Рисунок 1. Защитные рубежи, контролируемые системами активного аудита.
Высшая цель прилежного коммерсанта заключается в том, чтобы не только содрать с клиента шкуру, но и заставить его благодарить за это.
Э.М. Ремарк. "Тени в раю"
Формула "защищать, обнаруживать, реагировать" (по-английски это звучит лучше: "protect, detect, react") является классической. Только эшелонированная, активная оборона, содержащая разнообразные элементы, дает шанс на успешное отражение угроз.
Назначение активного аудита — обнаруживать и реагировать. Как указывалось во введении, обнаружению подлежит подозрительная активность компонентов информационной системы (ИС) — от пользователей (внутренних и внешних) до программных систем и аппаратных устройств.
Подозрительную активность можно подразделить на злоумышленную и аномальную (нетипичную). Злоумышленная активность — это либо атаки, преследующие цель несанкционированного получения привилегий, либо действия, выполняемые в рамках имеющихся привилегий (возможно, полученных незаконно), но нарушающие политику безопасности. Последнее мы будем называть злоупотреблением полномочиями. Нетипичная активность может впрямую не нарушать политику безопасности, но, как правило, она является следствием либо некорректной (или сознательно измененной) работы аппаратуры или программ, либо действий злоумышленников, маскирующихся под легальных пользователей.
Активный аудит дополняет такие традиционные защитные механизмы, как идентификация/аутентификация и разграничение доступа. Подобное дополнение необходимо по двум причинам. Во-первых, существующие средства разграничения доступа не способны реализовать все требования политики безопасности, если последние имеют более сложный вид, чем разрешение/запрет атомарных операций с ресурсами. Развитая политика безопасности может накладывать ограничения на суммарный объем прочитанной информации, запрещать доступ к ресурсу B, если ранее имел место доступ к ресурсу A, и т.п. Во-вторых, в самих защитных средствах есть ошибки и слабости, поэтому, помимо строительства заборов, приходится заботиться об отлавливании тех, кто смог через эти заборы перелезть.
Развитые системы активного аудита несут двойную нагрузку, образуя как первый, так и последний защитные рубежи (см. Рис. 1 ). Первый рубеж предназначен для обнаружения атак и их оперативного пресечения. На последнем рубеже выявляются симптомы происходящих в данный момент или ранее случившихся нарушений политики безопасности, принимаются меры по пресечению нарушений и минимизации ущерба.
И на первом, и на последнем рубеже, помимо активного аудита, присутствуют другие сервисы безопасности. К первому рубежу можно отнести сканеры безопасности, помогающие выявлять и устранять слабые места в защите. На последнем рубеже для обнаружения симптомов нарушений могут использоваться средства контроля целостности. Иногда их включают в репертуар систем активного аудита; мы, однако, не будем этого делать, считая контроль целостности отдельным сервисом.
Между сервисами безопасности существуют и другие связи. Так, активный аудит может опираться на традиционные механизмы протоколирования. В свою очередь, после выявления нарушения зачастую требуется просмотр ранее накопленной регистрационной информации, оценить ущерб, понять, почему нарушение стало возможным, спланировать меры, исключающие повторение инцидента. Параллельно производится надежное восстановление первоначальной (то есть не измененной нарушителем) конфигурации.
Отдельным вопросом является взаимодействие систем активного аудита и управления. Активный аудит выполняет типичные управляющие функции — анализ данных об активности в информационной системе, отображение текущей ситуации, автоматическое реагирование на подозрительную активность. Сходным образом функционирует, например, подсистема сетевого управления. На наш взгляд, целесообразно интегрировать активный аудит и "общее" управление, в максимально возможной степени используя общие программно-технические и организационные решения. В эту интегрированную систему может быть включен и контроль целостности, а также агенты другой направленности, отслеживающие специфические аспекты поведения ИС (см. Рис. 2 ).
С логической точки зрения можно считать, что существует центральная консоль управления, куда стекаются данные от систем активного аудита, контроля целостности, анализа защищенности, контроля систем и сетей по другим аспектам. На этой консоли в том или ином виде отображается текущая ситуация, с нее, автоматически или вручную, выдаются управляющие команды. В силу технических или организационных причин эта консоль физически может быть реализована в виде нескольких рабочих мест (с выделением, например, места администратора безопасности), но суть дела от этого не меняется.
К сближению управления и сервисов безопасности движутся обе стороны. Так, в продукте компании Computer Associates CA-Unicenter (см. [6] ) имеется мощная подсистема управления безопасностью, а новейшая разработка — нейроагенты — использует методы, типичные при выявлении подозрительной активности.
С другой стороны, один из самых известных специалистов в области информационной безопасности Маркус Ранум (Markus Ranum) призывает "безопасников" отказаться от трактовки их дисциплины как чего-то изолированного от сетевого управления. "Обнаружение ошибок, вторжений или отказов — все это аспекты единой проблемы управления сетями" — указывает он (см. [7] ).
Сам Ранум следует собственным рекомендациям, рассматривая продукт для активного аудита NFR (Network Flight Recorder) как компонент системы сетевого управления с соответствующей реализацией.
В последующих разделах мы еще не раз будем затрагивать архитектурные вопросы, без решения которых невозможно создать результативную, гибкую, масштабируемую систему активного аудита.
|
|
|
| Активный аудит | Содержание | Методы проведения активного аудита |
| Copyright ╘ 1993-2000, Jet Infosystems |
