Дифференцированный подход к проектированию функциональных возможностей систем обнаружения вторжений

Аннотация. В условиях цифровизации экономики вместе с удобством работы с сервисами пришли и проблемы безопасности. Объекты КИИ и банковские информационные системы подвергаются атакам злоумышленников с частотой, увеличивающейся в геометрической прогрессии. Для противостояния атакам необходимы определенные ресурсы. Одним из таких ресурсов и являются системы обнаружения вторжений (СОВ). Данная работа будет посвящена обзору рынка существующих систем обнаружения  вторжений и формированию рекомендаций по определению перечня функциональных возможностей системы  согласно требований заказчика.

На сегодняшний день такие традиционные средства защиты, как межсетевой экран и антивирусное программное обеспечение не могут обеспечить должный уровень защиты инфокоммуникационной сети компании. Программно-аппаратные средства получения несанкционированного доступа сегодня представляют собой сложные и многофункциональные программные и технические решения, противостоять которым - одна из главных задач в отрасли безопасности инфокоммуникаций. Системы обнаружения вторжений (далее - СОВ) - это один из инструментов, который решает эту задачу.

Определений системы обнаружения вторжений в научной литературе много. В данной работе будет принято определение СОВ как программного или программно-технического средства, предназначенного для автоматизированной регистрации подозрительных действий, наблюдения за сетевой и системной активностью, обнаружения вредоносных действий и нарушений политики безопасности.

Как правило, любая СОВ состоит из нескольких компонентов: сенсоры; центр распределения регистрационной информации; модуль анализа информации и принятия решений; хранилище данных.

Сенсоры просматривают сетевой трафик, центры распределения передают данные анализаторам, итогом работы которых является вывод информации в административный интерфейс. На рисунке 1 представлена структура типовой СОВ.

Основными задачами такой  системы является распознавание возможных подозрительных активностей, хранение сведений о них и составление отчетов о попытках взлома.

Рисунок 1. Структура СОВ

Как правило, существующие на рынке СОВ являются “коробочными решениями”, функционал которых заранее определен компанией-разработчиком. При этом покупка и сопровождение такого решения не всегда доступна для предприятий малого и среднего бизнеса. Поэтому актуальной задачей во многих компаниях является разработка собственной СОВ на основе дифференцированного подхода к определению базового функционала. Прежде чем определить базовые требования к СОВ, необходимо провести обзор наиболее популярных “коробочных” решений на российском рынке.

В работе будет проведено сравнение решений ViPNet IDS HS, Ребус-СОВ и Кречет. В таблице 1 представлено сравнение указанных СОВ по таким параметрам, как класс защиты, функциональные возможности, достоинства заявленные разработчиком.

Программно-аппаратный комплекс ViPNet IDS работает по принципу динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI). Программный комплекс «Ребус-СОВ» предназначен для обнаружения и блокирования угроз безопасности информации внешних и внутренних атак. СОВ «КРЕЧЕТ» — система уровня сети, которая  автоматически выявляет несанкционированные действия в информационной системе.

Таблица 1.

Сравнение указанных СОВ

В ходе сравнения указанных продуктов были сделаны следующие выводы:

1. Ребус-СОВ лучше использовать в организациях, где необходима работа с гостайной, так как этой системе присвоен II класс защиты;
2. СОВ Кречет можно использовать для компании любых масштабов, так как есть возможность подключения/отключения модулей системы;
3. ViPNet IDS HS можно использовать в компаниях, где важна скорость реагирования на атаку.

Таким образом, на сегодняшний день любая компания может столкнуться с выбором СОВ по соотношению “цена/качество”. Существующие решения могут быть избыточны/не достаточны по функциональным возможностям для защиты ИТ-инфраструктуры компании.

Авторы работы предлагают оптимальный набор модулей для СОВ, который может быть реализован для конкретной компании на основании анализа защищаемых информационных активов.

Основное название СОВ в компании:

• сбор информации с маршрутизаторов Магистральной сети передачи данных, обнаружения DoS/DDoS-атак, оповещении системы  и ответственных лиц по каналам связи об обнаруженных атаках;
• работа с сетевым оборудованием компании;
• создание отчетов для пользователей системы об обнаружении атак.

Минимальный набор задач СОВ:

• контроль коммутационного оборудования и сетей связи;
• создание правил по настройке маршрутизаторов магистральной сети;
• предоставление отчетов по сетевому трафику.

Минимальный набор модулей СОВ:

• подсистема сбора данных для статистического анализа распределения трафика;
• подсистема управления и принятия решений;
• подсистема резервного копирования

Наиболее перспективным направлением развития СОВ является внедрение когнитивных способностей в функционал этих систем с использованием искусственных нейронных сетей и нечеткой логики. Кроме того, наблюдается тенденция к миниатюризации, что в будущем позволит  устанавливать СОВ на каждое устройство в сети, повышая уровень безопасности в целом. Идеальная СОВ в автоматическом режиме выявляет несанкционированные действия в системе и оперативно их блокирует, осуществляет постоянный мониторинг состояния сети. Возможность изменения СОВ на пользовательском уровне, составление точных отчетов о всех совершенных действиях и поддержание множества ОС также являются важными параметрами при выборе “коробочного решения”. Однако дифференцированный подход при определении базовых функциональных требований к СОВ позволяет уйти от использования готовых решений  или же выбирать имеющиеся решения с возможностью масштабирования системы или отказа от части неиспользуемых модулей.