Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Что такое обнаружение компьютерных атак

Обновлено: 15.01.2025

Полное название таких систем, это системы предотвращения и обнаружения атак. Или же называют СОА как один из подходов к защиты информации. Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать проблемы защиты информации в сетях.

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают угрозы информационной безопасности.

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

  • реализует очевидные проколы
  • реализует неоднократные попытки на вхождение в сеть
  • пытается замести свои следы
  • реализует атаки в разное время

идентификация злоумышленника по действиям

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

  • выявление злоупотреблений
  • выявление аномалий

алгоритм для повышения эффективности выявления атак

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

Средства обнаружения атак

Технология обнаружения атак должна справляться со следующим:

  • Распознавание популярных атак и предупреждение о них определенных лиц
  • Понимание непонятных источников данных об атаках
  • Возможность управления методами защиты не-специалистами в сфере безопасности
  • Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
  • Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю

Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:

  • Контроль эффективность межсетевых экранов. Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
  • Контроль узлов сети с устаревшим ПО
  • Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
  • Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем

Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.

Классификация систем обнаружения атак

Существует множество классификаций систем обнаружения атак, однако самой топовой есть классификация по принципу реализации:

Системы обнаружения атак которые стоят на конкретных компьютерах, обычно анализируют данных из журналов регистрации ОС и разных приложений. Однако в последнее время выпускаются программы которые тесно интегрированные с ядром ОС.

Плюсы систем обнаружения атак

Коммутация разрешает управлять большими сетями, как несколькими небольшими сетевыми сегментами. Обнаружение атак на уровне конкретного узла дает более эффективную работу в коммутируемых сетях, так как разрешает поставить системы обнаружения на тех узлах, где это нужно.

Системы сетевого уровня не нуждаются, что бы на хосте ставилось ПО системы обнаружения атак. Для контроля сетевого сегмента, нужен только один сенсор, независимо от количества узлов в данном сегменте.

Пакет отправленный от злоумышленника, не будет возвращен назад. Системы которые работают на сетевом уровне, реализуют обнаружение атак при живом трафике, тоесть в масштабе реального времени. Анализируемая информация включает данные, которые будут доказательством в суде.

Системы обнаружения которые работают на сетевом уровне, не зависят от ОС. Для таких систем все равно, какая именно ОС создала пакет.

Технология сравнения с образцами

  • самый простой механизм обнаружения атак;
  • разрешает жестко сопоставить образец с атакующим пакетом;
  • работает для всех протоколов;
  • сигнал об атаке достоверен, если же образец верно определен.
  • если атака нестандартная, есть вероятность пропустить ее;
  • если образец слишком обобщен, то вероятен большой процент ложных срабатываний;
  • Возможно что придется создавать несколько образцов для одной атаки;
  • Механизм ограничен анализом одного пакета, уловить тенденцию и развитие атаки не возможно.

Технология соответствия состояния

Так как атака по своей сущности это не единичный пакет, а поток пакетов, то этот метод работает с потоком данных. Проходит проверка несколько пакетов из каждого соединения, прежде чем делается вердикт.
Если сравнивать с предыдущим механизмом, то строка foo может быть в двух пакетах, fo и o. Итог срабатывания двух методов я думаю понятен.
Положительные стороны:

  • Все отрицательные критерии идентичны как и в прошлом методе.

Анализ с расшифровкой протокола

Этот метод реализует осмотр атак на отдельные протоколы. Механизм определяет протокол, и применяет соответственные правила. Положительные стороны:

  • если протокол точно определен, то снижается вероятность ложных срабатываний;
  • разрешает жестко увязать образец с атакой;
  • разрешает выявить случаи нарушения правил работы с протоколами;
  • разрешает улавливать разные варианты атак на основе одной.
  • Механизм является сложным для настройки;
  • Вероятен высокий процент ложных срабатываний, если стандарт протокола разрешает разночтения.

Статический анализ

Этот метод предполагает реализации логики для определения атак. Используются статистическая информация для анализа трафика. Примером выявления таких атак будет выявление сканирования портов. Для механизма даются предельные значения портов, которые могут быть реализованы на одном хосте. В такой ситуации одиночные легальные подключения в сумме дадут проявление атаки. Положительные стороны:

  • Есть такие типы атак, которые могут быть выявлены только этим механизмом.
  • Такие алгоритмы требуют сложной тонкой дополнительной настройки.

Анализ на основе аномалий

Этот механизм используется не для четкого обнаружения атак, а для обнаружения подозрительной активности, которая отличается от нормальной. Основная проблема настройки такого механизма, это определения критерия нормальной активности. Также нужно учитывать допустимые отклонения от обычного трафика, которые не есть атакой. Положительные стороны:

  • Правильно настроенный анализатор выявляет даже неизвестные атаки, но нужно дополнительная работа по вводу новых правил и сигнатур атак.
  • Механизм не показывает описание атаки по каждому элементу, а сообщает свои подозрение по ситуации.
  • Что бы делает выводы, не хватает полезной информации. В сети зачастую транслируется бесполезная.
  • Определяющий фактор это среда функционирования.

Варианты реакций на обнаруженные атаки

Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования:

Ниже наведены элементы, на основе которых можно проводить механизмы обнаружения атак:

Сетевые системы обнаружения атак — принцип действия

Системы для обнаружения и предотвращения вторжений (IPS/IDS intrusion detection and prevention systems) — программно-аппаратные решения, детектирующие и предотвращающие попытки нелегального доступа в корпоративную инфраструктуру.

Это по сути два отдельных класса систем с разными функциональными возможностями, которые нередко объединяют при разработке программно-аппаратных комплексов по сетевой безопасности:

системы по обнаружению вторжений (СОВ или в зарубежной терминологии IDS);

системы по предотвращению вторжений (СПВ или IPS).

К основным функциям систем IDS относятся:

выявление вторжений и сетевых атак;

запись всех событий;

распознавание источника атаки: инсайд или взлом;

информирование служб ИБ об инциденте в реальном времени;

Система обнаружения вторжений собирает и анализирует полученные данные, хранит события с момента подключения к сетевой инфраструктуре и формирует отчеты и управляется из консоли администратора.

Функциональные особенности решений IPS не позволяют детектировать как внешние, так и внутренние атаки в режиме реального времени. Именно поэтому такие решения отлично дополняют программы IDS и работают единовременно.

Система IPS, как правило, предотвращает наиболее популярные сетевые атаки, заданные предустановленными политиками безопасности или проанализированные как отклонение от нормального поведения пользователей и систем. К примеру, предотвращает атаки, нацеленные на повышение прав и получение неавторизованного доступа к конфиденциальной информации, атаки на уязвимые компоненты информационных систем, и блокирует внедрение вредоносных программ, таких как трояны или вирусы в сети компаний.

Технологий IPS работают по следующим методам:

Сигнатура — это шаблон, по которому определяется атака через сравнение с возможным инцидентом. Например:

Email с вложением формата freepics.exe в корпоративной почте;

Лог операционной системы с кодом 645, который обозначает отключение аудита хоста.

Рабочая методика при обнаружении известных угроз, но при неизвестных атаках, где нет шаблона — бесполезен.

К ключевым функциям IPS относятся:

блокировка атак — прекращение доступа к хостам, обрыв сессии сотрудника, нелегитимно обращающегося к данным;

изменение конфигурации устройств в сети компании для предотвращения атаки;

замена содержания атаки — удаление или фильтрация инфицированных файлов перед отправкой пользователям на уровне сетевых пакетов.

Риск применения IPS в том, что бывают как ложноположительные срабатывания, так и ложноотрицательные. Анализ систем обнаружения вторжений показал, что для оптимальной и своевременной защиты от вторжений важно применять решения, объединяющие в себе функции IDS и все методы подавления атак IPS.

Когда применяются системы обнаружения сетевых атак?

Как показывает практика — сетевые системы обнаружения вторжений должны работать непрерывно. Те компании, которые пренебрегают решениями для детектирования и подавления атак, несут максимальные убытки. Вспомним нашумевшие вирусы-шифровальщики Petya и Wanna Cry — они вскрыли все «болевые» точки и буквально парализовали деятельность организаций. Так как уровень атак с каждым годом только возрастает — решения по их обнаружению должны быть на шаг впереди, чтобы иметь возможность не только расследовать инциденты, но и предотвратить их уже по первым признакам в режиме реального времени.

Основные виды систем обнаружения вторжений

Выбирая систему IPS/IDS для организации важно учитывать их виды, отличающиеся расположением, механизмами работы аналитических модулей. Они могут быть:

Основанные на прикладных протоколах СОВ (APIDS) — для проверки специализированных прикладных протоколов.

Узловые или Host-Based (HIDS) — анализируют журналы приложений, состояние хостов, системные вызовы.

Гибридные — объединяют функции нескольких видов систем обнаружения вторжений. К этому виду можно отнести систему «Гарда Монитор» .

Требования к IDS/IPS системам

В России требования к системам обнаружения вторжений появились в 2011 году. ФСТЭК России выделила шесть классов защиты СОВ. Отличия между ними в уровне информационных систем и самой информации, подлежащей обработке (персональные данные, конфиденциальная информация, гостайна). Соответствие требованиям регулятора — важный фактор при выборе решений для защиты от вторжений. Поэтому для гарантированного результата в виде отсутствия санкций относительно выбора ПО — стоит обратить внимание на системы обнаружения вторжений, сертифицированные ФСТЭК.

Решение для комплексной сетевой защиты, обнаружения и подавления сетевых атак

Разработчик систем информационной безопасности «Гарда Технологии» выпустил решение «Гарда Монитор», сертифицированное ФСТЭК, как аппаратно-программный комплекс по расследованию сетевых инцидентов на уровне пакетов трафика, позволяющий находить уязвимости в сетевой инфраструктуре компании. Его принцип строился на записи и декодировании всех событий, происходящих в сети организации. Но главная задача безопасности — это не только найти виновных в инциденте, а его предотвратить. Поэтому следующие версии системы получили технологические обновления в виде функций анализа сетевого трафика и разбора содержания пакетов трафика, внедрения модуля поведенческой аналитики для оповещения службы информационной безопасности и обнаружение попыток вторжений в сетевую инфраструктуру в реальном времени.

В качестве системы классов IDS и IPS «Гарда Монитор» осуществляет обнаружение сетевых атак и попытки эксплуатации уязвимостей и работы вредоносного ПО (вирусов, троянов и пр.) на основе сигнатурного и поведенческого анализа. Детектирует факты обращений к командным центрам бот-сетей.

Одно решение, которое отлично масштабируется на территориально-распределенные сети, позволяет защитить сетевую инфраструктуру комплексно, видеть все, что происходит в сети в реальном времени, выявляя все виды вторжений и мгновенно предотвращая атаки. Все это возможно благодаря непрерывному анализу событий и обнаружений отклонений от нормального поведения пользователей и систем в сети.

Узнать как работает «Гарда Монитор» на практике — можно с помощью внедрения пилотного проекта — бесплатно в течение месяца. После чего можно купить систему обнаружения и предотвращения вторжений и адаптировать под все особенности сетевой инфраструктуры.

И снова здравствуйте. В преддверии старта курса «Реверс-инжиниринг» решили поделиться с вами небольшой статьей по информационной безопасности, которая хоть и имеет довольно косвенное отношение к реверс-инжинирингу, но для многих может стать полезным материалом.



Глобальный рынок продуктов информационной безопасности развивается под воздействием быстро растущего многообразия сложных и комплексных угроз, что приводит к непосредственному влиянию на бизнес, и становятся востребованными не только для крупных и средних, но и для малых организаций. В настоящее время ситуация обстоит таким образом, когда традиционные средства защиты, такие как межсетевой экран и антивирус, не способны обеспечить надлежащий уровень защиты внутренней сети организации, ведь вредоносное программное обеспечение может «замаскироваться» и отправлять пакеты, которые с точки зрения межсетевого экрана выглядят полностью легитимными. Существует множество коммерческих решений, способных обеспечить надлежащий уровень защиты внутренней сети организации, однако сегодня мы остановимся на таком классе решений, как системы обнаружения вторжений и системы предотвращения вторжений. В англоязычной литературе это Intrusion Detection Systems (IDS) и Intrusion Prevention Systems (IPS).

Различия между ними заключаются лишь в том, что одна может автоматически блокировать атаки, а другая просто предупреждает об этом.

Решения данного класса бывают как коммерческими (проприетарными), так и с открытым исходным кодом, и в умелых руках могут стать отличным дополнением к общей системе защиты организации. Данный класс средств защиты относится к методу отслеживания несанкционированных попыток получения доступа к защищаемым ресурсам организации, называемый мониторингом управления доступом. Он нацелен на выявление и регистрацию недостатков в безопасности внутренней инфраструктуры – сетевые атаки, попытки несанкционированного доступа или повышения привилегий, работа вредоносного программного обеспечения и т.д. Таким образом, по сравнению с межсетевым экраном, контролирующим только параметры сессии, IDS и IPS анализируют передаваемые внутренние потоки данных, находя в них последовательности битов, которые могут представлять из себя вредоносные действия или события. Помимо этого, они могут осуществлять мониторинг системных журналов и других файлов регистрации деятельности пользователей.

Традиционная IDS состоит из сенсоров, которые просматривают сетевой трафик или журналы и передают анализаторам, анализаторы ищут в полученных данных вредоносный характер и в случае успешного обнаружения – отправляет результаты в административный интерфейс. В зависимости от места расположения IDS делятся на сетевые (network-based IDS, NIDS) и хостовые (host-based, HIDS). По названию понятно, что одна отслеживает весь сетевой трафик того сегмента, где она установлена, а другая в пределах единственного компьютера. Для более понятной классификации IDS необходимо выделить еще два подмножества, которые делятся по типу анализируемого трафика: IDS, основанная на протоколе (Protocol-based IDS, PIDS), которая анализирует коммуникационные протоколы со связанными системами или пользователями, а также IDS, основанная на прикладных протоколах (Application Protocol-based IDS, APIDS), предназначенная для анализа данных, передаваемых с использованием специфичных для определенных приложений протоколов.

Естественно, вредоносную активность в анализируемом трафике обнаружить можно разными способами. Поэтому в IDS существуют следующие характеристики, отличающие друг от друга различные типы технологий IDS и описать их можно следующим образом:

Глобально IPS можно разделить на те, которые анализируют трафик и сравнивают с известными сигнатурами и те, которые на основе анализа протоколов ищут нелегитимный трафик, основываясь на базе знаний о найденных ранее уязвимостях. За счет второго класса обеспечивается защита от неизвестного типа атак. Что касается методов реагирования на атаки, то их накопилось большое количество, но из основных можно выделить следующие: блокирование соединения с помощью TCP-пакета с RST-флагом или посредством межсетевого экрана, перенастройка коммуникационного оборудования, а также блокирование записей пользователей или конкретного хоста в инфраструктуре.

В конечном итоге, наиболее эффективной идеей защиты инфраструктуры является совместное использование средств IDS и IPS в одном продукте – межсетевом экране, который с помощью глубокого анализа сетевых пакетов, обнаруживает атаки и блокирует их. Стоит отметить, что речь идет только об одном рубеже защиты, который, как правило, расположен за межсетевым экраном. И чтобы добиться комплексной защиты сети, необходимо использовать весь арсенал средств защиты, например UTM (Unified Threat Management) – совместно работающие межсетевой экран, VPN, IPS, антивирус, средства фильтрации и средства антиспама.

Столкнувшись с рядом архитектурных проблем, следующим витком развития подобных систем у мировых вендоров стал межсетевой экран нового поколения (NGFW, Next Generation Firewall), который выигрывает за счет параллельного анализа одного и того же трафика всеми средствами защиты, разбора трафика для проверки антивирусом в памяти, а не после того, как он сохранится на жесткий диск, а также за счет анализа протоколов 7 уровня OSI, который позволяет анализировать работу конкретных приложений.

Так как число и частота атак все время увеличиваются, становится очень важным идентифицировать атаки на раннем этапе их развития и своевременно среагировать на них. В критических случаях вмешательство в атаку должно быть реализовано намного быстрее, чем сможет среагировать человек. Другая причина для автоматизации процесса обнаружения несанкционированной деятельности заключается в том, что все чаще и чаще злоумышленники используют автоматизированные средства реализации атак. В одном из опубликованных примеров был отмечен факт осуществления 2000 попыток проникновения на из 500 мест в течение 8 часов (т.е. 4 атаки в минуту). В том случае автоматизированная система обнаружения атак помогла отследить источник атаки. В ее отсутствие задача обнаружения самой атаки и злоумышленника, ее реализующего, стала бы просто невозможной. По данным отчета Symantec Internet Security Threat Report, информационные системы компаний в 2002 году в среднем были атакованы 31 раз в неделю.

Почему это происходит? Причина не только в низкой квалификации персонала. На наш взгляд, причина кроется не в том, что традиционные механизмы защиты, такие как разграничение доступа, фильтрация, аутентификация и другие не лишены недостатков, а потому что при их создании не были учтены многие аспекты, связанные с характеристиками современных атак.

Рассмотрим этапы осуществления атаки. Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На данном этапе ищутся уязвимости, использование которых делает возможным в принципе реализацию атаки, которая и составляет второй этап. На третьем этапе атака завершается, «заметаются» следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например, SARA или Nessus, сам по себе считается атакой.

Существующие механизмы защиты, реализованные в межсетевых экранах (firewall), серверах аутентификации, системах разграничения доступа и т. д., работают только на втором этапе. То есть по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они могут защитить от атак, которые уже находятся в процессе осуществления. И даже если эти механизмы смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. И обеспечение адекватной защиты на третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь только в этом случае можно реально оценить ущерб от «успешной» атаки, а также разработать меры по устранению повторных попыток реализовать аналогичную атаку.

Можно заметить, что самым слабым звеном описанной схемы является уникальность элемента. Если нарушитель образом получил этот самый элемент или подменил его и предъявил системе защиты, то она воспринимает его, как «своего», и разрешает действовать в рамках полномочий того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к самому секретному ключу не составляет большого труда. Его можно «подслушать» при передаче по сети при помощи анализаторов протоколов (sniffer). Его можно подобрать при помощи специальных программ, например, при помощи L0phtCrack или John the Ripper.

Другой не менее часто приводимый пример. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор обижен. низкой зарплатой, недооценкой его возможностей и т.п. Известны случаи, когда такие обиженные администраторы «портили кровь» не одной компании и их действия приводили к очень серьезному ущербу.

Если спросить любого человека, хоть немного знакомого с интернетом, чем, по его мнению, надо защищать свою сеть от хакеров, то в 99% случаев на первое место он поставит межсетевые экраны, а около 60%, как мы уже упоминали, считают это решение «самым лучшим» для защиты сетей. Однако эти решения хоть и достаточно эффективны, но не обеспечивают действительно надежной защиты от всех видов атак.

Можно пойти еще дальше. Ведь в любом здании помимо главного существуют и другие входы. Кроме того, проникнуть в помещение можно через окно или подвал и т.д. Аналогичная ситуация и с сетью, в которой может быть резервный канал выхода в интернет или модем, несанкционированно установленный сотрудником организации. Что делать, чтобы повысить защищенность помещений в здании? Используются различные системы видеонаблюдения и охранной сигнализации, емкостные и температурные датчики, реагирующие на изменение объема или температуры в помещении и т.д. Такие же охранные системы существуют и в мире информационной безопасности. Это и есть системы обнаружения атак, контролирующие сетевые сегменты (читай этажи и помещения здания) или отдельные серверы (например, витрины ювелирного магазина или вход в банковское хранилище).

  • Снижение нагрузки на персонал (или освобождение от нее), отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами информационной системы (ИС).
  • «Понимание» зачастую непонятных источников информации об атаках (сетевого трафика, журналов регистрации, системных вызовов и т.д.).
  • Предоставление возможности управления средствами защиты не экспертами в области безопасности.
  • Контроль всех действий субъектов ИС (пользователей, программ, процессов и т.д.), в т.ч. и обладающих административными привилегиями.
  • Распознавание известных и по возможности неизвестных атак и уязвимостей и предупреждение о них персонала, отвечающего за обеспечение информационной безопасности.

Можно видеть, что некоторые из этих задач могут быть решены встроенными в операционные системы или приложения механизмами. Например, контроль всех действий пользователей или программ в ОС Windows 2000 и Unix может быть осуществлен путем ручного анализа журналов регистрации EventLog и syslog соответственно. Однако процесс такого анализа достаточно трудоемок и требует выполнения большого числа рутинных операций, что в результате приводит к упущению из вида некоторых нарушений.

Кроме того, технологии обнаружения атак позволяют контролировать эффективность других защитных систем, таких как межсетевые экраны, системы идентификации и аутентификации, системы разграничения доступа, средства построения виртуальных частных сетей, системы криптографической защиты информации и антивирусные системы. Все они выполняют существенно или критически важные функции по защите системы. Однако, играя такие жизненно важные роли, они являются и главными целями атак злоумышленников. Не менее опасным можно считать и тот факт, что эти системы создаются и эксплуатируются простыми смертными и, следовательно, также подвержены человеческим ошибкам, как и все остальные компоненты ИС. Вследствие нарушения конфигурации, полного выхода из строя или атаки, отказ любого из этих компонентов инфраструктуры защиты подвергает опасности защиту всех систем, которые они охраняют.

  • Обнаружение аномального поведения, используя хорошо себя зарекомендовавший аппарат математической статистики. Данный подход используется, как правило, при обнаружении использующих посылку большого числа трафика за короткий интервал времени и т.п. Также данный подход пытаются применять при контроле поведения пользователя в информационной системе. Типичные действия пользователя описываются в шаблоне, отклонения от которого и признаются аномалией, требующей вмешательства соответствующих служб.
  • Обнаружение злоупотреблений, используя сигнатуры, описывающие последовательность байт или действий, характеризующих несанкционированную деятельность. Этот подход знаком всем по антивирусным системам, которые построены именно поэтому принципу.

Сразу надо отметить, что данная классификация может вызвать споры. Некоторые специалисты считают неправильным причисление систем анализа защищенности к классу средств обнаружения атак, однако, если следовать описанным выше принципам классификации, то такое отнесение вполне логично. Аналогичная ситуация и с системами контроля целостности и анализа журналов регистрации. Эти системы помогают в обнаружении атак, «но на системы IDS совсем не похожи». Я не буду оспаривать этот факт, хочу только заметить, что, учитывая этапы реализации атак, приведенная мной классификация вполне закономерна.

Кроме того, до сих пор не выработана единая терминология в этой области. Каждый производитель, желая показать, что его система уникальная и превосходит другие решения, создает новый класс систем обнаружения атак. Так появились гибридные системы обнаружения атак (например, Prelude IDS), виртуальные системы обнаружения атак, многоуровневые системы (multitiered IDS), шлюзовые (gateway IDS), системы с контролем состояния (stateful IDS) и даже системы, основанные на спецификациях IDS) или стеке IDS) и т.д.

Третий способ очень похож на спуск воды на плотинах, т.к. позволяет сдерживать поток трафика и время от времени пропускать небольшие его фрагменты в защищаемую сеть. И хотя в этой порции может находиться и враждебный трафик, его объем не позволяет вывести из строя защищаемые узлы. Этот метод очень эффективен против атаки SYN Flood и ей подобных.

Последний способ предотвращения нарушения работоспособности защищаемых узлов аналогичен тому, что используется классическими средствами обнаружения сетевых атак. Средство блокирования фильтрует трафик на основе заранее известных признаков атак (порт источника, TTL, идентификатор пакета и т.п.).

Т.к. данные средства направлены на ослабление или полное блокирование атаки, то, как правило, они выполняются в виде отдельного устройства, которое устанавливается между защищаемой и открытой сетями, что позволяет полностью контролировать весь сетевой трафик. Примером таких средств являются FireProof компании Radware или TrafficMaster Enforcer компании Mazu Networks. До придания этим средствам самостоятельного, они носили название «inline IDS». Надо отметить, что данные средства не всегда выполняются как самостоятельные устройства. Нередко данные механизмы встраиваются в сетевое оборудование, например, в балансировщики нагрузки. Так поступили компании Foundry Networks со своим продуктом ServerIron 400 и TopLayer Networks с AppSwitch 3500. Интересное решение поставляет компания Reactive Networks, которая создала на базе платформы Dell и ОС Linux систему FloodGuard. Однако данное устройство не само блокирует атаку, а использует для этого списки контроля доступа маршрутизаторов компании Cisco.

Работать эти системы могут не только на уровне сети, но и на уровне конкретного узла. В последнем случае предотвращение атаки осуществляется путем контроля всех системных вызовов. В случае обнаружения действий, несоответствующих заданной политике безопасности, они блокируются. По такому принципу действуют системы Okena StormWatch, купленная компанией Cisco Systems 24 января 2003 года, и Entercept, купленная компанией Network Associates 4 апреля 2003 года. И хотя на Западе это направление появилось совсем недавно, в России его знают уже не один год. Ведь практически все системы защиты информации от несанкционированного доступа (например, Secret Net или Dallas Lock), сертифицированные в Гостехкомиссии России, работают именно по этому принципу.

PoriadokSAtak-5b

Порядок действий при обнаружении сетевых атак.

1. Классификация сетевых атак

1.1. Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.

IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

1.3. Отказ в обслуживании (Denial of Service — DoS)

DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.

Наиболее известные разновидности DoS:

  • TCP SYN Flood Ping of Death Tribe Flood Network (TFN);
  • Tribe Flood Network 2000 (TFN2K);
  • Trinco;
  • Stacheldracht;
  • Trinity.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS).

1.4. Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

1.5. Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

1.6. Атаки на уровне приложений

1.7. Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

1.8. Злоупотребление доверием

Этот тип действий не является «атакой» или «штурмом». Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

1.9. Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.

1.10. Несанкционированный доступ

1.11. Вирусы и приложения типа «троянский конь»

Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.

2. Методы противодействия сетевым атакам

2.1. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

2.1.1. Аутентификация - Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP — One-Time Passwords). ОТР — это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Под «карточкой» (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей.

2.1.2. Коммутируемая инфраструктура - Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры, при этом хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.

2.1.3. Анти-снифферы - Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.

2.2. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

2.2.1. Контроль доступа - Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

2.2.2. Фильтрация RFC 2827 - пресечение попытки спуфинга чужих сетей пользователями корпоративной сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов Банка. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.

2.2.3. Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

2.3. Угроза атак типа DoS может снижаться следующими способами:

2.3.1. Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

2.3.2. Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции ограничивают число полуоткрытых каналов в любой момент времени.

2.3.3. Ограничение объема трафика (traffic rate limiting) – договор с провайдером (ISP) об ограничении объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D) DoS часто используют ICMP.

2.3.4. Блокирование IP адресов – после анализа DoS атаки и выявления диапазона IP адресов, с которых осуществляется атака, обратиться к провайдеру для их блокировки.

2.4. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.

2.6. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете все новые уязвимые места прикладных программ. Самое главное — хорошее системное администрирование.

Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

  • чтение и/или анализ лог-файлов операционных систем и сетевые лог-файлов с помощью специальных аналитических приложений;
  • своевременное обновление версий операционных систем и приложений и установка последних коррекционных модулей (патчей);
  • использование систем распознавания атак (IDS).

2.7. Полностью избавиться от сетевой разведки невозможно. Если отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.

2.8. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

2.9. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. п. 2.8). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).

2.10. Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

2.11. Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение.

3. Алгоритм действий при обнаружении сетевых атак

3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п.).

3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.

3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием» каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.

3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:

  • осуществляет ручное переключение маршрутизатора на резервный канал и обратно с целью выявления менее загруженного канала (канала с более широкой пропускной способностью);
  • выявляет диапазон IP – адресов, с которых осуществляется атака;
  • отправляет провайдеру заявку на блокировку IP адресов из указанного диапазона.

3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.

3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.

Читайте также:

      
  • С появлением компьютеров теоретическая информатика включила в свой состав
    •   
  • Как обойти блокировку провайдера на торрент андроид
    •   
  • 3d очки samsung ssg 5100gb как пользоваться на компьютере
    •   
  • Как заменить аккумулятор на планшете айпад 4
    •   
  • Как подключить маяк 233 к компьютеру
  • Контакты
  • Политика конфиденциальности