Признаки атак на информационную систему и способы их обнаружения (окончание)

Этапы процесса обнаружения атак. Первый этап реализации процесса обнаружения атак – это сбор информации о атакующую систему и ее параметры. Он включает такие действия как, определение сетевой топологии, типа и версии операционной системы узла атакующего, а также принадлежность доступных сетевых и других сервисов и т.п. Эти действия реализуются разными методами.

Второй этап – изучение окружения. На этом этапе нарушитель исследует сетевую инфраструктуру с учетом последующей реализации предусмотренной угрозы. К анализу областей сетевой инфраструктуры, относятся относятся: серверный пространство Internet-провайдера или узлы удаленного офиса компании, подлежащего атаке. На этом этапе нарушитель определяет адреса авторизованных пользователей, владельцев информационных ресурсов системы, авторизованные процессы ИС и т.д.. Такие действия довольно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени с внешней области, контролируемая средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).

Третий этап – идентификация топологии сети. Можно назвать два метода определения топологии сети (network topology detection), используемых злоумышленниками: "изменение TTL" ("TTL modulation") и "запись маршрута" ("record route"). Программы traceroute для Unix и tracert для Windows используют первый способ определения топологии сети. Они используют

для этого поле Time to Live ("время жизни") в заголовке IP-пакета, которая зависит от числа пройденных сетевым пакетом маршрутизаторов. Также, использование утилиты ping, может быть использовано для записи маршрута ICMP-пакета. Наиболее распространенным методом выявления сетевой топологии является выяснение сетевого протокола SNMP, установленного на многих сетевых устройствах, защита которых неверно сконфигурирован. С помощью протокола RIP можно попытаться получить информацию о таблице маршрутизации в сети и т.д. Многие из этих методов используются современными системами управления (например, HP OpenView, Cabletron SPECTRUM, MS Visio и т.д.) для построения карт сети [2, 4].

Четвертый этап – идентификация узлов. Идентификация узла (host detection), как правило, осуществляется путем посылки с помощью утилиты ping команды ECHOREQUEST протокола ICMP. Соответствующее сообщение ECHO_REPLY говорит о том, что узел доступен. Существуют свободно распространяемые программы, которые автоматизируют и ускоряют процесс параллельной идентификации большого количества узлов, например: fping или nmap. Недостатки данного метода в том, что стандартными средствами узла запросы ECHOREQUEST не фиксируются. Для этого необходимо применять средства анализа трафика, межсетевые экраны или системы обнаружения атак. Это самый простой метод идентификации узлов. Следующими недостатками является то, что: во-первых, много сетевых устройств и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или наоборот не пропускают их наружу). Например, MS Proxy Server 2.0 не позволяет прохождение пакетов по протоколу ICMP. В результате возникает неполная картина. Кроме того, блокировка ICMP-пакета говорит злоумышленнику о наличии "первой очереди защиты" – наличие марщрутизаторив, межсетевых экранов и т.д. Во-вторых, использование ICMP-запросов позволяет с легкостью обнаружить их источник, что, разумеется, не может входить в задачу злоумышленника.

Классическим методом идентификации узлов сети является так называемая разведка DNS, который позволяет идентифицировать узлы корпоративной сети с помощью обращения к серверу службы имен авторизованных пользователей.

Пятый этап – идентификация сервисов или сканирования портов. Идентификация сервисов (service detection), как правило, осуществляется путем выявления открытых портов (port scanning). Такие порты очень часто связаны с сервисом системы, основанным на протоколах TCP или UDP. Например, открытый 80-й порт подразумевает наличие Web-сервера, 25-й порт – почтового SMTP-сервера, 12346 – серверной части троянского коня NetBus и т.д. Для идентификации сервисов и сканирования портов могут быть использованы различные программы, в т.ч. и свободно распространяемые. Например, nmap или netcat.

Шестой этап – идентификация операционной системы. Основной механизм удаленного определения ОС (OS detection) – анализ ответов на запросы, учитывающие различные реализации TCP / IP-стека в различных операционных системах. В каждой ОС по-своему реализован стек протоколов TCP / IP, что позволяет с помощью специально запросов и ответов на них определить, какая ОС установлена ​​на удаленном узле [2,3,4].

Седьмой этап – определение уязвимостей узла. Последний шаг – поиск уязвимостей (searching vulnerabilities). На этом шаге злоумышленник при помощи различных автоматизированных средств или вручную определяет уязвимости, которые могут быть использованы для реализации атаки. Примером таких автоматизированных средств могут быть использованы Shadow Security Scanner, nmap, Retina программы и т.д.

Восьмой этап – реализация атаки. С этого момента начинается попытка доступа к атакующему узлу. При этом доступ может быть как непосредственное, т.е. проникновение на узел, так и опосредованное, например, при реализации атаки типа "отказ в обслуживании". Реализация атак в случае непосредственного доступа также может быть разделена на два этапа: проникновение и установление контроля за системой.

Проникновение – подразумевает под собой преодоление средств защиты периметра (например: межсетевого экрана). Реализуется этот процесс на основе использования уязвимости сервиса системы, путем передачи скрытого содержания по электронной почте (макровирусы)

или через апплеты Java, и т.д.. Данный смысл может организовывать так называемые «дыры» или «тоннели» в межсетевого экранирования, через которые проникает нарушитель. К этому же этапу можно отнести подбор пароля администратора или другого авторизованных пользователя с помощью специализированной утилиты (например Crack).

Установление контроля над системой – после проникновения злоумышленник устанавливает контроль над атакующим узлом. Указанная процедура осуществляется путем внедрения программы типа "троянский конь" (например, NetBus или BackOrifice). После установки контроля над нужным узлом, нарушитель может осуществлять все необходимые несанкционированные действия дистанционно без ведома владельца информационных ресурсов атакованной информационной системы. Установление контроля над узлом корпоративной сети должно сохраняться и после перезагрузки операционной системы. Данный процесс может быть реализован путем замены одного из загрузочных файлов или внедрения вставки ссылки на вражеский код в файлы автозагрузки или системный реестр.

Девятый этап – завершение атаки. Этапом завершения атаки является сокрытие несанкционированных действий со стороны злоумышленника. Реализуется данное действие, путем удаления соответствующих записей из журналов регистрации и прочих действий, которые возвращают атакованы систему в исходное (с точки зрения внешней информативности показателей) состояние (Рис.2).

Идентификация атак. Подсистема идентификации атак является важнейшим компонентом в любой системе обнаружения НСД. Эффективность работы всей информационной системы напрямую зависит от этих процессов и в общем случае используют три широко известных метода для распознавания атак.

• Сигнатурный метод, основанный на использовании шаблонов сигнатур (pattern-based signatures), характеризующих атаку или иную подозрительную деятельность. Данные сигнатуры содержат некоторые ключевые слова или выражения, обнаружение которых и свидетельствует об атаке. Например, фрагмент "cwd root" в FTP-сеансе однозначно определяет факт обхода механизма аутентификации на FTP-сервере и попытке перейти в корневой каталог FTP-сервера. Другим примером является обнаружение апплетов Java в сетевом трафике на основе шестнадцатилетнего фрагмента "CA FE BA BE". Указанные сигнатуры позволяют обнаруживать скрытые НСД типа-троянских коней, если последние используют стандартные значения портов.
• Сигнатурный метод, основанный на контроле частоты событий или превышении предельной величины. Данные сигнатуры описывают ситуации, когда в течение некоторого интервала времени происходят события, число которых превышает заданные заранее показатели. Примером такой сигнатуры является обнаружение сканирования портов или обнаружение атаки SYN Flood. В первом случае пороговым значением является число портов, просканированных в единицу времени. Во втором случае – число попыток установления виртуального соединения с узлом за единицу времени.
• Обнаружение аномалий. Данный сигнатур метод позволяет обнаруживать события, отличающиеся от предварительно заданных характеристик стандартной работы информационной системы.

Выводы

На базе проведенных исследований, по анализу современных методов реализации угроз информационным ресурсам в ИКСМ, выявлены характерные признаки реализации разного класса атак. На основе проведенного анализа определены основные методы и средства выявления существующих угроз информационным ресурсам.

На стадии вторжения обнаружения атак возможно посредством как сигнатурных, так и поведенческих методов. Любое вторжение характеризуется определенными признаками, которые, с одной стороны, можно представить в виде сигнатуры, а с другой – описать, как некоторое отклонение от штатной поведения информационной системы.