Различия типов технологий IDS
Сигнатурные
Отслеживающие шаблоны, работающие подобно антивирусным программам Сигнатуры должны постоянно обновляться Не могут выявить новые атаки
Два типа:
-отслеживающие шаблоны – сравнивают пакеты с сигнатурами
-отслеживающие состояние – сравнивают действия с шаблонами
Основанные на аномалиях
Основанные на поведении системы, изучают ее «нормальную» деятельность Могут выявлять новые атаки Также называются поведенческими или эвристическими
Три типа:
-основанные на статистических аномалиях – создают профиль «нормальной» деятельности и сравнивают реальную деятельность с этим профилем
-основанные на аномалиях протоколов – выявляют факты необычного использования протоколов
-основанные на аномалиях трафика – выявляют необычное в сетевом трафике
Основанные на правилах
Используют ЕСЛИ/ТОГДА программирование, основанное на правилах, в рамках экспертных систем Используют экспертную систему, подобную искусственному интеллекту Более сложные правила
Не может выявлять новые атаки
Архитектура и технология IDS
Принцип работы IDS заключается в определении угроз на основании анализа трафика, но дальнейшие действия остаются за администратором. Системы IDS делят на типы по месту установки и принципу действия. Виды IDS по месту установки:
-сетевые системы обнаружения вторжения — NIDS (Network Intrusion Detection System);
-хостовая система обнаружения вторжений — HIDS (Host-based Intrusion Detection System).
Технология NIDS дает возможность установить систему в стратегически важных местах сети и анализировать входящий/исходящий трафик всех устройств сети. NIDS анализируют трафик на глубоком уровне, «заглядывая» в каждый пакет с канального уровня до уровня приложений.
NIDS отличается от межсетевого экрана, или файервола. Файервол фиксирует только атаки, поступающие снаружи сети, в то время как NIDS способна обнаружить и внутреннюю угрозу.
Сетевые системы обнаружения вторжений контролируют всю сеть, что позволяет не тратиться на дополнительные решения. Но есть недостаток: NIDS отслеживают весь сетевой трафик, потребляя большое количество ресурсов. Чем больше объем трафика, тем выше потребность в ресурсах CPU и RAM. Это приводит к заметным задержкам обмена данными и снижению скорости работы сети. Большой объем информации также может «ошеломить» NIDS, вынудив систему пропускать некоторые пакеты, что делает сеть уязвимой.
Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети и защищают только его. HIDS также анализируют все входящие и исходящие пакеты, но только для одного устройства. Система HIDS работает по принципу создания снапшотов файлов: делает снимок текущей версии и сравнивает его с предыдущей, тем самым выявляя возможные угрозы. HIDS лучше устанавливать на критически важные машины в сети, которые редко меняют конфигурацию.
Другие разновидности IDS по месту установки
Кроме NIDS и HIDS, доступны также Системы обнаружения вторжений по периметру — PIDS (Perimeter Intrusion Detection Systems), которые охраняют не всю сеть, а только границы и сигнализируют об их нарушении. Как забор с сигнализацией или «стена Трампа».
Еще одна разновидность — Системы обнаружения вторжений на основе виртуальных машин — VMIDS (Virtual Machine-based Intrusion Detection Systems). Это разновидность систем обнаружения угрозы на основе технологий виртуализации. Такая IDS позволяет обойтись без развертывания системы обнаружения на отдельном устройстве. Достаточно развернуть защиту на виртуальной машине, которая будет отслеживать любую подозрительную активность.
Системы IPS
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Система предотвращения вторжений (IPS) является технологией предотвращения сетевых угроз. Система исследует сетевой трафик, потоки для обнаружения и предотвращения эксплойтов. То есть злонамеренные входные данные для целевого приложения или службы, которые злоумышленники используют для прерывания и получения контроля над приложением или машиной. После успешного эксплойта злоумышленник может отключить целевое приложение (что приведет к состоянию отказа в обслуживании) или получить доступ ко всем правам и разрешениям, доступным для скомпрометированного приложения.
Система IPS — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Целью IPS систем является не только выявление несанкционированной деятельности, но и предотвращение доступа злоумышленника к цели. Таким образом, IPS является превентивной и проактивной технологией, сосредоточенной в первую очередь на предотвращении атак, в отличие от IDS, являющейся детективной технологией, применяемой к уже свершившимся фактам. Основной идеей является комбинирование средств IDS и IPS в одном продукте – межсетевом экране, который проводит глубокий анализ сетевых пакетов, выявляет атаки и останавливает их. Как и в мире IDS, существуют средства IPS уровня хоста (HIPS) и уровня сети (NIPS). Большинство сетевых IPS являются линейными (inline) устройствами, включаемыми «в разрыв» сети и пропускающими через себя и контролирующими весь трафик. Однако это может привести к появлению «узкого места» (бутылочного горлышка), снизить производительность сети и стать единой точкой отказа. Производители упорно работают над технологиями, позволяющими решить все эти проблемы.
Большинство NIPS имеют два сетевых интерфейса – внешний и внутренний. Трафик приходит на внешний интерфейс, анализируются и, в случае признания пакетов безопасными, они направляются на внутренний интерфейс. Если пакеты признаются вредоносными, они отбраковываются.
Время покажет, смогут ли продукты IPS полностью заменить продукты IDS. Некоторым кажется, что это просто новый маркетинговый термин, тогда как другие считают IPS новым шагом в эволюции технологий информационной безопасности.
Создание ГосСОПКА
К моменту, когда задача противодействия компьютерным атакам стала актуальной для РФ, стала очевидной неэффективность вышеописанных решений. Рост протестных движений по всему миру привел к резкому всплеску политически мотивированных атак на органы государственной власти, в том числе — на информационные ресурсы правительства. Результаты этих атак показали, что возможности хакеров и последствия этих атак сильно недооцениваются, а методы противодействия им сильно переоценены. И действительно, аудит системы EINSTEIN, который провел в 2015 году, выявил в ней целый ряд проблем: система неспособна выявлять атаки на веб- приложения из-за того, что в них не применяются известные эксплойты, а также из-за шифрования трафика она неспособна обнаруживать передачу вредоносных файлов в протоколах HTTPS и SMTPS. Таким образом, система практически непригодна для обнаружения самых распространенных и эффективных способов проведения атак: атак на интернет-порталы и атак на сотрудников организаций с применением методов социальной инженерии. В результате создание ведомственных СОПКА было признано недостаточным для решения задачи, и при разработке концепции ГосСОПКА был принят принципиально иной подход.
Концепция ГосСОПКА
При разработке концепции ГосСОПКА был принят следующий подход. Государство не берет на себя обязанность защитить кого-либо от атак, такая защита по-прежнему остается проблемой владельца защищаемой системы. Вместо этого создается система центров компетенции, которые обслуживают субъектов КИИ. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов КИИ. Как правило, к таким функциям относится:
-выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей;
-анализ событий, регистрируемых компонентами информационных систем, для поиска признаков атак, направленных на эти системы;
-координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту — по ликвидации последствий такого инцидента;
-расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
-информирование персонала обслуживаемых информационных систем,
проведение киберучений.
Чтобы уметь выполнять такую работу, подобные центры тесно интегрируются с защищаемыми информационными системами. При этом они не заменяют собой собственные системы защиты информационных систем: в нормальных условиях все то же самое владельцы объектов КИИ должны делать самостоятельно, а центр ГосСОПКА своей деятельностью лишь компенсирует возможные ошибки.
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации.
Она представляет собой иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им.
Концепция ГосСОПКА появилась с целью защиты критической информационной инфраструктуры Российской Федерации.
К субъектам КИИ относят организации:
-здравоохранения;
-науки;
-транспорта;
-связи;
-энергетики;
-банковской сферы;
-горнодобывающей, металлургической и химической промышленности. Состав участников ГосСОПКА неограничен. ГосСОПКА предназначена
для всех информационных ресурсов Российской Федерации, вне зависимости от объемов ресурсов, принадлежности к классам и категориям.
Структура системы ГосСОПКА
Главный центр ГосСОПКА (НКЦКИ) является наивысшим органом в иерархической структуре. Создан ФСБ России.
Ведомственные центры ГосСОПКА – органы государственной власти Российской Федерации, которые регулируют работу Корпоративных центров.
Корпоративный центр ГосСОПКА – организации, имеющие лицензии на предоставление услуг в области информационной безопасности.
Средства ГосСОПКА
Центры ГосСОПКА обязаны предоставлять следующие средства:
-средства обнаружения;
-средства предупреждения;
-средства ликвидации последствий;
-средства расшифровки;
-средства обмена информацией и сертифицированные средства криптографической защиты информации.
