Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Также известные как системы обнаружения аномалий, такие механизмы отслеживают подозрительное поведение, указывающее на злонамеренность. Примеры: копирование одного файла в другой (например, компьютерный вирус), внезапное перенаправление браузера на посторонний URL-адрес (например, рекламное ПО, атака посредника и т. д.), неожиданное соединение с ханипотом или копирование содержимого базы данных аутентификации (как в случае кражи учетных данных). Основная идея, лежащая в основе систем обнаружения вторжений на основе поведения, заключается в том, что существует слишком много способов взлома, чтобы их можно было определять по отдельности, поэтому вместо этого отслеживается подозрительное поведение. И в этом есть смысл. Например, существуют десятки миллионов компьютерных вирусов, большинство из которых могут таким образом быть обнаружены – все они копируют себя в новые файлы. Доктор Дороти Деннинг (речь о которой пойдет в главе 15), большой сторонник систем обнаружения вторжений, написала свой эпохальный труд по обнаружению аномалий (http://users.ece.cmu.edu/~adrian/731-sp04/readings/denning-ids.pdf) в 1986 году.

В таких системах реализован противоположный подход. Считается, что вредоносное поведение меняется слишком часто или что легитимные программы могут вызывать ложные срабатывания. Антивирусные сканеры – прекрасный пример программ, анализирующих сигнатуры объектов. Они содержат миллионы уникальных последовательностей байтов (сигнатур), которые при обнаружении будут указывать на вредоносность.

В целом любое аппаратное или программное защитное обеспечение, которое обнаруживает и оповещает о вредоносных действиях, – это программа обнаружения вторжений. К ним относятся брандмауэры, ханипоты, антивирусные программы и системы управления событиями. Некоторые эксперты используют только решения, в названии которых присутствует словосочетание «обнаружение вторжений».

Системы обнаружения вторжений (IDS, Intrusion Detection System) специально созданы для обнаружения вредоносных действий и обычно используют комбинацию методов детектирования подозрительного поведения и анализа сигнатур. Системы предотвращения вторжений (IPS, Intrusion Prevention System) обнаруживают и препятствуют вредоносным действиям. Многие IDS также используют алгоритмы предотвращения вторжений в целях защиты, поэтому IDS может означать и IPS. Некоторые специалисты по ИБ не применяют автоматизированные алгоритмы предотвращения в IDS из-за частых ложных срабатываний, которыми грешат многие такие системы. Иногда, в случае IPS с низким риском ложного срабатывания, таких как решения для защиты от вредоносных программ, автоматическое предотвращение используется.

Различаются хостовые и сетевые IDS и IPS, в зависимости от того, будет ли осуществляться защита отдельных узлов системы или анализироваться пакеты в сети.

Первой широко популярной хостовой IDS, которую я помню, была Tripwire (https://en.wikipedia.org/wiki/Tripwire_(company)) еще в 1992 году. Она основана студентом Университета Пердью Джином Кимом и его профессором, доктором Юджином Спаффордом. Это не случайно, что в Университете Пердью также преподавала Дороти Деннинг.

Первой суперпопулярной сетевой IDS на моей памяти была бесплатная Snort (www.snort.org/). Мне повезло, меня научил ею пользоваться создатель, Мартин Рош, в начале 1990-х на тренинге в компании SANS Institute. Сейчас это все еще очень популярный коммерческий продукт, предлагаемый в бесплатной и платной версиях компанией Sourcefire.

За каждым успешным решением по обнаружению вторжений или программой для управления логами стоит система, которая находит и собирает события от одного или нескольких «датчиков». На каждом предприятии с большим количеством компьютеров необходимо собрать и проанализировать эти события в целом, чтобы получить полную картину. Системы управления отвечают за их сбор, анализ и создание оповещений. От того, насколько хорошо и точно системы выполняют свою работу, зависит общая эффективность. У каждой системы управления событиями множество компонентов и свои особенности. Специальная публикация NIST 800-92 Guide to Computer Security Log Management (https://csrc.nist.gov/publications/detail/sp/800-92/final) считается наиболее полным руководством по эффективному управлению событиями. Это трудный и ресурсоемкий процесс. Соответственно, существует множество компаний, готовых сделать всю сложную работу за вас. Это так называемые SIEM (Security information and event management) – компании или сервисы, управляющие информацией о безопасности и событиями безопасности.