Системы анализа защищенности

Системы анализа защищенности проводят всесторонние исследования систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить возможность реализации атак. Функционировать системы анализа защищенности могут на всех уровнях информационной инфраструктуры, т.е. на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких стеков протоколов, как TCP/IP, SMB/NetBIOS и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении, независимо от того, какое программное обеспечение функционирует на более высоких уровнях. Вторыми по распространенности являются средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности СУБД и приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеров Netscape Navigator и Microsoft Internet Explorer, СУБД Microsoft SQL Server и Oracle, Microsoft Office и BackOffice и т.п.

При проведении анализа защищенности эти системы реализуют две стратегии. Первая - пассивная, реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие неправильных параметров; файлов паролей на наличие легко угадываемых паролей, а также других системных объектов на нарушения политики безопасности. Вторая стратегия, - активная, осуществляемая в большинстве случаев на сетевом уровне, позволяющая воспроизводить наиболее распространенные сценарии атак, и анализировать реакции системы на эти сценарии.

Системы обнаружения атак

Аналогично системам анализа защищенности "классические" системы обнаружения атак также можно классифицировать по уровню информационной инфраструктуры, на котором обнаруживаются нарушения политики безопасности. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и прикладного ПО, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в том числе и использующие известные уязвимости. И вновь проводя аналогию с миром физической защиты, системы обнаружения атак - это охранные видеокамеры и различные датчики (движения, давления и т.д.). На входе в здание (корпоративную сеть) может и обязательно должен стоять охранник (межсетевой экран). Но квалифицированный и опытный злоумышленник может его обмануть, маскируясь под сотрудника фирмы (украв идентификатор и пароль пользователя) или проникая через "черный ход" (через модем). В этом случае датчики (агенты системы обнаружения атак) своевременно обнаружат такие несанкционированные действия. Обращаясь, к Рисунку 2, можно заметить, что средства обнаружения атак функционируют сразу на двух этапах - втором и третьем. На втором этапе эти средства дополняют традиционные механизмы новыми функциями, повышающими защищенность корпоративной сети. Например, в описанном выше случае с нарушителем, укравшим пароль и проникшим в сеть через межсетевой экран, система обнаружения атак сможет обнаружить и предотвратить действия, отличающие от нормального поведения пользователя, у которого украли пароль. Также эффективно системы обнаружения атак будут блокировать и враждебные действия привилегированных пользователей (администраторов). И, наконец, эти системы одинаково эффективно функционируют и для защиты периметра корпоративной сети, дополняя возможности межсетевых экранов, и для защиты внутренних сегментов сети. Тем более что по статистике до 70% всех компьютерных инцидентов происходит именно изнутри организации. Как частный и достаточно распространенный случай применения систем обнаружения атак я хотел бы привести ситуацию с неконтролируемым применением модемов, которые превращают сеть даже защищенную межсетевым экраном в решето.

Системы анализа защищенности позволяют обнаружить такие модемы, а системы обнаружения атак - идентифицировать и предотвратить несанкционированные действия, осуществляемые через них. При обнаружении атак эти системы сравнивают контролируемое пространство (сетевой трафик или журналы регистрации) с известными шаблонами (сигнатурами) несанкционированных действий.