Статистика - вещь неумолимая. Особенно когда дело касается
информационной безопасности. По данным Национального отделения ФБР по
компьютерным преступлениям от 85 до 97% нападений на корпоративные сети
не то что не блокируются, но и не обнаруживаются. Проведенные в 1995
году испытания, которые финансировало Министерство обороны США, показали
результаты, схожие с теми, которые были получены агентством DISA в 1993
году. Специальные группы экспертов, так называемые "команды тигров" ("tiger
team"), провели анализ защищенности 8932 военных информационных систем.
В 7860 (т. е. 88%) случаях проникновение в "святая святых" Министерства
обороны США было успешным. Администраторы только 390 из этих систем
обнаружили атаки и всего 19 из них (вдумайтесь в это число) сообщили о
нападениях [Powerl-95], Итак, только 5% систем смогли зафиксировать
атаки на себя и только 0,24% от общего числа успешно атакованных систем
(или, иначе, 4,9% от числа зафиксировавших атаки) сообщили о них в
соответствующие инстанции.
Почему это происходит? На наш взгляд, причина кроется не в том, что
традиционные механизмы защиты, такие как разграничение доступа,
фильтрация, аутентификация и др. не лишены недостатков, а потому что при
их создании не были учтены многие аспекты, связанные с современными
атаками. Попробуем разобраться в них и на основе этой информации
рассмотреть проблемы, существующие у традиционных механизмов защиты, и
пути решения этих проблем.
Недостатки традиционных средств защиты
Рассмотрим этапы осуществления атаки, которые более подробно будут
представлены в главе 2. Первый, подготовительный, этап заключается в
поиске предпосылок для осуществления той или иной атаки. На данном этапе
ищутся уязвимости, использование которых делает возможной в принципе
реализацию атаки, которая и составляет второй этап. На третьем этапе
атака завершается, "заметаются следы" и т. д. При этом первый и третий
этапы сами по себе могут являться атаками. Например, поиск нарушителем
уязвимостей при помощи сканеров безопасности, например, Nmap или SATAN,
сам по себе считается атакой.
Существующие механизмы защиты, реализованные в межсетевых экранах (firewall),
серверах аутентификации, системах разграничения доступа и т. д.,
работают только на втором этапе. То есть, по существу, они являются
средствами блокирующими, а не упреждающими атаки. В абсолютном
большинстве случаев они защищают от атак, которые уже находятся в
процессе осуществления. И даже если эти механизмы смогли предотвратить
ту или иную атаку, то намного более эффективным было бы упреждение атак,
т. е. устранение самих предпосылок реализации вторжений. Комплексная
система обеспечения информационной безопасности должна работать на всех
трех этапах осуществления атаки. И обеспечение адекватной защиты на
третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь
только в этом случае можно реально оценить ущерб от "успешной" атаки, а
также разработать меры по устранению повторных попыток реализовать
аналогичную атаку.
Однако даже если вы наряду с традиционными механизмами защиты
используете средства поиска уязвимостей, которые своевременно
обнаруживают и рекомендуют меры по устранению "слабых мест" в системе
защиты, то это еще не доказывает вашей защищенности. Существует ряд
факторов, которые необходимо учитывать при использовании межсетевых
экранов, систем аутентификации, систем разграничения доступа и т. д. Эти
факторы характеризуют не слабости упомянутых технологий, а особенности
их архитектуры. Большинство компьютерных защитных систем построено на
классических моделях разграничения доступа, разработанных в 70-80-х
годах прошлого века в военных ведомствах. Согласно этим моделям субъекту
(пользователю, программе, процессу или сетевому пакету) разрешается или
запрещается доступ к ка-кому-либо объекту (например, файлу или узлу
сети) при предъявлении некоторого уникального, присущего только этому
субъекту, элемента. В абсолютном большинстве случаев этот элемент -
пароль. В других случаях таким уникальным элементом является таблетка
Touch Memory или iButton, Smart или Proximity Card, биометрические
характеристики пользователя и т. д. Для сетевого пакета таким элементом
могут быть адреса или флаги, находящиеся в заголовке пакета, а также
некоторые другие параметры.
Можно заметить, что самым слабым звеном описанной схемы является
уникальность элемента. Если нарушитель каким-либо образом получил этот
самый элемент или подменил его и предъявил системе защиты, то она
воспринимает его, как "своего", и разрешает действовать в рамках
полномочий того субъекта, секретным элементом которого
несанкционированно воспользовались. При современных темпах развития
технологий получить доступ к самому секретному ключу не составляет
большого труда. Его можно "подслушать" при передаче по сети при помощи
анализаторов протоколов (sniffer). Его можно подобрать при помощи
специальных программ, например, при помощи LOphtCrack или Crack.
Другой не менее часто приводимый пример. В каждой организации есть
пользователи, обладающие практически неограниченными правами в сети. Это
сетевые администраторы. Они никому неподконтрольны и могут делать в сети
практически все, что угодно. Как правило, они используют свои
неограниченные права для выполнения своих функциональных обязанностей.
Но представьте на минуту, что администратор чем-то обижен. Будь то
низкой зарплатой, недооценкой его возможностей, конфликтом с
руководством и т. п. Известны случаи, когда такие обиженные
администраторы "портили кровь" не одной компании, и их действия
приводили к очень серьезному ущербу.
"Почему раньше эти проблемы не были замечены?" - спросите вы. Это не
совсем так. Указанные проблемы были известны, только они не выходили на
первый план. Происходило это по нескольким причинам. Во-первых, сети
получили широкое распространение относительно недавно, десять-двадцать
лет назад. Во-вторых, модели разграничения доступа, на основе которых
строятся современные системы защиты, были разработаны в военных
ведомствах, у которых своя специфика - там практически нет "чужих". И,
наконец, количество уязвимостей сетевых операционных систем и прикладных
программ и возможных атак на них растет с угрожающей быстротой. Ситуация
усугубляется еще и тем, что многие администраторы безопасности, как это
ни парадоксально звучит, не осознают всей серьезности проблемы сетевой
безопасности. Немногие из них имеют время для анализа сообщений о новых
обнаруженных угрозах и уязвимостях. Еще меньшему количеству людей
доступно проведение аудита и постоянного мониторинга сети. "Сетевые
администраторы не имеют возможности вовремя реагировать на все
возрастающее число уязвимостей", - говорит Джим Харлей, старший аналитик
компании Aberdeen Group [Кивиристи1-99]. Для устранения названных
недостатков и применяются технологии обнаружения атак.
Недостатки межсетевых экранов
Если спросить любого человека, хоть немного знакомого с Internet, чем
- по его мнению - надо защищать свою сеть от хакеров, то в 99% случаев
на первое место он поставит межсетевые экраны, а 68% считают это решение
"самым лучшим" для защиты сетей [TechRepublicl-01]. Однако эти решения
хоть и достаточно эффективны, но не обеспечивают действительно надежной
защиты от всех видов атак.