Защита информационных систем от потенциальной угрозы "пятой колонны"

Защита информационных систем от потенциальной угрозы «пятой колонны»

В последние годы частота несанкционированных воздействий на информационные системы (ИС) постоянно увеличивается, что неминуемо приводит к огромным финансовым и материальным потерям. Подтверждением этому являются данные ежегодных исследований Института компьютерной безопасности США, которые показывают, что в 2003 году, например, количество успешных вторжений в ИС, в сравнении с предыдущим годом, возросло в несколько раз. При этом засвидетельствован весьма интересный факт, говорящий о том, что более половины всех нарушений совершают работники компаний, т.е. внутренние пользователи ИС. Всё это наводит на мысль о том, что имеет место формирование весьма опасной «пятой колонны», результаты действий которой могут привести к катастрофическим последствиям для владельцев ИС.

Известно, что в последние несколько лет защита ИС от внутренних нарушителей преимущественно обеспечивается специализированными средствами разграничения доступа пользователей к информационным ресурсам. При помощи этих средств каждому пользователю назначаются определённые права, в соответствии с которыми ему разрешается (или запрещается) локальный доступ к информации, хранящейся в его компьютере, или же удалённый доступ по каналам связи к информации, имеющейся на других компьютерах.

И всё же приходится констатировать, что этот подход не решает всей проблемы защиты информационных ресурсов от злоумышленников, действующих изнутри ИС. Связано это с двумя основными факторами:

• средства разграничения локального доступа не имеют возможности обеспечить защиту от тех действий нарушителей, которые непосредственно не связаны с получением несанкционированного доступа к информационным ресурсам системы. Так, например, пользователь может преднамеренно установить и запустить на своей рабочей станции вредоносное программное обеспечение, позволяющее перехватывать и анализировать сетевой трафик, циркулирующий в ИС. Другим примером несанкционированных действий, защита от которых не может быть обеспечена средствами разграничения доступа, является запись на внешние носители или вывод на печать конфиденциальной информации, к которой пользователь легально получил доступ. Для выявления таких действий в ИС следует применять системы активного мониторинга рабочих станций.
• средства разграничения удалённого доступа не обеспечивают защиту от сетевых атак, которые могут быть проведены внутренними пользователями системы. Такие атаки базируются на уязвимостях, которые могут присутствовать в программно-аппаратном обеспечении серверов и рабочих станций ИС. Примерами уязвимостей являются нестойкие пароли, некорректные настройки ПО, ошибки, присутствующие в прикладном ПО и т.д. Успешное проведение сетевых атак может привести к нарушению конфиденциальности, целостности или доступности информации в системе. Для своевременного обнаружения и блокирования таких атак необходимо использовать средства обнаружения, известные как IDS-системы (Intrusion Detection Systems).

Таким образом, обеспечение эффективной защиты от внутренних нарушителей информационной безопасности требует использования дополнительных средств защиты, таких как системы активного мониторинга рабочих станций, а так же системы обнаружения атак. Рассмотрим эти типы средств защиты более подробно.

Системы обнаружения атак

Системы обнаружения атак предназначены для выявления и противодействия сетевым атакам злоумышленников. Системы обнаружения атак представляют собой специализированное программно-аппаратное обеспечение с типовой архитектурой, включающей в себя следующие компоненты (рис. 1):

• модули-датчики для сбора необходимой информации о сетевом трафике ИС;
• модуль выявления атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак;
• модуль реагирования на обнаруженные атаки;
• модуль хранения конфигурационной информации, а также информации об обнаруженных атаках. Таким модулем, как правило, выступает стандартная СУБД, например MS SQL Server, Oracle или DB2;
• модуль управления компонентами системы обнаружения атак.

Рис. 1. Типовая архитектура систем обнаружения атак

В составе системы обнаружения атак могут быть использованы два типа датчиков – сетевые и хостовые. Сетевые датчики предназначены для сбора информации о пакетах данных, передаваемых в том сегменте ИС, где установлен датчик. Хостовые же датчики устанавливаются на серверы ИС и предназначаются для сбора информации о пакетах данных, которые поступают на сервер с датчиком.

Информация, собранная сетевыми и хостовыми датчиками, анализируется системы обнаружения атак с целью выявления возможных атак нарушителей. Анализ данных может проводиться при помощи двух основных групп методов - сигнатурных и поведенческих.

Сигнатурные методы описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель др. Алгоритм работы сигнатурного метода заключается в поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками системы обнаружения атак. В случае обнаружения искомой сигнатуры, система обнаружения атак фиксирует факт информационной атаки, которая соответствует найденной сигнатуре. Преимуществом сигнатурных методов является их высокая точность работы, а очевидным недостатком – невозможность обнаружения тех атак, сигнатуры которых не определены при помощи методов.

Поведенческие методы, в отличие от сигнатурных, базируются не на моделях информационных атак, а на моделях штатного процесса функционирования ИС. Принцип работы поведенческих методов заключается в обнаружении несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах метода. Любое такое несоответствие рассматривается как информационная атака. Преимуществом методов данного типа является возможность обнаружения новых атак без необходимости постоянного изменения параметров функционирования модуля. Недостатком же этой группы методов является сложность создания точной модели штатного режима функционирования ИС.

После выявления в ИС атаки система обнаружения атак имеет возможность предпринять определённые ответные действия, направленные на её блокирование. За реализацию этих действий отвечает модуль реагирования системы обнаружения атак. Реагирование система обнаружения атак может осуществляться активным и пассивным способами. К пассивным методам реагирования относится простое оповещение администратора системы обнаружения атак о выявленных атаках. К активным же можно отнести следующие методы:

• блокирование TCP-соединения, по которому была реализована атака. Такое закрытие реализуется путём посылки субъектам соединения специального TCP-сегмента с установленным флагом RST;
• запуск заданной внешней программы с определёнными параметрами. Наличие такой функции модуля реагирования позволяет администратору системы обнаружения атак дополнять существующие методы реагирования своими собственными методами, реализованными в виде внешних подпрограмм;
• реконфигурация межсетевого экрана с целью блокирования трафика, поступающего от хоста нарушителя. В настоящее время большая часть существующих МЭ имеет соответствующие внешние интерфейсы, обеспечивающие взаимодействие МЭ с системой обнаружения атак. Примером такого интерфейса является интерфейс OPSEC для МЭ CheckPoint FW-1.

Учитывая тот факт, что системы обнаружения атак могут сами выступать в роли объектов атаки злоумышленников эти системы обязательно должны быть оснащены подсистемой собственной безопасности.

Однако, необходимо отметить, что одно использование системы обнаружения атак не позволяет полностью решить проблему защиты от несанкционированных действий внутренних пользователей ИС. В первую очередь это связано с тем, что системы обнаружения атак обнаруживают лишь те информационные атаки, которые можно выявить посредством анализа только пакетов данных, циркулирующих в ИС. Данный факт не позволяет системам обнаружения атак выявлять те несанкционированные действия пользователей, которые никак не связаны с сетевым трафиком ИС. Как уже отмечалось выше для выявления и блокирования таких действий необходимо использовать системы активного мониторинга, описание которых приводится ниже.

Системы активного мониторинга рабочих станций ИС

Системы активного мониторинга рабочих станций ИС, также как и системы обнаружения атак предназначены для выявления и блокирования информационных атак, но не на уровне сети, а на уровне рабочих станций ИС. Архитектура систем активного мониторинга аналогична структуре системы обнаружения атак, отображённой на рис. 1. Датчики системы активного мониторинга устанавливаются на рабочие станции пользователей ИС и позволяют собирать информацию обо всех событиях, происходящих на них. Примером такой информации может служить:

• информация о приложениях, запускаемых на рабочих станциях;
• информация о пользователях, работающих на станции в текущий момент времени;
• информация о файловом доступе приложений;
• информация о сетевом трафике, который формируется приложениями ИС и др.

Собранная информация поступает в модуль анализа данных системы активного мониторинга, где осуществляется её обработка. Предварительно администратор безопасности должен выполнить настройку модуля анализа системы активного мониторинга, т.е. определить требования, которые разрешают или запрещают пользователям ИС выполнение определённых операций на рабочих станциях. Совокупность таких требований представляет собой политику безопасности системы активного мониторинга, которая может являться частью более общей политики безопасности организации. Так, например, в соответствии с заданной политикой безопасности некоторым пользователям может быть запрещена работа с принтерами или доступ к определённым файлам. Любое событие, зафиксированное датчиками системы активного мониторинга и нарушающее ранее заданную политику, считается информационной атакой. Политика безопасности системы активного мониторинга может включать в себя разные группы требований, которые формируются на основе двух базовых принципов:

• «всё, что не запрещено – разрешено». Политика безопасности системы активного мониторинга, построенная на основе этого принципа, явно определяет те действия пользователей, выполнение которых запрещено. При этом все остальные действия, выполняемые пользователями, считаются разрешёнными. Для выявления нарушений такой политики используются сигнатурные методы анализа;
• «всё, что не разрешено – запрещено». Политика безопасности системы активного мониторинга, построенная на основе этого принципа, явно определяет только разрешённые действия пользователей. Все остальные действия согласно этой политике являются нарушениями, для которых используются поведенческие методы анализа.

В случае выявления нарушений политики безопасности системы активного мониторинга может реализовывать пассивные и активные методы реагирования. К пассивным методам относится оповещение администратора безопасности об обнаруженных несанкционированных действиях пользователей. Такое оповещение может осуществляться путём отображения соответствующего сообщения на консоли администратора или отправки сообщения по электронной почте. Активные методы подразумевают блокирование тех действий пользователей, которые нарушают заданную политику безопасности. Также как и системы обнаружения атак, системы активного мониторинга могут сочетать активные и пассивные методы реагирования.

Cистемы активного мониторинга должны быть также оснащены подсистемой собственной безопасности, позволяющей защитить компоненты системы активного мониторинга от несанкционированных воздействий нарушителей.

Примерами коммерческих реализаций системы активного мониторинга являются системы «Урядник/Enterprise Guard», «StatWin», «NetIntelligence» и «DeviceLock». Системы активного мониторинга могут использоваться в качестве автономных и функционально-независимых средств защиты, предназначенных для выявления нарушений политики безопасности ИС. Однако, для обеспечения комплексного подхода к информационной безопасности ИС, необходимо совместное использование систем обнаружения атак и активного мониторинга рабочих станций ИС. Более подробно варианты такого использования системы активного мониторинга и системы обнаружения атак рассматриваются ниже.

Комплексное использование систем обнаружения и активного мониторинга ИС

Первоначально рассмотрим функциональные различия системы обнаружения атак и системы активного мониторинга на основе следующих показателей: тип используемых датчиков, тип собираемых данных, методы выявления атак и реагирования на них (см. таблицу 1).

Таблица 1
Сравнение систем обнаружения атак и систем активного мониторинга

Из данных, представленных в табл. 1, можно видеть, что системы активного мониторинга являются дополнительным средством для системы обнаружения атак, обеспечивающим обнаружение тех атак, которые реализуются внутренними пользователями ИС. Самостоятельно же системы обнаружения атак не могут выявлять такие атаки вследствие отсутствия у них механизмов сбора и анализа информации на уровне рабочих станций. С другой стороны, информация, собранная датчиками системы активного мониторинга, может служить и в качестве доказательной базы при проведении расследования инцидентов, связанных с теми нарушениями информационной безопасности ИС, которые были выявлены средствами системы обнаружения атак.

Для демонстрации вышесказанного рассмотрим вариант совместного использования системы обнаружения атак и системы активного мониторинга на конкретном примере. Предположим, что система обнаружения атак зафиксировала факт проведения сетевой атаки на один из серверов ИС. При этом система обнаружения атак установила, что атака была проведена с IP-адреса, который принадлежит внутренней рабочей станции пользователя, на которой установлен датчик системы активного мониторинга. Знание только одного IP-адреса не даёт возможности точно доказать причастность пользователя рабочей станции к проведённой атаке, поскольку, адрес станции мог быть преднамеренно искажён нарушителем. В этом случае для подтверждения или опровержения вины пользователя в инциденте могут быть использованы данные, собранные датчиком системы активного мониторинга. Примерами данных, которые могут предоставить САМ для расследования инцидента, являются: регистрационное имя пользователя, работающего за станцией в момент проведения атаки, перечень приложений, запущенных на станции, информация о сетевом трафике, сформированном запущенными приложениями и т.д. Анализ таких данных позволит определить степень вины пользователя в инциденте. Более того, если выяснится, что пользователь, первоначально попавший под подозрение невиновен, то анализ информации с других датчиков системы активного мониторинга позволит выявить истинного нарушителя.

Рассмотрим схему размещения СОА и системы активного мониторинга на примере типовой ИС, состоящей из трёх сегментов (см. рис. 3):

• сегмента демилитаризованной зоны, в котором расположены информационные ресурсы, доступные любым внешним и внутренним пользователям ИС;
• сегмента серверов, в котором расположены ресурсы, доступные только внутренним пользователям ИС;
• сегмента рабочих станций пользователей.

Рис. 3. Схема совместного размещения компонентов СОА и САМ

Хостовые датчики СОА устанавливаются на все серверы ИС, размещённые в сегменте демилитаризованной зоны и сегменте внутренних серверов. Эти датчики обеспечивают обнаружение информационных атак на прикладном уровне тех сетевых служб, которые функционируют на серверах ИС. Сетевые датчики СОА устанавливаются в каждом из сегментов ИС для своевременного выявления атак на канальном и сетевом уровне ИС. Датчики системы активного мониторинга, в свою очередь, устанавливаются на рабочих станциях ИС для выявления несанкционированных действий, нарушающих заданную политику безопасности. Консоль управления системы обнаружения атак и системы активного мониторинга размещается на компьютере администратора безопасности ИС.

Заключение и выводы

Зарождение «пятой колонны» нарушителей информационной безопасности, действующей изнутри ИС, заставляет подвергнуть частичному пересмотру существующую стратегию защиты информационных систем. Учитывая тот факт, что на протяжении длительного времени эта задача решалась лишь при помощи средств разграничения доступа, поэтому полностью обеспечить защиту ИС от внутренних нарушителей не представлялось возможным. Это связано с тем, что функциональные возможности этих средств не позволяют защитить ИС от внутренних сетевых атак, а также тех действий внутренних пользователей ИС, которые напрямую не связаны с нарушением правил разграничения доступа к информационным ресурсам ИС. Для защиты от внутренних угроз информационной безопасности необходимо использовать СОА и системы активного мониторинга. Датчики СОА размещаются на серверах и рабочих станция ИС и выполняют функции выявления сетевых атак на основе анализа сетевого трафика. Датчики системы активного мониторинга устанавливаются на рабочие станции пользователей ИС и позволяют выявлять и блокировать те действия пользователей, которые нарушают заданную политику. Совместное использование систем обнаружения атак и систем активного мониторинга позволит комплексно подойти к вопросу защиты от внутренних атак и значительно повысить уровень информационной безопасности ИС.