Жизненный цикл атаки (лекция 5)

1.

Жизненный цикл атаки
1
Высшая школа экономики - 2008

2.

Этап рекогносцировки
• информация о структуре и топологии ИС. Для
получения информации этого типа нарушитель
может воспользоваться стандартными утилитами
типа " traceroute ", входящими в состав
практически любой операционной системы (ОС).
Злоумышленник также может получить
необходимую ему информацию о структуре ИС
путём обращения к DNS -серверу, на котором могут
храниться данные о хостах ИС;
2
Высшая школа экономики - 2008

3.

Этап рекогносцировки
• информация о типе ОС, установленной в ИС. Один из
наиболее распространённых методов определения типа ОС
основан на том факте, что разные системы по-разному
реализуют требования стандартов RFC, в которых
определены правила взаимодействия на основе
различных сетевых протоколов. Таким образом, при
формировании одних и тех же сетевых запросов разные ОС
в ответ отправляют отличные друг от друга данные, на
основе которых можно с большой долей вероятности
определить характеристики используемой ОС.
3
Высшая школа экономики - 2008

4.

Этап рекогносцировки
• информация о типе прикладных сервисов,
присутствующих в ИС. Нарушитель может
определить какие сетевые сервисы и прикладное
ПО функционирует на хосте путём сканирования
открытых портов и анализа заголовков ответов,
полученных от этих служб;
4
Высшая школа экономики - 2008

5.

Этап рекогносцировки
• информация о зарегистрированных пользователях
ИС. Информация этого типа может быть получена
злоумышленником из базы данных SNMP MIB,
установленной на рабочих станциях и серверах ИС.
5
Высшая школа экономики - 2008

6.

Этап вторжения в ИС
Примеры:
• ошибочная конфигурация сетевых служб ИС
• наличие программного обеспечения без
установленных модулей обновления ( service
packs, patches, hotfixes )
• использование "слабых" и "нестойких" паролей
• отсутствие необходимых средств защиты
6
Высшая школа экономики - 2008

7.

Результат успешной реализации
стадии вторжения в ИС
В результате успешной реализации этой
стадии атаки нарушитель получает
несанкционированный доступ к ресурсам
атакованного хоста ИС, что позволяет ему
перейти к реализации следующей
стадии информационной атаки.
7
Высшая школа экономики - 2008

8.

Обнаружение
информационных атак
В качестве одного из базовых средств защиты
информационных ресурсов в настоящее время
выступают системы обнаружения атак (СОА),
позволяющие своевременно как выявлять, так
и блокировать атаки нарушителей, желающих
заполучить секреты компании.
8
Высшая школа экономики - 2008

9.

Обнаружение
информационных атак
Сбор
исходных
данных о
работе ИС
Анализ
собранных
данных
Обнаружение
атаки
Реагирование
на
выявленную
атаку
9
Высшая школа экономики - 2008

10.

Обнаружение информационных атак
Процесс обнаружения информационных атак начинается со
сбора исходных данных, необходимых для того, чтобы
сделать вывод о проведении атаки в ИС. Примерами таких
данных являются:
• сведения о пакетах данных, передаваемых в ИС;
• информация о производительности программноаппаратного обеспечения ИС (вычислительная нагрузка на
процессор хостов ИС, загруженность оперативной памяти,
скорость работы прикладного ПО и др.);
• сведения о доступе к файлам ИС;
• информация о регистрации новых пользователей в ИС и др.
10
Высшая школа экономики - 2008

11.

Специализированные
датчики СОА
СОА может включать в себя два типа датчиков сетевые и хостовые.
Сетевые датчики предназначены для сбора
информации о пакетах данных, передаваемых в
том сегменте ИС, где установлен датчик.
Хостовые же датчики устанавливаются на
определённые компьютеры в ИС и предназначаются
для сбора информации о событиях, возникающих на
этих компьютерах.
11
Высшая школа экономики - 2008

12.

Анализ данных
Анализ данных может проводиться при помощи
двух основных групп методов - сигнатурных и
поведенческих.
12
Высшая школа экономики - 2008

13.

Сигнатурные методы
Сигнатурные методы описывают каждую атаку в виде
специальной модели или сигнатуры. В
качестве сигнатуры атаки могут выступать: строка
символов, семантическое выражение на специальном
языке, формальная математическая
модель др. Алгоритм работы сигнатурного метода
заключается в поиске сигнатур атак в исходных данных,
собранных сетевыми и хостовыми датчиками СОА.
13
Высшая школа экономики - 2008

14.

Сигнатурные методы
В случае обнаружения искомой сигнатуры, СОА
фиксирует факт информационной атаки, которая
соответствует найденной сигнатуре.
Преимуществом сигнатурных методов является их
высокая точность работы, а очевидным
недостатком - невозможность обнаружения тех
атак, сигнатуры которых не определены при
помощи методов.
14
Высшая школа экономики - 2008

15.

Поведенческие методы
Принцип работы поведенческих
методов заключается в обнаружении
несоответствия между текущим режимом
функционирования ИС и моделью
штатного режима работы, заложенной в
параметрах метода. Любое такое
несоответствие рассматривается
как информационная атака.
15
Высшая школа экономики - 2008

16.

Поведенческие методы
Преимуществом методов данного типа является
возможность обнаружения новых атак без
необходимости постоянного изменения параметров
функционирования модуля. Недостатком же этой
группы методов является сложность создания
точной модели штатного режима
функционирования ИС.
16
Высшая школа экономики - 2008

17.

Сигнатурные методы атак
Наиболее распространённым сигнатурным
методом выявления атак является метод контекстного
поиска определённого множества символов в исходных
данных.
Так, например, для выявления атаки на Web -сервер,
направленной на получение
несанкционированного доступа к файлу паролей,
необходимо при помощи этого метода
провести поиск последовательность символов "GET
*/etc/passwd" в заголовке HTTP -запроса.
17
Высшая школа экономики - 2008

18.

Сигнатурные методы атак
Использование контекстного поиска в сигнатурном
анализе позволяет эффективно выявлять атаки на
основе анализа сетевого трафика, поскольку
данный метод позволяет наиболее точно задать
параметры сигнатуры, которую необходимо
выявить в потоке исходных данных.
18
Высшая школа экономики - 2008

19.

Сигнатурные методы
В ряде академических СОА были реализованы ещё
два типа сигнатурных методов - метод анализа
состояний и метод, базирующийся на экспертных
системах.
19
Высшая школа экономики - 2008

20.

Метод анализа состояний
Метод анализа состояний
формирует сигнатуры атак в виде
последовательности переходов ИС из одного
состояние в другое. При этом каждый такой переход
связан с наступлением в ИС определённых событий,
которые определяются в параметрах сигнатуры
атаки.
20
Высшая школа экономики - 2008

21.

Метод анализа состояний
Как правило, сигнатуры атак, созданные на основе
метода анализа состояний, описываются при
помощи математических аппаратов
конечных автоматов или сетей Петри.
21
Высшая школа экономики - 2008

22.

Сеть Петри
22
Высшая школа экономики - 2008

23.

Методы, базирующиеся на
экспертных системах
Методы выявления атак, базирующиеся
на экспертных системах, позволяют описывать
модели атак на естественном языке с высоким
уровнем абстракции. Экспертная система,
лежащая в основе методов этого типа, состоит
из базы фактов и базы правил. Факты
представляют собой исходные данные о работе ИС,
а правила - методы логического вывода об атаке на
основе имеющейся базы фактов.
23
Высшая школа экономики - 2008

24.

Методы, базирующиеся на
экспертных системах
Все правила экспертной системы записываются в
формате "если <...>, то <...>". Результирующая база
правил должна описывать характерные признаки
атак, которые должна обнаруживать СОА.
24
Высшая школа экономики - 2008

25.

Сигнатурные методы
Одной из наиболее перспективных
групп сигнатурных методов выявления атак
являются методы, основанные на биологических
моделях. Для описания таких моделей могут
использоваться генетические или нейросетевые
алгоритмы.
25
Высшая школа экономики - 2008

26.

Генетические алгоритмы
В случае применения генетических алгоритмов для выявления атак
в качестве элементов популяции
выступают вектора определённой длины, каждый элемент
которых соответствует определённой атаке. В результаты развития
такой популяции можно получить оптимальный вектор, который
будет указывать на то, какие атаки происходят в системе в
текущий момент времени.
26
Высшая школа экономики - 2008

27.

Нейросетевой метод
Нейросетевой метод выявления атак основан на
создании сети взаимосвязанных друг с
другом искусственных нейронов, при этом
каждый нейрон представляет собой
пороговый сумматор. После
создания нейросеть проходит период "обучения", в
течение которого она учится распознавать
определенные типы атак. В процессе обучения на вход
нейросети вводятся данные, являющиеся признаком
определённой атаки, после
чего коэффициенты нейросети настраиваются таким
образом, чтобы на выходе она смогла определить
тип атаки.
27
Высшая школа экономики - 2008

28.

Поведенческие методы
выявления атак
Наиболее часто поведенческий метод реализуется на основе
статистических моделей. Эти модели определяют статистические
показатели, которые характеризуют параметры штатного
поведения системы. Если с течением времени эти параметры
отклоняются от своих заданных значений, то метод позволяет
сделать вывод о факте реализации атаки.
28
Высшая школа экономики - 2008

29.

Штатные параметры системы
• уровень загруженности процессора
• загрузка каналов связи ИС
• штатное время работы пользователей системы
• количество обращений пользователей к сетевым ресурсам ИС и
др.
29
Высшая школа экономики - 2008

30.

Поведенческий метод
Поведенческий метод может быть также реализован при помощи
экспертных систем. При этом база правил такой системы
описывает штатное поведение ИС. Так, например, при помощи
экспертной системы можно точно специфицировать
взаимодействие между хостами ИС по определенному протоколу в
соответствии с действующими стандартами.
30
Высшая школа экономики - 2008

31.

Практические аспекты
применения методов выявления
атак
31
Высшая школа экономики - 2008

32.

Стадия рекогносцировки
Для выявления атаки на стадии рекогносцировки, на котором
осуществляется сбор информации об ИС, эффективно могут
использоваться только сигнатурные методы выявления атак.
32
Высшая школа экономики - 2008

33.

Стадия вторжения в ИС
Обнаружение атаки на стадии вторжения в ИС возможно как при
помощи сигнатурных, так и при помощи поведенческих методов.
Это объясняется тем, что с одной стороны
любое вторжение характеризуется определёнными признаками,
которые могут быть представлены в виде сигнатуры, а другой
стороны это же вторжение может также быть описано как
некоторое отклонение от штатного поведения ИС.
33
Высшая школа экономики - 2008

34.

Стадия атакующего
воздействия
Эффективное выявление атак на стадиях атакующего воздействия
и развития атаки возможно при помощи поведенческих методов,
поскольку действия нарушителей на этих этапах могут сильно
варьироваться в зависимости от целей проводимой атаки и
поэтому не могут быть однозначно определены фиксированным
множеством сигнатур атак.
34
Высшая школа экономики - 2008

35.

Краткие итоги
Можно ли выявить вторжение в информационную систему? Ответ
однозначен - можно. Однако это "можно" подразумевает то, что
обнаружение информационных атак на ресурсы ИС является
весьма сложным технологическим процессом, который связан со
сбором необходимых данных о процессе функционирования ИС, их
анализом и, наконец, выявлением факта атаки.
35
Высшая школа экономики - 2008

36.

Типы информационных атак
36
Высшая школа экономики - 2008

37.

Инструментальный анализ защищенности
Для чего предназначен:
• Инвентаризация ресурсов сети (устройства, ОС,
службы, ПО)
• Идентификация и анализ технологических уязвимостей
• Подготовка отчетов, описание проблем и методов
устранения
Типы используемых для анализа средств:
• Сетевые сканеры безопасности
• Хостовые сканеры безопасности (проверка ОС и
приложений)
• Утилиты удаленного администрирования
• Утилиты для верификации найденных уязвимостей
• Утилиты для инвентаризации ресурсов
37
Высшая школа экономики - 2008

38.

Сбор информации
• Сетевые датчики предназначены для сбора информации о
пакетах данных, передаваемых в том сегменте ИС, где установлен
датчик
• Хостовые датчики устанавливаются на определённые
компьютеры в ИС и предназначаются для сбора информации о
событиях, возникающих на этих компьютерах
38
Высшая школа экономики - 2008

39.

Анализ информации
• Сигнатурные методы описывают каждую атаку в виде
специальной модели или сигнатуры. В качестве сигнатуры атаки
могут выступать:
• строка символов
• семантическое выражение на специальном языке
• формальная математическая модель и т.д.
• Поведенческие методы отслеживают несоответствия между
текущим режимом функционирования ИС и моделью штатного
режима работы, заложенной в параметрах метода
39
Высшая школа экономики - 2008

40.

Система предотвращения вторжений
• Основанная на сигнатурах
• Определяет и противостоит атакам из интернета,
основанным на уязвимостях
• Определяет и предупреждает о «внутренних»
компьютерах, которые ведут атаки
• Основанная на анализе поведения
• «Найди то, не знаю что»
• Отслеживает поведение систем и определяет
потенциально зловредные компоненты сети
• Может противодействовать угрозе на основании
политики
40
Высшая школа экономики - 2008