Книга: Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Назад: Информация о Мартине Хеллмане
Дальше: Информация о докторе Дороти Деннинг

Обнаружение вторжений на основе сигнатур

В таких системах реализован противоположный подход. Считается, что вредоносное поведение меняется слишком часто или что легитимные программы могут вызывать ложные срабатывания. Антивирусные сканеры – прекрасный пример программ, анализирующих сигнатуры объектов. Они содержат миллионы уникальных последовательностей байтов (сигнатур), которые при обнаружении будут указывать на вредоносность.

Инструменты и сервисы обнаружения вторжений

В целом любое аппаратное или программное защитное обеспечение, которое обнаруживает и оповещает о вредоносных действиях, – это программа обнаружения вторжений. К ним относятся брандмауэры, ханипоты, антивирусные программы и системы управления событиями. Некоторые эксперты используют только решения, в названии которых присутствует словосочетание «обнаружение вторжений».

Системы обнаружения/предотвращения вторжений

Системы обнаружения вторжений (IDS, Intrusion Detection System) специально созданы для обнаружения вредоносных действий и обычно используют комбинацию методов детектирования подозрительного поведения и анализа сигнатур. Системы предотвращения вторжений (IPS, Intrusion Prevention System) обнаруживают и препятствуют вредоносным действиям. Многие IDS также используют алгоритмы предотвращения вторжений в целях защиты, поэтому IDS может означать и IPS. Некоторые специалисты по ИБ не применяют автоматизированные алгоритмы предотвращения в IDS из-за частых ложных срабатываний, которыми грешат многие такие системы. Иногда, в случае IPS с низким риском ложного срабатывания, таких как решения для защиты от вредоносных программ, автоматическое предотвращение используется.

Различаются хостовые и сетевые IDS и IPS, в зависимости от того, будет ли осуществляться защита отдельных узлов системы или анализироваться пакеты в сети.

Первой широко популярной хостовой IDS, которую я помню, была Tripwire (https://en.wikipedia.org/wiki/Tripwire_(company)) еще в 1992 году. Она основана студентом Университета Пердью Джином Кимом и его профессором, доктором Юджином Спаффордом. Это не случайно, что в Университете Пердью также преподавала Дороти Деннинг.

Первой суперпопулярной сетевой IDS на моей памяти была бесплатная Snort (www.snort.org/). Мне повезло, меня научил ею пользоваться создатель, Мартин Рош, в начале 1990-х на тренинге в компании SANS Institute. Сейчас это все еще очень популярный коммерческий продукт, предлагаемый в бесплатной и платной версиях компанией Sourcefire.

Системы управления событиями

За каждым успешным решением по обнаружению вторжений или программой для управления логами стоит система, которая находит и собирает события от одного или нескольких «датчиков». На каждом предприятии с большим количеством компьютеров необходимо собрать и проанализировать эти события в целом, чтобы получить полную картину. Системы управления отвечают за их сбор, анализ и создание оповещений. От того, насколько хорошо и точно системы выполняют свою работу, зависит общая эффективность. У каждой системы управления событиями множество компонентов и свои особенности. Специальная публикация NIST 800-92 Guide to Computer Security Log Management (https://csrc.nist.gov/publications/detail/sp/800-92/final) считается наиболее полным руководством по эффективному управлению событиями. Это трудный и ресурсоемкий процесс. Соответственно, существует множество компаний, готовых сделать всю сложную работу за вас. Это так называемые SIEM (Security information and event management) – компании или сервисы, управляющие информацией о безопасности и событиями безопасности.

Обнаружение сложных постоянных угроз (APT)

Профессиональные APT-хакеры умеют проникать в компании, практически не оставляя следов. В течение многих лет считалось трудным, если не невозможным, их обнаружить. Но в итоге методы обнаружения вторжений стали эффективнее, и теперь доступно несколько продуктов, сервисов и компаний, весьма успешных в поиске APT-атак и им подобных.

Производители операционных систем создают функции и службы, которые значительно лучше находят такого рода преступления. Примерами могут служить сервисы компании Microsoft Advanced Persistent Threat (https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics) и Advanced Threat Protection (https://www.microsoft.com/en-us/WindowsForBusiness/windows-atp).

Многие компании теперь регулярно отслеживают поведение десятков APT-группировок, определяя, что и где они делают. Многие компании предлагают услуги по быстрому обнаружению APT-атак и оповещению об их присутствии. Вероятно, самая большая разница между традиционными и более новыми методами обнаружения вторжений заключается в возможности у последних сбора данных о многих компаниях в Интернете. В этой области наиболее известны компании CrowdStrike (https://www.crowdstrike.com/), AT&T Cybersecurity (https://cybersecurity.att.com/) и давний игрок на рынке TrendMicro (https://www.trendmicro.com/ru_ru/business.html). Хакерам становится все труднее скрыть свое вторжение.

Следующая глава повествует о пионере обнаружения вторжений, докторе Дороти Деннинг. В главе 16 речь пойдет о Михаиле Дубинском, менеджере по продукции одного из наиболее передовых сервисов обнаружения вторжений, доступных сегодня.

15. Профиль: доктор Дороти Деннинг

На протяжении нескольких десятилетий я думал, что один из моих особых талантов в области информационной безопасности – это умение обнаруживать признаки вредоносной хакерской активности. Я могу заметить потенциальную хакерскую угрозу и найти способы ее более раннего обнаружения и генерации оповещений. Я по-прежнему считаю, что у меня это получается лучше, чем у кого бы то ни было, однако я взаправду считал, что мой подход к обнаружению вторжений/аномалий абсолютно оригинален. Даже слегка задавался по этому поводу. Но потом я узнал о выдающейся работе доктора Дороти Деннинг для IEEE (Института инженеров электротехники и электроники), посвященной экспертным системам обнаружения вторжений в реальном времени (https://users.ece.cmu.edu/~adrian/731-sp04/readings/denning-ids.pdf). В ней было описано все то, что я считал своим «оригинальным» видением, правда доктор Деннинг написала свою работу в 1986 году, задолго до того, как я сделал свои «открытия».

Это был первый из тех многочисленных случаев, когда я осознавал, что мое «оригинальное» видение вовсе не было таковым. Все мы опираемся на открытия великих людей, а доктор Деннинг, безусловно, стала легендой и одним из первопроходцев в области информационной безопасности. Вот что она мне сказала: «Когда я начинала работу, такой отдельной сферы, как информационная безопасность, еще не существовало. Не было ни книг, ни журналов, ни конференций, посвященных этой теме. Нам были доступны лишь докторские диссертации и несколько статей, опубликованных в таких мультидисциплинарных журналах, как Communications of the ACM. Но мне повезло работать в Университете Пердью, одном из немногих, начавших работу в области информационной безопасности наряду с МТИ и другими».

В колледже доктор Деннинг увлекалась математикой и думала, что станет преподавать ее старшеклассникам. Но в процессе получения степени бакалавра математики в Мичиганском университете она работала под руководством директора радиоастрономической обсерватории, который порекомендовал ей освоить программирование для решения рабочих задач. На последнем году обучения она прошла один из немногих доступных в то время курсов по информатике. Позже, в Университете Рочестера, Дороти создала транслятор командного языка, чтобы упростить выполнение программ на мэйнфрейме IBM, а также разработала и преподавала курсы по языкам программирования и компиляторам. Любовь к преподаванию мотивировала ее на получение докторской степени в Университете Пердью, где она изучала курс по операционным системам, который читал ее будущий муж, Питер Деннинг. В рамках этого курса рассматривались принципы обеспечения информационной безопасности на уровне ОС. Это положило начало многолетнему увлечению темой информационной безопасности. Она даже преподавала один из первых в стране курсов по этому предмету.



Примечание. Транслятор, разработанный доктором Деннинг, переводил команды, написанные на языке Рочестерского университета Easy Control Language, на язык управления заданиями (Job Control Language) компании IBM, который пользователи считали слишком сложным.



Дороти Деннинг получила докторскую степень в 1975 году, создав решетчатую модель безопасности, которую можно представить в виде структуры классификации информации, образующей решетку таким образом, что информация может проходить через нее лишь в одном направлении и только от низших к высшим или равным уровням классификации. Концепция однонаправленного информационного потока по-прежнему остается движущей силой «оригинальных» разработок в области ИБ. В основе двух недавних проектов, над которыми я работал в Microsoft, – защищенные администраторские рабочие станции (https://msdn.microsoft.com/en-us/library/mt186538.aspx) и улучшенная среда администратора безопасности (ESAE) (https://technet.microsoft.com/windows-server-docs/ security/securing-privileged-access/securing-privileged-access-reference-material), – лежит определенный информационный поток, подчиняющийся тем же правилам.

В своей работе доктор Деннинг описала метод использования решетчатой математической модели для защиты информации. Вот что она мне сказала: «Я много размышляла на тему классификации и защиты данных, и, когда разработала модель и ее математическое обоснование, подумала, что это может стать новым словом в области компьютерной безопасности. Я поделилась своими теоремами и доказательствами с мужем, и он сказал, что это называется теорией решеток, а также назвал имя эксперта [Гаррета Биркгофа], написавшего об этом книгу. До того момента я полагала, что разработала новую математическую теорию». История доктора Деннинг слегка утешила меня по поводу моих собственных «открытий».

Доктор Деннинг опубликовала статью A Lattice Model of Secure Information Flow (http://faculty.nps.edu/dedennin/publications/lattice76.pdf) в 1976 году, после чего теория решеток начала применяться в области защиты информации. Статья содержит множество простых объяснений и математических формул, но в ней не говорится о конкретном способе реализации модели в операционной системе. Несмотря на то что сама Деннинг модель не реализовывала, в ее диссертации и более поздней работе (http://faculty.nps.edu/dedennin/publications/CertificationProgramsSecureInfoFlow.pdf) описан способ модификации компилятора с целью проверки потоков выполнения программ, которым пользуются другие люди при реализации ее модели.

Одной из основных тем в работе доктора Деннинг была защита конфиденциальной информации, в том числе при ее программной обработке. «Я думаю, – сказала она, – что хороший пример в данном случае – отправка налоговой декларации в соответствующую программу или сервис для обработки. В идеале в ходе такой обработки ваша конфиденциальная информация не должна попасть в чужие руки».

Я спросил, как, по ее мнению, сегодня обрабатывается конфиденциальная информация, на что она ответила: «Вообще, ситуация выглядит не очень хорошо. Информация постоянно оказывается не в тех руках. Сейчас многие компании прикладывают недостаточно усилий для защиты информации».

В 1982 году доктор Деннинг написала учебник Cryptography and Data Security (https://www.amazon.com/Cryptography-Security-DorothyElizabeth-Robling/dp/0201101505), оказавший значительное влияние на развитие отрасли. Причина, по которой она написала эту книгу, заключалась в том, что она сама не смогла найти необходимое пособие для преподавания курса по этому предмету. Это была первая из ее книг. За свою карьеру она написала несколько книг и более 170 статей и технических документов. В 1983 году Дороти начала работать в SRI International, некоммерческом научно-исследовательском институте, основанном попечителями Стэнфордского университета. Там она разрабатывала систему обнаружения вторжений для ВМФ, результатом чего стала работа, посвященная экспертным системам, которую я упомянул в начале главы.

После этого Деннинг перешла в довольно успешную на тот момент компанию Digital Equipment Corporation (DEC), результатом работы которой были тысячи патентов в области компьютерных технологий. В процессе сотрудничества с DEC она провела множество интервью с компьютерными хакерами, чтобы понять их мотивы и психологию. В результате Дороти написала еще несколько статей. Интервьюирование хакеров и параллельная работа по предотвращению их незаконной деятельности вызвали неоднозначное отношение к ее методам. И хотя она не стремится к подобным противоречиям нарочно, совершенно очевидно, что они вовсе не мешают ей в поиске решений. Это еще одна тема, которая иногда проявляется в работе Дороти, когда она открывает новые горизонты и провоцирует дискуссии. В ходе другого интервью доктор Деннинг посетовала на то, что иногда эмоции других людей по поводу того или иного вопроса мешают его публичному обсуждению.

В 1991 году она покинула компанию DEC и вернулась в Джорджтаунский университет, чтобы преподавать курс по ведению информационных и кибервойн в качестве директора Джорджтаунского института информационной безопасности. В 2002 году она перешла в Высшую школу ВМФ США в качестве профессора на кафедру оборонной аналитики, где работает по сей день. В 1999 году, еще в Джорджтаунском университете, она написала свою последнюю книгу Information Warfare and Security (www.amazon.com/Information-Warfare-Security-Dorothy-Denning/dp/0201433036/). По ее словам, после этого она уже не возвращалась к писательству, так как было слишком сложно идти в ногу со временем и не хотелось писать то, что оказалось бы устаревшим еще до публикации.

За свою карьеру доктор Деннинг получила множество наград, которыми мог бы гордиться любой специалист по информатике. Среди прочего она была удостоена премии Ады Лавлейс (https://www.acsac.org/ncss-winners.html) и национальной премии в области разработки информационных систем безопасности (https://www.acsac.org/ncss-winners.html). В 1995 году она стала членом Ассоциации вычислительной техники (http://awards.acm.org/award_winners/denning_1239516.cfm), а в 2012 году введена в Национальный зал славы кибербезопасности (http://www.cybersecurityhalloffame.com).

В конце 2016 года доктор Деннинг официально ушла в отставку. На мой вопрос о том, собирается ли она продолжать работать над проблемами информационной безопасности, она сказала следующее: «Я и дальше буду работать, но теперь, получив статус заслуженного профессора, я освободилась от ряда служебных обязанностей и могу сосредоточиться на том, что мне интересно. Я все еще активно работаю в нескольких направлениях и собираюсь кое-что написать. Но я также люблю ходить в походы, чтобы очистить разум». По-моему, любой профессионал хотел бы иметь столь же продолжительную карьеру и оказать на мир такое же влияние, как это сделала доктор Деннинг.

Назад: Информация о Мартине Хеллмане
Дальше: Информация о докторе Дороти Деннинг