Системы обнаружения злоупотреблений

Другой подход к обнаружению атак - обнаружение злоупотреблений, которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в контролируемом пространстве (сетевом трафике или журнале регистрации). Примером злоупотребления является использование уязвимостей в почтовой программе sendmail и сетевом сервисе finger, которое были реализованы в нашумевшем в конце 80-х годов "Черве Морриса". Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т.е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных, атак.

Подход, реализованный в таких системах, очень прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Однако администраторы сталкиваются с проблемами и при эксплуатации этих систем. Первая проблема заключается в создании механизма описания сигнатур, т.е. языка описания атак. А вторая проблема, плавно вытекающая из первой, как записать атаку, чтобы зафиксировать все возможные ее модификации? Необходимо отметить, что первая проблема уже частично решена в некоторых продуктах. Например, система описания сетевых атак Advanced Packets Exchange, реализованная компанией Internet Security Systems, Inc. и предлагаемая совместно с разработанной ею и широко известной в России, сертифицированной в Гостехкомиссии, системой анализа защищенности Internet Scanner.

Системы обнаружения атак или межсетевые экраны?

Очень часто задают вопрос: "Нужна ли мне система обнаружения атак, если у нас уже используется межсетевой экран?" Несомненно нужна. Система обнаружения атак является существенно важным дополнением межсетевого экрана (firewall), но никак не его заменой. Межсетевые экраны предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти средства из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества не обеспечивают приемлемого уровня доступа. Например, кто-то не понимает необходимости защиты сети и оставляет на рабочем месте включенным модем для доступа к компьютеру из дома. Межсетевой экран не может не только защитить в этом случае, но и обнаружить это факт. В этом случае системы обнаружения атак незаменимы. Независимо от того, какова надежность и эффективность фильтрации вашего межсетевого экрана, пользователи зачастую находят способы обойти все установленные Вами преграды. Например, объекты ActiveX или апплеты Java могут представлять новые направления для реализации атак через межсетевые экраны. Кроме того, по статистике не менее 75% всех компьютерных преступлений происходит изнутри корпоративной сети, от своих сотрудников. А, как уже было сказано выше, "классические" средства защиты, к которым относятся и межсетевые экраны, не позволяют защитить корпоративную сеть в случае наличия плохого умысла со стороны пользователя, имеющего в нее доступ. Поэтому, межсетевой экран не может заменить систему обнаружения атак и оба этих средства нужны для построения эффективной системы защиты информации.

Представьте Вашу сеть как многоэтажное высотное здание, в котором межсетевой экран – это швейцар у дверей на входе, а каждый модуль слежения системы обнаружения атак – это сторожевой пес у каждой конкретной двери. Как правило, швейцар с удовольствием пропускает людей, которые выглядят довольно хорошо, и задерживает подозрительных людей. Однако, умный преступник способен пройти мимо швейцара и проникнуть внутрь здания, не вызвав его подозрений. Сторожевой пес лучше знает, кого он может впустить в данную дверь и мгновенно реагирует на вторжение.