Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Безопасность сетей гарантируют системы предотвращения вторжений

Безопасность сетей гарантируют системы предотвращения вторженийУже практически забыты те времена, когда комбинация "система обнаружения вторжений + межсетевой экран" считалась совершенным средством защиты, которое позволяет полностью обеспечить безопасность сети. Системы предотвращения вторжений (Intrusion Prevention System; IPS) надежно закрепились в современных архитектурах.

Вопросы производительности, являющиеся принципиальным ограничителем применимости той или иной сетевой системы предотвращения вторжений в той или иной сети, постепенно решаются. Крупные производители давно преодолели барьер в 1 Гбит/с и приближаются к 10 Гбит/: IBM готовится выпустить на рынок систему Proventia GX6116, McAfee заканчивает работу над устройством IntruShield 10 GbE. И это только два примера. Стремление к повышению производительности сетевых систем предотвращения выглядит абсолютно обоснованным и разумным. Однако ограничиваются ли необходимые доработки исключительно вопросами производительности?

Принципиальное назначение систем предотвращения вторжения заложено в само название класса систем – основная задача заключается в том, чтобы обеспечить безопасность защищаемых объектов от воздействия, которое признано вторжением или нарушением безопасности. Вместе с тем, само понятие "вторжения", "нарушения безопасности" или "атаки" может выглядеть слегка размытым и, в какой-то степени, обязано определяться политикой безопасности конкретной организации. Таким образом, можно констатировать, что одним из факторов, влияющих на тенденции развития систем предотвращения вторжений, является постепенная эволюция понятий "угроза" или "вторжение" в современной корпоративной сети. Чем более гибко позволяет конкретная система описывать "угрозы" или "вторжения", тем более она будет востребована на рынке.

Классификация IPS

Что представляет собой IPS "в классическом понимании" этого термина? Как правило, при рассмотрении IPS "как явления" применяют классификацию, унаследованную от систем обнаружения вторжения – деление продуктов на "сетевые" и "хостовые".

Сетевая IPS представляет некоторое устройство, находящееся на пути передачи сетевого трафика. Основная задача сетевой IPS – защита группы хостов сети от возможных атак путем анализа передаваемого трафика и блокирования трафика, связанного с проведением атак. Хостовая IPS располагается на конкретном хосте и обеспечивает его защиту от разрушающих воздействий путем анализа сетевого трафика, поведения приложений, активируемых системных вызовов и т.п.

При этом эпоха, когда для обнаружения факта атаки считалось достаточным найти некий характерный шаблон трафика, или "сигнатуру", также канули в лету. Считается, что для успешного обнаружения атак современная IPS должна обладать следующими свойствами и функциями:
Во-первых, проводить анализ сеанса взаимодействия с учетом протоколов, используемых для передачи данных (особенно актуально для протоколов прикладного уровня модели OSI). Во-вторых, выполнять восстановление фрагментированных IP-пакетов до их анализа, не передавать фрагменты IP-датаграмм без проверки. В-третьих, отслеживать попытки создания перекрывающихся фрагментов IP-датаграмм, попытки перезаписи содержимого TCP-сегментов и предотвращать их. В-четвертых, обладать знаниями о топологии защищаемой сети и, возможно, поддерживать механизмы нормализации IP/TCP-трафика для предотвращения атак на IPS/IDS классов "insertion" или "evasion". В-пятых, обеспечивать проверку соответствия логики/форматов работы по протоколу соответствующим RFC. В-шестых, выполнять статистический анализ данных. В-седьмых, поддерживать механизмы сигнатурного поиска. А также обладать возможностью обучения и самообучения.

Кроме того, поскольку IPS может принимать решения о блокировании трафика, необходимо обеспечить надежное и безопасное удаленное управление IPS. Средства конфигурирования IPS должны быть удобны конечным пользователям. Большинство IPS поддерживают возможность задания "пользовательских" правил обнаружения вторжений для возможности подстройки IPS под конкретную среду/требования конкретного заказчика.

Незакрытые вопросы

Вместе с тем, с момента появления первых IPS-решений на рынке и до сегодняшнего дня ряд вопросов так и остается открытым.

Ответственность. Сетевая IPS обладает возможностью и, более того, обязана блокировать передачу трафика, составляющего атаку. Вместе с тем, сетевая IPS не должна допускать блокирования легитимного трафика. Соответственно, одним из критически важных показателей IPS является количество ложных срабатываний. Можно ли доверить принятие окончательного решения конкретному устройству, обладающему ограниченными физическими и временными ресурсами (с учетом требований по производительности IPS)? Чем обеспечивается низкое количество ложных срабатываний и можно ли как-то его понизить?

Полнота контроля трафика. Возможности IPS по контролю трафика ограничены теми протоколами, средства анализа которых заложены в программное обеспечение системы. Вместе с тем постоянно возникают новые популярные среди пользователей сервисы и механизмы сетевого взаимодействия, обладающие своими уязвимостями. Каков список протоколов, контролируемых IPS? Соответствует ли этот список политике организации, заинтересованной во внедрении IPS? Каковы способы оперативного пополнения списка поддерживаемых протоколов?

Гибкость подхода: возможность модификации списка угроз. Даже в самой совершенной и эффективно поддерживаемой IPS не могут быть заранее предусмотрены все возможные уязвимости хорошо проработанных базовых протоколов. Более того, некоторые возможности взаимодействия, которые не были предусмотрены в лаборатории, в которой разрабатывалась IPS, могут встретиться на практике и не являться попыткой разрушительного воздействия. Предоставляет ли IPS возможность доработки списка угроз, описания дополнительных угроз или исключения из списка угроз некоторых взаимодействий по запросу администратора?

Полнота видения/структура IPS: уровень 1 – сеть. При работе в реальной сети нередко возникают ситуации, когда трафик, направляемый через несколько устройств сетевых IPS параллельно, не удовлетворяет критериям вторжения, а при рассмотрении его в совокупности, очевидно, является вторжением. Если сетевые IPS имеют возможность взаимодействия, или если в инфраструктуре сетевой IPS предусмотрен отдельный "центр принятия решений", то вторжение будет успешно обнаружено, и сеть останется в безопасности. Если обмена информацией или централизованного сбора не происходит, а каждое устройство сетевой IPS действует автономно, вторжение пройдет незамеченным. Таким образом, вопрос "предусмотрен ли в структуре сетевой IPS механизм централизованного принятия решений при работе нескольких IPS" является важным.

Полнота видения/структура IPS: уровень 2 – существующая инфраструктура. Если предположить, что сетевая IPS обладает механизмом централизованного принятия решений, то, несомненно, информация от хостовой IPS также не будет лишней при принятии решения о вторжении. Возможность сбора информации не только от сетевых модулей IPS, но и от хостовых модулей IPS, позволяет определять взаимосвязи между трафиком, регистрируемым сетевыми модулями, и состоянием хостов, регистрируемым хостовыми модулями. При объединении данных от сетевых и хостовых модулей IPS в центре принятия решений появляется полное представление о состоянии в сети и о причинно-следственных связях между событиями в различных точках сети, что способствует снижению количества ложных срабатываний.

Полновата видения/структура IPS: уровень 3 – развитие инфраструктуры. Параллельно с развитием механизмов IPS информационная инфраструктура компаний также претерпевает свою эволюцию. Все большее развитие мобильных инструментов сетевого взаимодействия не может оставаться незамеченным производителями IPS. Вопросы поддержки мобильных устройств, контроля их безопасности приобретают все большую актуальность с каждым годом, если не месяцем. В ближайшем будущем вопрос "какова поддержка мобильных устройств в том или ином IPS-решении?" может стать ключевым.

Механизмы принятия решения

Принятие решения о вторжении – ключевой момент в работе IPS. Вся информация, собираемая системой, все подходы к сбору информации, все алгоритмы, используемые при обработке собранной информации, направлены на одно – обеспечить как можно большую взвешенность и обоснованность принимаемых решений. Среди вопросов, связанных с механизмами принятия решений, можно выделить следующие:
Во-первых, насколько полны исходные данные, из каких источников они собраны. Во-вторых, сколько подходов используются при принятии решения и каковы они. В-третьих, насколько ограничен в ресурсах (временных, вычислительных, памяти, базе данных) хост, ответственный за принятие решение о вторжении. В-четвертых, предусмотрена ли возможность вмешательства оператора в процесс принятия решения. И, наконец, существуют ли недетерминированные ситуации, в которых системе требуется вмешательство оператора.

Механизмы протоколирования, используемые в IPS, вызывают меньше всего дебатов. Можно говорить о принятых "де-факто" стандартах протоколирования информации, используемых в IPS. Как правило, каждая IPS поддерживает как стандартные механизмы передачи информации – сообщения syslog, сообщения SNMP-trap, так и разработанный конкретным производителей защищенный канал передачи информации.

При использовании множества модулей IPS в крупной распределенной сети генерируется колоссальный объем регистрируемой информации, обработка которой вручную не представляется возможной. Соответственно, большинство производителей IPS стремятся уже сегодня ввести дополнительные средства преобразования элементарных событий в "макро-события", имеющие смысл для администратора безопасности.

Механизмы управления: удаленное и централизованное

Насколько надежны используемые в IPS механизмы удаленного управления и насколько они развиты? Будут ли каналы управления успешно функционировать в случае проведения DDoS-атаки на сеть? Может ли внутренний злоумышленник получить управление системой IPS и модифицировать логику ее работы? Все эти вопросы имеют первостепенное значение при рассмотрении вопросов надежности механизмов удаленного управления системой IPS, а следовательно, и надежности ее функционирования в целом.

Предусмотрены ли в IPS механизмы централизованного задания новых правил реакции IPS с их последующим избирательным внедрением на отдельные модули IPS? Возможно ли объединение отдельных IPS в группы и формирование групповых политик? Эти вопросы могут казаться не столь значительными, однако именно они обеспечивают удобство и эффективность централизованного управления распределенной системой модулей IPS.

Возможность интеграции с другими системами

Возможна ли интеграция данного модуля IPS с системой IPS другого производителя? Каковы ограничения? Каковы возможности интегрированного решения? Зачастую конечный пользователь был бы рад установить несколько IPS-решений различных производителей, например, для повышения надежности, но при этом необходимо обеспечить согласованную работу этих систем.

При внедрении IPS пользователи ждут, что они получат гибкое, но одновременно абсолютно надежное решение, обладающее минимумом ложных срабатываний, позволяющее пользователям противостоять всем угрозам, существующим в их сетях, включая новые, возникающие по мере развития сетевых сервисов. Естественно, что решение должно быть удобным в управлении и гарантировать контроль ситуации во всей инфраструктуре информационных систем пользователей. И при этом, чтобы "всё работало".

Ожидаемое развитие

Постепенное вытеснение систем обнаружения вторжений с рынка не отразилось на общем объеме прибыли производителей систем обнаружения/предотвращения вторжений. Так, по данным Infonetics, прибыль производителей систем обнаружения/предотвращения вторжений за 2006 год выросла на 19%. Это позволяет сделать вывод о стабильной позиции систем IDS/IPS на рынке, и, следовательно, о незаменимости данных систем в современной информационной инфраструктуре.

По мере развития Web 2.0 системы обнаружения вторжения должны, с одной стороны, следовать за развитием новых технологий, а с другой стороны на системы обнаружения вторжения может быть переложена ответственность за работоспособность сети, поскольку прерывание "бизнес"-трафика в результате роста объема трафика систем мгновенного обмена сообщениями или видеоконференций также является угрозой работоспособности сети.
Наконец, мобильная революция также не может остаться незамеченной производителями IPS-решений.

Ключевые тенденции развития систем обнаружения вторжений

Можно выделить следующие наиболее актуальные тенденции развития систем обнаружения вторжений.

На уровне обнаружения вторжений. Это, во-первых, расширение спектра поддерживаемых прикладных протоколов, особенно с учетом развития индустрии IP-телефонии, технологии VoIP и роста популярности сервиса Video-On-demand, практически повсеместного использования систем мгновенного обмена сообщениями и т.п. Во-вторых, добавление поддержки мобильных устройств и механизмов анализа взаимодействия с мобильными устройствами. В-третьих, более глубокая проработка алгоритмов функционирования уже поддерживаемых прикладных протоколов, включая механизмы контроля состояния сеанса; как следствие; повышение гибкости определения факта вторжения. И, в-четвертых, использование систем предотвращения вторжений для предотвращения утечки конфиденциальной информации из организации по различным каналам.

На функциональном уровне. Это, во-первых, добавление функций профилирования трафика и введение механизмов качества обслуживания на уровне систем предотвращения вторжений. Во-вторых, расширение возможностей централизованного управления системами предотвращения вторжений. В-третьих, развитие средств преобразования элементарных событий безопасности в "макро"-события, удобные для оператора.

На уровне инфраструктуры IPS. Здесь возможны два момента. Во-первых, расширение интеграции хостовых и сетевых систем предотвращения вторжений для улучшения точности обнаружения вторжений. И, во-вторых, расширение возможностей для интеграции продуктов различных производителей, унификация форматов передачи данных и управляющих воздействий.

Системы предотвращения вторжений твердо заняли свое место на рынке средств защиты информации. Их необходимость практически не вызывает сомнений, их популярность и распространение растет. Вместе с тем, индустрия систем предотвращения вторжений обречена на постоянное развитие вслед за развитием сетевых технологий, технологий передачи информации и подходов злоумышленников к нарушению безопасности.

По мере развития систем предотвращения вторжений будут увеличиваться их возможности по анализу взаимодействия по конкретным прикладным протоколам. Вместе с тем, будет повышаться гибкость описания понятия "вторжения", что обеспечит большие возможности по настройке решения под конкретную среду.

Наконец, структура системы предотвращения вторжений будет стремиться к распределенной системе с модулями разных типов (и, возможно, являющихся разработками разных производителей) и единым центром принятия решений, получающим информацию о событиях и передающим управляющую информации с использованием стандартизованных протоколов обмена информацией.

Василий Томилин

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS