Главная » Бизнес » Существующие системы обнаружения атак и их недостатки

Существующие системы обнаружения атак и их недостатки

Противостояние современному уровню угроз безопасности

Как правило, системы обнаружения атак (СОА) используются совместно с межсетевыми экранами, дополняя их функциональные возможности за счет более интеллектуального контекстного анализа пакетов данных на прикладном уровне стека TCP/IP. Однако, несмотря на широкое распространение СОА, число успешных информационных атак на ресурсы АС продолжает ежегодно увеличиваться. Результаты исследования Института компьютерной безопасности США показали, что большая часть компаний, в которых были зафиксированы успешно проведенные атаки, использовала межсетевые экраны и СОА. Все это говорит о крайне низкой эффективности существующих типов СОА, об их неспособности эффективно противостоять современному уровню угроз безопасности.

Используемые на практике типы СОА базируются на пассивных и активных методах реагирования. Пассивные методы реагирования предполагают оповещение администратора АС о выявленной атаке. Такое уведомление осуществляется следующими способами:

— выводом соответствующего сообщения на консоль управления администратора;
— посылкой администратору сообщения средствами электронной почты;
— путем формирования SNMP-trap сообщения и последующей его посылкой в систему управления (например, HP Open View, IBM Tivoli, CA Unicenter и др.).

Помимо простого оповещения администратора о факте выявления атаки, существующие СОА могут реализовать и ряд активных типов реагирования, таких как:

— блокирование TCP-соединения, по которому была реализована атака. Такое закрытие реализуется путем посылки субъектам соединения специального TCP-сегмента с установленным флагом RST;
— запуск заданной внешней программы с определенными параметрами. Наличие такой функции модуля реагирования позволяет администратору СОА дополнять существующие методы реагирования своими собственными, реализованными в виде внешних подпрограмм;
— реконфигурация межсетевого экрана с целью блокирования трафика, поступающего от хоста нарушителя. В настоящее время большая часть существующих межсетевых экранов (МЭ — razgovorodele.ru) имеет соответствующие внешние интерфейсы, обеспечивающие взаимодействие МЭ с СОА. Примером такого интерфейса является интерфейс OPSEC для МЭ Checkpoint FW-1;
— блокирование учетной записи внутреннего пользователя АС, который является потенциальным источником атаки. Учетные записи должны блокироваться на заданный период времени при помощи хостовых датчиков СОА.

Существующие системы обнаружения атак

Однако нетрудно заметить, что все рассмотренные выше методы реагирования СОА реализуются уже после того, как в АС была обнаружена атака. Это не позволяет СОА осуществить своевременное их блокирование и, соответственно, предотвратить возможный ущерб от их реализации. Другим существенным недостатком СОА является невозможность выявления неизвестных типов атак, описание которых отсутствует в базе данных СОА. Это обусловлено тем, что большинство существующих СОА используют для выявления вторжений сигнатурные методы, которые описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель др. Алгоритм работы сигнатурного метода заключается в поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками СОА. В случае обнаружения искомой сигнатуры, СОА фиксирует факт информационной атаки, которая соответствует найденной сигнатуре. Преимуществом сигнатурных методов является их высокая точность работы, а очевидным недостатком невозможность обнаружения тех атак, сигнатуры которых не определены при помощи методов.

Третьим основным недостатком СОА является большое количество ложных срабатываний в процессе работы системы. Ложным срабатыванием считается ситуация в которой СОА ошибочно фиксирует факт наличия в АС атаки, в то время как па самом деле в системе происходит штатная сетевая активность. В СОА также отсутствуют механизмы автоматической приоритезации сигнатур атак в зависимости от той среды, в которой они применяются — razgovorodele.ru. Так, например, если в сегменте Web-серверов Apache, функционирующих на базе ОС Linux, будет выявлена информационная атака Nimda, направленная на web-сервер Microsoft IIS, то ей будет присвоен наивысший уровень приоритета, даже несмотря на то, что таких Web-серверов нет в защищаемом сегменте АС. Наличие этого недостатка приводит к тому, что на консоли администратора отображается большой объем информации, из которого сложно выделить критические с точки зрения безопасности события.