Информационная безопасность

       

Корреляция


Получив сообщение о том, что, например, ваша сеть атакована червем Slammer многие администраторы приходят в ужас и лихорадочно начинают вспоминать, а пропатчили ли они свои узлы. А что если, даже самая серьезная атака (например, Slammer) не нанесет вам никакого вреда по той простой причине, что у вас нет серверов на базе MS SQL? А если они у вас есть, но вы их давно защитили? Аналогичная ситуация происходит и с другими атаками, которые отвлекают внимание администратора и требуют вмешательства. А что, если на них вообще не надо реагировать (как ни парадоксально это звучит)? Ведь не каждый хакер знает всю подноготную вашей сети, и, зачастую, он наугад пытается атаковать ваши ресурсы, что приводит к тому, что атака не только не нанесет вам никакого ущерба, но и в принципе не может быть применима к вашей сети. Например, относительно недавно выпущенный SMBdie страшен только Windows-узлам, да и то, только тем, на которых не был установлен соответствующий Service Pack. Unix-машины к нему неуязвимы. Так зачем же реагировать на появление сообщения об атаке SMBdie? Хорошо, если ваша сеть небольшого размера и вы помните, что и где у вас установлено. А если нет? Куда лучше, если сообщения, не несущие никакой угрозы, вообще бы не показывались у вас на консоли и не отвлекали бы вас от более важных дел. Механизм корреляции, т.е. поиск взаимосвязей между разнородными данными, как раз и решает эту проблему, снимая с администраторских плеч нагрузку проведения ручного анализа и сопоставления разрозненных данных.

Модуль корреляции в SIMS не только автоматизирует процесс сопоставления разнородных данных, но и сам проводит анализ воздействия атаки на ваши ресурсы. Это может происходить по-разному:

  • Локальная корреляция, осуществляемая непосредственно на защищаемом узле. В этом процессе участвует система обнаружения и предотвращения атак уровня узла (host-based ID&PS), которая либо отражает атаку, о чем оповещает администратора безопасности, либо нет. В последнем случае требуется вмешательство специалистов, которые инициируют процесс расследования инцидентов.
    В данном случае, система обнаружения и предотвращения атак должна не только зафиксировать атаку, но и оценить ее воздействие на атакуемый узел.
  • Корреляция со сведениями об операционной системе. Если Windows-атака направлена на Unix-узел, то ее можно игнорировать и не забивать себе голову проблемой реагирования на такие нарушения. Если же атака "применима" к данной ОС, то в действие вступает следующий вариант корреляции.
  • Корреляция атак и уязвимостей. Следуя определению атаки, она не может быть успешна, если атакуемый узел или сегмент сети не содержит уязвимости. Таким образом, сопоставляя данные об атаке с информацией об уязвимостях атакуемого узла или сегмента, можно с уверенностью будет сказать, применима ли зафиксированная атака к вашей сети и, если да, то нанесет ли она вам какой-либо ущерб.


Результатом работы механизма корреляции может служить одно из следующих сообщений в строке статуса атаки (с разъяснением причины такого вывода):


  • Вероятно удачная атака (узел уязвим)
  • Вероятно неудачная атака (узел не уязвим)
  • Вероятно неудачная атака (блокированы некоторые пакеты, составляющие атаку)
  • Вероятно неудачная атака (атака не применима к данной операционной системе)
  • Неудачная атака (узел блокировал атаку)
  • Воздействие неизвестно (узел не сканировался)
  • Воздействие неизвестно (операционная система не определена)
  • Воздействие неизвестно (уязвимость не определена)
  • Воздействие неизвестно (корреляция не проводилась)


Таблица 4. Результат работы механизма корреляции на примере системы RealSecure SiteProtector с установленным модулем SecurityFusion Module



Степень риска Событие Число событий Статус
Низкая NMap-Scan 139 Воздействие неизвестно (корреляция не проводилась)
Средняя SMTP-Sendmail-Relay 1 Вероятно неудачная атака (узел неуязвим)
Высокая Backdoor-BO2k 1 Неудачная атака (узел блокировал атаку)
Существуют и другие механизмы корреляции, облегчающие работу администратора. Например, анализ шаблона атаки, позволяющий сделать вывод о применении того или иного средства реализации атаки.


Такая информация позволяет оценить квалификацию хакера и в зависимости от этого предпринимать те или иные действия. Также может быть задействована функция сопоставления данных за заданный интервал времени, что позволяет несколько однотипных или разных событий объединить единым сообщением об атаке. Например, несколько неудачных попыток входа в систему с одного из узлов сети за короткий интервал времени могут говорить о попытке подбора пароля. Или еще один распространенный пример. Сразу после обнаружения факта сканирования Web-сервера, что само по себе является частым событием в Интернет, фиксируется попытка использования уязвимости Unicode в сервере MS Internet Information Server. По отдельности эти события могут говорить, как о реальной атаке, так и ложном срабатывании. Совокупность же этих действий, разделенных очень коротким интервалом времени, с очень высокой вероятностью говорит именно о реальной атаке, направленной на взлом сайта.

Приведу более сложный пример. Один из узлов вашей сети был успешно атакован, после чего он сам стал базой для дальнейшего распространения атаки. Система корреляции, сопоставив различные данные, может обнаружить такой факт и уведомить об этом администратора, который должен в срочном порядке отреагировать на возникшую ситуацию. Вот как может выглядеть такой факт в журнале регистрации системы обнаружения атак (см. выделение цветом в Таблице 1), а вот так он будет подан системой корреляции (см. первую строчку в Таблице 5).

Таблица 5. Результат работы механизма корреляции на примере системы RealSecure SiteProtector с установленным модулем SecurityFusion Module

Степень риска Событие Число событий Источник
Высокая Attack_From__Compromised_Host 1567 139.92.229.160
Высокая Targeted_Break_In_Attempt 1 194.98.93.252
: : : :
Кстати, здесь есть очень тонкий момент, на который необходимо обращать внимание при выборе системы управления информационной безопасности. Многие из них в своих рекламных материалах упоминают про поддержку огромного количества разнородных средств защиты (до нескольких десятков) и перечисляют известнейшие имена.


Но: на самом деле под поддержкой понимается только сбор данных от этих средств, не более того. Производитель SIMS должен обновлять свое решение также часто, как и все из поддерживаемых ими систем. Более того, с выходом обновления для системы обнаружения атак или сканера система корреляции также должна пополнить свою базу знаниями о новых уязвимостях и атаках. В противном случае она не сможет анализировать неизвестные ей события. Об этом умалчивают многие производители таких средств, считая, что достаточно указать в рекламных материалах факт поддержки разнообразных средств анализа защищенности, межсетевых экранов, систем обнаружения атак, proxy-серверов и т.д. Поэтому максимум, на что вы можете надеяться, устанавливая такой продукт, - это на сбор данных из разных источников без функции агрегирования и корреляции. Честнее поступают такие производители как Internet Security Systems, Cisco и т.п. Они не обещают золотых гор, но зато гарантируют полную поддержку всех своих решений и, возможно, парочки решений от других производителей.


Содержание раздела