Таких романов нынче нет. Не хотите ли разве русских?
А разве есть русские романы?..
Пришли, батюшка, пожалуйста пришли!
“Пиковая дама”, А.С. Пушкин
На прошедшей 3-4 апреля конференции “Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти” был представлен ряд новых отечественных разработок в области обнаружения атак. За последний год это уже не первый случай, когда отечественные разработчики представляют российскому потребителю свои наработки в этой сфере. Мало того, многие ВУЗы и институты ведут аналогичные исследования. Казалось бы, можно считать, что наша страна не отстает от своего западного брата и тоже идет в ногу со временем, создавая одни из самых востребованных и эффективных средств защиты корпоративной сети. Однако не все так просто в “датском королевстве”. И, несмотря на наличие уже десятка различных систем обнаружения атак, созданных руками отечественных специалистов, по моему мнению в России сейчас отсутствуют компании, действительно способные создать систему корпоративного уровня, которая может потягаться с решениями компаний Internet Security Systems, Cisco, Symantec и Enterasys.
Чтобы обосновать свою точку зрения необходимо сделать небольшой экскурс в технологию обнаружения атак. При создании систем используются два основных подхода:
* Обнаружение аномального поведения, используя хорошо себя зарекомендовавший аппарат математической статистики. Данный подход используется, как правило, при обнаружении DoS-атак, использующих посылку большого числа трафика за короткий интервал времени и т.п. Также данный подход пытаются применять при контроле поведения пользователя в информационной системе. Типичные действия пользователя описываются в шаблоне, отклонения от которого и признаются аномалией, требующей вмешательства соответствующих служб.
* Обнаружение злоупотреблений, используя сигнатуры, описывающие последовательность байт или действий, характеризующих несанкционированную деятельность. Этот подход знаком всем по антивирусным системам, которые построены именно поэтому принципу.
Сейчас трудно выделить какой-то предпочтительный метод для использования его в системе обнаружения атак. Каждый из них имеет свою область применения; свои атаки, на обнаружение которых он рассчитан. Например, троянцы и черви проще всего обнаруживать, используя сигнатуры, а различные “лавины” пакетов, выводящие из строя целые сети, - с помощью контроля статистики. Специалисты отмечают, что эти методы используются в современных системах обнаружения атак в соотношении 70/30 в пользу сигнатурного подхода, хотя в последнее время наметилась тенденция к более широкому использованию статистических методов. Появился даже специальный термин, описывающий системы обнаружения атак этого класса - Statistical IDS.
Второе, о чем надо сказать, что системы обнаружения атак могут быть ориентированы на предприятия разных масштабов - от уровня малого и среднего бизнеса до уровня крупных корпораций. Создать решение для SMB-рынка достаточно легко. Мало того, их и создавать не нужно. Есть свободно-распространяемая система обнаружения атак Snort - достаточно взять ее исходные тексты и использовать в своем изделии. Некоторые компании так и поступают. Например, Элко или Инфосистемы Джет , которые встроили Snort в свои межсетевые экраны “Эльф” и “Z-2″ соответственно. Я оставлю за кадром вопрос использования решений “open source” в корпоративной информационной безопасности. Сошлюсь только на мнение CIO нефтяной компании “ЮКОС” Андрея Кельманзона, который считает, что возможность поддержки со стороны производителя ПО является основным преимуществом коммерческого ПО. Тем более что непосредственно стоимость лицензии программного обеспечения составляет по данным Gartner Group не более 15% от совокупной стоимости владения ПО, которая также включает в себя стоимость компьютера, затраты на внедрение и эксплуатацию системы защиты и т.д. Свободно-распространяемое или условно-бесплатное ПО - удел небольших компаний, которым проще решать вопросы с его управлением, обновлением и поддержкой. Кроме того, именно зрелые и крупные компании четко понимают всю необходимость планирования своей информационной политики, что невозможно без знаний перспектив и некоторых гарантий развития продукта.
Однако, я не стану утверждать, что свободно-распространяемое ПО не применимо в крупных компаниях. Мало того, я знаю несколько примеров такого использования системы Snort в организациях, которые очень серьезно относятся к своей безопасности и имеют достаточные средства на приобретение коммерческих систем защиты. Однако такие факты скорее исключение, чем правило. Связано это с тем, что специалисты, применяющие Snort в своей сети, составляют с ней симбиоз и без них это средство превратится в абсолютно неэффективный элемент системы корпоративной защиты информации. Еще один вариант использования свободно-распространяемых систем обнаружения атак в крупных компаниях - действие по принципу “не класть все яйца в одну корзину”, т.е. дублирование коммерческого ПО от таких производителей, как Internet Security Systems, Cisco, Enterasys и т.д.
Однако пойдем дальше. В отличие от небольших компаний, крупным корпорациям может очень дорого обойтись пропущенная атака. Уже известны примеры, когда на платежные системы банков осуществлялись DoS-атаки, выводящие их из строя, после чего злоумышленники пользовались простоем компонентов системы в своих недобрых целях. Ситуация усугубляется еще и тем, что в настоящий момент зафиксированы случаи банкротства компании в результате грамотно спланированной атаки на ресурсы корпоративной сети (я о них писал уже в статье “Атаки на операторов связи” в 21-м номере PCWeek за 2002 год). Поэтому на первое место выходит наличие грамотно построенной подсистемы обновления, которая сама автоматически “стучится” к серверу обновлений, загружает новые сигнатуры, и потом, также автоматически, распределяет по всем управляемым сенсорам системы обнаружения атак все полученные обновления. Однако дело не только в наличии такой подсистемы, но и в том, кто будет создавать новые сигнатуры. В уже упомянутых мной мировых грандах информационной безопасности существуют специальные группы экспертов (X-Force от Internet Security Systems или Symantec Security Response), в круглосуточном режиме занимающиеся исследованиями и поиском новых уязвимостей, для которых и разрабатываются соответствующие сигнатуры. Такие специалисты есть и в России, но они разрознены и трудятся “на вольных хлебах”. Таким образом, выходит, что ни одна отечественная компания не имеет в своем штате достаточного числа специалистов, способных своевременно и на должном уровне разрабатывать сигнатуры для постоянно появляющихся новых способов проникновения и нападения на корпоративные сети.
Апологеты свободно-распространяемых систем упирают на возможность создавать собственные сигнатуры, не дожидаясь их разработки со стороны производителя системы обнаружения атак. Действительно, это большое подспорье для специалистов, отвечающих за эксплуатацию систем обнаружения атак. У коммерческих систем, таких как RealSecure, SecureNet, NFR NID и т.п. также существует свой язык описания атак, но на практике эта функция практически не используется. Опрос, проведенный на сайте WhiteHats показал, что более половины всех пользователей не знают, как создавать свои сигнатуры, даже имея в руках такой мощный механизм расширения функциональных возможностей систем обнаружения. Кроме того, как показывает практика, администраторы не всегда обладают временем на создание сигнатур, тратя все свое время на повседневные, рутинные операции.
Понимая невозможность создания команды, круглосуточно создающей новые сигнатуры, некоторые российские компании и вузы пошли по пути создания системы обнаружения атак, использующей “аномальный” подход. Понять их можно. Создав такую систему и настроив один раз, ее не надо будет регулярно обновлять, т.к. она будет работать по имеющимся шаблонам поведения пользователя или контролируемой системы. Все бы ничего, но на сегодняшний день существуют реальные трудности задания таких шаблонов. Кроме того, возможность контроля аномальной активности, даже будучи настроенной, может помочь в обнаружении далеко не всех атак, а только узкого их спектра, что не позволяет использовать системы, построенные на этом методе, в качестве единственно верного средства защиты.
Учитывая все вышесказанное, приходится к сожалению признать, что в настоящее время в России нет ни одной системы обнаружения атак, которая могла бы по достоинству конкурировать со своими западными аналогами. Разработать защитные средства, использующие сигнатурный подход и адекватные текущей, постоянно меняющейся ситуации, российские компании пока не могут. А применять системы, обнаруживающие аномалии, пока не готовы компании-заказчики; не только в России, но и во всем мире. Остается только надеяться, что либо российские компании смогут в скором времени создать действительно эффективную инфраструктуру для создания конкурентоспособных систем обнаружения атак, либо методы обнаружения аномального поведения станут более эффективными и выйдут за рамки научных исследований, что позволит использовать их в реальной жизни.
Информация об авторе статьи
Информация взята с сайта www.infosec.ru
Автор: А. Лукацкий