Автор работы: Пользователь скрыл имя, 10 Октября 2010 в 12:14, Не определен
Реферат
Установление
контроля
После проникновения
злоумышленник устанавливает
Цели
реализации атак
Необходимо отметить, что злоумышленник на втором этапе может преследовать две цели. Во-первых, получение несанкционированного доступа к самому узлу и содержащейся на нем информации. Во-вторых, получение несанкционированного доступа к узлу для осуществления дальнейших атак на другие узлы. Первая цель, как правило, осуществляется только после реализации второй. То есть, сначала злоумышленник создает себе базу для дальнейших атак и только после этого проникает на другие узлы. Это необходимо для того, чтобы скрыть или существенно затруднить нахождение источника атаки.
3.
Завершение атаки
Этапом завершения
атаки является "заметание
следов" со стороны злоумышленника.
Обычно это реализуется путем удаления
соответствующих записей из журналов
регистрации узла и других действий, возвращающих
атакованную систему в исходное, "предатакованное"
состояние.
Классификация
атак
Существуют различные типа классификации атак. Например, деление на пассивные и активные, внешние и внутренние, умышленные и неумышленные. Однако дабы не запутать вас большим разнообразием классификаций, мало применимыми на практике, предлагаю более "жизненную" классификацию:
Компания Internet Security Systems, Inc. еще больше сократила число возможных категорий, доведя их до 5:
Первые 4 категории
относятся к удаленным атакам,
а последняя - к локальным, реализуемом
на атакуемом узле. Можно заметить,
что в данную классификацию не
попал целый класс так
Классификация атак, реализованная во многих системах обнаружения атак, не может быть категоричной. Например, атака, реализация которой для ОС Unix (например, переполнение буфера statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть вообще не применима или иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Одна и та же атака, может иметь разные наименования у разных производителей систем обнаружения атак.
Одной из лучших
баз уязвимостей и атак
является база данных X-Force, находящаяся
по адресу: http://xforce.iss.net/. Доступ к ней может
осуществляться как путем подписки на
свободно распространяемый список рассылки
X-Force Alert, так и путем интерактивного поиска
в базе данных на Web-сервере компании ISS.
Заключение
Не будь уязвимостей
в компонентах информационных систем,
нельзя было бы реализовать многие
атаки и, следовательно, традиционные
системы защиты вполне эффективно справлялись
бы с возможными атаками. Однако программы
пишутся людьми, которым свойственно делать
ошибки. Вследствие чего и появляются
уязвимости, которые используются злоумышленниками
для реализации атак. Однако это только
полбеды. Если бы все атаки строились по
модели "один к одному", то с некоторой
натяжкой, но межсетевые экраны и другие
защитные системы смогли бы противостоять
и им. Но появились скоординированные
атаки, против которых традиционные средства
уже не так эффективны. И тут на сцене и
появляются новые технологии - технологии
обнаружения атак. Приведенная систематизация
данные об атаках и этапах их реализации
дает необходимый базис для понимания
технологий обнаружения атак.
Средства обнаружения компьютерных атак
Технология обнаружения атак должна решать следующие задачи:
Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения. Например,
Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.
Классификация
систем обнаружения
атак
Существует большое число различных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации:
Системы обнаружения
атак, контролирующие отдельный компьютер,
как правило, собирают и анализируют информацию
из журналов регистрации операционной
системы и различных приложений (Web-сервер,
СУБД и т.д.). По такому принципу функционирует
RealSecure OS Sensor. Однако в последнее время
стали получать распространение системы,
тесно интегрированные с ядром ОС, тем
самым, предоставляя более эффективный
способ обнаружения нарушений политики
безопасности. Причем такая интеграция
может быть реализовано двояко. Во-первых,
могут контролироваться все системные
вызовы ОС (так работает Entercept) или весь
входящий/исходящий сетевой трафик (так
работает RealSecure Server Sensor). В последнем случае
система обнаружения атак захватывает
весь сетевой трафик напрямую с сетевой
карты, минуя операционную систему, что
позволяет уменьшить зависимость от нее
и тем самым повысить защищенность системы
обнаружения атак.
Системы
обнаружения атак
уровня сети собирают информацию
из самой сети, то есть из сетевого трафика.
Выполняться эти системы могут на обычных
компьютерах (например, RealSecure Network Sensor),
на специализированных компьютерах (например,
RealSecure for Nokia или Cisco Secure IDS 4210 и 4230) или интегрированы
в маршрутизаторы или коммутаторы (например,
CiscoSecure IOS Integrated Software или Cisco Catalyst 6000 IDS Module).
В первых двух случаях анализируемая информация
собирается посредством захвата и анализа
пакетов, используя сетевые интерфейсы
в беспорядочном (promiscuous) режиме. В последнем
случае захват трафика осуществляется
с шины сетевого оборудования.
Обнаружение атак требует
выполнения одного из двух условий - или
понимания ожидаемого поведения
контролируемого объекта
Практически все системы обнаружения атак основаны на сигнатурном подходе.
Достоинства
систем обнаружения
атак
Можно долго перечислять
различные достоинства систем обнаружения
атак, функционирующих на уровне узла
и сети. Однако я остановлюсь только
на нескольких из них.
Коммутация позволяет
управлять крупномасштабными
Системы сетевого уровня
не требуют, чтобы на каждом хосте
устанавливалось программное обеспечение
системы обнаружения атак. Поскольку для
контроля всей сети число мест, в которых
установлены IDS невелико, то стоимость
их эксплуатации в сети предприятия ниже,
чем стоимость эксплуатации систем обнаружения
атак на системном уровне. Кроме того,
для контроля сетевого сегмента, необходим
только один сенсор, независимо от числа
узлов в данном сегменте.
Сетевой пакет, будучи
ушедшим с компьютера злоумышленника,
уже не может быть возвращен назад.
Системы, функционирующие на сетевом
уровне, используют "живой" трафик
при обнаружении атак в реальном масштабе
времени. Таким образом, злоумышленник
не может удалить следы своей несанкционированной
деятельности. Анализируемые данные включают
не только информацию о методе атаки, но
и информацию, которая может помочь при
идентификации злоумышленника и доказательстве
в суде. Поскольку многие хакеры хорошо
знакомы с механизмами системной регистрации,
они знают, как манипулировать этими файлами
для скрытия следов своей деятельности,
снижая эффективность систем системного
уровня, которым требуется эта информация
для того, чтобы обнаружить атаку.
Системы, функционирующие
на уровне сети, обнаруживают подозрительные
события и атаки по мере того,
как они происходят, и поэтому
обеспечивают гораздо более быстрое уведомление
и реагирование, чем системы, анализирующие
журналы регистрации. Например, хакер,
инициирующий сетевую атаку типа "отказ
в обслуживании" на основе протокола
TCP, может быть остановлен системой обнаружения
атак сетевого уровня, посылающей TCP-пакет
с установленным флагом Reset в заголовке
для завершения соединения с атакующим
узлом, прежде чем атака вызовет разрушения
или повреждения атакуемого узла. Системы
анализа журналов регистрации не распознают
атаки до момента соответствующей записи
в журнал и предпринимают ответные действия
уже после того, как была сделана запись.
К этому моменту наиболее важные системы
или ресурсы уже могут быть скомпрометированы
или нарушена работоспособность системы,
запускающей систему обнаружения атак
на уровне узла. Уведомление в реальном
масштабе времени позволяет быстро среагировать
в соответствии с предварительно определенными
параметрами. Диапазон этих реакций изменяется
от разрешения проникновения в режиме
наблюдения для того, чтобы собрать информацию
об атаке и атакующем, до немедленного
завершения атаки.
Информация о работе Компьютерные атаки и технологии их обнаружения