СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

Обнаруживать, блокировать и предотвращать атаки можно несколькими пу­тями. Этот способ применяется в «классических» системах обнаружения атак (например RealSecure Network Sensor или Cisco Secure IDS), межсетевых экранах (например Check Point Firewall-1), системах защиты информации от НСД (например SecretNet) и т. п. Однако «недостаток» средств данного класса в том, что атаки могут быть реализованы повторно. Они также повторно обнаруживают­ся, блокируются. И так далее до бесконечности. Было бы эффективнее предотвращать атаки еще до их реализации. Это и есть второй путь. Осуществляется он путем поиска уязвимостей (то есть обнаружение потенциальных атак), которые могут быть исполь­зованы для реализации атаки. И, наконец, третий путь — обнаружение уже со­вершенных атак и предотвращение их повторного осуществления. Таким обра­зом, системы обнаружения нарушений политики безопасности могут быть классифицированы по этапам осуществления атаки (рис. 9):

• системы, функционирующие на первом этапе осуществления атак и позво­ляющие обнаружить уязвимости информационной системы, используемые нарушителем для реализации атаки. Иначе средства этой категории назы­ваются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners). Примером такой системы является Internet Scanner или SATAN;

• системы, функционирующие на втором этапе осуществления атаки и позво­ляющие обнаружить атаки в процессе их реализации, то есть в режиме ре­ального (или близкого к реальному) времени. Именно эти средства и приня­то считать системами обнаружения атак в классическом понимании. При­мером такой системы является RealSecure или Cisco Secure IDS. Помимо этого в последнее время выделяется новый класс средств обнаружения атак — обманные системы (cjeception systems). Примером такой системы является RealSecure OS Sensor или DTK;

• системы, функционирующие на третьем этапе осуществления атаки и по­зволяющие обнаружить уже совершенные атаки. Эти системы делятся на два класса — системы контроля целостности (integrity checkers), обнару­живающие изменения контролируемых ресурсов, и системы анализа журналов регистрации (log checkers). В качестве примеров таких систем могут быть названы Tripwire или RealSecure Server Sensor.

Рис. 9. Классификация систем обнаружения атак по этапам осуществления атаки

Помимо этого, существует еще одна распространенная классификация сис­тем обнаружения нарушения политики безопасности — по принципу реализации: host-based, т. е. обнаруживающие атаки, направленные на конкретный узел сети, и network-based, направленные на всю сеть или сегмент сети. Обычно на этом да­льнейшая классификация останавливается. Однако системы класса host-based можно разделить еще на три подуровня:

• системы обнаружения атак на уровне прикладного ПО (application-based), обнаруживающие атаки на конкретные приложения (например, на Web-сервер). Примером такой системы является RealSecure OS Sensor или WebStalker Pro;

• системы обнаружения атак на уровне ОС (OS-based), обнаруживающие атаки на уровне операционной системы. Примером такой системы является RealSecure Server Sensor или Intruder Alert;

• системы обнаружения атак на уровне системы управления базами данных (DBMS-based), обнаруживающие атаки на конкретные СУБД.

Выделение обнаружения атак на системы управления базами данных (СУБД) в отдельную категорию связано с тем, что современные СУБД уже вы­шли из разряда обычных прикладных приложений и по многим своим характери­стикам, в том числе и по сложности, приближаются к операционным системам. При этом системы обнаружения атак (точнее, системы анализа защищенности) на уровне СУБД могут функционировать как на самом узле, так и через сеть (на­пример Database Scanner).

В свою очередь система обнаружения атак на уровне сети может функциони­ровать и на конкретном узле, обнаруживая атаки, направленные не на все узлы сегмента, а только на тот узел, на котором она установлена. Пример такой систе­мы -- RealSecure Server Sensor.

Рис. 10. Классификация систем обнаружения атак по принципу реализации