Корреляция на службе безопасности
Лукацкий А.В., , опубликовано в журнале BYTE #10/2003
С чем регулярно приходится сталкиваться администратору безопасности? Разумеется с постоянным потоком сообщения от обслуживаемых им средств защиты о тех или иных проблемах с безопасностью. В качестве примера таких сообщений можно назвать:
- Сканирование периметра сети
- Подбор пароля на узлах, видимых из Интернет
- Атаки червей Slammer и т.п.
- Использование уязвимостей Web-сервера и т.п.
Такие сообщения могут поступать от различных средств защиты, начиная от фильтрующего маршрутизатора и межсетевого экрана и заканчивая системами обнаружения атак и системами контроля содержимого. Одна из первых задач администратора безопасности отделить "зерна от плевел" и определить, какие атаки требуют немедленной реакции, какие подождут, а какие можно спокойно проигнорировать.
Все бы ничего, если бы все сообщения, сгенерированные средствами защиты соответствовали реальным атакам. Однако действительность такова, что атак, которые действительно могут нанести ущерб ресурсам корпоративной сети несоизмеримо меньше, чем событий, фиксируемых защитными механизмами.
Многие специалисты считают, что ложное обнаружение лучше, чем отсутствие сообщения об атаке. Однако это как раз та ситуация, когда количество переходит в качество. Со временем это становится головной болью любого администратора, которому приходится решать, реагировать на появившееся на консоли сообщение или проигнорировать его. В результате администратор просто перестает реагировать не только на ложные, но и на любые другие сообщения, в т.ч. и влекущие за собой тяжелые последствия. Например, в Таблице 1 показан фрагмент журнала регистрации широко известной в России системы обнаружения атак RealSecure Network 10/100, которая зафиксировала распространение червя Slammer, нашумевшего в начале этого года. Таких записей за период в один день в журнале может быть несколько десятков тысяч, ведь, как можно видеть, скорость распространения Slammer составляет несколько узлов в секунду.
Таблица 1. Атака червя Slammer
| Дата | Время | Событие | Нарушитель | Цель | Протокол | Порт источника | Порт назначения |
| 4/8/2003 | 23:14:53 | SQL_SSRP_StackBo | 194.98.93.252 | 139.92.229.160 | UDP | 1690 | 1434 |
| 4/8/2003 | 23:14:54 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.34 | UDP | 1080 | 1434 |
| 4/8/2003 | 23:14:54 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.35 | UDP | 1081 | 1434 |
| 4/8/2003 | 23:14:54 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.36 | UDP | 1082 | 1434 |
| 4/8/2003 | 23:14:55 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.37 | UDP | 1083 | 1434 |
| 4/9/2003 | 23:14:55 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.38 | UDP | 1084 | 1434 |
| 4/9/2003 | 23:14:55 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.39 | UDP | 1085 | 1434 |
| 4/9/2003 | 23:14:56 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.40 | UDP | 1086 | 1434 |
| 4/9/2003 | 23:14:56 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.41 | UDP | 1087 | 1434 |
| 4/9/2003 | 23:14:56 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.42 | UDP | 1088 | 1434 |
| 4/9/2003 | 23:14:56 | SQL_SSRP_StackBo | 139.92.229.160 | 213.253.214.43 | UDP | 1089 | 1434 |
| : | : | : | : | : | : | : | : |
