[МУЗЫКА] Поговорив о том, зачем нужны системы обнаружения предотвращения компьютерных атак, обсудим понятие компьютерной атаки для того, чтобы вполне представлять, чему должна эта система противодействовать. Для того чтобы определить понятие компьютерной атаки, введем еще одно вспомогательное понятие — событие безопасности. Под ним будем подразумевать любое действие, направленное на какой-либо объект в информационной системе. Схема этого понятия видна вам сейчас на слайде: любое действие, имеющее своей целью любой объект в информационной системе, вот эту совокупность действий и объекта будем называть событием безопасности. Примеры таких событий: открыт на чтение некий файл; запущен процесс; некий файл удален, или внесена какая-то запись в тот или иной файл; у какого-то файла изменились права доступа. Все это события безопасности. Часть из них может соответствовать политике безопасности, а какие-то могут ее нарушать. Тогда под компьютерной атакой мы будем подразумевать последовательность действий нарушителя, направленную на достижение результата, нарушающего политику безопасности, путем воздействия на объекты в информационной системе через имеющиеся уязвимости. Здесь мы получаем такую четырехзвенную структуру, которая, опять же, видна вам на слайде. Есть некое средство воздействия на информационную систему, с его помощью нарушитель, эксплуатируя некую уязвимость, реализует событие безопасности, как правило, уже нарушающее политику безопасности, и в итоге это приводит к некоему инциденту безопасности, то есть к уже свершившемуся нарушению политики безопасности, имеющему какие-то последствия. Вот эту структуру, эту цепочку явлений будем называть компьютерной атакой, то есть: воздействие на уязвимость, реализация событий безопасности и, как следствие, инцидент безопасности. Основными параметрами компьютерной атаки являются следующие ее атрибуты: это тип и вид нарушителя, который ее реализует, можно его соотнести с моделями нарушителей, которые мы строили в начале курса, и на основе конкретного вида нарушителей оценить его, например, потенциал и, как следствие, возможность реализовывать ту или иную атаку по уровню сложности. Цель атаки, то есть то, к чему стремится нарушитель, эту часть можно сопоставить с мотивациями и целями нарушителей из модели нарушителей. Результат атаки, то есть ее последствия, к чему приводит данная атака. Средство воздействия на автоматизированную систему. И механизм воздействия на автоматизированную систему. Этот перечень очень напоминает атрибуты угроз безопасности информации, которые перечислялись в модели угроз, но это как раз в некотором роде свидетельствует о некоей унификации описания, позволяет сопоставить элементы и по сути использовать, может быть, модель угроз как описание компьютерных атак, тех конкретных угроз, которые сводятся именно к компьютерным атакам, которые не являются, например, угрозами перехвата информации с помощью физических каналов или информацией, которая, допустим, на бумажном носителе зафиксирована. Не являются атаками подглядывание с рабочего места пользователя и подобные угрозы. А именно угрозы, которые предполагают воздействие нарушителя по компьютерным сетям, можно таким образом вполне несложно свести вот к этой модели. То есть сопоставить эти две модели, и их компоненты получатся соответствующими одна другой. Компьютерная атака, как правило, рассматривается как совокупность трех этапов. Первый этап — это подготовка к атаке, затем непосредственная реализация атаки, и наконец ее завершение, то есть заметание следов. На первом этапе, этапе подготовки, нарушитель, как правило, стремится максимально изучить систему и подготовиться к атаке. Он собирает максимально доступную информацию об устройстве системы, на которую планируется атака, собирает информацию о конкретном программном обеспечении и настройках узлов системы, выявляет имеющиеся уязвимости и затем уже, изучив уязвимости, готовит необходимые средства реализации атаки. Данный этап хотя и не всегда заметен, особенно если отсутствует система обнаружения атаки, тем не менее, если приложить усилия для того, чтобы действия, направленные на подготовку к атаке, обнаружить, уже на этом этапе можно нарушителю начать мешать и пресекать его намерения. Например, не давать ему собирать информацию, каким-то образом вводить его в заблуждение, каким-то образом, например, заранее оценивать его возможности, Для этого существует отдельный класс систем обнаружения атак, о которых мы чуть далее поговорим. На этапе непосредственной реализации атаки нарушитель, как правило, совершает следующие два шага. Во-первых, осуществляет вторжение в атакуемую систему, то есть преодолевает меры обеспечения безопасности и получает необходимые ему полномочия в системе. То есть создает все необходимое для того, чтобы добиться своей цели. И наконец реализует запланированное воздействие на объект информационной системы, то есть достигает результата атаки. Но на этом атака подготовленного нарушителя, как правило, не заканчивается, а наступает третий этап реализации атаки, этап завершения. Хронологически он может отчасти и совпадать с этапом реализации и даже иногда заключаться в особых приемах атаки, но, как правило, он рассматривается как заключительный, и суть его сводится к заметанию следов атаки, если так можно это назвать. Нарушитель на этом этапе стремится, во-первых, вернуть настройки системы и средств безопасности к исходному состоянию, удалить из журналов регистрации все сведения о совершенных им действиях и совершить, возможно, действия, затрудняющие обнаружение и расследование компьютерного инцидента. Например, каким-то образом пытаться свалить вину на другого пользователя, совершить специально какие-то отвлекающие действия, которые, возможно, поведут администратора по ложному пути. То есть этот третий этап заключается в том, чтобы максимально сохранить анонимность нарушителя, максимально обеспечить его безопасность в случае расследования этой атаки. Компьютерные атаки, как правило, реализуются по одной из двух моделей: либо нераспределенной, как правило, называемой классической, либо распределенной. Классическая модель заключается в том, что один нарушитель атакует одну цель атаки. Существуют подвиды данной модели, например, когда нарушитель использует промежуточные узлы, для того чтобы скрыть свое истинное местоположение и параметры его информационной системы, то есть чтобы подставить другую систему. Либо он может использовать какие-то зараженные системы и на них с помощью вредоносного программного обеспечения распространять свое влияние и, управляя ими удаленно, использовать их для цели атаки. Главное, что на цель реальную атаку реализует только одна система. Это так называемая классическая модель атаки. И ее альтернатива — это так называемая распределенная модель атаки, в которой одновременно на одну цель нападают, то есть реализуют вредоносное воздействие, значительное количество информационных систем, например, зараженных компьютеров. В наиболее развитой модели распределенной атаки нарушитель выстраивает многоуровневую систему управления, в которой непосредственно он сам со своей системой управляет небольшим количеством, как правило, зараженных информационных систем, каждая из которых в свою очередь управляет еще некоторым количеством либо промежуточных звеньев управлений, либо непосредственных исполнителей атаки. И большое количество этих непосредственных исполнителей уже атакуют в свою очередь жертву. Преимущество такой атаки для нарушителя очевидно. Он напрямую не участвует в атаке, его очень трудно отследить, практически он ничем не рискует. При этом интенсивность воздействия на атакуемую систему получается очень высокой, за счет того, что много систем участвует в атаке. При этом нарушитель может последовательно использовать отдельные узлы для разных типов атак, то есть по сути для первого этапа. Если в процессе изучения системы какая-то часть из вот этих зараженных систем будет заблокирована средствами обеспечения безопасности информации атакуемой системы, то это не страшно, у нарушителя есть в резерве еще много других систем, он использует их как пешки в своей игре, по сути, разыскивает различные уязвимости и затем оставшуюся незаблокированную часть этой сети использует для уже непосредственно атаки. Чаще всего такую модель применяют для реализации атак типа отказа в обслуживании, то есть для вывода из строя атакуемой системы. Как правило, это обеспечивается путем того, что система заваливается огромным количеством запросов по различных сетевым протоколам, различного формата. В зависимости от этого классифицируются более подробно атаки, но суть, как правило, всегда одна — просто ресурс атакуемой системы перегружается, он не способен обрабатывать корректно запросы, он либо отключается, либо легальные пользователи вынуждены ожидать, а это, как правило, приводит к финансовым потерям, к недовольству, как минимум, пользователей, к потерям репутационным. И поэтому такая атака, как правило, весьма предпочтительна в конкурентных различных противодействиях и противостояниях либо просто с целью выведения нежелательного какого-то интернет-сервиса из строя. Такая атака также характеризуется сложностью блокирования, поскольку атакующих систем, непосредственно участвующих в атаке много, блокировать их по IP-адресам весьма затруднительно. [МУЗЫКА] [МУЗЫКА]