Issuu on Google+

1.

ВВЕДЕНИЕ

Необходимость технологий обнаружения атак Уровни информационной системы Традиционные средства защиты Недостатки традиционных средств защиты Недостатки межсетевых экранов Атаки через туннели в межсетевом экране Атаки вследствие неправильной конфигурации межсетевого экрана Атаки, осуществляемые в обход межсетевого экрана Атаки, осуществляемые из доверенных узлов и сетей Атаки путем подмены адреса источника Атаки на сам межсетевой экран Атаки на подсистему аутентификации межсетевого экрана Заключение

2.

АНАТОМИЯ АТАКИ

События безопасности Уязвимости Классификация уязвимостей Уязвимости проектирования Уязвимости реализации Уязвимости конфигурации Атаки Неформальная модель атаки Модель "традиционной" атаки Модель распределенной атаки Результат атаки Этапы реализации атак Сбор информации Изучение окружения Идентификация топологии сети Идентификация узлов Идентификация сервисов или сканирование портов Идентификация операционной системы Определение роли узла Определение уязвимостей узла Реализация атаки Проникновение Установление контроля Цели реализации атак Методы реализации атак Завершение атаки Скрытие источника и факта атаки Подмена адреса источника атаки Создание фальшивых пакетов Фрагментация атаки Отказ от значений по умолчанию Изменение стандартного сценария атаки "Замедление" атаки Чистка журналов регистрации Скрытие файлов и данных Скрытие процессов Средства реализации атак Автоматизированные средства для реализации атак Средства для реализации распределенных атак Классификация атак


Базы данных уязвимостей и атак Mitre CVE X-Force Другие базы данных Инциденты Нарушители Цели злоумышленников Заключение

3.

ВВЕДЕНИЕ В ОБНАРУЖЕНИЕ АТАК

Введение в обнаружение атак Системы обнаружение атак и другие средства защиты Что могут и чего не могут системы обнаружения атак и соответствующие технологии Реальные ожидания Повышение защищенности Повышение осведомленности Контроль всей деятельности пользователя Обнаружение изменений информационных ресурсов Выявление ошибок в конфигурации Определение подверженности атакам Обнаружение самых последних атак Облегчение управления защитой ваших систем неопытному персоналу Помощь в разработке собственной политики безопасности Нереальные ожидания Системы обнаружения атак - не панацея Компенсация слабых механизмов идентификации и аутентификации Обязательное участие человека Понимание политики безопасности Компенсация уязвимостей сетевых протоколов Компенсация низкого качества или полноты регистрируемой информации Анализ трафика загруженной сети Заключение

4.

ТРИ КИТА ТЕХНОЛОГИИ ОБНАРУЖЕНИЯ АТАК

Признаки атак Повтор определенных событий Контроль пороговых значений Контроль временных интервалов Контроль шаблонов Неправильные команды Использование уязвимостей Несоответствующие параметры сетевого трафика Параметры входящего трафика Параметры исходящего трафика Непредвиденные адреса пакетов Непредвиденные параметры сетевых пакетов Аномалии сетевого трафика Подозрительные характеристики сетевого трафика Непредвиденные атрибуты Время и дата


Местоположение Системные ресурсы Запросы сервисов и услуг Пользовательские и системные профили Другие параметры Необъяснимые проблемы Заголовки "Цифровой отпечаток пальца" Дополнительные признаки Источники информации об атаках Журналы регистрации Журнал регистрации ОС Windows NT Журнал регистрации маршрутизаторов Cisco Журнал регистрации межсетевого экрана Firewall-1 Журнал регистрации Apache Журнал регистрации TCPdump Журнал регистрации Internet Scanner Журнал регистрации RealSecure Сетевой трафик Деятельность субъектов системы Дополнительные источники Уведомления от пользователей Списки рассылки Координационный центр CERT X-Force CIAC Журналы, ежедневники Web-сервера FIRST NASIRC COAST FedCIRC, ASSIST и другие Теле- и эхоконференции Internet и FIDOnet Конференции и семинары Технологии обнаружения атак Обнаружение аномальной деятельности Обнаружение злоумышленной деятельности Подходы к обнаружению атак Статистический анализ Экспертные системы Нейросети Преимущества нейросетей при обнаружении атак Недостатки нейросетей при обнаружении атак Реализация систем обнаружения атак с использованием нейросетей Комбинация подходов Система NIDES Система EMERALD Другие решения Заключение

5.

ОБНАРУЖЕНИЕ СЛЕДОВ АТАК

Контроль изменений директорий и файлов Установка приоритетов и расписания проверок Сбор данных о важных файлах и директориях Контроль целостности файлов и директорий Расследование непредвиденных изменений Обнаружение различных атак и злоупотреблений


Обнаружение "троянских коней" Анализ журналов регистрации Периодическая проверка журналов регистрации Документирование всех неудачных попыток Особенности анализа журналов регистрации Анализ сетевого трафика Обнаружение различных атак и злоупотреблений Контроль взаимодействия узлов по определенному протоколу Обнаружение идентификации узлов Обнаружение сканирования портов и сервисов Обнаружение идентификации ОС Обнаружение использования уязвимостей Обнаружение "троянских коней" Обнаружение атак "отказ в обслуживании" Обнаружение подмены адреса Подозрительные ситуации Анализ уведомлений Анализ заголовков Анализ процессов, сервисов и портов Получение дополнительной информации Особенности анализа процессов Обнаружение различных атак и злоупотреблений Обнаружение "троянских коней" Обнаружение несанкционированных устройств Регулярная инвентаризация оконечных устройств Контроль модемов Расследование всех случаев аппаратных аномалий Особенности обнаружения несанкционированных устройств Контроль доступа к физическим ресурсам Анализ внешних источников о поведении системы Исследование сообщений из внешних источников Анализ и расстановка приоритетов отчетов Особенности анализа внешних источников Заключение

6.

КЛАССИФИКАЦИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК

Системы анализа защищенности Системы поиска уязвимостей проектирования Анализ проектов Система CRAMM Российские решения Другие решения Анализ алгоритмов Система PVS Системы поиска уязвимостей реализации Анализ исходных текстов Системы обнаружения уязвимостей в исходном тексте Анализ исполняемого кода Анализ размера, даты файлов и других признаков Проверка во время выполнения кода Системы генерации тестов


Дизассемблирование Имитация атак Системы поиска уязвимостей эксплуатации Системы анализа защищенности на уровне сети Системы анализа защищенности на уровне ОС Системы анализа защищенности на уровне СУБД Системы анализа защищенности на уровне приложений Механизм функционирования Проверка заголовков Активные зондирующие проверки Имитация атак Проверка конфигурации Архитектура систем анализа защищенности "Классические" системы обнаружения атак и анализаторы журналов регистрации Немного истории Введение в классификацию По уровням информационной системы На уровне приложений и СУБД На уровне ОС На уровне сети Интегрированные подходы Другие критерии Архитектура систем обнаружения атак Системы обнаружения атак на уровне узла На уровне операционной системы На уровне приложений и СУБД На уровне сети Механизм функционирования Достоинства систем обнаружения атак на уровне узла Подтверждение факта атаки Контроль деятельности конкретного узла Обнаружение атак, необнаруживаемых другими средствами Работа в коммутированных сетях и сетях с канальным шифрованием Обнаружение и реагирование почти в реальном масштабе времени Низкая цена Системы обнаружение атак на уровне сети Механизм функционирования Захват пакетов Фильтрация Распознавание атак Реагирование на атаки Достоинства систем обнаружения атак на уровне сети Низкая стоимость эксплуатации Обнаружение сетевых атак Невозможность "заметания следов" Обнаружение и реагирование в реальном масштабе времени Обнаружение неудавшихся атак или подозрительных намерений Независимость от операционных систем, используемых в организации Сетевые системы обнаружения атак и межсетевые экраны Обманные системы The Deception Toolkit CyberCop Sting Системы контроля целостности Tripwire AIDE и L5 Gog&Magog Выводы


7. В ПРЕДДВЕРИЕ АТАКИ ИЛИ СОЗДАНИЕ ИНФРАСТРУКТУРЫ ОБНАРУЖЕНИЯ АТАК Подготовка персонала Учебные центры GIAC CERT Internet Security Systems Дистанционное обучение Online-семинары Семинары и конференции Ролевые игры Сертификация специалистов Определение политики и процедур безопасности Выбор и использование механизмов системной и сетевой регистрации Регистрируемая информация Достаточность встроенных механизмов регистрации Регистрация событий Защита журналов регистрации План управления журналами регистрации Управление объемом регистрируемой информации Определение приоритетов Ротация журналов регистрации Объединение журналов регистрации Резервирование и архивирование журналов регистрации Шифрование файлов регистрации Уничтожение информации в журналах регистрации Генерация информации, которая требуется для контроля целостности ваших системных файлов и данных Карта сети Резервирование важных файлов и каталогов Характеристики поведения процессов и пользователей Защита и целостность описи, карты сети и авторитарных ссылок Заключение

8. ВЫБОР СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК Предварительный анализ Что защищать? От чего защищать? От кого защищать? Как защищать? Чем защищать? Потребители систем обнаружения атак Небольшие компании Крупные компании с филиалами Транснациональные корпорации Провайдеры Internet Провайдеры услуг Критерии оценки Число обнаруживаемых атак Место установки Источники информации и методы анализа Выполнение Пакетная обработка


Функционирование в реальном масштабе времени Реагирование Архитектура Удаленное управление Число управляемых агентов Иерархическое управление Обеспечение отказоустойчивости соединения между сенсорами и консолью Гибкость Создание собственных контролируемых событий P-BEST N-Code Attack Signature Definition RUSSEL SNP-L Scripting Systems SecureLogic CASL NASL VDL и VEL Perl, C и т.д. Создание собственных вариантов реагирования Настройка других параметров Защита от несанкционированного доступа Контроль целостности Stealth-режим Контроль активности своих компонентов Разграничение доступа к компонентам Защита соединения между консолью и сенсорами Отказоустойчивость, доступность и надежность Интеграция с другими средствами Системы сетевого управления Другие системы управления Средства защиты Другие системы Мониторинг дополнительных событий Управление событиями Задание приоритетов Визуализация данных Генерация отчетов Трассировка событий Наличие API и SDK Техническая поддержка Время работы Уровни поддержки Список рассылки База данных атак Обучение Обновление сигнатур Частота обновления Способ обновления Защищенное обновление Оповещение об уведомлении Отказ от обновления Варианты реагирования Уведомление Регистрация событий Трассировка событий Завершение соединения Реконфигурация сетевого оборудования Блокирование трафика Обманная техника Устранение уязвимостей Дополнительные варианты реагирования Обработка фрагментированного трафика


Шаблоны Поддерживаемые платформы Производительность Стоимость Автоматизация Удобство работы и настройки Коммерческая или бесплатная система обнаружения атак Другие критерии Приоритезация критериев Тестирование Обоснование для руководства Расчет потерь от атак Обзор рынка средств обнаружения атак Internet Security Systems Internet Scanner System Scanner Database Scanner Online Scanner и Desktop Scanner RealSecure SAFEsuite Decisions Cisco Cisco Secure Scanner Cisco Secure IDS Symantec Intruder Alert NetProwler Enterprise Security Manager NetRecon Retriever и Expert Computer Associates eTrust IDS Network Associates CyberCop Monitor CyberCop Scanner CyberCop Sting NFR Network Flight Recorder NID Другие решения NFR Другие решения Centrax BlackICE Dragon Bro Свободно распространяемые продукты Snort Shadow Заключение

9.

РАЗМЕЩЕНИЕ СИСТЕМ ОБНАРУЖЕНИЯ АТАК

Размещение сенсоров системы обнаружения атак Между маршрутизатором и межсетевым экраном В демилитаризованной зоне За межсетевым экраном В ключевых сегментах внутренней сети У сервера удаленного доступа На магистрали


Использование сенсоров системы обнаружения атак в коммутируемых сетях Использование span-порта Использование дополнительного концентратора Использование разветвителя (сплиттера) Интеграция в коммутатор Размещение системы анализа защищенности Размещение системы контроля целостности Размещение обманной системы

10.

ЭКСПЛУАТАЦИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК

Выбор узла для системы обнаружения на уровне сети Выбор платформы Использование выделенного узла Приобретение системы обнаружения атак Приобретение программного и аппаратного обеспечения Приобретение документации и услуг по технической поддержке Инсталляция и развертывание Задание правил для классических систем обнаружения атак Задание правил для систем анализа защищенности Стратегия сканирования Тактика сканирования Конфигурация механизма регистрации событий и оповещения об атаках Журналы регистрации Оповещение по электронной почте и через SNMP Повышение защищенности системы обнаружения атак Дублирование систем обнаружения атак Защита от несанкционированного доступа Пользователи системы обнаружения атак Права доступа к системе обнаружения атак Изменение политики безопасности Реализация Stealth-режима Автоматизация

11.

ПРОБЛЕМЫ С СИСТЕМАМИ ОБНАРУЖЕНИЯ АТАК

Общие проблемы Обновление базы данных сигнатур Гетерогенные сети Единое управление безопасностью Незащищенность ОС Отсутствие математических основ Ложные срабатывания Необнаружение атак Рост сложности средств реализации атак


Мобильный код Низкая квалификация персонала Трудности в обнаружении злоумышленников Атаки на систему обнаружения атак Разногласия между производителями Постоянные слияния и приобретения Активное реагирование Восстановление после атаки Руководства к действию в случае атаки Тестирование систем обнаружения атак Семантическое сжатие Отсутствие механизма доказательств для судебных разбирательств Системы обнаружения атак на уровне сети Коммутируемые сети Сети с канальным шифрованием Модемы Нехватка ресурсов Атаки на систему обнаружения атак Простое уклонение Сложное уклонение Системы обнаружения атак на уровне хоста Объем журналов регистрации Длительность хранения Снижение производительности Защита журналов регистрации Типы и детализация регистрируемых событий Отсутствие универсального формата хранения данных

12.

РАЗРАБОТКА СВОЕЙ СОБСТВЕННОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК

Этап 1. Приобретение необходимого программного и аппаратного обеспечения Этап 2. Построение сенсора Этап 3. Создание базы сигнатур атак Заключение

13.

СТАНДАРТИЗАЦИЯ В ОБЛАСТИ ОБНАРУЖЕНИЯ АТАК

Альянс Adaptive Network Security Alliance Проект Лаборатории Линкольна Консорциум Intrusion Detection Systems Consortium Платформа Open Platform for Secure Enterprise Connectivity Стандарт Common Content Inspection Проект Common Intrusion Detection Framework Группа Intrusion Detection Working Group База данных Common Vulnerabilities and Exposures


База данных ICAT База данных Intrusion Data Library Enterprise Проекты DARPA Российские стандарты

14. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ


заголовок