2015-05-10
585
Этапом завершения атаки является "заметание следов" со стороны злоумышленника. Обычно это реализуется путем удаления соответствующих записей из журналов регистрации узла и других действий, возвращающих атакованную систему в исходное, "предатакованное" состояние.
Вопрос22
Источники информации об атаках
При обнаружении следов атак необходимо учитывать следующие аспекты [Firthl-97]:
· контроль целостности программ, файлов данных и других информационных ресурсов, подлежащих защите;
· анализ деятельности пользователей и процессов, а также сетевого трафика в контролируемой системе;
· контроль физических форм нападений на элементы ИС, в том числе и на отчуждаемые источники хранения информации (например, mobile rack);
· расследование администраторами и другими надежными источниками (например, CIRT) необычных действий.
В соответствии с этой классификацией действия, связанные с обнаружением атак, могут быть выполнены как в автоматизированном, так и в ручном режиме.
|
|
|
Автоматизированный анализ также делится на две категории - универсальный и специализированный анализ. Первый осуществляется при помощи средств, встроенных в программное обеспечение. Например, к таким средствам могут быть отнесены анализатор протоколов Network Monitor или система обработки журналов регистрации Event Viewer. Специализированный анализ реализуется средствами, предназначенными именно для обнаружения нарушений политики безопасности. К таким системам относятся Snort, Tripwire, System Scanner и т. д.
Ручные методы абсолютно бесплатны (если не брать в расчет зарплату специалиста, осуществляющего анализ, и другие параметры, составляющие общую стоимость владения), однако не обеспечивают своевременности обнаружения атак и, тем более, реагирования на них. Кроме того, эти методы неприменимы в крупных, территориально - распределенных сетях. Однако в некоторых случаях использование этих методов обоснованно. Например, в удаленных филиалах, на некритичных сегментах и узлах, при отсутствии необходимых денежных средств и т. д. Также эти методы предпочтительны после применения автоматизированного анализа, поскольку несмотря на все их преимущества, некоторые атаки очень трудно обнаружить без привлечения ручного анализа и человеческого разума. В таком случае объемы обрабатываемых вручную данных становятся на порядки ниже их первоначального объема. Как отмечается в [Allen 1-99], процесс полной автоматизации процесса обнаружения атак пока является недостижимой мечтой. Почти во всех известных инцидентах, которые были зафиксированы, и в которых злоумышленник был пойман, применялись "ручные" методы, основанные на внимательности операторов систем обнаружения атак или на дополнительных, самостоятельно разработанных программах, расширяющих функциональность используемых защитных систем. Ну и, наконец, "ручной" анализ позволяет специалистам в области безопасности повысить свою квалификацию.
|
|
|
Автоматизированные универсальные методы более эффективны, чем ручные методы, используемые на начальном этапе, однако и они не в состоянии своевременно обнаружить нарушения политики безопасности. Все, что они могут, - это облегчить обработку больших объемов информации, осуществлять фильтрацию и выборки данных, которые затем анализируются вручную.
И последний вариант выполнения действий, описанных в табл. 5.1, - это применение специализированных систем, которые отличаются от универсальных наличием соответствующей логики. Как правило, эти системы обладают обширной базой нарушений политики безопасности (признаков атак или уязвимостей), которые и можно обнаружить в источниках информации, используя определенные методы (системы обнаружения злоупотреблений или аномалий).
Однако не следует делать вывод, что только специализированные системы являются лучшим выбором из всех. Опираясь на сообщения, генерируемые этими средствами, можно пропустить или неправильно интерпретировать некоторые события. Поэтому иногда нельзя довольствоваться тем, что вам "говорит" система обнаружения атак, даже самая совершенная (а вы видели такую?). Приходится опускаться на уровень ручного анализа данных, собранных не только системой обнаружения атак, но и другими средствами (например, сетевыми анализаторами).
Современные системы информационной безопасности (ИБ) в большинстве своем строятся на анализе данных, получаемых от различных компонентов ИТ-инфраструктуры. Предприятия и организации, нуждающиеся во внедрении систем ИБ, как правило, имеют достаточно развитую и сложную структуру, соответственно, велик и объем поступающей для анализа информации. Для того, чтобы система ИБ была эффективной и соответствовала возлагаемым на нее задачам, необходимо выполнение ряда задач, среди которых видное место занимает мониторинг событий.
