Источники и классификация угроз. Способы обнаружения атак. Модель нарушителя. Категории потенциальных нарушителей

Простейший пример удаленного потребления ресурсов - атака, получившая наименование "SYN-наводнение". Она представляет собой попытку переполнить таблицу "полуоткрытых" TCP-соединений сервера (установление соединений начинается, но не заканчивается). Такая атака по меньшей мере затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

Для выведения систем из штатного режима эксплуатации могут использоваться уязвимые места в виде программных и аппаратных ошибок. Например, известная ошибка в процессоре Pentium I давала возможность локальному пользователю путем выполнения определенной команды "подвесить" компьютер, так что помогает только аппаратный RESET.

Программа "Teardrop" удаленно "подвешивает" компьютеры, эксплуатируя ошибку в сборке фрагментированных IP-пакетов.

3. Вредоносное программное обеспечение

Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Выделяют следующие аспекты вредоносного ПО:

• вредоносная функция;
• способ распространения;
• внешнее представление.

Часть, осуществляющая разрушительную функцию, предназначается для:

• внедрения другого вредоносного ПО;
• получения контроля над атакуемой системой;
• агрессивного потребления ресурсов;
• изменения или разрушения программ и/или данных.

По механизму распространения различают:

• вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;
• "черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по сети и их выполнение (для активизации вируса требуется запуск зараженной программы).

Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. "Черви", напротив, ориентированы в первую очередь на путешествия по сети.

Иногда само распространение вредоносного ПО вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, "черви" "съедают" полосу пропускания сети и ресурсы почтовых систем.

Вредоносный код, который выглядит как функционально полезная программа, называется троянским. Например, обычная программа, будучи пораженной вирусом, становится троянской; порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке (обычно при посещении файлообменных сетей или игровых и развлекательных сайтов).

 

 

3.2 Способы обнаружения

Системы обнаружения атак (СОА) представляют собой специализированные программно-аппаратные комплексы, предназначенные для выявления информационных атак. Типовая архитектура систем обнаружения атак включает в себя следующие компоненты :

• модуль выявления атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак нарушителя;
• модуль реагирования на обнаруженные атаки;
• модуль хранения данных, в котором хранится вся конфигурационная информация, а также результаты работы системы обнаружения атак. Таким модулем, как правило, является стандартная СУБД, например MS SQL Server, Oracle или DB2;
• модуль управления компонентами системы обнаружения атак.

Все вышеперечисленные модули системы обнаружения атак могут быть реализованы как в виде одного, так и нескольких программно-аппаратных компонентов. После выявления  атаки системы обнаружения атак имеет возможность предпринять определённые ответные действия, направленные на её блокирование. За реализацию этих действий отвечает модуль реагирования системы обнаружения атак.

Базовым методом реагирования системы обнаружения атак является оповещение администратора ИС о выявленной атаке. Система обнаружения атак может уведомить администратора следующими способами:

• выводом соответствующего сообщения на консоль управления администратора;
• посылкой администратору сообщения средствами электронной почты;
• путём формирования SNMP-trap сообщения и последующей его посылкой в систему управления (например, HP OpenView, IBM Tivoli, CA Unicenter и др.).

Сообщение об обнаруженной атаке, как правило, формируется в соответствии с проектом Международного стандарта IDMEF (Intrusion Detection Message Exchange Format), который определяет модель представления данных, генерируемых СОА, в формате XML. В соответствии с этим стандартом сообщения, посылаемые администратору безопасности, содержат следующую информацию:

• дату и время обнаружения атаки;
• общее описание атаки, включая возможные ссылки на дополнительные источники информации о выявленной атаке;
• символьный идентификатор атаки по классификатору CVE (Common Vulnerabilities Exposures) или CERT (Computer Emergency Response Team);
• уровень приоритета обнаруженной атаки (низкий, средний или высокий);
• информацию об источнике атаки (IP-адрес, номер порта, доменное имя и др.);
• информацию об объекте атаки (IP-адрес, номер порта, доменное имя и др.);

 

          Все системы обнаружения  атак могут быть построены  на основе двух архитектур: "автономный  агент" и "агент-менеджер". В  первом случае на каждый защищаемый  узел или сегмент сети устанавливаются  агенты системы, которые не могут  обмениваться информацией между  собой, а также не могут управляться  централизовано с единой консоли.  
                   Основной компонент системы обнаружения атак, который осуществляет анализ информации, получаемой от модуля слежения. По результатам анализа данная подсистема может идентифицировать атаки, принимать решения относительно вариантов реагирования, сохранять сведения об атаке в хранилище данных и т.д.

3.3 Системы обнаружения атак в России         

 Первая система обнаружения  атак появилась в России в  середине 1997 года, когда было заключено  соглашение между Научно-инженерным предприятием "Информзащита" и малоизвестной в то время американской фирмой Internet Security Systems, Inc. (ISS), разработавшей систему обнаружения атак RealSecure. С тех пор ситуация изменилась в лучшую сторону. Компания ISS в настоящий момент является лидером на рынке средств обнаружения атак (по данным корпорации IDC - в 1999 году 52 % всего рынка). В России ситуация аналогичная - система RealSecure захватила большую часть российского рынка средств обнаружения атак. Этому предшествовала большая и кропотливая работа по созданию соответствующей инфраструктуры поддержки этой системы. В настоящий момент завершается ее русификация.          

 Помимо системы RealSecure на российском рынке представлены следующие продукты зарубежных фирм:

• NetRanger компании Cisco Systems.
• OmniGuard Intruder Alert компании Axent Technologies.
• SessionWall-3 компании Computer Associates.
• Kane Security Monitor компании Security Dynamics.
• CyberCop Monitor компании Network Associates.
• NFR компании Network Flight Recodred.

 

          Первая тройка во главе с RealSecure является лидирующей и во всем мире. Всего же известно более 30 коммерчески распространяемых систем обнаружения атак.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

1) законодательный  уровень (законы, нормативные акты, стандарты и т.п.). Законодательный  уровень является важнейшим для  обеспечения информационной безопасности. К мерам этого уровня относится  регламентация законом и нормативными  актами действий с информацией и оборудованием, и наступление ответственности нарушение правильности таких действий.

2) административный  уровень (действия общего характера, предпринимаемые руководством организации). Главная цель мер административного  уровня - сформировать программу  работ в области информационной  безопасности и обеспечить ее  выполнение, выделяя необходимые  ресурсы и контролируя состояние  дел. Основой программы является  политика безопасности, отражающая  подход организации к защите  своих информационных активов. Руководство  каждой организации должно осознать  необходимость поддержания режима  безопасности и выделения на  эти цели значительных ресурсов.

3) процедурный  уровень (конкретные меры безопасности, ориентированные на людей). Меры  данного уровня включают в  себя:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании  вычислительных центров и других  объектов систем обработки данных;

- мероприятия  по разработке правил доступа  пользователей к ресурсам системы (разработка политики безопасности);

- мероприятия, осуществляемые при подборе и  подготовке персонала, обслуживающего  систему;

- организацию  охраны и режима допуска к  системе;- организацию учета, хранения, использования и уничтожения  документов и носителей информации;

- распределение  реквизитов разграничения доступа;

- организацию  явного и скрытого контроля за работой пользователей;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях  оборудования и программного  обеспечения.

4) программно-технический  уровень (технические меры). Меры  защиты этого уровня основаны  на использовании специальных  программ и аппаратуры и выполняющих (самостоятельно или в комплексе  с другими средствами) функции  защиты:

- идентификацию  и аутентификацию пользователей;

- разграничение  доступа к ресурсам;

- регистрацию  событий;

- криптографические  преобразования;

- проверку  целостности системы;

- проверку  отсутствия вредоносных программ;

- программную  защиту передаваемой информации  и каналов связи;

- защиту  системы от наличия и появления  нежелательной информации;

- создание  физических препятствий на путях  проникновения нарушителей;

- мониторинг  и сигнализацию соблюдения правильности  работы системы;

- создание  резервных копий ценной информации.

4. Модель нарушителя ИС

Модель нарушителя типовой ИС разрабатывается для определения типового перечня угроз информационной безопасности ИС.

Модель нарушителя – это абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.

Модель нарушителя ИС содержит предположения о возможностях нарушителя, которые он может использовать для реализации угроз, а также об ограничениях на эти возможности. Угрозы (атаки) готовятся и проводятся нарушителем, причем возможность реализации угрозы обусловлена возможностями нарушителя, а именно его информационной и технической вооруженностью.

4. Описание потенциального нарушителя информационной безопасности ИС

Под нарушителем понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности защищаемой информации при ее обработке в ИС.

Целями несанкционированных действий нарушителя, способных привести к совершению НСД к защищаемым ресурсам ИС и нарушению принятых для ИС характеристик информационной безопасности, являются:

• нарушение целостности защищаемых ресурсов;
• нарушение конфиденциальности защищаемых ресурсов;
• нарушение доступности защищаемых ресурсов;
• создание условий для последующего проведения атак.

Возможными направлениями несанкционированных действий нарушителя в том числе являются:

• доступ к защищаемой информации с целью нарушения ее конфиденциальности (хищение, ознакомление, перехват);
• доступ к защищаемой информации с целью нарушения ее целостности (модификация данных);
• доступ к техническим и программным средствам ИС с целью постоянного или временного нарушения доступности защищаемой информации для легального пользователя;
• доступ к техническим  и программным средствам ИС с целью внесения в них несанкционированных изменений, создающих условия для проведения атак;
• доступ к средствам защиты информации с целью изменения их конфигурации.

При разработке Модели предполагалось, что доступ к защищаемой информации нарушитель может получить путем:

• преодоления (обхода) средств и системы защиты информации, систем контроля доступа;
• использования специальных программных  средств (в том числе вредоносного ПО) или уязвимостей легально используемого ПО;
• использования специализированных средств съема (добывания) информации по техническим каналам;
• использование средств специальных воздействий;
• внедрения аппаратных закладных устройств.