СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ КАК ВАЖНЕЙШИЙ ЭЛЕМЕНТ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ ПРЕДПРИЯТИЯ

Существует множество систем для того, чтобы обеспечить безопасность корпоративной сети предприятия. Выделяют активные системы, проверяющие информационную систему на наличие уязвимостей, и пассивные, которые ведут мониторинг состояния информационной системы. Системы обнаружения вторжений относят к пассивным системам.

Система обнаружения вторжений (Intrusion Detection System, СОВ) – система, которая способна отслеживать сетевой трафик на предмет подозрительной активности, а также выдавать предупреждения при обнаружении такой активности. [2] Из наиболее широкого круга возможностей СОВ можно выделить наиболее важные:

• запись в журнал событий операционной системы;
• отправка оповещения администратору информационной безопасности;
• нейтрализация угроз;
• блокирование трафика с подозрительных IP адресов и многое другое.

Классические системы обнаружения вторжений делятся на сетевые и хостовые.

Сетевые IDS – производят поиск сигнатур (специфических шаблонов), указывающих на враждебное и подозрительное действие. При этом они используют сетевые адаптеры, работающие в режиме прослушивания (promiscuous mode – неразборчивый режим), которые способны анализировать трафик в локальной сети даже если он не адресован данному компьютеру. Сетевые датчики могут быть развернуты в определённых точках периметра сети, где они могут контролировать входящий и исходящий трафик ко всем устройствам в сети. [4]

При реализации сетевых IDS могут использоваться следующие методы:

• Проверка соответствия трафика определённому шаблону и сигнатуре атак;
• Обнаружение статистических аномалий (происходит анализ того как работают сотрудники на предприятии, собирается статистика и на выходе администратор ИБ получает полную картину нормальной работы сотрудников). Если входные данные сильно отличаются от собранных, то на 90 % можно быть уверенным в том, что происходит атака на систему.
• Контроль частоты определённых событий или превышение определённого порога значений;
• Осуществление корреляции других событий с более низким приоритетом;

В продвинутых IDS системы могут подавать команду межсетевому экрану и блокировать нежелательный трафик.

Достоинства сетевых IDS:

• Низкая стоимость эксплуатации. Сетевые IDS нужно устанавливать в наиболее важные сегменты сети коих немного, чтобы избежать больших затрат;
• Обнаруживаются атаки, которые пропускаются на системном уровне хостовой IDS. В данном случае анализируются заголовки сетевых пакетов на предмет подозрительной или враждебной деятельности, что не делают хостовые IDS, поэтому они способны выявить DoS-атаки;
• Обнаружение реагирования в реальном масштабе времени (в том числе ещё до того, как злоумышленник достиг атакуемого компьютера);
• Злоумышленник практически не может скрыть следы атаки (например, подчистив журнал событий), так как анализ осуществляется в реальном времени;
• Практически не снижается производительность сети, так как сетевые IDS представляют собой обильные сетевые датчики в виде отдельных аппаратных устройств, не влияющих на скорость работы других компьютеров. Обычно их располагают после межсетевого экрана (МЭ) внутри корпоративной сети. Тем не менее есть смысл расположить сетевой датчик и до МЭ. Дело в том, что при традиционном размещении невозможно определить неудачные атаки на МЭ, которые пока не блокируются.
• Отсутствие зависимости от операционной системы, используемой в корпоративной сети.

Недостатки сетевых IDS:

• Сложность создания сигнатуры атак: необходимо использовать языки их написания и стараться зафиксировать всевозможные модификации; (например, Эстония создала в своих спецслужбах отделение против кибератак. Эстонцы не торопливые, поэтому если США попытается их взломать, то атака крайне растянется по времени и обнаружить её станет гораздо сложнее);
• Сложность использования в коммутируемых сетях.
• Проблема при работе в высокоскоростных сетях (гигабитных), так как нужно анализировать информацию и успевать как-то среагировать.
• Отсутствие эффективности в сетях, где используется шифрование.

Хостовые IDS (HIDS) - работают на конечных компьютерах под управлением конкретной ОС. Они способных подтверждать успех/неудачу атаки, так как анализируют журнал событий, где отображаются реальные события. [3]

Достоинства хостовых IDS:

• Контроль деятельности конкретного узла: в частности, деятельность пользователя конкретного ПК, его изменение прав доступа и т.д.;
• Способность выявлять атаки, которые не выявляются сетевыми IDS;
• Нет необходимости в дополнительных аппаратных средствах, так как используются компьютеры, установленные на объекте;
• Хорошо подходят для сетей с коммутацией шифрования, так как на конечном компьютере шифрованный трафик уже расшифровывается и его можно увидеть;
• Более низкая стоимость в случае, если используется небольшое количество рабочих станций, так как хостовые IDS нужно устанавливать на каждый компьютер.

Недостатки хостовых IDS:

• Постоянная регистрация событий снижает производительность защищаемых объектов, так как она требует заметного объёма дискового пространства;
• Они ориентированы на конкретные операционные системы (ОС) и в случае, если в сети используются разнородные ОС, то нужно использовать множество разнообразных агентов.

Каждая из разновидностей СОВ имеет свои достоинства и недостатки и сейчас зачастую используют гибридные системы, которые объединяют возможности обоих классов систем. В гибридных системах данные от хостов складываются с информацией, полученной от сетевых датчиков для создания более полной картины безопасности сети. [1]

На данный момент многие производители увлеклись созданием систем предотвращения вторжений (IPS – Intrusion Prevention system).  В этом случае СОВ ведёт ответные действия на нарушение, например, разрывает соединение или автоматически добавляет в конфигурацию МЭ правило, блокирующее трафик. Увлечение созданием таких систем может быть чревато, так как возможно некорректное противодействие атакам (например, ложное срабатывание). Самое главное в таких системах - низкий процент ложных срабатываний.

Поставщики систем IDS и администраторы безопасности используют следующие характеристики при выборе IDS:

• Тип IDS - сетевая или хостовая;
• Модель обнаружения (технология обнаружения) - сигнатурная или обнаружение аномалий;
• Наличие механизма предотвращения атак;
• Точность обнаружения (уменьшение ошибок 1го и 2го рода);
• Производительность (для сетевых IDS);
• Интерфейс конечного пользователя;
• Ведение журнала событий;
• Стоимость (окупаемость) - приобретение, обслуживание, обучение персонала.
• Объем потребляемого процессорного времени и объем потребляемой памяти (для хостовой IDS);
• Объем базы данных сигнатур;

Список литературы:

1. Бирюков А.А. Информационная безопасность: защита и нападение – Москва, ДМК, 2017 – 434 с.
2. Intrusion detection system – [Электронный ресурс.] – Режим доступа. — URL: https://searchsecurity.techtarget.com/definition/intrusion-detection-system (Дата обращения: 12.01.2019).
3. 11 Top Intrusion Detection Tools for 2018 – [Электронный ресурс]. Режим доступа. — URL: https://www.comparitech.com/net-admin/network-intrusion-detection-tools/ (Дата обращения: 12.01.2019).
4. Intrusion detection system – [Электронный ресурс]. Режим доступа. — URL: https://en.wikipedia.org/wiki/Intrusion_detection_system (Дата обращения: 12.01.2019).