Системы предотвращения атак

Системы предотвращения атак

Денис Батранков, консультант по информационной безопасности IBM Internet Security Systems

IPS - не только обнаружение атак

Системы предотвращения атак (Intrusion Prevention Systems или сокращенно IPS) являются развитием систем обнаружения атак (Intrusion Detection Systems или сокращенно IDS). Но если IDS лишь детектировали угрозы в сети и на хостах, посылали администратору оповещения различными способами, то IPS сейчас блокируют атаки сразу в момент их появления. Кроме того, IPS интегрируются с другими средствами защиты: межсетевыми экранами, сканерами безопасности, системами управления инцидентами и даже антивирусами. Для каждой атаки сейчас есть возможность провести полный анализ инцидента: собрать пакеты, идущие от атакующего, инициировать расследование, произвести устранение уязвимости. В итоге системой управления производится контроль самого администратора сети, который должен не только устранить уязвимость, например поставив патч, но и отчитаться перед системой о проделанной работе. С одной стороны, хорошо, что появилась возможность не только получать информацию об идущей атаке, но и блокировать ее, но с другой - системы обнаружения атак приходится ставить не на SPAN-порт свит-ча, а пропускать трафик непосредственно через само защитное устройство, что неизбежно вносит задержки в прохождение пакетов по сети.

Характеристики IPS

Таким образом, одной из характеристик, по которой вам необходимо оценивать IPS при покупке, является величина задержек в сети, которые неизбежно вносят такие системы.

Как правило, эту информацию можно взять у самого производителя или из исследований независимых тестовых лабораторий, например NSS.

Второй такой характеристикой является количество ложных срабатываний. Администраторы реагируют на ложные срабатывания так же, как мы с вами на спам. В конце концов, они просто перестают обращать внимание на сообщения системы, и поэтому ее покупка становится пустой тратой денег. Типичным примером системы с огромным числом ложных срабатываний является SNORT. Чтобы настроить адекватно эту систему к угрозам в сети, нужно потратить приличное количество времени.

В некоторых IDS встроены методы корреляции, которые упорядочивают найденные атаки по уровню критичности, пользуясь информацией из других источников, например из сканера безопасности. Если он увидел, что на компьютере стоит SUN Solaris и Oracle, то можно со 100%-ной уверенностью сказать, что атака червя Slammer (которая нацелена на Microsoft SQL Server) на данный сервер не пройдет. Таким образом, системы корреляции помечают часть атак неудавшимися, что сильно облегчает работу администратора.

Третьей характеристикой являются методы обнаружения/блокирования атак и возможность их тюнинга под требования своей сети. Тут появляется такое понятие, как "превентивная защита", - возможность защиты от атак, которые еще неизвестны. Такие технологии уже есть, и их надо использовать. Тут, к сожалению, нужно отметить, что еще нет систем, которые бы одновременно использовали два известных метода анализа атак: анализ протоколов (или сигнатурный) и поведенческий. Поэтому для полноценной защиты придется установить в сети минимум два устройства. Одно будет использовать алгоритмы поиска уязвимостей при помощи сигнатур и анализа протоколов, другое - статистические и аналитические методы по анализу аномалий в поведении сетевых потоков. Сигнатурные методы используются во многих системах обнаружения и предотвращения атак, но, к сожалению, не оправдывают себя: они не обеспечивают превентивной защиты, поскольку для выпуска сигнатуры требуется наличие эксплойта. Зачем вам теперь сигнатура, если вас уже атаковали и сломали сетку? Поэтому самыми передовыми методами анализа атак сейчас является полный анализ протокола, когда не анализируется конкретная атака, а ищется в протоколе признак использования атакующим уязвимости. Если перед проведением атаки необходимо установление соединения, то система по анализу протоколов проверит, прошло ли оно успешно или его не было. А сигнатурная система выдаст ложное срабатывание, поскольку у нее нет такого функционала.

Поведенческие системы работают совершенно по-другому. Они анализируют сетевой трафик и запоминают, какие обычно идут сетевые потоки. Как только возникает трафик, который не соответствует запомненному поведению, становится ясно, что в сети что-то происходит новое: например, распространение червя. Кроме того, такие системы связаны с центром обновлений и раз в час получают новые правила поведения червей и другие обновления. Например, списки фишинговых сайтов, что позволяет сразу их блокировать, и т.п. Для провайдеров такие системы важны тем, что они позволяют отслеживать изменения в "грузопотоке". Провайдеру важно обеспечить скорость и надежность доставки пакетов, а для хозяина небольшой сети необходимо, чтобы внутри нее не завелись атакующие, чтобы сеть не записали в черный список спамеров и чтобы атакующие не забили весь канал в Интернете мусором. А ведь за Интернет, канал и трафик надо платить провайдеру деньги. Директору фирмы необходимо вовремя проконтролировать, полезный трафик идет для бизнеса или нет. Кстати защита от инсайдеров тоже должна строиться на анализе поведения, и в этом как раз помогают поведенческие системы.

Аутсорсинг: контроль без выходных и праздников

Если мы говорим о технических специалистах, которые принимают решения о выборе системы предотвращения атак, то они должны задать вопросы о конкретных протоколах, которые анализирует система. Возможно, вас интересует что-то конкретное: например, анализ атак в javascript, или отражение попыток sql injection, или у вас вообще SCADA и нужно анализировать протоколы системы.

Кроме того, не все знают, что события IPS бывают не только типа "атака", но и типа "аудит" и "статус". Например, IPS может ловить сообщения ICQ. Если у вас в политике безопасности запрещена ICQ - это атака. Если нет, значит, вы просто можете отслеживать все подключения и контакты или отключить эту сигнатуру, если считаете это неэтичным. А, например, такой сервис, как Sky-pе, можно заблокировать только при помощи IPS - слишком уж он хитрый, чтобы заблокировать его при помощи межсетевого экрана.

Тут, конечно, возникает вопрос, где же брать таких специалистов, которые разбираются в этом деле? Можно пойти на курсы по обучению управлением такой системы, но для начала необходимо разбираться в сетевых протоколах, атаках и методах реагирования. А таких курсов нет, тут нужен опыт. Однако есть компании, которые предлагают аутсорсинг по управлению и анализу сообщений, поступающих с консолей систем безопасности. Там работают уже много лет специалисты, которые понимают и глубоко разбираются в безопасности Интернета, обеспечивают эффективную защиту. Вы же, в свою очередь, избавляетесь от головной боли по поиску персонала, разбирающегося во всем многообразии средств защиты. Кроме того, аутсорсинг предполагает круглосуточный контроль без выходных и праздников, так что защита становится полной. А у специалистов ограниченный график, к тому же в силу различных обстоятельств они не все время могут находиться на рабочем месте (командировки, конференции, по болезни и т.п.).

Таким образом, важность использования IPS назрела уже давно, новые превентивные технологии, которые защищают организации от новых атак, разработаны, так что остается только их грамотно установить и эксплуатировать.