90% респондентов (крупные корпорации и государственные
организации) зафиксировали различные атаки на свои информационные
ресурсы;
80% респондентов понесли немалый финансовый урон вследствие этих
нарушений, но только 44% из них смогли подсчитать его.
Объем потерь вследствие нарушений политики безопасности также возрос за
последние годы. Если в 1997 году сумма ущерба равнялась 100 млн.
долларов США, в 2000 году - 266 млн., то в 2002 году эта цифра возросла
до 456 млн. долларов США. Размер убытков от атак типа "отказ в
обслуживании" достиг 18,4 млн. долларов США.
Необходимо заметить, что к такого рода отчетам надо относиться с
определенной долей скептицизма. Ведь в них учитывается мнение не всех
специалистов, а только выбранной группы респондентов. Однако общий
уровень той или иной проблемы они показывают достаточно точно. Например,
согласно 4-му ежегодному отчету журнала "Information Security Magazine"
[Infosecl-01] число компаний, столкнувшихся с атаками DoS (Denial of
Service, "отказ в обслуживании"), равен 39% (против 40% в отчете CSI/FBI).
По данным консалтинговой компании Ernst&Young [EY1-02] число внутренних
атак составляет 41%, что примерно совпадает с данными CSI/FBI. На этом
фоне выбивается отчет компании KPMG [KPMG1-02], которая в начале 2002
года опросила крупные компании и получила существенно отличающиеся цифры
- только 14% респондентов столкнулись с DoS-атаками и 5% - зафиксировали
кражу конфиденциальной информации (против 20% в отчете CSI/FBI).
Поскольку число и частота атак все время увеличиваются, становится очень
важным идентифицировать атаки на раннем этапе их развития и своевременно
отреагировать на них. В критических случаях вмешательство в атаку должно
быть реализовано намного быстрее, чем сможет среагировать человек.
Другая причина для автоматизации процесса обнаружения атак заключается в
том, что все чаще и чаще злоумышленники используют автоматизированные
средства реализации атак. В одном из опубликованных примеров был отмечен
факт осуществления 2000 попыток проникновения на сервер Internet из 500
мест в течение 8 часов (т. е. 4 атаки в минуту). В том случае
автоматизированная система обнаружения атак помогла отследить источник
атаки. В ее отсутствие задача обнаружения самой атаки и злоумышленника,
ее реализующего, стала бы просто невозможной.
В 1993 году американское агентство защиты информационных систем (DISA)
провело очень интересное исследование, направленное на изучение
защищенности информационных систем Министерства обороны США.
Приглашенные группы экспертов (tiger team) доказали, что в большинстве
случаев ни система защиты, ни человек не смогли зафиксировать атаки,
реализованные при проведении эксперимента (рис. 1.1). Аналогичные
исследования защищенности МО США проводятся регулярно. Например, в 2001
году эксперты по информационной безопасности обследовали около восьми
тысяч компьютеров и обнаружили 150 тысяч уязвимых мест.
Информационные системы должны быть защищены. С этим тезисом никто не
спорит. Обеспечить же безопасность можно двумя способами. Первый способ
- предотвратить все попытки несанкционированного доступа (НСД), создав
полностью безопасную систему. Однако на практике это неосуществимо по
ряду причин [Sundaraml-96].
Программное обеспечение, свободное от ошибок, все еще является мечтой. Да
и практика такова, что производители не всегда пытаются разработать
такое ПО. Они стремятся выпустить свой продукт как можно быстрее и
получить при этом максимальные "барыши". А из-за наличия ошибок в
программном обеспечении невозможно создать абсолютно защищенную систему.
Самое интересное, что наличием различных ошибок страдают и средства
защиты. Особенно отчетливо это проявилось в 2000 году, когда не
проходило недели, чтобы не появилось сообщения об обнаружении уязвимости
в межсетевых экранах, серверах аутентификации и т. д.
Даже самая защищенная система уязвима перед "посвященными" пользователями.
Привилегированные пользователи способны нарушить требования политики
безопасности, что может привести к снижению уровня защищенности.
Чем защищеннее система, тем неудобнее с ней работать.
Рис. 1.1. Результат тестирования защищенности ИС Министерства
обороны США
Таким образом, если мы не можем построить абсолютно защищенную систему,
то - второй способ - должны хотя бы обнаруживать все (или практически
все) нарушения политики безопасности и соответствующим образом
реагировать на них. Именно это и позволяет делать технология обнаружения
атак, о которой и пойдет речь в данной книге.