Дифференцированный подход к проектированию функциональных возможностей систем обнаружения вторжений
Секция: Технические науки
XXXIV Студенческая международная научно-практическая конференция «Технические и математические науки. Студенческий научный форум»
Дифференцированный подход к проектированию функциональных возможностей систем обнаружения вторжений
Аннотация. В условиях цифровизации экономики вместе с удобством работы с сервисами пришли и проблемы безопасности. Объекты КИИ и банковские информационные системы подвергаются атакам злоумышленников с частотой, увеличивающейся в геометрической прогрессии. Для противостояния атакам необходимы определенные ресурсы. Одним из таких ресурсов и являются системы обнаружения вторжений (СОВ). Данная работа будет посвящена обзору рынка существующих систем обнаружения вторжений и формированию рекомендаций по определению перечня функциональных возможностей системы согласно требований заказчика.
На сегодняшний день такие традиционные средства защиты, как межсетевой экран и антивирусное программное обеспечение не могут обеспечить должный уровень защиты инфокоммуникационной сети компании. Программно-аппаратные средства получения несанкционированного доступа сегодня представляют собой сложные и многофункциональные программные и технические решения, противостоять которым - одна из главных задач в отрасли безопасности инфокоммуникаций. Системы обнаружения вторжений (далее - СОВ) - это один из инструментов, который решает эту задачу.
Определений системы обнаружения вторжений в научной литературе много. В данной работе будет принято определение СОВ как программного или программно-технического средства, предназначенного для автоматизированной регистрации подозрительных действий, наблюдения за сетевой и системной активностью, обнаружения вредоносных действий и нарушений политики безопасности.
Как правило, любая СОВ состоит из нескольких компонентов: сенсоры; центр распределения регистрационной информации; модуль анализа информации и принятия решений; хранилище данных.
Сенсоры просматривают сетевой трафик, центры распределения передают данные анализаторам, итогом работы которых является вывод информации в административный интерфейс. На рисунке 1 представлена структура типовой СОВ.
Основными задачами такой системы является распознавание возможных подозрительных активностей, хранение сведений о них и составление отчетов о попытках взлома.
Рисунок 1. Структура СОВ
Как правило, существующие на рынке СОВ являются “коробочными решениями”, функционал которых заранее определен компанией-разработчиком. При этом покупка и сопровождение такого решения не всегда доступна для предприятий малого и среднего бизнеса. Поэтому актуальной задачей во многих компаниях является разработка собственной СОВ на основе дифференцированного подхода к определению базового функционала. Прежде чем определить базовые требования к СОВ, необходимо провести обзор наиболее популярных “коробочных” решений на российском рынке.
В работе будет проведено сравнение решений ViPNet IDS HS, Ребус-СОВ и Кречет. В таблице 1 представлено сравнение указанных СОВ по таким параметрам, как класс защиты, функциональные возможности, достоинства заявленные разработчиком.
Программно-аппаратный комплекс ViPNet IDS работает по принципу динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI). Программный комплекс «Ребус-СОВ» предназначен для обнаружения и блокирования угроз безопасности информации внешних и внутренних атак. СОВ «КРЕЧЕТ» — система уровня сети, которая автоматически выявляет несанкционированные действия в информационной системе.
Таблица 1.
Сравнение указанных СОВ
|
ViPNet IDS HS |
Ребус-СОВ |
Кречет |
Производитель |
ОАО «ИнфоТеКС» |
Научно-исследовательский институт «Центрпрограммсистем» |
Научно-производственное предприятие «Гамма» |
Класс защиты |
IV |
II |
IV |
Функциональные возможности |
|
|
-плохой трафик и использование эксплоитов; -сканирование системы и атаки на службы (Telnet, FTP, DNC) - атаки, связанные с web-серверами (cgi, php, iss); -атаки на базы данных; -web-фильтры и вирусы. |
Состав (составные части) |
|
|
|
Особенности (преимущества) заявленные производителем |
|
|
|
В ходе сравнения указанных продуктов были сделаны следующие выводы:
- Ребус-СОВ лучше использовать в организациях, где необходима работа с гостайной, так как этой системе присвоен II класс защиты;
- СОВ Кречет можно использовать для компании любых масштабов, так как есть возможность подключения/отключения модулей системы;
- ViPNet IDS HS можно использовать в компаниях, где важна скорость реагирования на атаку.
Таким образом, на сегодняшний день любая компания может столкнуться с выбором СОВ по соотношению “цена/качество”. Существующие решения могут быть избыточны/не достаточны по функциональным возможностям для защиты ИТ-инфраструктуры компании.
Авторы работы предлагают оптимальный набор модулей для СОВ, который может быть реализован для конкретной компании на основании анализа защищаемых информационных активов.
Основное название СОВ в компании:
- сбор информации с маршрутизаторов Магистральной сети передачи данных, обнаружения DoS/DDoS-атак, оповещении системы и ответственных лиц по каналам связи об обнаруженных атаках;
- работа с сетевым оборудованием компании;
- создание отчетов для пользователей системы об обнаружении атак.
Минимальный набор задач СОВ:
- контроль коммутационного оборудования и сетей связи;
- создание правил по настройке маршрутизаторов магистральной сети;
- предоставление отчетов по сетевому трафику.
Минимальный набор модулей СОВ:
- подсистема сбора данных для статистического анализа распределения трафика;
- подсистема управления и принятия решений;
- подсистема резервного копирования
Наиболее перспективным направлением развития СОВ является внедрение когнитивных способностей в функционал этих систем с использованием искусственных нейронных сетей и нечеткой логики. Кроме того, наблюдается тенденция к миниатюризации, что в будущем позволит устанавливать СОВ на каждое устройство в сети, повышая уровень безопасности в целом. Идеальная СОВ в автоматическом режиме выявляет несанкционированные действия в системе и оперативно их блокирует, осуществляет постоянный мониторинг состояния сети. Возможность изменения СОВ на пользовательском уровне, составление точных отчетов о всех совершенных действиях и поддержание множества ОС также являются важными параметрами при выборе “коробочного решения”. Однако дифференцированный подход при определении базовых функциональных требований к СОВ позволяет уйти от использования готовых решений или же выбирать имеющиеся решения с возможностью масштабирования системы или отказа от части неиспользуемых модулей.