Министерство Образования Российской Федерации
Московский Государственный Университет Геодезии и Картографии
Реферат по предмету
«Введение в специальность»
на тему:
«Особенности предотвращения несанкционированных проникновений в корпоративные информационные системы»
Автор: Иван Кабанов
Факультет: ФПК
Курс: 1
Группа: 2
Научный руководитель: проф. Малинников В. А.
Москва, 2003 г.
Содержание:
Введение..............................................................................................................3
1.Что такое IPS и IDS?.......................................................................................
2.
Введение.
В нынешнее время стало очевидно, что защищать информацию становится все сложнее. Что нас ждет завтра? С какими новыми угрозами мы столкнемся? Смогут ли системные администраторы и те, кто по долгу службы призван обеспечивать целостность и сохранность информационных инфраструктур справится с все более сложными и продуманными нападениями, сетевыми червями, «троянцами»? Во введении к реферату я решил опубликовать мнения специалистов в области информационной безопасности относительно того, как будет в дальнейшем развиваться ситуация в сфере их деятельности.
К примеру, Роб Клайд, технический директор Symantec говорит: «Чем более профессиональными становятся хакеры, тем стремительнее атаки на сайты. Червь типа flash worm, при условии, что запускающий его хакер имеет список всех (или практически всех) серверов, открытых для атаки, может поразить все уязвимые серверы менее чем за 30 секунд».
« В течение ближайших двух лет могут случиться широкомасштабные взломы систем безопасности Web-служб. Последствия будут гораздо более серьезными, чем уничтоженные Web-сайты или похищенные кредитные карты, как это случалось в начале эпохи электронной коммерции. Теперь мы можем столкнуться с тем, что будут остановлены автоматизированные поточные линии, опустошаться банковские счета, разрываться цепочки поставок длиной в сотни компаний. Секреты фирм, внутренняя корпоративная информация окажутся под угрозой раскрытия» - говорит председатель совета директоров и исполнительный директор DataPower Technology Евгений Кузнецов.
Грегор Фрейнд, исполнительный директор Zone Labs считает: «Три - четыре года назад хакеры делали ставку на бессистемные атаки «наугад». Сейчас они в большей мере переориентировались на поражение сетей предприятий, которые содержат ценную интеллектуальную собственность. Количество таких атак растет, и каждая следующая становится изощреннее и пагубнее предыдущей. К 2005 году на счету таких атак будет более 75% финансовых потерь корпораций из-за прорех в системах информационной безопасности. В течение ближайших двух лет компаниям придется строить гораздо более сильную и сложную защиту на каждом узле сети, содержащем секретную информацию, а не полагаться на общие внешние системы безопасности».
Очевидно, что угроза нападений на корпоративные системы стала более чем реальной. Защита против такой угрозы потребует «упреждающих технологий», включающих опознавание программ-вирусов по «аномалиям» в их поведении (относительно обычных программ) а также систем по опознаванию и предотвращению проникновений в частные сети. О таких технологиях и пойдет речь в данном реферате. Также в этой работе я попытаюсь ответить на вопрос, смогут ли системы предотвращения несанкционированных проникновений в корпоративные ИТ-системы выполнить возложенную на них превентивную миссию и обеспечить заказчикам требуемый уровень безопасности.
1. Что такое IPS и IDS?
На сегодняшний день в сфере компьютерной безопасности существует два принципиально разных подхода к защите от проникновений в корпоративные сети. Первый и более старый из них это IDS (Intrusion Detection Systems, IDS). IDS – это система призванная обнаружить попытки проникновения в частную сеть и сообщить системному администратору о факте вторжения. Эта технология защиты информации используется довольно давно и уже завоевала популярность среди заказчиков.
Однако, многие аналитики считают, что сегодня существует более эффективный и удобный способ борьбы с хакерами. Эта система – Intrusion PreventionSystem, IPS.
Аббревиатура IPS в области информационной безопасности закреплена за системами и решениями, которые служат для предотвращения нападений. Под ней подразумевается набор технологий, которые появились на стыке межсетевых экранов и систем обнаружения нападений IDS. От межсетевых экранов в IPS взят принцип активного вмешательства в сетевое взаимодействие или поведение программ, а от IDS – интеллектуальные методы мониторинга происходящих событий. Таким образом, IPS не только обнаруживает нападения, но и пытается предотвратить их. В России решения IPS появились еще в составе межсетевых экранов или классических систем IDS. Сегодня, на рынке есть и специализированные продукты, такие как семейство аппаратных IPS компании NetScreen. Среди продуктов IPS аналитики выделяют пять типов компонентов, каждый из которых выполняет свои функции и может комбинироваться с другими.
Сетевая IDS.
Устройство, которое анализирует проходящие через него IP-пакеты, пытаясь найти в них признаки атаки по заранее определенным правилам и сигнатурам, называется сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они не только выискивают случаи ненормального и нестандартного использования сетевых протоколов, но и пытаются блокировать все несоответствия. Хотя NIDS и пользуется базой сигнатур известных атак, они могут также предотвратить и неизвестное им нападение, особенно если оно построено на аномальном использовании протоколов.
Коммутаторы седьмого уровня.
Сетевые устройства, которые определяют маршруты IP-пакетов в зависимости от типа приложения, называются коммутаторами седьмого уровня (приложений). Их можно использовать для разных целей: создание кластеров, балансировки нагрузки, раздельного хранения данных по типам, а также для защиты. Подозрительные пакеты такие устройства либо полностью уничтожают, либо перенаправляют на специальный сервер для дальнейшего анализа. Этот тип IPS хорошо отражает атаки, направленные на отказ в обслуживании и на совместный взлом нескольких служб.
Экран приложений.
Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложений (application firewall/IDS). Он отслеживает не сетевое взаимодействие, а поведение программ и библиотек, работающих с сетью. Такой экран может работать и по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся продукты, которые вначале запоминают штатную работу приложения, а в последствии фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные атаки, но их необходимо устанавливать на каждый компьютер и «переобучать» при изменении конфигурации приложений.
Гибридные коммутаторы.
Есть технологии, которые объединят в себе экраны приложений и коммутаторы седьмого уровня, - это гибридные коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, в начале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они могут отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется каждый раз переобучать заново при каждом изменении конфигурации системы.
Ловушки.
К категории IPS относятся также приложения-ловушки, которые пытаются активно вмешиваться в процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше всего комбинировать с коммутаторами – гибридными или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем для защиты.
Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которого хорошо дополняет другие. При этом они не конкурируют с уже существующими средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.
2. Профилактика получает одобрение.
Смогут ли системы предотвращения несанкционированных проникновений в корпоративные сети справится со своей задачей? Этим вопросом озабочены не только заказчики IPS, уже существующие и потенциальные, но и производители систем обнаружения проникновений, пытающиеся понять, каким образом справится с технологией, которая угрожает основам их бизнеса. Превосходство IPS по сравнению с IDS выделяется особенно ярко на фоне растущих требований клиентов к созданию более эффективных средств предотвращения несанкционированных вторжений в их сети. Но поскольку технологии становятся все сложнее, корпоративные клиенты чаще испытывают трудности при выявлении различий между «истинными» IPS и их упрощенными версиями, а также при интеграции IPS с различными элементами сетевых инфраструктур.
Роль работающих систем предотвращения вторжений трудно переоценить – многие специалисты по ИТ сегодня продолжают сегодня вынашивать систему профилактики атак, которые способны нанести компаниям очень серьезный ущерб. Эксперты в области безопасности предсказывают, что по мере совершенствования технологий IPS произойдет слияние систем IDS и межсетевых экранов, число механизмов IPS заметно увеличится, а производители средств анализа трафика и коммутирующего оборудования (в частности, Cisco Systems, F5 Networks и NortelNetworks) поведут борьбу за обладание короной IPS.
Некоторые аналитики, в том числе и специалисты компании Gartner, советуют своим клиентам воздержаться пока от крупных инвестиций в IDS и внимательно изучить все преимущества технологии IPS. «Организациям, уже вложившим в IDS серьезные средства и получившим якобы позитивные результаты, рекомендуем обратить внимание на производителей средств управление системами безопасности, в частности на компании ArcSight и NetForensics, - отметил вице-президент Gartner Джон Пескаторе. – Мы полагаем, что концепция IDS себя исчерпала. Она не представляет сегодня практически никакой ценности для корпоративных пользователей. Чтобы выжить, надо действовать быстрее, буквально со скорость прохождения информации по кабелю, и необходимо решать вопросы ложных срабатываний.