Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
пос_IB.doc
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
1.99 Mб
Скачать

8.8.2Активний аудит

Завдання активного аудиту - оперативно виявляти підозрілу активність і надавати засоби для автоматичного реагування на неї.

Під підозрілою активністю розуміється поведінка користувача або компоненту ІС, що є зловмисним (відповідно до наперед певної політики безпеки) або нетиповим (згідно прийнятим критеріям).

Активність, не відповідну політиці безпеки, доцільно розділити на атаки, направлені на незаконне отримання повноважень, і на дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки.

Атаки порушують будь-яку осмислену політику безпеки. Іншими словами, активність що атакує є руйнівною незалежно від політики. Отже, для опису і виявлення атак можна застосовувати універсальні методи, інваріантні щодо політики безпеки, такі як сигнатури і їх виявлення у вхідному потоці подій за допомогою апарату експертних систем.

Сигнатура атаки - це сукупність умов, при виконанні яких атака вважається такою, що має місце, та викликає наперед певну реакцію.

Простий приклад сигнатури - "зафіксовані три послідовні невдалі спроби входу в систему з одного терміналу", приклад асоційованої реакції - блокування терміналу до прояснення ситуації.

Дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки, ми називатимемо зловживанням повноваженнями.

Зловживання повноваженнями можливі із-за неадекватності засобів розмежування доступу вибраній політиці безпеки. Простим прикладом зловживань є неетична поведінка суперкористувача, що проглядає особисті файли інших користувачів. Аналізуючи реєстраційну інформацію, можна виявити подібні події і повідомити про них адміністратору безпеки, хоча для цього необхідні відповідні засоби політики безпеки.

Нетипова поведінка виявляється статистичними методами. У простому випадку застосовують систему порогів, перевищення яких є підозрілим. (Втім, "пороговий" метод можна трактувати і як вироджений випадок сигнатури атаки, і як тривіальний спосіб політики безпеки.) У розвиненіших системах проводиться зіставлення довготривалих характеристик роботи (званих довгостроковим профілем) з короткостроковими профілями. (Тут можна угледіти аналогію біометричної автентифікації за поведінковим характеристикам.)

Стосовно засобів активного аудиту розрізняють помилки першого і другого роду: пропуск атак та помилкові тривоги, відповідно. Небажаність помилок першого роду очевидна; помилки другого роду не менш неприємні, оскільки відволікають адміністратора безпеки від дійсно важливих справ, побічно сприяючи пропуску атак.

Переваги сигнатурного методу:

  • висока продуктивність,

  • мале число помилок другого роду,

  • обґрунтованість рішень.

Основний недолік - невміння виявляти невідомі атаки і варіації відомих атак.

Основні переваги статистичного підходу:

  • універсальність і обґрунтованість рішень,

  • потенційна здатність виявляти невідомі атаки, тобто мінімізація числа помилок першого роду.

Недоліки полягають у:

  • відносно високій частці помилок другого роду,

  • поганій роботі у разі, коли неправомірна поведінка є типовою,

  • коли типова поведінка плавно міняється від легального до неправомірного,

  • коли типової поведінки немає (як показує статистика, таких користувачів приблизно 5-10%).

Засоби активного аудиту можуть розташовуватися на всіх лініях оборони ІС. На межі контрольованої зони вони можуть виявляти підозрілу активність в точках підключення до зовнішніх мереж (як спроби нелегального проникнення, так і дії з "промацування" сервісів безпеки). У мережі, в рамках інформаційних сервісів і сервісів безпеки, активний аудит в змозі виявити і присікти підозрілу активність зовнішніх і внутрішніх користувачів, виявити проблеми в роботі сервісів, викликані порушеннями безпеки та апаратно-програмними помилками. Отже активний аудит, у принципі, здатний забезпечити захист від атак на доступність.

На жаль, формулювання "у принципі, здатний забезпечити захист" не випадкове. Активний аудит розвивається більше десяти років, і перші результати здавалися вельми багатообіцяючими. Досить швидко вдалося реалізувати розпізнавання простих типових атак, проте потім була виявлена безліч проблем, пов'язаних з виявленням наперед невідомих атак, атак розподілених, розтягнутих в часі і т.п. Було б наївно чекати повного рішення подібних проблем найближчим часом. Проте, і на нинішній стадії розвитку активний аудит корисний як один з рубежів ешелонованої оборони.