(https://amturing.acm.org/award_winners/hellman_4055781.cfm), своего рода Нобелевскую премию в области информатики. Хеллман и его жена решили потратить свою часть премии (500 000 долларов США) на то, чтобы снизить риски ядерной катастрофы, об угрозе которой вновь заговорили после президентских выборов в США в 2016 году. Браво!
Информация о Мартине Хеллмане
Более подробную информацию о Мартине Хеллмане вы можете получить по ссылкам:
• книга A New Map for Relationships: Creating True Love at Home and Peace on the Planet: https://ee.stanford.edu/~hellman/publications/book3.pdf;
• биография Мартина Хеллмана на сайте Стэнфордского университета: https://ee.stanford.edu/~hellman/;
• работы Мартина Хеллмана в области криптографии: https://ee.stanford.edu/~hellman/publications.html.
14. Обнаружение вторжений/угроз
Обнаружение вторжений – это искусство определения несанкционированной деятельности. В компьютерном мире это означает обнаружение несанкционированных подключений, авторизаций в системе и попыток доступа к ресурсам. Необходимость обнаружения вторжений – одна из причин, почему почти каждое компьютерное устройство имеет систему регистрации событий. Речь о них идет в работе Джеймса П. Андерсона 1980 года Computer Security Threat Monitoring and Surveillance (https://csrc.nist.gov/csrc/media/publications/conference-paper/1998/10/08/proceedings-of-the-21st-nissc-1998/documents/early-cs-papers/ande80.pdf).
В то время как компьютерные системы хороши в генерации огромного количества событий, люди и их системы выявления угроз далеко не идеальны. Для большинства пользователей компьютеров журналы событий (логи) полны тысяч событий, которые затрудняют определение вторжений.
Лучший отчет о промежутках времени между неправомерной авторизацией в системе и обнаружением факта взлома публикуется компанией Verizon (https://www.verizon.com/business/resources/reports/dbir/). Отчет 2016 года (https://enterprise.verizon.com/resources/reports/2016/DBIR_2016_Report.pdf) показал следующие тревожные долгосрочные тенденции:
• среднее время от первоначального взлома хакером до утечки персональных или учетных данных обычно занимает от нескольких минут до нескольких дней;
• большинство злоумышленников (70–80 %) находятся в системе в течение длительного времени (месяцами) до обнаружения;
• обнаружение нарушений злоупотребления внутренними ресурсами происходит лишь в 10 % случаев.
И это несмотря на доказательства, что большинство нарушений регистрируются в логах и, вероятно, были бы обнаружены, если бы логи были просмотрены. Для ясности, я говорю о логах компьютерной системы, а также логах механизмов обеспечения информационной безопасности (например, брандмауэров, систем обнаружения вторжений и т. д.).
Характеристики эффективного предупреждения об инциденте
К сожалению, большинство средств системы безопасности генерируют в логах тысячи, если не миллионы сообщений о событиях, которые не относятся к злоупотреблениям. Или, если они указывают на фактическую вредоносность, документируются события, которые имеют очень и очень низкий риск для окружения (например, когда брандмауэр регистрирует заблокированный пакет). В результате большинство логов весьма «замусорены», т. е. содержат больше бесполезной информации, чем полезной. Имея это в виду, хорошее сообщение о событии системы безопасности должно иметь следующие характеристики:
• низкий уровень шума;
• низкий уровень ложных срабатываний и несрабатываний, т. е. появление предупреждения с высокой вероятностью указывает на реальный взлом;
• понятное описание события;
• глубокие подробности, которые могут быть полезны специалистам по ИБ;
• генерация события всегда инициирует расследование инцидента.
Вот это и есть святой Грааль обнаружения вторжений.
Развитые устойчивые угрозы
Развитые устойчивые угрозы (APT, Advanced Persistent Threats) – это атаки, которые проводятся профессиональными преступными группировками. В компрометации подавляющего большинства предприятий, военных систем и других субъектов в течение последнего десятилетия виновны атаки именно такого рода. На самом деле большинство экспертов по ИБ считают, что все подключенные к Интернету организации уже были успешно скомпрометированы или, в случае необходимости, могут быть скомпрометированы в любой момент. APT-атаки совершаются профессиональными хакерами, которые отличаются от обычных следующими особенностями:
• стараются сохранить присутствие в системе после первоначального взлома;
• не «убегают» в случае обнаружения;
• имеют десятки и даже сотни способов взлома и эксплойтов, которые могут использовать, включая уязвимости нулевого дня;
• всегда получают полный контроль над взломанной системой;
• ставят целью постоянную кражу интеллектуальной собственности;
• как правило, ведут атаки из «безопасной гавани» – страны, в которой их никогда не будут преследовать за их деятельность (все верно, во многих государствах хакерство часто спонсируется и поощряется).
APT-атаки намного сложнее выявить традиционными методами обнаружения вторжений. Это возможно, но очень непросто без внедрения и настройки систем обнаружения вторжений. Некоторые системы из числа рассмотренных в этой главе эффективно обнаруживают и предотвращают APT-атаки. Именно поэтому мы о них говорим.
Методы обнаружения вторжений
Существует два основных способа обнаружения вторжений: отслеживать подозрительное поведение и сканировать сигнатуры. Многие системы обнаружения вторжений включают оба перечисленных метода.
Обнаружение вторжений на основе поведения
Также известные как системы обнаружения аномалий, такие механизмы отслеживают подозрительное поведение, указывающее на злонамеренность. Примеры: копирование одного файла в другой (например, компьютерный вирус), внезапное перенаправление браузера на посторонний URL-адрес (например, рекламное ПО, атака посредника и т. д.), неожиданное соединение с ханипотом или копирование содержимого базы данных аутентификации (как в случае кражи учетных данных). Основная идея, лежащая в основе систем обнаружения вторжений на основе поведения, заключается в том, что существует слишком много способов взлома, чтобы их можно было определять по отдельности, поэтому вместо этого отслеживается подозрительное поведение. И в этом есть смысл. Например, существуют десятки миллионов компьютерных вирусов, большинство из которых могут таким образом быть обнаружены – все они копируют себя в новые файлы. Доктор Дороти Деннинг (речь о которой пойдет в главе 15), большой сторонник систем обнаружения вторжений, написала свой эпохальный труд по обнаружению аномалий (http://users.ece.cmu.edu/~adrian/731-sp04/readings/denning-ids.pdf) в 1986 году.
Обнаружение вторжений на основе сигнатур
В таких системах реализован противоположный подход. Считается, что вредоносное поведение меняется слишком часто или что легитимные программы могут вызывать ложные срабатывания. Антивирусные сканеры – прекрасный пример программ, анализирующих сигнатуры объектов. Они содержат миллионы уникальных последовательностей байтов (сигнатур), которые при обнаружении будут указывать на вредоносность.
Инструменты и сервисы обнаружения вторжений
В целом любое аппаратное или программное защитное обеспечение, которое обнаруживает и оповещает о вредоносных действиях, – это программа обнаружения вторжений. К ним относятся брандмауэры, ханипоты, антивирусные программы и системы управления событиями. Некоторые эксперты используют только решения, в названии которых присутствует словосочетание «обнаружение вторжений».
Системы обнаружения/предотвращения вторжений
Системы обнаружения вторжений (IDS, Intrusion Detection System) специально созданы для обнаружения вредоносных действий и обычно используют комбинацию методов детектирования подозрительного поведения и анализа сигнатур. Системы предотвращения вторжений (IPS, Intrusion Prevention System) обнаруживают и препятствуют вредоносным действиям. Многие IDS также используют алгоритмы предотвращения вторжений в целях защиты, поэтому IDS может означать и IPS. Некоторые специалисты по ИБ не применяют автоматизированные алгоритмы предотвращения в IDS из-за частых ложных срабатываний, которыми грешат многие такие системы. Иногда, в случае IPS с низким риском ложного срабатывания, таких как решения для защиты от вредоносных программ, автоматическое предотвращение используется.
Различаются хостовые и сетевые IDS и IPS, в зависимости от того, будет ли осуществляться защита отдельных узлов системы или анализироваться пакеты в сети.
Первой широко популярной хостовой IDS, которую я помню, была Tripwire (https://en.wikipedia.org/wiki/Tripwire_(company)) еще в 1992 году. Она основана студентом Университета Пердью Джином Кимом и его профессором, доктором Юджином Спаффордом. Это не случайно, что в Университете Пердью также преподавала Дороти Деннинг.
Первой суперпопулярной сетевой IDS на моей памяти была бесплатная Snort (www.snort.org/). Мне повезло, меня научил ею пользоваться создатель, Мартин Рош, в начале 1990-х на тренинге в компании SANS Institute. Сейчас это все еще очень популярный коммерческий продукт, предлагаемый в бесплатной и платной версиях компанией Sourcefire.
Системы управления событиями
За каждым успешным решением по обнаружению вторжений или программой для управления логами стоит система, которая находит и собирает события от одного или нескольких «датчиков». На каждом предприятии с большим количеством компьютеров необходимо собрать и проанализировать эти события в целом, чтобы получить полную картину. Системы управления отвечают за их сбор, анализ и создание оповещений. От того, насколько хорошо и точно системы выполняют свою работу, зависит общая эффективность. У каждой системы управления событиями множество компонентов и свои особенности. Специальная публикация NIST 800-92 Guide to Computer Security Log Management(https://csrc.nist.gov/publications/detail/sp/800-92/final) считается наиболее полным руководством по эффективному управлению событиями. Это трудный и ресурсоемкий процесс. Соответственно, существует множество компаний, готовых сделать всю сложную работу за вас. Это так называемые SIEM (Security information and event management) – компании или сервисы, управляющие информацией о безопасности и событиями безопасности.
Обнаружение сложных постоянных угроз (APT)
Профессиональные APT-хакеры умеют проникать в компании, практически не оставляя следов. В течение многих лет считалось трудным, если не невозможным, их обнаружить. Но в итоге методы обнаружения вторжений стали эффективнее, и теперь доступно несколько продуктов, сервисов и компаний, весьма успешных в поиске APT-атак и им подобных.
Производители операционных систем создают функции и службы, которые значительно лучше находят такого рода преступления. Примерами могут служить сервисы компании Microsoft Advanced Persistent Threat (https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics) и Advanced Threat Protection (https://www.microsoft.com/en-us/WindowsForBusiness/windows-atp).
Многие компании теперь регулярно отслеживают поведение десятков APT-группировок, определяя, что и где они делают. Многие компании предлагают услуги по быстрому обнаружению APT-атак и оповещению об их присутствии. Вероятно, самая большая разница между традиционными и более новыми методами обнаружения вторжений заключается в возможности у последних сбора данных о многих компаниях в Интернете. В этой области наиболее известны компании CrowdStrike (https://www.crowdstrike.com/), AT&T Cybersecurity (https://cybersecurity.att.com/) и давний игрок на рынке TrendMicro (https://www.trendmicro.com/ru_ru/business.html). Хакерам становится все труднее скрыть свое вторжение.
Следующая глава повествует о пионере обнаружения вторжений, докторе Дороти Деннинг. В главе 16 речь пойдет о Михаиле Дубинском, менеджере по продукции одного из наиболее передовых сервисов обнаружения вторжений, доступных сегодня.