Развертывание IDS

Сильные стороны и ограниченность IDS

Хотя IDS являются ценным дополнением к инфраструктуре безопасности организации, существуют функции, которые они выполняют хорошо, и существуют функции, которые они не могут делать хорошо. При планировании стратегии безопасности важно понимать, что следует доверить IDS и что лучше оставить для других типов механизмов безопасности.

Сильные стороны IDS

IDS хорошо выполняют следующие функции:

• мониторинг и анализ событий в системе и поведения пользователей;
• тестирование состояний системных конфигураций относительно их безопасности;
• проверка базового безопасного состояния системы и затем отслеживание любых изменений этого базового состояния (тем самым это будет означать реализацию политики информационной безопасности по умолчанию);
• распознавание шаблонов системных событий, которые соответствуют известным атакам;
• распознавание шаблонов деятельности, которая статистически отличается от нормальной деятельности;
• управление механизмами аудита и создания логов ОС и любых других данных, которые они создают.
• оповещение руководства некоторым заданным образом при обнаружении атак;
• политика безопасности может быть выражена в терминах инструментов анализа;
• обеспечение специалистам, не являющимся экспертами в области безопасности, возможности выполнять функции мониторинга информационной безопасности.

Ограничения IDS

IDS имеют много ограничений. Наиболее существенные следующие:

• они плохо масштабируются на большие или распределенные сети предприятия;
• они могут быть трудны в управлении, с неудобным интерфейсом управления и сообщениями о тревогах;
• различные коммерческие IDS редко взаимодействуют друг с другом, если они созданы разными производителями;
• на эффективности функционирования IDS существенно сказываются ошибочные оповещения о тревогах, так называемые ложные позитивности. На них может тратиться большое количество времени администратора и большое количество ресурсов;
• они не могут компенсировать отсутствие в организации стратегии безопасности, политики или архитектуры безопасности;
• они не могут компенсировать слабые места в сетевых протоколах;
• они не могут заменить другие типы механизмов безопасности (такие как идентификацию и аутентификацию, шифрование, single sign on, firewall’ы или управление доступом);
• они не могут использоваться в качестве единственного механизма, который полностью защищает систему от всех угроз безопасности.

IDS не могут выполнять следующие функции:

• компенсировать слабые или отсутствующие механизмы безопасности в защищаемой инфраструктуре. Такие механизмы включают firewall’ы, идентификацию и аутентификацию, шифрование передаваемой информации, механизмы управления доступом и определение и удаление вирусов;
• мгновенно определять атаки, создавать отчеты и ответы на атаку, когда существует сильно загруженная сеть или большая обработка;
• определять новые атаки или варианты существующих атак;
• эффективно распознавать атаки, вызванные ложными атакующими;
• автоматически (без человеческого вмешательства) исследовать атаки;
• противодействовать атакам, которые предназначены для разрушения или обмана самих IDS;
• компенсировать проблемы, связанные с правильностью и точностью источников информации;
• эффективно функционировать в сетях, использующих коммутаторы.

Обработка выходной информации IDS

Типичные выходные данные IDS

Почти все IDS имеют в качестве выходной информации строку сообщения о каждой обнаруженной атаке. Эта строка обычно содержит перечисленные ниже поля:

• время и дату;
• IP-адрес сенсора;
• название атаки, специфичное для производителя;
• стандартное название атаки (если оно существует);
• IP-адреса источника и назначения;
• номера портов источника и назначения;
• сетевой протокол, используемый для атаки.

Многие IDS также предоставляют более подробное описание каждого типа атаки. Данное описание важно, так как оно дает возможность администратору уменьшить ущерб, наносимый атакой.

Данное описание обычно содержит следующую информацию:

• текстовое описание атаки;
• уровень серьезности атаки;
• тип ущерба, наносимого в результате атаки;
• тип уязвимости, используемый атакой;
• список типов ПО и номера версий, которые являются уязвимыми для атаки;
• информация о существующих обновлениях, которые позволяют сделать систему менее уязвимой для атаки;
• ссылки на публично доступные публикации об атаке или уязвимости, которую она использует.

Выполняемые IDS действия при обнаружении атаки

Возможно лучшим результатом, соответствующим успешной трактовке выходной информации IDS, должно быть сообщение, что атака "Be Prepared", т.е. полностью ликвидирована.

Однако реально автоматическая обработка атаки не всегда возможна. Поэтому следует иметь планы и процедуры обработки инцидентов, таких как обнаружение вирусов, внутренних угроз системам и внешние атаки.

Данный план должен, как минимум, определять роли и ответственности в организации, определять действия, которые должны быть выполнены при возникновении инцидента, и устанавливать график обучения и его содержание, которое необходимо при обработке инцидента. Более того, следует предусмотреть периодические тестирования этих процедур реагирования на инциденты, при которых каждый должен продемонстрировать умение действовать в соответствии со своими обязанностями.

Компьютерные атаки и уязвимости, определяемые IDS

Многие организации приобретают IDS, потому что они знают, что IDS являются необходимым дополнением всеобъемлющей архитектуры безопасности системы. Однако, приобретая соответствующие коммерческие IDS, большинство организаций испытывают недостаток в квалифицированных операторах IDS. Несмотря на утверждения производителя о простоте использования, обучение абсолютно необходимо. IDS эффективна настолько, насколько эффективно ее использует человек.

Пользовательские интерфейсы IDS сильно отличаются. Некоторые создают ответы в форме зашифрованного текста, который записывается в логи, а другие предоставляют описание атак на сеть в графическом виде. Несмотря на широкий диапазон технологий представления информации, большинство выходной информации IDS имеет общую базу, касающуюся компьютерных атак. Если пользователи понимают данное базовое множество выходной информации, они быстро начинают понимать большинство выходных данных коммерческих IDS.

Типы атак

Большинство компьютерных атак нарушают безопасность системы некоторыми конкретными способами. Например, атаки могут давать возможность атакующему читать конкретные файлы, но не позволяют заменить какие-либо системные компоненты. Другие атаки могут позволить атакующему выполнить останов (shut down) некоторых компонент системы, но не предоставят доступ ни к каким файлам. Несмотря на различные возможности компьютерных атак, результатом обычно является нарушение следующих четырех свойств безопасности: доступность, конфиденциальность, целостность и управляемость. Рассмотрим эти нарушения.

Конфиденциальность. Атака осуществляет нарушение конфиденциальности, если она позволяет атакующему получить доступ к данным без авторизации (явно или неявно).

Целостность. Атака осуществляет нарушение целостности, если она позволяет (неавторизованному) атакующему изменить состояние системы либо данных, хранящихся или передаваемых через систему.

Доступность. Атака осуществляет нарушение доступности, если она удерживает авторизованного пользователя (человека или машину) от доступа к конкретному ресурсу системы там, тогда и в той форме, которая ему нужна.

Управляемость. Атака осуществляет нарушение управляемости, если она предоставляет (неавторизованному) атакующему привилегии, которые не предусмотрены политикой управления доступом в системе. Данная привилегия дает возможность в дальнейшем нарушить конфиденциальность, целостность или доступность.