47289 (588477), страница 6

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Итак, важными признаками качественной системы выявления атак является не только и не столько то, какой объем трафика она способна контролировать и анализировать, а, прежде всего, точность обнаружения и имеющиеся инструменты у администратора для дополнительного слежения и анализа вручную. В этом случае простое и быстрое получение информации о другой протоколируемой деятельности по тому же самому исходному или конечному адресу — только начало работы.

Самая лучшая скорость распознавания ничего не даст, если человек не справляется с потоком информации, который такая система выдает. Занять за короткий промежуток времени всю имеющуюся память сигналами тревоги об атаках для системы IDS — не проблема. И все же этот аспект часто не принимается во внимание при выборе решения. Позже в процессе внедрения компании вынуждены управлять данными о событиях размером более 1 Гбайт, так как, вопреки обещаниям производителей, многие случаи классифицируются как вторжение далеко не сразу. Но если позже возникает необходимость повторно отследить инцидент, произошедший месяца три назад, в распоряжении администратора должны быть необходимые данные на тот момент времени.

При проектировании СЗИ с применением IDS, должны учитываться ограничения имеющихся систем. Чаще всего производители указывают предельные значения: число известных шаблонов или максимально анализируемую пропускную способность. Однако обычно они не указывают, как много или какие именно вторжения система IDS не может обнаружить. Проблема снова заключается в технологии выявления, поскольку и при анализе протоколов она частично базируется на шаблонах. Когда в потоке данных присутствует определенный шаблон, атака распознается. Но если атака происходит, а шаблон при этом не появляется, то система ее не обнаруживает. Часто системы выявляют вторжение по характерной последовательности байт при атаке посредством известного автоматизированного инструмента вторжения, так называемого эксплоита. Если злоумышленник обладает достаточным опытом, у него есть хороший шанс создать такой инструмент самому и провести атаку так, чтобы она осталась незамеченной со стороны системы IDS на базе шаблонов.

Многие вторжения происходят на уровне приложения и, хотя они используют общий основной принцип, являются еще и очень индивидуальными. Нет никаких шаблонов, которые можно было бы распознать на сетевом уровне. Способная выявить такие атаки система IDS должна была бы, вместо поиска шаблонов, знать логику индивидуальных приложений и отслеживать их текущий статус. Ввод десятизначного числа может быть разрешен в одном поле формы Web, а в другом поле или по другому URL он может привести к несанкционированному выполнению команд. Многие современные системы выявления атак не предлагают такую функциональность.

Соответственно нужно с осторожностью пользоваться статистическими данными и исследованиями, где дается оценка системы IDS на базе глобально распределенных сенсоров. Высказывания об атаках преимущественно через порт 80 действительны только в отношении некоторых из них — на базе готовых эксплоитов, но не касаются все чаще встречающихся индивидуальных атак, специфичных для приложений. Такие атаки сенсоры системы IDS обнаруживают лишь в исключительных случаях.

Концептуально сигнатура сетевой атаки практически не отличается от сигнатуры вируса. Она представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Так, перечисленные ниже признаки могут рассматриваться в качестве сигнатур атак [5]:

• примеры сигнатур атак, используемых при анализе трафика (заголовков сетевых пакетов):

• в заголовке TCP-пакета установлен порт назначения 139 и флаг ООВ (Out of Band), что является признаком атаки аля WinNuke;

• установлены одновременно противоречащие друг другу флаги ТСР-пакета: SYN и FIN. Посредством данной комбинации флагов во многих атакующих программах удается обходить фильтры и мониторы, проверяющие только установку одиночного SYN-флага;

• пример сигнатуры атаки, применяемой при анализе контента:

• "GET. cgi-bin/etc/passwd". Появление такой строки в области данных HTTP-пакета свидетельствует о наличии эксплойтов типа phf, php или aglimpse.

Методы анализа контента имеют еще один существенный недостаток. Они не работают, когда атакующие программы (DDoS, trojans) обращаются к шифрованию трафика. Например, в Back Orifice trojan или Barbwire DDoS-команды, передаваемые между клиентом и сервером (менеджером и агентом), шифруются посредством алгоритма blowfish. Методы обнаружения такого рода атак ограничиваются анализом заголовков сетевых пакетов.

В настоящее время IDS начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако имеется ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Приведем некоторые из них:

• большая стоимость коммерческих IDS;

• малая эффективность современных IDS, характеризующихся большим числом ложных срабатываний и несрабатываний (false positives and false negatives);

• требовательность к ресурсам и порой неудовлетворительная производительность IDS уже на скорости 100 Мбит/с в сетях;

• недооценка рисков, связанных с сетевыми атаками;

• отсутствие в организации методики анализа рисков и управления ими, позволяющей руководству адекватно оценивать величину риска и обосновывать стоимость реализации контрмер;

• необходимость в высокой квалификации экспертов по выявлению атак, без которой невозможно внедрение и развертывание IDS.

Стоимость современных IDS в аппаратном исполнении колеблется от 5000 USD до 50000 и даже выше [18]. Здесь стоимость определяет в первую очередь масштаб предприятия требования к пропускной способности и набор сигнатур атак. В то же время на рынке существуют продукты программного исполнения которые значительно дешевле и более доступны. Как и в случае с МЭ, а в отношении IDS еще существенней, уровень защищенности обеспечиваемый данным средством на 80 процентов зависит от компетентности администраторов и выхода обновлений сигнатур. В прессе существует множество примеров когда системы IDS бездействовали из-за отсутствия тонкой настройки под конкретную систему, снижая тем самым целесообразность своего применения фактически к нулю.

2.3 Антивирусная защита

2.3.1 Актуальность проблемы вирусной защиты

В настоящее никто не станет отрицать важность системы антивирусной безопасности на предприятии – это в большинстве случаев наиболее актуальная система, из всего ряда развернутых систем обеспечения информационной безопасности. Конечно подобная ситуация возникла не сама по себе, а обусловлена в первую очередь лавинообразным ростом числа новых компьютерных вирусов.

Данное положение вещей подтверждается неоднократными исследованиями различных авторитетных компаний. Так, например, из отчета по итогам 2004 года, приведенного на рисунке 2.2 – исследование (опрос) компании Ernst & Young, явно видно, что большинство опрошенных специалистов, проблему вирусной опасности поставили именно на первое место [19].

Рисунок 2.2. Наибольшие угрозы для бизнеса (исследование компании Ernst & Young).

Помимо этого, сети компаний находятся в постоянном развитии, соответственно растет и число точек проникновения вирусов в корпоративные сети. Когда-то вредоносный код попадал на компьютер к пользователю только посредством переносных носителей информации. В настоящее время, как правило, основными точками проникновения являются, в первую очередь – электронная почта, шлюзы (центральная точка входа в корпоративную сеть) и серверы Интернет (Web browsing – различные CGI скрипты и прочий вредоносный код скачиваемый пользователем).

Одновременно с развитием корпоративной сети, необходимо, что бы система антивирусной защиты, в лучшем случае опережала ее развитие на шаг или же изменялась одновременно и в соответствии с расширением количества или качества сервисов, предоставляемых пользователям данной сети [20]. Чтобы подчеркнуть данное высказывание приведем небольшую классификацию вирусов, и опишем угрозы которые они несут для КИС.

2.3.2 Виды вирусных угроз

Троянские кони.

"Троянский конь" представляет собой полезную или кажущуюся полезной программу или командную процедуру, содержащую скрытый код, который после запуска программы-носителя выполняет нежелательные или разрушительные функции.

Программа этого типа может служить для опосредованного выполнения операций, которые несанкционированный пользователь не может выполнить непосредственно. Например, для получения доступа к файлам другого пользователя на компьютере, находящемся в совместном пользовании нескольких человек, злоумышленник может создать программу "троянского коня", которая в ходе выполнении изменит параметры контроля доступа к файлам соответствующего пользователя, сделав эти файлы открытыми для всех. Создав такую программу, автор может спровоцировать других пользователей запустить ее, поместив эту программу в общедоступный каталог и присвоив ей имя, которое большинству пользователей покажется именем полезной программы или утилиты. Примером может служить программа, якобы создающая список файлов пользователя в нужном формате. После того как какой-нибудь пользователь запустит такую программу, автор программы может получить доступ к информации, содержащейся в файлах этого пользователя. Примером "троянского коня", который очень трудно выявить, является компилятор, модифицированный с целью внедрения дополнительного кода в компилируемые программы определенного вида, например в программы входа в систему [21]. Этот код представляет собой лазейку в модуле регистрации, который позволяет автору программы войти в систему с помощью специального пароля. Обнаружить такого "троянского коня" по исходному коду программы входа в систему невозможно.

Вторым источником мотивации для написания "троянского коня" является разрушение данных. В этом случае программа, которая выполняет какие-то полезные функции (например, программа-калькулятор), может без каких бы то ни было внешних проявлений удалить файлы пользователя.

Вирусы.

Вирус представляет собой программу, которая может "заражать" другие программы путем их модификации. В модифицированный код включается код вируса, в результате чего код вируса может продолжать заражать другие программы.

Внесенный в компьютерную систему, типичный вирус временно захватывает управление дисковой операционной системой компьютера. Затем, при каждом контакте зараженного компьютера с незараженным программным обеспечением очередная копия вируса помещается в новую программу. Таким образом инфекция может передаваться от компьютера к компьютеру ничего не подозревающими пользователями, обменивающимися содержимым магнитных дисков или пересылающими программы по сети. Сеть, с ее возможностями доступа к приложениям и системным службам других компьютеров, является прекрасной средой для распространения вируса.

«Черви»

Сетевые программы-"черви" используют сетевые соединения для распространения от одной системы к другой. Во время работы на отдельном компьютере сетевой "червь" может вести себя как компьютерный вирус или внедрять "троянских коней", либо выполнять какие-то другие разрушительные или подрывные операции. Для размножения сетевой "червь" использует какое-нибудь из сетевых средств доставки информации. Примерами таких средств могут быть следующие службы.

• Электронная почта. "Червь" отправляет свою копию по почте в другую систему.

• Удаленный вызов программ. "Червь" запускает свою копию на выполнение в другой системе.

• Доступ к удаленной системе. "Червь" входит в удаленную систему как пользователь, а затем использует команду копирования себя из одной системы в другую.

Новая копия программы-"червя" в результате оказывается запущенной в удаленной системе, где в дополнение ко всем другим предусмотренным операциям "червь" продолжает размножаться указанным выше способом.

Сетевой "червь" во многом подобен компьютерному вирусу: у него тоже есть инкубационный период, фаза распространения, фаза активизации и фаза выполнения. В фазе распространения обычно выполняются следующие функции.

• Поиск других систем, которые можно заразить, путем проверки списков известных данному компьютеру узлов или других подобных объектов, хранящих информацию об адресах удаленных систем.

• Установление соединения с удаленной системой.

• Копирование своего кода в удаленную систему и инициирование ее запуска там.

Перед тем как копировать себя в другую систему, сетевой "червь" может также пытаться проверить, не была ли система уже инфицирована ранее. В многозадачной среде он может также скрывать свое присутствие с помощью назначения себе названия, соответствующего системному процессу, или с помощью использования какого-либо другого имени, не вызывающего подозрения у системного оператора.

Так же как и вирусам, сетевым "червям" трудно противостоять. Однако меры сетевой защиты в совокупности с мерами по защите отдельных компьютерных систем при условии их правильной разработки и применения значительно уменьшают опасность, которую представляют собой "черви".

Природа вирусов.

Характеристики

Список файлов ВКР