к

^ акое отношение имеет управление рисками к обнаружению взлома? В каждой организации так или иначе принимается решение относительно допустимых рисков. Распределенные атаки отказа в обслуживании, которые стали широко известны в феврале 2000 года, и,атаки Code Red в 2001 году продемонстрировали, что нужно учитывать и то, какой риск позволяют себе другие пользовали. Безопасность моей сети частично зависит от безопасности вашей. В этой главе рассказывается, как доказать своем)' начальству, что обнаружение взломов является частью общей системы безопасности. Главная цель сетевых систем обнаружения вторжений - выявление атак, направленных против систем защиты на периметре локальной сети таким образом, чтобы пользователи могли быть уверены в успешном отражении этих атак. Другими словами, обнаружение взлома может служить средством для определения показателей, необходимых для грамотного управления степенью риска. В этой главе раскрывается связь между методами управления рисками и концепциями обнаружения вторжений.

Модель безопасности организации

Для управления риском нужна какая-то модель - способ описать проблему и действия, которые позволяют ее решить. Простым примером является модель списка Top Twenty (www.sans.org/top2 0.htm). В этом списке перечислены двадцать основных уязвимых мест, используемых хакерами, а также средства для их поиска и методы устранения. Если многие люди воспользуются этой информацией и защитят свои системы, то хакерам потребуется гораздо больше времени на компрометацию какого-то компьютера, и общий риск снизится. Эту модель построил мой хороший друг Алан Пэллер (Alan Palier), работающий начальником отдела исследований института SANS. За время нескольких долгих перелетов, консультируясь с лучшими специалистами в области компьютерной безопасности, Алан создал еще одну более сложную модель.

Используя эту модель, я был поражен результатами. Она мне очень помогла при написании программ курса для получения сертификата GIAC и курса повышения квалификации в институте SANS. После двадцати лет напряженной работы на правительство уже трудно вспомнить, с чего все начиналось.

Работая в войсках противоракетной обороны (Ballistic Missile Defense Organization), я использовал модель безопасности для определения основных приоритетов из набора часто несовместимых требований. В правительственных организациях настолько много работы, что нужно записывать все, что ты делаешь. В организациях SANS и GIAC слово не расходится с делом. Если мы чему-то учим, то мы это и используем. Поэтому я стремился применять одну и ту же модель безопасности в различных организациях нашего постоянно меняющегося мира. Я не разрабатывал эту модель. Это сделали Алан Пэллер, Джин Шульц (Gene Schultz), Мэт Бишоп (Matt Bishop) и Хэл Померанц (Hal Pomeranz). Но я успешно использовал ее в прошлом, и, надеюсь, что она поможет нашим читателям в будущем. Здесь она описана с точки зрения обнаружения взлома, но, конечно, ее можно применять и для решения более глобальных проблем. Результаты работы моих коллег представлены ниже. Вместо трех компонентов самой простой модели безопасности (определение двадцати наиболее уязвимых мест, сканирование системы и устранение обнаруженных уязвимых мест) в этой модели заданы семь основных принципов обеспечения безопасности.

1. Установить политику безопасности.

2. Проанализировать возможные риски; исследовать уязвимые места.

3. Организовать инфраструктуру безопасности.

4. Разработать методы контроля и установить стандарты для каждой технологии.

5. Определить, какие ресурсы будут доступны пользователям, задать приоритеты для мер противодействия незаконным операциям и реализовать наиболее строгие меры противодействия, какие только можно себе позволить.

6. Выполнять периодические проверки и (по возможности) тестирование безопасности системы.

7. Установить систему обнаружения вторжений и определить порядок ответных действий в случае атаки.

Политика безопасности

Остановитесь! Не закрывайте книгу только из-за словосочетания политика безопасности. По своему опыту обучения аналитиков сетевого трафика и специалистов по обнаружению взлома я знаю, что, как только речь заходит о составлении правил политики безопасности в организации, мои студенты сразу теряют интерес к лекции. Но ведь установка фильтров для выявления взлома - это только одна из мер обеспечения защиты, не так ли?

Вспомните, что набор правил для фильтров системы обнаружения взлома называется политикой. Это название используется в большинстве коммерческих систем, и оно абсолютно справедливо, так как именно фильтры определяют политику безопасности. Брандмауэр - это только механизм, который реализует заданную политику работы в сети. Поэтому давайте не будем думать о политике безопасности как о куче ненужных бумаг, на написание которых требуется несколько недель, и которые затем просто покрываются пылью. Политика безопасности является пропуском, набором полномочий, предоставленных аналитику сетевого трафика с целью создания активной системы защиты с использованием, например, брандмауэров и систем обнаружения взлома. Все верно, политика предоставляет полномочия для тех или иных действий! Ее стержнем является система обнаружения вторжений, которая служит как средство контроля. Но никогда не следует контролировать действия пользователей, не получив на это необходимых полномочий.

Должное отношение к организации работы

И риски, и уязвимые места будут рассмотрены далее, но важное место занимает и правильный метод организации работы. Хотя в каждой организации есть свой опыт организации труда, ответа на все вопросы нет ни у кого. Технологии изменяются так быстро, что аналитик не может обладать знаниями во всех областях. Лучшим решением проблемы является обмен опытом. Одни из лучших моих воспоминаний связаны с участием в совместных проектах института SANS. Многие из них назывались “Step by Step” (“Шаг за шагом”), например “Обеспечение безопасности Windows NT. Шаг за шагом”. Это была работа многих профессионалов, которые объединились в работе над проектом, чтобы поделиться своими знаниями.

Инфраструктура безопасности

Роберт Пиви (Robert Peavy), начальник отдела безопасности и контрразведки в BDMO, выступил с докладом на Федеральной конференции по компьютерной безопасности, который назывался “Безопасность как источник дохода. Как продать средства защиты своему руководству”.

Как и многие из тех, с кем я был знаком, Роберт Пиви понял, что для обеспечения защиты, особенно надежной защиты, нужны люди. Это так же справедливо для обнаружения взломов, как и в других областях безопасности. Специалисты по обнаружению взломов постоянно находятся на передовой. Они часто несут персональную ответственность за успешные атаки и компрометацию систем. Они работают на износ и часто сталкиваются с различными проблемами, особенно если они должны организовать ответные действия на выявленную атаку. Им необходимо постоянно обновлять свои знания, но мест повышения квалификации не так уж много. Какой из этого вывод? Вывод такой, что мудрые руководители организаций оказывают особое внимание специалистам в области компьютерной безопасности и совершенствуют необходимую инфраструктуру.

Основные меры противодействия

Прошлой ночью я очень испугался. Я запустил программы сканирования уязвимых мест для проверки сетей нескольких организаций. Компьютеры этих сетей работали под управлением UNIX и Windows 2000/ХР. Я был поражен количеством систем, программное обеспечение которых имело хорошо известные уязвимые места, а также количеством компьютеров, по-прежнему использующих протокол SNMP. На тот момент прошло две недели со времени появления набора тестов CERT для проверки SNMP и PROTOS. Этот набор тестов выявил тысячи проблем. Неужели повторится ситуация с демоном rstatd?

Начиная с 1997 года продолжает увеличиваться число систем UNIX на платформе Sun Solaris, скомпрометированных с помощью программы атаки на переполнение буфера посредством использования демона rstatd. Существует несколько программ атаки на переполнение буфера для взлома DNS-серверов, так что такой взлом вполне возможен. Я выполнил сканирование UNIX-системы, не защищенной брандмауэром, и обнаружил открытые порты для служб echo, Chargen, portmapper и еще нескольких RPC-служб. Это напоминает мне младшие классы в школе, когда мы вешали на спины своих товарищей наклейки с надписью “Ударь меня”.

Как определить основные приоритеты мер противодействия, когда все кажется одинаково важным? Если злоумышленник может по Internet легко провести атаку на уязвимое место, то нужно решать, когда придется устранять проблемы: до компрометации хоста или после? Я не устаю удивляться количеству организаций, которые не находят времени на установку нормальной защиты, но находят время на устранение последствий взлома.

Периодические проверки

Проснитесь! Специалист по обнаружению взлома обязан знать это! Время от времени нужно проверять набор фильтров системы обнаружения вторжения. Работая над проектом системы Shadow, я заставлял себя каждые несколько месяцев запускать дополнение к нашему набору фильтров и искать в накопившихся отчетах необычные события. Необходимо постоянно обновлять набор фильтров для снижения количества невыявленных атак. Если в месячном отчете о выявленных атаках перечислены те же атаки, что и три месяца назад, то это плохой знак.

Как еще улучшить фильтры, кроме их обновления при выявлении обычно игнорируемых событий? Отличным источником информации о новых атаках, для каждой из которых может потребоваться отдельный фильтр, является список рассылки bugtraq. Еще один прекрасный способ быть постоянно в курсе всех последних событий заключается во взаимодействии с другими специалистами по борьбе со взломом компьютеров.

Выполнение периодических проверок - более общий принцип безопасности, чем просто контроль текущего набора фильтров. Аналитик сетевого трафика должен регулярно проверять набор фильтров брандмауэра. Можно найти какие-то ошибки. При установке брандмауэра используется четкий и весьма жесткий набор ограничивающих правил. Однако со временем в коммерческих интересах и для поддержки новых служб могут быть сделаны какие-то исключения из этого набора правил. Кроме того, от случая к случаю администратор брандмауэра может добавлять специальные правила “только для тестирования”, а потом забывать о их существовании. Аналитик может считать UDP-порты полностью заблокированными, а на самом деле это не будет соответствовать действительности. Проконтролировать эти изменения очень сложно, они происходят неожиданно в течение длительного периода нормальной работы и чем-то напоминают крайне медленное сканирование. Я даже думаю, что существуют специальные сканирующие службы, которые отслеживают подобные изменения и сохраняют информацию в базах данных. Подтверждение этому можно найти на сайте www. qualys . com.

Ответные действия

Подробное обсуждение последовательности ответных действий при обнаружении взлома выходит за рамки этой книги, но я хочу остановиться на вопросах, которые касаются модели безопасности. Вы пытались получить сертификат администратора CPR? Как бы вы себя чувствовали, если бы пришлось заняться администрированием через 3, 6 или 12 месяцев по окончанию обучения? Я думаю, что меня можно назвать более-менее опытным специалистом по обнаружению вторжений, но если бы я не выявлял атак на протяжении нескольких месяцев, то и мне пришлось бы нелегко.

Какое отношение имеет реакция на компрометацию к обнаружению вторжения? Прямое! Аналитик, скорее всего, сам поднимет тревогу. В организации с многоуровневой системой обработки событий аналитик может предоставлять свою информацию другим специалистам более высокого ранга. В других организациях обработку событий выполняют специалист по взлому и один или два системных администратора. Прочтите внимательно в главе 18, “Ответные действия”, раздел “Атака: ответные действия аналитика” и обратите внимание на действия, которые необходимо выполнить перед ответом на серьезный взлом. Эта информация наверняка поможет в сложный момент.

Определение риска

Невозможно эффективно управлять риском, если не знать, в чем он заключается. Риск лежит в области неопределенного. Если все ясно, неопределенности нет, то нет и риска. Прыжок без парашюта с высоты двух километров не является рискованным. Это просто самоубийство. Вероятность смерти крайне близка к 100%, а выживания- практически равна 0. Однако все равно есть риск при прыжке с самолета даже с самым лучшим парашютом.

Давайте применим эту концепцию к фильтрам маршрутизатора. Во многих случаях эти фильтры работают при “попытке соединения”, т.е. проверяются номера портов устанавливаемого соединения. Попытка установить соединение с ТСР-портом 25 расценивается как попытка доступа к службе sendmail, и выполняется предопределенное действие. Однако любая служба может работать через любой порт. Здесь есть неопределенность, а значит, и риск принять неверное решение. Особенно часто происходят ошибки при назначении предопределенных действий в ответ на попытки доступа ко временным портам (номера больше 1024).

Аналитик сетевого трафика должен знать степень неопределенности для конкретного фильтра. Например, фильтры для выявления SYN-наводнений обладают высокой степенью неопределенности. Если аналитик будет уведомлять о каждой ложной тревоге, то CIRT будет пренебрегать его сообщениями. Таким образом, вероятность ошибочного действия при использовании фильтра повышает риск для организации аналитика, особенно в сложных ситуациях. И, наоборот, опытный аналитик знает об условиях, при которых фильтр работает правильно, и условиях, которые приводят к ошибке. Такие аналитики способны “читать между строк”.

Возможно, вас не впечатляет простая проблема потери репутации. Та же проблема неопределенности фильтров становится намного интереснее, если на узле применяются автоматические ответные действия.

Необходимо вкратце упомянуть еще один потенциально опасный результат неопределенности применения фильтров для обнаружения атак. Некоторые поставщики коммерческих систем обнаружения вторжений предоставляют перечень используемых фильтров. Иногда эти фильтры перечисляются в порядке вероятности появления ложных тревог, а иногда указываются и причины, по которым это может происходить. Это очень полезно для аналитика. Но что если компания заявляет: ложные тревоги для этого фильтра невозможны? Значит, нет неопределенности и нет никакого риска. После небольшого исследования оказывается, что ложные тревоги все таки случаются. Это может подорвать всякое доверие к компании-производителю. Так было и у меня. Я решил протестировать несколько фильтров, которые в соответствии с документацией не генерировали ложных тревог, и обнаружил, что дела обстоят не совсем так. Это меня разозлило. Почему они сказали, что нет никаких ошибок, если они есть? Но потом я успокоился и подумал: зачем ругать компанию, которая предоставила наиболее полную документацию по фильтрам по сравнению с другими коммерческими системами обнаружения вторжений? Поэтому я просто обновил свою копию документации и отправил трассировки моих тестов компании-производителю. Зачем мне все это было нужно? Я узнал о том, какие фильтры не работают со стопроцентной гарантией, и об условиях, в которых может появиться ошибка, и фильтр сгенерирует ложное предупреждение.

А что можно сказать насчет набора правил Snort? Они открыты для всех желающих и их можно проверить - есть ли какая-то неопределенность? Открытый доступ дает огромные преимущества и уверенность (не сомневайтесь, такие фильтры найдут применение в других системах обнаружения вторжений), но в то же время хакер будет знать об опасности и постарается изменить атаку, чтобы не быть обнаруженным.

Три самых неприятных слова для аналитика сетевого трафика произносит сердитый пожилой начальник, который должен принять важное решение. Он пристально смотрит в глаза и спрашивает: “А вы уверены?”.

Риск

Риск есть всегда. Смешно говорить, что я не хочу никакого риска. Правильней будет управлять степенью риска. По телевизору я слышал, что для резервных систем космического челнока существуют свои резервные системы. При полете в космос есть множество опасностей: радиация, жара, холод, вакуум и, наконец, возвращение на землю. Если войти в атмосферу под слишком большим углом, то произойдет взрыв, если же угол будет недостаточным, то челнок отбросит обратно в космос. Риск очень велик, и космонавты недаром пользуются такими привилегиями.

Если внимательно рассмотреть ситуацию, весь процесс космического полета очень опасен, и ни один здравомыслящий человек на это не пойдет. НАСА применяет критерии делать-не делать. Например, если что-то не так, запуск откладывается, даже несмотря на то, что есть резервные системы. Это называется недопустимым риском. Другие риски считаются допустимыми, например, посадка в космический корабль. Для любого риска нужно принять решение, как с ним поступить. Есть три варианта:

■ принять риск таким, какой он есть;

■ снизить риск;

■ переложить риск на кого-то другого (модель страхования).

Допустимый риск

Подключение к Internet без установленного брандмауэра подобно посадке в космический корабль без всякой тренировки и знаний. Это весьма рискованно, и мы допускаем этот риск. Если на хостах хранится важная информация, и при этом хосты никак не контролируются, а также нет системы обнаружения вторжений, значит, мы рискуем еще больше.

Концепция допустимости риска довольно проста, но есть один важный аспект. Водитель школьного автобуса, который пьет пиво перед поездкой с детьми, конечно, тоже рискует, но такой риск недопустим. Администратор брандмауэра, который проверял работу службы и по ошибке оставил ее запущенной, также заставляет рисковать всю организацию, что никак не планировалось. В конце концов зачем тогда было вообще покупать и устанавливать брандмауэр? Одна из важных проблем информационной безопасности заключается в том, что один человек может допустить риск, не имея на это никаких прав. Проиллюстрируем такую ситуацию на примере из области обнаружения взлома.

На прошлой неделе мы обнаружили системы, которые инициировали передачу файлов из контролируемой нами сети. Это было достаточно необычно, и мы решили разобраться, в чем тут дело. После анализа полезной нагрузки FTP-пакетов стало очевидно, что каждый из компьютеров отправлял информацию о своей системе. Мы не были в этом уверены, пока не нашли строку “Preferred Customer”, которая обычно используется для поля регистрации в продуктах Microsoft Office. Наши подозрения быстро подтвердились. Когда-то сотрудник отдела кадров этой организации отправил всем служащим высшего ранга уведомление в качестве приложения к сообщению электронной почты. Интересно, что эти руководители говорили мне о необходимости проверки FTP-сеансов, а сами даже не читали своей электронной почты. Их секретари просматривали почту, распечатывали ее и заносили в папку входящих сообщений только самые важные. Отправленное из отдела кадров сообщение было инфицировано вирусом, который отправлял в Internet информацию о локальных хостах. В данном случае никакого серьезного ущерба не было нанесено. Но такая ситуация меня обеспокоила. Сотрудник, который не использовал современные антивирусные программы, подверг высокому риску всю организацию. Как насчет еще одного примера?

На той же неделе в той же сети мы обнаружили намного больше систем, которые получали файлы, чем обычно. За один день мы выявили пять таких систем. Когда мы исследовали содержимое пакетов, то оказалось, что все они имеют одинаковый IP-адрес получателя, и получение файлов инициировано от имени одного и того же пользователя с неизменным паролем. Файлы загружались на настольные компьютеры. В данном случае причиной тревоги стала условно бесплатная программа PKZip. Нет, это не троянская версия и не атака. На Web-сайте этой программы было сказано, что при установке PKZip также устанавливается и дополнительный компонент, который при подключении к Internet загружает с сайта рек ламные объявления. Ни один из пяти пользователей не задумался над тем, что он делает. Все они просто хотели использовать новую программу. Так в чем же проблема? Все в порядке, если программа действительно загружает только рекламу. Однако не следует забывать, что многие брандмауэры бесконтрольно пропускают все пакеты для исходящих соединений, установленных из локальной сети. Это означает, что вместе с рекламой может быть организована успешная атака.

Троянская версия

Мне попадалось несколько троянских версий популярных программ, например ICQ или IRC (Internet Relay Chat). Пользователь не знает о том, что троянская программа передает важные сведения о его системе или загружает из Internet средства, позволяющие атаковать другие хосты его локальной сети.

А что если компания, занимающаяся рекламой, взяла на работу хакера или эксперта в промышленном шпионаже? Представьте себе, что он может сделать с программным кодом дополнения, которое предназначено для загрузки случайных файлов из Internet при каждом включении системы! Если кому-то это кажется фантастикой, подумайте об использовании жучков в сетях (www.bugnosis . org) и других шпионских штучках.

Вредоносные соединения

Создано огромное количество атак на службу DNS, одна из которых заключается в подмене содержимого кэша DNS-сервера для того, чтобы пользователь вместо реального сервера подключался к серверу хакера. Это часто происходит, когда клиент отвечает на заданный вопрос.

Проблема довольно сложна. Пользователи настольных Windows-систем обычно не знают, какие соединения устанавливает их компьютер. Честно говоря, я и сам не знал, что программы на моем компьютере под управлением Windows могут самостоятельно устанавливать исходящие соединения. Несколько лет назад я купил программный пакет McAfee Office, в основном, чтобы получить систему шифрования PGP (Pretty Good Privacy), но решил ознакомиться с большей частью пакета. Одна из программ называлась GuardDog и была предназначена для защиты Windows-систем. Я установил пакет, и представьте мое удивление, когда после перезагрузки системы я получил предупреждение о том, что одна из программ пытается установить соединение с Internet. Это была программа Real Audio. У меня не было времени на установку средств слежения у себя дома, поэтому я просто удалил эту программу. Позднее я узнал, что таким образом производители собирали сведения о пользователях своего программного обеспечения. Теперь на своем домашнем компьютере я использую персональные брандмауэры, такие как ZoneAlarm и Norton Internet Security.

Настало время сделать некоторые выводы. В двух предыдущих примерах (вирус и программа PCZip) компьютеры пользователей инициировали соединение с Internet, о чем сами пользователи и не догадывались. В обоих случаях для организации есть потенциальная опасность. Таким образом, из-за бездействия (первый пример) или неверных действий (второй пример) отдельные пользователи приняли решение о допустимости риска, который несет угрозу всей организации.

Наша точка зрения на обнаружение взлома

:§ На конференции SANSFIRE в 2000 году Нейл Джонсон (Neil Johnson), научный сотрудник и преподаватель университета Джорджа Мейсона, представил прекрасный документ по обнаружению взлома и защите с помощью водяных знаков. Если на создание графических образов затрачены время и деньги, то на них можно нанести логотип для защиты авторских прав. Для этого существуют специальные средства. Затем можно использовать технологию червя в WWW для поиска ваших изображений на серверах, которые не имеют лицензии на их использование. Нейл пояснил технологию и продемонстрировал возможности атаки и защиты от таких атак. Теперь вам понятно, какое отношение имеют водяные знаки к обнаружению взлома?

Мы продолжаем изучать теорию риска и ее применение на практике по отношению к обнаружению вторжений, поэтому помните, что опасен не тот злоумышленник, который бесцельно применяет устаревшие атаки трехлетней давности, а тот, кто знает, чего хочет, и для достижения своей цели применяет сложный для выявления метод. Газета “USA Today” рассказала, что Брн Ладен использовал шифрованные сообщения для проведения атаки 11 сентября 2001 года. Но есть и более прагматичные примеры. Для компании, которая занимается созданием графики, созданные ею изображения имеют огромную ценность. Для этой компании самой страшной ситуацией будет та, при которой хакер, способный удалить логотип защиты авторских прав на изображениях, начнет их продавать как свою собственность.

Снижение риска

А что если мы решим все-таки совершить полет на космическом челноке, пусть даже это очень рискованно? Может быть, мы очень хотим стать первыми людьми на Марсе? Такое предприятие весьма опасно, но мы убеждены в его необходимости. В этом случае, если мы не безрассудны, то постараемся сделать все возможное, чтобы снизить риск.

Вы когда-нибудь задумывались об атаках на переносные компьютеры? В наше время ими пользуются многие специалисты, которые часто хранят на них очень важную информацию. Мы уже рассказывали о троянских программах для сбора информации, и эти программы могут использоваться против любой системы. Как именно можно получить данные из переносного компьютера? Что можно сделать для снижения риска?

Атака по сети

Если организация для получения электронной почты и доступа в Internet использует услуги провайдера, а не защищенную выделенную линию, то существует возможность атаки на переносные компьютеры этой организации во время их соединения с Internet. Они не защищены брандмауэром и поэтому доступны для атак посредством NetBIOS и других атак на Windows-системы.

Хватай и беги

Я просто ненавижу ставить мой переносной компьютер на конвейерную ленту рентгена при проверке в аэропортах. Если я не сразу пройду через металлодетек-тор, то кто-то имеет хорошие шансы украсть мой компьютер в толпе. Из-за постоянного поиска террористов меня могут задержать и даже проверить мои туфли. Если же кто-то заберет мой переносной компьютер, а я попытаюсь его догнать, то рискую быть застреленным охранником. Иногда я сомневаюсь, оставлять компьютер в комнате гостиницы или брать его с собой в ресторан.

Я не знаю, насколько важна информация на переносных компьютерах в вашей организации. В конце концов, кому нужен проект или бизнес-план, сведения о продажах и ситуации на рынке? Я специально немного утрировал, но если вы спросите владельцев переносных компьютеров, то многие скажут, что их информация совсем не существенна и не нуждается в защите.

Зато я знаю свою ситуацию. Я пишу книги, преподаю и часто работаю с конфиденциальной ийформацией. Я подписал несколько документов о неразглашении и всегда стараюсь быть аккуратным. Если крупная компания по обеспечению безопасности в сети решит, что я не выполнил требований безопасности, мне придется столкнуться с целой армией адвокатов. Поэтому я стараюсь защитить мой переносной компьютер как можно лучше. Я ищу средства для снижения риска. Так как я знаю, что подключение к Internet имеет определенный риск, то стараюсь узнать, какие программы помогут защитить мою систему.

Я проверил работу нескольких средств. Программа ZoneAlarm бесплатна для использования частными лицами и работает вполне надежно. Некоторые мои друзья в восторге от Blacklce, но, хотя трассировки этой программы очень точны, качество фильтров стало ухудшаться с тех пор, как компания-производитель была продана. Пакет Norton Internet Security может работать на платформе Windows ХР, что несомненно является плюсом. Система PGP имеет встроенный персональный брандмауэр, но, когда мой начальник установил ее на свой компьютер под управлением Windows ХР, он не смог подключиться к Internet. У меня тоже был такой случай, когда я запустил PGP на платформе Windows Me. В обоих случаях причиной неполадок являлась программа PGPNet. Так как PGP была мне крайне нужна, то я просто удалил операционную систему и установил Windows 2000. В состав пакета PGP также входит программа PGPdisk, с помощью которой можно защитить важные файлы, если переносной компьютер будет украден или взломан по сети. Для защиты файлов на платформах Windows 2000 и ХР можно использовать шифрующую файловую систему EFS (Encrypting File System) компании Microsoft. Хотя в пакет PGP входит подпрограмма для перезаписи диска и уничтожения данных, мне больше понравилась программа ВС Wipe (http://www.jetico.sci.fi). Вот я и проиллюстрировал мой личный опыт использования средств защиты для снижения риска.

Страхование

На прошлой неделе вместо работы с исходящими пакетами FTP я занимался потопом в моем доме. Сломался туалетный бачок, вода полилась на пол и Начала свое путешествие к океану. Но это еще не все. В этот день в городе решили промыть пожарные гидранты, поэтому дом наполнила грязная вода. Когда моя жена вернулась домой, вода била фонтаном из люстры в столовой. Штукатурка поотле-тала, а деревянный пол покоробился. Вода продолжала накапливаться, пока не провалился потолок в комнате, где жена занималась шитьем. Она позвонила мне на работу и спросила, что делать. “Перекрой воду и уходи из столовой. Я выезжаю”, - ответил я.

Я использую один и тот же метод реагирования на происшествия как на работе, так и в быту. Положив трубку, я осознал, что нанесенный мне ущерб составит от 20 до 30 тыс. долл. Очень расстроенный, я приехал домой, и мы с женой стали спасать то, что еще можно было спасти. Мое настроение оставалось плохим, пока уже ночью я не вспомнил, что застрахован в хорошей компании! Я всегда знал, что владение домом сопряжено с определенным риском. Не существует таких средств, которые бы могли защитить от поломки туалетного бачка в тот день, когда в городе промываются пожарные гидранты. Как и большинство домовладельцев, я переложил свой риск на страховую компанию. Я позвонил, они приехали и пообещали обо всем позаботиться. В результате, потеряв только $2500, я получил лепку на потолке, о которой мечтал довольно давно.

Как применить страхование по отношению к защите информации и обнаружению взлома? Можно использовать тот же метод. Несколько агентств, включая Lloyds и IBM, предлагают страховки на случай атак хакеров. Обычно перед страхованием они требуют установить средства защиты, например, брандмауэры и провести поиск уязвимых мест.

Мы рассмотрели, как связаны понятия неопределенности и риска. Выяснили, что один риск можно допускать (разрешено нам это или нет), а другой - нет. В последнем случае нужно или уменьшить риск или застраховаться. Теперь нужно разобраться с причиной, которая может привести к нанесению ущерба, - мы называем это угрозой. Уязвимые места - это ворота, через которые проникают угрозы.

Описание угрозы

- На вашем месте я бы туда не ходил.

- Это почему?

- Всякое может случиться.

- Что может случиться?

- Всякое.

Не очень то внятное предупреждение, правда? Большинство из нас не стали бы к нему прислушиваться. Представьте себе, что такие аргументы используются для установки системы обнаружения вторжений.

Нам нужно четко определить возможные угрозы.

■ Что может произойти?

■ Насколько это серьезно?

■ Как велика вероятность повторения происшествий?

■ Откуда вы знаете?

■ На основании чего делаются такие выводы?

Ответы на эти вопросы нужно давать отдельно для каждой вероятной угрозы.

Насколько серьезна угроза

В конечном итоге риск оценивается в денежном эквиваленте. Это справедливо даже при несчастных случаях. Для каждой конкретной угрозы мы берем цену имущества, которое подвергается риску, и умножаем ее на коэффициент незащищенности (exposure factor). В результате мы получаем ожидаемые убытки, или вероятность разового ущерба (single loss expectancy - SLE):

Цена имущества X коэффициент незащищенности = SLE

Коэффициент незащищенности может меняться в диапазоне от 0 до 100 % возможного ущерба имуществу. Рассмотрим, как оценить угрозу от взрыва атом ной бомбы над небольшим городком, имущество которого оценивается в 90 млн. долл.: 90 млн. долл. X 100 % = 90 млн. долл.

Вернемся к нашей теме. Выше уже говорилось, что, выполняя поиск уязвимых мест на UNIX-хостах, я нашел ряд систем, на которых присутствовала уязвимая версия базы данных ToolTack. Можно ли применить формулу оценки вероятных убытков для этого случая? Прежде всего нужно описать угрозу. Представим себе локальную сеть класса С. Угроза заключается в получении хакером прав суперпользователя, использовании им доверительных отношений и приобретении контроля над всеми хостами. Хакер может зашифровать все файловые системы и потребовать выкуп в размере 250 тыс. долл. Для достижения своей цели злоумышленник выполняет зондирование сети и находит шесть уязвимых компьютеров. С помощью атаки на переполнение буфера он быстро получает права суперпользователя. Установив доверительные отношения, он компрометирует еще четыре системы и зашифровывает диски 10 рабочих станций UNIX. Утром директор этой организации по электронной почте получает письмо с требованием выкупа в 250 тыс. долл. за возврат зашифрованных данных.

Каким будет значение SLE в данном случае? Можно сказать, что оно составит 250 тыс. долл., но не все так просто. Если данные можно восстановить с резервных копий, то будет потеряно только несколько дней работы. Если резервных копий не было (а они должны быть всегда), проблема становится сложнее. В данный момент мы не знаем, получим ли когда-нибудь ключ для расшифровки. Есть угроза, что не получим. Таким образом, цена имущества равна цене данных на дисках взломанных систем плюс время на восстановление этих систем после взлома плюс стоимость простоя. Как можно оценить стоимость данных?

Приблизительно оценить стоимость данных можно по средней заработной плате людей, которые работали на этих системах. Для простоты будем считать, что все взломанные UNIX-системы принадлежали специалистам. Все они работали над одним проектом в течение 2 лет, каждый получал по 60 тыс. долл. в год, т.е. с учетом дополнительных затрат (премии, аренда помещения и т.д.) потрачено по 100 тыс. долл. Десять человек по 100 тыс. в год, за два года получается 2 млн. долл. А каким будет коэффициент незащищенности? Он будет равен 100%, все файлы уже зашифрованы. Таким образом, становится очевидным, что лучше без вмешательства правоохранительных органов тихо выплатить 250 тыс. долл. Мы платим деньги, получаем ключ к шифру, возвращаемся к работе, и все довольны. А что произойдет, если уязвимое место так и не будет устранено?

Повторяемость угроз

О среднегодовой вероятности ущерба (annualized loss expectancy - ALE) говорят, когда конкретная пара “угроза - уязвимое место” может стать причиной ущерба чаще одного раз в год. В отчете на конференции по безопасности информационных технологий, которая проходила в мае 2000 года, доктор Джин Шульц (Gene Schultz) указала, что такая оценка может быть неточной. В примере с атомной бомбой сколько бы атомных бомб мы не бросали на город, навряд ли бы это привело к дальнейшим разрушениям. Показатель ALE хорошо работает при оценке таких событий, как кража в магазинах, возврат заказанных товаров и невозвращение ссуд. Сколько событий класса ALE можно выдержать в условиях конкурен ции (например, в электронной торговле)? Если Web-магазин будет прекращать работу четыре или пять раз в месяц, то покупатели начнут обращаться к конкурентам. Как их удержать? Какое значение имеет показатель ALE для защиты информации и обнаружения взлома?

Как известно, системы обнаружения вторжений позволяют выявить несанкционированный доступ. Правда, я считаю, что для квалифицированного аналитика это просто потеря времени. Тем не менее есть весьма убедительные аргументы в пользу применения системы именно таким образом. В следующем примере обратите внимание на то, что, специально взяв для начала небольшие суммы, мы получим в результате довольно крупные деньги, которых будет вполне достаточно, чтобы оправдать наем специалистов по компьютерной безопасности. Для вычисления параметра ALE используется следующая формула.

SLE X число происшествий в год = ALE

Таким образом, показатель ALE - это результат умножения SLE на количество происшествий в год. Вот почему раздел, в котором был дан пример шифрования хакером информации жестких дисков, мы закончили вопросом: “А что случится, если уязвимое место так и не будет устранено?”. Хакер забирает деньги, тратит их, его друзья интересуются источником этого богатства, и наша игра начинается сначала.

Давайте рассмотрим распространенную ситуацию, когда сотрудники вместо работы “бродят” по Internet. Для начала нужно вычислить значение SLE. Пусть у нас будет 1000 сотрудников, 25 % из которых тратят 1 час в неделю на развлечения в Internet.

$50/час X 250 = $12500

Теперь подсчитаем ALE при условии, что сотрудники работают все время, кроме отпусков.

$12500 X 50 = $625000

Теперь понятно, почему организации вкладывают деньги в средства обнаружения вторжений и привлекают специалистов, чтобы запретить несанкционированные действия своих сотрудников. Не забывайте, что цифры были специально занижены, в реальности они намного выше. Кроме того, в действительности пустая трата времени не одинаково присуща всем сотрудникам. Если выявить и уволить таких злостных нарушителей (в конце концов, если они не работают, то и не нужны), то организация получит серьезную экономическую выгоду.

Осознание неопределенности

Насколько точны результаты подсчета значений SLE и ALE? Это необходимо знать, если мы планируем принимать решения на основе полученных значений. Однажды меня полдня убеждали в необходимости покупки одной системы обнаружения вторжений. Это средство могло делать практически все: объединять показатели датчиков, автоматически определять взаимосвязь уязвимых мест с входящими атаками и даже выдавать в графическом виде отчеты о выявленных вирусах. “Основное преимущество, - сказал мой собеседник, - в том, что здесь используется экспертная система”.

Он продолжал говорить, я время от времени кивал, но уже не слушал. Я просто вспомнил несколько своих фраз из курса лекций по искусственному интеллекту. “Причина, по которой экспертные системы не оправдывают возложенных на них надежд, заключается в том, что используемые в них правила не очень точны. Создатель базы знаний опрашивает специалистов в определенной области, но многие мнимые эксперты совсем ими не являются. Одна из основных проблем систем искусственного интеллекта состоит в том, что эти системы не знают, чего именно они не знают. В этом отношении они похожи на людей.”

При вычислении показателей SLE и ALE нужно учитывать то, чего мы не знаем, приблизительные цифры и те ситуации, когда использование моделей просто невозможно. Некоторые могут подумать, что не очень то и нужны эти подсчеты. Что ж, может быть, вы делаете то же самое, только безо всяких правил или обоснования.

Например, работая в организации, контролирующей локальные сети, я слышал, как новых сотрудников предупреждали о недопустимости поиска порнографии в Internet и о том, что тот, кто будет в этом замечен, скорее всего, будет уволен. Попробуем представить, что при этом думал молодой сотрудник. Возможно, его заинтересовало, сможет ли он незаметно ввести в поисковую систему неправильно написанное слово сексуальной тематики или использовать косвенные ссылки. А вдруг у руководства нет чувства юмора, да и показатель SLE слишком велик. Конечно, его мысли могли быть немного другими, но вы, наверняка, поняли, что я имел в виду.

Хотите еще один пример неопределенности? В середине февраля 1999 года я был участником группы по созданию Президентского указа 63 (Presidential Decision Directive 63). Были собраны около 50 ведущих специалистов в области обнаружения вторжений и информационной безопасности, призванных описать четыре основных направления исследования и получить денежный грант размером в полмиллиарда долларов. Одно из направлений получило название “вредоносное поведение пользователей”, что в Вашингтоне понимали как проблему атак локальных пользователей. Когда мы представили результаты работы, то группа, занимающаяся этой темой, обнаружила, что было выделено в 100 раз больше денег на блокирование атак внешних пользователей, чем локальных. На вопрос: “Откуда такое соотношение и на чем оно базируется?” многоуважаемые ученые ответили: “Мы взяли это значение с потолка, но оно близко к реальному”.

Деньги на управление риском

Если прийти к начальству и сказать, что нужно 10000 долларов на покупку системы обнаружения вторжений, то, скорее всего, начальство потребует дополнительной информации. Хороший признак, если начальник спросит, как долго устанавливать эту систему. Умный руководитель знает, что затраты на аппаратные средства и программное обеспечение - это только верхушка айсберга. Он хочет понять, как система обнаружения вторжений впишется в модель работы организации. Управление риском (включая и систему обнаружения вторжений) зависит от денежных вложений.

Когда мы сталкиваемся с каким-либо риском, мы начинаем думать, как его можно уменьшить. Мы ищем меры противодействия и подсчитываем, во сколько это может обойтись в год. Если вы хотите внести предложение, то смета явно не помешает, а еще лучше предоставить несколько вариантов. Не забывайте про показатели SLE и ALE. Здесь они и пригодятся. Меры противодействия стоят денег, но посмотрите, во что обходится риск!

Есть очень важный момент в общении с руководством: не мелочитесь! Чем более глобальную картину вы нарисуете с описанием всех рисков, уязвимых мест, мер противодействия и тщательно разработанных планов действий, тем лучше будут восприняты ваши предложения.

Оценка риска

Я очень люблю слушать, как продавцы предлагают купить системы обнаружения вторжений для защиты отдельных хостов. Это настоящие сражения, а в наше время, когда каждый может получить персональный брандмауэр всего за 60 долларов, это становится смешным. Продавцы прежде всего делают упор на угрозы со стороны пользователей той же локальной сети. Им приходится так поступать.. Они пытаются заставить потенциального покупателя поставить один риск выше другого. Если подумать, то это обычная стратегия любой продажи.

В Вирджинии не выпадает много снега, но с наступлением зимы рекламисты машин просто заставляют купить вас полноприводной автомобиль. Неважно, что он дороже, сложнее в устройстве и потребляет больше горючего, чем автомобиль с передним или задним приводом. Купив такой автомобиль, снега можно не бояться. На основании этого можно сделать следующие выводы: нужно оценивать все риски и просчитывать развитие событий. Нужно выбирать меньший риск. Оценка риска может быть количественной и качественной.

Количественная оценка риска

Этот метод оценки риска позволяет подсчитать риск как числовое значение. Самый распространенный способ такого подсчета заключается в использовании значений SLE и ALE. Не стоит подсчитывать риск для каждого отдельного компьютера вашей организации! Но на уровне всей локальной сети такая оценка может оказаться эффективной, и нужные цифры найти совсем не сложно. Для вычисления стоимости имущества используется следующая формула.

Стоимость имущества = аппаратные средства + коммерческие программы + собственное программное обеспечение + данные

Материально ответственное лицо организации должно предоставить сведения о стоимости аппаратных средств и программного обеспечения за несколько минут. Определить стоимость собственных созданных программ сложнее. Нужно учесть размер зарплат для всех, кто участвовал в разработке проекта за несколько лет. Но самое ценное - это данные! В вашей организации компьютерами пользуются все сотрудники? Если да, то стоимость данных определяется по затратам на их создание в период жизненного цикла данных (как правило, его принимают равным трем годам). Эта сумма будет очень большой! Определение ценности данных организации не должно занимать больше часа времени. Этот способ оценки риска пригодится, когда нужно убедить руководство в приобретении чего-либо или заставить прекратить потенциально опасные действия.

Качественная оценка риска

Для определения иерархии рисков можно составить контрольный список. Как правило, составляют список вероятных угроз и для каждой из них указывают степень опасности: высокая, средняя или низкая. Этот метод лучше работает при оценке риска отдельно для каждого компьютера, а не для всей организации. Несколько примеров использования модифицированного количественного метода оценки риска, а также примеры контрольных списков для количественного метода можно посмотреть по адресу http : /www.nswc . navy. mil/ISSEC/Form/ AccredForms/index.html.

Еще одним ресурсом, который будет полезен при оценке риска, являются контрольные списки score по адресу www.sans.org/score. И, наконец, на сайте www.cisecuroty.org можно найти много средств, которые позволяют провести оценку безопасности вашей сети. Сначала кажется, что эти средства используют количественный метод, так как они оперируют цифрами, но при более глубоком их анализе оказывается, что они основаны на качественном методе оценки риска.

Неточность оценки

Оба метода оценки риска очень хорошо работают в теории. На практике это не так. Это объясняется тем, что люди не очень любят говорить правду, так как, признавшись в существовании уязвимого места, придется что-то делать, чтобы его устранить. Таким образом, те, кто используют количественный метод оценки, получают очень большие цифры. Они понимают, что не могут позволить себе такой большой риск, поэтому стараются рассмотреть проблему по частям, пока не приходят к количественной оценке риска для одного компьютера, а это нелепо. Не нужно гадать, какую систему (с высокой, средней или низкой степенью риска) выберут для оценки риска. Если степень риска мала, то зачем вообще о чем-то беспокоиться?

Резюме

Со времен Карибского кризиса и до падения берлинской стены лучшим способом получения денежного пособия для сотрудника Министерства обороны было заявление в Конгресс с предупреждением “Русские идут”. Несмотря на критику по телевидению, законодатели не так уж глупы, а многие из находятся у власти уже много лет. В какой-то момент они начинают понимать, что финансирование было выделено на основании ничем не подкрепленной угрозы.

Теперь все хотят остановить террористов, в частности - хакеров компьютерных систем. Истерические предупреждения помогут получить деньги в первый раз, но в целом это ошибочный метод. В этой главе была описана модель надежной защиты организации. Мы рассказали, как оценивать риск и определять приоритеты опасности. Дана хорошая база для разговора с руководством о том, что и зачем нужно. В следующей главе мы рассмотрим ответные действия после атаки на систему или ее компрометации. Когда у нас есть надежные средства защиты, можно спокойно рассуждать о том, как действуют хакеры и как пережить компьютерную войну.

Ответные действия

о писывая методы анализа сетевых трассировок, мы подробно рассматривали вопрос воздействия и реакции. Теперь рассмотрим этот же вопрос на уровне возможных ответных действий целой организации. Ответную реакцию вызывают успешные атаки или попытки атак. При выявлении успешно проведенной атаки следует выполнить восстановление после взлома. Что такое успешная атака? Это “любая атака, которая является причиной дополнительных действий, за исключением фильтрации пакетов”. Согласны? Если нет, то не забывайте, что любые неавтоматические ответные действия требуют затрат дополнительных ресурсов. Давайте рассмотрим три примера атак и попытаемся определить, являются ли они успешными.

■ Зондирование сети. Поступает набор эхо-запросов ICMP для исследования компьютеров локальной сети. Как правило, зондирование сети выполняется с удаленного хоста по Internet, а ICMP-сообщения отправляются по широковещательным адресам подсетей. Эта атака может быть выявлена брандмауэром или системой обнаружения вторжений.

■ Анкетирование с помощью дискет. Сотрудник получает письмо с приложенной к нему дискетой. Если он откроет эту дискету на своем компьютере, ответит на предлагаемые вопросы и отошлет дискету обратно, то получит в подарок футболку.

■ Соединения через ТСР-порт 53. Internet-компания, занимающаяся созданием рекламных баннеров для Web-страниц, выполняет тестовое подключение к тем системам, пользователи которых заходили на эти Web-страницы. Для этого организовывается попытка соединения с ТСР-портом 53 проверяемой системы.

Какая из этих атак успешна? Я бы ответил, что если маршрутизатор на периметре сети или брандмауэр блокирует входящие эхо-запросы ICMP, то попытка зондирования сети будет неудачной. Многие считают, что это просто разведывательное зондирование, а не атака, но вопрос в том, будут ли использованы дополнительные ресурсы. Недавно я видел одну трассировку, в которой хакер отправ лял пакеты только по IP-адресам реальных компьютеров, подключенных к Internet. Это очень опасно, когда злоумышленник точно знает, что он ищет.

Анкетирование с помощью дискет можно назвать успешной атакой. Большинство пользователей никогда не узнают, какие файлы были скопированы, а какие добавлены в их системы. И уж наверняка, злоумышленник почерпнет полезную информацию из анкет, за что придется расплачиваться всей организации. Специалист в области информационной безопасности обязан уведомить пользователей, что они должны сразу выбрасывать такие дискеты в мусорный ящик, а если им так уже хочется ответить на вопросы, то пусть это делают дома.

А что насчет DNS-запросов? Эти запросы поступают постоянно и очень трудно определить, какие запросы могут служить для разведывательных целей, а какие применяются для обычной работы пользователя в Internet (запрос gethostbyaddr). Тем не менее HTTP-заголовки предоставляют значительный объем информации о клиенте, работающем в WWW. Только по нескольким полям этого заголовка можно получить следующие сведения:

■ операционная система хоста;

■ версия используемого броузера;

и последний посещенный Web-cepBep (поле ref errer).

Web-серверы собирают всю эту информацию для маркетинговых исследований. С помощью сохраненных данных создатели Web-страниц могут точнее определить круг своих клиентов, а также узнать ключевые фразы, которые вводят пользователи в строку поиска. Но эта же информация может быть использована и хакерами. Если добавить к ней информацию службы DNS и сведения, добытые с помощью утилиты netstat, то получится довольно значительный объем информации о конкретном IP-адресе или диапазоне 1Р-адресов.

Как можно заметить, я больше не использую примеров элементарных атак. Мне очень нравится философия боевого искусства эскрима (escrima), которая заключается в том, чтобы использовать все ошибки, допускаемые противником в конкретный момент времени. Это можно назвать фундаментальным принципом информационной войны. Хакеры используют различные методы атак на избранную цель, выискивая наиболее уязвимые места. Вот почему тщательно продуманная (эшелонированная) система защиты и автоматические ответные действия имеют такое большое значение.

Системы обнаружения вторжений на основе доставки сообщений | Обнаружение нарушений безопасности в сетях | Автоматические ответные действия


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Июль
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс