ТЕХНОЛОГИИ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ

Существуют программы, создаваемые с целью вторжения в чужой компьютер, уничтожения данных на этом компьютере, похищения чужой информации, несанкционированного использования чужих ресурсов. Обнаружение вторжений - это процесс выявления попыток нарушения конфиденциальности, целостности и доступности информации в компьютере или информационной системе.

Предотвращение вторжений - процесс блокировки выявленных вторжений.

Раньше на периметре сети устанавливали всего два класса защитных средств - межсетевые экраны и системы обнаружения вторжений IDS. Межсетевые экраны (МЭ) пропускали трафик через себя, но не «заглядывали» внутрь пересылаемых данных, анализируя только заголовки IP-иакетов. Системы IDS, напротив, анализировали то, что упускалось из виду межсетевыми экранами, но не были способны блокировать атаки, так как трафик через них не проходил. На стыке этих двух технологий родился новый класс защитных средств - системы предотвращения вторжений IPS.

ОБНАРУЖЕНИЕ И ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ

Системы предотвращения вторжений IPS (Intrusion Prevention System) предназначены обеспечить безопасность защищаемых объектов от воздействия, которое признано вторжением в ИС.

Системы IPS оказались настолько популярными, что некоторые производители стали рекламировать свои IDS как системы предотвращения атак, то есть IPS, тем самым незаслуженно открывая для себя новые рынки и новых клиентов.

Па самом деле системы предотвращения вторжений IPS существенно превосходят по своим возможностям системы обнаружения вторжений IDS. Системы IPS объединяют целый ряд технологий безопасности и достаточно далеко продвинулись по сравнению со своими предшественниками - системами обнаружения вторжений

IDS.

Основные понятия

Средства системы обнаружения и предотвращения вторжений IPS автоматизируют указанные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

В отличие от системы IDS, признаками настоящей системы IPS являются следующие:

О система IPS функционирует в режиме in-line (пропускает трафик через себя) на скорости канала. Иначе говоря, решение IPS не снижает скорости передачи данных;

О система IPS обеспечивает сборку передаваемых пакетов в правильном порядке и анализирует эти пакеты с целью обнаружения следов несанкционированной активности;

О во время анализа используются различные методы обнаружения атак - сигнатурный и поведенческий, - а также идентификация аномалий в протоколах;

О система IPS в состоянии блокировать вредоносный трафик.

Таким образом, чтобы получить систему IPS из IDS, надо не только заменить одну букву в названии, но и изменить принципы работы решения, добавив новые технологии.

При рассмотрении IPS применяют классификацию, унаследованную от систем обнаружения вторжений, - деление средств предотвращения вторжений на сетевые и хостовые.

Сетевая система NIPS (Network-based IPS) представляет средство предотвращения вторжений сетевого уровня, которое находится на пути передачи сетевого трафика и осуществляет его мониторинг. Основная задача сетевой NIPS - защита группы хостов сети от возможных атак путем анализа передаваемого трафика и блокирования трафика, связанного с проведением атак.

Хостовая система HIPS (Host-based IPS) - это средство предотвращения вторжений уровня хоста, которое располагается на конкретном хосте и обеспечивает его защиту от разрушающих воздействий путем анализа сетевого трафика, поведения приложений, активируемых системных вызовов и т. п.

В системе предотвращения вторжений IPS выделяют также средства защиты от распределенных атак типа «отказ в обслуживании».

Во многих средствах защиты сегодня объединены возможности обнаружения и блокирования вторжений, поэтому иногда их условно называют продуктами IDS/IPS.

Однако для эффективной защиты применения только средств IPS оказывается недостаточно - желательно заранее знать слабые места (уязвимости) КИС, называемые в обиходе дырами, через которые злоумышленники могут успешно осуществить атаку. Дырами могут стать слабые пароли, несоответствия в настройках сетевых устройств, уязвимости операционных систем и приложений и т. п.

Для поиска и выявления таких уязвимостей существуют специализированные средства - сканеры уязвимости {Vulnerability Assessment). Их использование в КИС существенно повышает уровень защиты: определив слабые места, администратор безопасности может предпринять соответствующие меры по их устранению до того,

548 ЧАСТЬ V. ТЕХНОЛОГИИ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ как злоумышленник воспользуется ими. В последнее время стали появляться специализированные средства, которые обеспечивают автоматический процесс устранения уязвимостей, но пока подобные решения предлагают немногие производители.

Чтобы максимально снизить риск негативного воздействия атак, необходимо объединить средства IPS, сканеры уязвимости и средства устранения уязвимостей в единую подсистему с централизованным управлением.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, сканеров уязвимости, средств устранения уязвимостей, консоли оператора и администраторов (рис. 13.1) [55]. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Подсистема предотвращения вторжений в КИС

Рис. 13.1. Подсистема предотвращения вторжений в КИС

Сканеры уязвимости осуществляют поиск и выявление уязвимостей в КИС. Сервер управления получает информацию от сенсоров обнаружения атак и управляет ими. Обычно на серверах осуществляются консолидация и корреляция событий. Для более глубокой обработки важных событий средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции. Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >