщения на консоли основных платформ сетевого администрирования. Диагностическая информация и отчеты о событиях, как правило, консолидируются только на их собственных управляющих станциях. Это затрудняет принятие ответных мер против хакера.
Между тем в последнее время и здесь дело сдвинулось с мертвой точки, причем сразу в нескольких отношениях. Скажем, ПО NetProwler компании Axent в прошлом году «научилось» информировать о необходимости предпринять защитные меры (например, закрыть доступ к порту) такие брандмауэры, как Raptor производства той же фирмы или Firewall-1 корпорации Check Point Software. Компания Cisco Systems встроила некоторые функции пакета NetRanger непосредственно в программное обеспечение собственных маршрутизаторов и коммутаторов, так что последние теперь способны обнаружить несколько десятков типов сетевых вторжений. Возможно, такое решение даст начало процессу повсеместной интеграции средств защиты данных в операционные системы и приложения.
Системы выявления сетевых атак, предлагаемые фирмами Network Associates и ISS, также способны взаимодействовать с рядом брандмауэров и платформ сетевого администрирования, однако в настоящее время эти компании заняты реализацией технологии автоматического реагирования на попытки несанкционированного доступа, что предполагает более активное участие представителей всей сетевой индустрии. Основная идея такой технологии состоит в установке на хост-компьютерах и отдельных сетевых устройствах «сканеров» сетевых атак, которые при обнаружении серьезной угрозы информационной безопасности могли бы активизировать средства защиты без вмешательства администратора. К сожалению, ее практической реализации пока препятствует несовпадение технологических воззрений: решения, предлагаемые Network Associates и ISS, напрямую конкурируют друг с другом.
Тем не менее по инициативе компании ISS в 1998 г. консорциум IETF создал рабочую группу по системам обнаружения сетевых атак (Intrusion Detection Working Group, IDWG), призванную подготовить стандарт для достижения совместимости детектирующих систем разных производителей. Однако, по оценкам экспертов, первые результаты деятельности этой группы появятся на свет лишь через несколько лет. Что же касается стандартов, регламентирующих ответные меры со стороны атакуемого, то рассмотрение данного вопроса находится в самой начальной стадии.
Не полагайся на себя
К счастью, все не так уж плохо, как кажется на первый взгляд. Корпоративные заказчики могут оперативно решить проблемы информационной безопасности благодаря растущему предложению коммерческих услуг в этой области со стороны независимых фирм. Среди них сегодня присутствуют такие крупные компании, как GTE Internetworking и MCI WorldCom (подразделение передовых сетевых технологий).
Согласно предсказаниям некоторых аналитиков, аутсорсинг в управлении брандмауэрами, ставший в последнее время весьма популярным, постепенно войдет в моду и на рынке систем выявления сетевых атак. Дефицит высококвалифицированных специалистов в области сетевой безопасности, да к тому же обладающих практическим опытом обнаружения хакерской активности, сегодня налицо, поэтому организации скорее предпочтут делегировать решение возникающих задач немногочисленным специализированным компаниям.
Один из ключевых вопросов, которые будут стоять перед индустрией детектирующих систем в течение ближайших лет, заключается в том, продолжат ли заказчики покупать эти системы как самостоятельные продукты, или уже в скором времени они станут приобретать их вместе с сетевым оборудованием — маршрутизаторами, коммутаторами или устройствами для локальных сетей. Ответ на него пока не известен, однако не приходится сомневаться, что системы выявления сетевых атак, сегодня используемые преимущественно такими крупными организациями, как банки и федеральные учреждения, со временем найдут дорогу к более широким слоям корпоративных пользователей.