Журнал «Компьютерра» № 9 от 7 марта 2006 года - Компьютерра - Страница 31

Сотрудники Калифорнийского университета в Лос-Анджелесе опубликовали в журнале Science результаты исследования, позволяющие предположить, что крысы способны различать причину и следствие. Подопытных зверьков приучили к тому, что вспышки света могут сопровождаться звуком (нейтральный раздражитель), а иногда – сладким питьем. Следовало ожидать, что животные установят ассоциацию между этими тремя раздражителями и начнут реагировать и на свет, и на звук, как на предвестники угощения. Крыс, которые привыкли к такому сочетанию, разделили на две группы. Первые могли нажимать на рычаг, вызывая звук. Они понимали, что звук является результатом их усилий, и не проверяли поилку. Вторая группа, которая не могла влиять на события, услышав характерный сигнал, кидалась проверять, нет ли вознаграждения. Они-то не знали, кто включал звук: экспериментатор или соседи!

Напоследок зададимся двумя вопросами. Крысы всегда были такими умными или поумнели от общения и борьбы с нами? И еще: а как скажется борьба с крысами на нас самих?

ТЕХНОЛОГИИ: Априорная подозрительность: Программные средства лечения паранойи

Автор: Родион Насакин

Наиболее динамично развивающимся (хотя далеко не самым крупным) сегментом рынка информационной безопасности сегодня стали системы обнаружения и предотвращения атак. В последнее время быстро растет спрос именно на проактивные приложения, которые не просто обнаруживают угрозы, а работают на опережение – обращая внимание на подозрительное поведение программ в системе и предпринимая необходимые меры еще до возникновения серьезных проблем. 

Наряду с межсетевыми экранами, криптосредствами, антивирусами и решениями в области antispyware системы обнаружения атак (Intrusion Detecting Systems, IDS) по сей день остаются непременной составляющей «защитного поля» большинства локальных сетей и отдельных компьютеров. В ряде случаев IDS поставляется как модуль в составе программно-аппаратного комплекса и специализируется на обнаружении хакерских вторжений, DoS-атак и сетевых червей. Свою работу система выполняет, сравнивая каждое проникновение в защищаемую зону с так называемыми сигнатурами – то есть шаблонами поведения программ, выработанными на основе анализа предыдущих атак.

В зависимости от типа защищаемого объекта IDS подразделяют на host-based (HIDS) и network-based (NIDS), то есть работающие на уровне отдельного узла и сети в целом. HIDS проверяют целостность файловой системы, анализируют лог-файлы, активность ОС и приложений. «Хостовые» системы, по сути, просматривают журналы системы, но в отличие от сисадминов занимаются этим не раз в день, а после появления каждой новой записи, при этом любое зарегистрированное событие сравнивается с имеющейся базой сигнатур. Система проверяет, не привело ли в прошлом аналогичное действие к вторжению. Подобным образом оцениваются модификации файлов. Основные разновидности HIDS – аудиторы ОС (System Integrity Verifiers) и анализаторы лог-файлов (Log Files Monitors). Для Linux существует и ряд расширений системы, реализующих HIDS-функциональность, например продукты LIDS и OpenWall.

В свою очередь, NIDS непрерывно анализируют сетевой трафик, и с сигнатурами (образцами IP-пакетов) сравниваются данные, содержащиеся в проверяемых пакетах. Среди разновидностей NIDS можно отметить соответствующие функции в файрволах, анализирующие протоколы трафика: «антисканеры» портов (Port Scan Detectors) для определения и пресечения попыток просканировать UDP– и TCP-порты; снифферы[Сниффер (от англ. sniff – нюхать, чуять) – программа, позволяющая перехватывать сетевой трафик. Торговая марка компании Network Associates], снабженные модулями анализа. Также на рынке присутствуют «гибриды», объединяющие функциональность HIDS и NIDS. Сетевой модуль такой системы получает данные об активности еще и от хост-агента, что позволяет иметь более полную картину события для сравнения с сигнатурой. Среди крупных мировых вендоров IDS можно назвать Intrusion, Internet Security Systems, McAfee, NFR, Symantec, Radware, Cisco Systems и др.

Системы предотвращения атак (Intrusion Prevention Systems, IPS) считаются эволюционным преемником IDS и призваны решить недостатки своих «предков», проявляющиеся в последнее время все острее. Слишком много стало случаться неизвестных ранее атак, сигнатуры для которых отсутствуют в принципе. Если десять лет назад для относительно безопасной работы достаточно было пополнять базу сигнатур десятью-двенадцатью шаблонами ежемесячно, то пять лет спустя для достижения аналогичного уровня безопасности требовалось шесть ежедневных сигнатур. Сегодня их количество исчисляется десятками, а то и сотнями.

Поэтому как грибы после дождя последние пару лет появляются системы защиты, в которых от сигнатурного анализа либо отказываются вовсе, либо совмещают его с более «интеллектуальными» методами выявления потенциально опасной активности: детекторами аномалий протоколов, контролем поведения трафика и, наконец, базами поведенческих профилей (наиболее востребованного для защиты рабочих станций и серверов [хостов] решения). Существует еще такой метод, как эвристический анализ кода, но он не получил широкого распространения из-за обилия ложных срабатываний. Впрочем, в комбинации с другими алгоритмами его эффективность достаточно высока.

Если одна сигнатура описывает одну атаку, то поведенческий профиль дает системе представление о целом типе подобных вторжений. Если IDS может опознать одну разновидность червя, но пропустить другую из-за различий в коде, то IPS пресечет активность любой модификации, так как будет ориентироваться на общую схему враждебных действий – например, несанкционированное создание новой учетной записи.

Новые веяния в сфере обнаружения атак и переход от пассивной регистрации вторжений к проактивному предотвращению и являются отличительными чертами IPS. При обнаружении подозрительных действий система принимает те или иные меры в соответствии с настройками администратора. Например, через файрвол блокирует опасный трафик.

Вендоры IPS в основном те же, что и у IDS; правда, переход к новым системам изменил рыночную диспозицию. Классификация на хостовые и сетевые системы тоже сохранилась. Однако если продукты для защиты отдельных рабочих станций так и называют – HIPS, то для сетевых аналогичная аббревиатура NIPS применяется редко. Более распространено название «сетевые IDS/IPS-системы» (системы обнаружения и предотвращения вторжений), поскольку в них наряду с другими методами сохранился сигнатурный анализ. IPS обычно используют для защиты периметра сети, важнейших его сегментов. В остальных случаях довольствуются IDS-функциональностью.

Системы HIPS-класса (локальные сенсоры) дополняют сетевую «линию обороны» защитой рабочих станций. Широкое (для решений подобного класса) распространение получили Cisco Security Agent, Prevx Pro, SecureHost IPS (Intruision), Safe’n’Sec (StarForce), TruPrevent (Panda) и McAfee Entercept. Эти системы можно рассматривать в качестве профилактического дополнения к существующим «классическим» антивирусам и прочему защитному софту (см. таблицу), а также как подушку безопасности, расположенную между ядром ОС и запущенными приложениями, которые потенциально могут нести угрозу. Особенно актуально такое ПО в период вирусных эпидемий, которые, увы, вспыхивают в Сети все чаще. Ведь HIPS постоянно отслеживают запуск или остановку сервисов, работу всех приложений и прочую активность, обращая особое внимание на то, в какой последовательности выполняются системные действия. Большая часть HIPS позволяет коррелировать данные о событиях, поступающие из разных источников: от антивирусов, журналов ОС и пр. Помимо оперативности реагирования корреляция сводит к минимуму количество ложных срабатываний (см. врезку).