Во многих случаях факты удачных атак на корпоративные сети удается обнаружить только после их проведения. Решением этой проблемы являются системы защиты от вторжений, позволяющие на ранних стадиях выявить и устранить многие внешние угрозы.

Суть таких систем состоит в анализе потока информации и выявлении в нём подозрительного контента. Системы защиты от вторжений анализируют один или несколько потоков с целью обнаружения признаков атак. Существуют сетевые системы обнаружения вторжений (network-based intrusion detection systems, NIDS), которые анализируют сетевой трафик. Хостовые системы (host-based intrusion detection system, HIDSs) анализируют данные аудита, собранного ОС в ответ на действия пользователей и приложений.

В основе анализа информационных потоков лежат два принципа: определение неправомерного использования, misuse detection (это — наиболее распространенный подход), и обнаружение отклонений от нормы (anomaly detection).

В первом случае анализ базируется на моделях, отображающих поведение нарушителя. Процесс анализа заключается в поиске последовательности событий, соответствующей этим моделям. Совпадение является признаком злонамеренных действий. Во втором случае моделью является нормальное поведение системы. Цель системы — найти события, не соответствующие установленной модели, так как аномальное поведение часто является свидетельством атаки.

Сетевые системы, основанные на механизмах обнаружения неправомерного использования, являются наиболее рас-пространенными. В их числе — свободно-распространяемый продукт Snort и коммерческий ISS RealSecure. Эффективность работы такой системы зависит от качества моделей атак (их часто называют “сигнатурами”). Совершенная модель сможет обнаружить 100% нарушений с нулевым показателем ложных срабатываний. К несчастью, написание качественных сигнатур является сложной и трудоемкой задачей. Атаки, использующие определенную уязвимость, могут ее использовать несколькими разными способами. Эта задача имеет два варианта решения: описание в сигнатурах всех способов атаки; создание абстрактной модели, которая позволит охватить любые варианты. Последнее решение, однако, может привести к повышению доли ложных срабатываний.

Системы IDS, основанные на обнаружении отклонений от нормы, представляют новую тенденцию в среде защиты от вторжений. Лишённые недостатков сигнатурных систем, IDS активно разрабатываются крупными брендами. Cisco, ISS, Symantec, Intrusion, Enterasys уже внедряют в свои продукты анализ и обнаружение аномального поведения. При этом кроме моделей поведения используют также искусственный интеллект. Таким образом можно компенсировать два главных недостатка сигнатурных систем — сложность обнаружения атак с высокой степенью полиморфизма и незащищенность от атак нулевого дня (zero-day attacks), когда злоумышленник пытается воспользоваться уязвимостью до того, как выйдет сигнатура или заплатка.

Системы, обнаруживающие аномальное поведение, по-разному работают на сетевом уровне и уровне приложений. Уровень приложений несет гораздо больше информации, поскольку анализу подвергаются не только заголовки пакетов, но и их содержимое. Таким образом, можно получить гораздо больше данных для построения статистической модели. На сетевом уровне, профилирование трафика позволяет анализировать только нормальное поведение пользователей.

Разработчики коммерческих систем IDS/IPS вынуждены включать в программ-ный код огромное количество информации о поведении разных приложений при работе с разными протоколами. Аномалией является отклонение от установленной нормы. На рынке не так уж много продуктов, способных провести качественный анализ аномального поведения и на сетевом уровне, и на уровне приложений. Наибольших успехов достигли компании Lancope и Arbor.

Одной из самых больших проблем систем обнаружения вторжений всегда было большое количество ложных срабатываний. Тонкая и точная настройка систем IDS — нелёгкая задача, требующая постоянного мониторинга и изменения на-строек. Часто она требует ручной модификации параметров систем IDS/IPS при изменениях в инфраструктуре.

Кроме всего прочего, в компаниях с развитой ИТ-инфраструктурой администраторы рискуют столкнуться с огромным количеством “тревожных сообщений”. Решения, доступные сегодня на рынке, предлагают два способа решения проблемы этой “бомбардировки” консоли администратора:

• корреляция событий, генерируемых системой IDS, с данными сканера уязвимостей, реализованная ISS Fusion и Arcsight;
• автоматическая настройка систем IDS на основе данных сканирования или пассивного анализа (fingerprinting). Sourcefire, коммерческий вариант Snort, уже использует эту возможность.

Активные сканеры предоставляют более детальные и точные результаты по сравнению с пассивными сканерами и обычно требуют меньше денежных инвестиций и изменений существующей инфраструктуры. Однако они не могут работать в режиме реального времени и медленно собирают данные.

Одним из лидеров рынка систем, объединяющих сразу оба подхода, является компания Tenable Security. Ее пассивный сканер NeVO находит уязвимости и сообщает о них Lightning Console, которая, в свою очередь, коррелирует эти уязвимости с событиями, приходящими от Snort, ISS, Dragon и других систем. NeVO также занимается поиском уязвимостей в приложениях, которые он обнаруживает. Благодаря процессу корреляции непосредственно на сенсоре системы IDS, операторы получают в тысячи раз меньше тревожных сообщений.

Двигателем систем предотвращения вторжений является принцип, заложенный в работу IDS. Он же определяет и качество работы. Система IPS находится между источником атаки и жертвой. Она блокирует или останавливает атаку в режиме реального времени без необходимости реконфигурации другого устройства или приложения (например, правил межсетевого экрана или листов доступа маршрутизатора). Система IPS может быть расположена не только в сети, но и на конечных системах (host-based IPS), останавливая атаку до того, как она достигнет конечной цели (ОС или приложения).

При выборе системы IPS важно учесть следующие факторы:

• степень задержки пакетов, проходящих сквозь системы IPS. Чем больше число атак, которые придётся блокировать/обнаруживать, тем больше задержки;
• ложные срабатывания ограничивают круг применяемых блокирующих сигнатур несколькими сотнями или даже десятками. Количество же сигнатур, используемых для обнаружения, может достигать нескольких тысяч;
• системы IPS должны уметь работать в сетях с большими скоростями без потери пакетов и без ложных срабатываний. В настоящее время предел таких систем — поток трафика в несколько гигабит в секунду;
• такие системы должны иметь режим симуляции, демонстрирующий, что могло произойти в действительности с вашим трафиком, если бы сигнатуры были активированы.

Правильно сконфигурированные системы IDS/IPS и грамотный администратор безопасности повышают уровень защищенности организации, на практике реализуя принципы многослойной и глубокой защиты. При выборе подобных систем желательно использовать опыт, накопленный компаниями, специализирующимися в области тестирования средств защиты, например NSS (www.nss.co.uk).