1.5. Существующие подходы к повышению уровня защищенности вычислительных сетей

Главным направлением в данной предметной области следует считать развитие рецепторных схем выявления несанкционированных действий, позволяющих использовать активные средства защиты в виде параметрической или структурной адаптации с целью увеличения параметра .

Системы обнаружения атак создаются, чтобы обеспечить дополнительный уровень защиты вычислительной сети, дополняя традиционные средства защиты: межсетевые экраны, криптомаршрутизаторы, серверы аутентификации и т. д.  Очень часто противник в первую очередь атакует и пытается вывести из строя, имеющиеся защитные средства, обеспечивающие безопасность выбранной им цели.

Обнаруживать, блокировать и предотвращать нарушения политики безопасности можно несколькими путями. Первый и самый распространенный способ – это распознавание уже реализуемых атак. Это способ применяется в классических системах обнаружения атак. Однако недостаток средств данного класса в том, что атаки могут быть реализованы повторно. Поэтому было бы правильнее предотвращать атаки еще до их осуществления. В этом и заключается суть второго способа. Реализуется он путем поиска уязвимостей, которые могут быть использованы для совершения атаки. И, наконец, третий путь – выявление уже совершенных атак и предотвращение их повторения в дальнейшем.

Таким образом, системы обнаружения нарушений политики безопасности можно классифицировать следующим образом (рис. 1.12)

Рис. 1.12. Классификация систем обнаружения атак по этапам осуществления атаки

Системы анализа защищенности проводят всесторонние исследования систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют «мгновенный снимок» состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить возможность реализации атак.

Функционировать системы анализа защищенности могут на всех уровнях информационной инфраструктуры, т. е. на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких стеков протоколов, как TCP/IP, SMB/NetBIOS и т. п., позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении, независимо от того, какое программное обеспечение функционирует на более высоких уровнях. Вторыми по распространенности являются средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС.

Контроль целостности позволяет реализовать стратегию эффективного мониторинга, сфокусированную на системах, в которых целостность данных и целостность процессов играет наиболее важную роль. Этот подход дает возможность контролировать конкретные файлы, системные объекты и атрибуты системных объектов на происходящие изменения, обращая особое внимание  скорее на конечный результат атаки, а не на подробности развития атаки.

Аналогично системам анализа защищенности классические системы обнаружения атак также можно классифицировать по уровню информационной инфраструктуры, на котором обнаруживаются нарушения политики безопасности.

Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и прикладного ПО, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т. ч. и использующие известные уязвимости. Средства обнаружения атак функционируют сразу на двух этапах ­­­­­­– втором и третьем. На втором этапе эти средства дополняют традиционные механизмы новыми функциями, повышающими защищенность корпоративной сети. Например, при проникновении противника в сеть через межсетевой экран, система обнаружения атак сможет обнаружить и предотвратить действия, отличающиеся от нормального поведения пользователя, у которого украли пароль. Также эффективно системы обнаружения атак будут блокировать и враждебные действия привилегированных пользователей (администраторов). И, наконец, эти системы одинаково эффективно функционируют и для защиты периметра корпоративной сети, дополняя возможности межсетевых экранов, и для защиты внутренних сегментов сети.

Вторым, не менее важным подходом является использование модели адаптивной защиты информации от несанкционированного доступа  в условиях информационного противоборства. С позиции адаптивной защиты ВС от НСД при ведении компьютерной войны основными аспектами оборонительной составляющей является защита информационных, программных, вычислительных и телекоммуникационных ресурсов, обнаружение и противодействие НСД.

Ключевым аспектом технологии адаптивной защиты является переход от принципа «обнаружения и ликвидация НСД» к принципу «анализ – прогнозирование – предупреждение – противодействие». Для вычислительных сетей реализация данного принципа является обязательной, так как целенаправленное воздействие противника является для них вполне очевидным и предсказуемым явлением.

Основу системы адаптивной защиты (САЗ) составляет подсистема идентификации безопасности состояний ВС, которая в основном и определяет способность системы защиты информации (СЗИ) оперативно обнаруживать и предупреждать НСД к ее ресурсам. Реализация данной подсистемы может быть основана на следующих частных методах динамической идентификации:

-        обнаружение НСД на основе динамического анализа использования вычислительных ресурсов при выполнении прикладных программ;

-        обнаружение злоупотреблений пользователей на основе анализа данных аудита.

Осуществляя контроль вызовов системных функций в процессе выполнения прикладных программ в многопрограммном режиме и статистический анализ использования ими ресурсов вычислительной системы, можно в режиме реального времени обнаруживать деструктивные изменения программного кода и блокировать их реализацию в вычислительной среде.

Второй из предлагаемых частных методов адаптивной защиты – метод обнаружения злоупотреблений пользователей основан на анализе данных различных регистрационных журналов узлов сети (например, журнала безопасности, журнала системных событий, журналов приложений и т. п.). Цель анализа – выявление неявных (скрытых) закономерностей и действий субъектов доступа – пользователей и инициируемых ими прикладных программ по отношению к объектам доступа – защищаемым информационным ресурсам.

Рассмотренные методы не позволяют в полном объеме решать проблему динамической идентификации состояний вычислительной сети, так как отражают лишь аспекты защиты от злоупотреблений пользователей и внедрения деструктивного кода. Однако их несомненным достоинством является возможность упреждения (предотвращения) НСД, что является основным принципом реализации технологии адаптивной защиты информации.