Для чего в нашей стране покупают сертифицированные системы обнаружения вторжений (СОВ)? В основном для того, чтобы информационная система обработки персональных данных (ИСПДн) организации соответствовала требованиям приказа ФСТЭК России № 21 от 18 февраля 2013 г., который пришел на смену утратившему силу приказу ФСТЭК № 58 от 5 февраля 2010 г. Кстати, термин СОВ относится к терминологии ФСТЭК России, а в другом, не менее авторитетном ведомстве – ФСБ России – для подобных систем используется название «система обнаружения компьютерных атак» (СОА).

Естественно, многие организации желают установить у себя системы обнаружения вторжений для того, чтобы повысить защищенность своей информационной системы. Но, как правило, только крупные, большей частью государственные структуры приобретают сертифицированные версии СОВ для защиты своих ИС.

Для чего нужна СОВ?

Действительно, если на границе периметра вашей информационной системы уже установлен межсетевой экран, на АРМ и серверах крутится антивирусный софт, а вас заставляют какую-то СОВ впихивать в систему, естественно, возникает вопрос: зачем нужно это средство защиты, что полезного оно дает?

Если мы, несмотря на привычку вначале включать аппаратуру, а потом, когда что-то не получилось, судорожно изучать документацию, все же начнем читать формуляр (документ, кратко описывающий область применения и технические характеристики изделия), то увидим, что система обнаружения вторжений предназначена для:

  • автоматического выявления определенного класса информационных воздействий на защищаемую автоматизированную информационную систему, которые могут быть классифицированы как компьютерные атаки;
  • блокирования развития деструктивных последствий от выявленных компьютерных атак.

Но что все это значит для пользователя? И какие именно ресурсы межсетевой экран, стоящий на границе периметра вашей информационной системы, не защищает от компьютерных атак?

Компьютерные атаки и их выявление

Говоря языком нормативных документов, компьютерные атаки – это »целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой информации или с целью создания условий для этого». Проще говоря, это действия неких лиц, направленные на воровство информации из ИС, или на изменение этой информации, или просто на то, чтобы пользователи системы не могли эту информацию получить. Такие действия выполняются с использованием средств вычислительной техники и, естественно, специального ПО. Кстати, эти злонамеренные действия могут проводиться как удаленно, если ИС подключена, например, к Интернету, так и изнутри сети одним из ее легальных пользователей или посетителей.

Что это за действия? К примеру, это может быть атака, использующая уязвимость в ПО Web-сервера. Трафик при этом будет вполне легитимный, и межсетевой экран этот трафик, скорее всего, пропустит.

Со сложившимся пониманием того, что компьютерные атаки априорно используются и межсетевой экран сам по себе от них может и не защитить, перейдем к следующему интересному факту, возникшему из формуляра, а именно к автоматическому выявлению компьютерных атак. Реальных, не теоретических, а применяемых эффективно на практике методов в настоящее время не так уж много. Среди них можно выделить два основных типа – сигнатурный и эвристический методы.

Первый основан на сравнении выявленного воздействия на систему с уже зарегистрированным сценарием атаки. Такой сценарий называют сигнатурой (подписью) компьютерной атаки, он хорошо подходит для поиска деструктивных воздействий в сетевом трафике, входящем и исходящем из контролируемой ИС, а также возникающим в самой ИС в процессе ее функционирования. Кстати, стандартная база данных любой СОВ должна содержать не менее 15000 наиболее широко используемых на практике сигнатур компьютерных атак для различных модификаций сетевого трафика.

Эвристический метод претендует на то, что он позволяет выявить даже такие компьютерные атаки, сигнатур которых нет в базе данных СОВ. При этом необходимо понимать, что в реальной ИС для использования эвристического метода выявления компьютерных атак необходимо организовать эффективный сбор и анализ огромного количества информации, описывающей состояние компонентов защищаемой ИС. На деле все сводится к сравнению выявленного воздействия с какими-либо правилами, например RFC, описывающими сетевой трафик, или сравнением текущего состояния эксплуатируемой ИС с зафиксированным безопасным состоянием, которое считается нормальным.

Если обратиться к нормативной документации ФСТЭК, то мы увидим, что существующие СОВ по способу сбора информации для выявления компьютерных атак подразделяются на «сетевые» и «узловые». Понятно, что первые анализируют сетевой трафик, проходящий через активные сетевые устройства, например сетевые коммутаторы или межсетевые экраны. Ну а вторые делают тоже самое, но на хостах ИС.

Предположим, что мы, проанализировав сетевой трафик, нашли в нем фрагмент, представляющий собой компьютерную атаку. Что делать дальше? Выбор наших действий не велик: если атака скоротечная, то нужно постараться зафиксировать ее, и в дальнейшем попытаться выяснить, достиг ли злоумышленник своей цели. Для этого требуется возможность получать информацию об изменениях, произошедших на атакуемом хосте.

Если атака длительная, то необходимо заблокировать дальнейшее ее развитие. Для этого в СОВ требуется функциональная возможность управления активным сетевым оборудованием ИС, например, возможность блокирования информационного обмена между атакующим хостом и хостами ИС на межсетевом экране, или на сетевом коммутаторе, если атака развивается внутри ИС.

Зачем покупать сертифицированную СОВ?

Действительно, чем сертифицированная СОВ лучше? Этот вопрос можно рассматривать с разных сторон.

С одной стороны, если кто-то хочет казаться «страдальцем», которому не дают развиваться так, как он считает правильным, существует универсальный ответ – для построения и эксплуатации государственных информационных систем и ИСПДн государство установило четкие требования, однозначно предписывающие использование только сертифицированных СОВ или СОА.

Для остальных, не столь эксцентричных администраторов ИС предлагается внимательно вчитаться в требования ФСТЭК к СОВ. В частности, изучить изложенный в них подход к классификации СОВ по классам выявляемых атак и в каких эксплуатируемых ИС какой класс СОВ допустимо применять.

Но тем не менее, чем отличается ПО сертифицированной СОВ от, например, ее несертифицированной версии? Ведь в основе обеих версий лежит, казалось бы, один и тот же программный код, а практическая реализация опирается на одни и те же эксплуатационные характеристики.

Но дело в том, что сертифицированная версия проходит достаточно жесткую проверку, в том числе на избыточность программного кода. Дело обстоит так: всем известно, что программисты, особенно современные, стараются использовать при написании и отладке программного продукта как можно больше готовых библиотек. В результате в готовой программе остается огромное количество неиспользуемого в работе программы кода. В ходе проверки на избыточность этот лишний код удаляется. Таким образом, резко снижается вероятность получить в средстве защиты информации, – а СОВ является именно таким средством, – скрытый канал управления или нечто подобное, неприемлемое для пользователя.

Защита периметра ИС и не только

Как правило, СОВ устанавливают на границе периметра защищаемой сети с открытыми сетями для защиты от внешних нарушителей. Когда пользователи сети имеют доступ к Интернету, вопроса о необходимости встраивания СОВ не возникает. Но есть класс сетей, которые если и подключены к Интернету, то только для обеспечения транспорта зашифрованного трафика. При этом функции основной защиты от внешних нарушителей выполняет криптомаршрутизатор, который изолирует защищаемую сеть от открытой транспортной сети передачи данных.

В этом случае СОВ применяется для защиты информационных ресурсов защищаемой сети от внутренних нарушителей. Внутренние нарушители могут, например, находиться на удаленных объектах защищаемой сети (которые администратору, как правило, слабо подконтрольны) и могут несанкционированно реализовывать компьютерные атаки на информационные ресурсы (сервера приложений, базы данных и пр.).

Что в итоге?

Во-первых, нам в руки попал не просто сетевой снифер, которым можно воспользоваться только из командной строки, а полноценный продукт с удобным графическим интерфейсом, не требующий при своем использовании специфических знаний о сетевых протоколах и их уязвимостях.

Во-вторых, мы можем не просто наблюдать выявленные компьютерные атаки, но и блокировать их различными способами.

В-третьих, продукт может использоваться как самостоятельно, так и в составе более высокоуровневой системы обеспечения информационной безопасности ИС.