Адаптивная безопасность сети
Адаптивная система — система автоматического управления, которая сохраняет работоспособность в условиях непредвиденного изменения свойств управляемого объекта, цели управления или условий окружающей среды посредством смены алгоритмов своего функционирования или поиска оптимальных состояний. Большая Советская Энциклопедия (третье издание), том 22
Сетевой и системный мониторинг и управление безопасностью
Введение
Еще совсем недавно информационную безопасность вычислительных систем с высокой степенью надежности можно было обеспечить при помощи таких традиционных защитных механизмов, как идентификация и аутентификация, разграничение доступа, шифрование и т.п. Однако с появлением и развитием открытых компьютерных сетей ситуация резко изменилась. Количество уязвимостей сетевых операционных систем, прикладных программ и типов возможных атак на них постоянно растет. Ситуация усугубляется еще и тем, что многие администраторы безопасности не осознают всей серьезности проблемы сетевой безопасности. Немногие из них имеют время для анализа сообщений о новых возникших угрозах и обнаруженных уязвимостях. Еще меньше людей имеют возможность для проведения аудита и постоянного мониторинга сети. «Сетевые администраторы не имеют возможности вовремя реагировать на все возрастающее число уязвимостей», — говорит Джим Харлей, старший аналитик иccледовательской компании Aberdeen Group.
По сравнению с физической безопасностью безопасность компьютерная находится еще в младенческом состоянии. С каждым очередным достижением в области информационных технологий появляются новые аспекты обеспечения информационной безопасности. При этом уже существующие решения обогащаются дополнительными гранями, на которые приходится смотреть под другим углом зрения.
Физическая защита — относительно статическая область, которая включает в себя системы разграничения доступа, генерации тревог и, возможно, оборудование для наблюдения, что позволяет идентифицировать и предотвратить физическое вторжение в защищаемую область. В свою очередь, компьютерная безопасность ориентирована не на физический мир, а на киберпространство, где преступники могут быть определены только при помощи серии нулей и единиц.
Существует очень мало законодательных актов, которые адекватно рассматривают вопросы компьютерных преступлений и защиты от них (это особенно актуально для России). Информационные технологии еще не стандартизованы таким образом, чтобы можно было обеспечить непротиворечивое применение этих законов на практике. В дополнение к этому киберпространство существует вне границ и законов. Оно фактически невидимо, его нельзя пощупать. В киберпространстве злоумышленники могут получить доступ к наиболее важным ресурсам организации. Они могут напасть на вас из любой точки киберпространства. Они могут читать вашу электронную почту, получать несанкционированный доступ к маркетинговым и бизнес-планам, изменять финансовые данные. При этом они остаются невидимыми и труднодоступными для судебного преследования. Все это делается настолько быстро, что администратор безопасности за это время успевает только распечатать ежедневно подготавливаемый журнал регистрации (log). А нарушителей уже и след простыл.
Что именно уязвимо
Как ни парадоксально — все! Во-первых, это сама сеть, то есть сетевые протоколы (TCP/IP, IPX/SPX, NetBIOS/SMB) и устройства (маршрутизаторы, коммутаторы), образующие сеть. Во-вторых — операционные системы (Windows NT, UNIX, NetWare). В-третьих — базы данных (Oracle, Sybase, MS SQL Server) и приложения (SAP, почтовые и Web-серверы и т.д.).
С увеличением числа сведений о компьютерных инцидентах, публикуемых в различных списках рассылки (например, Bugtraq) и на специализированных серверах (например, ISS X-Force), характеризующих сетевые угрозы, осведомленность и поддержка принятия решений в области информационной безопасности становится приоритетной задачей. Однако мало быть осведомленным, надо еще и транслировать эту осведомленность в действие, то есть устранить причину и последствия нарушения безопасности. На практике же это происходит далеко не всегда. А все потому, что организации не имеют достаточно времени и средств для решения проблем, которых они физически не могут видеть и касаться. Пословица «Пока гром не грянет, мужик не перекрестится» ярко характеризует эту ситуацию. Очень трудно найти поддержку у руководства для принятия решения, которое напрямую не увеличивает эффективность работы организации или не приносит существенной прибыли.
Кроме того, требуемое для идентификации нарушения информационной безопасности время — другая причина, по которой очень трудно своевременно определить и устранить обнаруженные недостатки. Люди, принимающие решения в области физической безопасности, имеют минуты, часы и даже недели для реагирования на потенциальные или реальные нападения. В киберпространстве вся последовательность, связанная с сетевым зондированием, вторжением или компрометацией системы, очень часто совершается в течение секунд и миллисекунд. Нападающему надо обнаружить и использовать только одну уязвимость, в то время как защитники системы должны контролировать 200-300 уязвимостей.
Очевидно, что виртуальный мир микрочипов и электронов — не та среда, в которой могут быть применены старомодные руководства по аудиту, произвольный мониторинг и неавтоматизированное принятие решений и реагирование на несанкционированную деятельность. Это среда, требующая применения современных технических и организационных контрмер, своевременно и автоматически реагирующих на возникающие угрозы и уязвимости.
Частичное решение проблемы
Постоянно приходится видеть, что организации используют для решения возникающих у них проблем с защитой частичные подходы. Эти подходы основаны на их собственном восприятии рисков безопасности и на текущем уровне доступных ресурсов. Администраторы безопасности имеют тенденцию реагировать только на те риски, которые им понятны. На самом же деле подобных рисков может быть намного больше. Эти администраторы понимают, что в их сети могут быть зафиксированы неправильное использование ресурсов системы и внешние атаки, но они зачастую совсем немного знают об истинных уязвимостях в сетях, операционных системах и приложениях, которые они применяют в своей повседневной деятельности. Они прекрасно понимают, что уровень защиты можно повысить с помощью таких технических средств, как межсетевые экраны, криптографические системы, системы аутентификации или средства разграничения доступа. Но часто они не знают технических характеристик своих сетевых устройств, которые могут неправильно использоваться — для ввода, кражи, уничтожения или изменения наиболее критичных данных. Подобный вариант позволяет защититься от 20-30% угроз и описывается формулой Безопасность = Традиционные средства защиты.
По существу, этот вариант — лишь однобокий взгляд на многогранную защиту. С помощью этого варианта можно уменьшить некоторые риски, но совершенно упустить из виду другие. Этот вариант вводит в заблуждение руководство компании, потому что декларирует намного больше, чем может быть выполнено с его помощью. При этом число устраняемых им рисков намного ниже фактического их числа.
Без всестороннего подхода, который устанавливает единую политику безопасности и строгий текущий контроль, существенно снизить сетевые риски практически невозможно. Постоянное развитие информационных технологий вызывает целый ряд новых проблем. Недавние исследования выявили факт увеличения числа скоординированных атак, осуществляемых из нескольких географически распределенных точек. Распределяя нагрузку и работая вместе, киберпреступники способны «улучшать» свои результаты, более эффективно скрывать свои действия и быстрее нападать.
Многие организации борются за то, чтобы понять технологию постоянно развивающихся угроз. Сужение промежутка между фактической реализацией программы защиты и политикой безопасности организации, описанной на бумаге, — вот ключ к эффективной системе защиты информационных ресурсов.
Хорошая система защиты как минимум предполагает наличие хорошо тренированного персонала, который:
- твердо придерживается стандартизованного подхода к обеспечению безопасности;
- внедряет процедуры и технические средства защиты;
- проводит постоянный контроль подсистем аудита, обеспечивающих анализ потенциальных атак и злоупотреблений.
Непрерывное развитие сетевых технологий при отсутствии постоянно проводимого анализа их безопасности приводит к тому, что с течением времени защищенность сети падает, так как появляются новые неучтенные угрозы и уязвимости системы, противопоставить которым нечего. Подход к созданию надежной системы сетевой безопасности должен строиться по формуле: Безопасность = Политика безопасности + Традиционные средства защиты + Анализ риска + Реализация контрмер. В этом случае эффективность системы защиты может достичь 40-60%.
Построение системы защиты в этом варианте должно начинаться с оценки риска, являющейся фундаментом всей дальнейшей работы. Оценка риска состоит в выявлении и ранжировании уязвимостей (по степени серьезности ущерба потенциальных воздействий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т.д. Но поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться постоянно (рис. 1). Эффективность защиты будет зависеть от принятия правильных решений, которые поддерживают защиту, адаптирующуюся к новым условиям сетевого окружения.
Что до сих пор отсутствует в этом подходе? Распознавание факта, что через какое-то время администраторы и пользователи изменяют конфигурацию системы. Эти изменения вновь открывают многие из уязвимостей, связанных с операционными системами и приложениями. Кроме того, технологии, сопутствующие им, изменяются очень быстро; новое программное обеспечение появляется ежемесячно. Преступники и пользователи становятся все более квалифицированными. Такое быстрое развитие, увеличивающееся использование Internet среди предпринимателей и нехватка ресурсов для обеспечения защиты приводит к тому, что организациям требуется другой подход к обеспечению информационной безопасности, позволяющий идти в ногу с постоянными технологическими изменениями.
Последний вариант является наиболее близким к идеальному. Однако сохраняется от 60 до 40% уязвимостей, все еще оставляющих сеть высоковосприимчивой к нападению или неправильному использованию. Поэтому ведущие организации, занимающиеся сетевой безопасностью, такие как British Telecom/Syntegra, Центр ведения информационной войны ВВС США, DISA и DRA (Великобритания) на основе методов сетевого управления разработали подходы, позволяющие не только распознавать оставшиеся 40-60% уязвимостей и атак, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты. Компания Internet Security Systems (http://www.iss.net) уточнила и развила эти подходы и разработала Модель адаптивного управления безопасностью (Adaptive Network Security, ANS). Данный подход можно описать следующей формулой: Безопасность = Анализ риска + Политика безопасности + Традиционные средства защиты + Реализация контрмер + Аудит + Мониторинг + Реагирование.
Адаптивная безопасность сети
Снижение проблем в информационной безопасности требует адаптивного, высокочувствительного к изменениям, работающего в реальном режиме времени механизма. Адаптивная безопасность — именно тот подход, который позволяет контролировать, обнаруживать и реагировать в реальном режиме времени на риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства.
Исследовательская компания Yankee Group в июне 1998 года опубликовала отчет, в котором ANS описывается как процесс, который содержит:
- технологию анализа защищенности (security assessment) или поиска уязвимостей (vulnerabilities assessment);
- технологию обнаружения атак (intrusion detection);
- адаптивный компонент, который включает в себя и расширяет две первые технологии;
- управляющий компонент.
Анализ защищенности — это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хост-компьютеров, рабочих станций, приложений и баз данных. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут в ней «слабые» места, обобщают эти сведения и печатают по ним отчет. Если система, реализующая эту технологию, содержит адаптивный компонент, то вместо «ручного» устранения найденной уязвимости это будет осуществляться автоматически. Перечислим некоторые из проблем, идентифицируемых технологией анализа защищенности:
- «люки» в системах (back door) и программы типа «троянский конь»;
- слабые пароли;
- восприимчивость к проникновению из незащищенных систем и к атакам типа «отказ в обслуживании»;
- отсутствие необходимых обновлений (patch, hotfix) операционных систем;
- неправильная настройка межсетевых экранов, Web-серверов и баз данных;
- и многие другие.
Технологии анализа защищенности являются действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.
Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или в сегментах сети, оценивают различные действия, в том числе и использующие известные уязвимости (рис. 2).
Адаптивный компонент ANS отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. Пример адаптивного компонента — механизм обновления баз данных антивирусных программ для обнаружения новых вирусов.
Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с усилиями формирования системы защиты организации.
В отчете Yankee Group указано, что адаптация данных может заключаться в различных формах реагирования, которые могут включать:
- посылку уведомлений системам сетевого управления по протоколу SNMP, по электронной почте или на пейджер администратору;
- автоматическое завершение сессии с атакующим узлом или пользователем, реконфигурация межсетевых экранов или иных сетевых устройств (например, маршрутизаторов);
- выработка рекомендаций администратору, позволяющих своевременно устранить обнаруженные уязвимости в сетях, приложениях или иных компонентах информационной системы организации.
Использование модели адаптивной безопасности сети дает возможность контролировать практически все угрозы и своевременно реагировать на них высокоэффективным способом, позволяющим не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к появлению уязвимостей. Эта модель также позволяет уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководство компании о событиях безопасности в сети.
Анализ защищенности
Средства анализа защищенности, называемые на Западе сканерами безопасности (security scanners), предназначены для автоматизации процесса поиска уязвимостей. Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до того, как ими воспользуются злоумышленники.
Функционировать такие средства могут на сетевом уровне, уровне операционной системы (ОС) и уровне приложения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п., позволяет с высокой степенью эффективности проверять защищенность информационной системы, работающей в сетевом окружении. Вторыми по распространенности оказались средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. Лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем типа Web-браузеров (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Oracle) и т.п.
Применяя средства анализа защищенности, можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). По результатам сканирования эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.
Обнаружение атак
Исторически так сложилось, что технологии, по которым строятся системы обнаружения атак, принято условно делить на две категории: обнаружение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической деятельности применяется другая классификация, учитывающая принципы практической реализации таких систем: обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые — регистрационные журналы операционной системы или приложения. Каждый из классов имеет свои достоинства и недостатки, но об этом чуть позже. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее эта классификация отражает ключевые возможности, отличающие одну систему обнаружения атак от другой.
В настоящий момент технология обнаружения аномалий не получила широкого распространения, и ни в одной коммерчески распространяемой системе она не используется. Связано это с тем, что данная технология красиво выглядит в теории, но очень трудно реализуется на практике. Сейчас, однако, наметился постепенный возврат к ней (особенно в России), и можно надеяться, что в скором времени пользователи смогут увидеть первые коммерческие системы обнаружения атак, работающие по этой технологии.
Другой подход к обнаружению атак — обнаружение злоупотреблений, которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в контролируемом пространстве (сетевом трафике или журнале регистрации). Антивирусные системы являются ярким примером системы обнаружения атак, работающей по этой технологии.
Как уже было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровне. Принципиальное преимущество сетевых (network-based) систем обнаружения атак состоит в том, что они идентифицируют нападения прежде, чем те достигнут атакуемого узла. Эти системы более просты для развертывания в крупных сетях, потому что не требуют установки на различные платформы, используемые в организации. В России наибольшее распространение получили операционные системы MS-DOS, Windows 95, NetWare и Windows NT. Различные диалекты UNIX у нас пока не столь широко распространены, как на Западе. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети.
Системы обнаружения атак на уровне хоста создаются для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Например, мне не известна ни одна система этого класса, функционирующая под управлением MS-DOS или Windows for Workgroups (а ведь эти операционные системы еще достаточно распространены в России). Используя знание того, как должна «вести» себя операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако зачастую это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения подобного рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высококритичных систем, работающих в режиме реального времени (например, система «Операционный день банка» или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут стать неплохим выбором. Но если вы хотите защитить большую часть сетевых узлов организации, то системы обнаружения атак на уровне сети, вероятно, будут наилучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемом при помощи системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением стала бы система обнаружения атак, объединяющая в себе оба эти подхода.
На начало 1999 года имелась только одна система, удовлетворяющая этому требованию, — RealSecure, разработанная компанией Internet Security Systems. В состав этой системы входят сетевой и системный агенты, обнаруживающие атаки на уровне сети и хоста соответственно.
Сетевой и системный мониторинг и управление безопасностью
Для крупных организаций, сети которых насчитывают не один десяток компьютеров, функционирующих под управлением различных операционных систем, на первое место выходит задача управления всем многообразием защитных механизмов в этих ОС. Следить за всем программным и аппаратным обеспечением в организации, за постоянной текучестью кадров, за постоянно расширяющимся списком уязвимостей и т.п. становится очень трудно. Особенно в условиях нехватки персонала для выполнения этой задачи. Поэтому администраторам служб автоматизации и безопасности требуются специализированные средства, снимающие бремя с их усталых плеч.
Существует два подхода к решению этой проблемы. Первый заключается в интеграции механизмов управления средствами защиты в средства сетевого или системного управления. По такому пути пошли компании Hewlett-Packard, Computer Associates, PLATINUM Technology, Tivoli Systems. Системы управления этих компаний поддерживают традиционные действия и услуги: управление учетными записями пользователей, управление ресурсами и событиями, производительность, маршрутизацию и т.д. Однако у данных средств своя область применения — они ориентированы в первую очередь на управление сетью или информационными системами. Многие аспекты управления безопасностью остаются за пределами внимания этих систем.
Если использование таких комплексных решений в вашей организации по каким-либо причинам невозможно, то имеет смысл обратить свой взор на средства, предназначенные для решения только одной задачи — управления безопасностью. Например, Open Security Manager (OSM) фирмы CheckPoint Software Technologies дает возможность централизованно управлять корпоративной политикой безопасности и инсталлировать ее на сетевые устройства по всей компании. Продукт OSM является одним из основных компонентов технологии OPSEC (Open Platform for Secure Enterprise Connectivity), разработанным компанией CheckPoint. Он создает интерфейс для управления устройствами сетевой безопасности различных производителей (например, Cisco, Bay, 3Com).
Сегодня администратору безопасности уже недостаточно иметь средства управления учетными записями и ресурсами, ему необходим механизм прослеживания тенденций и прогнозирования событий в области безопасности. Несмотря на то что такие механизмы существуют в системах сетевого и системного мониторинга, в области безопасности они пока не нашли широкого распространения. Исключением является система SAFEsuite Decisions, разработанная компанией Internet Security System и предназначенная для сбора, анализа и корреляции информации, полученной от различных средств защиты информации, а также для анализа нарушений безопасности, выявления на их основе тенденций и прогнозирования возможных атак. Система SAFEsuite Decisions дает администратору безопасности возможность определить, какая информация наиболее важна и каким событиям необходимо уделить максимум внимания. Различные типы создаваемых отчетов позволяют информировать широкий круг лиц организации о состоянии дел в области корпоративной безопасности. В настоящий момент система SAFEsuite Decisions поддерживает различные средства защиты, включая:
- систему анализа защищенности на уровне сети (Internet Scanner);
- систему анализа защищенности на уровне операционной системы (System Scanner);
- систему обнаружения атак на уровне сети и хоста (RealSecure);
- межсетевой экран CheckPoint Firewall-1;
- межсетевой экран Gauntlet Firewall.
Поддержка Gauntlet Firewall позволяет также собирать данные от российских межсетевых экранов «Пандора» и «Застава-Джет», разработанных на основе Gauntlet.
Заключение
Итак, если вы хотите:
- иметь гарантии, что практически все имеющиеся и вновь появляющиеся в сети уязвимости будут найдены;
- иметь гарантии, что все системы сконфигурированы непротиворечащим политике безопасности компании образом;
- иметь гарантии, что почти все потенциально враждебные уязвимости и атаки обнаруживаются вовремя и им своевременно противопоставляются соответствующие средства защиты;
- обеспечить в реальном времени, не прекращая функционирования сети, реконфигурацию программного и аппаратного обеспечения сети в случае возникновения угрозы;
- обеспечить своевременное уведомление ответственных за сетевую безопасность о возникающих проблемах;
- обеспечить анализ тенденций для более эффективного планирования защиты сети, то решение этих проблем достигается за счет применения модели адаптивного управления безопасностью.
Литература:
- Getting Past The Cyberspace Hype. Adaptive Security. A Model Solution — A Solution Model. 15 June 1997. Internet Security Systems, Inc.
- Лукацкий А.В. Средства анализа защищенности — сделайте правильный выбор//Мир Internet. 1999. № 4.
- Лукацкий А.В. Системы обнаружения атак//Банковские технологии. 1999. № 2.
- Брюс Бордман. Средства системного мониторинга уровня предприятия//Сети и системы связи. 1999. № 5.
- Дэвид Уиллис. Управление безопасностью: свет в конце туннеля//Сети и системы связи. 1999. № 4.
КомпьютерПресс 8'1999