WYŻSZA SZKOŁA SPOŁECZNO - EKONOMICZNA

WYDZIAŁ PEDAGOGICZNY

Kierunek: Bezpieczeństwo Narodowe

Specjalność: Edukacja dla bezpieczeństwa

OCHRONA ANTYWIRUSOWA INFORMACJI I SYSTEM WYKRYWANIA WŁAMAŃ JAKO JEDEN Z ELEMENTÓW BEZPIECZEŃSTWA

Opracował zespół:

Sławomir Zdybał

Tobiasz Zarzycki

Warszawa Grudzień 2013

Informacja stanowi taki sam zasób organizacji jak pracownicy, technologie, środki finansowe. Informacje w postaci know-how, bazy danych, warunków handlowych, stanowią wartość bilansową, jak również przedmiot obrotu handlowego.

Tym samym kluczowe staje się właściwe zabezpieczenie przetwarzanych w organizacji informacji. Należy zwrócić uwagę, że nie chodzi tutaj tylko o wdrożenie rozwiązań w obszarze teleinformatyki, która naturalnie staje się kluczowa w przetwarzaniu informacji, lecz również zapewnienie bezpieczeństwa fizycznego, organizacyjnego, osobowego, prawnego czy też ciągłości działania. Kierując się zasadą najsłabszego ogniwa, jedynie rozwiązania kompleksowe mogą skutecznie zabezpieczyć przetwarzane w organizacji dane.

Punktem odniesienia przy budowie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) są międzynarodowe standardy ISO 27001, ISO 27005 oraz zbiór dobrych praktyk w obszarze analizy ryzyka oraz bezpieczeństwa.

W ramach realizacji usługi wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji konsultanci Blue Energy analizują aktualny stan zabezpieczeń fizycznych, teleinformatycznych, jak również stopień wdrożenia rozwiązań organizacyjnych i prawnych. Sporządzony raport z audytu bezpieczeństwa oprócz zidentyfikowanych problemów (podatności/słabości) wskazuje na działania, jakie powinny być podjęte celem ich usunięcia, jak również spełnienia wymagań międzynarodowych standardów.

Ważnym elementem wdrażanego Systemu Zarządzania Bezpieczeństwem Informacji jest analiza ryzyka, w ramach której dokonuje się zestawienia zidentyfikowanych podatności z potencjalnymi zagrożeniami oraz skutkami wynikającymi z wystąpienia tych zagrożeń. Poziom ryzyka pozwala wskazać na te elementy, które należy rozwiązać priorytetowo i dla nich sporządza się plan postępowania z ryzykiem. Oprócz wdrażania rozwiązań technicznych, w ramach projektu opracowywane są również rozwiązania organizacyjne w postaci polityki, procedur oraz instrukcji.

Opracowanie dokumentacji - Polityki Bezpieczeństwa Informacji, która jest nadrzędna dla Polityk Bezpieczeństwa: Teleinformatycznego, Fizycznego, Osobowego (w tym Polityka Danych Osobowych), Prawnego, nie jest jednak wystarczające, gdyż newralgicznym elementem jest jej skuteczne wdrożenie w organizacji. Dzięki szkoleniom dla pracowników, programowi komunikacji oraz zarządzania incydentami budujemy świadomość, będącą podstawą skuteczności wdrożenia. Na zakończenie projektu przeprowadzana jest weryfikacja wdrożenia w postaci audytów wewnętrznych, które pozwalają sprawdzić, czy wdrożone rozwiązania funkcjonują prawidłowo. Wdrożony system może zostać następnie poddany certyfikacji przez niezależną jednostkę certyfikującą.

Wśród głównych korzyści wdrożenia SZBI wymienić można:

• zwiększenie poziomu bezpieczeństwa informacji przetwarzanych w organizacji, co przekłada się na jakość zarządzania w organizacji,

• zapewnienie zgodności z wymaganiami prawnymi w obszarze bezpieczeństwa informacji (np. dane osobowe), co jest obowiązkiem każdego przedsiębiorcy,

• zwiększenie świadomości pracowników, a tym samym budowę kultury organizacyjnej i ładu,

• systemowe podejście do tematu bezpieczeństwa, dzięki monitoringowi, ewaluacji i wdrażania zabezpieczeń w obszarze bezpieczeństwa informacji,

• ew. uzyskanie certyfikatu, który stanowi doskonały element marketingowy dla organizacji.

Ochrona komputera przed wirusami i innymi zagrożeniami nie jest trudna, ale wymaga wytrwałości.

• Zainstalowanie programu antywirusowego i jego regularne aktualizowanie może pomóc obronić komputer przed wirusami. Programy antywirusowe skanują komputer w poszukiwaniu wirusów próbujących dostać się do poczty e-mail, systemu operacyjnego czy plików. Nowe wirusy pojawiają się codziennie, więc należy często sprawdzać w witrynie sieci Web producenta programu antywirusowego, czy dostępne są aktualizacje. Większość programów antywirusowych jest sprzedawana z roczną subskrypcją, która może być odnowiona w razie potrzeby.

• Nie należy otwierać załączników wiadomości e-mail. Wiele wirusów jest załączanych do wiadomości e-mail i rozprzestrzenia się po otwarciu załącznika wiadomości e-mail. Najlepiej jest nie otwierać żadnego załącznika, o ile nie jest to coś oczekiwanego. Programy Microsoft Outlook i Poczta systemu Windows pomagają blokować potencjalnie niebezpieczne załączniki.

• Należy regularnie aktualizować system operacyjny. Okresowo firma dostarczające system wydają specjalne aktualizacje zabezpieczeń, które mogą pomóc chronić komputer. Te aktualizacje mogą pomóc w zapobieganiu wirusom i atakom komputerowym, zamykając możliwe luki w zabezpieczeniach.

• Zapora systemu może ostrzegać przed podejrzanymi działaniami, gdy wirus lub robak próbuje połączyć się z komputerem. Może także blokować wirusy, robaki, a także udaremniać podejmowane przez hakerów próby pobierania potencjalnie szkodliwych programów na komputer użytkownika.

Program antywirusowy (antywirus) - jest to program komputerowy, którego celem jest wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły (uwaga: różni producenci stosują różne nazewnictwo):

• skaner - bada pliki na żądanie lub co jakiś czas; służy do przeszukiwania zawartości dysku

• monitor - bada pliki ciągle w sposób automatyczny; służy do kontroli bieżących operacji komputera

Program antywirusowy powinien również mieć możliwość aktualizacji definicji nowo odkrytych wirusów, najlepiej na bieżąco, przez pobranie ich z Internetu, ponieważ dla niektórych systemów operacyjnych codziennie pojawia się około trzydziestu nowych wirusów. Widoczna jest tendencja do integracji narzędzi do ochrony komputera. Kiedyś był to jedynie skaner, który wyszukiwał wirusy, początkowo na podstawie sygnatur znanych wirusów, a potem także typujący pliki jako zawierające podejrzany kod za pomocą metod heurystycznych. Trzeba dodać, że współcześnie programy antywirusowe jako jedyna linia obrony nie wystarczają, Obecnie poza skanerem, monitorem i modułem do aktualizacji sygnatur z sieci, pakiet antywirusowy zawiera często także zaporę sieciową, moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, moduł wykrywania i zapobiegania włamaniom, skaner pamięci i strażnika MBR. Wszystkie te moduły posiadają programy typu internet security - np. AVG InternetSecurity, G Data InternetSecurity, Kaspersky InternetSecurity - jednak można je zainstalować oddzielnie, co według licznych testów laboratoriów antywirusowych, oferują znacznie wyższy poziom ochrony przed malware niż pakiety bezpieczeństwa. Pierwszy komercyjny program antywirusowym pojawił się w 1989. Był nim AntiVirenKit niemieckiej firmy G Data Software AG.

Skanery to najstarszy i najprostszy sposób ochrony antywirusowej. Ich działanie polega na wyszukiwaniu określonej sekwencji bajtów w ciągu danych. W większości wirusów można wyróżnić unikalną sekwencję bajtów, tzw. sygnaturę, dzięki której możliwe jest odnalezienie wirusa w pamięci lub w zarażonej ofierze. Skuteczność skanera antywirusowego zależy od tego, jak bardzo charakterystyczna jest dana sekwencja. Najlepiej, jeżeli wirus zawiera w sobie jakiś bardzo specyficzny napis lub ciąg bajtów. Wraz z pojawieniem się wirusów polimorficznych znaczenie skanerów trochę zmalało, jednak nadal jest to najważniejsza metoda walki z wirusami. Wirusy polimorficzne są trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki danego wirusa nie mają ze sobą nic wspólnego. Polimorfizm może być osiągnięty poprzez zakodowanie ciała wirusa. W przypadku tych wirusów również używa się skanera, choć dopiero w późniejszej fazie wykrywania.

Monitor to program antywirusowy zainstalowany jako TSR (ang. Terminate and Stay Resident) lub sterownik SYS, który - poprzez monitorowanie odpowiednich funkcji DOS i BIOS - pozwala na wykrywanie wszystkich wykonywanych za pomocą tych funkcji odwołań do dysków. To, czy monitor będzie działał prawidłowo zależy często od momentu, w którym przejął on kontrolę nad systemem (przed działaniem wirusa, czy już po) oraz od tego, jak głęboko wnika on w system operacyjny. Jak widać autorzy programów antywirusowych muszą korzystać z metod podobnych do tych, które stosują twórcy wirusów. Dużą wadą programów monitorujących jest to, że powodują one często fałszywe alarmy. Niekiedy zdarza się tak, że użytkownik po kolejnym potwierdzeniu jakiejś zwykłej operacji dyskowej staje się mniej uważny i nawet usuwa program antywirusowy z pamięci.

Szczepionki są to programy skierowane przeciwko konkretnym wirusom. Na podstawie posiadanego czy wykrytego egzemplarza wirusa można, po odpowiedniej analizie jego kodu, zdefiniować tzw. sygnatury, na podstawie których wykrywa się kolejne kopie wirusa w systemie. Dokładna analiza kodu wirusa pozwala niekiedy odnaleźć w nim oryginalne wartości pewnych parametrów, które mogą posłużyć do wyleczenia plików. Większość z istniejących szczepionek to rozbudowane programy, które potrafią wykryć i usunąć kilka tysięcy określonych wirusów. Tylko w przypadkach nowych wirusów szczepionki nie są efektywne.

Programy autoweryfikujące służą do sprawdzania czy dany program nie został w jakiś sposób zmieniony przez wirusa. Sprawdzanie to jest możliwe poprzez dodanie do wskazanego pliku określonego, krótkiego programu. Dodawany kod dopisuje się do pliku wykorzystując te same mechanizmy co wirusy i pozwala on na autoweryfikację, czyli automatyczne sprawdzanie czy dany program nie został zmodyfikowany. Niestety, programy tego typu najczęściej nie są odporne na technikę ukrywania kodu wirusa stealth i w systemie zainfekowanym przez wirusa używającego tej techniki okażą się całkowicie nieefektywne.

Programy zliczające sumy kontrolne - działanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla żądanego pliku lub plików. Zliczane sumy kontrolne są przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Jeżeli pliki te istniały już wcześniej, program antywirusowy wykorzystuje dane w nich zawarte aby porównać bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku. Istnieje szereg algorytmów do tworzenia sum kontrolnych dla plików. Ogromną wadą programów tego typu jest to, że pliki przechowujące obliczone sumy kontrolne nie są wcale chronione. Dzięki znajomości wielu algorytmów stosowanych przez programy antywirusowe, niektóre wirusy potrafią zarazić określony plik i obliczyć dla niego nową sumę kontrolną.

Skanery antywirusowe online - gdy użytkownik nie posiada programu antywirusowego, a chciałby szybko sprawdzić dysk lub tylko jeden plik, dobrym rozwiązaniem są skanery online - moduł programu antywirusowego, za pomocą którego komputer sprawdza określony przez użytkownika plik lub obszar na dysku twardym, dyskietce czy płycie. Po zakończeniu pracy skaner informuje o liczbie znalezionych wirusów i o tym, ile z nich udało mu się skutecznie usunąć. Aby zastosować skaner trzeba posłużyć się przeglądarką internetową.

Ochrona informacji elektronicznej

 Korzystanie z aplikacji biznesowych i handlowych za pośrednictwem sieci oznacza realne korzyści, ale także zagrożenia systemu informatycznego przedsiębiorstwa. Liczba zagrożeń bezpieczeństwa, prób ataku oraz naruszeń stale rośnie, rośnie również stopień ich skomplikowania. Zagrożenia te mogą wpływać na stabilność infrastruktury, niezbędną podczas realizacji e-biznesu.

Większość zagrożeń jest związana z odkrywaniem i wykorzystaniem słabych punktów systemu (tzw. luk lub nieszczelności) i utrzymuje się nawet po opracowaniu środków zaradczych, gdyż użytkownicy bardzo często z opóźnieniem instalują odpowiednie łatki lub wymieniają program na nowszy.

Nowoczesne przedsiębiorstwo musi stosować cały zestaw uzupełniających się produktów, polityk oraz procedur, aby chronić się przed zagrożeniami. Ponieważ współczesne sieci firmowe są często bardzo skomplikowane, heterogeniczne i mają charakter dynamiczny, pojedyncze rozwiązania nie mogą zapewnić pełnej ochrony przed wszystkimi możliwymi zagrożeniami. Konieczne jest więc nakładanie warstw odpowiednich rozwiązań, które chronią przed jak największą liczbą zagrożeń.

Model bezpieczeństwa OSI opisuje pięć podstawowych mechanizmów, które powinien zawierać bezpieczny system:

• Uwierzytelnianie, obejmujące dwie formy: uwierzytelnianie tożsamości oraz uwierzytelnianie źródła pochodzenia danych. Pierwsza jest przeznaczona do weryfikowania deklarowanej tożsamości, druga - do określania źródła pochodzenia danych.

• Kontrola dostępu, służąca do ochrony zasobów IT przed nieupoważnionym wykorzystaniem, obejmująca m.in. czytanie, zapisywanie i wymazywanie danych.

• Poufność danych, zapewniająca ochronę przed nieupoważnionym ujawnianiem informacji.

• Integralność danych, chroniąca przed zagrożeniami wiarygodności danych.

• Niezaprzeczalność, uniemożliwiająca zaprzeczenie wysłania lub odbioru danych.

Z wielu powodów użytkownicy powinni sporo inwestować w bezpieczeństwo IT. Również z wielu przyczyn inwestowanie to nie osiąga takiego poziomu, jakiego można by się spodziewać.

Główne przeszkody we wdrażaniu mechanizmów bezpieczeństwa to:

• Duży koszt wielu środków ochronnych.

• Brak świadomości.

• Brak zasobów wewnętrznych.

• Dużo większa złożoność systemu informatycznego z rozwiązaniami ochronnymi.

Z wymienionych czynników niezwykle istotny jest brak zasobów wewnętrznych, dotyczących monitorowania alarmów o naruszeniu bezpieczeństwa, uaktualniania rozwiązań ochronnych IT, łatania nieszczelności aplikacji i systemów operacyjnych oraz zarządzania użytkownikami (profilami użytkowników).

Jednym z powodów rozpowszechnienia rozwiązań ochronnych, takich jak programy antywirusowe, zapory ogniowe i sterowanie dostępem do sieci, jest po prostu to, że od lat można je kupić. To pozwoliło pokaźnej liczbie użytkowników na zaznajomienie się z nimi i opanowanie ich eksploatacji. Jednak nie wszystkie rozwiązania ochronne są tak dojrzałe, a pojawiają się też nowe. Do technologii, które wzbudzają nadzieję na szersze stosowanie, można zaliczyć:

• Rozwiązania biometryczne - technologia używana do kontroli fizycznego lub logicznego dostępu do szczególnych zasobów, wykorzystująca unikatowe cechy osobnicze, takie jak tęczówka oka, odcisk palca, głos itp. Koszt wielu form biometryki obniżył się radykalnie, ale nadal są to metody za drogie i budzące wiele kontrowersji.

• Zarządzanie prawami do zawartości cyfrowej - jest wiele indywidualnych rozwiązań i projektów dotyczących ochrony cyfrowej własności intelektualnej. Dużo firm medialnych interesuje się cyfrowymi znakami wodnymi jako środkiem do walki z piractwem komputerowym.

• Zarządzanie zagrożeniami - rozwiązania tego typu funkcjonują w różnych formach już od lat, ale ta kategoria została zdefiniowana dopiero niedawno. Rozwiązania te zazwyczaj agregują alarmy związane z bezpieczeństwem, generowane przez różne rozwiązania, takie jak zapory ogniowe czy IDS, w celu zbiorczego prezentowania informacji.

Głównym przedmiotem ochrony systemu komputerowego są przechowywane w nim informacje. Ochronie podlegają zarówno poufność, jak i autentyczność danych. Zagrożenia poufności są związane z faktem, iż niepowołane osoby mogą uzyskiwać dostęp do przechowywanych w systemie informacji.

Do zagrożeń autentyczności zaliczamy: zniekształcanie (modyfikację) danych, wstawianie danych i niszczenie danych. Informacja może przybierać różne formy, toteż metody jej zabezpieczania są różnorodne. Zagrożenia informacji (''a w związku z tym i jej ochronę) można analizować wg kategorii opartych na sposobach jej przetwarzania i przechowywania. W kontekście bezpieczeństwa można wyróżnić domeny informacyjne obejmujące:

• Obszar fizyczny - informacja przechowywana w szafach pancernych, nośnikach wymiennych (dyskietki, CD itp.) i systemach komputerowych. Klasyczna ochrona dotyczy głównie ochrony fizycznej: budynków, serwerowni, kontroli dostępu do pomieszczeń itp.

• Obszar osobowy - skuteczność działania organizacji w znacznym stopniu opiera się na wartości jej pracowników, tj. na wiedzy, jaką posiadają, i zdolności jej użycia w interesie organizacji.

• Obszar sieciowy (logiczny) - informacja przechowywana w komputerach i pozyskiwana z sieci. Dokumenty w niej mogą być osiągane za pośrednictwem URL czy innych abstrakcyjnych notacji. Rzeczywista lokalizacja danych jest często nieznana użytkownikowi.

Każdy z tych obszarów jest połączony ze światem zewnętrznym pewnym interfejsem. Interfejsy w obszarze fizycznym pozwalają osobom z zewnątrz na wejście i wyjście z budynku (pomieszczenia). Są to drzwi, recepcje itp. Fizyczna ochrona rozciąga się też na media, które mogą być transportowane pomiędzy lokalizacjami. Do tej kategorii należy zaliczyć też laptopy.

Interfejsy personalne tworzą pracownicy mający powiązania między sobą i osobami spoza przedsiębiorstwa. Kontakty mogą być realizowane za pomocą telefonów, faksów, poczty elektronicznej i osobistych spotkań. Interfejsy sieciowe to m.in. modemy, zapewniające dostęp pracownikom domowym i obsłudze technicznej IT; Internet - coraz częściej preferowane medium wymiany informacji poprzez usługi WWW czy pocztę elektroniczną oraz połączenia z partnerami, kooperantami i dostawcami. 

Problem „tylnych drzwi”  

Nieudokumentowane i nieautoryzowane części kodu programu, dające autorowi specjalne przywileje, w terminologii bezpieczeństwa systemów komputerowych są nazywane „tylnymi drzwiami” (back door lub trap door). Tylne drzwi zazwyczaj umożliwiają autorom programu dostęp do jego funkcji z ominięciem normalnej kontroli dostępu. W wielu przypadkach tylne drzwi to pozostałości z fazy projektowania i testowania oprogramowania. Problem pojawia się wtedy, gdy programista pozostawi takie „tylne drzwi” w programie oddanym do eksploatacji. Taki nieszczelny program, z mechanizmem omijającym normalne ograniczenia - np. kontrola edycji w trakcie wprowadzania danych - może trafić do eksploatacji w przedsiębiorstwie. „Tylne drzwi” umożliwiają często nieświadome uszkodzenie danych, wówczas gdy program baz danych pozwoli użytkownikowi wejść do funkcji uaktualniania bez kontroli wprowadzonych danych. 

Środki zaradcze  

Dla zmniejszenia ryzyka do akceptowalnego poziomu niezbędne jest zastosowanie odpowiednich środków zabezpieczających. Jeżeli założy się, że potencjalne zagrożenia pochodzą z zewnątrz organizacji, to w przypadku interfejsów sieciowych możliwe środki zaradcze obejmują:

• Uwierzytelnianie użytkowników i obiektów.

• Szyfrowanie w celu ochrony informacji niejawnej.

• Podpisy cyfrowe dla uwierzytelniania i niezaprzeczalności.

• Kontrolę dostępu.

• Izolowanie zasobów.

• Kontrolę antywirusową i szkodliwej zawartości.

• Uszczelnianie - zabezpieczanie instalacji i konfiguracji.

• Środki podnoszenia dyspozycyjności: składowanie, redundancja, gorące rezerwy, kopie przechowywane poza ośrodkiem.

• Monitorowanie.

W przypadku interfejsów osobowych istotne znaczenie ma definiowanie polityki bezpieczeństwa. Jest to mechanizm prewencyjny, chroniący ważne dane i procesy przedsiębiorstwa. Tworzy spójne standardy bezpieczeństwa obejmujące użytkowników, zarząd i obsługę techniczną.

Ochrona interfejsów fizycznych to przede wszystkim ograniczanie dostępu - zamykane pokoje, wejścia, zamki szyfrowe, rejestracja dostępu, niszczenie dokumentów, kontrola laptopów, izolacja zasobów oraz dostępność: składowanie, redundancja itp.

Jeżeli podstawowe źródło ataku jest spodziewane z wewnątrz organizacji, zmienia się zakres środków zaradczych, ponieważ atakujący może uzyskać autoryzację, obchodząc mechanizmy kontroli dostępu.

W tym przypadku w obszarze personalnym istotne są:

• jasne reguły polityki bezpieczeństwa;

• odpowiedzialność, obowiązki, zaufanie;

• egzekwowanie stosowania reguł polityki bezpieczeństwa.

W obszarze sieciowym:

• monitorowanie, audyt;

• szyfrowanie;

• składowania awaryjne i archiwizujące, redundancja.

WYKRYWANIE WŁAMAŃ

Aby wdrażana w systemie technologia wykrywania włamań była efektywna, należy udzielić odpowiedzi na następujące trzy pytania:

• Co wykrywać? Należy umieć rozpoznać przesłanki wskazujące na naruszenie reguł bezpieczeństwa.

• Gdzie wykrywać? Należy umieć wskazać źródła informacji, w których można szukać przesłanek co do naruszenia reguł bezpieczeństwa.

• Jak wykrywać? Należy poznać metody analizy informacji pozyskanych ze wspomnianych źródeł celem wykrycia na ich podstawie ewentualnego faktu naruszenia reguł bezpieczeństwa.

Aby wykryć fakt naruszenia przyjętych w danym systemie reguł bezpieczeństwa (na podstawie analizy ruchu sieciowego albo plików dziennika), należy uprzednio nabyć wiedze o sposobie identyfikowania takich faktów i odróżniania ich od normalnych zdarzeń związanych z bezpieczeństwem. Przesłankami ataku mogą być następujące zdarzenia:

• powtarzające sie konkretne zdarzenia;

• niepoprawne polecenia albo polecenia niepasujące do bieżącego stanu systemu;

• próby wykorzystywania luk;

• nieprawidłowe (nietypowe) parametry ruchu sieciowego;

• niespodziewane atrybuty poleceń;

• niewytłumaczalne problemy;

• dodatkowe informacje o naruszeniach bezpieczeństwa.

Tradycyjne narzędzia zabezpieczające (zapora sieciowa, serwer uwierzytelniania, system kontroli dostępu itd.) opierają swoje działanie na obserwacji jednego lub najwyżej dwóch zdarzeń z powyższej listy; systemy wykrywania włamań (choć zależy to od ich implementacji) mogą brać pod uwagę wszystkie wymienione przesłanki.

IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System - systemy wykrywania i zapobiegania włamaniom) - urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.

Systemy wykrywania intruzów(ang. Intrusion detection systems) należą do jednych z najmłodszych rozwiązań w arsenale obronnym administratorów systemów. Systemy te maja na celu wspomagać administratorów w wykrywaniu prób naruszeń polityki bezpieczeństwa. Docelowym dążeniem twórców takich rozwiązań jest pełna automatyzacja w procesie wykrywaniu różnego rodzaju nadużyć systemów informatycznych. Naturalnym dążeniem oprócz pełnej automatyzacji wykrywania intruzów jest chęć doposażenia takich systemów w możliwości udaremniania ataków. Systemy IDS dzięki temu przeobrażają się w systemy zapobiegania włamaniom(ang. Intrusion Prevention Systems). Takie systemy z natury rzeczy są jeszcze bardziej skomplikowane niż systemy IDS, posiadają możliwość blokowania akcji wykonywanych przez inne programy, np. dynamiczna modyfikacja firewalla i zablokowanie ruchu sieciowego. Dlatego też wymagania stawiane takim programom są bardzo wysokie.

Główną przyczyną stosowania rozwiązań IDS/IPS w środowiskach sieciowych jest wzrastająca liczba różnego rodzaju ataków przeprowadzanych automatycznie np. za pomocą robaków internetowych czy wirusów jak i tych groźniejszych w których intruz aktywnie pracuje nad uzyskaniem nieuprawnionego dostępu do chronionego systemu. Ochrona systemów komputerowych jest kosztowna i czasochłonna. Systemy IDS/IPS w założeniach mają pomóc obniżyć koszty takiej ochrony oraz podnieść jej efektywność poprzez automatyzację analizy zdarzeń, które mogą świadczyć o potencjalnym naruszeniu polityki bezpieczeństwa danej organizacji.

Systemy wykrywania włamań działają przez analizę ruchu sieciowego za pomocą dwóch metod:

• Analiza heurystyczna - polegająca na defragmentacji, łączeniu pakietów w strumienie danych, analizie nagłówków pakietów oraz analizie protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Stosowane są różne nazwy handlowe - np. protocol analysis (np. IBM ISS) czy preprocessing (Snort). W większości systemów IDS analiza heurystyczna odbywa się równocześnie z normalizacją danych przed poddaniem ich analizie sygnaturowej.

• Analiza sygnaturowa - polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. Kluczowym elementem jest baza sygnatur, budowana wraz z pojawianiem się nowych ataków i odpowiednio często aktualizowana.

Typowe elementy systemu IDS/IPS to:

• sonda (ang. sensor) - element analizujący ruch sieciowy i wykrywający ataki,

• baza danych - zbierająca informacje o atakach z grupy sensorów,

• analizator logów - umożliwiający wizualizację i analizę logów z grupy sensorów.

W zależności od lokalizacji sensora oraz zakresu analizowanych zdarzeń wyróżnia się następujące rodzaje systemów IDS:

• hostowe - HIDS (ang. Host-based IDS) - działają jako aplikacja w jednym, ochranianym systemie operacyjnym analizując zdarzenia pochodzące z logu systemowego oraz z lokalnych interfejsów sieciowych.

• sieciowe - NIDS (ang. Network IDS) - analizujące ruch sieciowy dla wszystkich systemów w segmencie sieci, do którego są podłączone. NIDS potrafi rozpoznawać ataki skierowane przeciwko systemom, które nie mają zainstalowanych HIDS. Równocześnie jednak ma ograniczone zdolności analizowania ruchu przesyłanego w kanałach SSL lub zdarzeń zachodzących lokalnie w systemie (np. brak pamięci, ataki lokalne z konsoli).

Sieciowe systemy IPS mogą działać w następujących topologiach sieciowych:

• pasywna sonda - sonda podłączona do portu monitorującego przełącznika analizuje kopie wszystkich pakietów w danym segmencie sieci. Sonda w tej topologii ma ograniczone możliwości reagowania na ataki. Stosowane są dwie techniki blokowania ataków w topologii pasywnej - wysyłanie fałszywych pakietów TCP RST do obu stron komunikacji i zerwanie połączenia oraz dynamiczna rekonfiguracja zapory, z którą sonda może współpracować. W pierwszym przypadku blokowaniu może podlegać tylko ruch TCP, w drugim reakcja może być spóźniona.

• Inline - sonda umieszczona pomiędzy dwoma segmentami sieci, pozbawiona adresów IP i działająca w trybie przezroczystego mostu analizuje i bezpośrednio uczestniczy w przekazywaniu wszystkich pakietów w sieci. W tym trybie sonda ma możliwość blokowania 100% pakietów rozpoznanych jako niebezpieczne (fałszywe pakiety TCP RST nadal są wysyłane dla uniknięcia retransmisji). Działanie w tym trybie nakłada na oprogramowanie sondy znacznie wyższe wymagania co do wydajności i stabilności.

Systemy zabezpieczeń to jedna z najbardziej dynamicznie rozwijających się technologii informatycznych. Rozwój zabezpieczeń zmierza w kierunku centralnie zarządzanych, zintegrowanych systemów sieciowych, zawierających środki ochrony rezydujące na serwerach, stacjach roboczych, urządzeniach sieciowych oraz różnego rodzaju systemach dedykowanych. Należą do nich: serwery uwierzytelniania, systemy zapór ogniowych, urzędy certyfikacji PKI oraz systemy wykrywania włamań. Te ostatnie należą do stosunkowo nowych technologii zabezpieczeń sieciowych, obecnie wykorzystywanych głównie jako wsparcie zapór ogniowych. Wykrywanie włamań jest procesem identyfikowania i reagowania na nieuprawnioną działalność skierowaną przeciwko zasobom informatycznym. Programy wykrywania włamań mogą działać w modelu hostowym - chroniąc bezpośrednio systemy operacyjne, serwery webowe czy baz danych, lub w modelu sieciowym - przy wykrywaniu intruzów opartym na monitorowaniu ruchu sieciowego pod kątem podejrzanej aktywności.

Identyfikacja włamania może nastąpić przed, podczas lub po wystąpieniu działalności nieuprawnionej z punktu widzenia polityki ochrony systemu. Jeśli identyfikacja zostanie dokonana przed zaistnieniem nieuprawnionej działalności, to wówczas reakcją może być zapobieżenie jej wystąpieniu. Identyfikacja dokonana w trakcie działalności nieuprawnionej pociąga za sobą konieczność podjęcia decyzji o jej przerwaniu lub kontynuowaniu w celu uzyskania szczegółowych danych o napastniku. I w końcu, jeżeli identyfikacja włamania nastąpi post factum, potrzebna jest ocena zakresu wyrządzonych szkód - jeżeli takie zaistniały.

Reakcja na włamanie następuje na ogół po jego zidentyfikowaniu, chociaż są systemy, w których stosowana jest analiza predykcyjna, służąca do przewidywania zdarzeń i zapobiegania skutkom ich wystąpienia. W procesie reagowania można zablokować usługę, dokładnie zidentyfikować agresora, a także wyprowadzić kontratak eliminujący możliwość dalszego działania napastnika.

Podstawą wykrywania włamań jest monitorowanie. Systemy wykrywania włamań działają w oparciu o informacje dotyczące aktywności chronionego systemu. Z monitorowaniem wiąże się wiele kwestii technicznych i operacyjnych. Do najistotniejszych należą między innymi dostatecznie wczesne wykrywanie i wydajność systemu - wystarczająca do monitorowania aktywności i realizacji normalnych zadań. Stopień spełnienia tych kryteriów przesądza zazwyczaj o powodzeniu wykrycia faktycznych włamań.

Systemy wykrywania włamań generują raporty kierowane do infrastruktury zabezpieczeń i ochrony systemu. Infrastruktura ta może być wbudowana w jednostkę monitorowania włamań lub stanowić element samodzielny. W obu przypadkach sposób przetwarzania uzyskanych informacji, ich zapisu, udostępniania i wykorzystania w celu obniżenia ryzyka jest jednym z trudniejszym aspektów praktycznej implementacji systemu wykrywania włamań.

Podstawą analiz aktywności systemu są sygnatury zachowań odbiegających od normy. Użycie sygnatur nienormalnego zachowania, zwanych także sygnaturami lub wzorcami ataków, jest szczególnie częste w systemach wykrywania włamań na bieżąco. Sygnatury zazwyczaj występują w jednej z dwóch wersji:

• Opisy znanych ataków - są to dynamiczne opisy odpowiednich wzorców aktywności, które mogą stanowić zagrożenie dla bezpieczeństwa. Bazy danych z takimi opisami przypominają bazy danych o wirusach, stosowane w oprogramowaniu antywirusowym.

• Wzorce podejrzanych ciągów tekstowych. Określone ciągi tekstowe (jak np. "ściśle tajne", "poufne"), wykrywane w treści przesyłanych pakietów, można uznawać za podejrzane. Wzorce te są najczęściej określane lokalnie przez administratorów systemów.

Jedną z metod monitorowania jest też pełna analiza protokółów wszystkich siedmiu warstw, zamiast prostego porównywania wzorców ataków. Chociaż wydawać by się mogło, że analiza protokołów w każdym pakiecie może być mało efektywna w zestawieniu z prostym porównywaniem wzorców w pojedynczym pakiecie, to jednak trzeba mieć na uwadze fakt, że liczba sygnatur ataków stale rośnie - problem ten rozwiązuje się często instalowaniem wielu sensorów IDS, z których każdy obsługuje pewien podzbiór sygnatur. Przewaga tej metody polega głównie na tym, że protokoły i systemy operacyjne są budowane na podstawie standardów - stosunkowo łatwo więc zidentyfikować pakiet odbiegający od normy. Ponadto algorytm analizy protokołu może dynamicznie identyfikować wszystkie niepoprawne oraz nadmiarowe pakiety i zatrzymywać je, zanim osiągną stos TCP/IP. Nowe rodzaje ataków wymagają co prawda uaktualniania algorytmów analizy, ale zazwyczaj wykonuje się je metodą uzupełniania zmiennych algorytmu. Ujemną stroną takiego podejścia jest to, że zmiana algorytmu może trwać znacznie dłużej niż dodanie nowego wzorca

Przykładem systemu IDS jest program Snort. Obecnie Snort jest uważany za najlepsze tego typu rozwiązanie Open Source. Mimo, że Snort jest darmowy okazał się na tyle dobry, że wiele firm szkoleniowych oferuje płatne profesjonalne kursy uczące zarządzania aplikacją Snort. Również firmy zajmujące się komercyjnie tworzeniem systemów IDS doceniły Snorta i oferują wsparcie dla reguł Snorta w swoich produktach.

grupablue.pl

windows.microsoft.com

pl.wikipedia.org

http://www.itpedia.pl/

http://pl.wikipedia.org

1

---