Что такое IDS и особенности её применения

Экспертный материал

 Демьян Раменский | Руководитель направления информационной безопасности

По оценкам аналитиков, к 2025 году ущерб от киберпреступлений превысит 10,5 триллионов долларов и будет стремительно расти. Это яркий показатель увеличения числа кибератак и уязвимости современных систем, которым не хватает для защиты одного антивируса. Одним из средств современной защиты стали системы обнаружения вторжений (IDS). Выясним, что они из себя представляют, как работают и чем отличаются.

Что такое IDS или СОВ/СОА

Система обнаружения вторжений (СОВ) или атак (СОА) в английском варианте Intrusion Detection System (IDS) представляет собой программную или аппаратно-программную систему сетевой безопасности, предназначенную для обнаружения сетевых атак и различных аномалий (которые, являются признаками действий злоумышленника).

IDS анализирует трафик, сопоставляя результаты с собственной базой данных, где содержатся сигнатуры атаки. IDS выявляет:

• атаки на информационные системы;

• атаки на локальную сеть;

• обнаружение попыток несанкционированного доступа к базам данных;

• активность различных скриптов и программ;

• работу сканера портов;

• активность бот-сетей;

• необычную активность (за которой зачастую маскируется вредоносное ПО).

Важно знать, что IDS не занимается непосредственно отражением сетевых атак, а лишь выявляет их и оповещает администратора, показывает источник опасности и помогает её устранить. А также является весьма полезным инструментом при расследовании компьютерных инцидентов.

Как это работает и для чего нужно применять

IDS системы умеют выявлять отклонения от обычной работы пользователя, необходимые для обнаружения вторжения злоумышленника.

IDS системы имеют следующие полезные функции:

• Обнаружение по сигнатурам, когда весь трафик анализируется на соответствие профилю уже известных атак (шаблонов занесённых в базу IDS). Этим способом выявляются хакерские атаки, различные вредоносные коды, ложный трафик и прочие угрозы. Данный способ эффективен при обнаружении и блокировке уже известных атак.

• Обнаружение по аномальному поведению в данных, когда применяются не только шаблоны, но и выявляются новые (нешаблонные) варианты атак.

• Наблюдение за трафиком локальной сети в реальном времени. Когда собираются и анализируются данные о трафике, что позволяет не только находить угрозы, но и выяснить, откуда они пришли и каким способом. Это реальные случаи распространения вирусов, которые могут быть интегрированы не только в вордовский файл или программу, но и в картинку, и даже в аудио или видео файл.

Например, ViPNet IDS NS выполняет следующие основные функции:

• Динамический анализ сетевого трафика, начиная с канального и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI) различными методами.

• Автоматическое обнаружение угроз безопасности информации (далее угрозы) и регистрация событий информационной безопасности (далее события) в журнале.

• Отображение информации о событиях посредством графического веб-интерфейса в масштабе реального времени.

• Оповещение (информирование) об обнаруженных угрозах по электронной почте.

• Передача информации о событиях в системы анализа и мониторинга:

• Система автоматического выявления инцидентов ViPNet TIAS по протоколу CEF (Common Event Format).
• Системы управления событиями информационной безопасности по протоколам syslog и CEF.

ViPNet IDS NS предоставляет в графическом веб-интерфейсе следующие инструменты для мониторинга и анализа информации о событиях:

• Список записей с информацией о событиях в журнале;

• Фильтр для поиска записей о событиях в журнале по заданным критериям;

• Карточки событий с подробной информацией;

• Возможность выгрузки образцов перехваченных пакетов и вредоносных файлов для последующего анализа с помощью стороннего программного обеспечения;

• Возможность экспорта записей журнала событий в файл для последующего анализа с помощью стороннего программного обеспечения;

• Возможность построения статистических отчетов по информации о событиях в виде таблиц, диаграмм и графиков.

Для обеспечения эффективной работы по обнаружению угроз ViPNet IDS NS поддерживает следующие возможности:

• Управление настройками методов и правил анализа сетевого трафика.

• Обновление базы правил.

• Обновление базы Malware detection.

ViPNet IDS NS обеспечивает передачу функций управления системе централизованного управления и мониторинга ViPNet IDS MC.

ViPNet IDS NS обеспечивает следующие служебные функции:

• Аудит;

• Самотестирование;

• Контроль работоспособности по индикаторам;

• Передача информации о параметрах работоспособности системам мониторинга состояния узлов;

• Резервное копирование и восстановление данных;

• Обновление лицензии;

• Обновление отдельных компонентов программного обеспечения.

Архитектура и технология IDS

Работа IDS заключается в выявлении угроз, анализируя трафик. Если угрозы есть, то о них оповещается администратор. Системы IDS разделяются на типы по месту действия и установки.

Виды IDS по месту установки

Наиболее распространены IDS по месту установки:

• Сетевая система обнаружения вторжения (NIDS - Network Intrusion Detection System),, работает на уровне сети, например, ViPNet IDS NS или Континент СОВ.

• Хостовая система обнаружения вторжений (HIDS - Host-based Intrusion Detection System), работает на уровне отдельного хоста, например, ViPNet IDS HS или Secret Net Studio с модулем СОВ.

Эти решения сертифицированы ФСТЭК России и позволяют реализовать требования приказа ФСТЭК № 21 в части СОВ:

• Обнаружение вторжений (СОВ.1);

• Обновление базы решающих правил (СОВ.2).

Сетевая система обнаружения вторжения (NIDS)

Технология NIDS позволяет установить систему в наиболее важных местах сети. Анализ трафика, проходит начиная с канального уровня, заканчивая уровнем приложений.

NIDS отличается от брандмауэра, выявляя не только внешние атаки, приходящие снаружи сети, но и обнаруживая внутреннюю угрозу. На случай, если злоумышленники взломали рабочее место одного из сотрудников компании. NIDS может контролировать как всю сеть, так и какой-то определенный сервер, позволяя не докупать дополнительные решения. Но она имеет один минус -  большое потребление вычислительных ресурсов. При увеличении объёма трафика возрастает потребность в мощности процессоров и объёме оперативной памяти. Резкое увеличение объёма трафика может привести к заметным задержкам обмена данными, снижая скорость работы сети, вынудив NIDS пропускать некоторые пакеты данных, делая сеть уязвимой. В случае облачного решения данной уязвимости можно избежать, поскольку оно использует масштабирование, исключающее задержки обмена данными.

Хостовая система обнаружения вторжений (HIDS)

Это система, устанавливаемая на один хост (устройство или ВМ (виртуальную машину)имеющее подключение к локальной или глобальной сети) внутри сети и защищающая только его. HIDS проверяет все пакеты данных, идущие в обоих направлениях, но лишь для одного устройства (своего хоста). HIDS создаёт снапшоты файлов и каталогов файловой системы на определённый момент времени: делая снимки текущей версии файла/каталога и сравнивает их с предыдущими, выявляя возможные угрозы (когда файл заражается вредоносным кодом, его объём изменяется). HIDS оправдано устанавливать на критически важные компьютеры в сети, редко изменяющие конфигурацию.

Виды IDS по принципу действия

Все IDS работают по единому принципу, выявляя угрозы и анализируя сетевой трафик. Но сам процесс анализа имеет три вида: сигнатурный, основанный на аномалиях и основанный на правилах.

Сигнатурные IDS

Сигнатурные IDS аналогично антивирусам анализируют сигнатуры и сопоставляют их со своей базой. Важным условием является постоянное обновление баз, необходимое для обеспечения корректной работы. В случае недоступности базы сеть становится уязвимой. Второй проблемой может стать неизвестная ранее атака, имеющая неизвестную сигнатуру. В этом случае существует вероятность, что угроза не будет обнаружена.

Сигнатурные IDS отслеживают шаблоны или состояния. Шаблонами называются сигнатуры, хранящиеся в постоянно обновляемой базе. А состояниями называются любые действия внутри системы.

Например, начальное состояние системы означает нормальную работу и отсутствие атаки. Если прошла атака и она имела успех, то система переходит в скомпрометированное состояние, означающее заражение системы. Каждое действие в локальной сети (например, новое подключение по протоколу, который не соответствует политике безопасности компании, запуск нового ПО и т.д.) может изменить состояние. Поэтому сигнатурные IDS выявляют угрозы, отслеживая не действия злоумышленников, а состояние системы, которое всегда реагирует на эти действия.

Из приведенных выше систем NIDS чаще всего отслеживают шаблоны, а HIDS - состояния.

IDS основанные на аномалиях

По принципу работы такие IDS немного схожи с отслеживанием состояний, но имеют гораздо больший охват. IDS проводит анализ работы сети в текущий момент, сравнивая с аналогичным периодом прошлых дней, выявляя аномалии. Аномалии бывают трёх видов:

• статистические;

• аномалии протоколов;

• аномалии трафика.

Для выявления статистических аномалий система IDS создаёт профиль повседневной активности (учитывается объём трафика, запускаемые пользователями приложения и прочие факторы) и сопоставляет его с текущим профилем. Например, для компании в рабочие дни трафик вырастает на 90% по сравнению с выходными, когда работает только часть сотрудников. Если трафик неожиданно увеличивается не на 90%, а на 450%, то система информирует администраторов об угрозе.

Для выявления аномалий протоколов IDS проверяет коммуникационные протоколы, запускаемые приложения, какие пользователи их используют, и на основе этих данных составляет профили.

Что предлагает компания Corpsoft24

Компания Сorpsoft24 предлагает своим клиентам защищённую облачную инфраструктуру, полностью соответствующую требованиям  ФСТЭК России к ИСПДн УЗ-1 и ГИС К1. Кроме того, в рамках услуг по технической защите конфиденциальной информации Corpsoft24 предоставляет своим клиентам все необходимые СЗИ/СКЗИ, аудит процессов обработки персональных данных и информационных систем, разработку модели угроз, проектирование СЗПДн, оценку эффективности принимаемых мер безопасности, а также при необходимости аттестацию ИСПДн. 

Рассмотрим, что актуально использовать для сетевой защиты.

ViPNet IDS NS является средством обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике. ViPNet IDS NS предназначен для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.

ViPNet IDS NS выпускается в следующих исполнениях:

• ViPNet IDS NS в исполнениях ViPNet IDS NS100/1000/2000 представляет собой программно-аппаратные средства на базе x86-64-совместимой аппаратной платформы и программного обеспечения ViPNet IDS NS.

• ViPNet IDS NS в исполнении ViPNet IDS NS VA (Virtual Appliance) представляет собой программное обеспечение ViPNet IDS NS в виде образа виртуальной машины в формате стандарта OVF (Open Virtualization Format).

Программное обеспечение ViPNet IDS NS представляет собой замкнутую программную среду, функционирующую под управлением адаптированной 64-разрядной операционной системы на базе ядра Linux.

Работоспособность ViPNet IDS NS в исполнении ViPNet IDS NS VA обеспечивается на платформах виртуализации: VMware vSphere ESXi, VMware Workstation Pro, Oracle VM VirtualBox.

СОВ/СОА как услуга включает: предоставление, установку, настройку и техническую поддержку СОВ/АОА в ЦОД исполнителя.

Для обнаружения вторжений и компьютерных атак на информационные системы, размещенные в дата-центре Corpsoft24, предлагаются следующие средства:

Типовая схема применения

На рисунке 1 приведена типовая схема применения в ИС СОВ уровня сети.

 

Рис.1 Типовая схема применения в ИС СОВ уровня сети

На рисунке 2 приведена типовая схема применения в ИС СОВ уровня узла.

 

Рис.2 Типовая схема применения в ИС СОВ уровня узла

Реализуемые меры безопасности информации согласно 17 и 21 приказов ФСТЭК:

• Обнаружение вторжений (СОВ.1);

• Обновление базы решающих правил (СОВ.2);

Предоставляемые в составе услуги средства обнаружения вторжений имеют сертификаты ФСТЭК и ФСБ России (как минимум):

• СОВ уровня сети 4 класса защиты и 4 уровню доверия, СОА класса В;

• СОВ уровня узла 4 класса защиты и 4 уровню доверия, СОА класса Б;

Таким образом, предоставляемые СОВ/СОА могут применяться для защиты:

• ИСПДн (УЗ-1 включительно);

• ГИС (К1 включительно);

• ИС общего пользования (2 класса).

При помощи облачных услуг клиенты компании Corpsoft24 имеют возможность оперативно выполнить требования в части СОВ таких  нормативных документов, как:

• Приказ ФСТЭК от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

• Приказ ФСТЭК от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

• Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".