Проблеми моніторингу комп'ютерно-телекомунікаційних загроз

date image 2015-10-13
views image 590
Поделись с друзьями: 
12131415161718

Останніми роками спостерігається зростання зовнішніх і внутрішніх інформаційних загроз національним інтересам, у зв'язку з чим робиться ви­сновок, що проти України ведеться інформаційна війна. Зазначені чинники посилюються також глобальним поширенням і постійним розвитком нових інформаційних технологій, що, зокрема, підвищує вимоги до захищеності об'єктів критичних інфраструктур від комп'ютерно-телекомунікаційних за­гроз. Таким чином, в Україні суттєво актуалізується проблема забезпечення інформаційної безпеки. Вирішення цієї проблеми потребує передусім сис­темного моніторингу інформаційних загроз національним інтересам. Далі досліджуються особливості створення та функціонування дієвої системи моніторингу комп'ютерно-телекомунікаційних загроз, що становлять ре­альну небезпеку для об'єктів критичних інфраструктур.

Аналіз об'єктів комп'ютерно-телекомунікаційних загроз Для спостереженням за рухом трафіку в комп'ютерній мережі потрібно насамперед вирішити, звідки очікувати на ймовірні зовнішні загрози та за якими мережевими службами як потенційними внутрішніми джерелами загроз необхідно здійснювати моніторинг. Виявлення ймовірних об'єктів нападу визначає розгортання відповідних засобів моніторингу, якими є сенсори — програмно-технічні пристрої, що збирають та аналізують тра­фік мережі з метою ідентифікації підозрілих процесів.

Загальна схема комп'ютерної мережі, що показана на рис. 5, відобра­жає основні її компоненти і дає змогу оцінювати можливі альтернативи для мою мережевого захисту, яка розподіляє рух трафіку та контролює доступ за наступними зонами:

1) периметр, який простягається від зовнішнього інтерфейсу комутатора мережевого захисту через граничний маршрутизатор до Інтернету;

2) демілітаризована зона, що є сегментом мережі, де зосереджені сервери, які одночасно надають сервіси для зовнішніх і внутрішніх користувачів;

3) безпроводова зона, яка включає всі комп'ютери, що мають безпро-
водовий зв'язок;

4) внутрішня мережа, що простягається від внутрішнього інтерфейсу
мережевого захисту і включає всі комп'ютери, підключені до внутрішнього комутатора.

За цими ознаками зловмисників можна розподілити за такими класа­ми [14,15]:

1клас — зовнішні зловмисники, які розпочинають напад з мережі Інтернет;

2клас — зовнішні зловмисники, які розпочинають напад з безпроводових сегментів комп'ютерної мережі;

3клас — внутрішні зловмисники, які розпочинають напад із проводових локальних комп'ютерних мереж;

4клас — внутрішні зловмисники, які розпочинають напад із безпроводових сегментів комп'ютерної мережі.

Кожна зона моніторингу містить відповідні підсистеми, які можуть бути об'єктами нападу з боку зовнішніх і внутрішніх зловмисників. На­лаштована певним чином система мережевого захисту істотно звужує про­стір, у рамках якого ці підсистеми в різних зонах можуть взаємодіяти одна з одною. Традиційні засоби мережевого захисту обмежують рівень доступу периметра до демілітаризованої зони або внутрішньої мережі за допомо­гою впровадження підсистеми вхідного контролю.

Така конфігурація системи мережевого захисту локалізує масштаб можливих пошкоджень, який можуть завдати зловмисники, але водночас вона не обмежує їхній доступ, якщо вони здійснюють напад на комп'ютер у будь-якій окремій зоні.

Далі більш докладно розглянемо кожну зону комп'ютерної мережі, а також особливості забезпечення її моніторингу.

Периметр. Ця зона традиційно була місцем встановлення сенсорів для моніторингу активності зовнішніх загроз з Інтернету (зловмисники 1 класу). Периметр вважається найбільш підозрілим з усіх зон, оскільки за­звичай здійснюється недостатній контроль за комп'ютерами, які ініцію­ють запити назовні. Винятками є сесії зв'язку з територіальне віддаленими користувачами (з дому, готелю тощо), а також трафік ділових партнерів.

Контроль периметра дає змогу спостерігати за будь-яким нападом, який розпочато ззовні проти комп'ютерів у безпроводовій чи демілітари­зованій зоні або внутрішній мережі. Видимість комп'ютерів периметра з інших зон залежить від загального чи приватного представлення Інтернет-адреси з використанням протоколу NAT. За мережами, що використову­ють загальні IP-адреси, відносно легко здійснювати моніторинг, оскільки в цьому випадку є можливість розрізняти комп'ютери на основі їхніх IP-адрес. За мережами з приватними IP-адресами (поза системою мережево­го захисту) здійснювати моніторинг важче, тому що значна кількість їхніх комп'ютерів мають одну або декілька IP-адрес.

Забезпечення моніторингу периметра є досить складним завданням, оскільки сенсори в цій зоні мають фіксувати весь трафік зловмисників 1 класу. Цей трафік включає всі запити, що відхиляє система мережевого за­хисту. Спроби розвідки та вторгнення з боку зловмисників, які не в змозі проникнути крізь систему мережевого захисту, розглядаються як індикато­ри майбутніх нападів. Сенсори периметра налаштовані для збору великих обсягів трафіку і тому формують відповідний обсяг даних для аналізу за­гроз.

Демілітаризована зона є сегментом комп'ютерної мережі, що викорис­товується для запобігання зловмисного доступу із зовнішньої мережі до серверів внутрішньої мережі за рахунок винесення в цю зону всіх сервісів, що вимагають зовнішнього доступу. Практично ця зона є окремою підме-режею з публічними адресами, що захищена або відокремлена від інших мереж відповідними міжмережевими екранами. Вона не входить безпосе­редньо ні у внутрішню, ні в зовнішню мережу, і доступ до неї може здій­снюватися тільки за визначеними правилами.

Моніторинг у цій зоні здійснюється для того, щоб спостерігати за комп'ютерами, які з великою ймовірністю можуть бути об'єктами нападу з боку зовнішніх загроз, що ініціюються з мережі Інтернет зловмисниками 1 класу. Об'єкти демілітаризованої зони (ДЗ) включають сервери електро­нної пошти, Web-сервери, системи доменних імен, протоколи передачі файлів та ін. Враховуючи, що система мережевого захисту суттєво обмежує обсяг трафіку, який надходить до ДЗ, сенсори в цій зоні фіксуватимуть зна­чно меншу активність зловмисників, ніж у зоні периметра. Комп'ютери в ДЗ іноді розподіляють між собою одну або більше загальних IP-адрес, які спрямовуються до системи мережевого захисту через протокол NAT. За такої стратегії для системи з мережевого захисту набагато легше виявити підозрілу активність у ДЗ, особливо коли сенсори забезпечують пряму ви­димість на неї.

Сенсори в ДЗ дають змогу спостерігати напади на комп'ютери, що роз­ташовані безпосередньо в цій зоні. Вони забезпечують вторинне охоплення зловмисників, які ініціюють напади від ДЗ та інших зон. При цьому головною складністю для сенсорів у ДЗ є ефективне охоплення закодо­ваного трафіку. Оскільки більшість цих сенсорів не може фіксувати зміст Web-серверів, що створюють закодований у системі SSL мережевий тра­фік, для ефективнішого відвернення ймовірних загроз у ДЗ системним ад­міністраторам потрібно обмежити зв'язок комп'ютерів цієї зони з іншими сегментами мережі, особливо з периметром.

Безпроводова зона. Стратегія захисту цього сегмента, що зазвичай ви­користовується в комп'ютерних мережах, надає безпроводовим клієнтам такий же статус, як і традиційним клієнтам Інтернету. Комп'ютери в без-проводовій зоні так само вважаються підозрілими, як і комп'ютери, що приєднуються до мережі з Інтернету. Користувачі, що потребують підклю­чення до Інтернету (з домашніх комп'ютерів, з віддалених робочих місць та ін.), повинні спрямовувати свій трафік до віртуальної приватної мере­жі (VPN) і здійснювати двохфакторну аутентифікацію. Враховуючи, що в межах дії точки безпроводового доступу практично можливо з'єднатися з мережею, ця зона розглядається як напівпідозріла.

Виявлення зловмисників 2 та 4 класів у безпроводовій зоні є віднос­но новим завданням. Традиційні стратегії захисту в основному спрямовані на виявлення нападів безпроводовими зловмисниками проти внутрішньої мережі і не забезпечують необхідного захисту безпроводових клієнтів.

Внутрішня мережа складається з найважливіших компонентів комп'ютерної мережі. Тому користувачам Інтернету забороняється пря­мий доступ до внутрішньої мережі за винятком тих випадків, коли вони вперше контактують з аутентифікаційним сервером VPN. Забезпечення моніторингу внутрішньої мережі є найскладнішим відносно інших зон, оскільки проти її комп'ютерів найбільш вірогідні напади, ініційовані зло­вмисниками 3 класу, які мають внутрішній статус користувача. Внутрішні зловмисники (штатні працівники) можуть використовувати надані їм при­вілеї для несанкціонованого доступу до важливої інформації в мережі.

Складність реалізації сенсорів внутрішньої мережі полягає в її струк­турній неоднорідності та великому обсязі трафіку, що проходить через неї. Сенсори зазвичай розміщуються в зоні периметра та ДЗ, оскільки ці області є природними контрольними пунктами, через які має проходити трафік. На відміну від зовнішніх внутрішні мережі мають велику кількість комутаторів і маршрутизаторів, що не дає змоги забезпечити достатній рі­вень прозорості їхньої роботи під час моніторингу.

У загальному випадку фахівці з моніторингу безпеки комп'ютерних мереж (МБК) можуть здійснювати моніторинг внутрішньої мережі двома шляхами. По-перше, використовувати сегментовані внутрішні мережі, в яких групуються комп'ютери, що працюють у певних сферах (наприклад, фінансові сервери із внутрішнім мережевим захистом). Внутрішній мере­жевий захист істотно обмежує доступ до сегментованих мереж, а також має контрольний пункт, у якому може бути розміщений відповідний сенсор. По-друге, спеціалісти МБК можуть встановлювати так звані гібридні аген­ти на критично важливих внутрішніх комп'ютерах. Ці агенти відслідкову­ють увесь трафік, що виходить і надходить до комп'ютерів, на яких вони розташовані, а потім спрямовують цей трафік до центрального сенсора.

Особливості реалізації комп'ютерно-телекомунікаційних загроз

Для виявлення і протидії комп'ютерно-телекомунікаційним загрозам необхідно розуміти послідовність кроків, які здійснює чи намагатиметься здійснити зловмисник під час нападу для отримання несанкціонованого доступу до комп'ютерів мережі [11,12,16]. Зазвичай розрізняються п'ять ха­рактерних етапів нападу: розвідка, експлуатація, посилення, консолідація та крадіжка (див. рис. 6). Вказані етапи дають змогу визначати практично можливі місця, в яких найбільш імовірна несанкціонована діяльність зло­вмисника. При цьому увага концентрується на нападах, які здійснюються в основному зовнішніми зловмисниками, що є більш поширеними. У про­цесі здійснення нападу деякі із зазначених етапів можуть ігноруватися зло­вмисниками або відпрацьовуватися паралельно з іншими.

Розвідка є процесом встановлення зв'язку з об'єктом нападу, а також перевірки сервісних служб і можливих уразливостей програмного забезпе­чення цього об'єкта. Досвід свідчить, що зловмисник, який виявляє враз­ливості програмного сервісу перед етапом експлуатації, значно збільшує свої можливості щодо успішного завершення нападу. Етап розвідки може здійснюватись як із використанням допоміжних програмно-технічних за­собів, так і без них, наприклад, коли зловмисник намагається передати важливу інформацію із середини організації, що є об'єктом нападу [16]. Якщо етап розвідки не застосовується, то скануються блоки IP-адрес комп'ютерних систем для визначення окремого порту, через який мож­на здійснити етап експлуатації. Наприклад, зловмисник використовує IP-адресу в якості джерела трафіку для нападу та встановлює відповідний контроль над робочою станцією. Для перевірки якості зв'язку він може надсилати один або декілька прихованих програмних пакетів та отриму­вати й аналізувати відповіді на них. Зазначимо, що сучасні системи вияв­лення несанкціонованого доступу можуть розпізнавати такі пакети, тому зловмисники намагаються маскувати етап розвідки у вигляді звичайного трафіку мережі.

Експлуатація - це процес порушення функціонування, відміни чи зламу програмних сервісів на об'єкті нападу. На цьому етапі зловмисник використовує так звані експлойти - фрагменти програмного коду, які в репу. На цьому етапі зловмисник намагається підвищити рівень своїх приві­леїв та отримати на цьому комп'ютері кореневий доступ. Наприклад, зло­вмисник зберігає необхідні йому програмні засоби на комп'ютері, який має відповідну IP-адресу і перебуває під його контролем. Ці засоби вклю­чають спеціальні програми, які дають змогу у разі необхідності отримувати додаткові привілеї, видаляти файли історії, облікові записи, а також іншу важливу інформацію, яка може допомогти викрити зловмисника.

На етапі консолідації відбувається зв'язок зловмисника із сервером об'єкта нападу за допомогою спеціальних програмних засобів (так званих прихованих каналів «back doors»). Якщо зловмиснику вдається встановити через них такий зв'язок, можливості його виявлення істотно ускладню­ються. Приховані канали, як правило, маскуються у вигляді звичайного трафіку мережі та можуть бути виявлені лише за допомогою безпосеред­нього аналізу цього трафіку.

Крадіжка є завершальним етапом і може включати не тільки викра­дення важливої інформації, а й створення передумов для глибшого про­никнення в мережу та інших зловмисних дій.

Зауважимо, що зловмисники, які діють ізсередини організацій, що ви­користовують комп'ютерні мережі, мають значно більше можливостей для несанкціонованого доступу.

Основні етапи та функції моніторингу

комп 'ютерно-телекомунікаційних загроз

Процес моніторингу комп'ютерно-телекомунікаційних загроз включає 4 основні етапи [11-13]: оцінку, захист, виявлення і реагування (див. рис. 7).

Оцінка. На етапі оцінки визначаються необхідні заходи для забезпе­чення заданого рівня захисту комп'ютерної мережі. На основі вимог МБК формуються необхідні програмні засоби, людські ресурси й технологічні процеси, що мають здійснювати ефективну ідентифікацію можливих за­гроз і пом'якшення негативних наслідків у випадку їхньої реалізації.

На цьому етапі має бути визначена політика безпеки, що окреслить типи трафіку, яким дозволяється або забороняється проходити крізь захист ме­режі. Ця політика передбачає авторизацію таких зовнішніх протоколів і місць призначення:

- мережевий серфінг із використанням протоколів HTTP і HTTPS;

- передавання файлів із застосуванням протоколу FTP до інших серверів FTP;

- пересилання електронної пошти через протоколи SMTP і РОРЗ до
інших поштових серверів.

У контексті визначеної політики поява будь-якого іншого протоколу, не передбаченого нею, стає окремим інцидентом і цей протокол розглядається

2. Ідентифікація — фахівці здійснюють ідентифікацію трафіку, дають
йому оцінку та відправляють його події до наступної фази.

3. Валідація — відбувається розподіл подій трафіку за категоріями загроз, а також їхня індикація та попередження.

4. Ескалація — здійснюється інформування про підозрілі події (інциденти) осіб, які реалізують адекватні контрзаходи.

Реагування. У процесі реагування на ймовірні чи реальні загрози сис­тема МБК здійснює короткострокову заборону інцидентів чи кризовий моніторинг загроз.

Короткострокова заборона інцидентів - це захід, що здійснюється не­гайно при підтвердженні факту вторгнення до мережі. Введення заходів короткострокової заборони надає додатковий час для розробки середньо-строкових заходів із запобігання та реагування на ймовірні загрози.

Кризовий моніторинг загроз передбачає збирання необхідних даних стосовно об'єкта нападу чи джерела вторгнення протягом певного часу у випадках, якщо не впроваджено систему цілодобового збору цих даних. Кризовий моніторинг здійснюється на об'єкті нападу, ідентифікованого за відповідною IP-адресою, і є необов'язковим у випадку ефективного вико­ристання системи МБК.

Отже, створення системи моніторингу загроз у комп'ютерно-телекомунікаційній сфері зумовлене необхідністю кардинального вдоско­налення організації робіт із своєчасного виявлення й попередження акту­альних зовнішніх і внутрішніх інформаційних загроз, зокрема, виклика­них імовірними проявами кіберзлочинності відносно об'єктів критичної інфраструктури [17].

Системний моніторинг зовнішніх і внутрішніх інформаційних загроз є процесом постійного контролю та аналізу узагальнених параметрів стану об'єктів захисту для підготовки оперативних та обґрунтованих рішень із попередження та ліквідації негативних наслідків реалізації цих загроз. Сис­темний моніторинг має здійснюватися з метою послідовного зниження рівня ризиків їхньої реалізації та мінімізації збитків від їхніх можливих негативних наслідків. Основним завданням цього моніторингу є ефективна інформаційна підтримка процесів розробки та реалізації заходів щодо завчасного виявлення, прогнозування й попередження їхньої реалізації.

Створення й використання системи моніторингу загроз інформаційній безпеці має базуватися на наступних принципах:

- відповідність вирішуваних системою моніторингу завдань наявному рівню загроз інформаційній безпеці, а також структурі завдань органів виконавчої влади у сфері забезпечення інформаційної безпеки;

- функціональна, інформаційна та організаційна сумісність елементів
системи моніторингу, основу якої мають складати єдина система класифікації та структуризації внутрішніх і зовнішніх інформаційних загроз, базо­ві протоколи й засоби збору, обробки та обміну інформацією для підготовки, ухвалення і реалізації управлінських рішень з інформаційної безпеки;

- ієрархічність побудови системи моніторингу, можливість узгодженого
централізованого й децентралізованого використання її ресурсів;

- уніфікація й типізація інформаційних і програмно-технічних засобів для
забезпечення сумісності та взаємодії елементів системи моніторингу;

- можливість структурного і функціонального вдосконалення та розвитку системи моніторингу;

- відповідність структурного складу і професійної підготовки користувачів системи моніторингу зростаючим вимогам і завданням щодо забезпечення
інформаційної безпеки;

- недопущення критичної залежності системи моніторингу від іноземних
засобів і технологій у сфері інформаційної безпеки.

Відповідно до зазначених принципів система моніторингу має забезпечи­ти виконання наступних основних функцій:

- збір, передача, зберігання, обробка й надання інформації про узагальнені параметри стану об'єктів захисту від зовнішніх і внутрішніх інформаційних загроз;

- комплексна оцінка і прогнозування стану об'єктів інформаційної безпеки
з урахуванням соціальних, техногенних і природних чинників;

- підтримка заходів із забезпечення надійного функціонування об'єктів інформаційної сфери, а також: попередження, локалізації та ліквідації наслідків можливих кризових ситуацій у цій сфері;

- надання в установленому порядку інформаційних ресурсів системи моніторингу, забезпечення захисту цих ресурсів від несанкціонованого доступу.


РОЗДІЛ З

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

12131415161718

double arrow
Сейчас читают про:

article image
Определение конфигурации сердца, размеров поперечника сердца и сосудистого пучка
article image
Причины чеченской войны
article image
Взаимодействие аллельных и неаллельных генов. Явление плейотропии
article image
Общая экономико-географическая характеристика США
article image
Внутренние и внешние функции государства
article image
Формы и методы осуществления функций государства
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Если перейдешь меру, то самое приятное станет самым неприятным © Демокрит ==> читать все изречения...
like icon 7295
like icon 7061
Понравился сайт? Поделись им с друзьями: