Рисунок 8. Логическая структура тестовой сети лаборатории AFRL.
Тестировать и оценивать системы активного аудита трудно. Во-первых, не ясно, как составить реалистичную смесь лояльных и злоумышленных действий и видоизменять ее при появлении новых угроз. Во-вторых, подобную смесь не так просто "подать" в реальном времени в распределенную систему, в сеть и на хосты, обеспечивая при этом воспроизводимость результатов. Возможно, в силу перечисленных трудностей данной теме посвящено весьма небольшое число работ, в то время как важность проблемы трудно переоценить. Действительно, что же получает заказчик системы активного аудита? Каков процент "раскрываемости" злоумышленных действий? Какова предполагаемая частота ложных тревог? Какую нагрузку выдерживает система? Проще говоря, окупаются ли затраты на выявление подозрительной активности? Обычно поставщики не затрудняют себя ответами на подобные вопросы.
К счастью, иного мнения придерживаются в Управлении перспективных исследований и разработок Министерства обороны США (Defence Advanced Research Projects Agency, DARPA), финансирующем более двадцати (!) проектов в области активного аудита. Там решили понять, каких результатов добились их "подопечные", и поручили Исследовательской лаборатории ВВС США (Air Force Research Laboratory, AFRL, кстати сказать, курирующей свыше 10 миллионов казенных долларов, вложенных в данное направление) разработать тестовую архитектуру и процедуру оценки систем активного аудита. Каждые полгода лаборатория AFRL должна публиковать полученные результаты.
Пока проведено одно тестирование и его нельзя считать всеобъемлющим, но результаты, приведенные в статье [26] , на наш взгляд, представляют исключительный интерес.
Прежде всего, в AFRL создали тестовую конфигурацию и соответствующее программное обеспечение. За образец была взята типичная для военных организаций сеть городского масштаба (MAN). На Рис. 8 приведена логическая, а на Рис. 9 — физическая структура тестовой сети. Имитация присутствия дополнительных логических компонентов осуществляется программными средствами.
Важно отметить, что имитируются как внешние, так и внутренние атаки (на Рис. 9 присутствуют два генератора трафика, каждый из которых видится остальным узлам как множество хостов, соответственно, внешних и внутренних). Очень часто основное внимание служб безопасности сосредоточено на внешних подключениях, что методически неверно. Внутренние злоумышленники гораздо опаснее внешних.
Для тестирования был заготовлен четырехчасовой трафик, включающий типичную смесь протоколов: HTTP (66%), SMTP (13%) и т.д. На этом фоне проводилось 30 атак, которые грубо можно примерно поровну разделить на четыре категории:
Все атаки (в том числе получение привилегий суперпользователя) проводились по сети, чтобы в принципе их можно было обнаружить путем анализа перехваченных сетевых пакетов.
Фактически в тесте проверялись четыре системы активного аудита: одна коммерческая из числа широко используемых в военных организациях, а также три наиболее продвинутые разработки, финансируемые DARPA. Названия систем в статье [26] не приводятся, что, на наш взгляд, не имеет большого значения, поскольку тестировалось лучшее из имеющегося.
Все тестируемые системы использовали сигнатурный подход. Коммерческая система была чисто сетевой, с поиском в сетевых пакетах определенных цепочек байт; ее поместили у межсетевого экрана, как обычно и поступают в военных организациях. Одна исследовательская система включала сетевые и хостовые компоненты, две другие были чисто хостовыми. Если какая-то система не могла видеть часть атак, то считалось, что это ее проблемы (как, впрочем, и проблемы тех, кто подобные системы использует в меру своей квалификации и финансовых возможностей).
По результатам тестирования вычислялись два показателя: процент ложных тревог (по отношению к общему числу сеансов сетевого взаимодействия) и процент обнаруженных атак (разумеется, чтобы не вносить помех, реакция на атаки была отключена). У коммерческой системы можно было варьировать коэффициент подозрительности, повышая "раскрываемость" вместе с числом ложных тревог; исследовательские системы действовали безусловно: либо атака выявляется, либо нет.
Коммерческая система при доле ложных тревог в 1% (дальше повышать ее, очевидно, бессмысленно) выявила приблизительно 12% атак. У исследовательских систем доля ложных тревог оказалась заметно меньше: 0% у одной и менее 0.1% у двух других. Доля обнаруженных атак составила, соответственно, примерно 14%, 18% и 25%. Даже если поставить все четыре системы и сложить приходящиеся на них проценты, до сотни окажется далековато...
Кроме количественных, обращают на себя внимание следующие качественные результаты:
Еще раз подчеркнем, что выводы, сделанные после первого тестирования, не претендуют на окончательность. Нужно увеличивать число атак, число тестируемых систем, варьировать способы проведения атак (кстати сказать, для начала системы активного аудита были поставлены в тепличные условия: трафик не шифровался, с большинством планируемых атак разработчики исследовательских систем имели возможность ознакомиться заранее). С другой стороны, под давлением разработчиков какие-то приемы тестирования могут быть отвергнуты как "нечестные". Тем не менее, приведенные результаты настолько далеки от идеала, что едва ли "дыру" можно залатать добавлением подсистем выявления аномальной активности. Впрочем, подождем следующих результатов. Тогда прояснится не только текущая ситуация, но и тенденции.
|
|
|
| Примеры систем активного аудита | Содержание | Заключение |
| Copyright ╘ 1993-2000, Jet Infosystems |
