Министерство Образования Российской Федерации
Московский Государственный Университет Геодезии и Картографии
Реферат по предмету
«Введение в специальность» на тему:
«Особенности предотвращения несанкционированных проникновений в корпоративные информационные системы»
Автор: Иван Кабанов
Факультет: ФПК
Курс: 1
Группа: 2
Научный руководитель: проф. Малинников В. А.
Москва, 2003 г.
Содержание:
Введение..................................................................
............................................3
1.Что такое IPS и
IDS?........................................................................
...............
2.
Введение.
В нынешнее время стало очевидно, что защищать информацию становится все
сложнее. Что нас ждет завтра? С какими новыми угрозами мы столкнемся?
Смогут ли системные администраторы и те, кто по долгу службы призван
обеспечивать целостность и сохранность информационных инфраструктур
справится с все более сложными и продуманными нападениями, сетевыми
червями, «троянцами»? Во введении к реферату я решил опубликовать мнения
специалистов в области информационной безопасности относительно того, как
будет в дальнейшем развиваться ситуация в сфере их деятельности.
К примеру, Роб Клайд, технический директор Symantec говорит: «Чем более
профессиональными становятся хакеры, тем стремительнее атаки на сайты.
Червь типа flash worm, при условии, что запускающий его хакер имеет список
всех (или практически всех) серверов, открытых для атаки, может поразить
все уязвимые серверы менее чем за 30 секунд».
« В течение ближайших двух лет могут случиться широкомасштабные взломы систем безопасности Web-служб. Последствия будут гораздо более серьезными, чем уничтоженные Web-сайты или похищенные кредитные карты, как это случалось в начале эпохи электронной коммерции. Теперь мы можем столкнуться с тем, что будут остановлены автоматизированные поточные линии, опустошаться банковские счета, разрываться цепочки поставок длиной в сотни компаний. Секреты фирм, внутренняя корпоративная информация окажутся под угрозой раскрытия» - говорит председатель совета директоров и исполнительный директор DataPower Technology Евгений Кузнецов.
Грегор Фрейнд, исполнительный директор Zone Labs считает: «Три - четыре
года назад хакеры делали ставку на бессистемные атаки «наугад». Сейчас они
в большей мере переориентировались на поражение сетей предприятий, которые
содержат ценную интеллектуальную собственность. Количество таких атак
растет, и каждая следующая становится изощреннее и пагубнее предыдущей. К
2005 году на счету таких атак будет более 75% финансовых потерь корпораций
из-за прорех в системах информационной безопасности. В течение ближайших
двух лет компаниям придется строить гораздо более сильную и сложную защиту
на каждом узле сети, содержащем секретную информацию, а не полагаться на
общие внешние системы безопасности».
Очевидно, что угроза нападений на корпоративные системы стала более чем
реальной. Защита против такой угрозы потребует «упреждающих технологий»,
включающих опознавание программ-вирусов по «аномалиям» в их поведении
(относительно обычных программ) а также систем по опознаванию и
предотвращению проникновений в частные сети. О таких технологиях и пойдет
речь в данном реферате. Также в этой работе я попытаюсь ответить на вопрос,
смогут ли системы предотвращения несанкционированных проникновений в
корпоративные ИТ-системы выполнить возложенную на них превентивную миссию и
обеспечить заказчикам требуемый уровень безопасности.
1. Что такое IPS и IDS?
На сегодняшний день в сфере компьютерной безопасности существует два
принципиально разных подхода к защите от проникновений в корпоративные
сети. Первый и более старый из них это IDS (Intrusion Detection Systems,
IDS). IDS – это система призванная обнаружить попытки проникновения в
частную сеть и сообщить системному администратору о факте вторжения. Эта
технология защиты информации используется довольно давно и уже завоевала
популярность среди заказчиков.
Однако, многие аналитики считают, что сегодня существует более
эффективный и удобный способ борьбы с хакерами. Эта система – Intrusion
Prevention System, IPS.
Аббревиатура IPS в области информационной безопасности закреплена за
системами и решениями, которые служат для предотвращения нападений. Под ней
подразумевается набор технологий, которые появились на стыке межсетевых
экранов и систем обнаружения нападений IDS. От межсетевых экранов в IPS
взят принцип активного вмешательства в сетевое взаимодействие или поведение
программ, а от IDS – интеллектуальные методы мониторинга происходящих
событий. Таким образом, IPS не только обнаруживает нападения, но и пытается
предотвратить их. В России решения IPS появились еще в составе межсетевых
экранов или классических систем IDS. Сегодня, на рынке есть и
специализированные продукты, такие как семейство аппаратных IPS компании
NetScreen. Среди продуктов IPS аналитики выделяют пять типов компонентов,
каждый из которых выполняет свои функции и может комбинироваться с другими.
Сетевая IDS.
Устройство, которое анализирует проходящие через него IP-пакеты, пытаясь найти в них признаки атаки по заранее определенным правилам и сигнатурам, называется сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они не только выискивают случаи ненормального и нестандартного использования сетевых протоколов, но и пытаются блокировать все несоответствия. Хотя NIDS и пользуется базой сигнатур известных атак, они могут также предотвратить и неизвестное им нападение, особенно если оно построено на аномальном использовании протоколов.
Коммутаторы седьмого уровня.
Сетевые устройства, которые определяют маршруты IP-пакетов в зависимости
от типа приложения, называются коммутаторами седьмого уровня (приложений).
Их можно использовать для разных целей: создание кластеров, балансировки
нагрузки, раздельного хранения данных по типам, а также для защиты.
Подозрительные пакеты такие устройства либо полностью уничтожают, либо
перенаправляют на специальный сервер для дальнейшего анализа. Этот тип IPS
хорошо отражает атаки, направленные на отказ в обслуживании и на совместный
взлом нескольких служб.
Экран приложений.
Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложений (application firewall/IDS). Он отслеживает не сетевое взаимодействие, а поведение программ и библиотек, работающих с сетью. Такой экран может работать и по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся продукты, которые вначале запоминают штатную работу приложения, а в последствии фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные атаки, но их необходимо устанавливать на каждый компьютер и «переобучать» при изменении конфигурации приложений.
Гибридные коммутаторы.
Есть технологии, которые объединят в себе экраны приложений и коммутаторы седьмого уровня, - это гибридные коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, в начале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они могут отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется каждый раз переобучать заново при каждом изменении конфигурации системы.
Ловушки.
К категории IPS относятся также приложения-ловушки, которые пытаются активно вмешиваться в процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше всего комбинировать с коммутаторами – гибридными или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем для защиты.
Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которого хорошо дополняет другие. При этом они не конкурируют с уже существующими средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.
2. Профилактика получает одобрение.
Смогут ли системы предотвращения несанкционированных проникновений в
корпоративные сети справится со своей задачей? Этим вопросом озабочены не
только заказчики IPS, уже существующие и потенциальные, но и производители
систем обнаружения проникновений, пытающиеся понять, каким образом
справится с технологией, которая угрожает основам их бизнеса. Превосходство
IPS по сравнению с IDS выделяется особенно ярко на фоне растущих требований
клиентов к созданию более эффективных средств предотвращения
несанкционированных вторжений в их сети. Но поскольку технологии становятся
все сложнее, корпоративные клиенты чаще испытывают трудности при выявлении
различий между «истинными» IPS и их упрощенными версиями, а также при
интеграции IPS с различными элементами сетевых инфраструктур.
Роль работающих систем предотвращения вторжений трудно переоценить – многие специалисты по ИТ сегодня продолжают сегодня вынашивать систему профилактики атак, которые способны нанести компаниям очень серьезный ущерб. Эксперты в области безопасности предсказывают, что по мере совершенствования технологий IPS произойдет слияние систем IDS и межсетевых экранов, число механизмов IPS заметно увеличится, а производители средств анализа трафика и коммутирующего оборудования (в частности, Cisco Systems, F5 Networks и Nortel Networks) поведут борьбу за обладание короной IPS.
Некоторые аналитики, в том числе и специалисты компании Gartner, советуют своим клиентам воздержаться пока от крупных инвестиций в IDS и внимательно изучить все преимущества технологии IPS. «Организациям, уже вложившим в IDS серьезные средства и получившим якобы позитивные результаты, рекомендуем обратить внимание на производителей средств управление системами безопасности, в частности на компании ArcSight и NetForensics, - отметил вице-президент Gartner Джон Пескаторе. – Мы полагаем, что концепция IDS себя исчерпала. Она не представляет сегодня практически никакой ценности для корпоративных пользователей. Чтобы выжить, надо действовать быстрее, буквально со скорость прохождения информации по кабелю, и необходимо решать вопросы ложных срабатываний.
Ложные срабатывания – один из самых серьезных недостатков IDS –
представляет собой весьма обременительную ношу при нехватке опыта
обеспечения внутренней безопасности, а постоянно сокращающиеся бюджеты
заставляют вновь и вновь поднимать вопросы, связанные с приоритетами
обработки соответствующих событий. Технологии IPS позволяют избежать
получения фальсифицированных позитивных результатов благодаря различным
механизмам. Среди них, в частности, анализ сигнатур, изменяющихся в ходе
проверки сессии, идентификация сетевых протоколов и пакетов с целью
проверки на предмет обнаружения в них внезапных изменений шаблонов трафика
(как это происходит в атаке, рассчитанной на отказ в обслуживании) или
таких изменений, которые не предусмотрены установленными правилами. «Иногда
люди пытаются бороться с каждым отдельно взятым уязвимым местом, хотя это
вовсе не является необходимостью, особенно сегодня, когда штат организаций
заметно сократился, - отмечает старший сетевой инженер компании Tower
Records П. Дж. Кастро. – Мы должны сконцентрироваться на том, что может
нанести реальный ущерб».
Усилия производителей средств безопасности, целью которых является успешное внедрение IPS, сводятся на нет наличием многочисленных брешей в системах безопасности и зачастую необходимостью проведения дорогостоящих процедур по устранению ущерба от вирусов. Широкое распространение вирусов последние год-полтора стало последней каплей, переполнившей чашу терпения многих клиентов. Глобальные эпидемии Nimba, Klez, Code Red и т.д. привели руководителей компаний к мысли о том, что создание эффективной системы ИТ- самообороны станет одним из важнейших факторов обеспечения нормального функционирования организаций в будущем.
«Все эти вирусы нанесли нам немалый урон, - заметил директор
информационной службы университета штата Флорида Том Данфорд. – В отдельных
случаях наше учебное заведение фактически оказывалось на грани выживания.
Удару подверглись не отдельные компьютеры, а целые классы, и нам пришлось
потратить немало денежных средств НАТО, чтобы очистить машины от вирусов и
ликвидировать нанесенный ущерб. Безусловно, все это отняло много времени и
отрицательно сказалось на производительности труда и учебном процессе. В
конечном итоге, мы пришли к выводу, что добиться требуемого уровня
безопасности можно лишь при условии проведения необходимых профилактических
мероприятий».
Сегодня, к сети учебного заведения как внутри студенческого городка, так
и за его пределами подключено более 10 тыс. пользователей, и Данфорду
хотелось бы, чтобы система IPS обеспечивала выявление подозрительных
действий в сети, их блокировку и последующее изучение с внутренней стороны
межсетевого экрана. В декабре прошлого года в университете была установлена
сетевая консоль UnityOne-200 компании TippingPoint Technologies,
позволяющая осуществлять поиск потенциальных источников угроз. Результаты
оказались обнадеживающими. Несмотря на наличие в сети множества серверов с
Microsoft SQL Server, червь Slammer не смог проникнуть ни в одну из
университетских систем.
Аппаратные консоли и IPS-системы TippingPoint UnityOne содержат механизм
безопасной обработки сетевого трафика, в основу которого положены средства
очень быстрого анализа заголовков сетевых пакетов. «Для успешного отражения
атак путем блокирования подозрительных пакетов сразу после обнаружения
угрозы, решения IPS просто необходимо сделать частью сетевой
инфраструктуры, - подчеркивает технический директор TippingPoint Марк
Виллебек-Лемер. – Задержка их срабатывания не должна превышать нескольких
микросекунд. Поскольку в названиях IPS и IDS имеются две общие буквы, мы
всегда вели разговор о следующем поколении семейства продуктов, хотя и
имели в виду действительно разные вещи. Атаки обрушиваются на нас не только
по всему внешнему периметру, но и с внутренней стороны. Система IPS будет
эффективной только в том случае, если, интегрировав ее сетевую структуру,
вы сможете отражать удары, наносимые с любого направления. IPS нельзя более
считать лишь точкой доступа к глобальной сети».
3. Некоторые недостатки систем IPS.
Сегодня, аббревиатуру IPS можно увидеть в заголовках многих популярных
изданий, однако приверженцы IDS, в частности представители компании
Internet Security Systems (ISS), подвергают сомнению прогнозы, согласно
которым системы IDS в ближайшее время уйдут в небытие, а клиентам
понадобятся еще более эффективные средства сетевой защиты. «Наличие замка
на входной двери вовсе не означает отказ от охранной сигнализации», -
заметил технический директор ISS Крис Клаус.
В то же время нельзя отрицать, что производители систем IPS оказывают давление на рынок IDS, с тем чтобы в выгодном свете представить свои собственные разработки. Компания ISS в числе многих переходит сейчас от подхода, предусматривающего совершенствование ответных действий при обнаружении атак, к разработке технологий, реализующих превентивные меры защиты. В частности, такая стратегия может опираться на внедрение управляющих служб, собирающих информацию о серверах и настольных компьютерах, анализирующих журналы операционных систем и прочие сведения, позволяющие оценить текущее положение дел.
«Разработчикам IPS сегодня приходится преодолевать скептический настрой
клиентов, порождаемый незавершенными проектами в области обеспечения
безопасности информационных систем и невыполненными обещаниями предоставить
«волшебную палочку», с помощью которой можно будет защититься от чего
угодно», - пояснил начальник службы безопасности компании Radianz Ллойд
Хейшн.
Трудности, обусловленные необходимостью глубокого изучения сетевого трафика и постоянного мониторинга в онлайновом режиме, говорят о том, что семена IPS нельзя бросать в неподготовленную почву.
Подобные решения должны стать еще одним элементом сетевых инфраструктур,
которые в любой момент могут оказаться под угрозой перегрузки.
|Рост затрат на |
|распознавание |
|вторжений |
|неизбежен. |
|Проведенный META Group анализ ближайших инвестиционных планов компаний |
|из числа Global 2000 показал наличие высокой заинтересованности в |
|закупках сетевых и хостовых систем распознавания вторжений. Во многих |
|организациях в долгосрочных планах числятся также консоли |
|централизованного управления информацией о безопасности. Как отмечают в |
|META Group, для директоров по безопасности не стал неожиданностью |
|переход производителей от выпуска систем распознавания вторжений к |
|системам их предотвращения. По прогнозу Meta Group, разница между двумя |
|этими весьма родственными технологиями исчезнет в течение двух лет. Ведь|
|количество «дыр» обнаруженных в программном обеспечении, с 1998 года |
|выросло более чем в 15 раз. |
|Год |Количество «дыр» |
|1998 |262 |
|1999 |417 |
|2000 |1090 |
|2001 |2437 |
|2002 |4129 |
«Разработчики IPS уже перешли рубикон, однако использование таких решений по-прежнему сопряжено с риском, - подчеркнул Хейшн. – их сложность и сама природа IPS-решений таят в себе потенциальную опасность. Внося в сетевую среду еще один источник ошибок (устройство, которому уже не отводится пассивная роль), вы тем самым снижаете общую устойчивость всей среды».
У разработчиков систем IPS практически нет времени на устранение недостатков и вывод своих продуктов на достаточно зрелый уровень. Но то же самое можно сказать и об авторах проектов IDS.
«Сложность заключается в том, что в данный момент отрасль не предлагает интегрированных корпоративных решений,- пояснил Хейшн. – Есть отдельные наращиваемые модули, предназначенные для решения частных задач. Каждый из них стоит денег. Естественно, это порождает вопросы. Мы не сможем пройти целиком долгий и тернистый путь с неполноценными продуктами».
Системы IDS оказались в еще более сложном положении. Как заметил
Пескаторе, решения IPS преподносятся сегодня по сути как «лекарство от всех
болезней». Производители, ориентированные на IDS, зачастую принимают эти
маркетинговые ходы за чистую монету, и в результате им не удается
преодолеть трудности, связанные с IDS. Понятно, что количество ложных
срабатываний нужно уменьшать, но не за счет установке барьеров на пути
прохождения легитимного трафика. Нужен тщательный подбор алгоритмов,
сигнатур, устойчивых средств анализа протоколов в сочетании с
методологиями, зависящими от окружающей обстановки, и корреляции всех этих
механизмов с другими технологиями, обеспечивающими управление сетями. Но
подобные комбинации, что интересно, чаще всего встречаются как раз в
системах IPS.
«На наш взгляд, к концу следующего года, технология IPS окажет реальное
воздействие на рынок межсетевых экранов и систем IDS, - заметил Пескаторе.
– К этому моменту сюда устремится Cisco, возможно, CheckPoint, а вступление
в борьбу компаний типа Nortel, F5 Networks, возможно, даже Nokia будет
ознаменовано выпуском высококлассных многогигабитных продуктов,
предназначенных для телекоммуникационных операторов. В свою очередь,
поставщики систем IDS должны внимательно следить за восхождением IPS,
интегрируя свои предложения в схемы межсетевых экранов. Дни тех, кто не
примет концепцию IPS, окажутся сочтены».
Хейшн также рассматривает межсетевые экраны, системы IDS и IPS в качестве
важнейших компонентов реализации стратегии информационной безопасности.
Полный отказ от концепции IDS при отсутствии очень хорошего межсетевого
экрана – порочная идея, считает он. Однако преимущества IPS говорят о том,
что роль IDS в корпоративной среде изменится.
«Допустим, компании выходят в свет с IPS, но будет ли это заменой межсетевому экрану? – задается вопросом Хейшн. – Мой ответ категорически отрицательный. Межсетевые экраны проектируются, создаются и настраиваются, с тем чтобы обеспечить фильтрацию, экранирование и контроль доступа, а IPS и IDS – нет».
«Сегодня мы предлагаем определенный уровень контроля над действиями IPS.
Клиенты могут сами блокировать трафик, а наши партнеры разрабатывают
интерфейсы для взаимодействия с устройствами семейства BIG-IP. На базе
подобных решений вполне можно реализовать контроль над функционированием
IPS», - отметил директор F5 Networks по управлению продуктами Эрик Гиза.
После покупки в начале текущего года компании Okena большую активность в
отношении IPS стала проявлять и корпорация Cisco Systems. В состав Cisco
Systems также вошла компания Psionic Software (сделка по ее приобретению
была завершена в декабре 2002 года), что было расценено аналитиками как
намерение в первую очередь ускорить создание новых решений по обработке
ложных срабатываний. Частично это подтвердилось недавним анонсом IDS-
модулей для коммутаторов Catalyst ( в частности, для устройств серии
Catalyst 6500).
«Наши клиенты не раз заявляли, что понимают всю важность проведения мероприятий по предотвращению вторжений. Однако в большинстве своем они по- прежнему не доверяют технологии, которая работает автономно, то есть независимо от человека, и сама принимает решения в отношении сетевого трафика», - заявил менеджер Cisco Джон Макфарлэнд.
Преимущества IPS очевидны, но для доказательства их силы в
противодействии угрозам безопасности, возникающим в реальном мире, нужны
объективные испытания. Уже сегодня технологии IPS реализуются на практике в
устройствах и решениях, действующих автономно и способных самостоятельно
принимать решения. Однако по тому, что делают и как ведут себя сейчас
поставщики систем IDS (а ведут они себя совершенно иначе по сравнению с
тем, что мы видели раньше), можно сделать вывод: будущее IPS лежит в
области не изолированных, а интегрированных решений, будь то сочетание с
IDS, межсетевыми экранами или какими-то иными компонентами сетевой
инфраструктуры. «От систем IPS сегодня требуется присутствие в сети, умение
принимать решения и воздействовать на прохождение пакетов – все эти функции
сетевого устройства, - подчеркнул Макфарлэнд. – IPS – не одноразовый трюк.
Это решение должно действительно быть всеобъемлющим».
4. IPS в России.
В России продукты IPS появились недавно и сейчас у всех поставщиков их
продано по нескольку экземпляров. В основном это продажи IPS в составе
других продуктов: межсетевых экранов или IDS. Так, компания NetWell,
объявившая прошедшим летом о начале поставок устройств NetScreen, продает
их в составе корпоративной сети и уже имеет шесть проектов с их
использованием. По оценкам Дмитрия Коваля, генерального директора NetWell,
затраты на устройства IPS/IDS составляют не более 10% общей стоимости
проекта. Для предустановленных систем IPS цена одного устройства находится
в диапазоне от 7 до 10 тыс. долл. Программное решение CheckPoint
Applications Intelligence поставляется в составе межсетевого экрана и
отдельно не продается (только через модификацию старых версий).
Впрочем, по словам Алексея Лукацкого, заместителя директора по маркетингу компании «Информзащита», пока тяжело убедить российских пользователей на покупку устройств защиты, отличных от уже известных продуктов – антивирусов и межсетевых экранов.
«Российские компании уже несколько лет внедряют не только межсетевые экраны и антивирусное программное обеспечение, но и системы обнаружения вторжений, системы анализа содержимого Web-трафика и электронной почты, - отметил Николай Петров из компании «Эрнст энд Янг». – Однако, как показывает практика, очень часто предложенные решения не соответствуют потребностям клиентов в полной мере, они или плохо стыкуются с тем, что уже есть, или плохо расширяются для дополнительных нужд в дальнейшем, или не учитывают специфики бизнеса клиента».
Возможно, недоверие к IPS в России связано со сложностью новой технологии. Так по словам Лукацкого у потенциальных клиентов еще остаются сомнения в жизнеспособности технологии IPS. Например, Виталий Чивиков, разработчик программных средств защиты информации концерна «Системпром», считает, что средства защиты, такие как IPS, при их неправильной настройке легко можно использовать для реализации DoS-атаки. В общем, пока отношение к IPS, как и к любой новой технологии, осторожное, поскольку еще не понятно, чем они отличаются от межсетевых экранов и классических IDS, а также насколько они надежны.