Напоследок зададимся двумя вопросами. Крысы всегда были такими умными или поумнели от общения и борьбы с нами? И еще: а как скажется борьба с крысами на нас самих?

Автор: Родион Насакин

Наиболее динамично развивающимся (хотя далеко не самым крупным) сегментом рынка информационной безопасности сегодня стали системы обнаружения и предотвращения атак. В последнее время быстро растет спрос именно на проактивные приложения, которые не просто обнаруживают угрозы, а работают на опережение — обращая внимание на подозрительное поведение программ в системе и предпринимая необходимые меры еще до возникновения серьезных проблем. 

Наряду с межсетевыми экранами, криптосредствами, антивирусами и решениями в области antispyware системы обнаружения атак (Intrusion Detecting Systems, IDS) по сей день остаются непременной составляющей «защитного поля» большинства локальных сетей и отдельных компьютеров. В ряде случаев IDS поставляется как модуль в составе программно-аппаратного комплекса и специализируется на обнаружении хакерских вторжений, DoS-атак и сетевых червей. Свою работу система выполняет, сравнивая каждое проникновение в защищаемую зону с так называемыми сигнатурами — то есть шаблонами поведения программ, выработанными на основе анализа предыдущих атак.

В зависимости от типа защищаемого объекта IDS подразделяют на host-based (HIDS) и network-based (NIDS), то есть работающие на уровне отдельного узла и сети в целом. HIDS проверяют целостность файловой системы, анализируют лог-файлы, активность ОС и приложений. «Хостовые» системы, по сути, просматривают журналы системы, но в отличие от сисадминов занимаются этим не раз в день, а после появления каждой новой записи, при этом любое зарегистрированное событие сравнивается с имеющейся базой сигнатур. Система проверяет, не привело ли в прошлом аналогичное действие к вторжению. Подобным образом оцениваются модификации файлов. Основные разновидности HIDS — аудиторы ОС (System Integrity Verifiers) и анализаторы лог-файлов (Log Files Monitors). Для Linux существует и ряд расширений системы, реализующих HIDS-функциональность, например продукты LIDS и OpenWall.

В свою очередь, NIDS непрерывно анализируют сетевой трафик, и с сигнатурами (образцами IP-пакетов) сравниваются данные, содержащиеся в проверяемых пакетах. Среди разновидностей NIDS можно отметить соответствующие функции в файрволах, анализирующие протоколы трафика: «антисканеры» портов (Port Scan Detectors) для определения и пресечения попыток просканировать UDP— и TCP-порты; снифферы[Сниффер (от англ. sniff — нюхать, чуять) — программа, позволяющая перехватывать сетевой трафик. Торговая марка компании Network Associates], снабженные модулями анализа. Также на рынке присутствуют «гибриды», объединяющие функциональность HIDS и NIDS. Сетевой модуль такой системы получает данные об активности еще и от хост-агента, что позволяет иметь более полную картину события для сравнения с сигнатурой. Среди крупных мировых вендоров IDS можно назвать Intrusion, Internet Security Systems, McAfee, NFR, Symantec, Radware, Cisco Systems и др.

Системы предотвращения атак (Intrusion Prevention Systems, IPS) считаются эволюционным преемником IDS и призваны решить недостатки своих «предков», проявляющиеся в последнее время все острее. Слишком много стало случаться неизвестных ранее атак, сигнатуры для которых отсутствуют в принципе. Если десять лет назад для относительно безопасной работы достаточно было пополнять базу сигнатур десятью-двенадцатью шаблонами ежемесячно, то пять лет спустя для достижения аналогичного уровня безопасности требовалось шесть ежедневных сигнатур. Сегодня их количество исчисляется десятками, а то и сотнями.

Поэтому как грибы после дождя последние пару лет появляются системы защиты, в которых от сигнатурного анализа либо отказываются вовсе, либо совмещают его с более «интеллектуальными» методами выявления потенциально опасной активности: детекторами аномалий протоколов, контролем поведения трафика и, наконец, базами поведенческих профилей (наиболее востребованного для защиты рабочих станций и серверов [хостов] решения). Существует еще такой метод, как эвристический анализ кода, но он не получил широкого распространения из-за обилия ложных срабатываний. Впрочем, в комбинации с другими алгоритмами его эффективность достаточно высока.

Если одна сигнатура описывает одну атаку, то поведенческий профиль дает системе представление о целом типе подобных вторжений. Если IDS может опознать одну разновидность червя, но пропустить другую из-за различий в коде, то IPS пресечет активность любой модификации, так как будет ориентироваться на общую схему враждебных действий — например, несанкционированное создание новой учетной записи.