Информационная безопасность
Системы обнаружения компьютерных атак - не панацея
В настоящее время львиную долю отечественного рынка информационной безопасности составляют межсетевые экраны, системы обнаружения атак (Intrusion Detection Systems - IDS) и антивирусные системы. Однако эти средства перестают удовлетворять современным требованиям, предъявляемым к защитным системам. И здесь нет ничего удивительного: интервалы времени между появлением сообщения об очередной новой точке уязвимости в программном обеспечении, выпуском «заплатки» и созданием программы, использующей эту уязвимость, сокращаются сегодня очень быстро. IDS всего лишь обнаруживают компьютерные атаки. Можно провести параллель между такой системой и термометром: последний лишь определяет температуру тела больного, но не является средством лечения. Получается, что система обнаружения компьютерных атак имеет только диагностическое значение.
Существуют две технологии обнаружения атак: технология сигнатурного анализа и так называемая технология выявления аномальной деятельности. IDS, основанные на первой из них, обнаруживают далеко не все атаки, а лишь те, которые уже описаны в сигнатурах (образец IP-пакета данных, характерного для какой-либо определенной атаки). Иными словами, они реагируют только на известные атаки и беззащитны перед новыми, неизвестными. Такие IDS работают по тому же принципу, что и антивирусные программы: известные вирусы ловятся, неизвестные - нет.
Появление новой сигнатуры всегда обусловлено анализом механизма уже прошедшей атаки и ее воздействия на какую-либо информационную систему. Хорошо, если это были действия, направленные на конкретные информационные ресурсы. А если это была, допустим, новая разновидность интернет-червя? Тогда пользователь защитной системы, созданной на основе технологии сигнатурного анализа, не застрахован от последствий возможной компьютерной атаки. Принцип работы «пронесет-не пронесет» устроит лишь тех пользователей, для которых не критична потеря информации, но не тех, чья деятельность основана на использовании информационных ресурсов.
Возникает резонный вопрос, а как же быть с неизвестными атаками? Случавшиеся в последнее время компьютерные атаки, например такие как Slammer или Nimda, ускользают от внимания программных средств, основанных на распознавании сигнатур, и практически мгновенно распространяются через локальные сети - задолго до того, как становится возможным какое-либо обновление систем защиты. Система, ориентированная на выявление новых типов атак, - это система выявления «аномального» поведения, которая отслеживает в сетевом трафике, в работе приложений и в других процессах все отклонения от нормы, контролирует частоту событий и обнаруживает статистические аномалии. Основанная на анализе поведения, такая система может остановить как известные, так и не встречавшиеся ранее виды несанкционированной деятельности. Однако и у нее есть существенный недостаток - трудности с формулировкой эффективных критериев того, что считать аномальным поведением, а что не считать.
Объединяя эти две технологии и устраняя таким образом их взаимные недостатки, можно получить средство обнаружения известных и неизвестных атак.
