[МУЗЫКА] Далее перейдем к
классам систем обнаружения предотвращения компьютерных атак,
которые вступают в действие после завершения атаки нарушителем.
Первый из таких классов — это системы контроля целостности.
Они предназначены для обнаружения любых изменений ресурсов,
то есть в первую очередь объектов информационной системы, для того
чтобы обнаруживать любые нарушения политики безопасности в этих изменениях.
Для того чтобы обеспечить функционирование таких систем, требуется,
во-первых, организовать контроль целостности объектов системы.
Рекомендуется организовывать его по следующему сценарию.
Во-первых, определить перечень контролируемых объектов информационной
системы, то есть те объекты,
которые требуют защиты, которые не должны часто изменяться,
на которые можно распространить контроль целостности.
Если речь идет о том, что какой-то объект часто изменяется по всем параметрам, то,
очевидно, контролировать его целостность либо трудоемко, либо не имеет смысла.
После того как объекты контроля определены,
требуется разделить их на категории по важности и особенностям доступа.
Например, к части из них может быть часто обращение на запись, например,
к журналам регистрации.
Но при этом права доступа к ним не должны изменяться, и должно отсутствовать такое
явление, как удаление каких-то записей из них, то есть снижение размера,
после каждого сеанса записи их размер должен увеличиваться.
Например, можно ввести такой контрольный параметр.
После того как объекты разделены на категории по важности и
особенностям доступа, для каждого такого класса, для каждой такой категории,
следует определить перечень контролируемых атрибутов файлов,
о которых мы поговорим далее на следующем слайде.
То есть следует выделить те параметры, которые можно контролировать,
которые должны оставаться неизменными.
После того как перечень таких контролируемых атрибутов определен,
следует определить приоритеты и расписание проверок для каждой категории.
Очевидно, что если проверять все файлы одновременно,
то система будет очень сильно нагружена и ее работоспособность снизится.
Следует часто проверять наиболее важные объекты, менее важные — чуть реже,
еще менее важные реже, некоторые, возможно, раз в неделю или даже еще реже,
в зависимости от того, как часто к ним происходит доступ,
как часто они должны меняться, насколько большую важность в системе они имеют.
Заключительным этапом этого сценария является расследование любых
несанкционированных изменений объектов информационной системы.
Для того чтобы эта система действительно была системой обнаружения и
предотвращения компьютерных атак, необходимо каждое несанкционированное
изменение доводить до выяснения его причины и принятия конкретных мер по
недопущению аналогичных событий в дальнейшем.
При организации контроля целостности контролировать следует атрибуты
файлов из следующей категории.
Это может быть не исчерпывающая категория, это примерный список тех атрибутов,
которые, как правило, контролируются, некое их подмножество в зависимости от
особенностей конкретных объектов: это размер файлов,
содержание каталогов, расположение в системе, время и дата создания,
последнее его изменение, владелец и право доступа, и контрольная сумма.
Совокупность некоего подмножества из данного списка атрибутов позволяет с
достаточной степенью вероятности обнаруживать все несанкционированные
изменения в файлах и оперативно на них реагировать.
Достоинствами систем контроля целостности
является обнаружение любых атак и несанкционированных действий,
в результате которых изменялись объекты информационной системы.
Примером таких несанкционированных действий является дописывание текста
вредоносной программы в некий другой файл или, например, изменение файла,
отвечающего за права пользователей в информационной системе,
что может свидетельствовать о том, что нарушитель повышает или создает себе
необходимые ему для реализации атаки полномочия в информационной системе.
Еще одно достоинство заключается в возможности обнаружения ранее
неизвестных атак.
В самом деле, для их обнаружения не требуется знать сценарий атаки.
Если атака так или иначе связана с изменениями объектов информационной
системы, она будет обнаружена.
Еще одно достоинство заключается в возможности в некоторых случаях устранить
последствия атаки без существенных восстановительных мероприятий.
Если точно известно, какие конкретно объекты изменены,
то если существуют их резервные копии, то можно их восстановить из этих копий,
и таким образом, например, избежать переустановки операционной системы.
Недостатками же систем контроля целостности
как систем обнаружения атак является то, что они не обнаруживают атаки,
не связанные с изменением объектов информационной системы.
Например, атаки типа отказа в обслуживании.
Они же не предоставляют картины развития атаки, они лишь свидетельствуют о том,
что в результате ее изменился тот или иной атрибут какого-то
объекта информационной системы.
Администратор не может восстановить с их помощью всю картину событий, а это,
соответственно, негативно влияет на возможность в дальнейшем принять какие-то
превентивные меры по предотвращению аналогичных атак в будущем.
При высоком объеме контролируемых данных системы контроля целостности могут
негативно влиять на работу информационной системы, поскольку частые проверки,
затрагивающие к тому же большое количество объектов,
могут сильно загружать ресурсы информационной системы.
Время реакции на атаки зависит от расписания проверок и может
составлять диапазон от реакции практически в реальном времени.
В этом случае системы контроля целостности могут по сути попасть в категорию систем,
реагирующих на конкретные действия нарушителей в реальном времени до
обнаружения уже завершенной атаки в ситуации, если проверка происходит
достаточно редко и, разумеется, уже отстает от момента завершения атаки.
[МУЗЫКА] [МУЗЫКА]
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
