- •Введение
- •Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ
- •Причины использования ids
- •Классификация ids
- •Распределённые системы обнаружения вторжений
- •Описание распределённых ids
- •Архитектура распределённых ids
- •Системы предотвращения вторжений
- •Определение новых методов компрометации системы
- •Расположение ids
- •Активный аудит в ids
- •Варианты реакций на обнаруженную атаку
- •Выявление злоупотреблений
- •Ids, осуществляющие эвристический анализ
- •Эвристический анализ
- •Эвристика в ids
- •Этапы развертывания nids
- •Обоснование расходов на системы обнаружения вторжений
- •Преимущества hids и nids
- •Стоимость управления ids
- •Проблемы использования ids
- •Оценка рисков и управление эффективностью
- •Сравнение ids, осуществляющей эвристический анализ с подобными системами
- •Анализ работы ids Stealth Watch
- •Оценка угроз и управление эффективностью
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Риск-анализ атак, совершенных на ас, защищённых сов, осуществляющими эвристический анализ
- •Управление эффективностью
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Стоимость управления ids
Общая стоимость работы IDS зависит от цены реализации в сочетании с ценой управления. Предоставляется управление IDS человеку, опытному в этой технологии. Некоторые стандартные реализации и методы управления IDS включают в себя использование MSSP (Managed Security Services Provider - Интернет-провайдер, предоставляющий услуги по внедрению средств защиты ЛВС и отдельных компьютеров в Интернете, а также по дистанционному управлению, мониторингу и сервисному сопровождению), использование одного инженера и круглосуточное посменное обслуживание (24x7x365) квалифицированным персоналом. Безусловно, все зависит от размера организации и соответствующего IT бюджета. Для маленьких реализаций IDS поддержка MSSP гораздо предпочтительнее, чем круглосуточное управление штатом специалистов. В больших реализациях IDS различие цены между управлением высококвалифицированным собственным штатом и MSSP значительно уменьшается. Поддержка одним инженером представляется нереальной для управления 30 устройствами безопасности. Также, эта идея не учитывает разработку частных инструментов для эффективного управления несколькими различными технологиями.
Чтобы создать гипотетическую компанию и рассчитать для неё ROI, основанный на эффективной установке и управлении технологиями HIDS и NIDS, необходимо сформулировать целостный подход для анализа риска. Для расчета ROI, можно использовать обычные формулы и определения, связанные с оценкой активов, подверженности воздействиям, угрозой, уязвимостью и ожидаемых потерь. Добавленный фактор, называемый каскадным коэффициентом угрозы (CTM – Cascading Threat Multiplier), позволяет расширить широко используемую формулу для вычисления ожидания единичной потери (SLE – Single Loss Expectancy):
SLE = Exposure Factor (EF) x Asset Value (AV). (Exposure Factor – фактор подверженности воздействиям, Asset Value – ценность актива.)
Чтобы подчеркнуть важность неочевидных соображений, которые помогут нам применить наш целостный подход для количественного измерения риска и расчета ROI, при расчете активов компании необходимо учитывать престиж фирмы и скрытые издержки. Хотя неочевидные факторы добавляют субъективность в анализы риска и возврата, тем не менее, их важно учитывать. Стоит отметить, что обычно организации недооценивают ценность некоторых данных, не осознавая, какую роль они играют в «общей картине». Такова человеческая природа – когда есть выбор, идти по пути наименьшего сопротивления. Но это очень опасный путь для тех, кто намерен дать верную оценку активов данных, находящихся в их сети. Понимание материальных затрат и пользы от актива гораздо проще, чем понимание неочевидных затрат и пользы от того же актива. Разъяснение этого вопроса – одна из наших задач, и мы постоянно будем обращаться к ней при вычислении ROI [88].
Проблемы использования ids
Общие сложности использования IDS:
1) Шифрование данных. Шифрованные сообщения могут содержать вредоносную информацию, а IDS не в состоянии обнаружить её, в результате чего становится возможной реализация атак. Шифрование данных делает бесполезным просмотр содержимого пакетов, а также определённого источника и приёмника данных. Однако такая ситуация присуща только сетевым IDS, т.к. хостовая IDS может получить доступ к расшифрованной информации.
2) Большое количество разнообразных сценариев атак. Вторжение в систему может быть основано на применении сложного сценария атаки. IDS должна связать появление отдельных событий с глобальной стратегией атаки.
3) Зашумлённость данных. Модуль сбора данных обычно генерирует большой объём данных об активности системы. В настоящее время при разработке большее внимание уделяется проблеме распознавания атак, в то время как проблема фильтрации отодвигается на второй план.
4) Распределённые атаки. Основная причина возникновения распределённых атак – существование скомпрометированных хостов в сети, управляемых нарушителем, осуществляющим распределённую атаку.
Существуют три причины использования распределённых атак:
1) Сокрытие. Атака с нескольких IP адресов позволяет нарушителю добиться малого размера сигнатуры с одного адреса, что затрудняет обнаружение атак;
2) Мощность. Скоординировав атаку с нескольких адресов обнаружения вторжений, нарушитель способен применить больше сценариев атаки в меньший промежуток времени. Целью атаки при этом может быть один или несколько хостов.
3) Сбор информации. Работая с различных IP-адресов, и часто с различных подсетей, можно получить данные, которые иногда невозможно получить с одного IP адреса. К таким данным могут относиться кратчайший маршрут, потенциальные уязвимости.
Таким образом, распределённые атаки сложно обнаружить по следующим причинам:
1) Скрытые сигнатуры;
2) При успехе атаки отказа в обслуживании, атакуемая сеть часто не функционирует, что создаёт трудности в диагностировании атаки, её источников, так и обмен данными об атаке затруднён;
3) При блокировании источника обнаруженной атаки на межсетевом экране могут быть заблокированы сети, которые должны быть доступны для атакуемых хостов;
4) Трудно определить истинного нарушителя безопасности;
5) При устранении источника атаки необходимо восстанавливать безопасность многих хостов;
Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ:
1. Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P.Anderson) в 1980 г.
2. Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы.
3. Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле.
4. Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия.
5. Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий.
6. Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.
7. Отсутствие хороших способов тестирования.
Недостатки методов обнаружения:
1. недопустимо высокий уровень ложных срабатываний и пропусков атак;
2. слабые возможности по обнаружению новых атак;
3. большинство вторжений невозможно определить на начальных этапах;
4. трудно, иногда невозможно, определить атакующего, цели атаки;
5. отсутствие оценок точности и адекватности результатов работы;
6. невозможно определять «старые» атаки, использующие новые стратегии;
7. сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях;
8. слабые возможности по автоматическому обнаружению сложных координированных атак;
9. значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени [89].