37. Системы обнаружения уязвимостей и атак. Архитектура системы обнаружения атак.

Системы обнаружения атак (СОА) помогают компьютерным системам подготовиться к приему и отражению атак. Они выполняют эту цель путем сбора информации о целом ряде системных и сетевых ресурсов, затем они анализируют собранную информацию на предмет идентификации проблем защиты. В некоторых случаях СОА позволяют пользователю устанавливать ответные реакции на злоупотребления в реальном масштабе времени.

Функции СОА:

1. Мониторинг и анализ деятельности пользователей и вычислительных систем;

2. Аудит конфигураций системы и уязвимостей;

3. Оценка целостности наиболее важных системных файлов и файлов данных;

4. Распознавание шаблонов активности, отражающих известные атаки;

5. Статистический анализ шаблонов аномальной активности;

6. Управление журналами регистрации операционной системы с распознаванием деятельности пользователя, отражающей нарушения политики безопасности.

Некоторые системы имеют дополнительные характеристики, включающие:

1. автоматическую инсталляцию patch'ей ПО, поставляемых продавцом;

2. инсталляцию и работу серверов-ловушек для записи информации о нарушителях.

Комбинация этих характеристик позволяет системным администраторам более эффективно осуществлять мониторинг, аудит и анализ систем и сетей. Эта непрерывная деятельность по анализу и аудиту является необходимой частью стандартной практики по управлению защитой.

Системы поиска уязвимостей (сканеры безопасности) проводят всесторонние исследования систем с целью определения уязвимостей, которые могут привести к нарушениям защиты. При проведении этих исследований эти системы реализуют две стратегии. Первая - пассивная, - механизмы, действующие на уровне операционной системы и приложений, инспектируют конфигурационные файлы системы на предмет наличия неправильных параметров; файлы с системными паролями на предмет наличия легко угадываемых паролей, а также другие системные объекты на предмет нарушений политики безопасности. Следующие проверки в большинстве случаев являются активными, они осуществляют анализ на сетевом уровне, воспроизводя наиболее распространенные сценарии атак, и анализируют реакции системы на эти сценарии.

Результаты, полученные от средств анализа уязвимостей, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут надежно обнаруживать атаку в процессе ее развития, они могут определить то, что атака является возможной и, более того, иногда они могут определить, что атака имела место.

Главная задача средств поиска уязвимостей и обнаружения атак заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы, и сделать их понятными для тех, кто не является экспертом в области защиты информации. Поэтому продукты разрабатываются с графическим интерфейсом, удобным и понятным для пользователя, что помогает администраторам безопасности легко и быстро осуществлять инсталляцию, конфигурацию и использование соответствующих продуктов. Большинство систем включают информацию об обнаруживаемых проблемах, включая указания на то, как устранить эти проблемы.

Классификация СОА по уровням информационной системы:

1. Уровень приложений и СУБД. СОА данного уровня собирают тс анализируют инфор­мацию от конкретных приложений, например, от систем управления базами данных, Web-серверов или межсетевых экранов.

2. Уровень ОС. СОА уровня ОС собирают и анализируют информацию, отражающую деятельность, которая происходит в ОС на отдельном компьютере. Эта информация представляется, как правило, в форме журналов регистрации операционной системы.

3. Уровень сети. СОА уровня сети собирают информацию из самой сети, т.е. из сетевого трафика. Выполняться эти системы могут на обычных компьютерах, на спе­циализированных компьютерах или интегрируются в маршрутизаторы или коммутаторы.

Все СОА можно разделить, на две категории — автономные и клиент-серверные системы. Первые выполняют сбор информации, ее анализ и реагирование на одном компьютере. Системы второй категории строятся по иному принципу. В наиболее критичных точках корпо­ративной сети устанавливаются сенсоры СОА, которые отвечают за выявление атак и реагирование на них. Все управление осуществляется с центральной консоли, на которую также передаются все сигналы тревоги.

Архитектура СОА включает 7 модулей, каждый из которых отвечает за выполнение своей задачи.

-Модуль работы с источником информации отвечает за взаимодействие с журналом регистрации, сетевой картой или ядром ОС для получения данных, на основе которых делается вывод о наличии или отсут­ствии атаки.

-Второй модуль служит для управления всеми компонентами СОА и обеспечения "общения" между ними.

-Хранилище данных является обычным журналом регистрации, в котором содержится вся информация о зафиксированных атаках и подозрительных событиях.

-База знаний содержит информацию, на основа­нии которой принимается решение о том, зафиксирована ли атака в записях выбранного источника или нет.

-Сопоставление правил базы знаний с записями выбранного источника информации выполняет модуль обнаружения атак, который на основании полученного результата может отдавать команды модулю реаги­рования.

-Графический интерфейс облекает всю работу системы обнаруже­ния атак в удобную для администратора форму. При помощи графического интерфейса осуществляется как управление, так и сбор информации от всех компонентов системы обнаружения атак.

Сенсор отвечает за обнаружение и реагирование на атаки, а также за передачу сведений об обнаруженных несанкционированных действиях на консоль управления. Консоль предназначена для управления сенсорами и сбора информации всех сенсоров, подключенных к ней.