Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Альтернативные методы защиты информации

Выше мы говорили о том, что основу ЗИ составляет реализация с соответствующими целями методов контроля доступа субъектов к объектам. Альтернативным решением является реализация сканеров безопасности. Их принципиальным отличием является реализация метода контроля, но уже не контроля и разграничения прав доступа, а контроля событий, которые происходят в ИС и, исходя из каких-либо соображений, могут быть отнесены либо к санкционированным, либо к аномальным или опасным.

Выявление подобного события интерпретируется как потенциально опасное состояние системы. Система защиты должна при этом в автоматическом либо в автоматизированном (администратором безопасности) режиме реализовать соответствующую реакцию, направленную на устранение аномалии или опасности.

Сканеры безопасности могут существенно различаться по решаемым ими функциональным задачам защиты, но все они реализуют общий метод защиты — отслеживают происходящие в системе события, по каким-либо признакам, заданым правилами контроля событий, относят некоторые из них к аномальным/опасным, после чего устраняют выявленную аномалию или опасность.

Признак аномальности/опасности события задают в СЗИ соответствующим правилом, или сигнатурой.

К подобным сканерам безопасности, например, можно отнести системы антивирусной защиты. В качестве признака аномальности/опасности здесь выступает сигнатура вируса. По каким-либо правилам системой защиты осуществляется сканирование файлов с целью выявления в них соответствующих признаков. В качестве реакции на выявленное событие файлы либо «лечатся» — из них удаляется опасный код, либо помещаются в карантин для последующего анализа.

С точки зрения реализации повышенного уровня защиты в качестве подобного сканера безопасности можно рассмотреть так называемые системы обнаружения (в общем случае, обнаружения и предотвращения) вторжений. Рассмотрим общий подход к построению сканеров безопасности на их примере, т.е. опять же рассмотрим решение ключевой задачи системы повышенного уровня защиты — задачи обнаружения вторжений, но уже не посредством реализации в СЗИ процессной модели контроля доступа, а альтернативным методом, реализуемым сканером безопасности.

Замечание. Естественно, предполагаем, что сканер безопасности используется совместно (в дополнение) с СЗИ базового уровня защиты, реализующей ролевую и (или) сессионную модель контроля доступа.

Обобщенная структура сканера безопасности

Рис. 3.7. Обобщенная структура сканера безопасности

Обобщенная структура сканера безопасности представлена на рис. 3.7.

В системах обнаружения вторжений логически выделяют следующие основные элементы — подсистему сбора информации, подсистему анализа и модуль представления данных (см. рис. 3.7):

  • • подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы;
  • • подсистема анализа (обнаружения) осуществляет с использованием соответствующих признаков поиск вторжений в защищаемую систему;
  • • подсистема представления данных (пользовательский интерфейс) позволяет администратору следить за состоянием защищаемой системы и, при необходимости, реализовывать соответствующую реакцию на зафиксированное вторжение.

Подсистема сбора информации аккумулирует данные о работе ИС. Для сбора информации используются автономные модули — датчики. Количество используемых датчиков различно и зависит от специфики системы. Датчики в системе обнаружения вторжений принято классифицировать по характеру собираемой информации. В соответствии с общей структурой ИС выделяют следующие их типы:

  • • датчики приложений — сбор данных о работе программного обеспечения защищаемой системы;
  • • датчики хоста — сбор данных о функционировании рабочей станции защищаемой системы;
  • • датчики сети — сбор данных для оценки сетевого трафика;
  • • межсетевые датчики — сбор данных для оценки сетевого трафика, циркулирующих между сетями.

Система обнаружения вторжений в общем случае может включать любую комбинацию приведенных типов датчиков.

Системы обнаружения вторжений подразделяют на сетевые (анализируют сетевой трафик, в первую очередь на наличие вредоносных воздействий на целевую систему) и уровня хоста, которые мы далее рассмотрим.

Отметим, что в общем случае система обнаружения вторжений уровня хоста — это не что иное, как поведенческий анализатор (анализатор действий процессов в системе).

В общем случае можно выделить два вида сканеров безопасности этого типа, принципиально отличающихся тем, признаки событий какого тина ими контролируются — аномальных или опасных.

Контроль аномальных событий не связан с использованием в системе каких-либо дополнительных средств защиты. Контроль реализуется посредством анализа различных журналов аудита системных средств и приложений. Поскольку анализируются не журналы безопасности (их в данном случае анализировать нет смысла, так как эти журналы ведут соответствующие средства контроля и разграничения нрав доступа — это уже иная система защиты), с помощью подобного анализа можно выявлять события, отнесенные на основании некоторых признаков к аномальным, например фиксируемые в журналах ошибки работы системы и приложений.

Поскольку датчиками фиксируются не события безопасности, основной задачей построения подобных систем защиты от вторжений является создание соответствующих признаков (сигнатур), позволяющих позиционировать некоторые совокупности аномального поведения системы и приложений как потенциально возможное вторжение. Другими словами, опасное событие в данном случае определяется по некоторой совокупности аномальных событий, выявляемых по совокупности исходно заданных сигнатур.

Недостатки подобного подхода к построению систем обнаружения вторжений, в общем случае, подобного подхода к построению сканеров безопасности, достаточно очевидны:

  • • очень сильное влияние на загрузку вычислительного ресурса. Это обусловлено необходимостью регистрации системой и приложениями массы событий, напрямую никак не связанных с безопасностью системы, и необходимостью анализа в реальном времени больших объемов данных. При этом необходим взаимосвязанный одновременный анализ множества журналов аудита, так как но каждому журналу по отдельности можно зафиксировать аномальное событие (по соответствующей сигнатуре), и в общем случае, только по совокупности соответствующих аномальных событий — вторичных признаков (по сигнатуре вторжения) можно выявить опасное событие;
  • • высокая вероятность ошибок первого и второго рода, что ограничивает на практике возможность реализации автоматической реакции на выявленное вторжение. Естественно, что снижения нагрузки, создаваемой подобным сканером безопасности, можно добиться исключительно уменьшением либо объема анализируемых данных (анализируемых журналов и, соответственно, датчиков), либо признаков, используемых для их анализа (сигнатур). В обоих случаях это неминуемо приведет к росту ошибок первого рода — к снижению эффективности выявления вторжений по вторичным признакам на основе анализа аномалий.

Важно и то, что далеко не всегда переход системы в опасное состояние связан с каким-либо аномальным событием. В системе и в приложениях существует множество штатных возможностей, несанкционированное использование которых несет в себе угрозу атаки. Например, штатная возможность системы, служба олицетворения (impersonation), позволяет процессу, запущенному с правами одного пользователя, запросить у системы смену прав и отождествить себя с другим пользователем, т.е. далее запрашивать доступ к объектам уже с правами другого пользователя. Это штатная возможность, не связанная с какими-либо аномалиями в системе. Вместе с тем подобное событие при его несанкционированном возникновении в системе можно отнести к опасным. Подобных примеров много.

Все сказанное позволяет сделать вывод об основном противоречии использования рассмотренного подхода при построении сканеров безопасности — нагрузка на вычислительный ресурс, создаваемая сканером безопасности, напрямую зависит от эффективности защиты. Система защиты может эффективно решать задачи обнаружения вторжений, но о решении этой задачи в реальном времени говорить не приходится. Это делает практическое использование подобного сканера бесполезным. Возможна и обратная ситуация: снижение нагрузки на вычислительный ресурс позволит использовать сканер безопасности в режиме, близком к реальному масштабу времени, но эффективность обнаружения вторжений станет очень низкой. Это опять же, но уже по иным причинам, позволяет говорить о бесполезности подобного технического решения.

Говорить о рассмотренном подходе к ЗИ как об альтернативе реализации процессной модели контроля доступа не приходится, поскольку в данном случае скорее следует рассматривать вопрос о целесообразности применения подобных решений.

Ответ же на вопрос о том, как построить эффективный сканер безопасности, на самом деле, один — осуществлять контроль не аномальных, а опасных событий. Очевидным отличием подобного подхода к построению сканера безопасности будет являться то, что он требует реализации не пассивных датчиков, осуществляющих анализ журналов аудита на наличие аномалий поведения системы и приложений, а активных — соответствующих средств ЗИ 117]. Рассмотрим создание такого сканера на примере построения системы защиты от вторжений.

Датчики в данном случае — это уже средства защиты, в том числе и прикладного уровня, и их целью является не предотвращение какого-либо опасного события, что реализуется разграничительной политикой доступа, а его обнаружение постфактум с соответствующей последующей реакцией. Проиллюстрируем сказанное на примере. Рассмотрим решение задачи контроля запускаемых в ИС процессов, реализуемого с целью обеспечения замкнутости (или локализации) программной среды [17]. Контролируемым опасным событием в данном случае является запуск несанкционированной программы.

Реализацией контроля и разграничения прав доступа разрешается запуск только определенных программ (либо программ из определенных папок), которые разграничительной политикой доступа запрещается модифицировать. В результате этого исполняться могут только санкционированные программы.

Совершенно иным способом решается эта задача при контроле опасных событий сканером безопасности. В данном случае уже осуществляется контроль запущенных процессов (системных и прикладных), определяемых средством защиты. Автоматической реакцией средства защиты на обнаружение запущенного несанкционированного процесса будет его принудительное завершение.

Список контролируемых типов опасных событий в общем случае может быть весьма внушительным — контроль заведенных в системе учетных записей, контроль запущенных в системе (или пользователем) процессов, контроль набора программ, запускаемых в режиме автозапуска, контроль соответствия того, под какой учетной записью функционирует процесс, тому, под какой учетной записью он был запущен, контроль изменения пароля, задаваемого для входа пользователя в систему, контроль подключенных к системе локальных устройств, файловых накопителей и многое другое. Завершается данный список контролем целостности (неизменности) определенных файловых объектов, в первую очередь системных, и объектов реестра ОС. При этом применительно к контролю каждого опасного события может реализовываться своя реакция, в зависимости от контролируемого события и его потенциальной опасности, например блокировка работы компьютера или какой-либо учетной записи, завершение процесса, восстановление контролируемого файла из резервной копии и т.д.

Данный подход к построению сканера безопасности можно позиционировать как контроль событий на соответствие заданным спискам санкционированных событий, поскольку при реализации контроля должна использоваться разрешительная политика контроля. Контролируемые события должны сопоставляться со списками санкционированных (разрешенных) событий, при этом выявляемые несанкционированные события интерпретируются как опасные. При их выявлении СЗИ реализует соответствующую автоматическую реакцию. Обобщенная структура сканера безопасности, приведенная на рис. 3.7, в данном случае уже имеет вид, представленный на рис. 3.8.

Таким образом, в отличие от рассмотренного ранее подхода к построению сканера безопасности, в данном случае уже контролируется не возникновение в системе неких вторичных признаков (аномалий), на основании которых с определенной достоверностью (вероятностью) можно сделать предположение о вторжении, а возникновение несанкционированных событий — опасных событий. Это уже однозначно позволяет идентифицировать вторжение и автоматически реагировать на него. В качестве же анализируемых признаков здесь выступают не некие сигнатуры, которые требуется систематически обновлять в процессе функционирования ИС, а правила определения санкционированных событий, единожды задаваемые при настройке СЗИ. Корректировать эти правила, если потребуется, следует при выявлении новых угроз атак, актуальных для защищаемой ИС.

Обобщенная структура сканера безопасности, реализующего контроль санкционированное™ происходящих в системе событий

Рис. 3.8. Обобщенная структура сканера безопасности, реализующего контроль санкционированное™ происходящих в системе событий

Немаловажным для потребителя подобной СЗИ является понимание того, какие именно задачи защиты решаются — для него подобная система защиты не является «черным ящиком» с неким набором недоступных для понимания сигнатур, контроль реализуется на соответствие правилам, которые им могут быть заданы и проанализированы.

Если же говорить о влиянии работы сканера на загрузку вычислительного ресурса, то она в данном случае несопоставимо ниже, чем при отслеживании аномалий поведения ИС, так как не требует анализа в реальном времени больших объемов данных.

С учетом всего сказанного можем заключить, что именно данный принцип контроля — контроль системы на наличие в ней возникших опасных событий, должен реализовываться при построении сканеров безопасности.

Теперь, на примере решения задачи защиты от вторжений, ответим на следующий принципиальный вопрос — может ли построенный подобным образом сканер безопасности рассматриваться как решение, альтернативное реализации методов контроля и разграничения прав доступа. Ответ очевиден — в общем случае нет. Данные подходы к защите имеют принципиально различное назначение. Даже если речь идет об одних и тех же угрозах атак, контроль и разграничение прав доступа реализуется с целью предотвращения самой возможности возникновения в системе опасного события, сканер же безопасности — для выявления постфактум уже возникшего опасного события, с последующей реакцией на его выявление.

Если сравнивать между собою эти решения, то при создании СЗИ приоритет следует отдать реализации методов контроля и разграничения прав доступа, предотвращающих возможность возникновения опасных событий.

Вместе с тем и у подхода к реализации защиты, основанного на контроле санкционированное™ событий, также есть свое неоспоримое преимущество, определяемое собственно реализуемым подходом к защите.

Гарантированная защита методами контроля и разграничения прав доступа обеспечивается в том случае, если в системе не существует ни одного способа обхода реализованной разграничительной политики доступа. Именно с целью решения этой задачи формулируются и реализуются соответствующие требования к построению безопасной системы, о чем мы говорили ранее (а как они формируются, рассмотрим далее). Однако подобные требования формируются разработчиком исходя из существующих на момент проектирования СЗИ знаний, как в части архитектурных особенностей построения систем, так и в части известных угроз атак, направленных на обход разграничительной политики доступа. Именно известные угрозы атак и позволяют обратить пристальное внимание на те архитектурные особенности, которые приводят к возникновению этих угроз.

Таким образом, если, например, метод контроля и разграничения прав доступа решает задачу обеспечения замкнутости программной среды, то запустить несанкционированный процесс будет невозможно до тех пор, пока не известно ни одного способа обхода соответствующей разграничительной политики доступа. Если же подобный способ выявлен, то соответствующая защита не сработает, более того, средством защиты не будет выявлено и зарегистрировано соответствующее опасное событие.

Совсем иное дело, если задача защиты решается сканером безопасности. Он в данном случае выявит факт свершившегося события (в рассматриваемом примере — вторжения), так как возникающие события обнаруживаются постфактум. При этом неизбежна определенная задержка во времени, но все же реакция системой защиты на возникновение в системе данного события будет реализована, т.с., пусть с задержкой, возможно с определенными потерями, но вторжение будет предотвращено.

Как видим, сканер безопасности в данном случае можно позиционировать в качестве функционального резерва [6], если мы говорим о надежности безопасности СЗИ, реализующей разграничительную политику доступа (поскольку одни и те же задачи защиты сканер и средства контроля доступа решают различными способами). При этом его можно рассматривать и в качестве решения задачи защиты от неизвестных угроз атак, и в качестве средства обнаружения (при реализации соответствующего анализа) неизвестных угроз атак.

Из всего сказанного можем сделать следующий важный вывод. Сканер безопасности, реализующий в системе контроль опасных событий и предполагающий использование с этой целью в качестве соответствующих датчиков средств защиты, в том числе и прикладного уровня, может рассматриваться в качестве эффективного решения, дополняющего реализацию процессной модели контроля доступа.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>