К вопросу обнаружения компьютерных атак и вредоносного заражения

Несмотря на разработку альтернативных методов обнаружения компьютерных атак и вредоносного программного обеспечения, сигнатурный метод поиска в настоящее время остается основным в решении задачи обеспечения информационной безопасности ЛВС, подключенных к Интернету.

В настоящее время используются две основные схемы применения систем обнаружения атак (СОА) и антивирусных средств (АВС). В распределенных системах применения СОА и АВС устанавливаются непосредственно на защищаемые серверы и рабочие станции. Достоинством такой схемы будет то, что АВС обнаруживают компьютерные вирусы независимо от источника заражения, недостаток заключается в необходимости организовать в ЛВС централизованное обновление без сигнатур.

В сосредоточенных системах применения СОА и АВС устанавливаются на отдельные программно-аппаратные комплексы (ПАК) в каналах связи с внешними сетями, чаще всего в каналах связи с сетью Интернет. Эти ПАК осуществляют поиск в трафике канала сигнатур компьютерных атак и компьютерных вирусов (являются сенсорами КА и КВ). Такая схема удобна, когда единственным источником информации в ЛВС служат внешние сети. Если получение информации осуществляется через отчуждаемые носители, ПАК обнаружения КА и КВ дополняется комплексом обнаружения вредоносного ПО на отчуждаемых носителях.

Защита корпоративной ЛВС

Перспективным вариантом применения защиты каналов связи является защита корпоративной ЛВС в целом, особенно если это ЛВС с пространственным разнесением сегментов. В этом случае целесообразно на каналах связи сегментов корпоративной ЛВС разместить сенсоры КА и КВ, которые для централизованного хранения информации, аналитической обработки и управления процессом поиска желательно дополнить корпоративным центром обработки переданных сенсорами данных о КА и КВ.

Для решения задачи обнаружения КА и КВ в корпоративных ЛВС применима новая разработка нашей организации – программно-аппаратная система (ПАС) "Сенсор", способная выявлять скрытые угрозы в трафике каналов связи. Другой разработкой является ПАК "Пункт-МС" (http://kbpm-ib.ru/punktms), способный обнаруживать КВ на отчуждаемых носителях информации различного типа.

Основными проблемами системы выявления сетевых атак и компьютерных вирусов являются:

• нарастающий объем трафика в ставших уже стандартом де-факто гигабитных сетях;
• своевременное обнаружение сетевых атак и компьютерных вирусов в трафике;
• оперативный сбор и анализ выявленной информации.

Применение

Исходя из имеющегося положительного опыта создания сенсоров, коллектив нашей организации поставил перед собой задачу – объединить в единой модульной ПАС систему обнаружения КВ с системой выявления КА. Данная система предназначается для:

• приема и контроля трафика для дальнейшего анализа по двум независимым потокам на скорости 1 Гбит/с без потерь сетевых пакетов;
• выявления вредоносного программного обеспечения (по фиксированному набору сетевых протоколов: HTTP, POP3, SMTP, FTP) и сетевых атак в режиме реального времени;
• систематизации информации от подсистем выявления вредоносного программного обеспечения и сетевых атак, ведения СУБД и формирования статистических характеристик анализируемого трафика;
• первичного экспресс-анализа факторов в выявленных атаках и вирусах.

Комплектация

Комплекс аппаратных средств состоит из нескольких подсистем, обеспечивающих выборку из сетевого трафика, сервера базы данных, хранящего отобранную и преобразованную информацию (см. рис. 1).

Модульная структура ПАС "Сенсор" позволяет использовать его как в полном составе, так и с исключением отдельных подсистем по выбору пользователя (см. рис. 2).

В состав ПАС входят следующие подсистемы:

• выявления сетевых атак ("Сенсор-Атака");
• выявления вредоносного ПО ("Сенсор-Вирус");
• передачи данных от подсистем "Сенсор-Атака" и "Сенсор-Вирус" в базу данных;
• модуль хранения данных;
• технологического мониторинга аппаратной части системы;
• визуализации и экспресс-анализа данных.

В ПАС могут использоваться различные комбинации из одной или нескольких подсистем выявления атак и выявления вредоносного ПО, которые являются прозрачными. Они получают доступ к сетевому трафику через зеркалирование портов или через TAP-устройство. Захват данных на гигабитном канале обеспечивается с помощью высокоскоростной библиотеки захвата пакетов и специализированного драйвера сетевой карты.

В части обнаружения сетевых атак используется ставшее де-факто стандартом средство Snort, информация от которого в части выявленной атаки преобразуется в сообщение, являющееся информационным пакетом безопасности (ИПБ).

Диагностика

С целью обнаружения вложенных компьютерных вирусов из проходящего трафика производится сборка сессий, распознавание по нескольким популярным протоколам прикладного уровня и выделение переданных по ним объектов. Для диагностики на инфицированность все извлеченные файлы отправляются на проверку антивирусным средством Dr.Web (выбор обусловлен наличием сертификата безопасности и скоростными характеристиками). В случае обнаружения заражения выделенный из трафика файл сохраняется в специальный "контейнер" (для защиты от непреднамеренного запуска) и формируется сообщение в виде информационного пакета безопасности.

Сгенерированные подсистемами информационные пакеты передаются в единую базу данных. Передача осуществляется в клиент-серверном режиме с периодичной посылкой сигналов об отправке очередной порции сообщений. Для быстроты пересылки ИПБ, "контейнеров" и статистической информации от подсистемы "Сенсор-Вирус" используется сжатие передаваемых данных. Для гарантии передачи разработан протокол передачи и выполняется проверка контрольных сумм данных.

Подсистема передачи и отображения технологической информации о состоянии работоспособности подсистем реализована на основе свободной системы мониторинга ZABBIX.

Вся информация хранится в СУБД PostgreSQL.

Подсистема визуализации позволяет через дружественный web-интерфейс отображать статистическую информацию об обнаруженных КА и КВ, а также производить первичный экспресс-анализ выявленных фактов атак и вирусов.

Узким местом системы является выявление компьютерных вирусов. Антивирусное средство имеет ограниченную скорость проверки на наличие компьютерных вирусов. Имеющийся опыт обработки и анализа сетевого трафика по каналам связи производительностью 100 Мбит/с свидетельствует о том, что очередь файлов к антивирусному средству на проверку может накапливаться и даже расти. При снижении интенсивности притока файлов в очередь – как правило, в ночное время – разбор очереди иногда продолжается несколько часов.

Для анализа извлеченных из гигабитного канала данных требуется поддерживать скорость антивирусной проверки достаточно высокой. Есть несколько путей решения этой задачи.

Первый путь – одновременный запуск нескольких демонов антивирусного средства в зависимости от характеристик процессора. Оптимальной конфигурацией на определенном смоделированном трафике является запуск трех демонов антивирусного средства, при этом каждый обрабатывает 16 потоков. Данная конфигурация позволяет почти в два раза повысить скорость определения зараженности объектов (см. рис. 3).

Второй путь – использование агрегации файлов, посылаемых антивирусному средству, в tar-архивы оптимального размера, что сокращает время обработки.

Третий путь – наращивание производительности аппаратной платформы. Один из вариантов – использование платформы с независимыми вычислительными модулями в едином серверном шасси 2U с общей дисковой подсистемой.

Использование указанных путей в формировании программно-аппаратных систем позволяет создавать системы разной комплектации в зависимости от требуемого функционала с целью контроля интернет-трафика на наличие сетевых атак и вирусов.

Для обеспечения требований безопасности ПАС предусмотрена возможность разделения информационных контуров на "открытый" и "закрытый" с хранением и обработкой данных в"закрытом" контуре, не имеющем выхода во внешние сети. Связь между контурами может обеспечиваться сертифицированным однонаправленным оптическим шлюзом (www.kbpm-ib.ru/odnsh). Возможна также организация криптозащиты канала передачи данных между удаленными сенсорами в "открытом" контуре и базой данных в "закрытом" контуре.

В перспективе предусматривается модернизация ПАС в части создания подсистемы визуализации с подключением к ней дополнительных функций, позволяющих:

• отображать результаты обработки на электронной карте с привязкой к географическим координатам сенсоров;
• использовать технологии GeoIP для локализации адресов атакующих машин;
• формировать отчетные документы.

В целом разработанная ПАС "Сенсор" рассматривается как средство оперативного контроля интернет-трафика в защищаемых компьютерных системах в ходе решения задачи обеспечения информационной безопасности.