[МУЗЫКА] Сформулировав понятие компьютерной атаки,
то есть по сути обсудив то, от чего требуется защищаться,
теперь перечислим требования к системам обнаружения и предотвращения компьютерных
атак, то есть сформулируем задачу, которую мы перед ними поставим, поймем, чего бы
нам хотелось от таких систем, что бы они могли делать, чего бы мы хотели от них.
Основное требование, разумеется,
— автоматизация процесса обнаружения атак с минимальным участием персонала.
Здесь стоит сказать, что большинство компьютерных атак может быть обнаружено
путем изучения журналов регистрации системы, путем отслеживания
различных действий в информационной системе.
Но проблема заключается в том,
что для человека это задача практически неподъемная: журналов регистрации много,
а для того чтобы оперативно реагировать на возникающие угрозы и на реализуемые
компьютерные атаки, необходимо их изучать практически в режиме реального времени,
то есть если администратор будет изучать их с запозданием, за неделю, допустим,
истекшую, а быстрее у него может не получаться, если этих журналов много,
то, соответственно, оперативно реагировать на атаки не получится,
нарушитель будет почти всегда достигать своей цели.
Поэтому основное требование, зачем нужны такие системы,
— это автоматизация такого процесса.
То есть по сути мы создаем некую систему, некоего робота, может быть, даже, которая
одновременно следит за всеми видеокамерами и принимает решения, что там происходит.
Но гипотетическому такому сотруднику охраны на экраны,
на которые отображаются изображения с камер, следить проще, во-первых,
и все визуально понятно, во-вторых, сразу видно,
где происходит что-то несанкционированное, а в случае с компьютерными атаками
требуется еще и понимание того, что же в журналах регистрации есть и насколько
та или иная запись свидетельствует о том, что начинается компьютерная атака.
Вот именно из-за значительного объема информации и из-за того, что персонал
должен быть квалифицированным, весьма желательно переложить эту задачу
— изучения журналов регистрации и отслеживания всей информации,
приходящей из различных средств и модулей слежения за процессами в информационной
системе, — хотелось бы переложить это на некую программно-аппаратную
или программную систему, то есть систему обнаружения и предотвращения атак.
Задачи, которые мы перед такой системой хотели бы поставить,
можно перечислить следующим образом.
Контроль всех событий, особенно действий пользователей,
в автоматизированной системе.
Поскольку каждый пользователь, действуя халатно, у нас может быть нарушителем,
весьма желательно следить за действиями пользователя.
Ну, кроме того, далее, когда мы будем говорить про непосредственно системы
обнаружения уже реализуемых атак, одним из способов такой деятельности
будет составление так называемых профилей ее пользователя,
то есть некоей статистической картины,
которая описывает повседневные действия пользователя, и поиск аномалий,
то есть отклонений от этой усредненной картины в действиях пользователя.
Ну, поскольку пользователь,
являющийся легально зарегистрированным в автоматизированной системе,
может не только действовать халатно, но и быть вполне злоумышленным нарушителем или
вступить в сговор с каким-то другим, более серьезным нарушителем.
Еще одна задача — это снижение трудозатрат сотрудников службы безопасности,
то, что напрямую коррелирует с основной задачей систем обнаружения атак.
Далее, упрощение обработки значительных объемов информации и упрощение
управления средствами обеспечения информационной безопасности.
То есть три последние задачи из этого списка по сути связаны с тем,
что эта система должна заменить как можно больше сотрудников службы безопасности.
Но, как мы обсудим далее, полностью их заменить она все же не в состоянии.
Вмешательство человека все-таки требуется,
хотя и его удается значительно сократить благодаря использованию подобных систем.
Ну, кроме того,
системы обнаружения и предотвращения атак могут решать еще ряд задач,
которые уже не связаны напрямую с основной задачей, но также могут выполняться.
Контроль эффективности и корректности работы сервиса межсетевого экранирования,
то есть проверка того, как настроен межсетевой экран,
насколько он справляется со своими задачами, контроль электронной почты,
например, на предмет вредоносных вложений, и контроль посещаемых ресурсов сети
Интернет, блокирование нежелательных ресурсов.
Если есть известный перечень вредоносных ресурсов сети Интернет,
то есть тех, при посещении которых есть угроза, например,
несанкционированной установки вредоносного программного обеспечения в систему или
реализации каких-то вредоносных воздействий на систему,
то система обнаружения атак может такие ресурсы блокировать, а кроме того,
отслеживать, какие ресурсы посещают пользователи, например,
с целью того, чтобы в дальнейшем выявить, откуда взялся вирус в системе.
Система обнаружения атак объективно способна решать следующие задачи.
Повысить фактический уровень защищенности автоматизированной системы за счет того,
что некоторые воздействия, как минимум некоторые, которые
могут быть реализованы в обход политики безопасности, не нарушая по сути ее,
в обход, назовем их так, «штатных средств защиты», могут быть пресечены.
Повышение осведомленности службы безопасности о просходящих в
автоматизированной системе процессов,
безусловно, за счет автоматизации обработки журналов регистрации,
за счет расстановки дополнительных сенсоров, о которых мы далее поговорим,
— такая система способна осведомленность службы безопасности повысить.
Контроль деятельности пользователя можно полностью возложить на подобную систему.
При этом этот контроль может быть полным и пригодным для обработки различными
статистическими средствами, то есть вычисления некоего профиля пользователя.
И отслеживание изменений объектов информационной системы и их
параметров также можно возложить на подобную систему.
Ну, в этом случае можно даже ввести некую историю, например,
изменение прав какого-то файла для того, чтобы, опять же,
можно было затем ретроспективно восстановить картину атаки, понять,
кто из пользователей повысил свои полномочия, добавил себе право,
например, записывать в какой-то файл, кто затем этим воспользовался, может быть,
он не для себя, а для кого-то другого повысил эти права,
злонамеренно действующий или введенный в заблуждение администратор, и так далее...
Всю цепочку можно таким образом распутать.
Помимо перечисленного,
системы обнаружения атак могут обнаруживать уязвимые настройки и ошибки
конфигурации автоматизированных систем — этим занимаются системы обнаружения атак,
относящиеся к категории анализаторов уязвимостей, мы поговорим о таких сегодня.
Обнаружение фактически существующих уязвимостей автоматизированной
системы также может быть такими системами реализовано.
Наконец, системы обнаружения атак хорошо справляются с поиском
известных атак по сигнатурам и снижают требования к персоналу службы
безопасности за счет того, что обучить сотрудника, во-первых,
управлять системой обнаружения атак порой проще,
чем научить его лично выявлять различные вредоносные воздействия в
журналах регистрации в потоке записей, и, с другой стороны, требуется
меньше просто сотрудников этой службы безопасности, поскольку значительная
часть их действий может быть возложена на эту автоматизированную систему.
Имеется в виду система обнаружения и предотвращения атак.
[МУЗЫКА]
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
