Рассмотрена проблема обеспечения безопасности корпоративных сетей организаций. В качестве основных причин нарушения безопасности и утечек информации разного уровня доступа, в организации, выделены действия злоумышленника. Показано, что для своевременного предотвращения атак злоумышленника и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети. Поскольку именно регулярный мониторинг состояния сети, позволит своевременно обнаруживать и отслеживать сетевые аномалии, а также проводить их подробный анализ, с целью выявления причин и источников аномалии. Проанализированы основные причины возникновения аномалий в сетевом трафике, к которым относят: сетевые атаки, ошибки пользователей, сбои и отказы аппаратного обеспечения, дефекты программного обеспечения, повреждения каналов связи. Рассмотрены способы проявления сетевых аномалий: видимые аномалии и аномалии, не имеющие видимых признаков. Выделены источники возникновения сетевых аномалий. Сделан вывод, что наиболее опасным источником сетевых аномалий являются действия злоумышленника. Показана и подробно проанализирована причинно-следственная связь между аномалиями и наиболее распространенными сетевыми атаками. Сделан вывод о возможности применения описания связи между атаками и аномалиями при написании правил и шаблонов алгоритмов обнаружения аномалий и атак.
Ключевые слова: сетевая атака, сеть, злоумышленник, информационная безопасность, мониторинг, сетевой трафик.
Настоящее время характеризуется активным развитием интернет-технологий и появлением большого числа гетерогенных и распределенных систем, которые повсеместно используются организациями (государственными и частными) при реализации бизнес — процессов и предоставлении услуг. В данных системах и сетях ежедневно обрабатывается, передается и хранится информация различного уровня доступа, к которой получает локальный и/или удаленный доступ множество пользователей. Зафиксированное число утечек информации и атак злоумышленника на информационные и сетевые ресурсы ежегодно возрастает. Так по данным исследований аналитического центра компании InfoWatch за 2014 год [2] и первое полугодие 2015 года [3], число утечек информации в мире выросло на 22 %, в России — на 73 %, при этом более 39 % утечек приходиться именно на сеть, которая занимает лидирующее положение среди всех каналов. Поэтому, актуальной является задача обеспечения безопасности сетей и ресурсов организаций от утечек и угроз различной природы и характера.
В соответствии с [1], для своевременного предотвращения атак и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети и контролировать появления сетевых аномалий, поскольку именно они являются одним из основных признаков сбоев в работе сети и/или вторжения злоумышленника. Анализируя причины возникновения, источники и степень опасности сетевой аномалии, можно своевременно выявить нарушение и снизить риски от его последствий. Анализ литературных источников [4 — 6] показывает, что сетевые аномалии могут возникать по причинам, связанным с деятельностью злоумышленников, некомпетентностью и ошибками пользователей, неисправностью аппаратуры, повреждением каналов связи и дефектами программного обеспечения.
Существуют видимые аномалии, проявляющиеся в некорректной работе информационно-вычислительной системы в текущий момент времени и аномалии, не имеющие видимых признаков в текущий момент времени, но которые могут привести к сбоям спустя значительное время. При этом наиболее опасными являются аномалии, которые возникают в результате проведения сетевой атаки. При этом целью любой сетевой атаки является вторжение злоумышленника в систему и получение доступа к конкретным данным или ресурсу. Поэтому сетевые атаки могут проводиться в несколько этапов и отличаться разным уровнем сложности. Например, некоторые виды атак требуют большое количество вычислительных ресурсов и высокого уровня подготовки злоумышленника, другие способен осуществить рядовой пользователь, даже не предполагающий, какие последствия может принести его деятельность. Следовательно, для минимизации ущерба от возможного вторжения в систему и своевременного предотвращения атаки на ранних стадиях проведения, важно четко выявлять в обнаруженной аномалии признаки атаки и проводить оценку возможных последствий.
В таблице 1 представлена разработанная причинно-следственная связь между атаками злоумышленников, сетевыми аномалиями и их последствиями для безопасности сети организации.
Таблица 1
Причины и последствия возникновения аномалий в сетевом трафике, источником которых является активность злоумышленника
|
Причина возникновения аномалии (источник) |
Вид проявления аномалии |
Последствия |
|
Атаки на уровне приложений |
эксплуатация известных уязвимостей и ошибок в программном обеспечении, сканирование и доступ к портам, ассоциированным с уязвимыми приложениями |
злоумышленники могут получить доступ к АРМ пользователя сети, повысить привелегии, получить административный доступ |
|
Авторутеры |
скачек в трафике по потокам/с, с несколькими пакетами в потоках от одного доминирующего IP-адреса |
установка rootkit и использование системы для автоматизации процесса вторжения, позволяет злоумышленнику просканировать сотни тысяч систем за короткий промежуток времени |
|
Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS) |
наблюдается интенсивный поток трафика с множества IP-адресов на порты маршрутизаторов и серверов |
происходят нарушения нормального функционирования системы, нарушается доступность данных и сервисов, которые обычно дополняются нехваткой ресурсов, необходимых для работы сети, операционной системы или приложений. |
|
TCP SYN Flood |
создание большого числа частично открытых соединений, увеличения числа SYN-пакетов |
нарушения нормального функционирования системы |
|
Атаки «Ping of Death» |
получении слишком больших IP-пакетов. |
сбой, отказ, зависание и перезагрузка системы |
|
Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K) |
генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес |
являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей. |
|
Stacheldraht |
появление нелегального зашифрованного трафика,генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес |
происходит вторжение в большое количество систем для последующего использования их при атаке. Затем следует фаза DoS-атаки, в течение которой захваченные системы используются для атаки на один или несколько объектов |
|
Атаки «IP spoofing» |
подмена IP-адресов источника на адреса из доверенных зон |
злоумышленник внутри сети или за ее пределами выдает себя за компьютер, которому можно доверять |
|
Атаки «Man-in-the-middle» |
перехват сетевых пакетов, протоколов маршрутизации и транспортных протоколов, искажение передаваемых данных и включение новой информации в сетевые сессии |
кража информации, хакинг текущего сеанса связи для получения доступа к частным сетевым ресурсам, анализ трафика — для получения информации о сети и ее пользователях, DoS-атаки, искажение передаваемых данных и включение новой информации в сетевые сессии |
|
Сетевая разведка |
запросы к DNS-серверу, сканирование диапазона IP-адресов (ping sweeps) и сканирование портов |
злоумышленники могут найти открытые порты, изучить характеристики приложений, выполняющихся на хостах |
|
Сниффинг пакетов |
перехват пакетов передающихся по сети в открытом виде (службы telnet, FTP, SMTP, POP3 и т. д.), например имен пользователей и пароли, переключение потоков трафика с одного сетевого устройства (службы) на другое |
злоумышленник может получить доступ к учетной записи системного пользователя, который хакер может использовать для создания новой учетной записи, и таким образом иметь доступ к сети и ее ресурсам в любое время |
|
Атаки на пароли |
подделка IP-пакетов и прослушивание пакетов, скачек в трафике по потокам/с, с несколькими пакетами от одного доминирующего IP-адреса |
злоумышленники могут обеспечить себе вход в сеть, независимо от возможных будущих изменений взломанных данных |
|
Port redirection attacks |
переадресация сетевого трафика, падение в байтах или пакетах в одном потоке трафика и выброс в другом. |
Передача злоумышленниками через межсетевой экран нелегального трафика |
|
Вирусные и троянские атаки |
выброс в трафике без доминирующего адреса назначения, но с одним или несколькими доминирующими портами назначения |
примером вируса является программа, которая, удаляет некоторые сетевые файлы и инфицирует все другие версии файла command. com, которые сможет обнаружить. |
|
Trust exploitation attacks |
происходят, когда кто-либо пользуется преимуществом доверительных отношений в пределах сети |
атака на внутреннюю сеть |
Описанная авторами причинно-следственная связь может использоваться в процессе анализа обнаруженных аномалий, и в качестве основы для пополнения баз знаний и создания шаблонов, правил и сценариев алгоритмов обнаружения аномалий и атак.
По результатам проведенного исследования, можно сделать следующие выводы:
- для поддержания требуемого уровня безопасности корпоративной сети организации необходимо проводить регулярный мониторинг состояния сети и выявлять аномалии в сетевом трафике;
- обнаруженные аномалии следует подвергать тщательному анализу, с целью выявления их источника и причин возникновения;
- наиболее часто возникающие в сетевом трафике аномалии являются признаком проводимой злоумышленником атаки на объекты и ресурсы корпоративной сети;
- сетевые аномалии столь же разнообразны, как и сетевые атаки, поэтому между их признаками необходимо устанавливать связь.
Литература:
- Багров Е.В. Мониторинг и аудит информационной безопасности на предприятии//Вестник Волгоградского государственного университета. Серия 10: Инновационная деятельность. 2011. — № 5. С. 54 — 56.
- Глобальное исследование утечек конфиденциальной информации в 2014 году//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_global_report_2014.pdf (дата обращения 03.11.2015).
- Глобальное исследование утечек конфиденциальной информации в I полугодии 2015 года//Аналитический центр InfoWatch / [Электронный ресурс]. — Режим доступа: URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2015_half_year.pdf (дата обращения 03.11.2015).
- Шелухин О. И., Сакалема Д.Ж., Филинова А.С.. Обнаружение вторжений и компьютерные сети., / О.И. Шелухин — М.: Горячая линия-Телеком, 2013. — 220 с.
- Theuns Verwoerd, Ray Hunt Intrusion detection techniques and approaches // Computer Communications. 2002. — № 25. — P. 1356-1365.
- Herve Debar, Marc Dacier, Andreas Wespi, Towards a taxonomy of intrusion detection systems // Computer Networks. 1999. — № 31. — P. 805-822.
