ЗАЩИТНЫЕ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННЫХ ПРОНИКНОВЕНИЙ В КОРПОРАТИВНЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ

На настоящий момент в большинстве компаний существует собственная компьютерная информационная система (КИС), которая облегчает обработку данных и автоматизирует бизнес-процессы. Информация, которая находятся в хранилищах систем или сами системы, часто становятся объектом хакерских атак. Целью злоумышленников может быть любая персональная информация о клиентах и сотрудников компании, такие как данные по банковским картам, денежным переводам, другие личные данные или, в некоторых случаях, сам факт выключения системы. Поэтому в системах реализованы защитные механизмы, которые могут справиться с угрозами хакерских взломов, ведь от этого зависит репутация компании и конкурентоспособность. В условиях быстро развивающихся компьютерных технологий защищать цифровую информацию становится всё сложнее и сложнее. Если раньше хакеры атаковали в одиночку и бессистемно, то сейчас они кооперируются и целенаправленно атакуют сети компании, причём методы атак становятся более изощрёнными. Например, в 2005 году, 75 % финансовых потерь компании было из хакерских атак, которые использовали «дыры» в системах. В настоящее время защита от проникновений в систему реализуется через специально, которые способны распознать вирусы по характеристикам и действиям, несвойственных обычным программам.

Система защиты от проникновений.

На данный момент в мире существуют различные реализации защит информационных систем, но наибольшую популярность приобрело два из них. Первый из них это Intrusion Detection System (Система обнаружения вторжений). Системы с таким подходом в основе обнаруживают попытки проникновений и сообщают о них администратору. Другой подход, появившийся позже, и считающийся более удобным и эффективным – Intrusion Prevention System (Система предотвращения вторжений). IPS можно считать улучшенной версией IDS ввиду идентичности главных задач и отличием методов выявления угроз, времени реакции и устранения угрозы взлома [3].

Как правило, система с архитектурой IDS включает в себя:

• Сенсорную подсистему, отслеживающее всё происходящее в системе.
• Подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе результатов работы сенсорной системы.
• Хранилище, в котором находятся результаты анализа.
• Консоль, позволяющая управлять IDS, наблюдать за состоянием защищаемой системы, просматривать выявленные подсистемой анализа события.

Существует несколько способов классификации IDS (по принципу работы или расположению), а также методов, используемых подсистемой анализа для выявления подозрительной активности [5].

Классификация IDS по расположению.

Первым типом является сетевая IDS (Network IDS), анализирующая сетевой трафик (входящий, исходящий, локальный), просматривает все пакеты на наличие «аномальной» активности. Для них характерна не конфликтность с другими защитными механизмами. В результате работы система может обновлять чёрный список брандмаузеров, занося туда IP-адреса, с которых производились атаки. Главными преимуществами IDS является малое влияние на производительность сети и возможность большого покрытия для сканирования.

Первым недостатком этих систем является высокая ресурсоёмкость. Для системы может быть проблематично, обрабатывать всю информацию в большой сети, и таким образом существует вероятность, что система пропустит атаку, которая началась при большом трафике. Другой существенной проблемой является невозможность анализа зашифрованной информации. Для организаций, использующих шифрование данных, NIDS может быть неэффективным. Результат атаки хакеров также не может быть найден этим типом систем, она может лишь дать сигнал о взломе. Далее системный администратор должен сам смотреть, что было атаковано и было ли это успешно сделано. Также некоторые системы имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Такие пакеты могут привести к тому, что IDS не будет функционировать стабильно. Ко всему прочему, требуются дополнительной настройки и функциональности сетевых устройств.

Хостовая IDS (Host-Based IDS) – в отличие от сетевых, в первую очередь сканирует события, происходящие непосредственно внутри системы, а не сетевые пакеты. Эти системы отслеживают, чтобы каждая программа обращалась только к нужным ресурсам, и проверяет насколько «нормально» ведёт себя система. К главным преимуществам относят возможность распознать атаки, которые не видит NIDS, работу с зашифрованными данными, и то, что HIDS не требуют дополнительной функциональности сетевых устройств. К недостаткам в первую очередь относят отсутствие централизованного управления и блокировку системы в процессе атаки из-за того, что сенсоры HIDS могут находиться на том же хосте, который и является целью атаки. Проблема высокой ресурсоёмкости также присутствует в данном виде IDS, а из-за расположения системы на хосте большой мониторинг сети становится невозможен.

Классификация IDS по механизму работы.

Первый тип – системы, основанные на обнаружении аномалий. Эти IDS сообщают, когда система ведёт себя не так, как от неё ожидалось. В такие системы сначала заносится информация о поведении тех или иных программ, профилей пользователи и их доступ. Чем подробнее это занесено в IDS, тем лучше она будет работать. В дальнейшем, если будет обнаружен аномальный пакет (что может случиться просто в процессе работы предприятия), он подробно анализируется система, и в случае обнаружения подозрительной активности даёт сигнал тревоги. В некоторые системы поведение заносятся человеком, но существуют также такие защитные системы, которые сами могут формулировать нормальное поведение в КИС, анализируя его выполненные работы. Преимуществом данного типа IDS является возможность выявить уникальные атаки (по механизму, который не встречался ранее). Такой принцип работы усложняет работу взломщикам, поскольку они не знают, в каком случае даётся сигнал тревоги, так как сложно узнать, как в процессе взлома не вызвать срабатывание защитных механизмов. К недостаткам относится большое количество ложных срабатываний из-за возникновений подозрительных трафиков в процессе работы, даже когда атак на самом деле нет. Это возникает из-за процесса формирования легальной деятельности профилей, поскольку это сложная и трудоёмкая работа [2].

1. Основанные на обнаружении неправомерных действий – система даёт тревогу, когда обнаруживает в трафике признаки хакерской атаки, сравнив данные трафика с базой сигнатур хакерских программ. Сигнатура – это набор признаков, позволяющий однозначно определить объект. Ложные срабатывания в таком случае редки, но необходимо регулярно обновлять базы сигнатур. Большинство IDS работают именно по такому принципу [7].

IPS.

Когда обнаруживается, что корпоративную систему атакуют, необходимо заблокировать действие хакерской программы. IDS может распознать атаку, но предпринять ответные действия неспособна, в отличие от IPS. IPS также делят на несколько типов в зависимости от принципов работы.

Классификация IPS по механизму работы.

1. Основанные на эвристическом подходе – работает по аналогичному принципу, что и IDS, которые ловят «аномалии», только с добавлением способности реагировать на вторжения.
2. С наличием специальной тестовой зоны – в системе существует специальная зона, доступ в которую из других зон ограничен. Система запускает код в данную область и отслеживает его поведение. Если поведение несоответствующее, выполнение кода останавливается, что препятствует нападению.
3. Гибридные – такие системы являются исключительно сетевыми (по расположению), в них применяется, как и принцип поимки «аномалий», так и поиск сигнатур, в случае обнаружения атаки, дальнейший приток данных от источника будет остановлен.
4. С использованием ядер операционных систем – используются исключительно на хостовых IPS. Большинство операционных систем ограничивает доступ к ядру по требованию пользователя. Ядро контролирует доступ к таким элементам системы как: устройства ввода-вывода, процессор. Для того чтобы использовать ресурсы системы, пользователь посылает запрос в ядро. IPS данного вида заблокирует любое действие, которое будет вызвано запросом хакерской программы [7].

На данный момент на предприятиях используются системы с обоими подходами к выявлению атак. Для компаний, которые не имеют больших средств на защитные системы подойдёт система IDS-типа, если бюджет не так критичен, то лучше подойдёт IDS.В действительности нельзя назвать IDS и IPS системы конкурентами, так как IPS это следующая ступень развития IDS.

Сфера защиты информации в ближайшем будущем будет активно развиваться из-за бурного развития математических методов, лежащих в основе этих процессов и компьютерных технологий, отвечающих за реализацию. Единственным способом стопроцентной защиты является передача данных только через проводные сети, что в условиях, когда компания располагается в нескольких зданиях нерентабельно и трудноосуществимо.

Список литературы:

1. Акулиничев Д.А. Компьютерные коммуникации // Работа компьютерных систем в крупных сетях. – 2012 г. – № 58. – С. 8–14.
2. Гаврилов Д.А. Компьютерные коммуникации // NetSuite CRM. – 2009 г. – № 57. – С. 12–23.
3. Селифонов А. Управление каналами // Построение компьютерных сетей компании. – 2011 г. – № 1. – С. 22–28.
4. Bobbiet Мichael Inhospitable Hosts// Information Security 2013. Vol. 5. № 10. – P. 35–47.
5. Kemmerer Richard Intrusion Detection: A Brief History and Overview // IEEE Security and Privacy 2012. Vol. 3. № 78. – P. 27–50.