Одним из важнейших аспектов при выборе системы обнаружения вторжений является то, насколько их работа может отличаться от нормальной. Все кажется очень удачным, когда вы смотрите на систему обнаружения вторжений, уведомляющую об атаках на консоль по электронной почте, пейджеру или по сотовому телефону. Но проходит только несколько недель, и все эти удобные уведомления в реальном времени приходится отключать. Даже самому лучшему аналитику, полностью преданному своей работе, вряд ли захочется получать уведомления о ложных тревогах в три часа ночи.

Реагирование в реальном времени невозможно, пока средства обнаружения взлома не будут интегрированы в сетевые коммутаторы, операционные системы и программы. Несмотря на это потенциальные пользователи будущих систем обнаружения вторжений хотят, чтобы информация об атаках передавалась им как можно быстрее. Поэтому принцип доставки сообщений будет правильным выбором для сетевых систем обнаружения вторжений.

Доставка сообщений имеет один очень серьезный недостаток. Если система обнаружения вторжений на основе этого принципа в ответ на выявление атаки должна генерировать пакет, а за датчиком можно проследить, то со стороны можно легко выяснить его настройки. Со временем хакер сможет определить, какие пакеты датчик игнорирует. Такие усилия и терпеливость не присущи неопытным хакерам, применяющим готовые атаки, но профессиональные взломщики почти наверняка будут вести себя именно так. Очевидным решением этой проблемы является выдача отчетов о событиях по расписанию через определенные промежутки времени в виде потока данных. Это позволяет провести те же ответные действия, что и в реальном времени, только с небольшой задержкой и при этом скрыть, что именно обнаруживает датчик. Если никаких атак не выявлено, поток данных состоит из зашифрованных нулей.

Рассмотрим различия систем доставки и получения сообщений (рис. 16.5). В целом принцип доставки сообщений более подходит для обнаружения взлома.

Одной из лучших реализаций систем получения сообщений является скрытый датчик, который может применяться при расследовании вредоносных действий. Его можно настроить на конкретную компьютерную систему. Кроме того, такой датчик может беспрепятственно пропускать информацию, пока в передаваемом трафике не будет обнаружена ключевая строка, после чего датчик начинает фиксировать поток передаваемых данных. Большинство анализаторов пакетов, созданных хакерами для перехвата идентификаторов и паролей пользователей, являются системами получения сообщении. Они ведут поиск до тех пор, пока интересующая их информация не будет обнаружена.

Рис. 16.5. Доставка или получение?

Консоль аналитика

Итак, выбраны место для установки датчиков и метод получения уведомлений о значимых событиях (доставка, получение или оба метода). Наконец-то можно приступить к работе. Аналитик обнаружения взлома работает за своей консолью. Система обнаружения вторжений часто выбирается исходя из ее стоимости, но не стоит экономить, выбирая консоль, поскольку она - очень важный элемент. При покупке системы обычно обращают внимание на наличие следующих возможностей:

■ работа в реальном времени;

■ автоматический ответ на атаку;

■ обнаружение абсолютно всех атак;

■ запуск на платформе Шіпсіошв ХР/и№Х/Соттос1оге 64 (на любой платформе, используемой в организации).

Хорошо, система приобретена, но будет ли она использоваться? Я был на нескольких узлах, на которых коммерческие системы обнаружения вторжений были установлены очень давно, и, хотя они были по-прежнему подключены к сети, клавиатура консоли аналитика уже покрылась слоем пыли. После использования системы обнаружения вторжений на протяжении нескольких месяцев приоритеты ее основных характеристик формируются так:

■ быстродействующая консоль аналитика;

■ лучшая обработка ложных тревог;

■ фильтры для вывода определенной информации;

■ возможность отметить ранее рассмотренные события;

■ возможность детализации зафиксированных событий;

■ возможность сопоставления;

■ улучшенная выдача отчетов.

Подавляющее большинство консолей коммерческих систем обнаружения вторжений были настолько неудачны, что Министерство обороны было вынуждено разрабатывать свои собственные проекты. Некоторые из них стали весьма популярными. Большинство организаций не могут позволить себе создавать альтернативные интерфейсы, поэтому приведенный перечень поможет выбрать хорошую систему обнаружения вторжений. В следующих разделах Характеристики консоли рассмотрены более подробно.

Быстродействие

Способности человека часто растрачиваются впустую. Именно это происходит, когда опытный аналитик сетевого трафика ожидает реакции компьютера. Обнаружив атаку, аналитик начинает сбор дополнительных сведений. При этом он ждет появления окна и вдруг понимает, что не может вспомнить, что он вообще делает.

Недавно в разговоре с менеджером по продажам компании, производящей системы обнаружения вторжений, я заметил, что интерфейс системы работает слишком медленно. Он, естественно, посоветовал приобрести быстродействующий компьютер (это был двухпроцессорный Pentium IV с частотой 1,2 ГГц с объемом оперативной памяти 1 Гбайт - вполне современный компьютер для января 2002 года). Существует простой способ улучшить производительность консоли аналитика, при котором система находится в постоянной готовности к выдаче информации об атаках с высоким приоритетом. При этом анализ начинается по первому щелчку кнопкой мыши - компьютер ждет аналитика, а не наоборот.

Лучшая обработка ложных тревог

Ложные тревоги случаются постоянно. Иногда их невозможно устранить без одновременного пропуска настоящих атак. Что же с ними делать?

Хорошим примером может послужить Web-атака с помощью Code Red. Если мы создадим фильтр, который будет пропускать запросы к порту 80 (а большинство так и делает), то мы рискуем пропустить огромное количество атак. Если не использовать этот фильтр, можно столкнуться с большим числом ложных тревог (ложными эти тревоги будут при условии, что не запущена уязвимая версия сервера IIS, и не следует беспокоиться о возможности успеха атаки Code Red). Поскольку червь Code Red поражает Windows-системы, можно постараться решить эту проблему, создав более точный фильтр. Если язык написания фильтров для системы обнаружения вторжений это позволяет, то мы можем добавить в него информацию, полученную в результате пассивного анализа атаки для систем Windows. Например, по умолчанию Windows-системы устанавливают в отправляемых пакетах значение поля TTL равное 128, а значение размера окна - в диапазоне от 5000 до 9000 для Windows NT, и от 17000 до 19000 для Windows 2000.

Поэтому в фильтре можно задать игнорирование пакетов со значениями TTL больше 128 и значениями размера окна, которые не попадают в используемые диапазоны. Данные таких пакетов по-прежнему регистрируются, но аналитику не выдается предупреждение об атаке. Когда аналитик относит какое-либо событие к разряду ложных тревог, на консоли должна отображаться обычная информация, но с дополнительными данными, которые позволят аналитику принять правильное решение.

Ответственность за ложные тревоги

Поставщики систем обнаружения вторжений обязаны стремиться улучшать методы обработки ложных тревог. Набор правил Snort становится все лучше, предоставляя дополнительную информацию в файле помощи, которая позволяет аналитику определить возможность ложной тревоги. Но этого недостаточно. Поставщики должны минимизировать число ложных тревог, которые представляют собой основное затруднение для правильной интерпретации значимых событий. Для этого следует усовершенствовать фильтры (т.е. в эти фильтры должна быть добавлена возможность настройки), а ненужные фильтры, вызывающие слишком много ложных тревог, нужно удалять. Кроме того, в документации должны быть точно описаны ситуации, при которых фильтры сообщают о ложных тревогах.

Фильтры для вывода определенной информации

■Рассмотренный выше метод обработки ложных тревог используется в некоторых коммерческих системах обнаружения вторжений и должен считаться минимально допустимым уровнем. Для выявления максимального числа значимых событий придется иметь дело с некоторым числом ложных тревог. Единственным способом борьбы с этим является применение фильтров для вывода на монитор только определенной информации. Эта идея не нова, в сетевых средствах обнаружения вторжений, например Sniffer, всегда наряду с фильтрами сбора данных применялись фильтры для вывода информации.

Маркировка ранее рассмотренных событий

Если вы не являетесь аналитиком сетевого трафика высшего уровня (например, инспектором или инструктором), то не стоит тратить драгоценное время на исследование событий, которые уже были проанализированы. После изучения события его нужно пометить. Все очень просто. Даже Web-броузеры отмечают другим цветом посещенные ссылки. В идеале это должно быть похоже на функцию редактирования в современных текстовых процессорах, таких как Microsoft Word, - событию должен присваиваться ярлык с указанием даты и времени его анализа, именем пользователя, который выполнял этот анализ, а также с информацией о том, было оно расценено как ложная тревога или занесено в отчет как настоящая атака.

Детализация событий

Интерфейс системы обнаружения вторжений не должен пугать начинающего пользователя. Когда в организации начинают работать с системой обнаружения вторжений, пользователям системы достаточно иметь удобный графический интерфейс, который бы выдавал пиктограмму атаки, дату, время, а также 1Р-адреса отправителя и получателя. Радость пользователей обычно заканчивается, когда они понимают, что выдается отчет о ложной тревоге. С этого момента аналитик хочет видеть все данные, и они должны быть доступны по одному щелчку кнопкой мыши. Возможность детализации - очень эффективное средство. Она позволяет увидеть общую картину событий. А при желании, один раз щелкнув кнопкой мыши, аналитик может узнать подробности любого события. Для этого не требуется менять интерфейс (что значительно замедляет анализ) и применять отдельную программу для исследования данных.

Детализация событий невозможна при отсутствии зарегистрированных данных (по крайней мере, заголовков пакетов). Аналитик не должен сообщать о выявлении события, которое он не может проверить!

Сопоставление

Каждому аналитику, обнаружившему атаку, доводилось размышлять, не видел ли он этого IP-адреса раньше? Аналитики сетевого трафика на постоянно атакуемых узлах обнаруживают от 15 до 60 значимых событий в день. После нескольких недель работы накапливается слишком много IP-адресов нарушителей, чтобы всех их помнить. Консоль аналитика должна хранить список узлов, о которых уведомлялось ранее, и выделять различными цветами IP-адреса отправителей согласно этому списку.

Улучшенная выдача отчетов

В повседневной работе аналитиков сетевого трафика используются отчеты двух видов: отчеты о выявлении событий и итоговые отчеты. Отчеты о событиях содержат подробную информацию о выявленных происшествиях, итоговые отчеты позволяют аналитику следить за тенденциями атак с течением времени, а руководителю - понимать, на что расходуются деньги.

Отчеты о выявленных событиях

Отчеты о выявленных событиях выдаются или непосредственно по факту события или в конце дня. Как правило, они отправляются по электронной почте. Система обнаружения вторжений должна позволять отправку отчетов по разным адресам и их шифрование с помощью PGP. Отчеты могут отправляться группам, специализирующимся на сборе и анализе информации о происшествиях в сетях, например на Incidents.org или Security Focus, или специалистам по безопасности в группах CIRT и FIRST. Если нужно скрыть действия от хакера или планируются ответные действия, то можно сохранять отчет как уведомление, добавленное к записи. Аналитик должен иметь возможность сообщать о каждом обнаруженном и отображенном на консоли событйи с помощью одного щелчка кнопкой мыши. В ответ на это система должна составить отчет, который аналитик просматривает и снабжает пояснениями перед отправкой в вышестоящую инстанцию.

При покупке системы обнаружения вторжений сядьте за консоль и проверьте, сколько времени потребуется для сбора информации, необходимой для составления отчета о событии и отправки этого отчета по электронной почте (или в другом формате, например XML) команде CIRT или FIRST. Если доступ к необработанным (raw) или вспомогательным данным получить невозможно, то эта система не стоит вашего внимания. Если этот процесс потребует более пяти минут, а ваша организация планирует уведомлять других о значимых событиях, то над покупкой еще стоит подумать. Если же сбор информации, включая необработанные и дополнительные данные, будет выполнен в течение двух минут, то, пожалуйста, отправьте мне письмо по электронной почте, я тоже хочу купить такую систему.

Итоговые отчеты

Руководство организации зачастую также хочет получать сведения о выявленных атаках, направленных на узлы их сетей. Однако составление отчетов по факту события или ежедневных отчетов будет слишком утомительным и не позволит рассмотреть ситуацию в целом. Поэтому принято создавать еженедельные или ежемесячные отчеты. В общем случае, чем выше ранг руководителя, тем реже ему нужно отправлять отчеты.

Обнаружение вторжений на хостах и в сети

Чем больше информации будет у аналитика, тем выше вероятность, что он решит проблему, связанную с обнаружением вторжения. Откуда лучше получать сведения: с отдельных хостов или с точки входа в сеть? Если прочитать описания программ для обнаружения вторжений на хостах, то можно сделать вывод, что метод контроля взломов на хостах, безусловно, лучше. Но если прочитать описания сетевых систем обнаружения вторжений, то мнение будет противоположным. Очевидно, что в своей сети хотелось бы иметь обе возможности, при этом, предпочтительно, интегрированные. Пожалуй, лучше всего охарактеризовать преимущества обоих методов можно с помощью описания минимально необходимых возможностей обнаружения взлома для средней локальной сети, подключенной к 1мегпе1 (рис. 16.6).

Рис. 16.6. Стандартная архитектура сети для небольших организаций

Датчик размещается перед брандмауэром и позволяет выявлять все атаки, поступающие из Internet. На DNS, почтовые и Web-серверы направлено около трети от общего числа атак. Эти компьютеры должны взаимодействовать с другими удаленными компьютерами по Internet, и поэтому защитить их можно только частично. В связи с высокой степенью риска компрометации этих компьютеров на них должны устанавливаться системы обнаружения вторжений, которые будут отправлять уведомления на консоль аналитика. Таким образом, даже для небольших организаций необходимы оба вида обнаружения взломов: и на хостах, и в сети. Чем больше организация, тем больше требуется мер противодействия атакам.

Эти минимальные функции защиты не учитывают внутренних угроз. В литературе (особенно по защите хостов) часто указывается опасность атак локальных пользователей. Я сам не раз видел результаты исследований и статистические выкладки, которые ясно дают понять, что большинство взломов осуществляются именно локальными пользователями. Но ситуация меняется, и многие эксперты сходятся во мнении, что теперь большинство атак проводятся по Internet. Программы атаки стали огромной проблемой, однако троянские программы и вирусы для сбора сведений после установки в системы можно считать “локальными”. Если главной проблемой организации являются атаки своих же пользователей, для создания минимально приемлемого средства обнаружения вторжений необходим ряд дополнительных мер:

■ используйте ответвители или связующие порты коммутаторов таким образом, чтобы иметь возможность перехватывать весь проходящий трафик;

■ настройте фильтры на сенсоре в демилитаризованной зоне так, чтобы они не игнорировали пакеты, передаваемые между локальными хостами. Исходящий трафик должен контролироваться так же, как и входящий. Это особенно важно в связи с увеличением числа доступных программ атаки;

■ настройте фильтры своего пограничного маршрутизатора или брандмауэра на пропуск только тех исходящих пакетов, в которых IP-адреса отправителей соответствуют IP-адресам хостов вашей сети. Это называется фильтрацией исходящего трафика (egress filtering), о которой есть очень много информации на Web-сайте Incidents.org (www. incidents .org/defend/egress .php);

■ устанавливайте сетевые датчики в особо важных участках, например, в научных лабораториях или сетях бухгалтерии;

■ устанавливайте хосты-ловушки в привлекательных местах и сохраняйте на них подложную информацию, которая может заинтересовать хакера;

■ время от времени добавляйте дополнительные датчики в пользовательские сети для случайной проверки;

■ обязательно установите системы обнаружения вторжений на всех серверах, а также на хостах всех высших должностных лиц организации. Многие персональные брандмауэры можно приобрести менее чем за $75 на один компьютер, и они очень просты в использовании (например, Tiny, ZoneAlarm, Blacklce и Internet Security);

■ установите систему поощрений для тех, кто уведомляет о сотрудниках, которые неверно обращаются с данными или крадут информацию.

Резюме

Очень часто свойства, которые казались наиболее важными при покупке системы обнаружения вторжений, при использовании на практике становятся менее привлекательными. В первую очередь это относится к возможности отправки уведомлений об атаках на пейджер аналитика.

По различным причинам системы обнаружения вторжений не могут выявлять все происходящие события. Почему? В этой главе рассмотрено несколько причин. Событие происходит в другой сети. Система обнаружения вторжений вышла из строя или не поддерживает работу с конкретным протоколом. Возможно, системой достигнута максимальная скорость обработки пакетов, и пакет отброшен. Более того, сетевые системы обнаружения вторжений ограничены возможностями связующих портов коммутатора, а зашифрованные пакеты не идентифицируются.

Аналитик может добиться наибольшей пользы от системы обнаружения вторжений только тогда, когда понимает, что он ищет, и соответствующим образом настраивает систему.

Если у вас есть только один датчик, установите его перед брандмауэром.

Когда существует уверенность, что узел подвергается целенаправленной атаке, и злоумышленник знает о типе операционной системы атакуемого хоста, немедленно принимайте дополнительные меры противодействия.

По возможности устанавливайте системы обнаружения вторжений как для отдельных хостов, так и для всей сети.

Принцип низко висящего плода | Обнаружение нарушений безопасности в сетях | Безопасность в организации


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Июнь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс