4.3. Системы обнаружения атак на уровне узла

Эти системы обнаружения атак выполняются на защищаемом узле и контро­лируют различные события безопасности. В качестве исходных данных указан­ные системы, в большинстве случаев, оперируют регистрационными журналами операционной системы (например, Intruder Alert), приложений (например RealSe­cure OS Sensor) или систем управления базами данных. Таким образом, эти системы зависят от содержимого регистрационных журналов и в случае их подмены" злоумышленником или неполноты собранных данных система "не сможет досто­верно определить нападение. Менее распространенные системы обнаружения атак используют модель обнаружения аномального поведения (например EME­RALD), которая статистически сравнивает текущий сеанс пользователя (выпол­няемые команды и другие параметры) с эталонным профилем нормального пове­дения. Сложные алгоритмы используются для определения отклонения нормаль­ного поведения пользователя от аномального. Однако существуют системы обнаружения, которые оперируют сетевым трафиком, получаемым и отправляе­мым с конкретного узла (например RealSecure Server Sensor).

Имеется несколько категорий систем обнаружения атак данного класса, фун­кционирующих на различных уровнях ИС.

На уровне операционной системы

Эти системы основаны на мониторинге регистрационных журналов операци­онной системы, заполняемых в процессе работы пользователя или другого субъ­екта на контролируемом узле (например RealSecure OS Sensor или swatch). В ка­честве критериев оценки несанкционированной деятельности используются:

• время работы пользователя;

• число, тип и название создаваемых файлов;

• число, тип и название файлов, к которым осуществляется доступ;

• регистрация в системе и выход из нее;

• запуск определенных приложений;

• изменение политики безопасности (создание нового пользователя или груп­пы, изменение пароля и т. п.) и т. д.

События, записываемые в журнал регистрации, сравниваются с базой данных сигнатур при помощи специальных алгоритмов, которые могут меняться в зависи­мости от реализации системы обнаружения атак. Подозрительные события клас­сифицируются, ранжируются и о них уведомляется администратор. Указанные системы обнаружения атак, как правило, запускаются на сервере, так как их за­пуск на рабочих станциях нецелесообразен из-за повышенных требований к сис­темным ресурсам.

Иногда системы обнаружения атак этого уровня анализируют деятельность пользователей в реальном режиме времени (например HostSentry компании Psio-nic), но этот механизм реализуется достаточно редко. Обычно эти системы анали­зируют только журналы регистрации ОС.

Некоторые ОС (например FreeBSD или Linux) поставляются в исходных тек­стах, и разработчики систем обнаружения атак могут модифицировать ядро ОС для реализации возможности обнаружения несанкционированных действий. При­мером таких систем можно назвать OpenWall или LIDS. Эти системы модифици­руют ядро ОС Linux, расширяя имеющиеся защитные механизмы. Например, LIDS может обнаруживать и блокировать факт установки анализатора протоко­лов или изменения правил встроенного межсетевого экрана.

На уровне приложений и СУБД

Системы данного класса могут быть реализованы двумя путями. В первом случае они анализируют записи журнала регистрации конкретного приложения или СУБД и в этом случае мало чем отличаются от систем обнаружения атак на уровне ОС. Достоинство такого пути — в простоте реализации и поддержке прак­тически любого прикладного ПО и СУБД, фиксирующего все события в журнале регистрации. Примером такой системы является RealSecure OS Sensor. Однако в этой простоте кроется и основной недостаток. Для эффективной работы такой си­стемы необходимо потратить немало времени на ее настройку под конкретное приложение, так как каждое из них имеет свой, зачастую уникальный, формат журнала регистрации. Второй путь реализации этих систем — интеграция их в конкретное прикладное приложение или СУБД. В этом случае они становятся ме­нее универсальными, но зато более функциональными, за счет очень тесной ин­теграции с контролируемым ПО. Примером такой системы является WebStalker Pro, разработанная в компании Trusted Information Systems (TIS) и 28 февраля 1998 года приобретенная компанией Network Associates. К сожалению, в настоя­щий момент данная система больше не выпускается, а некоторые ее элементы ин­тегрированы в систему CyberCop Monitor.

На уровне сети

Помимо анализа журналов регистрации или поведения субъектов контроли­руемого узла, системы обнаружения данного класса могут оперировать и сетевым трафиком. В этом случае система обнаружения анализируют не все сетевые паке­ты, а только те, которые направлены на контролируемый узел. По этой причине сетевые интерфейсы данных узлов могут функционировать не только в «смешан­ном», но и в нормальном режиме. Поскольку такие системы контролируют все входящие и исходящие сетевые соединения, то они также могут исполнять роль персональных межсетевых экранов. Примером таких систем можно назвать Real-Secure Server Sensor компании ISS или PortSentry компании Psionic.

Достоинства систем обнаружения атак на уровне узла

Подтверждение факта атаки

Так как системы обнаружения атак, анализирующие журналы регистрации, содержат данные о событиях, которые действительно имели место, то системы этого класса могут с высокой точностью определить — действительно ли атака имела место или нет. 1Гэтом отношении системы уровня узла идеально дополня­ют системы обнаружения атак сетевого уровня, которые будут описаны дальше. Такое объединение обеспечивает раннее предупреждение при помощи сетевого компонента и определение «успешности» атаки при помощи системного компо­нента.

Контроль деятельности конкретного узла

Эти системы контролируют деятельность пользователя, доступ к файлам, из­менения прав доступа к файлам, попытки установки новых программ и попытки получить доступ к привилегированным сервисам. Например, они могут контроли­ровать все системные входы и выхода пользователя. Для системы сетевого уровня очень трудно, а зачастую и невозможно, обеспечить такой уровень детализации событий. Средства обнаружения атак на системном уровне могут .также контро­лировать деятельность администратора, которая обычно никем не отслеживается. Операционные системы регистрируют любое событие, при котором добавляются, удаляются или изменяются учетные записи пользователей. Средства обнаруже­ния атак данного класса могут обнаруживать соответствующее изменение сразу, как только оно происходит.

Кроме того, системы обнаружения атак, функционирующие на уровне узла, могут контролировать изменения в ключевых системных или исполняемых фай­лах. Попытки перезаписать такие файлы или инсталлировать «троянских коней» могут быть своевременно обнаружены и пресечены. Системы сетевого уровня иногда упускают такой тип деятельности.

Обнаружение атак, не обнаруживаемых другими средствами

Системы данного класса могут обнаруживать атаки, которые не могут быть обнаружены средствами сетевого уровня. Например, атаки, осуществляемые с са­мого атакуемого сервера. Кроме того, некоторые системы (например RealSecure Server Sensor) могут обнаруживать сетевые атаки, направленные на контролируе­мый узел, но по каким-либо причинам пропущенные системой обнаружения атак на уровне сети.

Работа в коммутированных сетях и сетях с канальным шифрованием

Поскольку данные средства обнаружения атак устанавливаются на различ­ных узлах сети предприятия, они могут преодолеть некоторые из проблем, возникающие при эксплуатации систем сетевого уровня в коммутируемых сетях и се­тях с канальным шифрованием.

Коммутация позволяет управлять крупномасштабными сетями как несколь­кими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки системы, обнаруживающей атаки в сетевом тра­фике. Иногда могут помочь специальные порты (mirror ports, managed ports, span ports) на коммутаторах, но не всегда. Обнаружение атак на системном уровне обеспечивает более эффективную работу в коммутируемых сетях, так как позво­ляет разместить системы обнаружения только на тех узлах, на которых это необ­ходимо.

Канальное шифрование также может являться проблемой для систем обнару­жения атак сетевого уровня, так как они могут оставаться «слепыми» к опреде­ленным, зашифрованным, атакам. Системы, работающие на уровне узла, не име­ют этого ограничения, так как на уровень ОС поступает уже расшифрованный трафик.

Обнаружение и реагирование почти в реальном масштабе времени

Хотя обнаружение атак на системном уровне не обеспечивает реагирования в действительно реальном масштабе времени, оно, при правильной реализации, мо­жет быть осуществлено почти в реальном масштабе. В отличие от устаревших систем, которые проверяют статус и содержание журналов регистрации через заранее определенные интервалы, многие современные системы получают прерыва­ние от ОС, как только появляется новая запись в журнале регистрации. Эта новая запись может быть обработана сразу же, значительно уменьшая время между рас­познаванием атаки и реагированием на нее. Остается задержка между моментом записи операционной системой события в журнал регистрации и моментом распо­знавания ее системой обнаружения атак, но во многих случаях злоумышленник может быть обнаружен и остановлен прежде, чем он нанесет какой-либо ущерб.

-

Рис. 7.11. Компоненты системы обнаружения атак на уровне узла

Низкая цена

Несмотря на то, что системы обнаружения атак сетевого уровня обеспечива­ют анализ трафика всей сети, очень часто они являются достаточно дорогими. Стоимость одной системы обнаружения атак может превышать $10000. С другой стороны, системы обнаружения атак на уровне конкретного узла стоят сотни дол­ларов за один агент и могут приобретаться покупателем по мере наращивания сети.