Раздел 1. Вопрос 15 .Система обнаружения вторжений: принцип действия, область использования.
Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)
Обычно архитектура СОВ включает:
• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
• хранилище, обеспечивающее накопление первичных событий и результатов анализа
• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты
В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.
• Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.
• Основанное на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.
• Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.
• Узловая СОВ (Host-based IDS, HIDS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.
• Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.
В пассивной СОВ при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention system (англ.)), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.
C 15 марта 2012 г. сертификация средств защиты информации, реализующих функции обнаружения вторжений, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638.
Для дифференциации требований к функциям безопасности систем обнаружения вторжений установлено шесть классов защиты систем обнаружения вторжений. Самый низкий класс - шестой, самый высокий - первый.
Системы обнаружения вторжений, соответствующие 6 классу защиты, применяются в ИСПДн 4 уровня защищенности и ГИС 4 класса.
Системы обнаружения вторжений, соответствующие 5 классу защиты, применяются в ИСПДн 3 уровня защищенности и ГИС 3 класса.
Системы обнаружения вторжений, соответствующие 4 классу защиты, применяются в ИСПДн 1 и 2 уровня защищенности и ГИС 1 и 2 класса.
Системы обнаружения вторжений, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Детализация требований к функциям безопасности систем обнаружения вторжений, установленных Требованиями, а также взаимосвязи этих требований приведены в профилях защиты, утвержденных ФСТЭК России в качестве методических документов.
Спецификация профилей защиты систем обнаружения вторжений для каждого типа системы обнаружения вторжений и класса защиты системы обнаружения вторжений приведена в таблице.
|
6 |
5 |
4 |
3 |
2 |
1 |
Система обнаружения вторжений уровня сети |
ИТ.СОВ. С6.ПЗ |
ИТ.СОВ. С5.ПЗ |
ИТ.СОВ. С4.ПЗ |
ИТ.СОВ. СЗ.ПЗ |
ИТ.СОВ. С2.ПЗ |
ИТ.СОВ. С1.ПЗ |
Система обнаружения вторжений уровня узла |
ИТ.СОВ. У6.ПЗ |
ИТ.СОВ. У5.ПЗ |
ИТ.СОВ. У4.ПЗ |
ИТ.СОВ. УЗ.ПЗ |
ИТ.СОВ. У2.ПЗ |
ИТ.СОВ. У1.ПЗ |
Пожалуйста, авторизуйтесь или зарегистрируйтесь для голосования.