Статьи

До того, как наступила эпоха современных быстрых саморазмножающихся вирусов, основная функция антивирусного программного обеспечения состояла в предотвращении инфицирования путем предварительного выявления характерных «отпечатков» вируса и добавления профилактической защиты и против данного типа компьютерного вируса. То есть раньше производители антивирусов были способны выявить новые «отпечатки» до того, как вирус успевал широко распространиться. Причем появление защиты опережало волну эпидемии вируса на неделю-две, и модифицированная компьютерная защита с легкостью гасила вирусную волну, не допуская ее распространения. Конечно, причиной этого была невысокая скорость традиционного распространения вирусов - только в случае, когда люди обменивались инфицированными файлами. Но, в любом случае, антивирусное программное обеспечение блокировало начальную инфекцию, предотвращая заражение машин, предохраняя ценные файлы от порчи, а людей от потребности в дорогостоящей ручной очистке машин и длительного времени простоя компьютеров.

Несмотря на все достижения в технологиях безопасности, один аспект остается неизменным: пароли все еще играют центральную роль в безопасности системы. Проблема заключается в том, что они слишком часто могут служить простейшим механизмом для взлома. Несмотря на то, что существуют технологии и политики для того, чтобы сделать пароли более устойчивыми, до сих пор приходиться бороться с человеческим фактором. Ни для кого не является секретом, что пользователи часто в качестве паролей используют имена друзей, клички животных и т.д.

предыдущей части были описаны превентивные методы, направленные на затруднение самой возможности проведения внутренних атак. Но поскольку не существует никакой гарантии, что какой-нибудь особо настырный сотрудник не сумеет обойти все вышеописанные методы, системные администраторы должны также уметь определять успешные внутренние вторжения. Методы обнаружения во многом схожи с методами профилактики и заключаются в использовании внутренней IDS (системы определения вторжения), сетевой защиты и системы физического контроля доступа.

Во второй части описываются методы ограничения сотрудников компании к критически важным компонентам системы и методы наблюдения и контроля над ними.

Закончился обычный рабочий день, восемь-девять часов вечера. Большинство сотрудников офиса давно разошлись по домам, почти во всех комнатах погашен свет, охрана тихо дремлет у входа. Лишь в некоторых комнатах еще светятся экраны мониторов и слышен характерный стук клавиатуры. Мало кто действительно засиделся за работой, большинство же или режется по корпоративной сетке в компьютерные игры, или в отсутствие начальства залез в Internet. Бесполезное для компании, но, в принципе, безвредное и общепринятое явление. Но встречаются и совсем другие задержавшиеся на работе сотрудники, которые в это время пытаются подобрать пароли и проникнуть на различные компьютеры собственной компании с целью получения какой-нибудь ценной для них информации.

Последний метод отражения неизвестных атак использует точно выверенный уровень доступа (fine-grained mandatory access controls), который является основой проекта SELinux - Security Enhanced Linux, разрабатываемого NSAIARG (National Security Administration's Information Assurance Research Group). Механизм SELinux основан на двух ключевых концепциях: fine-grained mandatory access controls и отделении механизмов наблюдения от «полицейских» программ.

Вторая методика отражения неизвестных атак - обнаружение вторжения путем анализа программы – впервые была предложена и проверена Вагнером и Деканом. Эта модель IDS выполняет статический анализ программы, чтобы создать абстрактную, недетерминированную модель функций и системных запросов.

Для того же, чтобы отразить атаку особо разрушительных "суперчервей" или хакеров, использующих неизвестные или неисправленные дыры в защите, требуются совсем другие технологии, разработанные, скорее, для отражения неизвестных нападений, чем для уже известных. Эти методы должны быть полностью автоматизированными (поскольку возможности человека, хотя бы, в части оперативного реагирования на возникшую угрозу, тоже весьма ограничены), настраиваемыми для конкретных целей и не требующими никаких многочисленных изменений в программах. Мы планируем опубликовать цикл статей, в которых будут рассмотрены различные технологии, позволяющие создать защитный барьер против неизвестных нападений: программная изоляция ошибки, обнаружение вторжения путем анализа программы, и точно выверенный адресный доступ

Второй метод, применяемый в IDS для активного ответа нападениям, использует управление правилами межсетевой защиты. В этом случае, IDS инструктирует межсетевую защиту запретить весь трафик, исходящий от определенного IP, с которого была зафиксирована атака, это ограничение снимается лишь после истечения определенного «штрафного времени». Некоторые IDS после повторяющихся атак с одного и того же IP адреса требует вообще занести этот адрес в «черный список» и запретить любые подключения. За всем этим стоит здравая мысль лишить хакера возможностей использовать тот плацдарм, который он сумел получить в результате посылки эксплоита.

Все еще продолжаются споры среди разработчиков программного обеспечения, какой из методов обнаружения нападения является оптимальным, но заказчики систем обнаружения вторжения (IDS), в целом, уже удовлетворены ныне существующими технологиями. Чтобы получить преимущество в конкурентной борьбе, многие продавцы IDS добавляют возможности активного ответа в свои программы. Концепция, лежащая в основе этой тактики, состоит в том, что IDS обнаружит нападение и остановит его. Проблема состоит лишь в том, что любой хакер с элементарными знаниями TCP/IP может легко сломать этот механизм или выводить из строя сеть достаточно часто, что приведет к тому, что системные администраторы будут вынуждены отключить эту возможность. Для системных администраторов важно знать все ограничения механизмов активного ответа, чтобы не теряться в проблемной ситуации.