6.4. Выводы (Сделайте правильный выбор)

Как уже было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровне. Принципиальное преимущество сетевых (network-based) систем обнаружения атак в том, что они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. В России наибольшее распространение получили операционные системы MS DOS,Windows, Netware и WindowsNT. Различные диалектыUnixу нас пока не столь широко распространены, как на Западе. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Например, мне не известна ни одна система этого класса, функционирующая под управлением MS DOS илиWindows for Workgroups(а ведь эти операционные системы еще достаточно распространены в России). Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени (например, система "Операционный день банка" или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить большую часть сетевых узлов организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением была бы система обнаружения атак, объединяющая в себе оба эти подхода. Но на начало 1999 года существует только одна система, удовлетворяющая этому требованию. Это система, разработанная компаниейInternet Security Systems, Inc. - RealSecure, в состав которой входят сетевой и системный агенты, обнаруживающие атаки на уровне сети и хоста, соответственно.

Существует и еще одна классификация систем обнаружения атак. Она делит системы по тому, когда анализируются данные - в реальном масштабе времени или после совершения события. Как правило, системы обнаружения атак на уровне сети работают в реальном режиме времени, в то время как системы, функционирующие на уровне хоста, обеспечивают автономный анализ регистрационных журналов операционной системы или приложений. Однако бывают и исключения. Например, системный агент вышеупомянутой системы RealSecureфункционирует в реальном масштабе времени. Преимущества и недостатки каждого из подходов зависят от того, как будет применяться система обнаружения атак. В случае высококритичных систем, таких как, например, "Банковский операционный день", обнаружение атак в реальном режиме времени является обязательным, т.к. злоумышленник может проникнуть в систему, сделать все, что необходимо и исчезнуть в течение нескольких минут или даже секунд. Однако и автономный анализ имеет немалое значение. Он позволяет проводить более подробное исследование того, когда и как злоумышленники проникли в вашу систему. Это позволит выработать вам эффективные меры противодействия нападавшим. Реализован такой анализ может быть по разному. Начиная от простой генерации отчета с информацией обо всех или выбранных прошедших событиях, и заканчивая воспроизведением (playback) в реальном времени всех действий, производимых при атаке (как это, например, реализовано в системеRealSecure). Однако необходимо заметить, что анализ данных "постфактум" полезен только при наличии квалифицированного обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Важно, чтобы системы обнаружения атак поддерживали эту возможность, предоставляя эффективные средства управления данными.

Не рассматривая подробно алгоритмы обнаружения атак, более подробно остановлюсь на некоторых моментах, на которые стоит обращать внимание при выборе системы для своей организации. Во-первых, это варианты реагирования на обнаруженную атаку. Как минимум, система обнаружения атак должна выдавать сигнал о тревоге на консоль администратора или уведомлять его по электронной почте. Большинство представленных на рынке систем обладает этими возможностями. Наиболее "продвинутые" системы предлагает и другие варианты уведомления. Например, система обнаружения атак RealSecureпозволяет посылать уведомление об атаке на консоль некоторых межсетевых экранов (например,Lucent Managed Firewall), систем сетевого управления (например, HPOpenViewили CAUnicenter), а также генерировать сигнал тревоги и передавать его на пейджер, факс или телефон. Кроме уведомления, системы обнаружения атак предлагают и другие варианты реагирования - реконфигурация межсетевых экранов и маршрутизаторов, автоматическое завершение атаки с атакующим узлом, блокировка учетной записи атакующего пользователя и т.д.

Второе, на что следует обратить свой взгляд, является архитектура системы. Существует два распространенных варианта - архитектура "автономный агент" и "агент-менеджер". В обоих случаях вы устанавливаете компоненты системы обнаружения атак на выделенные компьютеры, но во втором случае вы сможете централизованно управлять модулями слежения с единой консоли (менеджера) и удаленно собирать регистрационные данные не посещая каждый узел, на котором установлена система обнаружения атак. В небольших сетях это не имеет большого значения, однако, для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, это принципиальный момент.

В целом, все требования, которые необходимо учитывать при выборе систем обнаружения атак можно условно разделить на несколько групп:

- Инсталляция и развертывание системы;

- Безопасность самой системы;

- Обнаружение атак;

- Реагирование на атаки;

- Конфигурация системы;

- Контроль событий;

- Управление данными системы;

- Производительность системы;

- Архитектура системы;

- Техническая поддержка системы.

Подводя итог, можно сказать, что система обнаружения атак – это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать и анализировать информацию от множества удаленных системных и сетевых агентов на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные агенты и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем дорогостоящая игрушка, если у вас в штате нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак.

Таблица 1. Список известных систем обнаружения атак

Название	Производитель	Протокол	Интерфейс	Web-сервер	Тип обнаружения атак	ОС	Примечание
RealSecure	Internet Security Systems, Inc.	TCP/IP	Ethernet, Fast Ethernet, FDDI, Token Ring	www.iss.net www.infosec.ru	На уровне сети На уровне хоста	Windows NT, Unix	Первая система, которая получила распространение в России
OmniGuard Intruder Alert	Axent Technologies	Не применимо	Не применимо	www.axent.com	На уровне хоста	Windows NT, Unix, Netware
NetRanger	Cisco Systems	TCP/IP	Ethernet, Fast Ethernet, FDDI, Token Ring	www.cisco.com	На уровне сети	Solaris	Система была разработана компанией WheelGroup, которую приобрела корпорация Cisco.
SessionWall-3	MEMCO Software	TCP/IP	Ethernet, FDDI, Token Ring	www.abirnet.com	На уровне сети	Windows NT, Windows 9x
Kane Security Monitor	Security Dynamics	Не применимо	Не применимо	www.securid.com	На уровне хоста	Windows NT, Netware	Система была разработана компанией Intrusion Detection, которую приобрела корпорация Security Dynamics
Network Flight Recorder	NFR	TCP/IP	Ethernet, Fast Ethernet, FDDI	www.nfr.com	На уровне сети	Unix