KURS ISHI
Mavzu: Axborot xavfsizligi
mavzu bo'yicha: Bosqinlarni aniqlash tizimlari
Reja
Kirish
. Kompyuter hujumlari va ularni aniqlash texnologiyalari
.1 Hujumlarni amalga oshirishning birinchi bosqichi
.2 Hujumni amalga oshirish
.3 Hujumning tugallanishi
.4 Kompyuterga kirishni aniqlash vositalari
.5 Tarmoq hujumlarini aniqlash tizimlari va xavfsizlik devorlari
. Xavfsizlik tahlil dasturi
. Tahdidni aniqlash va qaytarish dasturi
4. Korxona axborot tizimi uchun hujumlarni aniqlash dasturini joriy etish
Xulosa
Adabiyot
Kirish
Mahalliy tarmoqlarda (LAN) aylanma axborot hajmining oshishi va axborot tizimlari (AT) yordamida hal qilinadigan vazifalar doirasining kengayishi munosabati bilan tahdidlar sonining ko'payishi bilan bog'liq muammo mavjud. va axborot resurslarining zaifligining oshishi. Bu quyidagi omillarning ta'siri bilan bog'liq: IS tomonidan hal qilinadigan vazifalar doirasini kengaytirish; axborotni qayta ishlash algoritmlarining murakkabligini oshirish; qayta ishlangan axborot hajmini oshirish; LANning dasturiy va apparat qismlarining murakkablashishi va shunga mos ravishda xatolar va zaifliklar ehtimolini oshirish; tashqi ma'lumotlar manbalarining (global tarmoqlar) tajovuzkorligini oshirish; yangi turdagi tahdidlarning paydo bo'lishi.
Shuni hisobga olish kerakki, korxonalarning raqobatbardoshligi, oladigan daromadlari miqdori, bozordagi mavqei sezilarli darajada ularning axborot infratuzilmasining to‘g‘ri ishlashiga, asosiy axborot resurslarining yaxlitligiga, maxfiy ma’lumotlarning himoyalanganligiga bog‘liq. ruxsatsiz kirish. Shundan kelib chiqqan holda, LANni himoya qilish tizimlariga talablar ortib bormoqda, bu nafaqat tashqi tarmoqlardan korxona tarmog'ining ichki resurslariga ruxsatsiz kirishni passiv blokirovka qilishni ta'minlashi, balki muvaffaqiyatli hujumlarni aniqlashi, axborot xavfsizligi tahdidlarining sabablarini tahlil qilishi va shu bilan birga. imkon qadar ularni yo'q qiling. avtomatik rejimda.
Yuqoridagi talablarni qondiradigan korxona LAN axborot xavfsizligi tizimining asosiy sifatlaridan biri uning moslashuvchanligi, ya'ni. axborotni tahlil qilish, ular asosida bilimlarni yaratish va axborot xavfsizligiga aniqlangan tahdidlarni blokirovka qilish uchun tizim konfiguratsiyasini avtomatik ravishda o'zgartirish qobiliyati.
Buzilishlarni aniqlash tizimlarini joriy etishning mavjud yondashuvlari tahlili shuni ko'rsatadiki, hozirgi vaqtda bozorda mavjud bo'lgan dasturiy mahsulotlarning aksariyati tizim faoliyatining rasmiy tavsiflaridan (imzolar) foydalanishga yo'naltirilgan. Bunday tizimlarda yangi turdagi hujumlarni aniqlash va ro'yxatga olish funktsiyalari yangi imzolarni chiqaradigan ishlab chiquvchiga yuklanadi. Himoya qilishning bu usuli ishonchsizdir, chunki. u IP xavfsizligini tashqi nazoratsiz manba harakatlariga bog'liq qiladi.
Moslashuvchan axborot xavfsizligi tizimlarini ishlab chiqish ancha vaqtdan beri davom etayotganiga qaramay, ishlatiladigan algoritmlarning murakkabligi va samarasizligi, aksariyat hollarda tegishli vositalarning yo'qligi sababli bunday echimlarning birortasi ham keng tarqalmagan. ularni joylashtirish va boshqarish, shuningdek foydalanuvchi hujjatlari uchun. .
Ushbu sohada olib borilgan ishlarning tahlili shuni ko'rsatadiki, ushbu muammo mavzu sohasining adekvat matematik modellarini yaratish nuqtai nazaridan ham, hujumlarni aniqlash va qarorlar qabul qilishning samarali algoritmlarini amalga oshirish nuqtai nazaridan ham qo'shimcha o'rganishni talab qiladi, bu dolzarbligini tasdiqlaydi ushbu mavzu bo'yicha tadqiqotlar.
Tadqiqot ob'ekti - korporativ axborot tizimining axborot xavfsizligi tizimi.
Tadqiqot predmeti - algoritmik va axborot xavfsizligini ta'minlash uchun dasturiy ta'minot.
Ishning maqsadi loyqa kognitiv xaritalar asosidagi dinamik modellar yordamida AT faoliyatining operativ risklarini baholash asosida hujumlarni aniqlash va qarorlar qabul qilish samaradorligini oshirishdan iborat.
1. Kompyuter hujumlari va ularni aniqlash texnologiyalari
"Hujum" (bosqin, hujum) atamasining aniq ta'rifi hali ham mavjud emas. Har bir xavfsizlik mutaxassisi buni boshqacha talqin qiladi. Men quyidagi ta'rifni eng to'g'ri va to'liq deb bilaman.
Axborot tizimiga hujum - axborot tizimining zaif tomonlaridan foydalanadigan va qayta ishlanayotgan axborotning mavjudligi, yaxlitligi va maxfiyligini buzishga olib keladigan tajovuzkorning qasddan harakatlaridir.
Bugungi kunga qadar qancha hujum usullari mavjudligi noma'lum deb hisoblanadi. Ularning aytishicha, bu sohada hali ham jiddiy matematik tadqiqotlar yo'q. Ammo 1996 yilda Fred Koen virus texnologiyasining matematik asoslarini tasvirlab berdi. Bu ishda viruslar soni cheksiz ekanligi isbotlangan. Shubhasiz, hujumlar soni ham cheksizdir, chunki viruslar ko'plab hujumlarning kichik to'plamidir.
An'anaviy hujum modeli "birga-bir" yoki "birdan-ko'p" tamoyiliga asoslanadi, ya'ni. hujum bitta manbadan keladi. Tarmoqni himoya qilish vositalarini ishlab chiquvchilar (xavfsizlik devorlari, hujumlarni aniqlash tizimlari va boshqalar) an'anaviy hujum modeliga qaratilgan. Himoyalangan tarmoqning turli nuqtalarida markaziy boshqaruv konsoliga ma'lumotlarni uzatuvchi himoya tizimining agentlari (datchiklari) o'rnatiladi. Bu tizimni masshtablash, masofadan boshqarish qulayligi va hokazolarni osonlashtiradi. Biroq, bunday model nisbatan yaqinda (1998 yilda) aniqlangan tahdid - tarqalgan hujumlarga dosh bera olmaydi.
Taqsimlangan hujum modeli turli tamoyillardan foydalanadi. An'anaviy modeldan farqli o'laroq, taqsimlangan model ko'p-bir va ko'p-ko'p munosabatlaridan foydalanadi.
Taqsimlangan hujumlar "klassik" xizmat ko'rsatishni rad etish hujumlariga, to'g'rirog'i, suv toshqini yoki bo'ron hujumlari deb nomlanuvchi ularning bir qismiga asoslanadi (bu atamalar "bo'ron", "to'fon" yoki "ko'chki" deb tarjima qilinishi mumkin). Ushbu hujumlarning ma'nosi hujum qilingan xostga ko'p sonli paketlarni yuborishdir. Hujum qilingan tugun ishlamay qolishi mumkin, chunki u yuborilgan paketlar ko'chkisida "bo'g'ilib qoladi" va vakolatli foydalanuvchilarning so'rovlarini qayta ishlay olmaydi. SYN-Flood, Smurf, UDP Flood, Targa3 hujumlari va boshqalar shu tamoyilga muvofiq ishlaydi. Biroq, agar hujum qilingan tugunga kanalning tarmoqli kengligi hujum qiluvchining tarmoqli kengligidan oshsa yoki hujum qilingan tugun noto'g'ri tuzilgan bo'lsa, unda bunday hujum "muvaffaqiyat" ga olib kelmaydi. Masalan, Ushbu hujumlardan foydalanib, provayderingizning ish faoliyatini buzishga urinish befoyda. Ammo tarqatilgan hujum endi Internetda bir nuqtadan emas, balki bir vaqtning o'zida bir nechtadan sodir bo'ladi, bu esa trafikning keskin o'sishiga va hujum qilingan tugunning ishlamay qolishiga olib keladi. Misol uchun, Rossiya-Onlayn ma'lumotlariga ko'ra, ikki kun davomida, 2000 yil 28 dekabr kuni ertalab soat 9:00 dan boshlab, Armanistonning eng yirik internet-provayderi "Arminco" tarqatilgan hujumga duchor bo'lgan. Bu holatda turli mamlakatlardan 50 dan ortiq mashinalar hujumga qo'shildi va Arminko manziliga ma'nosiz xabarlarni yubordi. Ushbu hujumni kim uyushtirgani va xaker qaysi davlatda joylashganini aniqlashning iloji bo'lmadi. Arminko asosan hujumga uchragan bo'lsa-da, Armanistonni World Wide Web bilan bog'laydigan butun magistral ortiqcha yuk bo'lib chiqdi. 30 dekabr hamkorlik uchun rahmat"
Hujumni amalga oshirishning quyidagi bosqichlarini ajratish mumkin:
1. hujum yoki "ma'lumot to'plash" oldidan dastlabki harakatlar,
. haqiqiy "hujumni amalga oshirish",
. hujumning yakunlanishi.
Odatda, ular hujum haqida gapirganda, ular birinchi va oxirgi haqida unutib, aynan ikkinchi bosqichni nazarda tutadilar. Axborot yig'ish va hujumni yakunlash («izlarni yopish») o'z navbatida hujum ham bo'lishi mumkin va uni uch bosqichga bo'lish mumkin.Axborot to'plash hujumni amalga oshirishning asosiy bosqichidir. Aynan shu bosqichda hujumchining ishining samaradorligi hujumning "muvaffaqiyati"ning kalitidir. Birinchidan, hujumning maqsadi tanlanadi va u haqida ma'lumot yig'iladi (operatsion tizimning turi va versiyasi, ochiq portlar va ishlaydigan tarmoq xizmatlari, o'rnatilgan tizim va amaliy dasturlar va uning konfiguratsiyasi va boshqalar). Keyin hujum qilingan tizimning eng zaif joylari aniqlanadi, ularning ta'siri tajovuzkor xohlagan natijaga olib keladi. Tajovuzkor hujum nishonining boshqa tugunlar bilan o'zaro ta'sirining barcha kanallarini ochishga harakat qiladi. Bu nafaqat amalga oshirilayotgan hujum turini, balki uni amalga oshirish manbasini ham tanlash imkonini beradi. Misol uchun, hujumga uchragan tugun Unix va Windows NT bilan ishlaydigan ikkita server bilan o'zaro ta'sir qiladi. Hujum qilingan tugun bir server bilan ishonchli aloqaga ega, boshqasi bilan emas. Tajovuzkor hujumni amalga oshiradigan server qaysi hujum ishlatilishiga, qaysi amalga oshirish vositasi tanlanishiga va hokazolarga bog'liq. Keyin olingan ma'lumotlarga va kerakli natijaga qarab, eng katta ta'sir ko'rsatadigan hujum tanlanadi. qaysi hujum qo'llanilishi, qaysi amalga oshirish vositasi tanlanishi va hokazolarga bog'liq. Keyin olingan ma'lumotlarga va kerakli natijaga qarab, eng katta ta'sir ko'rsatadigan hujum tanlanadi. qaysi hujum qo'llanilishi, qaysi amalga oshirish vositasi tanlanishi va hokazolarga bog'liq. Keyin olingan ma'lumotlarga va kerakli natijaga qarab, eng katta ta'sir ko'rsatadigan hujum tanlanadi.
Masalan: SYN Flood, Teardrop, UDP Bomb - tugunning ishlashini buzish uchun; CGI skripti - tugunga kirish va ma'lumotlarni o'g'irlash uchun; PHF - parol faylini o'g'irlash va masofadan parolni taxmin qilish va hk.
Marshrutizatorlardagi xavfsizlik devorlari yoki filtrlash mexanizmlari kabi an'anaviy himoyalar faqat hujumning ikkinchi bosqichida kuchga kiradi, birinchi va uchinchisini butunlay "unutadi". Bu tez-tez sodir bo'ladigan hujumni hatto kuchli va qimmat himoya vositalari bilan to'xtatish juda qiyinligiga olib keladi. Bunga misol qilib taqsimlangan hujumlarni keltirish mumkin. Himoya vositalarining birinchi bosqichda ishlay boshlashi mantiqan to'g'ri keladi, ya'ni. hujum qilingan tizim haqida ma'lumot to'plash imkoniyatini oldini oladi. Bu, agar hujumning to'liq oldini olmasa, hujumchining ishini hech bo'lmaganda sezilarli darajada murakkablashtirishga imkon beradi. An'anaviy vositalar, shuningdek, allaqachon qilingan hujumlarni aniqlashga va ularni amalga oshirgandan keyin zararni baholashga imkon bermaydi, ya'ni. hujumni amalga oshirishning uchinchi bosqichida ishlamang. Demak,
Istalgan natijaga qarab, hujumchi hujumning u yoki bu bosqichiga e'tibor qaratadi. Masalan: xizmat ko'rsatishni rad etish uchun hujum qilingan tarmoq batafsil tahlil qilinadi, undagi bo'shliqlar va zaif tomonlar izlanadi; ma'lumotni o'g'irlash uchun, avvalroq aniqlangan zaifliklardan foydalangan holda hujum qilingan tugunlarga yashirin kirib borishga e'tibor qaratiladi.
Hujumlarni amalga oshirishning asosiy mexanizmlarini ko'rib chiqing. Bu hujumlarni aniqlash usullarini tushunish uchun kerak.
.1 Hujumlarni amalga oshirishning birinchi bosqichi
Hujumlarni amalga oshirishning birinchi bosqichi - bu hujum qilingan tizim yoki xost haqida ma'lumot to'plash. U tarmoq topologiyasini, hujum qilingan tugunning operatsion tizimining turi va versiyasini, shuningdek mavjud tarmoq va boshqa xizmatlarni aniqlash kabi harakatlarni o'z ichiga oladi. Ushbu harakatlar turli yo'llar bilan amalga oshiriladi.
Ushbu bosqichda tajovuzkor hujumning mo'ljallangan nishoni atrofidagi tarmoq muhitini o'rganadi. Bunday hududlarga, masalan, "jabrlanuvchi" Internet-provayderining xostlari yoki hujumga uchragan kompaniyaning uzoqdagi ofisining xostlari kiradi. Ushbu bosqichda tajovuzkor "ishonchli" tizimlar (masalan, sherik tarmog'i) va hujum nishoniga to'g'ridan-to'g'ri ulangan tugunlar (masalan, ISP router) va boshqalar manzillarini aniqlashga harakat qilishi mumkin. Bunday harakatlarni aniqlash juda qiyin, chunki ular etarlicha uzoq vaqt davomida va xavfsizlik choralari (xavfsizlik devorlari, hujumlarni aniqlash tizimlari va boshqalar) tomonidan nazorat qilinadigan hududdan tashqarida amalga oshiriladi.
Buzg'unchilar tomonidan ishlatiladigan tarmoq topologiyasini aniqlashning ikkita asosiy usuli mavjud:
. TTL o'zgarishi (TTL modulyatsiyasi);
. marshrut yozuvi (yo'riq marshruti).
Birinchi usul Unix uchun traceroute va Windows uchun tracert tomonidan qo'llaniladi. Ular IP-paket sarlavhasidagi Yashash vaqti maydonidan foydalanadilar, bu tarmoq paketi o'tadigan routerlar soniga qarab o'zgaradi. Ping yordam dasturi ICMP paketining marshrutini yozib olish uchun ishlatilishi mumkin. Ko'pincha tarmoq topologiyasini xavfsizligi noto'g'ri sozlangan ko'plab tarmoq qurilmalarida o'rnatilgan SNMP protokoli yordamida aniqlash mumkin. RIP protokolidan foydalanib, siz tarmoqdagi marshrutlash jadvali va boshqalar haqida ma'lumot olishga harakat qilishingiz mumkin. Ushbu usullarning aksariyati zamonaviy boshqaruv tizimlari (masalan, HP OpenView, Cabletron SPECTRUM, MS Visio va boshqalar) tomonidan tarmoq xaritalarini yaratish uchun ishlatiladi. Va xuddi shu usullar hujumchilar tomonidan hujum qilingan tarmoq xaritasini yaratish uchun muvaffaqiyatli ishlatilishi mumkin.
Xost identifikatsiyasi odatda ping yordam dasturi yordamida ICMP ECHO_REQUEST buyrug'ini yuborish orqali amalga oshiriladi. ECHO_REPLY javob xabari tugun mavjudligini bildiradi. Fping yoki nmap kabi ko'p sonli tugunlarni parallel ravishda aniqlash jarayonini avtomatlashtiradigan va tezlashtiradigan bepul dasturlar mavjud. Ushbu usulning xavfli tomoni shundaki, ECHO_REQUEST so'rovlari tugunning standart vositalari bilan aniqlanmagan. Buni amalga oshirish uchun siz trafikni tahlil qilish vositalari, xavfsizlik devori yoki hujumni aniqlash tizimlaridan foydalanishingiz kerak.
Bu tugunlarni aniqlashning eng oddiy usuli. Biroq, uning ikkita kamchiligi bor.
. Ko'pgina tarmoq qurilmalari va dasturlari ICMP paketlarini bloklaydi va ularni ichki tarmoqqa kiritmaydi (yoki aksincha ularni tashqariga chiqarmaydi). Masalan, MS Proxy Server 2.0 paketlarning ICMP protokoli orqali o'tishiga ruxsat bermaydi. Natijada to'liq bo'lmagan rasm paydo bo'ladi. Boshqa tomondan, ICMP paketini blokirovka qilish tajovuzkorga "birinchi mudofaa chizig'i" - marshrutizatorlar, xavfsizlik devorlari va boshqalar mavjudligini bildiradi.
. ICMP so'rovlaridan foydalanish ularning manbasini topishni osonlashtiradi, bu, albatta, tajovuzkorning vazifasi bo'lishi mumkin emas.
Tugunlarni aniqlashning yana bir usuli mavjud - tarmoq kartasining "aralash" rejimidan foydalanish, bu tarmoq segmentidagi turli tugunlarni aniqlash imkonini beradi. Ammo bu tarmoq segmentining trafigini tajovuzkorga uning tugunidan olish imkoni bo'lmagan hollarda qo'llanilmaydi, ya'ni. bu usul faqat mahalliy tarmoqlarda qo'llaniladi. Tarmoqdagi xostlarni aniqlashning yana bir usuli DNS reconnaissance deb ataladi, bu nomlar xizmati serveriga kirish orqali korporativ tarmoqdagi xostlarni aniqlash imkonini beradi.
Xizmatlarni identifikatsiya qilish, qoida tariqasida, ochiq portlarni aniqlash (portni skanerlash) orqali amalga oshiriladi. Bunday portlar ko'pincha TCP yoki UDP protokollariga asoslangan xizmatlar bilan bog'lanadi. Masalan:
ochiq port 80 veb-serverni nazarda tutadi,
25-port - SMTP pochta serveri,
31337th - BackOrifice troyan otining server qismi,
12345th yoki 12346th - NetBus troyan otining server qismi va boshqalar.
Xizmatlarni aniqlash va portlarni skanerlash uchun turli dasturlardan foydalanish mumkin, jumladan. va erkin tarqatiladi. Masalan, nmap yoki netcat.
Masofaviy OTni aniqlashning asosiy mexanizmi turli xil operatsion tizimlarda TCP / IP stekining turli xil ilovalarini hisobga olgan holda so'rovlarga javoblarni tahlil qilishdir. Har bir OT TCP/IP protokoli stekini o'ziga xos tarzda amalga oshiradi, bu esa maxsus so'rovlar va ularga javoblar yordamida masofaviy xostda qaysi OT o'rnatilganligini aniqlash imkonini beradi.
OS tugunlarini aniqlashning yana bir kam samarali va juda cheklangan usuli bu avvalgi bosqichda topilgan tarmoq xizmatlarini tahlil qilishdir. Masalan, 139-sonli ochiq port masofaviy xost Windows oilasining operatsion tizimida ishlayotganligi haqida xulosa chiqarishga imkon beradi. Operatsion tizimni aniqlash uchun turli dasturlardan foydalanish mumkin. Masalan, nmap yoki queso.
Hujum qilingan xost haqida ma'lumot to'plash bosqichidagi oxirgi qadam uning rolini aniqlashdir, masalan, xavfsizlik devori yoki veb-server funktsiyalarini bajarish. Ushbu qadam faol xizmatlar, xost nomlari, tarmoq topologiyasi va boshqalar haqida allaqachon to'plangan ma'lumotlar asosida amalga oshiriladi. Masalan, ochiq port 80 veb-server mavjudligini ko'rsatishi mumkin, ICMP paketini bloklash xavfsizlik devorining potentsial mavjudligini ko'rsatadi va DNS xost nomi proxy.domain.ru yoki fw.domain.ru o'z-o'zidan tushunarli.
Oxirgi qadam zaifliklarni izlashdir. Ushbu bosqichda tajovuzkor turli xil avtomatlashtirilgan vositalardan foydalangan holda yoki qo'lda hujumni amalga oshirish uchun ishlatilishi mumkin bo'lgan zaifliklarni aniqlaydi. Bunday avtomatlashtirilgan vositalar sifatida ShadowSecurityScanner, nmap, Retina va boshqalardan foydalanish mumkin.
.2 Hujumni amalga oshirish
Shu paytdan boshlab hujum qilingan tugunga kirishga urinish boshlanadi. Bunday holda, kirish to'g'ridan-to'g'ri bo'lishi mumkin, ya'ni. xostga kirish va bilvosita, masalan, xizmat ko'rsatishni rad etish hujumini amalga oshirishda. To'g'ridan-to'g'ri kirish holatida hujumlarni amalga oshirishni ikki bosqichga bo'lish mumkin:
· kirib borish;
· nazoratni o'rnatish.
Penetratsiya perimetrni himoya qilish vositalarini (masalan, xavfsizlik devori) engib o'tishni o'z ichiga oladi. Bu turli yo'llar bilan amalga oshirilishi mumkin. Masalan, elektron pochta (makroviruslar) yoki Java appletlari orqali dushmanlik mazmunini uzatish orqali tashqariga "ko'rinadigan" kompyuter xizmatidagi zaiflikdan foydalanish. Bunday kontent xavfsizlik devoridagi "tunnellar" dan foydalanishi mumkin (VPN tunnellari bilan adashtirmaslik kerak), ular orqali tajovuzkor kirib boradi. Ushbu bosqich, shuningdek, maxsus yordamchi dastur (masalan, L0phtCrack yoki Crack) yordamida administrator yoki boshqa foydalanuvchi parolini tanlashni o'z ichiga oladi.
Kirishdan so'ng, tajovuzkor hujum qilingan uy egasi ustidan nazoratni o'rnatadi. Buni troyan oti dasturini (masalan, NetBus yoki BackOrifice) kiritish orqali amalga oshirish mumkin. Kerakli tugun ustidan nazoratni o'rnatgandan va izlarni "qoplagandan" so'ng, tajovuzkor barcha kerakli ruxsatsiz harakatlarni masofadan turib hujum qilingan kompyuter egasining xabardorligisiz amalga oshirishi mumkin. Shu bilan birga, korporativ tarmoq tugunini nazorat qilishni o'rnatish operatsion tizim qayta ishga tushirilgandan keyin ham saqlanishi kerak. Buni yuklash fayllaridan birini almashtirish yoki boshlang'ich fayllarga yoki tizim registriga dushman kodiga havolani kiritish orqali amalga oshirilishi mumkin. Tajovuzkor tarmoq kartasining EEPROM-ni qayta dasturlashi mumkin bo'lgan va hatto OTni qayta o'rnatgandan keyin ham ruxsat etilmagan harakatlarni qayta amalga oshirishga muvaffaq bo'lgan ma'lum bir holat mavjud.
Shuni ta'kidlash kerakki, ikkinchi bosqichda hujumchi ikkita maqsadni amalga oshirishi mumkin. Birinchidan, saytning o'ziga va undagi ma'lumotlarga ruxsatsiz kirishni olish. Ikkinchidan, boshqa tugunlarga keyingi hujumlarni amalga oshirish uchun tugunga ruxsatsiz kirish. Birinchi maqsad, qoida tariqasida, ikkinchisi amalga oshirilgandan keyingina amalga oshiriladi. Ya'ni, avval tajovuzkor o'zi uchun keyingi hujumlar uchun baza yaratadi va shundan keyingina boshqa tugunlarga kiradi. Bu hujum manbasini yashirish yoki topishni sezilarli darajada murakkablashtirish uchun kerak.
.3 Hujumning tugallanishi
Hujumni yakunlash bosqichi hujumchi tomonidan "izlarni yopish" dir. Bu, odatda, tugun jurnallaridan tegishli yozuvlarni o'chirish va hujum qilingan tizimni dastlabki, "oldindan hujum qilingan" holatiga qaytaradigan boshqa harakatlar orqali amalga oshiriladi.
Hujumlarni tasniflashning har xil turlari mavjud. Masalan, passiv va faol, tashqi va ichki, qasddan va qasddan bo'linish. Biroq, amaliyotda unchalik qo'llanilmaydigan turli xil tasniflar bilan sizni chalkashtirib yubormaslik uchun men "hayotiy" tasnifni taklif qilaman:
Hujumlarni tasniflashning har xil turlari mavjud. Masalan, passiv va faol, tashqi va ichki, qasddan va qasddan bo'linish. Biroq, amaliyotda unchalik qo'llanilmaydigan turli xil tasniflar bilan sizni chalkashtirib yubormaslik uchun men "hayotiy" tasnifni taklif qilaman:
1. Masofadan kirish. Kompyuterni tarmoq orqali masofadan boshqarishni amalga oshirish imkonini beruvchi hujumlar. Masalan, NetBus yoki BackOrifice.
. Mahalliy penetratsiya (mahalliy penetratsiya). U ishlayotgan xostga ruxsatsiz kirishga olib keladigan hujum. Masalan, GetAdmin.
. Masofadan xizmat ko'rsatishni rad etish (masofadan xizmat ko'rsatishni rad etish). Internet orqali kompyuteringizni buzish yoki ortiqcha yuklashga imkon beruvchi hujumlar. Masalan, Teardrop yoki trin00.
. Mahalliy xizmat ko'rsatishni rad etish (mahalliy xizmat ko'rsatishni rad etish). Ular amalga oshirilgan kompyuterni buzish yoki ortiqcha yuklashga imkon beruvchi hujumlar. Bunday hujumga misol qilib protsessorni cheksiz tsiklda yuklaydigan “dushman” appletni keltirish mumkin, bu esa boshqa ilovalardan kelgan so‘rovlarni qayta ishlashni imkonsiz qiladi.
. Tarmoq skanerlari. Tarmoq topologiyasini tahlil qiluvchi va hujum uchun mavjud xizmatlarni aniqlaydigan dasturlar. Masalan, nmap tizimi.
. Zaiflik skanerlari. Tarmoq tugunlarida zaifliklarni qidiradigan va hujumlarni amalga oshirish uchun ishlatilishi mumkin bo'lgan dasturlar. Masalan, SATAN tizimi yoki ShadowSecurityScanner.
. Parol krakerlar. Foydalanuvchi parollarini "oladigan" dasturlar. Masalan, Windows uchun L0phtCrack yoki Unix uchun Crack.
. Protokol analizatorlari (snifferlar). Tarmoq trafigini "tinglovchi" dasturlar. Ushbu dasturlar foydalanuvchi identifikatorlari va parollar, kredit karta ma'lumotlari va boshqalar kabi ma'lumotlarni avtomatik ravishda qidirishi mumkin. Masalan, Microsoft Network Monitor, Network Associates-dan NetXRay yoki LanExplorer.
Internet Security Systems, Inc. mumkin bo'lgan toifalar sonini yanada qisqartirib, ularni 5 taga yetkazdi:
. Axborot yig'ish (Axborot yig'ish).
. Ruxsatsiz kirishga urinishlar.
. Xizmatni rad etish.
. Shubhali faoliyat.
. Tizim hujumlari.
Birinchi 4 toifa uzoqdan hujumlarga, oxirgi toifa esa hujum qilingan tugunga amalga oshirilgan mahalliy hujumlarga tegishli. Shuni ta'kidlash mumkinki, ushbu tasnifga "passiv" hujumlar (trafikni "tinglash", "noto'g'ri DNS server", "ARP serverini aldash va h.k.)" deb atalmish butun sinf o'z ichiga olmagan. Ko'pgina bosqinlarni aniqlash tizimlarida amalga oshirilgan hujumlarning tasnifi kategorik bo'lishi mumkin emas. Masalan, Unix OS da amalga oshirilishi (masalan, statd bufer to'lib ketishi) eng halokatli oqibatlarga olib kelishi mumkin bo'lgan hujum (eng yuqori ustuvorlik), Windows NT OS da umuman qo'llanilmasligi yoki juda past xavf darajasiga ega bo'lishi mumkin. Bundan tashqari, hujumlar va zaifliklarning nomlarida chalkashliklar mavjud. Xuddi shu hujum hujumni aniqlash tizimlarining turli ishlab chiqaruvchilarining turli nomlariga ega bo'lishi mumkin.
Zaifliklar va hujumlarning eng yaxshi ma'lumotlar bazalaridan biri bu X-Force ma'lumotlar bazasi bo'lib, u quyidagi manzilda joylashgan: http://xforce.iss.net/. Unga erkin tarqatiladigan X-Force Alert pochta roʻyxatiga obuna boʻlish yoki ISS veb-serveridagi maʼlumotlar bazasini interaktiv tarzda qidirish orqali kirish mumkin.
.4 Kompyuterga kirishni aniqlash vositalari
Intrusionni aniqlash texnologiyasi quyidagi vazifalarni hal qilishi kerak:
Ma'lum bo'lgan hujumlarni tan olish va ularni tegishli xodimlarga ogohlantirish.
"Tushunish" ko'pincha hujumlar haqida ma'lumot manbalarini yashiradi.
Korporativ tarmoqning tarkibiy qismlari bo'lgan foydalanuvchilarni, tizimlarni va tarmoqlarni kuzatish bo'yicha davom etayotgan muntazam operatsiyalaridan xavfsizlik xodimlarining yukini kamaytirish yoki kamaytirish.
Xavfsizlik bo'yicha bo'lmagan mutaxassislar tomonidan himoyalarni boshqarish qobiliyati.
Korporativ tarmoq sub'ektlari (foydalanuvchilar, dasturlar, jarayonlar va boshqalar) barcha harakatlarini nazorat qilish.
Ko'pincha bosqinlarni aniqlash tizimlari ularni qo'llash doirasini sezilarli darajada kengaytiradigan funktsiyalarni bajarishi mumkin. Masalan,
Faervollarning samaradorligini monitoring qilish. Masalan, xavfsizlik devori orqasida (korporativ tarmoq ichida) hujumlarni aniqlash tizimini o'rnatish xavfsizlik devori tomonidan o'tkazib yuborilgan hujumlarni aniqlash va shu bilan xavfsizlik devorida etishmayotgan qoidalarni aniqlash imkonini beradi.
O'chirilgan yangilanishlar bilan tarmoq tugunlarini yoki eskirgan dasturiy ta'minotga ega tugunlarni boshqarish.
Muayyan internet saytlariga kirishni bloklash va nazorat qilish. Bosqinlarni aniqlash tizimlari xavfsizlik devorlari va WEBsweeper kabi URL manziliga kirishni boshqarish tizimlaridan uzoq bo'lsa-da, ular ma'lum korporativ tarmoq foydalanuvchilarining ma'lum Internet resurslariga, masalan, pornografik veb-serverlarga kirishini qisman nazorat qilishi va bloklashi mumkin. Bu tashkilotda xavfsizlik devori va tajovuzni aniqlash tizimini sotib olishga puli bo'lmaganda kerak bo'ladi va ITU funktsiyalari hujumni aniqlash tizimi, yo'riqnoma va proksi-server o'rtasida taqsimlanadi. Bundan tashqari, hujumni aniqlash tizimlari xodimlarning serverlarga kirishini kalit so'zlar asosida boshqarishi mumkin. Masalan, jinsiy aloqa, ish, yoriq va boshqalar.
Elektron pochta nazorati. Bosqinlarni aniqlash tizimlaridan rezyumelarni yuborish kabi ish majburiyatlaridan tashqari vazifalarni bajarish uchun elektron pochtadan foydalanadigan ishonchsiz xodimlarni boshqarish uchun foydalanish mumkin. Ba'zi tizimlar elektron pochta xabarlarida viruslarni aniqlay oladi va ular haqiqiy antivirus tizimlaridan uzoqda bo'lsa-da, ular bu vazifani hali ham samarali bajaradilar.
Axborot xavfsizligi bo'yicha mutaxassislarning vaqti va tajribasidan eng yaxshi foydalanish hujumlarning o'zini aniqlashdan ko'ra, hujumlarning sabablarini aniqlash va yo'q qilishdir. Hujumlarning sabablarini bartaraf etish orqali, ya'ni. Zaifliklarni aniqlagan va bartaraf etgan administrator shu bilan hujumlarni amalga oshirish haqiqatini yo'q qiladi. Aks holda, hujum qayta-qayta takrorlanib, doimo administratorning harakatlari va e'tiborini talab qiladi.
Buzg'unchilikni aniqlash tizimlarining ko'plab tasniflari mavjud, ammo eng keng tarqalgani amalga oshirish printsipiga ko'ra tasniflashdir:
. xostga asoslangan, ya'ni ma'lum bir tarmoq tuguniga qaratilgan hujumlarni aniqlash.
. tarmoqqa asoslangan, ya'ni butun tarmoq yoki tarmoq segmentiga qaratilgan hujumlarni aniqlash.
Bitta kompyuterni boshqaradigan bosqinlarni aniqlash tizimlari odatda operatsion tizim va turli xil ilovalar (veb-server, DBMS va boshqalar) jurnallaridan ma'lumotlarni to'playdi va tahlil qiladi. RealSecure OS Sensor ushbu printsipga muvofiq ishlaydi. Biroq so'nggi paytlarda OS yadrosi bilan chambarchas integratsiyalangan tizimlar keng tarqaldi va shu bilan xavfsizlik siyosati buzilishini aniqlashning yanada samarali usulini ta'minladi. Bundan tashqari, bunday integratsiya ikki yo'l bilan amalga oshirilishi mumkin. Birinchidan, barcha OT tizimi qo'ng'iroqlarini kuzatish mumkin (Entercept shu tarzda ishlaydi) yoki barcha kiruvchi/chiqish tarmoq trafiki (RealSecure Server Sensor shunday ishlaydi). Ikkinchi holda, hujumni aniqlash tizimi operatsion tizimni chetlab o'tib, barcha tarmoq trafigini to'g'ridan-to'g'ri tarmoq kartasidan oladi,
Tarmoq darajasidagi hujumlarni aniqlash tizimlari tarmoqning o'zidan, ya'ni tarmoq trafigidan ma'lumot to'playdi. Ushbu tizimlar an'anaviy kompyuterlarda (masalan, RealSecure Network Sensor), ixtisoslashgan kompyuterlarda (masalan, Nokia uchun RealSecure yoki Cisco Secure IDS 4210 va 4230) yoki marshrutizatorlar yoki kalitlarga integratsiyalangan (masalan, CiscoSecure IOS Integrated Software yoki Cisco Catalyst 6000 IDS moduli). Dastlabki ikki holatda, tahlil qilingan ma'lumotlar promiscuous rejimda tarmoq interfeyslari yordamida paketlarni qo'lga olish va tahlil qilish orqali yig'iladi. Ikkinchi holda, trafik tarmoq uskunasi avtobusidan olinadi. Hujumni aniqlash ikkita shartdan birini bajarishni talab qiladi - tizimning boshqariladigan ob'ektining kutilayotgan harakatini tushunish yoki barcha mumkin bo'lgan hujumlar va ularning modifikatsiyalarini bilish. Birinchi holda, g'ayritabiiy xatti-harakatlarni aniqlash texnologiyasi qo'llaniladi, ikkinchi holatda esa zararli xatti-harakatlar yoki suiiste'mollikni aniqlash texnologiyasi qo'llaniladi. Ikkinchi usul - bu hujumni naqsh yoki imzo ko'rinishida tasvirlash va ushbu naqshni boshqariladigan maydonda (masalan, tarmoq trafigida yoki jurnalda) qidirish. Ushbu texnologiya virusni aniqlashga juda o'xshaydi (antivirus tizimlari hujumni aniqlash tizimining asosiy namunasidir), ya'ni. tizim barcha ma'lum hujumlarni aniqlay oladi, lekin u yangi, ammo noma'lum hujumlarni aniqlash uchun yaxshi moslashtirilmagan. Bunday tizimlarda amalga oshirilgan yondashuv juda oddiy va bugungi kunda bozorda taklif etilayotgan deyarli barcha hujumlarni aniqlash tizimlari unga asoslangan. Deyarli barcha bosqinlarni aniqlash tizimlari imzo yondashuviga asoslangan.
Bosqinlarni aniqlash tizimining afzalliklari:
.) Kommutatsiya yirik tarmoqlarni bir nechta kichik tarmoq segmentlaridek boshqarish imkonini beradi. Natijada, tarmoq trafigidagi hujumlarni aniqlaydigan tizimni o'rnatish uchun eng yaxshi joyni aniqlash qiyin bo'lishi mumkin. Ba'zan kalitlardagi span portlari yordam berishi mumkin, lekin har doim ham emas. Xostga xos hujumni aniqlash kommutatsiyalangan tarmoqlarda yanada samarali tajribani ta'minlaydi, chunki u aniqlash tizimlarini faqat unga kerak bo'lgan tugunlarga joylashtirish imkonini beradi.
.) Tarmoq sathi tizimlari har bir xostga kirishni aniqlash tizimi dasturiy ta'minotini o'rnatishni talab qilmaydi. IDS o'rnatilgan joylar soni butun tarmoqni kuzatish uchun kichik bo'lganligi sababli, ularni korxona tarmog'ida ishlatish narxi tizim darajasida bosqinlarni aniqlash tizimlarini ishlatish narxidan past bo'ladi. Bundan tashqari, tarmoq segmentini kuzatish uchun ma'lum bir segmentdagi tugunlar sonidan qat'i nazar, faqat bitta sensor kerak bo'ladi.
.) Buzg'unchining kompyuterini tark etgan tarmoq paketini qaytarib bo'lmaydi. Tarmoq darajasida ishlaydigan tizimlar real vaqtda hujumlarni aniqlashda "jonli" trafikdan foydalanadi. Shunday qilib, tajovuzkor o'zining ruxsatsiz faoliyatining izlarini olib tashlay olmaydi. Tahlil qilingan ma'lumotlar nafaqat hujum qilish usuli haqidagi ma'lumotlarni, balki tajovuzkorni aniqlashga va uni sudda isbotlashga yordam beradigan ma'lumotlarni ham o'z ichiga oladi. Ko'pgina xakerlar tizimni ro'yxatga olish mexanizmlari bilan yaqindan tanish bo'lganligi sababli, ular hujumni aniqlash uchun ushbu ma'lumotni talab qiladigan tizim darajasidagi tizimlarni buzgan holda, o'z faoliyati izlarini yashirish uchun ushbu fayllarni qanday boshqarishni bilishadi.
.) Tarmoq darajasidagi tizimlar shubhali hodisalar va hujumlarni sodir bo'lganda aniqlaydi va shuning uchun jurnallarni tahlil qiluvchi tizimlarga qaraganda tezroq xabar va javob beradi. Misol uchun, TCP asosida tarmoqqa xizmat ko'rsatishni rad etish hujumini boshlagan xaker tarmoq sathi hujumini aniqlash tizimi tomonidan to'xtatilishi mumkin, bu hujum uyushtiruvchi xost bilan ulanishni hujum uzilishga olib kelishidan oldin to'xtatish uchun sarlavhada o'rnatilgan Reset bayrog'i bilan TCP paketini yuboradi. hujum qilingan tugunning shikastlanishi. Jurnalni tahlil qilish tizimlari tegishli jurnalga kiritilmaguncha hujumlarni tanimaydi va kiritilgandan so'ng javob choralarini ko'radi. Ushbu nuqtada, muhim tizimlar yoki resurslar allaqachon buzilgan bo'lishi mumkin yoki xost darajasida bosqinlarni aniqlash tizimi bilan ishlaydigan tizim buzilgan bo'lishi mumkin. Haqiqiy vaqtda bildirishnoma oldindan belgilangan parametrlarga ko'ra tezda javob berishga imkon beradi. Bu javoblar diapazoni hujum va tajovuzkor haqida ma'lumot to'plash uchun kuzatuv rejimida bosqinga ruxsat berishdan tortib, hujumni darhol tugatishgacha bo'ladi.
Nihoyat, tarmoq darajasida ishlaydigan hujumlarni aniqlash tizimlari korporativ tarmoqda o'rnatilgan operatsion tizimlarga bog'liq emas, chunki ular korporativ tarmoqdagi barcha tugunlar tomonidan almashinadigan tarmoq trafigida ishlaydi. Buzilishni aniqlash tizimi, agar u aniqlash tizimi tomonidan qo'llab-quvvatlanadigan standartlarga muvofiq bo'lsa, qaysi OS ma'lum bir paketni yaratganiga ahamiyat bermaydi. Masalan, Windows 98, Windows NT, Windows 2000 va XP, Netware, Linux, MacOS, Solaris va boshqalar tarmoqda ishlashi mumkin, lekin agar ular bir-biri bilan IP orqali bog'lansa, buni qo'llab-quvvatlaydigan har qanday hujumni aniqlash tizimlari. protokoli, ushbu operatsion tizimlarga qaratilgan hujumlarni aniqlay oladi. Tarmoq darajasidagi va xost darajasidagi tajovuzlarni aniqlash tizimlaridan birgalikda foydalanish tarmog'ingiz xavfsizligini oshiradi.
.5 Tarmoq hujumlarini aniqlash tizimlari va xavfsizlik devorlari
Ko'pincha ular tarmoqqa kirishni aniqlash tizimlarini xavfsizlik devorlari bilan almashtirishga harakat qilishadi, bu esa xavfsizlikning juda yuqori darajasini ta'minlaydi. Ammo shuni yodda tutingki, xavfsizlik devorlari oddiygina qoidalarga asoslangan tizimlar bo'lib, ular orqali trafikka ruxsat beradi yoki rad etadi. Hatto "" texnologiyasidan foydalangan holda qurilgan xavfsizlik devorlari ham ular nazorat qiladigan trafikda hujum bor yoki yo'qligini aniq aytishga imkon bermaydi. Ular yo'l harakati qoidaga mos keladimi yoki yo'qligini aniqlashlari mumkin. Misol uchun, ITU 80-portdagi TCP ulanishlaridan tashqari barcha ulanishlarni bloklash uchun tuzilgan (ya'ni HTTP trafiki). Shunday qilib, 80-port orqali har qanday trafik XEI nuqtai nazaridan qonuniydir. Boshqa tomondan, hujumni aniqlash tizimi trafikni ham kuzatib boradi, biroq unda hujum belgilarini qidiradi. U ozgina qayg'uradi trafik qaysi portga mo'ljallangan. Odatiy bo'lib, hujumni aniqlash tizimi uchun barcha trafik shubhali hisoblanadi. Ya'ni, kirishni aniqlash tizimi ITU bilan bir xil ma'lumotlar manbai, ya'ni tarmoq trafigi bilan ishlashiga qaramay, ular bir-birini to'ldiruvchi funktsiyalarni bajaradilar. Misol uchun, HTTP so'rovi "GET /../../../etc/passwd HTTP/1.0". Deyarli har qanday XEI ushbu so'rovni o'zi orqali o'tkazishga imkon beradi. Biroq, hujumni aniqlash tizimi bu hujumni osongina aniqlaydi va uni bloklaydi. Hujumni aniqlashning o'zi etarli emas - unga mos ravishda javob berish kerak. Bu hujumni aniqlash tizimining samaradorligini ko'p jihatdan aniqlaydigan javob variantlari. Hozirgi vaqtda quyidagi variantlar taklif etiladi: tajovuzni aniqlash tizimi ITU bilan bir xil ma'lumotlar manbai, ya'ni tarmoq trafigi bilan ishlashiga qaramay, ular qo'shimcha funktsiyalarni bajaradilar. Misol uchun, HTTP so'rovi "GET /../../../etc/passwd HTTP/1.0". Deyarli har qanday XEI ushbu so'rovni o'zi orqali o'tkazishga imkon beradi. Biroq, hujumni aniqlash tizimi bu hujumni osongina aniqlaydi va uni bloklaydi. Hujumni aniqlashning o'zi etarli emas - unga mos ravishda javob berish kerak. Bu hujumni aniqlash tizimining samaradorligini ko'p jihatdan aniqlaydigan javob variantlari. Hozirgi vaqtda quyidagi variantlar taklif etiladi: tajovuzni aniqlash tizimi ITU bilan bir xil ma'lumotlar manbai, ya'ni tarmoq trafigi bilan ishlashiga qaramay, ular qo'shimcha funktsiyalarni bajaradilar. Misol uchun, HTTP so'rovi "GET /../../../etc/passwd HTTP/1.0". Deyarli har qanday XEI ushbu so'rovni o'zi orqali o'tkazishga imkon beradi. Biroq, hujumni aniqlash tizimi bu hujumni osongina aniqlaydi va uni bloklaydi. Hujumni aniqlashning o'zi etarli emas - unga mos ravishda javob berish kerak. Bu hujumni aniqlash tizimining samaradorligini ko'p jihatdan aniqlaydigan javob variantlari. Hozirgi vaqtda quyidagi variantlar taklif etiladi: Deyarli har qanday XEI ushbu so'rovni o'zi orqali o'tkazishga imkon beradi. Biroq, hujumni aniqlash tizimi bu hujumni osongina aniqlaydi va uni bloklaydi. Hujumni aniqlashning o'zi etarli emas - unga mos ravishda javob berish kerak. Bu hujumni aniqlash tizimining samaradorligini ko'p jihatdan aniqlaydigan javob variantlari. Hozirgi vaqtda quyidagi variantlar taklif etiladi: Deyarli har qanday XEI ushbu so'rovni o'zi orqali o'tkazishga imkon beradi. Biroq, hujumni aniqlash tizimi bu hujumni osongina aniqlaydi va uni bloklaydi. Hujumni aniqlashning o'zi etarli emas - unga mos ravishda javob berish kerak. Bu hujumni aniqlash tizimining samaradorligini ko'p jihatdan aniqlaydigan javob variantlari. Hozirgi vaqtda quyidagi variantlar taklif etiladi:
Buzilishni aniqlash tizimining konsoliga (shu jumladan zaxira nusxasi) yoki integratsiyalashgan tizim konsoliga (masalan, xavfsizlik devori) bildirishnoma.
Hujum haqida ovozli xabar.
Tarmoqni boshqarish tizimlari uchun SNMP qochish ketma-ketligini yaratish.
Hujum haqida elektron pochta xabarini yaratish.
Peyjer yoki faksga qo'shimcha bildirishnomalar. Juda qiziq, garchi kamdan-kam ishlatiladigan xususiyat. Ruxsatsiz faoliyatni aniqlash haqidagi ogohlantirish administratorga emas, balki tajovuzkorga yuboriladi. Ushbu javob variantining tarafdorlariga ko'ra, qoidabuzar o'zining topilganligini bilib, o'z harakatlarini to'xtatishga majbur bo'ladi.
Aniqlangan hodisalarni majburiy ro'yxatga olish. Jurnal fayli quyidagilar bo'lishi mumkin: matnli fayl, tizim jurnali (masalan, Cisco Secure Integrated Software tizimida), maxsus formatdagi matn fayli (masalan, Snort tizimida), mahalliy MS Access ma'lumotlar bazasi, SQL ma'lumotlar bazasi (masalan, RealSecure-da). Shuni hisobga olish kerakki, ro'yxatga olingan ma'lumotlar hajmi, qoida tariqasida, SQL ma'lumotlar bazasi - MS SQL yoki Oracle-ni talab qiladi.
Voqea izi (voqea izi), ya'ni. ularni tajovuzkor tomonidan amalga oshirilgan ketma-ketlikda va tezlikda qayd etish. Keyin, istalgan vaqtda, ma'mur tajovuzkorning faoliyatini tahlil qilish uchun ma'lum bir tezlikda (real vaqtda, tez yoki sekin) kerakli voqealar ketma-ketligini takrorlashi (takrorlash yoki o'ynash) mumkin. Bu sizga uning malakasini, ishlatiladigan hujum vositalarini va hokazolarni tushunishga imkon beradi.
Hujumchining harakatlarini to'xtatish, ya'ni. ulanishni tugatish. Buni quyidagicha qilish mumkin:
ulanishni ushlab turish (sessiyani o'g'irlash) va RST bayrog'i o'rnatilgan paketni tarmoq ulanishining ikkala ishtirokchisiga ularning har biri nomidan yuborish (tarmoq darajasida ishlaydigan hujumni aniqlash tizimida);
hujumni amalga oshiruvchi foydalanuvchining hisobini blokirovka qilish (host darajasidagi hujumni aniqlash tizimida). Bunday blokirovka ma'lum bir vaqt davomida yoki administrator tomonidan hisob ochilgunga qadar amalga oshirilishi mumkin. Buzg'unchilikni aniqlash tizimi ishga tushirilgan imtiyozlarga qarab, blokirovka hujumga mo'ljallangan kompyuterning o'zida ham, butun tarmoq domenida ham ishlashi mumkin.
Tarmoq uskunalari yoki xavfsizlik devorlarini qayta sozlash. Agar hujum aniqlansa, kirishni boshqarish ro'yxatini o'zgartirish uchun yo'riqnoma yoki xavfsizlik devoriga buyruq yuboriladi. Keyinchalik, hujum qiluvchi tugunning barcha ulanish urinishlari rad etiladi. Buzg'unchining hisobini blokirovka qilish kabi, kirishni boshqarish ro'yxatini o'zgartirish ham ma'lum vaqt oralig'ida yoki o'zgartirish qayta konfiguratsiya qilinadigan tarmoq uskunasi ma'muri tomonidan bekor qilinmaguncha amalga oshirilishi mumkin.
Tarmoq trafigini blokirovka qilish, chunki u xavfsizlik devorlarida amalga oshiriladi. Ushbu parametr trafikni, shuningdek, himoyalangan kompyuter resurslariga kira oladigan qabul qiluvchilarni cheklash imkonini beradi, bu esa shaxsiy xavfsizlik devorlarida mavjud funktsiyalarni bajarishga imkon beradi.
2. Xavfsizlik tahlili dasturi
Tarmoq va axborot texnologiyalari shu qadar tez o'zgarmoqdaki, kirishni boshqarish tizimlari, xavfsizlik devorlari va autentifikatsiya tizimlarini o'z ichiga olgan statik xavfsizlik mexanizmlari juda cheklangan va ko'p hollarda samarali himoyani ta'minlay olmaydi. Shuning uchun xavfsizlikni buzishni aniqlash va oldini olish uchun dinamik usullar kerak. Kirishni boshqarish modellari tomonidan aniqlanmaydigan qoidabuzarliklarni aniqlash uchun qo'llanilishi mumkin bo'lgan texnologiyalardan biri bu kirishni aniqlash texnologiyasidir.
Intrusionlarni aniqlash tizimlarini (ISA) qurish usullariga asoslangan axborot xavfsizligi vositalari shartli ravishda ikki sinfga bo'linadi:
. Tarmoq darajasidagi SOAlar tarmoq trafigini tahlil qiladi. Tarmoq SOAlarining asosiy afzalligi shundaki, ular hujum qilingan xostga yetib borishdan oldin hujumlarni aniqlaydilar. Ushbu tizimlarni yirik tarmoqlarda joylashtirish osonroq, chunki ular tashkilotda qo'llaniladigan turli platformalarda o'rnatishni talab qilmaydi va tarmoq ishlashiga deyarli ta'sir qilmaydi.
. Xost darajasidagi SOA operatsion tizim yoki dastur jurnallarini tahlil qiladi. Ular ma'lum bir operatsion tizimda ishlashga mo'ljallangan bo'lib, ularga ma'lum cheklovlar qo'yadi. Operatsion tizim qanday "o'zini tutishi" kerakligi haqidagi bilimlardan foydalanib, ushbu yondashuvni hisobga olgan holda yaratilgan vositalar ba'zan tarmoq SOAlari tomonidan o'tkazib yuborilgan hujumlarni aniqlashi mumkin.
Biroq, bu ko'pincha yuqori xarajat evaziga erishiladi, chunki bunday kashfiyotni amalga oshirish uchun zarur bo'lgan doimiy jurnal himoyalangan xostning ish faoliyatini sezilarli darajada pasaytiradi. Bunday tizimlar protsessorni talab qiladi va jurnallarni saqlash uchun katta hajmdagi disk maydonini talab qiladi.
Birinchi toifadagi tizimlar odatda hujum imzolari va tezkor tahlildan foydalangan holda tarmoq trafigini tahlil qiladi, ikkinchi toifadagi tizimlar esa operatsion tizim yoki ilovalar jurnallarini tekshiradi.
On-the-fly tahlil usuli tarmoq trafigini real yoki real vaqtda kuzatish va tegishli aniqlash algoritmlaridan foydalanishdan iborat. Mexanizm ko'pincha ruxsatsiz faoliyatni ko'rsatishi mumkin bo'lgan muayyan qatorlar uchun trafikni qidirish uchun ishlatiladi. Bunday qatorlarga, masalan, /etc/passwd kiradi (UNIX OS parollar ro'yxatiga yo'lni tavsiflaydi).
Jurnal tahlili hujumni aniqlashning eng birinchi usullaridan biridir. U operatsion tizim, amaliy dasturlar, marshrutizatorlar va boshqalar tomonidan yaratilgan jurnallarni (jurnal, audit izi) tahlil qilishdan iborat. Jurnaldagi yozuvlar bosqinlarni aniqlash tizimi tomonidan tahlil qilinadi va izohlanadi.
Kompyuter tizimlarining xavfsizlik tahdidlaridan himoyalanish darajasi ko'plab omillar bilan belgilanadi. Tizim va amaliy dasturiy ta'minot konfiguratsiyasi, axborot xavfsizligi vositalari va faol tarmoq uskunalari mavjud xavf-xatarlarga muvofiqligi hal qiluvchi omillardan biridir.
Faol xavfsizlik auditini o'tkazish uchun elektron kirish uchun zaifliklarni ("teshiklar" mavjudligi) aniqlash, shuningdek, atom elektr stantsiyasini tekshirishni amalga oshiradigan maxsus dasturiy vositalardan foydalanish mumkin. tajovuzkor hujumlardan himoya qilish. Maxsus ochiq va tijorat xavfsizligini tahlil qilish vositalari sizga o'nlab va yuzlab geografik jihatdan tarqalgan tarmoq tugunlarini tezda tekshirish imkonini beradi. Shu bilan birga, ular nafaqat axborot tizimidagi tahdid va zaifliklarning aksariyat qismini aniqlaydi, balki xavfsizlik ma'murlariga ularni bartaraf etish bo'yicha tavsiyalar ishlab chiqish imkonini beradi.
Tahlil va xavfsizlik jarayonlarini avtomatlashtirishning ikkita usuli mavjud:
intellektual dasturiy agentlar texnologiyasidan foydalanish;
ASga tarmoqqa kirishga urinish uchun tajovuzkorning harakatlarini taqlid qilish orqali himoya mexanizmlarini faol sinovdan o'tkazish.
Birinchi holda, himoya tizimi konsol/menejer/agent arxitekturasiga asoslangan. Boshqariladigan tizimlarning har birida dasturiy ta'minotni sozlashni amalga oshiradigan va ularning to'g'riligini tekshiradigan, fayllarning yaxlitligini, dasturiy ta'minotni to'g'rilash paketlarini o'z vaqtida o'rnatishni nazorat qiluvchi, shuningdek, AS xavfsizligini nazorat qilish uchun boshqa foydali vazifalarni bajaradigan dasturiy ta'minot agenti o'rnatilgan. Menejerlar bunday tizimlarning markaziy komponentlari hisoblanadi. Ular nazorat buyruqlarini o'zlari boshqaradigan domendagi barcha agentlarga yuboradilar va agentlardan olingan barcha ma'lumotlarni markaziy ma'lumotlar bazasida saqlaydilar. Administrator boshqaruvchilarni grafik konsol yordamida boshqaradi, bu sizga xavfsizlik siyosatlarini tanlash, sozlash va yaratish, tizim holatidagi o‘zgarishlarni tahlil qilish, zaifliklarni tartiblash va h.k. imkonini beradi. Agentlar o‘rtasidagi barcha o‘zaro aloqalar, menejerlar va boshqaruv konsoli xavfsiz mijoz-server protokoli yordamida amalga oshiriladi. Tarmoqqa tajovuzkorning harakatlarini taqlid qilish orqali himoya mexanizmlarini faol ravishda sinab ko'rish uchun ASga tarmoqqa kirishga urinish uchun potentsial buzg'unchilarning harakatlarini taqlid qiluvchi tarmoq skanerlari qo'llaniladi. Tarmoq skanerlarining ishlashi OS, xavfsizlik devori, marshrutizatorlar va tarmoq protokollarining ma'lum zaifliklari tavsifini, shuningdek, hujumga urinishlarni (hujum stsenariylarini) amalga oshirish algoritmlarini o'z ichiga olgan ma'lumotlar bazasiga asoslanadi. Masalan, Ness va Symantec NetRecon tarmoq skanerlari xavfsizlikni tahlil qilish dasturining ushbu sinfining munosib vakillaridir. Tarmoqqa tajovuzkorning harakatlarini taqlid qilish orqali himoya mexanizmlarini faol ravishda sinab ko'rish uchun ASga tarmoqqa kirishga urinish uchun potentsial buzg'unchilarning harakatlarini taqlid qiluvchi tarmoq skanerlari qo'llaniladi. Tarmoq skanerlarining ishlashi OS, xavfsizlik devori, marshrutizatorlar va tarmoq protokollarining ma'lum zaifliklari tavsifini, shuningdek, hujumga urinishlarni (hujum stsenariylarini) amalga oshirish algoritmlarini o'z ichiga olgan ma'lumotlar bazasiga asoslanadi. Masalan, Ness va Symantec NetRecon tarmoq skanerlari xavfsizlikni tahlil qilish dasturining ushbu sinfining munosib vakillaridir. Tarmoqqa tajovuzkorning harakatlarini taqlid qilish orqali himoya mexanizmlarini faol ravishda sinab ko'rish uchun ASga tarmoqqa kirishga urinish uchun potentsial buzg'unchilarning harakatlarini taqlid qiluvchi tarmoq skanerlari qo'llaniladi. Tarmoq skanerlarining ishlashi OS, xavfsizlik devori, marshrutizatorlar va tarmoq protokollarining ma'lum zaifliklari tavsifini, shuningdek, hujumga urinishlarni (hujum stsenariylarini) amalga oshirish algoritmlarini o'z ichiga olgan ma'lumotlar bazasiga asoslanadi. Masalan, Ness va Symantec NetRecon tarmoq skanerlari xavfsizlikni tahlil qilish dasturining ushbu sinfining munosib vakillaridir.
Shunday qilib, xavfsizlikni tahlil qilish dasturiy vositalarini shartli ravishda ikki sinfga bo'lish mumkin:
Tarmoq skanerlari tegishli bo'lgan birinchi sinf ba'zan tarmoq qatlami xavfsizligini tahlil qilish vositalari deb ataladi.
Bu erda muhokama qilingan boshqa barcha vositalarni o'z ichiga olgan ikkinchi sinf ba'zan tizim darajasidagi xavfsizlikni tahlil qilish vositalari deb ataladi.
Ushbu vositalar sinflari o'zlarining afzalliklari va kamchiliklariga ega, ammo amalda ular bir-birini to'ldiradi.
Tarmoq skanerlari, ehtimol, eng qulay va keng qo'llaniladigan xavfsizlikni tahlil qilish vositalaridir. Ularning faoliyatining asosiy printsipi tarmoq hujumlarini amalga oshirish uchun potentsial tajovuzkorning harakatlarini taqlid qilishdir. Mumkin bo'lgan hujumlarni taqlid qilish orqali zaifliklarni topish AS xavfsizligini tahlil qilishning eng samarali usullaridan biri bo'lib, shablonlar (tekshirish ro'yxatlari) yordamida lokal ravishda amalga oshiriladigan shablonlarga asoslangan konfiguratsiya tahlili natijalarini to'ldiradi. Skaner har qanday AS xavfsizlik ma'murining arsenalidagi zarur vositadir.
Zamonaviy skanerlar tarmoq protokollarining ma'lum turlarini ta'minlovchi tarmoq resurslarida yuzlab zaifliklarni aniqlashga qodir, ular to'rtta asosiy vazifani bajaradilar:
mavjud tarmoq resurslarini aniqlash;
mavjud tarmoq xizmatlarini aniqlash;
tarmoq xizmatlaridagi mavjud zaifliklarni aniqlash;
zaifliklarni bartaraf etish bo'yicha tavsiyalar berish.
Tarmoq skanerining funksionalligi tarmoq resurslariga hujumlarni amalga oshirish uchun topilgan zaifliklardan qanday foydalanish bo'yicha tavsiyalar berishni o'z ichiga olmaydi. Skanerning zaifliklarni tahlil qilish qobiliyati mavjud tarmoq xizmatlari uni taqdim etishi mumkin bo'lgan ma'lumotlar bilan cheklangan.
Skanerning ishlash printsipi standart tarmoq yordam dasturlari yordamida tarmoqni tahlil qiladigan buzg'unchining harakatlarini simulyatsiya qilishdir. U tizim resurslariga masofaviy hujumlarni amalga oshirish va muvaffaqiyatli urinishlarni hujjatlashtirish uchun tarmoq xizmatlari, tarmoq protokollari va operatsion tizimlardagi ma'lum zaifliklardan foydalanadi.
Zamonaviy skanerlar maʼlumotlar bazalaridagi zaifliklar soni asta-sekin, lekin shubhasiz 1000 ga yaqinlashmoqda. Ushbu sinfning eng ilgʻor tijorat mahsulotlaridan biri Symantec kompaniyasining NetRecon tarmoq skaneri boʻlib, uning maʼlumotlar bazasi UNIX, Windows va NetWare tizimlarida 800 ga yaqin zaifliklarni oʻz ichiga oladi va doimiy ravishda yangilanadi. Internet orqali.
Tarmoq skanerlarining afzalliklari. Tarmoq skaneri ishlashi uchun tahlil qilinadigan tizimlarga tarmoqqa kirish imkoniga ega bo'lgan faqat bitta kompyuter talab qilinadi, shuning uchun dasturiy agent texnologiyasiga asoslangan mahsulotlardan farqli o'laroq, har bir tahlil qilinadigan tizimda o'z agentini (har bir OT uchun bittadan) o'rnatishning hojati yo'q. . Bundan tashqari, skanerlar oddiyroq, qulayroq, arzonroq va ko'p hollarda xavfsizlikni tahlil qilishning samarali vositalaridir.
Tarmoq skanerlarining kamchiliklari qatoriga barcha tarmoqqa ulangan kompyuterlarni bir tizimdan skanerlash uchun katta vaqt sarflanishi va tarmoqda katta yuk hosil qilish kiradi. Bundan tashqari, skanerlash seansi va haqiqiy hujumga urinishlarni farqlash odatda qiyin. Tarmoq skanerlari tajovuzkorlar tomonidan ham muvaffaqiyatli qo'llaniladi.
Tizim darajasidagi xavfsizlikni tahlil qilish vositalari OT va dastur konfiguratsiyasini "ichkaridan" tekshirishni amalga oshiradi. Bunday tizimlar ko'pincha aqlli dasturiy ta'minot agentlari yordamida quriladi. Buning sababi, intellektual dasturiy ta'minot agentlari asosida qurilgan xavfsizlikni tahlil qilish tizimlari quyidagi afzalliklarga ega:
tarmoq skanerlariga qaraganda kuchliroq;
odatda tarmoq skanerlari uchun mavjud bo'lmagan murakkabroq tekshiruvlarni amalga oshirish va dasturiy ta'minot parametrlarini tahlil qilish imkoniyatiga ega, chunki ular ichkaridan ishlaydi; D xavfsizlik tahlili barcha nazorat qilinadigan kompyuterlarda bir vaqtning o'zida rejalashtirilishi va ishlashi mumkin;
tarmoq o'tkazuvchanligiga katta ta'sir ko'rsatmaydi;
tarmoq orqali ma'lumotlarni uzatishda tekshirish natijalarini shifrlashni (kriptografik usullardan foydalangan holda ma'lumotlarni himoya qilish va maxfiy kalitni bilmasdan ma'lumotlarni o'qish mumkin emasligi kafolati) amalga oshirish.
Ushbu turdagi ishlab chiqilgan tizim darajasidagi xavfsizlikni tahlil qilish vositasiga misol sifatida Symantec kompaniyasining korporativ xavfsizlikni boshqarishning avtomatlashtirilgan tizimi ESM va ISSdan tizim skaneri hisoblanadi. ESM tizimi konsol/menejer/agent arxitekturasida qurilgan.
Bugungi kunda axborot xavfsizligi bilan bog'liq holda Internetdan foydalanadigan deyarli hech bir kompaniya VPN texnologiyasidan - virtual xususiy tarmoqdan foydalanmasdan qila olmaydi.
Qurilish quyidagi g'oyaga asoslanadi: agar global tarmoqda ma'lumot almashishni xohlaydigan ikkita tugun mavjud bo'lsa, u holda ochiq kanallar orqali uzatiladigan ma'lumotlarning maxfiyligi va yaxlitligini ta'minlash uchun virtual tunnel qurish kerak, unga kirish mumkin. barcha mumkin bo'lgan faol va passiv tashqi kuzatuvchilar uchun qiyin bo'lishi kerak.
Virtual xususiy tarmoq atamasi ko'pincha umumiy tarmoqlar orqali tashkil etilgan virtual tarmoq ob'ektlari o'rtasida xavfsiz axborot oqimlarini tashkil qilishni anglatadi.
Shu bilan birga, mahalliy va umumiy tarmoqlarning ma'lumotlar oqimlari bir-biriga ta'sir qilmasligi kerak. Virtual atamasi ikkita tarmoq tugunlari orasidagi aloqa doimiy emasligini va faqat tarmoq orqali trafik o'tish paytida mavjud ekanligini ko'rsatadi. Virtual korporativ tarmoqning ob'ektlari mahalliy tarmoqlar va alohida kompyuterlarning birlashmalari bo'lishi mumkin.
VPN tarmog'ining infratuzilmasi haqiqiy aloqa kanallari asosida modellashtirilgan: ijaraga olingan liniyalar - Internetga ulangan yuqori tezlikdagi magistral kanallari (optik tolali, sun'iy yo'ldosh, radiorele) yoki dial-upga ega bo'lgan provayderga ulangan simli liniyalar. liniyalar - oddiy telefon kanallari. Shu bilan birga, haqiqiy ochiq tarmoq VPN-larning butun majmuasi uchun asos bo'lib xizmat qilishi mumkin, ularning cheklangan soni ochiq aloqa kanallarining o'tkazish qobiliyati bilan belgilanadi.Ular foydalanuvchilarga shaffof bo'lgan mahalliy tarmoqlar ulanishini tashkil qilish imkonini beradi, shifrlashdan foydalangan holda uzatiladigan ma'lumotlarning maxfiyligi va yaxlitligini saqlashda. Shu bilan birga, Internet orqali uzatishda nafaqat foydalanuvchi ma'lumotlari, balki tarmoq ma'lumotlari - tarmoq manzillari, port raqamlari va boshqalar shifrlanadi.
VPN texnologiyasi ikkita asosiy funktsiyani bajaradi: tarmoq ulanishlarini himoya qilish uchun ma'lumotlarni shifrlash va protokol tunnelini o'rnatish.
Tunnellash deganda ma'lumotlarni ochiq tarmoqlar orqali xavfsiz mantiqiy ulanish orqali uzatish tushuniladi, bu bitta protokoldan ma'lumotlarni boshqasining paketlariga joylashtirish imkonini beradi.
Xavfsiz VPN oqimlari (kanallari) VPN o'rtasida yaratilishi mumkin: tarmoq shlyuzlari, VPN shlyuzlari va VPN mijozlari, shuningdek VPN mijozlari o'rtasida. Virtual xavfsiz kanallarni yaratish VPN tarmoq ob'ektlari orasidagi trafik va tunnel protokollarini shifrlash orqali erishiladi.PN shlyuzi tarmoq chetida o'rnatilgan tarmoq qurilmasi bo'lib, xavfsiz VPN kanallarini shakllantirish, VPN tarmoq mijozlarini autentifikatsiya qilish va avtorizatsiya qilish funksiyalarini bajaradi. VPN shlyuzi xavfsizlik devoriga o'xshash tarzda joylashganki, tashkilotning barcha tarmoq trafigi u orqali o'tadi. Ko'pgina hollarda, ichki tarmoq foydalanuvchilari uchun VPN tarmog'i shaffof bo'lib qoladi va maxsus dasturiy ta'minotni o'rnatishni talab qilmaydi. VPN tarmog'iga ulanish (VPN shlyuzlari orqali). VPN mijozi autentifikatsiya parametrlarini uzatish va trafikni shifrlash/shifrini ochish funksiyalarini bajaradi.
Ko'pgina hollarda, bir vaqtning o'zida ikkita kanal - Internet va VPN ishlashini ta'minlash kerak. Bunday holda siz turli xil jismoniy aloqa liniyalaridan yoki bittadan foydalanishingiz mumkin. Biroq, Internetga kirish va VPN-ni qo'llab-quvvatlash uchun yagona aloqa kanalini ishlatish narxi ancha past.
3. Tahdidlarni aniqlash va qaytarish uchun dasturiy vositalar
ASga hujum qilish jarayoni uch bosqichni o'z ichiga oladi. Birinchi bosqich, tayyorgarlik, ma'lum bir hujumni amalga oshirish uchun zarur shart-sharoitlarni izlashdir. Ushbu bosqichda zaifliklar qidiriladi, ulardan foydalanish hujumni amalga oshirishga, ya'ni ikkinchi bosqichga olib keladi. Uchinchi bosqichda hujum tugallanadi, izlar "qoplanadi" va hokazo. Bunday holda, birinchi va uchinchi bosqichlarning o'zlari hujumlar bo'lishi mumkin.
Hujumlarni aniqlash, bloklash va oldini olishning bir necha usullari mavjud. Birinchi va eng keng tarqalgan usul - allaqachon amalga oshirilayotgan hujumlarni aniqlash. Ushbu usul hujumning ikkinchi bosqichida ishlaydi. Ushbu usul "klassik" bosqinlarni aniqlash tizimlarida qo'llaniladi:
• autentifikatsiya serverlari;
• kirishni boshqarish tizimlari;
• xavfsizlik devori va boshqalar.
Ushbu sinf vositalarining asosiy kamchiligi shundaki, hujumlarni qaytadan amalga oshirish mumkin. Ular ham qayta topiladi va bloklanadi. Va hokazo, ad infinitum.
Ikkinchi yo'l - hujumlarni amalga oshirishdan oldin ham oldini olish. Bu hujumni amalga oshirish uchun ishlatilishi mumkin bo'lgan zaifliklarni qidirish orqali amalga oshiriladi.
Va nihoyat, uchinchi yo'l - allaqachon sodir bo'lgan hujumlarni aniqlash va ularning takrorlanishining oldini olish.
Shunday qilib, hujumni aniqlash tizimlari hujum bosqichlariga ko'ra tasniflanishi mumkin.
. Hujumning birinchi bosqichida ishlaydigan va tajovuzkor tomonidan hujumni amalga oshirish uchun foydalaniladigan axborot tizimining zaifliklarini aniqlashga imkon beradigan tizimlar. Ushbu turkumdagi vositalar xavfsizlikni baholash tizimlari yoki xavfsizlik skanerlari deb ataladi.
Xavfsizlikni tahlil qilish tizimlari zaifliklarni aniqlash uchun tizimlarning keng qamrovli tekshiruvlarini o'tkazadi. Xavfsizlikni tahlil qilish vositalaridan olingan natijalar ma'lum bir vaqtning o'zida tizim himoyasi holatining "suratini" beradi. Garchi bu tizimlar hujumni rivojlanish jarayonida aniqlay olmasa ham, ular hujum ehtimolini aniqlay oladi.
Ushbu tizimlar ikkita strategiyani amalga oshiradi. Birinchi strategiya passiv bo'lib, operatsion tizim, DBMS va ilovalar darajasida amalga oshiriladi, u noto'g'ri sozlamalar uchun konfiguratsiya fayllari va tizim registrini, oson taxmin qilinadigan parollar uchun parol fayllari va xavfsizlik siyosatining buzilishi uchun boshqa tizim ob'ektlarini tahlil qiladi. . Ikkinchi strategiya faol, ko'p hollarda tarmoq darajasida amalga oshiriladi. U eng keng tarqalgan hujum stsenariylarini takrorlash va tizimning ushbu stsenariylarga munosabatini tahlil qilishdan iborat.
. Hujumning ikkinchi bosqichida ishlaydigan va ularni amalga oshirish jarayonida hujumlarni aniqlash imkonini beruvchi tizimlar, ya'ni. real (yoki real) vaqtda. Aynan shu vositalar klassik ma'noda hujumni aniqlash tizimlari deb hisoblanadi. Bundan tashqari, yaqinda hujumni aniqlash vositalarining yangi sinfi paydo bo'ldi - aldamchi tizimlar.
Hujumni aniqlash operatsion tizim va amaliy dasturlar jurnallari yoki real vaqtda tarmoq trafigini tahlil qilish orqali amalga oshiriladi. Tugunlar yoki tarmoq segmentlarida o'rnatilgan hujumni aniqlash komponentlari ruxsatsiz harakatlarning ma'lum naqshlari (imzolari) bilan boshqariladigan maydonni (tarmoq trafiki yoki jurnallar) solishtirish orqali turli harakatlarni, shu jumladan ma'lum zaifliklardan foydalanadiganlarni baholaydi.
Aldamchi tizimlar quyidagi usullardan foydalanishi mumkin: yashirish, kamuflyaj va dezinformatsiya. Birinchi usuldan foydalanishning yorqin misoli xavfsizlik devori yordamida tarmoq topologiyasini yashirishdir. Kamuflyaj misoli Windows NT operatsion tizimi ostida ishlaydigan tizimda Unix-ga o'xshash grafik interfeysdan foydalanishdir. Agar tajovuzkor tasodifan bunday interfeysni ko'rsa, u Windows NT OT uchun emas, balki Unix OS uchun xos bo'lgan hujumlarni amalga oshirishga harakat qiladi. Bu hujumni "muvaffaqiyatli" amalga oshirish uchun zarur bo'lgan vaqtni sezilarli darajada oshiradi. Nihoyat, dezinformatsiyaning misoli - bu tajovuzkorga u hujum qilayotgan tizim zaif ekanligini ko'rsatadigan sarlavhalardan foydalanish.
Kamuflyaj va dezinformatsiyani amalga oshiradigan tizimlar haqiqatda mavjud bo'lmagan ma'lum zaifliklarga taqlid qiladi.
Bunday tizimlardan foydalanish quyidagilarga olib keladi:
• qoidabuzar tomonidan bajariladigan operatsiyalar va harakatlar sonining ko'payishi. Buzg'unchi tomonidan aniqlangan zaiflik haqiqiymi yoki yo'qligini oldindan aniqlash mumkin emasligi sababli, tajovuzkor buni aniqlash uchun ko'plab qo'shimcha qadamlarni bajarishi kerak. Va hatto qo'shimcha harakatlar har doim ham yordam bermaydi. Misol uchun, haqiqatda soxtalashtirilgan va mavjud bo'lmagan faylda parolni taxmin qilish vositasini ishga tushirishga urinish hech qanday ko'rinadigan natijasiz vaqtni behuda sarflashga olib keladi. Buzg'unchi parollarni taxmin qila olmadi, deb o'ylaydi, aslida "hack" dasturi shunchaki aldangan.
• Hujumchilarni kuzatish qobiliyatiga ega bo'lish. Buzg'unchilar barcha aniqlangan zaifliklarni, shu jumladan xayoliy zaifliklarni tekshirishga harakat qilganda, xavfsizlik ma'murlari buzg'unchi yoki buzg'unchilarni kuzatib borishlari va tegishli choralarni ko'rishlari mumkin.
. Hujumning uchinchi bosqichida ishlaydigan va allaqachon qilingan hujumlarni aniqlashga imkon beradigan tizimlar. Ushbu tizimlar ikki sinfga bo'linadi - boshqariladigan resurslardagi o'zgarishlarni aniqlaydigan yaxlitlikni boshqarish tizimlari va jurnallarni tahlil qilish tizimlari.
Butunlikni nazorat qilish tizimlari yopiq tsiklda ishlaydi, nazorat summalarini olish uchun fayllarni, tizim ob'ektlarini va tizim ob'ektlarining atributlarini qayta ishlaydi; keyin ularni oldingi nazorat summalari bilan solishtirib, o'zgarishlarni qidiradilar. O'zgarish aniqlanganda, tizim ma'murga o'zgarishning mumkin bo'lgan vaqtini yozib, xabar yuboradi.
Xavfsizlik siyosatining buzilishini aniqlash tizimlarining yana bir umumiy tasnifi mavjud - amalga oshirish printsipiga ko'ra: xostga asoslangan, ya'ni. ma'lum bir tarmoq tuguniga yo'naltirilgan va tarmoqqa asoslangan, butun tarmoq yoki tarmoq segmentiga qaratilgan hujumlarni aniqlash. Xost darajasidagi hujumlarni aniqlash tizimlarining uchta asosiy turi mavjud.
. Muayyan ilovalarga hujumlarni aniqlaydigan tizimlar.
. Operatsion tizimlarga hujumlarni aniqlaydigan tizimlar.
. Ma'lumotlar bazasini boshqarish tizimlariga (DBMS) hujumlarni aniqlaydigan tizimlar.
. Korxona axborot tizimi uchun hujumlarni aniqlash dasturini joriy etish
Axborot xavfsizligini ta'minlash va ta'minlash bevosita IT bo'limi boshlig'i (agar kompaniya yirik bo'lsa) yoki IT bo'limi yoki IT xizmati zimmasiga yuklanadi. Axborot xavfsizligini tejash turli shakllarda ifodalanishi mumkin, ularning ekstremallari: ATda axborot xavfsizligini ta'minlash uchun faqat eng umumiy tashkiliy chora-tadbirlarni qabul qilish, faqat oddiy qo'shimcha axborot xavfsizligi vositalaridan (IPS) foydalanish. Birinchi holda, qoida tariqasida, mas'uliyatni ushbu hujjatlarni nashr etuvchi shaxslardan aniq ijrochilarga o'tkazish uchun muhim bir vaqtda ishlab chiqilgan ko'plab ko'rsatmalar, buyruqlar va qoidalar ishlab chiqiladi. Tabiiyki, bunday hujjatlarning talablari (tegishli texnik yordam bo'lmasa) tashkilot xodimlarining kundalik faoliyatini murakkablashtiradi va tajriba shuni ko'rsatadiki, bajarilmaydi. Ikkinchi holda, qo'shimcha himoya vositalari sotib olinadi va o'rnatiladi. Tegishli tashkiliy yordam va rejalashtirilgan o'qitishsiz axborot xavfsizligi vositalaridan foydalanish ham samarasizdir, chunki ATda ma'lumotlarni qayta ishlash va ma'lumotlarga kirishning qat'iy qoidalarisiz, har qanday axborot xavfsizligi tizimidan foydalanish mavjud tartibsizlikni yanada kuchaytiradi. Amaliy ish tajribasi shuni ko'rsatadiki, tashkilotning avtomatlashtirilgan tizimini samarali himoya qilish uchun bir qator tashkiliy vazifalarni hal qilish kerak: korporativ axborot tizimining ishlashi qoidalarini ishlab chiqishni ta'minlaydigan maxsus bo'linmani yaratish, foydalanuvchining ushbu tizim resurslariga kirish ruxsati va himoya vositalariga ma'muriy yordam beradi (to'g'ri konfiguratsiya, belgilangan kirish qoidalarining buzilishi to'g'risidagi kiruvchi signallarni nazorat qilish va tezkor javob berish, xavfsizlik hodisalari jurnallarini tahlil qilish va boshqalar); avtomatlashtirilgan tizimning ishlashi va uning dasturiy-texnik vositalarini modernizatsiya qilish jarayonida xavfsizlik masalalari bo‘yicha tashkilot bo‘linmalarining o‘zaro hamkorligi tartibini nazarda tutuvchi axborot xavfsizligini ta’minlash texnologiyasini ishlab chiqish; zarur normativ-huquqiy, uslubiy va tashkiliy-maʼmuriy hujjatlarni (kontseptsiyalar, qoidalar, yoʻriqnomalar va boshqalar) ishlab chiqish va tasdiqlash, shuningdek, MDH maʼmurlari va foydalanuvchilari boʻlgan barcha xodimlarni oʻqitishni tashkil etish orqali axborot xavfsizligi texnologiyasi va MDHni joriy etish. Axborot xavfsizligi bo'linmasini yaratishda buni hisobga olish kerak oddiy himoya vositalaridan foydalanish axborot xavfsizligi ob'ektining ishlashini ta'minlaydigan xodimlarning eng kam shtatini talab qiladi. Shu bilan birga, axborot xavfsizligi texnologiyasini ishlab chiqish va joriy etish ko'proq vaqtni, katta mehnat xarajatlarini va malakali mutaxassislarni jalb qilishni talab qiladi, bu ehtiyoj uni amalga oshirgandan so'ng yo'qoladi. Bundan tashqari, bunday texnologiyani ishlab chiqish va joriy etish tashkilotning o'zi korporativ axborot tizimining rivojlanishini kuzatib borish uchun qisqa vaqt ichida amalga oshirilishi kerak. Axborotni himoya qilishning qo'shimcha vositalaridan foydalanish tashkilotning ko'plab tarkibiy bo'linmalarining manfaatlariga ta'sir qiladi - axborot tizimining oxirgi foydalanuvchilari ishlaydiganlar emas, balki qo'llaniladigan vazifalarni ishlab chiqish, amalga oshirish va ta'minlash uchun mas'ul bo'lgan bo'linmalar, kompyuter texnikasiga texnik xizmat ko'rsatish va ulardan foydalanish uchun. Axborot xavfsizligi texnologiyasini ishlab chiqish va samarali joriy etish xarajatlarini minimallashtirish uchun ushbu turdagi ishlarni bajarishda tajribaga ega uchinchi tomon mutaxassislarini jalb qilish tavsiya etiladi. Shu bilan birga, har qanday holatda, kompaniyaning yuqori rahbariyati himoya tizimlarini ishlab chiqish, joriy etish va ulardan foydalanish samaradorligi uchun javobgardir.
Rivojlangan axborot xavfsizligi texnologiyasi quyidagilarni ta'minlashi kerak: turli ish stantsiyalari va quyi tizimlarni himoya qilishga tabaqalashtirilgan yondashuv (xavfsizlik darajasi qayta ishlanayotgan ma'lumotlarning ahamiyati va hal qilinayotgan vazifalarni hisobga olgan holda oqilona etarlilik nuqtai nazaridan belgilanishi kerak). ; axborot xavfsizligi vositalarini bir xil xavfsizlik talablari bilan maksimal darajada unifikatsiya qilish; IP resurslariga kirishning ruxsat beruvchi tizimini joriy etish; xodimlar o'zlarining asosiy vazifalarini hal qilishda katta noqulayliklar tug'dirmasdan, ishlab chiqilgan qoidalar va ko'rsatmalar talablarini amalga oshirish bo'yicha muntazam operatsiyalarning real maqsadga muvofiqligini minimallashtirish, rasmiylashtirish (ideal - avtomatlashtirish) va turli bo'limlarning harakatlarini muvofiqlashtirish; nafaqat himoyalangan quyi tizimlarni ishlatishning statsionar jarayonini tartibga soluvchi avtomatlashtirilgan tizimning rivojlanish dinamikasini hisobga olgan holda, shuningdek, ish stantsiyasining apparat va dasturiy ta'minot konfiguratsiyasidagi ko'plab o'zgarishlar bilan bog'liq bo'lgan ularni modernizatsiya qilish jarayonlari; axborot xavfsizligi bilan shug'ullanadigan bo'lim mutaxassislarining zarur sonini minimallashtirish. Shuni aniq tushunish kerakki, tizimdagi ruxsatsiz o'zgarishlarga yo'l qo'ymaydigan zarur axborotni himoya qilish talablariga rioya qilish muqarrar ravishda ATni ruxsat etilgan modifikatsiya qilish tartibini murakkablashtirishga olib keladi. Bu xavfsizlik va avtomatlashtirilgan tizimni ishlab chiqish va takomillashtirish o'rtasidagi eng keskin qarama-qarshiliklardan biridir. Axborot xavfsizligi texnologiyasi etarlicha moslashuvchan bo'lishi va himoyalangan ATning dasturiy va texnik vositalariga favqulodda o'zgarishlarning alohida holatlarini ta'minlashi kerak. ish stantsiyasining apparat va dasturiy ta'minot konfiguratsiyasidagi ko'plab o'zgarishlar bilan bog'liq; axborot xavfsizligi bilan shug'ullanadigan bo'lim mutaxassislarining zarur sonini minimallashtirish. Shuni aniq tushunish kerakki, tizimdagi ruxsatsiz o'zgarishlarga yo'l qo'ymaydigan zarur axborotni himoya qilish talablariga rioya qilish muqarrar ravishda ATni ruxsat etilgan modifikatsiya qilish tartibini murakkablashtirishga olib keladi. Bu xavfsizlik va avtomatlashtirilgan tizimni ishlab chiqish va takomillashtirish o'rtasidagi eng keskin qarama-qarshiliklardan biridir. Axborot xavfsizligi texnologiyasi etarlicha moslashuvchan bo'lishi va himoyalangan ATning dasturiy va texnik vositalariga favqulodda o'zgarishlarning alohida holatlarini ta'minlashi kerak. ish stantsiyasining apparat va dasturiy ta'minot konfiguratsiyasidagi ko'plab o'zgarishlar bilan bog'liq; axborot xavfsizligi bilan shug'ullanadigan bo'lim mutaxassislarining zarur sonini minimallashtirish. Shuni aniq tushunish kerakki, tizimdagi ruxsatsiz o'zgarishlarga yo'l qo'ymaydigan zarur axborotni himoya qilish talablariga rioya qilish muqarrar ravishda ATni ruxsat etilgan modifikatsiya qilish tartibini murakkablashtirishga olib keladi. Bu xavfsizlik va avtomatlashtirilgan tizimni ishlab chiqish va takomillashtirish o'rtasidagi eng keskin qarama-qarshiliklardan biridir. Axborot xavfsizligi texnologiyasi etarlicha moslashuvchan bo'lishi va himoyalangan ATning dasturiy va texnik vositalariga favqulodda o'zgarishlarning alohida holatlarini ta'minlashi kerak. Shuni aniq tushunish kerakki, tizimdagi ruxsatsiz o'zgarishlarga yo'l qo'ymaydigan zarur axborotni himoya qilish talablariga rioya qilish muqarrar ravishda ATni ruxsat etilgan modifikatsiya qilish tartibini murakkablashtirishga olib keladi. Bu xavfsizlik va avtomatlashtirilgan tizimni ishlab chiqish va takomillashtirish o'rtasidagi eng keskin qarama-qarshiliklardan biridir. Axborot xavfsizligi texnologiyasi etarlicha moslashuvchan bo'lishi va himoyalangan ATning dasturiy va texnik vositalariga favqulodda o'zgarishlarning alohida holatlarini ta'minlashi kerak. Shuni aniq tushunish kerakki, tizimdagi ruxsatsiz o'zgarishlarga yo'l qo'ymaydigan zarur axborotni himoya qilish talablariga rioya qilish muqarrar ravishda ATni ruxsat etilgan modifikatsiya qilish tartibini murakkablashtirishga olib keladi. Bu xavfsizlik va avtomatlashtirilgan tizimni ishlab chiqish va takomillashtirish o'rtasidagi eng keskin qarama-qarshiliklardan biridir. Axborot xavfsizligi texnologiyasi etarlicha moslashuvchan bo'lishi va himoyalangan ATning dasturiy va texnik vositalariga favqulodda o'zgarishlarning alohida holatlarini ta'minlashi kerak. Bu xavfsizlik va avtomatlashtirilgan tizimni ishlab chiqish va takomillashtirish o'rtasidagi eng keskin qarama-qarshiliklardan biridir. Axborot xavfsizligi texnologiyasi etarlicha moslashuvchan bo'lishi va himoyalangan ATning dasturiy va texnik vositalariga favqulodda o'zgarishlarning alohida holatlarini ta'minlashi kerak. Bu xavfsizlik va avtomatlashtirilgan tizimni ishlab chiqish va takomillashtirish o'rtasidagi eng keskin qarama-qarshiliklardan biridir. Axborot xavfsizligi texnologiyasi etarlicha moslashuvchan bo'lishi va himoyalangan ATning dasturiy va texnik vositalariga favqulodda o'zgarishlarning alohida holatlarini ta'minlashi kerak.
Kompaniya miqyosiga qarab tarmoqlarning uchta asosiy sinfini ajratish mumkin: IECO (International Enterprise Central Office) - xalqaro taqsimlangan kompaniyaning markaziy tarmog'i, u yuzlab va minglab tugunlarni o'z ichiga olishi mumkin; ROBO (mintaqaviy idora / filial) - bir necha o'nlab yoki yuzlab tugunlardan iborat hududiy filial tarmog'i; SOHO (Small Office / Home Office) - markaziy tarmoqqa ulangan kichik filiallar yoki uy (mobil) kompyuterlar tarmoqlari. Shuningdek, ushbu tarmoqlar sinflari uchun axborot xavfsizligini ta'minlashning turli talablari bilan farq qiluvchi uchta asosiy axborot xavfsizligi stsenariylarini ajratib ko'rsatish mumkin.
Birinchi stsenariyda xavfsizlikning minimal darajasi tarmoq perimetrida (masalan, marshrutizatorlarda) o'rnatilgan tarmoq uskunasiga o'rnatilgan imkoniyatlar bilan ta'minlanadi. Himoyalangan tarmoq miqyosiga qarab, ushbu funktsiyalar (manzilni aldashdan himoya qilish, trafikni minimal filtrlash, parol bilan jihozlarga kirish va boshqalar) magistral routerlarda - masalan, Cisco 7500 yoki Nortel BCN, mintaqaviy filial routerlarida - amalga oshiriladi. masalan, Cisco 2500 yoki Nortel ASN va Cisco 1600 yoki 3ComOfficeConnect kabi masofaviy kirish routerlari. Ushbu stsenariy katta qo'shimcha moliyaviy xarajatlarni talab qilmaydi.
O'rtacha xavfsizlik darajasini ta'minlaydigan ikkinchi stsenariy allaqachon qo'shimcha sotib olingan xavfsizlik vositalaridan foydalangan holda amalga oshirilgan bo'lib, ular oddiy xavfsizlik devorlari, bosqinlarni aniqlash tizimlari va boshqalarni o'z ichiga olishi mumkin. Xavfsizlik devori markaziy tarmoqqa o'rnatilishi mumkin (masalan, CheckPoint Firewall-1). ), marshrutizatorlar birinchi mudofaa chizig'ini (kirishni boshqarish ro'yxatlari va ba'zi hujumlarni aniqlash) ta'minlaydigan eng oddiy xavfsizlik funktsiyalari bilan sozlanishi mumkin, barcha kiruvchi trafik viruslar uchun tekshiriladi va hokazo. Mintaqaviy idoralar xavfsizlik devorlarining oddiy modellari bilan himoyalangan bo'lishi mumkin. Hududlarda malakali mutaxassislar bo'lmasa, markazdan boshqariladigan va murakkab ishga tushirish tartibini talab qilmaydigan dasturiy-apparat tizimlarini o'rnatish tavsiya etiladi (masalan,
Xavfsizlikning maksimal darajasiga erishish imkonini beruvchi uchinchi stsenariy elektron tijorat serverlari, Internet banklari va boshqalar uchundir. Ushbu stsenariyda yuqori samarali va xususiyatlarga boy xavfsizlik devorlari, autentifikatsiya serverlari, hujumni aniqlash tizimlari va xavfsizlikni tahlil qilish tizimlari qo'llaniladi. Markaziy ofisni himoya qilish uchun klaster xavfsizlik devorlari nosozliklarga chidamliligi va tarmoq resurslarining yuqori darajada mavjudligini ta'minlash uchun ishlatilishi mumkin (masalan, Nokia IP650 asosidagi CheckPoint VPN-1 Appliance yoki yuqori mavjudlik moduliga ega CheckPoint VPN-1). Klasterda hujumni aniqlash tizimlari (masalan, RealSecure Appliance) ham o'rnatilishi mumkin.
Xavfsizlikni tahlil qilish tizimlari (masalan, Internet Security Systems kompaniyasining SAFE to'plami) hujumlarni amalga oshirish uchun ishlatilishi mumkin bo'lgan zaifliklarni aniqlash uchun ishlatilishi mumkin. Tashqi va ichki foydalanuvchilarning autentifikatsiyasi autentifikatsiya serverlari (masalan, CiscoSecure ACS) yordamida amalga oshiriladi. Va nihoyat, uy (mobil) foydalanuvchilarining markaziy va hududiy tarmoqlar resurslariga kirishi xavfsiz VPN ulanishi orqali ta’minlanadi. Virtual xususiy tarmoqlar (Virtual Private Network - VPN) markaziy va hududiy idoralar o'rtasida xavfsiz o'zaro aloqani ta'minlash uchun ham qo'llaniladi. VPN funktsiyalari xavfsizlik devorlari (masalan, CheckPoint VPN-1) yordamida ham, maxsus VPN qurish vositalari yordamida ham amalga oshirilishi mumkin. Vakolatli o'qitish va qo'llab-quvvatlash himoya tizimini tezda ishga tushirishga va uni tashkilotda qabul qilingan axborotni qayta ishlash texnologiyasiga moslashtirishga yordam beradi. Yangilashning taxminiy qiymati dasturiy ta'minot narxining taxminan 15-20% ni tashkil qiladi. Qoida tariqasida, dasturiy ta'minot yangilanishini o'z ichiga olgan ishlab chiqaruvchidan yillik qo'llab-quvvatlash narxi himoya tizimi narxining taxminan 20-30% ni tashkil qiladi. Shunday qilib, har yili siz axborot xavfsizligi vositalarini texnik qo'llab-quvvatlashni kengaytirish uchun dasturiy ta'minot narxining kamida 20-30% sarflashingiz kerak. Zamonaviy ATning bir qismi sifatida keng qamrovli axborotni himoya qilish vositalarining standart to'plami odatda quyidagi komponentlarni o'z ichiga oladi: Qoida tariqasida, dasturiy ta'minot yangilanishini o'z ichiga olgan ishlab chiqaruvchidan yillik qo'llab-quvvatlash narxi himoya tizimi narxining taxminan 20-30% ni tashkil qiladi. Shunday qilib, har yili siz axborot xavfsizligi vositalarini texnik qo'llab-quvvatlashni kengaytirish uchun dasturiy ta'minot narxining kamida 20-30% sarflashingiz kerak. Zamonaviy ATning bir qismi sifatida keng qamrovli axborotni himoya qilish vositalarining standart to'plami odatda quyidagi komponentlarni o'z ichiga oladi: Qoida tariqasida, dasturiy ta'minot yangilanishini o'z ichiga olgan ishlab chiqaruvchidan yillik qo'llab-quvvatlash narxi himoya tizimi narxining taxminan 20-30% ni tashkil qiladi. Shunday qilib, har yili siz axborot xavfsizligi vositalarini texnik qo'llab-quvvatlashni kengaytirish uchun dasturiy ta'minot narxining kamida 20-30% sarflashingiz kerak. Zamonaviy ATning bir qismi sifatida keng qamrovli axborotni himoya qilish vositalarining standart to'plami odatda quyidagi komponentlarni o'z ichiga oladi:
· fayl darajasida himoya qilish texnologiyasidan foydalangan holda ma'lumotlarning ishonchli saqlanishini ta'minlash vositalari (FileEncryption System - FES);
· axborot resurslariga kirishni avtorizatsiya qilish va differentsiallashtirish vositalari, shuningdek, biometrik avtorizatsiya tizimlari va token texnologiyalari (smart-kartalar, sensorli xotira, USB portlari uchun kalitlar va boshqalar) yordamida axborotga ruxsatsiz kirishdan himoya qilish;
· umumiy aloqa tarmoqlariga (Internet) ulanishda tashqi tahdidlardan himoya qilish, shuningdek, xavfsizlik devori texnologiyasi (xavfsizlik devori) va kontentni filtrlash (Content Inspection) yordamida Internetdan kirishni boshqarish;
· antiviral profilaktikaning ixtisoslashgan komplekslaridan foydalangan holda viruslardan himoya vositalari;
· xavfsiz virtual xususiy tarmoqlar (VPN) texnologiyasidan foydalangan holda ochiq aloqa kanallari orqali uzatiladigan ma'lumotlarning maxfiyligini, yaxlitligini, mavjudligini va haqiqiyligini ta'minlash vositalari;
· hujumlarni aniqlash texnologiyasidan foydalangan holda axborot resurslari xavfsizligini faol o'rganishni ta'minlash vositalari (Intrusion Detection);
· kelishilgan va tasdiqlangan “Kompaniyaning xavfsizlik siyosati”ga muvofiq axborot xavfsizligi tizimini markazlashtirilgan holda boshqarishni ta’minlash vositalari.
Kompaniya faoliyatining ko'lamiga qarab, axborot xavfsizligini ta'minlash usullari va vositalari har xil bo'lishi mumkin, ammo har qanday malakali CIO yoki IT xizmati mutaxassisi axborot xavfsizligi sohasidagi har qanday muammo bir tomonlama hal etilmasligini aytadi - kompleks, yaxlit yondashuv. har doim talab qilinadi.
|
