Безопасность в Internet- Intranet

       

Имеется ли технология обнаружения атак, которая предпочтительней других?


Клаус: Сегодня имеется два основных подхода к построению систем обнаружения атак: анализ пакетов, передаваемых по сети и анализ журналов регистрации операционной системы или приложений. В то время как эти подходы имеют свои сильные и слабые стороны, мы чувствуем, что сетевой подход к обнаружению атак (network-based) более эффективен по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым, обеспечивая защиту в реальном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту периметра.

Ранум: Имеется два основных типа систем обнаружения атак: экспертные и сигнализирующие системы. Экспертные системы пытаются анализировать сетевой трафик, "обучаться" на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем - генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требует предварительной настройки. Сигнализирующие системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это, своего рода, решение "в лоб", которое заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Ни один из этих вариантов не лучше другого. Идеальным вариантом служила бы система, объединяющая в себе оба этих типа. Я предсказываю, что каждый производитель будет пытаться продавать свои системы как экспертные, поскольку сейчас это модно и позволяет получить больше денег.

Карри: Сегодня существует два основных подхода, применяемых в коммерческих системах - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы. В любом случае, система обнаружения атак ищет известные шаблоны, которые указывают на нападение. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем оно достигнет атакуемой системы. Эти системы проще для развертывания на крупных сетях, потому что они не требуют установки на десятки различных платформ. И в заключение, эти системы практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы. Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, может снизить производительность защищаемого хоста. Оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить все узлы организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором.

Саттерфилд: Имеется ли более предпочтительная технология обнаружения атак? На заре исследований в этой области постоянно проходили большие дебаты о том, какая модель обнаружения атак лучше - "обнаружение аномалий" (anomaly detection) или "обнаружение злоупотреблений" (misuse detection). "Аномальный" подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Это красиво в теории, но практически нереализуемо. Этот подход страдает тем, что порождает слишком большое число ложных тревог. Второй подход (misuse detection) намного более простой. Ищите известные сигнатуры и бейте тревогу, когда найдете их. Это гораздо более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода. Я полагаю, что именно комбинация этих двух подходов станет первым шагом в развитии следующего поколения систем обнаружения атак. Я бы предложил термин "сигнатуро-основанное обнаружение аномалий". Это звучит несколько странно, но возможно именно этот термин будет главенствовать в следующие годы.

Спаффорд: Это зависит от того, какова угроза, политика безопасности, уровень защиты, доступность других мер (например, применение межсетевых экранов), вид реагирования и т.п. Например, система, осуществляющая статистический анализ журналов регистрации в поисках аномального поведения, хорошо подходит для обнаружения атак "постфактум". Такие системы сильно загружают процессор и требуют большого дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени. Системы, обнаруживающие атаки на основе анализа трафика, прекрасно применимы в системах, в которых наибольшее волнение вызывают внешние нарушители, которые пытаются применять "стандартные" средства поиска уязвимостей. Ни одна из названных систем не решает всех поставленных задач, и имеются свои плюсы и минусы.



Содержание раздела