Ш10МИКА Р1ССИН: ПРОБЛЕМЫ N МНЕНИЯ
9 (189) -2919
новый ПОДХОД К ИСПОЛЬЗОВАНИИ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ ДЛЯ ЗАЩИТЫ БАНКОВСКИХ ИНТЕРНЕТ-ПРИЛОЖЕНИЙ
Д. 0. КОВАЛЕВ,
системный инженер компании Cisco Systems, г. Москва
Банковские интернет-приложения набирают популярность с каждым годом. Люди, ценящие время и силы, предпочитают управлять своим банковским счетом и пользоваться другими финансовыми услугами не отходя от персонального компьютера. Общение с подобными приложениями происходит через доступный посредством сети интернет Веб-сайт в интерактивном режиме. Однако «доступность» проявляется и с негативной стороны, потому что обращаться к сайту могут как законные пользователи, так и злоумышленники. При этом базовые механизмы защиты (аутентификация пользователей, шифрование данных, межсетевое экранирование) часто оказываются бессильны перед такими атаками, как манипуляция параметрами, межсайтовый скриптинг и инъекция SQL-кода. В процессе подобных атак злоумышленник использует уязвимость интернет-приложений, в результате получая над ними контроль. Необходимую защиту в этом случае способны предоставить системы обнаружения и предотвращения вторжений, анализирующие сетевой трафик.
Сетевые системы обнаружения и предотвращения вторжений (Intrusion Prevention Systems — IPS) существуют на рынке уже давно. Их основное предназначение — это выявление и блокирование фактов неавторизованного доступа в компьютерные системы или сети. Традиционно IPS используют два основных метода обнаружения сетевых атак — сигнатурный анализ и анализ аномалий.
Сигнатурный анализ заключается в том, что IPS ищет в трафике определенные сигнатуры — то есть совокупности черт, характерные для той или и иной атаки. Рассматривая пакеты данных в сети, IPS распознает сетевые атаки. Естественно, сигнатуры всегда должны быть в актуальном состоянии.
Метод анализа аномалий используется, когда сигнатура атаки заранее не известна. В этом случае IPS создает шаблон «нормального» поведения в сети и атакой считается любое значительное отклонение от этого шаблона.
При выборе современной IPS следует учитывать не только то разнообразие методов, которое система предотвращения вторжений поддерживает, но и эффективность работы применяемых методов. Вообще говоря, эффективность непросто определить и еще сложней измерить. Поэтому в случае IPS следует говорить об эффективности, в терминах количества ложных срабатываний и пропусков действительных атак (иначе говоря, ошибок первого и второго рода). Чем реже будут случаться ложные сигналы тревоги и чем меньше будет число непредотвращенных атак, тем более эффективной будет считаться IPS.
Одним из самых интересных и действенных способов повышения эффективности IPS на сегодняшний день является использование базы данных репутаций. Под репутацией понимается общественное мнение, в данном случае об устройствах в сети интернет. Известно, что устройства идентифицируются по IP-адресам. Если заданный IP-адрес был замечен при проведении атаки, то соответствующее устройство, скорее всего, либо принадлежит злоумышленнику, либо заражено вредоносным программным обеспечением и, как следствие, репутация у него плохая. Если же IP-адрес в противоправных действиях замечен не был, то и репутация у него безупречная.
Чтобы быть в курсе текущих нарушителей, IPS обращаются к централизованной базе данных Cisco SenderBase, размещенной в сети интернет. База данных SenderBase содержит статистику о том, кто, как часто и какие злонамеренные дейс-
ЭКОНОМИКА РОССИИ: ПРОБЛЕМЫ И МНЕНИЯ
9 (189) -2818
Периодический
Корпоративная сеть Рис. 1. Базаданныхрепутации
твия предпринял и в какой точке сети. Поскольку репутация динамически меняется, IPS должна периодически загружать обновления с сервера SenderBase (рис. 1).
Очевидно, что статистическая информация об IP-адресах каким-то образом попадает в базу данных репутации. Это достигается совместными усилиями команды экспертов Cisco и компаний, которые развернули IPS для защиты своих активов. В случае, если компания соглашается стать участником сообщества SenderBase, IPS будет в процессе анализа сетевого трафика собирать агрегированные данные о нарушителях и отправлять их на сервер репутации. Эти данные передаются по защищенному протоколу HTTPS и включают в себя идентификаторы нарушителя, характеристики опасного трафика и реакцию на него IPS. Безусловно, содержимое пакетов или любая конфиденциальная или персональная информация не
База данных репутации SenderBase
Рис 2. Схема работы IPS
является частью обмена между IPS и SenderBase. Более того, поскольку адреса назначения также не передаются, то обеспечивается полная анонимность для тех, кто предоставляет в SenderBase свои данные. Участие в сообществе SenderBase — дело сугубо добровольное. То есть IPS может использовать сведения о репутации для предотвращения вторжений, но при этом отправку информации в базу данных SenderBase каждая компания оставляет на свое усмотрение.
Итак, что дает знание о репутации злоумышленника? Поможет ли это выявить атаки в сетевом трафике? Ответ однозначный — нет. Ведь для этого существуют методы обнаружения атак, о которых речь шла ранее. Но вот если в процессе сигнатурного анализа или анализа аномалий была выявлена подозрительная активность, сигнализирующая о возможной атаке, то в этом случае система предотвращения вторжений со знанием о репутации превращается в глобальную систему предотвращения вторжений и в игру вступает термин «глобальная корреляция» (рис. 2).
Обнаружив попытку атаки локально, IPS производит корреляцию с глобальными сведениями о репутации, взятыми из базы данных SenderBase. В случае, если прослеживается взаимосвязь, например IP-адрес источника пакетов был уже неоднократно замечен при проведении атак в интернете, рейтинг значимости выявленного события значительно повышается. Рейтинг значимости события (в терминологии Cisco — Risk Rating) отражает важность связанной с этим событием угрозы информационной безопасности (ИБ). Чем более важное событие — тем меньше вероятность того, что имеет место ложное срабатывание. Таким образом, на основании результатов глобальной корреляции в значительной степени снижается количество ложных срабатываний и, как следствие, повышается эффективность работы IPS.
Описанный подход имеет наибольший смысл, когда система предотвращения вторжений анализирует интернет-трафик. Именно поэтому IPS следует использовать для защиты интернет-приложений. Предположим, перед подразделением безопасности ставится задача защитить систему интернет-банк.
ЭКОНОМИКА РОССИИ: ПРОБЛЕМЫ И МНЕНИЯ
9 (189) -2818
Отсутствие средств защиты приводит к рискам быть скомпрометированным, что не замедлит отразиться на лояльности клиентов. Наличие средств защиты потенциально может привести к отказу в обслуживании, в случае ложных срабатываний, что также влияет на удовлетворенность клиентов. Системы безопасности всегда работали на балансе между защищенностью и удобством пользования. Но теперь есть отличное решение, позволяющее достичь и того, и другого — это использование IPS с базой данных репутации. Теперь на входе в интернет-банк стоит «IPS-охранник». Он умеет внимательно смотреть на посетителей банка и
определять злоумышленников, а также обладает интеллектуальными способностями по выявлению аномалий, т.е. анализу отклонений от шаблона «нормального» поведения в сети. Но основным его преимуществом является то, что в любой момент времени он имеет возможность обратиться к глобальной базе данных Интерпола (база данных 8епёегВазе) и получить актуальную справку по любой подозрительной личности, которая заходит в банк. Таким образом, он может безошибочно определить злоумышленника и не пустить его в сеть. Следовательно, безопасности интернет-банка ничего не угрожает.