Intrusion Detection Systems (IDS)
Лекция из курса «Межсетевое экранирование»

Назад Оглавление

Дополнительные инструментальные средства

Существует несколько инструментальных средств, которые дополняют IDS и часто помечаются производителями как системы обнаружения проникновения, так как они выполняют аналогичные функции. Обсудим четыре из таких инструментальных средств: системы анализа уязвимостей, контроллеры целостности файлов, Honey Pots и Padded Cells, и опишем, какие они обеспечивают возможности для организации определения проникновения.

Системы анализа и оценки уязвимостей

Инструментальные средства анализа уязвимостей (известные также как оценка уязвимостей) тестируют сеть или хост для определения наличия уязвимостей для известных атак. Анализ уязвимостей предоставляет дополнительную информацию для систем обнаружения проникновения. Используемыми источниками информации являются атрибуты состояния системы и выходные данные осуществленных атак. Источники информации являются частью механизма оценки. Интервал времени анализа либо является фиксированным, либо определяется параметром в пакетном режиме, типом анализа является определение злоупотреблений. Это означает, что системы оценки уязвимостей являются пакетным режимом детекторов злоупотреблений, которые оперируют с информацией о состоянии системы, и результатом становятся специальные тестовые подпрограммы.

Анализ уязвимостей — очень сильная технология управления безопасностью, но эта технология является лишь дополнением к использованию IDS, а отнюдь не ее заменой. Если организация полагается исключительно на инструментальные средства анализа уязвимостей для слежения за системой, осведомленный атакующий может просмотреть систему анализа уязвимостей, заметить, когда выполняется анализ, и осуществить атаку во время интервала между этими проверками.

Тем не менее системы анализа уязвимостей могут создавать "моментальный снимок" состояния безопасности системы в конкретное время. Более того, так как они являются исключительно тестовыми системами поиска уязвимостей для большого числа известных атак, системы анализа уязвимостей могут позволять менеджеру безопасности контролировать ошибки человека или выполнять аудит системы для анализа согласованности с конкретной политикой безопасности системы.

Разница между системами анализа уязвимостей и системами обнаружения проникновения

Системы анализа уязвимостей аналогичны системам обнаружения проникновений, так как и те и другие следят за конкретными симптомами проникновения и другими нарушениями политики безопасности. Однако системы анализа уязвимостей рассматривают статический взгляд на такие симптомы, в то время как обнаружение проникновений исследует их динамически. Здесь такая же разница, как между кадром фотоснимка и прокручиванием видео.

Процесс анализа уязвимостей

Общий процесс оценки уязвимостей состоит в следующем:

• определить множество атрибутов системы, которые будут рассматриваться в качестве шаблона;
• сохранить значения данного шаблона в безопасном репозитории данных. Данное множество может быть вручную определено как образец "идеальной конфигурации" или моментальный снимок состояния системы, созданный ранее;
• периодически определять текущие значения атрибутов и сравнивать их с шаблоном;
• определить различия между шаблоном и текущими значениями и создать отчет.

Коммерческие системы оценки уязвимостей часто оптимизируют данный процесс тем, что выполняют параллельно несколько инструментальных средств оценки.

Классификация инструментальных средств анализа уязвимостей

Существует два основных способа классификации систем анализа уязвимостей: первый – по расположению, из которого информация об оценке получена, и второй – по информации, которой располагает инструментальное средство анализа уязвимостей. При использовании первой схемы классификации для оценки уязвимостей системы классифицируются либо как network-based, либо как host-based. При использовании второй схемы системы классифицируются как credentialed или non-credentialed. Эти термины указывают, делался ли анализ с креденциалами или без креденциалов (таких, как IDs и пароли или другая идентификационная и аутентификационная информация, с помощью которой предоставляется доступ к внутренним системам). Мы будем использовать первую схему классификации для описания различных подходов к анализу уязвимостей.

Host-Based анализ уязвимостей

Системы host-based анализа уязвимостей определяют уязвимость, анализируя доступный источник системных данных, такой как содержимое файлов, параметры конфигурации и другая информация о статусе. Данная информация обычно доступна с использованием стандартных системных запросов и проверки системных атрибутов. Так как информация получена в предположении, что анализатор уязвимости имеет доступ к хосту, данный тип инструментальных средств анализа также иногда называется credential-based оценка уязвимости. Такая оценка определяется как пассивная.

Наилучшего результата достигают host-based оценки уязвимостей, которые имеют возможность выполнять привилегированные атаки. Это такие атаки, которые могут получить привилегии superuser или root на UNIX-системе или доступ administrator на Windows-системе.

Network-Based анализ уязвимостей

Системы network-based анализа уязвимостей получили распространение в последние несколько лет. Данные системы требуют установления удаленного соединения с целевой системой. Они могут реально проводить атаки на систему, понимать и записывать ответы на эти атаки или прощупывать различные цели для поиска слабых мест, которые следуют из их ответов. Такое проведение атак или прощупывание может происходить независимо от того, есть ли разрешение на доступ к целевой системе; следовательно, это можно считать non-credential анализом. Более того, так как network-based анализ уязвимостей выглядит как реальная атака или сканирование целевой системы, он также иногда обозначается как активный анализ.

Инструментальные средства network-based анализа уязвимостей иногда определяются как инструментальные средства обнаружения проникновения. Хотя, как уже обсуждалось ранее, это корректно в соответствии с некоторыми определениями обнаружения проникновения, все же программный продукт анализа уязвимостей не является законченным решением обнаружения проникновения для большинства окружений.

Существуют два метода, используемые при network-based оценки уязвимостей:

• Тестирование exploit’ов. В этом случае система пытается осуществить реальную атаку. После этого возвращается флаг статуса, указывающий, была ли атака успешной.
• Анализ создаваемых объектов. В данном случае система реально не использует уязвимости, а анализирует определенные созданные объекты, которые могут приводить к успешным атакам. Примеры подобных технологий анализа включают проверку номеров версий, указываемых системой в ответ на запрос, анализ открытых портов, проверку согласованности протоколов с помощью простых запросов статуса или другой аналогичной информации.

Преимущества и недостатки систем анализа уязвимостей

Преимущества систем анализа уязвимостей:

• Анализ уязвимостей имеет важное значение как часть системы мониторинга безопасности, позволяя определять проблемы в системе, которые не может определить IDS.
• Системы анализа уязвимостей имеют возможность выполнять относящееся к безопасности тестирование, которое может использоваться для документирования состояния безопасности систем в момент начала функционирования программы безопасности или для переустановки базовых функций безопасности всякий раз, когда происходили существенные изменения.
• Когда системы анализа уязвимостей используются регулярно, они могут надежно обнаруживать изменения в состоянии безопасности системы, оповещая администраторов безопасности о проблемах, которые требуют решения.
• Системы анализа уязвимостей предлагают способ комплексной проверки любых изменений, сделанных в системе, гарантируя, что уменьшение одного множества проблем безопасности не создаст другого множества проблем.

Недостатки и проблемы систем анализа уязвимостей:

• Host-based анализаторы уязвимостей сильно привязаны к конкретным ОС и приложениям; следовательно, они часто являются более дорогими с точки зрения развертывания, сопровождения и управления.
• Network-based анализаторы уязвимостей являются платформо-независимыми, но они менее точные и создают больше ложных тревог.
• Некоторые network-based проверки, особенно касающиеся DoS-атак, могут разрушить систему, которую они тестируют.
• При выполнении оценки уязвимостей в сетях, в которых работают системы обнаружения проникновений, IDS могут блокировать проведение последующих оценок. Хуже того, регулярные network-based оценки могут "обучить" некоторые IDS, основанные на обнаружении аномалий, игнорировать реальные атаки.
• Организации, которые используют системы оценки уязвимостей, должны иметь гарантию, что такие тестирования ограничены системами внутри их границ управления. Проблемы защиты частной жизни также должны быть рассмотрены, если персональные данные сотрудников или клиентов включены в информационные источники.

Способы взаимодействия сканера уязвимостей и IDS

Рассмотрим такую аналогию. Системы обнаружения проникновения являются аналогами камер мониторинга безопасности. Стандартные IDS выполняют мониторинг в реальном времени и анализ полученных данных; следовательно, они являются аналогами камер, которые записывают видеоизображения. Системы анализа уязвимостей выполняют мониторинг и анализ состояния системы с интервалами; следовательно, они являются аналогами камер, которые делают фотоснимки. Системы анализа уязвимостей могут определить, существует ли проблема в конкретный момент времени, и далее предоставить этот результат для дальнейшего исследования и обработки. IDS могут, с другой стороны, сказать очень точно, существуют ли проблемы в течение интервала времени, и далее сообщить об условиях, которые необходимы для решения проблемы, а также об угрозах, возникающих в связи с данной проблемой.

Проверка целостности файлов

Проверки целостности файлов являются другим классом инструментальных средств безопасности, которые дополняют IDS. Эти инструментальные средства используют дайджест сообщений или другие криптографические контрольные суммы для критичных файлов и объектов, сравнивая их с хранимыми значениями и оповещая о любых различиях или изменениях.

Использование криптографических контрольных сумм важно, так как атакующие часто изменяют системные файлы по трем причинам. Во-первых, изменение системных файлов могут быть целью атаки (например, размещение Троянских программ), во-вторых, атакующие могут пытаться оставить лазейку (back door) в систему, через которую они смогут снова войти в систему позднее, и, наконец, они пытаются скрыть свои следы, чтобы собственники системы не смогли обнаружить атаку.

Хотя проверка целостности файлов часто используется для определения, были ли изменены системные или выполняемые файлы, такая проверка может также помочь определить, применялись ли модификации для исправления ошибок к программам конкретных производителей или системным файлам. Это также является очень ценным при судебных разбирательствах, так как позволяет быстро и надежно диагностировать следы атаки. Она дает возможность менеджерам оптимизировать восстановление сервиса после произошедшего инцидента.

Свободно распространяемый продукт Tripwire (www.tripwiresecurity.com), возможно, является лучшим примером инструментального средства проверки целостности файлов.

Назад Оглавление