Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Позитивное будущее систем IDS и IPS

Первая система обнаружения и предотвращения атак (IDS) появилась еще в 1980 году, задолго до разработки антивирусов и межсетевых экранов. Эти решения постоянно развиваются и, несмотря на заявления некоторых аналитиков об их «смерти», продолжают находить все большее число потребителей по всему миру.

Надо сразу отметить, что под ID&PS подразумевается технология в целом, включая классические системы обнаружения и предотвращения атак, системы предотвращения аномалий, системы отражения атак прикладного уровня (application security gateway или application assurance platform) и т.д.

Обнаружение широкого спектра атак

В последнее время стало очень трудно провести четкую грань между понятиями «атака» и «не атака». Следовательно, современные и эффективные ID&PS должны обнаруживать очень широкий спектр возможных несанкционированных действий, для которых не всегда можно разработать сигнатуру. Решить эту задачу можно только комбинируя различные методы идентификации подозрительной активности: сигнатурный, поведенческий, эвристический и т.д. Такой подход позволит обнаруживать не только ставшие классикой SYN Flood, Ping of Death, переполнение буфера, черви и т.д., но и вирусы, спам, «отказ в обслуживании», «пиринговые» атаки и другие нарушения политики безопасности.

До недавнего времени атаки концентрировались на сетевом уровне, и возможностей IPS было достаточно для их отражения. В последнее время фокус атак сместился на прикладной уровень — Web-сервисы, XML, SOAP, ERP, CRM, СУБД, IP-телефония, SCADA (АСУ ТП) и т.п. и сетевые системы предотвращения перестали справляться с атаками, не работая на уровне их реализации. Поэтому одним из направлений развития IPS станет поддержка новых технологий и протоколов. Такие решения будут включать в себя весь тот функционал, который требуется пользователям: защищенная обработка и хранение конфиденциальной информации, обнаружение и предотвращение мошенничества, анализ активности авторизованных пользователей, балансировка нагрузки, оптимизация работы с SSL-трафиком, копирование трафика и проведение оффлайн-анализа, кеширование контента, расширенная фильтрация трафика, шифрование данных.

Обнаружение новых атак

Наличие различных методов для обнаружения широкого спектра атак еще не решает всех проблем, так как эти методы должны быть наполнены содержанием. Иными словами, ID&PS должны своевременно «узнавать» об атаках. Одним из методов решения этой задачи является использование механизма контроля поведения или обнаружения аномалий, который позволяет не зависеть от частоты обновления сигнатур и вообще от сигнатур. К сожалению, далеко не все атаки могут быть обнаружены с помощью поведенческих методов — сигнатурные методы по-прежнему активно используются производителями.

Существует насколько способов своевременного обучения ID&PS новым «фокусам» хакеров. Первый вариант — ускорить доставку сигнатур от производителя до потребителя. Сегодня этот срок может составлять дни и даже недели, что абсолютно неприемлемо, так как современные атаки могут распространяться по всему интернету всего за 15-20 минут. Чтобы быть во всеоружии даже при таких скоростях распространения угроз необходимо иметь специальную инфраструктуру, которая будет автоматически и по защищенному каналу доставлять все новые обновления для всех средств защиты, разбросанных по территориально-распределенной сети. Правильно построенная инфраструктура может обновлять средства защиты в среднем уже через 10-15 минут после начала распространения угрозы.

Второй вариант только начинает развиваться, но всего через полгода-год на рынке появятся решения, которые позволят анализировать приходящий трафик и автоматически создавать сигнатуры для атак в нем. Это сможет решить проблему в тех случаях, когда заказчик не умеет создавать сигнатуры самостоятельно при невозможности своевременно обновлять свои сенсоры по первому варианту.

Отсеивание посторонних и неважных событий

Представьте, что мимо вас в детскую комнату летит комар. Вы его обнаружили, но этого мало. Вы не знаете, находится ли ваш ребенок в детской, а если находится, то помазался ли он антикомариным средством. В результате, вы бежите в комнату и убиваете комара. За эти секунды на плите убегает готовящееся варенье-«пятиминутка» и выплескивается на плиту. А нет ничего страшнее для керамической варочной панели, чем засохший сахар. С системами обнаружения и предотвращения атак ситуация аналогичная — обратив внимание на первый сигнал тревоги и не зная, насколько она реальна, вы можете упустить из виду более серьезное событие, поступившее на консоль администратора вторым. Более того, существуют специальные утилиты, которые генерируют потоки ложных событий, вводящих администратора в заблуждение. Поэтому первое, на что надо обращать внимание при выборе систем защиты описываемого класса — борьба с ложными срабатываниями (false positive).

Решается она «просто» — применением систем корреляции событий, которые знают, что скрываются за IP-адресами, находящимися в заголовке пакетов с атакой, и «понимающими», подвержена ли цель атаке или нет. Если нет, то событием можно пренебречь и оставить его «на потом». Для того, чтобы сделать вывод о реальности атаки необходимо знать, какие ОС и ПО установлены на атакуемом узле. Если, например, червь SQL Slammer атакует Linux-сервер, то последнему ничего не угрожает, так как SQL Slammer наносит ущерб только непатченным серверам с СУБД MS SQL Server. Информация о ПО и ОС может быть добыта двумя путями (ручное задание этих параметров для всех атакуемых узлов не рассматривается, как бесперспективное) — дистанционное сканирование и получение этой информации от самого атакуемого узла. Первый способ является наиболее простым в реализации — достаточно просто просканировать сеть и связать информацию об атаках с конкретными версиями ОС, ПО и уязвимостями (это и есть процесс корреляции).

Однако у данного метода есть одно серьезное ограничение — системы корреляции стоят немалых денег. Решением указанной проблемы является использование облегченных и интегрированных в системы предотвращения атак подсистем корреляции. Такая система регулярно проводит сканирование сети и запоминает состояние составляющих ее узлов. В момент атаки происходит связывание информации об атаке с информацией об атакуемом узле. Если связь есть, значит, атака неложная, если связь не обнаружена, то приоритет атаки поднимается, и администратор не тратит на нее свое время и энергию. Второй способ пока не получил распространения, что связано с его недавним появлением. Установленная на узле система персональной защиты (например, HIPS) сама сигнализирует сетевому сенсору, какая атака может нанести ущерб, а какая нет.

Блокирование атак в коммутируемых сетях

Когда речь заходит о применении IDS в коммутируемых сетях, то особых проблем это уже не вызывает. Можно использовать различные механизмы и технологии, самой распространенной из которых является использование SPAN-порта на коммутаторе, к которому подключается сенсор системы обнаружения. Однако, как только от обнаружения мы переходим к предотвращению, то ситуация коренным образом меняется. Мы уже не можем просто подключить IPS к SPAN-порту и блокировать все атаки — ведь трафик должен проходит через само устройство защиты.

Первый вариант решения проблемы на сегодня доступен только в решениях компании Cisco, которая имеет в своем составе модуль, интегрированный внутрь коммутатора Cisco Catalyst 6500 и имеющий возможность блокировать трафик, проходящий через него. А если сеть построена на коммутаторах другого производителя? Устанавливать сенсоры IPS между коммутатором и защищаемым узлов слишком дорого — число сенсоров будет равно числу защищаемых ресурсов, что сделает инфраструктуру отражения атак не просто золотой, а поистине бриллиантовой. Решение использовать многоинтерфейсные сенсоры (например, с 4-мя или 8-мью портами) ситуацию кардинально не решает — инфраструктура все равно получается очень дорогой. Выходом может стать метод, появившийся недавно и получивший название «Inline-on-a-Stick». Суть его проста — на интерфейс устройства IPS поступает трафик одной из VLAN и через этот же интерфейс после обработки уходит обратно. А, учитывая возможность поддерживать до 255 пар VLAN’ов на одном порту сенсора, можно контролировать очень большие локальные сети (с 8-мьюпортой картой число контролируемых соединений составляет около 2000).

Виртуализация

Еще одной возможностью, которая существенно облегчает не только внедрение, но и стоимость системы предотвращения атак, является виртуализация, которая позволяет в рамках одного сенсора ID&PS реализовать несколько различных политик безопасности. До недавнего времени для защиты демилитаризованной зоны, серверного сегмента, выхода в интернет и сегмента финансового департамента требовалось 4 сенсора со своими политиками, что удорожало решение по обнаружению и отражению атак. Виртуализация позволяет существенно снизить затраты, так как мы получаем несколько виртуальных сенсоров, объединенных одной аппаратной платформой. При этом каждый виртуальный сенсор имеет не только свою собственную политику безопасности, но и свое управление, позволяющее не «пересекаться» с другими сенсорами.

Интеграция в инфраструктуру защиты

Любая система защиты, и ID&PS тут не исключение, не «висит в вакууме» и должна учитывать особенности других средств обеспечения информационной безопасности, которые используются на предприятии. Поэтому современные ID&PS оснащаются различными возможностями по их интеграции в инфраструктуру защиты.

Некоторые заказчики, имея финансовые ресурсы и следуя пословице «не кладите все яйца в одну корзину», строят инфраструктуру предотвращения атак на решениях разных производителей. Но желание контролировать разнородные сенсоры с одной консоли управления остается. Вариантов решения этой задачи два — применение внешних систем управления информационной безопасности (Security Information Management System, SIMS или Security Event Management System, SEMS) или поддержка стандарта SDEE (Security Device Event Exchange). Второй путь более экономичен и позволяет передавать сигналы тревоги, полученные сенсором одного производителя, на консоль другого производителя. Идти по первому пути имеет смысл в том случае, если планируется интегрировать все имеющие средства защиты для получения единого «взгляда» на безопасность предприятия.

При обнаружении несанкционированной активности ID&PS может самостоятельно отразить атаку, а может возложить эту задачу на другие средства защиты, которые могут быть установлены как можно ближе к источнику вторжения. Это позволит не дать атаке распространиться по сети и случайно «задеть» ничего не подозревающие узлы. Если речь идет о сетевых ID&PS, то взаимодействовать они могут с межсетевыми экранами и сетевым оборудованием для изменения списков контроля доступа (access control list, ACL) и другими сенсорами ID&PS. В последнем случае, сенсор, обнаруживший атаку, оповещает об этом все другие сенсоры, через которые может пройти атака. Это позволяет координировать работу разветвленной инфраструктуры обнаружения и предотвращения атак.

Еще один вариант интеграции заключается в ограничении полосы пропускания для атак «отказ в обслуживании» или эпидемий вредоносных программ с помощью маршрутизатора, который получает соответствующий сигнал от ID&PS. ID&PS, защищающие конкретные узлы (сервера или рабочие станции), могут взаимодействовать в первую очередь с сетевыми ID&PS.

Если развить идею с application assurance platform и интегрировать в одном устройстве сразу несколько защитных решений, то мы получим так называемое Unified Threat Management Appliance — многофункциональное защитное устройство, которое позволяет снизить издержки и при этом обеспечить высокий уровень защиты за счет тесной интеграции таких защитных технологий как межсетевой экран, система предотвращения атак, VPN, антивирус, антиспам, защита от шпионского ПО, контроль URL и т.п.

Еще один вариант интеграции — взаимодействие ID&PS и сканеров безопасности. Идея достаточно проста — сканер «говорит» сенсору, какие узлы могут пострадать от обнаруживаемых им атак, а какие нет. Это позволяет снизить нагрузку на сенсоры ID&PS и повысить их эффективность и производительность.

Интеграция в инфраструктуру сети

Помимо интеграции со средствами защиты, ID&PS, особенно сетевые, должны тесно взаимодействовать с сетевой инфраструктурой и понимать те сервисы и протоколы, которые обрабатываются и циркулируют на предприятии. Помимо поддержки протокола IP, система обнаружения атак должна уметь инспектировать такие протоколы, как Mobile IP-in-IP, MPLS, GRE, 802.1q (VLAN), IPv6 и т.д. Это позволит эффективно анализировать различные типы трафика, циркулирующего как в корпоративной сети, так и в сети оператора связи.

Отказоустойчивость

Когда трафик проходит через устройство защиты, на первое место выходит задача обеспечения его отказоустойчивости. К сожалению, рекомендации, даваемые на заре использования IPS, — «лучше не допустить проникновения или утечки и блокировать доступ в сеть в случае выхода IPS из строя, чем оставить сеть открытой и незащищенной» — сегодня уже устарели. Многие бизнес-приложения являются более приоритетными, чем системы защиты, и снижение доступности первых является недопустимым, даже в ущерб защищенности. Поэтому сегодня большинство IPS оснащаются различными механизмами отказоустойчивости (например, программные или аппаратные bypass-системы).

Позитивное будущее

Мы рассмотрели небольшую, но очень важную часть возможностей, которыми обладают современные системы обнаружения и предотвращения атак. Но даже этот небольшой экскурс показывает, что ID&PS не так «мертвы», как об этом говорили некоторые аналитики. Более того, эти системы очень быстро эволюционируют и оснащаются все новыми и новыми возможностями, которые раньше было трудно себе представить. Например, локализация несанкционированно установленных точек доступа в беспроводных сетях или интеграция в инфраструктуру Network Access Control (у некоторых производителей эта технология носит название Network Admission Control или Network Access Protection). Будущее у данных систем явно позитивное, особенно учитывая нарастающую угрозу со стороны ИТ-злоумышленников.

Алексей Лукацкий