Kuda idiosz, IDS – Что происходит с IDS?

Куда идош, ИДС?

Для не говорящих по-русски я хотел бы перевести заголовок как «Что происходит с IDS?» Выбор русского языка не случаен — это дань уважения создателю самого эффективного (на мой взгляд) эвристического антивирусного сканера. Другая причина заключается в том, что я вижу определенное сходство между антивирусными сканерами и сканерами IDS по мере их развития, и я верю, что рано или поздно революционная технология позволит технологии сетевых вторжений далеко в будущее.

Просматривая коммерческие предложения продуктов IDS, может сложиться впечатление, что в ближайшем будущем отпадет необходимость в опытном администраторе или гуру безопасности для мониторинга и обслуживания систем ИТ-безопасности. Уже сейчас роль администратора рассматривается как «обезьяна, которой больше нечего делать, кроме как нажимать мигающую кнопку». Такое восприятие можно объяснить с точки зрения все более «интеллектуальных» IDS-решений. Многие из них основаны на нейронных сетях и способны узнать, что является нормальным поведением частной сети, что выходит за рамки стандарта, а что остается в допустимых пределах. Однако с самого начала хотелось бы успокоить заведомо необоснованные опасения сетевых администраторов, читающих эту статью. В настоящее время никакая интеллектуальная система безопасности не способна заменить администратора в его работе. Это в основном связано с тем, что даже самые сложные системы обнаружения вторжений не могут обеспечить исчерпывающую корреляцию связанных событий, и хотя некоторые IDS отсеивают события, связанные с безопасностью, они генерируют слишком много ошибок, которых может быть достаточно, чтобы свести на нет всю цель IDS.

Сегодня на рынке доступны два типа IDS. Один основан на анализе каждого входящего пакета, соответствует ли он конкретным сигнатурам атаки или нет, а другой основан на конкретном поведении сетей и пользователей. Недостаток первого решения заключается в том, что, хотя оно и эффективно, оно может справляться только с уже распознанными атаками и в своем репертуаре сигнатур атак. Следовательно, эти типы систем должны быть обновлены, чтобы оставаться эффективными, и они уязвимы для новых типов атак, которые еще не идентифицированы. «Умные» подходы IDS имеют встроенные компоненты нейронной сети и, как полагают, способны обнаруживать новые типы атак при условии, что поведение атаки является «достаточно аберрантным». Это правило также применяется к известным шаблонам атак. Тенденция состоит в том, чтобы предоставить интегрированное решение, которое сочетает в себе оба типа продуктов, чтобы облегчить проблему известных ограничений схемы атаки с помощью «интеллектуальных» IDS.

Плохая корреляция событий — еще одна слабость системы обнаружения вторжений. Представьте, что кто-то планирует проникнуть в вашу сеть. Для этого он начинает со сканирования сети, действуя очень осторожно в поисках возможной защиты на основе IDS. Затем злоумышленник сканирует ваш веб-сервер в течение нескольких дней и, чтобы «подделать» атаку, он отправляет один пакет каждые несколько часов, одновременно непрерывно просматривая ваши веб-страницы на этом сервере. Для большинства, если не для всех, IDS такая ситуация будет считаться нормальным явлением, и пакеты сканера злоумышленника останутся незамеченными (из-за явного отсутствия корреляции). Однако знающий и опытный администратор сможет обнаружить, что кто-то регулярно просматривает одни и те же веб-сайты и время от времени отправляет «аномальные» пакеты.

Узнайте о будущих тенденциях IDS уже сегодня

Ожидается, что ближайшее будущее систем обнаружения вторжений не принесет значительного качественного прогресса, хотя запланировано несколько многообещающих проектов. Вместо этого есть видимые признаки того, что будущие решения объединят все программное обеспечение IDS с брандмауэром, антивирусом или технологиями управления сетью в полной совместной системе. Обратите внимание, что новые вирусы все чаще развиваются не только для заражения и разрушения операционных систем, но и для проникновения в сети, часто, особенно для заражения локального сервера и оттуда для поиска новых жертв для атаки. Возьмем, к примеру, червя Nimda, который недавно нанес ущерб компьютерам по всему миру. Совершенно очевидно, что ИТ-система должна быть защищена не только от целенаправленного действия человека, но и от неконтролируемого действия со стороны компьютерной программы. Что это значит? Антисетевая атака может исходить не только от людей, но и от программы, поэтому IDS должна стать инструментом антивирусного мониторинга. Следующим следствием является то, что решения IDS должны стать более интегрированными с брандмауэрами — брандмауэр должен знать, что входящий пакет содержит подозрительную полезную нагрузку, и должен блокировать возможность вторжения (оговорка заключается в том, что не все брандмауэры замечают внутреннюю часть пакетов). Для большей согласованности и качества, похоже, стоит внедрить подход к управлению сетью. Одним из элементов обнаружения нарушений в сети является анализ записей аудита, собранных с различных машин (прежде всего серверов). Таким образом, важно иметь хорошо расширенную среду для объединения усилий сетевых серверов или устройств и управления ими. Некоторые решения, доступные в настоящее время на рынке, соответствуют этой необходимой функции, например коммерческий Unicenter TNG (http://www.cai.com). К сожалению, я не знаю его бесплатно загружаемого эквивалента и был бы признателен, если бы у кого-нибудь версия. В таком случае, пожалуйста, свяжитесь со мной — наверняка это заинтересует большую аудиторию. Лично я считаю бесплатную утилиту Snort (http://www.snort.org) очень ценным инструментом, хотя она и лишена блестящих украшений и работает только по принципу поиска по сигнатурам, но позволяет администратору точно настроить все, что ему нужно. и даже реализовать, в определенной степени, сигнатуры сайтов доступа к сети. Естественно, это требует очень тщательно спланированной политики безопасности в отношении доступа к веб-ресурсам. Готовящиеся к выпуску продукты, такие как EMERALD (отслеживание событий, обеспечивающее реагирование на аномальные живые возмущения), кажутся достаточно многообещающими. Для получения дополнительной информации см. http://www.sdl.sri.com/emerald/index.html . Его создатели предложили иерархический уровень управления сетью с информацией, собираемой непосредственно из защищаемой системы с использованием такого механизма, как захват сетевых пакетов, аудиторские отчеты или ловушки SNMP. Архитектура системы надеется не быть привязанной к какому-либо конкретному способу сбора информации. Более интересным является системный механизм обработки для защищаемой системы, так называемый ресурсный объект, который собирает данные, полученные в результате различных действий, таких как файлы отчетов аудита или зонды IDS и другие. Это позволяет установить дополнительную корреляцию информации о соединении при наличии большего количества доступных данных. Система имеет модульную библиотеку методов и конфигураций. Следующими интересными компонентами являются системы анализа событий. Они делают корреляцию и анализ событий, как упоминалось в контексте ранее обсужденного модуля. Любое аномальное поведение защищаемой системы выявляется с помощью механизма создания шаблонов сигнатур с использованием статистических шаблонов (проект NIDS использовался для исследования этого механизма) и сканеров сигнатур, предназначенных для обнаружения известных шаблонов атак. Дополнительные сведения см. на веб-сайте производителя.

Долгосрочное видение

Как я подчеркивал ранее, я вижу определенное сходство в развивающихся антивирусных сканерах и IDS. Исторически сложилось так, что первыми антивирусными сканерами были сканеры на основе базы данных сигнатур вирусов, затем был короткий период, когда применялось несколько различных методов, и, наконец, разработчики IDS обратились к эвристическому подходу. Это метод, основанный на утверждении, что атаки можно охарактеризовать по хорошо известным моделям поведения, которые квалифицируются как ненормальные, для обнаружения неизвестных, но активных вирусов. Существуют сканеры для активации кода подозрительной программы в изолированном пространстве (используя так называемую «виртуальную машину») и для анализа того, не пытается ли такой код выполнять эти отдельные действия. Такая концепция выглядит многообещающе применительно к сетевым ресурсам. Конечно, это может быть лучшим решением, на которое можно положиться — позволить неизвестному соединению войти в изолированное пространство, чтобы оценить, является ли инициатор соединения обычным пользователем или злоумышленником. Это легко выполнить во время сеанса антивирусного сканирования в локальной системе, но становится сложно, когда это выполняется в сети. Основная проблема связана со скоростью переключения и с необходимостью определения, что является нормальным соединением, а что вторжением. Следовательно, пользователь должен будет получить доступ к ресурсу, и если это так, реальные ресурсы должны появиться в изолированном пространстве, что является глупой идеей. Однако это, скорее всего, будет способствовать быстрому росту эвристических систем, предназначенных для обеспечения безопасности частных сетей. Уже существуют подходы к IDS, использующие эвристические методы, популярность которых резко возрастет благодаря растущему использованию искусственного интеллекта для повышения их производительности.

Использованная литература:

1. Эдвард Аморозо, Обнаружение злоумышленников (на польском языке), Read Me, Варшава, 1999 г.
   
2. Мэтью Стребе, Чарльз Перкинс, Брандмауэры Брандмауэры (на польском языке), Миком, Варшава, 2000 г.
   
3. Информация на http://www.sdl.sri.com.
   
4. Информация на http://www.cai.com.