Все связи на этой земле распались. И имена потеряли смысл. Остался лишь мир, полный угрозы, мир, лишенный имени и потому таивший в себе безымянные опасности, которые подстерегали тебя на каждом шагу. Опасности эти не обрушивались на человека сразу, не хватали его за горло, не валили с ног — нет, они были куда ужасней, ибо они подкрадывались беззвучно, незаметно.
Э.М. Ремарк. "Тени в раю"
Статьи по информационной безопасности принято начинать с нагнетания страстей. Мы не станем отступать от этой недоброй традиции.
В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет "Компьютерная преступность и безопасность-1999: проблемы и тенденции" ("Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey"), подготовленный Институтом компьютерной безопасности (Computer Security Institute, CSI) во взаимодействии с отделением Федерального бюро расследований по Сан-Франциско (см. [1] ).
В отчете констатируется резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных). 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками. Атакам через Интернет подвергались 57% опрошенных. 55% отметили нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос "были ли взломаны ваши Web-серверы и системы электронной коммерции за последние 12 месяцев?" ответили "не знаю".
Столь же тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 года (см. [2] ). Лишь 22% заявили об отсутствии нарушений информационной безопасности. Наряду с распространением вирусов отмечен резкий рост числа внешних атак.
К сожалению, не составляет труда продолжить эту мрачную статистику, однако, на наш взгляд, для первичной оценки общей картины приведенных цифр вполне достаточно.
Увеличение числа атак — это только одно из зол (вероятно, меньшее). Хуже то, что постоянно обнаруживаются новые слабости в программном обеспечении и, как следствие, появляются новые способы проведения атак. Так, в информационном письме Национального центра защиты инфраструктуры США (National Infrastructure Protection Center, NIPC) от 21 июля 1999 года сообщается, что за период с 3 по 16 июля 1999 года выявлено девять проблем с ПО, риск использования которых оценивается как средний или высокий (общее число обнаруженных слабостей равно 17, см. [3] ). Среди "пострадавших" операционных платформ — почти все разновидности ОС Unix, Windows, MacOS, так что никто не может чувствовать себя спокойно, поскольку новые слабости тут же начинают интенсивно эксплуатироваться.
В таких условиях системы информационной безопасности должны уметь противостоять многочисленным, разнообразным атакам, ведущимся изнутри и извне, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание слабостей ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение доступности, целостности или конфиденциальности.
Темой настоящей статьи является относительно новый сервис безопасности — активный аудит (систематическое рассмотрение сервисов безопасности можно найти, например, в [4] ). Активный аудит направлен на выявление подозрительной (злоумышленной и/или аномальной) активности с целью оперативного принятия ответных мер. С этим сервисом связываются надежды на существенное повышение защищенности корпоративных информационных систем (может быть, потому, что недостаточность более традиционных механизмов, к сожалению, доказана практикой).
Позволим себе привести еще несколько цифр. По данным исследовательского органа конгресса США, General Accounting Office (GAO), в 1996 финансовом году на федеральные компьютерные системы было предпринято около 250 тысяч атак, 65% которых (160 тысяч) оказались успешными (см. [5] ). Это плохо, как плохо и то, что число атак каждый год удваивается. Но гораздо хуже, что было выявлено лишь 4% успешных атак, из которых только о 27% были составлены доклады. Очевидно, нужно снижать процент успешных атак (если нет возможности повлиять на их общее число) и резко увеличивать процент "раскрываемости". Активный аудит может помочь в достижении обеих целей.
Данная статья основана как на изучении многочисленных зарубежных и (менее многочисленных) отечественных источников, так и на личном опыте автора, полученном при создании и пробной эксплуатации системы активного аудита в НИИ системных исследований Российской академии наук.
Для русскоязычных публикаций по информационным технологиям традиционно трудной является терминологическая проблема. Мы предлагаем "активный аудит" в качестве эквивалента английского "intrusion detection" (выявление вторжений). На наш взгляд, термин "активный аудит" верно отражает суть дела и даже содержит некоторый запас общности по сравнению "intrusion detection", поскольку речь идет не только о выявлении, но и об отражении вторжений.
|
|
||
| Активный аудит и его место среди других сервисов безопасности |
| Copyright ╘ 1993-2000, Jet Infosystems |