Обманные системы
Независимость от операционных систем, используемых в организации
Обнаружение неудавшихся атак или подозрительных намерений
Обнаружение и реагирование в реальном масштабе времени
Данные системы обнаруживают подозрительные события и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем системы, анализирующие журналы регистрации. Например, хакер, инициирующий сетевую атаку типа «отказ в обслуживании» на основе протокола TCP, может быть остановлен системой обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом Reset в заголовке для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого узла. Системы анализа журналов регистрации не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей систему обнаружения атак на уровне узла. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.
Система обнаружения атак на уровне сети, установленная снаружи межсетевого экрана, может обнаруживать атаки, нацеленные на ресурсы, защищаемые МСЭ, даже несмотря на то что МСН, Возможно отразит эти попытки. Эта информация может быть очень важной при оценке и совершенствовании политики безопасности. Она поможет понять уровень возможностей и квалификацию злоумышленника.
Системы обнаружения атак, функционирующие на сетевом уровне, не зависят от операционных систем, установленных в корпоративной сети, так как они оперируют сетевым трафиком, которым обмениваются.все узлы в корпоративной сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной пакету если он соответствует стандартам, поддерживаемым системой обнаружения., Например, в сети могут работать ОС Windows 98, Windows NT, Windows 2000, Netware, Linux, MacOS, Solaris и т. д., но если они общаются между собой по протоколу IP, то любая из систем Обнаружения атак, поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.
Обычно, когда речь заходит об обмане в области информационной безопасности, сразу вспоминаются попытки злоумышленников использовать те или иные скрытые лазейки для обхода используемых средств защиты. Будь то кража паролей и работа от имени авторизованного пользователя или несанкционированное использование модемов. Однако обман может сослужить хорошую службу не только для злоумышленников, но и для защитников корпоративных ресурсов. Сразу необходимо отметить, что обман очень редко используется в качестве защитного механизма. Обычно, когда речь заходит о средствах защиты, на ум сразу приходят современнейшие межсетевые экраны, блокирующие любые попытки проникновения хакеров. Или, если обратиться к фантастической литературе, то для защиты от проникновения используются системы с искусственным интеллектом, которые «адаптируются» к нападениям злоумышленников и противопоставляют им адекватные защитные меры. Такие системы описаны в «Лабиринте отражений» Сергея Лукьяненко или «Neuromancer» Уильяма Гибсона. Но «не межсетевым экраном единым». Приходится обращать свое внимание и на другие нестандартные» защитные механизмы. Это частично собьет с толку злоумышленников и нарушителей, привыкших к широко известным средствам обеспечения информационной безопасности [12].
Существует множество различных вариантов использования обмана в благих целях. Вкратце перечислю некоторые механизмы обмана, основываясь на классификации Даннигана (Dunnigan) и Ноуфи (Nofi) [42]:
• сокрытие;
• камуфляж;
• дезинформация.
В той или иной мере эти механизмы используются в практике работ отделов безопасности. Однако, как правило, эти механизмы используются не для информационной, а для иных областей обеспечения безопасности (физическая, экономическая и т. д.).
В области информационной безопасности наибольшее распространение получил первый метод — сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows NT. Если злоумышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT. Это существенно увеличит время, необходимое для «успешной» реализации атаки.
Во многих американских фильмах о хакерах последние, атакуя военные системы Пентагона, мгновенно определяли тип программного обеспечения военной системы, лишь взглянув на приглашение ввести имя и пароль. Как правило, каждая операционная система обладает присущим только ей способом идентификации пользователя, отличающимся от своих собратьев цветом и типом шрифта, которым выдается приглашение, текстом самого приглашения, местом его расположения и т. д. Камуфляж позволяет защититься именно от такого рода атак.
И, наконец, в качестве примера дезинформации можно назвать использование заголовков (banner), которые бы давали понять злоумышленнику, что атакуемая им система уязвима. Например, если в сети используется почтовая программа sendmail версии 8.9.3, а возвращаемый ею заголовок утверждает обратное, то нарушитель потратит много времени и ресурсов, чтобы попытаться эксплуатировать уязвимости, присущие ранним версиям sendmail (до 8.9.3).
Рассмотрим только 2 и 3 классы обманных методов, как менее известные и наиболее интересные. Работа систем, их реализующих, заключается в том, что эти системы эмулируют те или иные известные уязвимости, которых в реальности не существует. Использование средств (deception systems), реализующих камуфляж и дезинформацию, приводит к следующему:
1. Увеличение числа выполняемых нарушителем операций и действий. Так как заранее нельзя определить, является ли обнаруженная нарушителем уязвимость истинной или нет, то злоумышленнику приходится выполнять много дополнительных действий, чтобы выяснить это. И даже дополнительные действия не всегда помогают в этом. Например, попытка запустить программу подбора паролей (например Crack для Unix или LOphtCrack для Windows) на сфальсифицированный и несуществующий в реальности файл приведет к бесполезной трате времени без какого-либо видимого результата. Нападающий будет думать, что он не смог подобрать пароли, в то время как на самом деле программа «взлома» была просто обманута.
2. Получение возможности отследить нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в том числе и фиктивные, администраторы безопасности могут проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры, например, сообщить об атаке в соответствующие судебные инстанции.
Обычно в информационной системе используются от 5 до 10 зарезервированных портов (с номерами от 1 до 1024).. К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и т. д. Если обманные системы эмулируют использование еще 100 и более портов, то работа нападающего увеличивается во сто крат. Теперь злоумышленник обнаружит не 5—10, а 100 открытых портов. При этом мало обнаружить открытый порт, надо еще попытаться использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соответствующих программных средств (Nmap, SATAN и т. д.), то число выполняемых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы. И при этом злоумышленник все время находится под дамокловым мечом, опасаясь своего обнаружения.
Есть и другая особенность использования обманных систем. По умолчанию обращение ко всем неиспользуемым портам игнорируется. Тем самым попытки сканирования портов могли быть пропущены используемыми защитными средствами. В случае же использования обманных систем все эти действия будут сразу же обнаружены при первой попытке обращения к ним.
С помощью обманных систем злоумышленников бьют их же оружием и чаша весов склоняется уже не в пользу атакующих, которые раньше почти всегда были на шаг впереди специалистов по защите. Применение обманных систем — это достаточно интересный и при правильном применении эффективный метод обеспечения информационной безопасности. Однако для большей эффективности можно порекомендовать использовать связку защитных средств «обманные системы — системы обнаружения атак», которая позволит не только обнаружить нападающего сразу же после первой попытки атаки, но и заманить его при помощи обманной системы, тем самым давая время администраторам безопасности на обнаружение злоумышленника и принятие соответствующих мер.
Существует два класса обманных систем. Первые эмулируют некоторые .сервисы или уязвимости только на том компьютере, на котором они запущены. Примером такой системы является Decoy-режим RealSecure OS Sensor, WinDog-DTK или система The Deception Toolkit (DTK). Второй класс систем эмулирует не отдельные сервисы, а сразу целые компьютеры и даже сегменты, содержащие виртуальные узлы, функционирующие под управлением разных ОС. Примером такой системы является CyberCop Sting.
Но не стоит забывать, что обманные системы — это не панацея- от всех бед. Они помогают в случае простых нападений, осуществляемых начинающими или неопытными злоумышленниками. В случае квалифицированных и опытных нарушителей обманные системы теряют свою эффективность. Предварительный анализ трафика позволяет злоумышленнику понять, какие из обнаруженных портов фиктивные. Моделирование атак на стенде и сравнивание результатов с тем, что выдается в реальной атакуемой системе, также позволяет обнаружить использование обманных средств. Мало того, неправильная конфигурация обманной системы приведет к тому, что злоумышленник сможет обнаружить факт слежки за ним и прекратит свою несанкционированную деятельность. Однако число действительно квалифицированных злоумышленников не так велико и поэтому использование обманных средств может помочь в большинстве случаев.
Рис. 13. Функционирование обманной системы CyberCop Sting