Более подробную информацию о Мартине Хеллмане вы можете получить по ссылкам:
• книга A New Map for Relationships: Creating True Love at Home and Peace on the Planet: https://ee.stanford.edu/~hellman/publications/book3.pdf;
• биография Мартина Хеллмана на сайте Стэнфордского университета: https://ee.stanford.edu/~hellman/;
• работы Мартина Хеллмана в области криптографии: https://ee.stanford.edu/~hellman/publications.html.
Обнаружение вторжений – это искусство определения несанкционированной деятельности. В компьютерном мире это означает обнаружение несанкционированных подключений, авторизаций в системе и попыток доступа к ресурсам. Необходимость обнаружения вторжений – одна из причин, почему почти каждое компьютерное устройство имеет систему регистрации событий. Речь о них идет в работе Джеймса П. Андерсона 1980 года Computer Security Threat Monitoring and Surveillance (https://csrc.nist.gov/csrc/media/publications/conference-paper/1998/10/08/proceedings-of-the-21st-nissc-1998/documents/early-cs-papers/ande80.pdf).
В то время как компьютерные системы хороши в генерации огромного количества событий, люди и их системы выявления угроз далеко не идеальны. Для большинства пользователей компьютеров журналы событий (логи) полны тысяч событий, которые затрудняют определение вторжений.
Лучший отчет о промежутках времени между неправомерной авторизацией в системе и обнаружением факта взлома публикуется компанией Verizon (https://www.verizon.com/business/resources/reports/dbir/). Отчет 2016 года (https://enterprise.verizon.com/resources/reports/2016/DBIR_2016_Report.pdf) показал следующие тревожные долгосрочные тенденции:
• среднее время от первоначального взлома хакером до утечки персональных или учетных данных обычно занимает от нескольких минут до нескольких дней;
• большинство злоумышленников (70–80 %) находятся в системе в течение длительного времени (месяцами) до обнаружения;
• обнаружение нарушений злоупотребления внутренними ресурсами происходит лишь в 10 % случаев.
И это несмотря на доказательства, что большинство нарушений регистрируются в логах и, вероятно, были бы обнаружены, если бы логи были просмотрены. Для ясности, я говорю о логах компьютерной системы, а также логах механизмов обеспечения информационной безопасности (например, брандмауэров, систем обнаружения вторжений и т. д.).
К сожалению, большинство средств системы безопасности генерируют в логах тысячи, если не миллионы сообщений о событиях, которые не относятся к злоупотреблениям. Или, если они указывают на фактическую вредоносность, документируются события, которые имеют очень и очень низкий риск для окружения (например, когда брандмауэр регистрирует заблокированный пакет). В результате большинство логов весьма «замусорены», т. е. содержат больше бесполезной информации, чем полезной. Имея это в виду, хорошее сообщение о событии системы безопасности должно иметь следующие характеристики:
• низкий уровень шума;
• низкий уровень ложных срабатываний и несрабатываний, т. е. появление предупреждения с высокой вероятностью указывает на реальный взлом;
• понятное описание события;
• глубокие подробности, которые могут быть полезны специалистам по ИБ;
• генерация события всегда инициирует расследование инцидента.
Вот это и есть святой Грааль обнаружения вторжений.
Развитые устойчивые угрозы (APT, Advanced Persistent Threats) – это атаки, которые проводятся профессиональными преступными группировками. В компрометации подавляющего большинства предприятий, военных систем и других субъектов в течение последнего десятилетия виновны атаки именно такого рода. На самом деле большинство экспертов по ИБ считают, что все подключенные к Интернету организации уже были успешно скомпрометированы или, в случае необходимости, могут быть скомпрометированы в любой момент. APT-атаки совершаются профессиональными хакерами, которые отличаются от обычных следующими особенностями:
• стараются сохранить присутствие в системе после первоначального взлома;
• не «убегают» в случае обнаружения;
• имеют десятки и даже сотни способов взлома и эксплойтов, которые могут использовать, включая уязвимости нулевого дня;
• всегда получают полный контроль над взломанной системой;
• ставят целью постоянную кражу интеллектуальной собственности;
• как правило, ведут атаки из «безопасной гавани» – страны, в которой их никогда не будут преследовать за их деятельность (все верно, во многих государствах хакерство часто спонсируется и поощряется).
APT-атаки намного сложнее выявить традиционными методами обнаружения вторжений. Это возможно, но очень непросто без внедрения и настройки систем обнаружения вторжений. Некоторые системы из числа рассмотренных в этой главе эффективно обнаруживают и предотвращают APT-атаки. Именно поэтому мы о них говорим.
Существует два основных способа обнаружения вторжений: отслеживать подозрительное поведение и сканировать сигнатуры. Многие системы обнаружения вторжений включают оба перечисленных метода.
Также известные как системы обнаружения аномалий, такие механизмы отслеживают подозрительное поведение, указывающее на злонамеренность. Примеры: копирование одного файла в другой (например, компьютерный вирус), внезапное перенаправление браузера на посторонний URL-адрес (например, рекламное ПО, атака посредника и т. д.), неожиданное соединение с ханипотом или копирование содержимого базы данных аутентификации (как в случае кражи учетных данных). Основная идея, лежащая в основе систем обнаружения вторжений на основе поведения, заключается в том, что существует слишком много способов взлома, чтобы их можно было определять по отдельности, поэтому вместо этого отслеживается подозрительное поведение. И в этом есть смысл. Например, существуют десятки миллионов компьютерных вирусов, большинство из которых могут таким образом быть обнаружены – все они копируют себя в новые файлы. Доктор Дороти Деннинг (речь о которой пойдет в главе 15), большой сторонник систем обнаружения вторжений, написала свой эпохальный труд по обнаружению аномалий (http://users.ece.cmu.edu/~adrian/731-sp04/readings/denning-ids.pdf) в 1986 году.