Введення p>
Атака на комп'ютерну систему - це заходи, які вживаютьзловмисником, яка полягає у пошуку та використанні тієї чи іншоїуразливості. Таким чином, атака - це реалізація загрози. Зауважимо, щотаке тлумачення атаки (за участю людини, що має злий намір),виключає присутній у визначенні загрози елемент випадковості, але, якпоказує досвід, часто буває неможливо розрізнити навмисні івипадкові дії, і гарна система захисту повинна адекватно реагуватина будь-яке з них. p>
Далі, дослідники звичайно виділяють три основних види загрозбезпеки - це загрози розкриття, цілісності та відмови в обслуговуванні. p>
Загроза розкриття полягає тому, що інформація стає відомоютому, кому не варто було б її знати. У термінах комп'ютерної безпекизагроза розкриття має місце кожного разу, коли отримано доступ до деякоїконфіденційної інформації, що зберігається в обчислювальній системі чищо передається від однієї системи до іншої. Іноді замість слова "розкриття"використовуються терміни "крадіжка" або "витік". p>
Загроза цілісності включає в себе будь-яке умисне зміна
(модифікацію або навіть видалення) даних, що зберігаються в обчислювальній системіабо передаються з однієї системи в іншу. Зазвичай вважається, що загрозурозкриття схильні більшою мірою державні структури, а загрозуцілісності - ділові або комерційні. p>
Загроза відмови в обслуговуванні виникає кожного разу, коли в результатідеяких дій блокується доступ до деякого ресурсу обчислювальноїсистеми. Реально блокування може бути постійним, так щобзапитаний ресурс ніколи не було отримано, або воно може викликати тількизатримку запитуваного ресурсу, досить довгу для того, щоб він ставмарним. У таких випадках кажуть, що ресурс вичерпаний. P>
Типовими погрозами в середовищі Інтернету є:
Збій у роботі однієї з компонент мережі. Збій через помилки при проектуванніабо помилок устаткування або програм може призвести до відмови в обслуговуванніабо компрометації безпеки через неправильне функціонування однієїз компонентів мережі. Вихід з ладу брандмауера або помилкові відмови вавторизації серверами аутентифікації є прикладами збоїв, яківпливають на безпеку.
Сканування інформації. Неавторизований перегляд критичної інформаціїзловмисниками або авторизованими користувачами може відбуватися, звикористанням різних механізмів - електронний лист з невірнимадресатом, роздруківка принтера, неправильно сконфігуровані спискиуправління доступом, спільне використання кількома людьми одногоідентифікатора і т.д.
Використання інформації не за призначенням - використання інформації дляцілей, відмінних від авторизованих, може призвести до відмови в обслуговуванні,зайвим витратам, втрати репутації. Винуватцями цього можуть бути яквнутрішні, так і зовнішні користувачі.
Неавторизоване видалення, модифікація або розкриття інформації --спеціальне спотворення інформаційних цінностей, що може призвести довтрати цілісності або конфіденційності інформації.
Проникнення - атака неавторизованих людей або систем, яка можепризвести до відмови в обслуговуванні або значних витрат навідновлення після інциденту.
Маскарад - спроби замаскуватися під авторизованого користувача длякрадіжки сервісів або інформації, або для ініціації фінансових транзакцій,які призведуть до фінансових втрат або проблем для організації. p>
1. Виявлення атак p>
Історично так склалося, що технології, за якими будуються системивиявлення атак, прийнято умовно ділити на дві категорії: виявленняаномального поведінки (anomaly detection) та виявлення зловживань
(misuse detection). Однак у практичній діяльності застосовується іншакласифікація, що враховує принципи практичної реалізації таких систем:виявлення атак на рівні мережі (network-based) і на рівні хоста (host -based). Перші системи аналізують мережевий трафік, у той час як друга --реєстраційні журнали операційної системи або програми. Кожен зкласів має свої переваги й недоліки, але про це трохи пізніше.
Необхідно зауважити, що лише деякі системи виявлення атак можуть бутиоднозначно віднесені до одного з названих класів. Як правило, вонимістять у собі можливості декількох категорій. Проте цякласифікація відображає ключові можливості, що відрізняють одну системувиявлення атак від іншої. p>
На даний момент технологія виявлення аномалій не отримала широкогопоширення, і в жодній комерційно поширюваної системі вона невикористовується. Пов'язано це з тим, що дана технологія красиво виглядає втеорії, але дуже важко реалізується на практиці. Зараз, однак, намітивсяпоступове повернення до них (особливо в Росії), і можна сподіватися, що вНезабаром користувачі зможуть побачити перші комерційні системивиявлення атак, які працюють за цією технологією. p>
Інший підхід до виявлення атак - виявлення зловживань, якеполягає в описі атаки у вигляді шаблону (pattern) або сигнатури
(signature) і пошуку даного шаблону в контрольованому просторі (мережномутрафік або журналі реєстрації). Антивірусні системи є яскравимприкладом системи виявлення атак, що працює за цією технологією. p>
Як вже було зазначено вище, існує два класи систем, що виявляютьатаки на мережному та операційному рівні. Принципова перевага мережевих
(network-based) систем виявлення атак полягає в тому, що вониідентифікують нападу перш, ніж ті досягнуть атакується вузла. Цісистеми більш прості для розгортання у великих мережах, тому що невимагають установки на різні платформи, що використовуються в організації. У
Росії найбільшого поширення набули операційні системи MS-DOS,
Windows 95, NetWare і Windows NT. Різні діалекти UNIX у нас поки ненастільки широко розповсюджені, як на Заході. Крім того, системи виявленняатак на рівні мережі практично не знижують продуктивності мережі. p>
Системи виявлення атак на рівні хоста створюються для роботи підуправлінням конкретної операційної системи, що накладає на нихпевні обмеження. Наприклад, мені не відома ні одна система цьогокласу, що функціонує під керуванням MS-DOS або Windows for Workgroups
(адже ці операційні системи ще досить поширені в Росії).
Використовуючи знання того, як має «вести» себе операційна система,кошти, побудовані з урахуванням цього підходу, іноді можуть виявитивторгнення, пропускалися мережевими засобами виявлення атак. Однакнайчастіше це досягається дорогою ціною, тому що постійна реєстрація,необхідна для виконання подібного роду виявлення, суттєво знижуєпродуктивність захищається хоста. Такі системи сильно завантажуютьпроцесор і вимагають великих обсягів дискового простору для зберіганняжурналів реєстрації і, в принципі, не застосовні для висококрітічнихсистем, що працюють в режимі реального часу (наприклад, система
«Операційний день банку» або система диспетчерського управління). Однак,незважаючи ні на що, обидва ці підходи можуть бути застосовані для захисту вашоїорганізації. Якщо ви хочете захистити один або декілька вузлів, то системивиявлення атак на рівні хоста можуть стати непоганим вибором. Але якщо вихочете захистити більшу частину мережевих вузлів організації, то системивиявлення атак на рівні мережі, ймовірно, будуть найкращим вибором,оскільки збільшення кількості вузлів у мережі ніяк не позначиться на рівнізахищеності, що досягається за допомогою системи виявлення атак. Вона зможебез додаткової настройки захищати додаткові вузли, у той час як уразі застосування системи, що функціонує на рівні хостів, знадобиться їївстановлення та налаштування на кожен захищається хост. Ідеальним рішенням сталаб система виявлення атак, що поєднує в собі обидва ці підходи. [1] p>
що існують сьогодні на ринку комерційні системи виявлення атак
(Intrusion Detection Systems, IDS) використовують для розпізнавання і відображенняатак або мережевий, або системний підхід. У будь-якому випадку ці продукти шукаютьсигнатури атак, специфічні шаблони, які звичайно вказують наворожі або підозрілі дії. У разі пошуку цих шаблонів умережевому трафіку, IDS працює на мережевому рівні. Якщо IDS шукає сигнатуриатак в журналах реєстрації операційної системи або додатки, то цесистемний рівень. Кожен підхід має свої переваги й недоліки, алевони обоє доповнюють один одного. Найбільш ефективною є системавиявлення атак, яка використовує у своїй роботі обидві технології. Уданому матеріалі обговорюються відмінності в методах виявлення атак на мережевомуі системному рівнях з метою демонстрації їх слабких і сильних сторін. Такожописуються варіанти застосування кожного із способів для найбільшефективного виявлення атак. p>
1.1. Виявлення атак на мережевому рівні p>
Системи виявлення атак мережевого рівня використовують якджерела даних для аналізу необроблені (raw) мережеві пакети. Якправило, IDS мережевого рівня використовують мережевий адаптер, що функціонує врежимі "прослуховування" (promiscuous), і аналізують трафік в реальномумасштабі часу в міру його проходження через сегмент мережі. Модульрозпізнавання атак використовує чотири широко відомих методу длярозпізнавання сигнатури атаки: o Відповідність трафіку шаблоном (сигнатурі), виразу або байткод, що характеризують про атаку або підозрілий дії; o Контроль частоти подій або перевищення граничної величини; o Кореляція декількох подій з низьким пріоритетом; o Виявлення статистичних аномалій. p> < p> Як тільки атака виявлена, модуль реагування надає широкийнабір варіантів повідомлення, видачі сигналу тривоги та реалізації контрзаходів увідповідь на атаку. Ці варіанти змінюються від системи до системи, але, якправило, містять у собі: повідомлення адміністратора через консоль або заелектронною поштою, завершення з'єднання з атакуючим вузлом і/або записсесії для подальшого аналізу і збору доказів. p>
1.2. Виявлення атак на системному рівні p>
На початку 80-х років, ще до того, як мережі отримали свій розвиток,найбільш поширена практика виявлення атак полягала в переглядіжурналів реєстрації на предмет наявності в них подій, що свідчать пропідозрілу активність. Сучасні системи виявлення атак системногорівня залишаються потужним інструментом для розуміння вже здійснених атак івизначення відповідних методів для усунення можливостей їх майбутньогозастосування. Сучасні IDS системного рівня, як і раніше використовуютьжурнали реєстрації, але вони стали більш автоматизованими і включаютьнайскладніші методи виявлення, засновані на новітніх дослідженнях вматематики області. Як правило, IDS системного рівня контролюютьсистему, події та журнали реєстрації подій безпеки (security logабо syslog) в мережах, що працюють під управлінням Windows NT або Unix. Колибудь-якої з цих файлів змінюється, IDS порівнює нові записи зсигнатурами атак, щоб перевірити, чи є відповідність. Якщо такевідповідність знайдено, то система посилає сигнал тривоги або адміністраторуприводить в дію інші визначені механізми реагування. p>
IDS системного рівня постійно розвиваються, поступово включаючи всінові й нові методи виявлення. Один з таких популярних методівполягає у перевірці контрольних сум ключових системних та виконуванихфайлів через регулярні інтервали часу на предмет несанкціонованихзмін. Своєчасність реагування безпосередньо пов'язана з частотоюопитування. Деякі продукти прослуховують активні порти і повідомляютьадміністратора, коли хтось намагається отримати до них доступ. Такий типвиявлення вносить в операційну середу елементарний рівень виявленняатак на мережевому рівні. p>
1.3. Переваги систем виявлення атак на мережевому рівні p>
IDS мережевого рівня мають багато переваг, які відсутні всистемах виявлення атак на системному рівні. Насправді, багатопокупці використовують систему виявлення атак мережевого рівня через їїнизької вартості і своєчасного реагування. Нижче представлені основніпричини, які роблять систему виявлення атак на мережевому рівні найбільшважливим компонентом ефективної реалізації політики безпеки. p>
1. Низька вартість експлуатації. IDS мережевого рівня необхідно встановлювати в найбільш важливих місцях мережі для контролю трафіку, що циркулює між численних систем. Системи мережевого рівня не вимагають, щоб на кожному хості встановлювалося програмне забезпечення системи виявлення атак. Оскільки для контролю всієї мережі число місць, в яких встановлені IDS невелика, то вартість їх експлуатації в мережі підприємства нижче, ніж вартість експлуатації систем виявлення атак на системному рівні. P>
2. Виявлення атак, які пропускаються на системному рівні. IDS мережевого рівня вивчають заголовки мережевих пакетів на наявність підозрілої або ворожої діяльності. IDS системного рівня не працюють із заголовками пакетів, отже, вони не можуть визначати ці типи атак. Наприклад, багато мережеві атаки типу "відмова в обслуговуванні" ( "denial-of-service") і "фрагментований пакет" p>
(TearDrop) можуть бути ідентифіковані тільки шляхом аналізу заголовків пакетів, в міру того, як вони проходять через мережу. Цей тип атак може бути швидко ідентифікований за допомогою IDS мережевого рівня, яка переглядає трафік в реальному масштабі часу. IDS мережевого рівня можуть досліджувати зміст тіла даних пакету, відшукуючи команди або певний синтаксис, що використовуються в конкретних атаках. P>
Наприклад, коли хакер намагається використовувати програму Back Orifice на системах, які поки ще не вражені нею, то цей факт може бути виявлений шляхом дослідження саме змісту тіла даних пакета. Як говорилося вище, системи системного рівня не працюють на мережному рівні, і тому не здатні розпізнавати такі атаки. P>
3. Для хакера більш важко видалити сліди своєї присутності. IDS мережевого рівня використовують "живої" трафік при виявленні атак в реальному масштабі часу. Таким чином, хакер не може видалити сліди своєї присутності. Аналізовані дані включають не тільки інформацію про метод атаки, але і інформацію, яка може допомогти при ідентифікації зловмисника і доведенні в суді. Оскільки багато хакерів добре знайомі з журналами реєстрації, вони знають, як маніпулювати цими файлами для приховування слідів своєї діяльності, знижуючи ефективність систем системного рівня, яким потрібна ця інформація для того, щоб виявити атаку. P>
4. Виявлення та реагування в реальному масштабі часу. IDS мережевого рівня виявляють підозрілі і ворожі атаки в міру того, p>
як вони відбуваються, і тому забезпечують набагато більш швидке повідомлення та реагування, ніж IDS системного рівня. Наприклад, хакер, який ініціює атаку мережевого рівня типу "відмова в обслуговуванні" на основі протоколу TCP, може бути зупинений IDS мережевого рівня, яка посилає встановлений прапор Reset в заголовку TCP-пакету для завершення з'єднання з атакуючим вузлом, перш ніж атака викличе руйнування або пошкодження атакується хоста. IDS системного рівня, як правило, не розпізнають атаки до моменту відповідного запису в журнал і роблять у відповідь дії вже після того, як було зроблено запис. До цього моменту найбільш важливі системи або ресурси вже можуть бути скомпрометовані або порушена працездатність системи, запускає IDS системного рівня. Повідомлення в реальному масштабі часу дозволяє швидко зреагувати відповідно до заздалегідь визначеними параметрами. Діапазон цих реакцій змінюється від дозволу проникнення в режимі спостереження для того, щоб зібрати інформацію про атаку і атакуючому, до негайного завершення атаки. P>
5. Виявлення невдалих атак або підозрілих намірів. IDS мережевого рівня, встановлена з зовнішнього боку брандмауера p>
(МСЕ), може виявляти атаки, націлені на ресурси за МСЕ, навіть незважаючи на те, що МСЕ, можливо, відобразить ці спроби. Системи системного рівня не бачать відображених атак, які не досягають хоста за МСЕ. Ця втрачена інформація може бути найбільш важливою при оцінці і вдосконаленні політики безпеки. P>
6. Незалежність від ОС. IDS мережевого рівня не залежать від операційних систем, встановлених в корпоративній мережі. Системи виявлення атак на системному рівні вимагають конкретних ОС для правильного функціонування та створення необхідних результатів. P>
1.4. Переваги систем виявлення атак системного рівня p>
І хоча системи виявлення атак системного рівня не настільки швидкі, якїх аналоги мережевого рівня, вони пропонують переваги, яких не маютьостанні. До цих переваг можна віднести більш суворий аналіз,пильну увагу до даних про подію на конкретному хості і нижчавартість впровадження. p>
1. Підтверджують успіх або відмова атаки. Оскільки IDS системного рівня використовують журнали реєстрації, які містять дані про події, які дійсно мали місце, то IDS цього класу можуть з високою точністю визначати - чи дійсно атака була успішною чи ні. У цьому відношенні IDS системного рівня забезпечують чудове доповнення до систем виявлення атак мережевого рівня. Таке об'єднання забезпечує раннє попередження за допомогою мережного компонента і "успішність" атаки за допомогою системного компонента. P>
2. Контролює діяльність конкретного вузла. IDS системного рівня контролює діяльність користувача, доступ до файлів, зміни прав доступу до файлів, спроби встановлення нових програм і/або спроби отримати доступ до привілейованих сервісів. Наприклад, IDS системного рівня може контролювати всю logon-і logoff-діяльність користувача, а також дії, що виконуються кожним користувачем при підключенні до мережі. Для системи мережевого рівня дуже важко забезпечити такий рівень деталізації подій. Технологія виявлення атак на системному рівні може також контролювати діяльність, яка зазвичай ведеться тільки адміністратором. Операційні системи реєструють будь-яка подія, за якого додаються, видаляються чи змінюються облікові записи користувачів. IDS системного рівня можуть виявляти відповідну зміну відразу, як тільки воно відбувається. IDS системного рівня можуть також проводити аудит змін політики безпеки, які впливають на те, як системи здійснюють відстеження у своїх журналах реєстрації і т.д. p>
Зрештою системи виявлення атак на системному рівні можутьконтролювати зміни в ключових системних файлах або виконуванихфайлах. Спроби перезаписати такі файли або інсталювати "троянськихконей "можуть бути виявлені і припинені. Системи мережевого рівня інодіупускають такий тип діяльності. p>
3. Виявлення атак, які втрачають системи мережевого рівня. IDS системного рівня можуть виявляти атаки, які не можуть бути виявлені засобами мережевого рівня. Наприклад, атаки, що здійснюються з самого атакується сервера, не можуть бути виявлені системами виявлення атак мережевого рівня. P>
4. Добре підходить для мереж з шифруванням та комутацією. Оскільки IDS системного рівня встановлюється на різних хостах мережі підприємства, вона може подолати деякі з проблем, що виникають при експлуатації систем мережного рівня в мережах з комутацією і шифруванням. P>
Комутація дозволяє управляти великомасштабними мережами, яккількома невеликими мережними сегментами. В результаті буває важковизначити найкраще місце для установки IDS мережевого рівня. Іноді можутьдопомогти адміністративні порти (managed ports) та порти відображення (mirrorports, span ports) трафіку на комутаторах, але ці методи не завждизастосовні. Виявлення атак на системному рівні забезпечує більшефективну роботу в комутованих мережах, тому що дозволяє розмістити IDSтільки на тих сайтах, на яких це необхідно. p>
Певні типи шифрування також представляють проблеми для системвиявлення атак мережевого рівня. Залежно від того, де здійснюєтьсяшифрування (канальне або абонентське), IDS мережевого рівня може залишитися
"сліпий" до певних атакам. IDS системного рівня не мають цьогообмеження. До того ж ОС, і, отже, IDS системного рівня,аналізує Розшифрований вхідний трафік. p>
5. Виявлення та реагування майже в реальному масштабі часу. Хоча виявлення атак на системному рівні не забезпечує реагування в дійсно реальному масштабі часу, воно, при правильній реалізації, може бути здійснено майже в реальному масштабі. На відміну від застарілих систем, які перевіряють статус і змісту журналів реєстрації через заздалегідь певні проміжки часу, що багато сучасних IDS системного рівня отримують переривання від ОС, як тільки з'являється новий запис в журналі реєстрації. Ця нова запис може бути оброблена відразу ж, значно зменшуючи час між розпізнаванням атаки і реагуванням на неї. Залишається затримка між моментом записи операційною системою події в журнал реєстрації і моментом розпізнавання її системою виявлення атак, але в багатьох випадках зловмисник може бути виявлений і зупинений перш, ніж завдасть будь-які збитки. P>
6. Не вимагають додаткових апаратних засобів. Системи виявлення атак на системному рівні встановлюються на існуючу мережеву інфраструктуру, включаючи файлові сервера, Web-сервера і інші використовувані ресурси. Така можливість може зробити IDS системного рівня дуже ефективними за вартістю, тому що вони не вимагають ще одного вузла в мережі, якому потрібно приділяти увагу, здійснювати технічне обслуговування і керувати ним. P>
7. Низька ціна. Незважаючи на те, що системи виявлення атак мережевого рівня забезпечують аналіз трафіку всієї мережі, дуже часто вони є досить дорогими. Вартість однієї системи виявлення атак може перевищувати $ 10000. З іншого боку, системи виявлення атак на системному рівні стоять сотні доларів за один агент і можуть бути придбані покупцем у разі необхідності контролювати лише деякі вузли підприємства, без контролю мережевих атак. P>
1.5. Необхідність в обох системах виявлення атак мережевого та системного рівнів p>
Обидва рішення: IDS і мережевого, та системного рівнів мають своїдостоїнства і переваги, які ефективно доповнюють один одного.
Наступне покоління IDS, таким чином, має включати в себеінтегровані системні й мережні компоненти. Комбінування цих двохтехнологій значно покращить опір мережі до атак ізловживань, дозволить посилити політику безпеки і внестибільшу гнучкість у процес експлуатації мережевих ресурсів. p>
Малюнок, представлений нижче, ілюструє те, як взаємодіютьметоди виявлення атак на системному та мережному рівнях при створенні більшефективної системи мережевого захисту. Одні події виявляються тільки придопомоги мережевих систем. Інші - тільки за допомогою системних. Деяківимагають застосування обох типів виявлення атак для надійного виявлення. p>
p>
Рис.1. Взаємодія метотодов виявлення атак на системному та мережному рівнях p>
1.6. Список вимоги до систем виявлення атак p>
наступного покоління p>
Характеристики для систем виявлення атак наступного покоління: p>
1. Можливості виявлення атак на системному та мережному рівні, інтегровані в єдину систему. P>
2. Спільно використовувана консоль управління з несуперечливим інтерфейсом для конфігурації продукту, політики управління і відображення окремих подій, як з системних, так і з мережевих компонентів системи виявлення атак. P>
3. Інтегрована база даних подій. P>
4. Інтегрована система генерації звітів. P>
5. Можливості здійснення кореляції подій. P>
6. Інтегрована он-лайнова допомогу для реагування на інциденти. P>
7. Уніфіковані і несуперечливі процедури інсталяції. P>
8. Додавання можливості контролю за власними подіями. P>
У четвертому кварталі 1998 року вийшла RealSecureT версії 3.0, щовідповідає всім цим вимогам. p>
. Модуль стеження RealSecure - виявляє атаки на мережевому рівні в мережах Ethernet, Fast Ethernet, FDDI і Token Ring. P>
. Агент RealSecure - виявляє атаки на серверах і інших системних пристроях. P>
. Менеджер RealSecure - консоль управління, яка забезпечує конфігурацію модулів стеження і агентів RealSecure і об'єднує аналіз мережевого трафіку та системних журналів реєстрації в реальному масштабі часу. [2] p>
2. Атаками весь світ повниться p>
Для захисту від різного роду атак можна застосувати дві стратегії. Першаполягає в придбанні самих розхвалюються (хоча не завжди самихкращих) систем захисту від усіх можливих видів атак. Цей спосіб дужепростий, але вимагає величезних грошових вкладень. Ні один домашній користувачабо навіть керівник організації не піде на це. Тому зазвичайвикористовується друга стратегія, що полягає в попередньому аналізіймовірних загроз і подальшому виборі засобів захисту від них. p>
Аналіз загроз, або аналіз ризику, також може здійснюватися двомашляхами. Складний, однак більш ефективний спосіб полягає в тому, щоперш, ніж вибирати найбільш ймовірні загрози, здійснюється аналізінформаційна система, яка обробляється в ній інформації, що використовуєтьсяпрограмно-апаратного забезпечення і т.д. Це дозволить істотно звузитиспектр потенційних атак і тим самим підвищити ефективність вкладення грошейв придбані засоби захисту. Однак такий аналіз потребує часу,коштів і, що найголовніше, високої кваліфікації фахівців, які проводятьінвентаризацію аналізованої мережі. Небагато компаній, не кажучи вже продомашніх користувачів, можуть дозволити собі піти таким шляхом. Що жробити? Можна зробити вибір засобів захисту на основі так званихстандартних загроз, тобто тих, які поширені найбільше.
Незважаючи на те що деякі властиві захищається системі загрози можутьзалишитися без уваги, більша частина з них все ж потрапить в окресленірамки. Які ж види погроз і атак є найпоширенішими? Відповідіна це питання і присвячена ця стаття. Щоб наводяться дані булибільш точні, я буду використовувати статистику, отриману з різнихджерел. p>
Цифри, цифри, цифри ... p>
Хто ж найчастіше робить комп'ютерні злочини і реалізуєрізні атаки? Які загрози найпоширеніші? Наведу дані,отримані самим авторитетним у цій галузі джерелом - Інститутомкомп'ютерної безпеки (CSI) і групою комп'ютерних нападів відділення
ФБР у Сан-Франциско. Ці дані були опубліковані в березні 2000 року вщорічному звіті «2000 CSI/FBI Computer Crime and Security Survey».
Згідно з цими даними: p>
. 90% респондентів (великі корпорації і державні організації) зафіксували різні атаки на свої інформаційні ресурси; p>
. 70% респондентів зафіксували серйозні порушення політики безпеки, наприклад віруси, атаки типу «відмова в обслуговуванні», зловживання з боку співробітників і т.д.; p>
. 74% респондентів понесли чималі фінансові втрати внаслідок цих порушень. P>
За останні кілька років також зріс обсяг втрат внаслідокпорушень політики безпеки. Якщо в 1997 році сума втрат дорівнювала
100 млн. дол, в 1999-м 124 млн., то в 2000-му ця цифра зросла до 266млн. дол. Розмір втрат від атак типу «відмова в обслуговуванні» досяг 8,2млн. дол До інших цікавих даними можна віднести джерела атак, типипоширених атак і розміри втрат від них. p>
Інший авторитетне джерело - координаційний центр CERT - такожпідтверджує ці дані. Крім того, відповідно до зібраних ним даними, зростаннячисла інцидентів, пов'язаних з безпекою, збігається з поширенням
Internet. P>
Інтерес до електронної комерції буде сприяти посиленню цьогозростання в наступні роки. Відзначено й інша тенденція. У 80-ті - на початку 90-хроків зовнішні зловмисники атакували вузли Internet з цікавості або длядемонстрації своєї кваліфікації. Зараз атаки найчастіше переслідуютьфінансові або політичні цілі. Як стверджують аналітики, числоуспішних проникнень в інформаційні системи тільки в 1999 році зрослаудвічі в порівнянні з попереднім роком (з 12 до 23%). І в 2000-му, і 2001-мроках ця тенденція зберігається. p>
У даній області є й російський статистика. І хоча вонанеповна і, на думку багатьох фахівців, являє собою лише верхівкуайсберга, я все ж наведу ці цифри. За 2000 рік, згідно з даними МВС,було зареєстровано 1375 комп'ютерних злочинів. У порівнянні з 1999роком ця цифра зросла більш ніж у 1,6 рази. Дані управління по боротьбі ззлочинами у сфері високих технологій МВС РФ (Управління «Р»)показують, що більше всього злочинів - 584 від загальної кількості --відноситься до неправомірного доступу до комп'ютерної інформації; 258 випадків --це заподіяння майнового збитку з використанням комп'ютерних засобів;
172 злочинів пов'язано зі створенням і поширенням різних вірусів,а вірніше, «шкідливих програм для ЕОМ»; 101 злочин - із серії
«Незаконне виробництво або придбання з метою збуту технічних засобівдля незаконного отримання інформації », 210 - шахрайство із застосуваннямкомп'ютерних і телекомунікаційних мереж; 44 - порушення правилексплуатації ЕОМ та їх мереж. [3] p>
3. Як захиститися від віддалених атак в мережі Internet? P>
Особливість мережі Internet на сьогоднішній день полягає в тому, що 99%відсотків інформаційних ресурсів мережі є загальнодоступними. Віддаленийдоступ до цих ресурсів може здійснюватися анонімно будь-яким неавторизованихкористувачем мережі. Прикладом подібного несанкціонованого доступу дозагальнодоступних ресурсів є підключення до WWW-або FTP-серверів, у томуразі, якщо подібний доступ дозволений. p>
Визначившись, до яких ресурсів мережі Internet користувач має намірздійснювати доступ, необхідно відповісти на таке питання: а збираєтьсяЧи користувач дозволяти віддалений доступ з мережі до своїх ресурсів? Якщоні, то тоді має сенс використовувати в якості мережевої ОС "чистоклієнтську "ОС (наприклад, Windows '95 або NT Workstation), яка немістить програм-серверів, що забезпечують віддалений доступ, а,отже, віддалений доступ до даної системи в принципі неможливий, такяк він просто програмно не передбачено (наприклад, ОС Windows '95 або NT,правда з одним "але": під дані системи дійсно немає серверів FTP,
TELNET, WWW і т. д., але не можна забувати про вбудовану в них можливістьнадання віддаленого доступу до файлової системи, так званеподіл (share) ресурсів. А згадавши щонайменше дивну позиціюфірми Microsoft по відношенню до забезпечення безпеки своїх систем, потрібносерйозно подумати, перш ніж зупинити вибір на продуктах даної фірми.
Останній приклад: в Internet з'явилася програма, що надаєатакуючому несанкціонований віддалений доступ до файлової системи ОС
Windows NT 4.0!). Вибір клієнтської операційної системи багато в чому вирішуєпроблеми безпеки для даного користувача (не можна отримати доступ доресурсу, якого просто немає!). Однак у цьому випадку погіршуєтьсяфункціональність системи. Тут своєчасно сформулювати, на наш погляд,основну аксіому безпеки: p>
Аксіома безпеки. Принципи доступності, зручності, швидкодії іфункціональності обчислювальної системи антагоністичні принципам їїбезпеки. p>
Дана аксіома, в принципі, є очевидною: чим більш доступна, зручна,швидка і багатофункціональна НД, тим вона менш безпечна. Прикладів можнапривести масу. Наприклад, служба DNS: зручно, але небезпечно. P>
Повернемося до вибору користувачем клієнтської мережевої ОС. Це, до речі,один з вельми здорових кроків, що ведуть до мережевої політики ізоляціонізму.
Дана мережева політика безпеки полягає в здійсненні як можнабільш повної ізоляції своєї обчислювальної системи від зовнішнього світу. Такожодним з кроків до забезпечення цієї політики є, наприклад,використання систем Firewall, що дозволяють створити виділений захищенийсегмент (наприклад, приватну мережу), відокремлений від глобальної мережі. Звичайно,ніщо не заважає довести цю політику мережевого ізоляціонізму до абсурду --просто висмикнути мережевий кабель (повна ізоляція від зовнішнього світу!). Чи незабувайте, це теж "рішення" всіх проблем з віддаленими атаками і мережнийбезпекою (у зв'язку c повною відсутністю оних). p>
Отже, нехай користувач мережі Internet вирішив використовувати для доступув мережу тільки клієнтську мережну ОС і здійснювати за допомогою неї тількинеавторизований доступ. Проблеми з безпекою вирішено? Анітрохи! Все булоб добре, якби не було так погано. Для атаки "Відмова в обслуговуванні"абсолютно не має значення ні вид доступу, що застосовується користувачем, нітип мережної ОС (хоча клієнтська ОС з точки зору захисту від атаки кількавіддай перевагу?? Єльня). Ця атака, використовуючи фундаментальні прогалини вбезпеки протоколів та інфраструктури мережі Internet, вражає мережну ОСна хості користувача з однією єдиною метою - порушити йогопрацездатність. Щоб атаки, пов'язаної з нав'язуванням помилкового маршрутудопомогою протоколу ICMP, метою якої є відмова в обслуговуванні, ОС
Windows '95 або Windows NT - найбільш ласа мета. Користувачу в такомувипадку залишається сподіватися на те, що його скромний хост не представляєніякого інтересу для атакуючого, який може порушити йогопрацездатність хіба що з бажання просто нашкодити. p>
3.1. Адміністративні методи захисту від віддалених атак в мережі Internet p>
Найбільш правильним кроком в цьому напрямку буде запрошенняфахівця з інформаційної безпеки, який разом з вамипостарається вирішити весь комплекс завдань щодо забезпечення необхідногонеобхідного рівня безпеки для вашої розподіленої НД Це доситьскладне комплексне завдання, для вирішення якого необхідно визначити, що
(список контрольованих об'єктів і ресурсів РВС), від чого (аналіз можливихзагроз даної РВС) і як (вироблення вимог, визначення політикибезпеки та вироблення адміністративних і програмно-апаратних заходів щодозабезпечення на практиці розробленої політики безпеки) захищати. p>
Мабуть, найбільш простими і дешевими є самеадміністративні методи захисту від інформаційно-руйнівних впливів. p>
3.1.1. Як захиститися від аналізу мережевого трафіку? P>
Існує атака, що дозволяє кракерами за допомогою програмногопрослуховування каналу передачі повідомлень в мережі перехоплювати будь-якуінформацію, якою обмінюються віддалені користувачі, якщо по каналупередаються тільки нешифрованих повідомлення. Також можна показати, щобазові прикладні протоколи віддаленого доступу TELNET і FTP непередбачають елементарну криптозахист переданих по мережі навітьідентифікаторів (імен) і аутентіфікаторов (паролів) користувачів. Томуадміністраторам мереж, очевидно, можна порекомендувати не допускативикористання цих базових протоколів для надання віддаленогоавторизованого доступу до ресурсів своїх систем і вважати аналіз мережевоготрафіку той постійно присутньою загрозою, яку неможливо усунути,але можна зробити її здійснення по суті безглуздим, застосовуючи стійкікриптоалгоритми захисту IP-потоку. p>
3.1.2. Як захиститися від хибного ARP-сервера? P>
У тому випадку, якщо у мережевої ОС відсутня інформація про відповідність
IP-і Ethernet-адрес хостів усередині одного сегмента IP-мережі, данийпротокол дозволяє посилати широкомовна ARP-запит на пошукнеобхідного Ethernet-адреси, на яку атакуючий може надіслати хибнийвідповідь, і, в подальшому, весь трафік на канальному рівні виявитьсяперехоплених атакуючим і пройде через хибний ARP-сервер. Очевидно, щодля ліквідації даної атаки необхідно усунути причину, по якійможливо її здійснення. Основна причина успіху даної віддаленої атаки --відсутність необхідної інформації в ОС Каждо