Контакты
Подписка
МЕНЮ
Контакты
Подписка

К вопросу обнаружения компьютерных атак и вредоносного заражения

К вопросу обнаружения компьютерных атак и вредоносного заражения

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

К вопросу обнаружения компьютерных атак и вредоносного заражения

С каждым годом нарастающие угрозы компьютерных атак и вирусного заражения информационных систем предприятия требуют постоянного совершенствования технологии обеспечения информационной безопасности в части создания многоэтапной системы защиты информационно-вычислительных систем.
Александр
Грибков
Главный конструктор системы
Виталий
Багликов
Главный конструктор по информационной безопасности
Валерий
Иващенко
Генеральный директор ООО “КБПМ – информационная безопасность"

Несмотря на разработку альтернативных методов обнаружения компьютерных атак и вредоносного программного обеспечения, сигнатурный метод поиска в настоящее время остается основным в решении задачи обеспечения информационной безопасности ЛВС, подключенных к Интернету.

В настоящее время используются две основные схемы применения систем обнаружения атак (СОА) и антивирусных средств (АВС). В распределенных системах применения СОА и АВС устанавливаются непосредственно на защищаемые серверы и рабочие станции. Достоинством такой схемы будет то, что АВС обнаруживают компьютерные вирусы независимо от источника заражения, недостаток заключается в необходимости организовать в ЛВС централизованное обновление без сигнатур.

В сосредоточенных системах применения СОА и АВС устанавливаются на отдельные программно-аппаратные комплексы (ПАК) в каналах связи с внешними сетями, чаще всего в каналах связи с сетью Интернет. Эти ПАК осуществляют поиск в трафике канала сигнатур компьютерных атак и компьютерных вирусов (являются сенсорами КА и КВ). Такая схема удобна, когда единственным источником информации в ЛВС служат внешние сети. Если получение информации осуществляется через отчуждаемые носители, ПАК обнаружения КА и КВ дополняется комплексом обнаружения вредоносного ПО на отчуждаемых носителях.

Защита корпоративной ЛВС

Перспективным вариантом применения защиты каналов связи является защита корпоративной ЛВС в целом, особенно если это ЛВС с пространственным разнесением сегментов. В этом случае целесообразно на каналах связи сегментов корпоративной ЛВС разместить сенсоры КА и КВ, которые для централизованного хранения информации, аналитической обработки и управления процессом поиска желательно дополнить корпоративным центром обработки переданных сенсорами данных о КА и КВ.

Для решения задачи обнаружения КА и КВ в корпоративных ЛВС применима новая разработка нашей организации – программно-аппаратная система (ПАС) "Сенсор", способная выявлять скрытые угрозы в трафике каналов связи. Другой разработкой является ПАК "Пункт-МС" (http://kbpm-ib.ru/punktms), способный обнаруживать КВ на отчуждаемых носителях информации различного типа.

Основными проблемами системы выявления сетевых атак и компьютерных вирусов являются:

  • нарастающий объем трафика в ставших уже стандартом де-факто гигабитных сетях;
  • своевременное обнаружение сетевых атак и компьютерных вирусов в трафике;
  • оперативный сбор и анализ выявленной информации.

Применение

Исходя из имеющегося положительного опыта создания сенсоров, коллектив нашей организации поставил перед собой задачу – объединить в единой модульной ПАС систему обнаружения КВ с системой выявления КА. Данная система предназначается для:

  • приема и контроля трафика для дальнейшего анализа по двум независимым потокам на скорости 1 Гбит/с без потерь сетевых пакетов;
  • выявления вредоносного программного обеспечения (по фиксированному набору сетевых протоколов: HTTP, POP3, SMTP, FTP) и сетевых атак в режиме реального времени;
  • систематизации информации от подсистем выявления вредоносного программного обеспечения и сетевых атак, ведения СУБД и формирования статистических характеристик анализируемого трафика;
  • первичного экспресс-анализа факторов в выявленных атаках и вирусах.

Комплектация

Комплекс аппаратных средств состоит из нескольких подсистем, обеспечивающих выборку из сетевого трафика, сервера базы данных, хранящего отобранную и преобразованную информацию (см. рис. 1).


Модульная структура ПАС "Сенсор" позволяет использовать его как в полном составе, так и с исключением отдельных подсистем по выбору пользователя (см. рис. 2).

В состав ПАС входят следующие подсистемы:

  • выявления сетевых атак ("Сенсор-Атака");
  • выявления вредоносного ПО ("Сенсор-Вирус");
  • передачи данных от подсистем "Сенсор-Атака" и "Сенсор-Вирус" в базу данных;
  • модуль хранения данных;
  • технологического мониторинга аппаратной части системы;
  • визуализации и экспресс-анализа данных.

В ПАС могут использоваться различные комбинации из одной или нескольких подсистем выявления атак и выявления вредоносного ПО, которые являются прозрачными. Они получают доступ к сетевому трафику через зеркалирование портов или через TAP-устройство. Захват данных на гигабитном канале обеспечивается с помощью высокоскоростной библиотеки захвата пакетов и специализированного драйвера сетевой карты.

В части обнаружения сетевых атак используется ставшее де-факто стандартом средство Snort, информация от которого в части выявленной атаки преобразуется в сообщение, являющееся информационным пакетом безопасности (ИПБ).

Диагностика

С целью обнаружения вложенных компьютерных вирусов из проходящего трафика производится сборка сессий, распознавание по нескольким популярным протоколам прикладного уровня и выделение переданных по ним объектов. Для диагностики на инфицированность все извлеченные файлы отправляются на проверку антивирусным средством Dr.Web (выбор обусловлен наличием сертификата безопасности и скоростными характеристиками). В случае обнаружения заражения выделенный из трафика файл сохраняется в специальный "контейнер" (для защиты от непреднамеренного запуска) и формируется сообщение в виде информационного пакета безопасности.

Сгенерированные подсистемами информационные пакеты передаются в единую базу данных. Передача осуществляется в клиент-серверном режиме с периодичной посылкой сигналов об отправке очередной порции сообщений. Для быстроты пересылки ИПБ, "контейнеров" и статистической информации от подсистемы "Сенсор-Вирус" используется сжатие передаваемых данных. Для гарантии передачи разработан протокол передачи и выполняется проверка контрольных сумм данных.

Подсистема передачи и отображения технологической информации о состоянии работоспособности подсистем реализована на основе свободной системы мониторинга ZABBIX.

Вся информация хранится в СУБД PostgreSQL.

Подсистема визуализации позволяет через дружественный web-интерфейс отображать статистическую информацию об обнаруженных КА и КВ, а также производить первичный экспресс-анализ выявленных фактов атак и вирусов.

Узким местом системы является выявление компьютерных вирусов. Антивирусное средство имеет ограниченную скорость проверки на наличие компьютерных вирусов. Имеющийся опыт обработки и анализа сетевого трафика по каналам связи производительностью 100 Мбит/с свидетельствует о том, что очередь файлов к антивирусному средству на проверку может накапливаться и даже расти. При снижении интенсивности притока файлов в очередь – как правило, в ночное время – разбор очереди иногда продолжается несколько часов.

Для анализа извлеченных из гигабитного канала данных требуется поддерживать скорость антивирусной проверки достаточно высокой. Есть несколько путей решения этой задачи.

Первый путь – одновременный запуск нескольких демонов антивирусного средства в зависимости от характеристик процессора. Оптимальной конфигурацией на определенном смоделированном трафике является запуск трех демонов антивирусного средства, при этом каждый обрабатывает 16 потоков. Данная конфигурация позволяет почти в два раза повысить скорость определения зараженности объектов (см. рис. 3).


Второй путь – использование агрегации файлов, посылаемых антивирусному средству, в tar-архивы оптимального размера, что сокращает время обработки.

Третий путь – наращивание производительности аппаратной платформы. Один из вариантов – использование платформы с независимыми вычислительными модулями в едином серверном шасси 2U с общей дисковой подсистемой.

Использование указанных путей в формировании программно-аппаратных систем позволяет создавать системы разной комплектации в зависимости от требуемого функционала с целью контроля интернет-трафика на наличие сетевых атак и вирусов.

Для обеспечения требований безопасности ПАС предусмотрена возможность разделения информационных контуров на "открытый" и "закрытый" с хранением и обработкой данных в"закрытом" контуре, не имеющем выхода во внешние сети. Связь между контурами может обеспечиваться сертифицированным однонаправленным оптическим шлюзом (www.kbpm-ib.ru/odnsh). Возможна также организация криптозащиты канала передачи данных между удаленными сенсорами в "открытом" контуре и базой данных в "закрытом" контуре.

В перспективе предусматривается модернизация ПАС в части создания подсистемы визуализации с подключением к ней дополнительных функций, позволяющих:

  • отображать результаты обработки на электронной карте с привязкой к географическим координатам сенсоров;
  • использовать технологии GeoIP для локализации адресов атакующих машин;
  • формировать отчетные документы.

В целом разработанная ПАС "Сенсор" рассматривается как средство оперативного контроля интернет-трафика в защищаемых компьютерных системах в ходе решения задачи обеспечения информационной безопасности.

КБПМ – ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, ООО
107370 Москва,
Открытое ш., 12, стр. 1
Тел.: (495) 984-9711
Факс: (495) 984-9711
E-mail: kbpmib@kbpm-ib.ru
www.kbpm-ib. ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014

Приобрести этот номер или подписаться

Статьи про теме