часть 1 Типы брандмауэров
часть 2 Варианты обхода брандмауэров
часть 4 Варианты обхода IDS
часть 5 Honeypot, типы и обнаружение

Пришло время выйти за рамки брандмауэров и начать говорить о системах обнаружения вторжений. Далее я поделюсь с вами более подробной информацией о том, как системы могут идентифицировать злоумышленников в сети или файловой системе.

Само название IDS говорит само за себя. Мы говорим об устройстве или программном приложении, предназначенном для выявления вредоносной активности. Эта вредоносная активность может быть в сети, но может быть и в системе, и очень часто в файловой системе.

IDS пытается идентифицировать нарушения политики. Одной из особенностей IDS является то, что IDS обычно создает отчеты. И не всегда обязательно блокирует, как это делает брандмауэр. Он, безусловно, может блокироваться, и в этом случае мы больше говорим о системе предотвращения вторжений, когда она начинает отбрасывать пакеты и запрещать трафик. Но у всех у них есть одна общая черта — возможность сообщать. Прежде чем мы начнем вдаваться в механику работы IDS, позвольте мне привести несколько примеров различных способов работы IDS, которые аналогичны элементам управления безопасностью, с которыми вы будете знакомы в физическом мире. Мы только что рассмотрели межсетевые экраны, которые во многом похожи на замок на двери. Авторизованный трафик может проходить свободно, и для авторизации в физическом мире вам нужен ключ. Трафик, который не должен быть разрешен, останавливается. Так работают межсетевые экраны: либо пропускают трафик, либо блокируют его. Таким же образом может работать и IDS. Таким образом, он может предотвращать и останавливать атаки, а также обнаруживать их, что приводит меня к следующей аналогии. Одной из функций, которыми обладают многие системы обнаружения вторжений, является ведение журнала пакетов. Просто наблюдайте за всем, что происходит вокруг него, и сохраняйте информацию. Это не остановит атаку, и кто-то должен будет вернуться и проанализировать данные, которые собираются. Точно так же, как люди просматривают видеозаписи, системным администраторам потребуется просмотреть их и посмотреть, смогут ли они выявить какие-
либо вредоносные шаблоны.

Это один из режимов, в котором вы увидите работу систем обнаружения вторжений. Вспомните эту аналогию, когда мы будем говорить о регистрации пакетов. Давайте посмотрим на другой пример. Системы обнаружения вторжений часто работают в режиме анализатора, поэтому они ищут вредоносные действия. Подобно аналогии с протоколированием пакетов или видеокамерой, это не остановит атаку. Но что сделает сниффер, так это поднимет тревогу. Это аналог датчика безопасности. Когда он наблюдает за поведением, которого не должно быть, он сообщит кому-нибудь об этом. Тогда нужно предпринять какие-то действия, но и это не остановит события. Это важно, и отчасти потому, что иногда IDS не в состоянии предотвратить возникновение инцидента. Например, он может быть не в состоянии остановить изменение содержимого файла на сервере кем-то с правами администратора, но он может поднять флаг и сказать: «Эй, может быть, это то, что вам следует изучить подробнее, просто чтобы быть уверенным, что это не было сделано каким-то вредоносным процессом».

Предлагаю продолжить и разобратся, чем IDS отличается от брандмауэра.

Одна вещь, которая определенно объединяет IDS и брандмауэр, заключается в том, что они оба связаны с безопасностью информационных систем. Часто для безопасности, связанной с сетью, но IDS также может просматривать файловые системы и системные конфигурации. Когда мы смотрели на файлы, мы говорили о брандмауэре, находящемся между злоумышленником и целевой системой, которая, например, является внутренней сетью. Брандмауэры часто существуют, чтобы попытаться ограничить доступ между сетями. Они там, чтобы попытаться предотвратить вторжение.

IDS намного лучше оценивает предполагаемые вторжения, как только они происходят. Они также очень хорошо перехватывают вторжения, происходящие из-за брандмауэра в сети. Некоторые IDS похожи на брандмауэры, потому что они будут учитывать такие вещи, как сетевые коммуникации, но они также могут быть и более сложными. Подобно брандмауэру, IDS может располагаться в нескольких местах инфраструктуры. Например, он может находиться внутри этой внутренней сети, контролируя окружающую среду. Это может означать, что трафик проходит через него, и многие из примеров, которые я собираюсь вам привести, будут относиться к IDS, которые могут перехватывать трафик, и это будет система обнаружения вторжений на сетевом уровне. Но он также может просто находиться на хосте в качестве хост-системы обнаружения вторжений. Мы собираемся поговорить об обоих из них в ближайшее время. Одна из вещей, которая помогает прояснить роль IDS, — это когда мы думаем о том, сколько всего происходит за брандмауэром. Рассмотрим современную Сеть и подумайте обо всех вещах, которые мы прячем за брандмауэром. Одна из вещей, которые у нас есть, это серверы. В наши дни во многих современных сетях есть целая куча таких сетей с внутренними сетевыми сегментами, и у нас также есть такие вещи, как базы данных. Базы данных являются желательными целями для злоумышленников, потому что именно там лежат данные. Подумайте о том, какие способности у нас есть в этой экосистеме для выявления потенциально вредоносной активности, направленной на базу
данных.

У нас также есть много клиентских машин, и неизбежно у нас есть защита от таких, как антивирус. Но это не обязательно помешает злоумышленнику скомпрометировать одну из этих машин и использовать ее в качестве точки опоры для последующего доступа к другим ресурсам. Подумайте и о других вещах, которые мы подключили к Сети в наши дни, например, о принтерах и телефонах. На них были совершены атаки, потому что все они также являются устройствами, подключенными к сети. Например, модифицированная вредоносная прошивка, исходящая от вашего принтера, и все это находится за брандмауэром. Какие существуют возможности для выявления вредоносной активности принтера в отношении других целей в сети? Смартфоны также являются еще одним все более популярным вектором атаки. Это знающие маленькие компьютеры, которые есть у каждого в кармане и часто подключены к той же сети, что и другие устройства. Это не просто мобильные устройства, такие как смартфоны, поскольку эра Интернета вещей означает, что мы получаем все виды других устройств, подключенных к Сети, и мы также видим много уязвимостей в них. Какова защита от вредоносной активности с устройств IoT? Неизбежно, что многие из них являются беспроводными, поэтому у нас есть беспроводные базовые станции. Это привлекательная цель для злоумышленника. Если они могут получить доступ через беспроводную сеть, это вполне может поставить их прямо за брандмауэр. Даже если мы удалим все сетевые компоненты и вернемся к простым физическим носителям, какая у нас будет защита, если что-то вредоносное будет введено в среду через USB? Это очень известный вектор атаки. Антивирус на ПК может отреагировать когда что-то вредоносное начинает взаимодействовать с серверами или базой данных в Сети, но что будет в состоянии определить это ненормальное поведение за брандмауэром и поднять тревогу?

Именно здесь система обнаружения вторжений играет уникальную роль. То, что не может быть выполнено одним брандмауэром. Давайте рассмотрим еще пару фактов, связанных с IDS, прежде чем двигаться дальше. Одна вещь, которую вы можете увидеть, когда дело доходит до IDS, это то, что она упоминается как анализатор пакетов. Сниффер пакетов восходит к аналогии с камерой безопасности. Наблюдать за проходящим трафиком, записывать его, но не обязательно останавливать его от каких-либо вредоносных действий. В этом была суть, и в этом их отличие от брандмауэров. Они, конечно, не собираются его останавливать, но у них часто есть возможность предупредить администратора. Одной из важнейших особенностей IDS является возможность записи, чтобы вы могли вернуться и воспроизвести ее позже. Существуют продукты IDS, которые, например, регистрируют все пакеты, проходящие через сеть. Он может ничего не идентифицировать во время записи, и вполне могут происходить атаки, которых раньше не было. Вы бы даже не знали, что искать, но когда эти пакеты перехватываются, и особенно после выявления новых шаблонов атак, тогда есть возможность вернуться и проверить. Будь то запись этих необработанных пакетов, как это может делать сниффер, или регистрировать события, важной частью IDS является регистрация информации. IDS может обнаружить и сообщить, и это будет очень пассивная система. Он ничего не остановит, он просто будет смотреть на то, что происходит вокруг него, или он может полностью заблокировать. Он обнаружит что-то потенциально вредоносное и остановит его, как мы могли бы видеть с брандмауэром. Как только мы перейдем к этой области, мы поговорим о предотвращении вторжений. Прежде чем двигаться дальше, давайте быстро дадим определение IPS

Основное отличие состоит в том, что когда мы говорим о предотвращении, мы говорим о барьере, о чем-то, что остановит вредоносный трафик. Он может по-прежнему иметь многие другие функции IDS, такие как регистрация трафика и событий, но он будет превентивно останавливать атаки. Вскоре я поделюсь с вами несколькими случаями, когда IDS действительно может действовать как IPS, и вы часто будете видеть, что эти термины используются как взаимозаменяемые. Однако с учетом сказанного давайте двигаться дальше и начнем определять некоторые конкретные классы системы обнаружения вторжений.

Одной из наиболее фундаментальных реализаций IDS является система обнаружения вторжений на основе сигнатур, в которой сигнатуры известны как вредоносные шаблоны. Другими словами, это черный список того, что мы считаем плохим. Представьте, что у нас есть клиент, и клиент будет отправлять запросы через IDS. IDS проанализирует этот трафик и обратится к своей базе данных сигнатур. В двух словах сигнатура представляет собой обширный набор шаблонов, и роль IDS состоит в том, чтобы сопоставить трафик с известными вредоносными шаблонами, а затем сделать запрос о том, проходит ли этот трафик на хост, для которого предназначались данные. В подобном случае IDS может играть роль IPS, если она отбрасывает пакеты с плохой подписью, или она может регистрировать их для последующего просмотра и пропускания трафика, несмотря ни на что. Одна вещь, которая всегда представляет собой риск, называется ложными срабатываниями. Только представь, что, если разрешенный трафик сопоставляется с заведомо плохой сигнатурой? Это делает необходимым правильно поставить подписи.

Было разумно заранее получить сигнатуру, ввести ее в IDS и устранить лежащую в основе уязвимость. Но есть проблема с подписями. Если вы думаете о жизненном цикле подписи, была разработана атака, и подпись взрывала расширение TLS Heartbeat в протоколе SSL. После того, как атака была установлена, и мы знали, что это риск, люди начали готовить подписи, и в итоге системы были защищены. Сигнатура была внедрена в системы обнаружения вторжений. Но у нас был период, когда у нас был пробел, когда стало известно об уязвимости и когда системы были защищены. Это риск, когда дело доходит до подписей, просто потому, что они всегда реактивны. Как только мы узнаем, что что-то плохое, мы можем создать для этого сигнатуру. Но между моментом, когда вы узнаете, что это плохо, и развертыванием сигнатуры, у нас есть основной риск, потому что системы могут оставаться незащищенными в течение некоторого времени. Все сводится к тому, как быстро вы сможете установить эти подписи в свою IDS. Это та же проблема, что и с антивирусом в течение многих лет. IDS очень сильно зависят от поиска известных плохих паттернов, но не очень хороши в поиске неизвестных плохих паттернов. Но у нас есть другие средства защиты, чтобы попытаться заполнить этот пробел. Давайте продолжим и узнаем о IDS на основе статистических аномалий.

IDS на основе статистических аномалий

Ранее, когда мы говорили о брандмауэрах, я упомянул о том, что полезно, а что необычно, и это то, что мы подразумеваем под IDS на основе статистических аномалий. Установление базового уровня того, что мы считаем хорошим, а затем, когда трафик не соответствует этому базовому уровню, он становится аномальным, а затем предположение, что это плохо, и принятие соответствующих мер. В этом большая разница между подходом с использованием черного списка, который представляет собой IDS на основе сигнатур, и подходом с использованием белого списка, который представляет собой IDS на основе статистических аномалий. Все это основано на установлении того, что такое хороший трафик. Все начинается с определения модели аномалии. Когда мы говорили о модели аномалий, мы пытаемся определить, как выглядит наш обычный трафик. Для IDS на основе статистических аномалий это означает, что она нуждается в обучении. Следовательно, IDS должна узнать, что такое ежедневный трафик, как выглядит трафик в нашей Сети, откуда он течет и куда, какие порты он использует, какие протоколы он использует и в какое время суток работает поток трафика. Когда эта модель определена, неизбежно наступает этап тестирования. Вы должны установить, насколько хорошо модель помечает необычный трафик. Например, определяет ли IDS внезапный приток трафика, исходящего с определенного IP-адреса? Или он будет использовать очень незнакомый протокол или порт? И если да, то будет ли это воспринято? Со временем его также необходимо поддерживать, потому что модели трафика меняются. Вы получаете новые приложения, новые устройства, новые сетевые конфигурации, и, не поддерживая постоянно модель аномалий, вы рискуете либо получить ложные срабатывания, так что они перехватывают законный трафик, либо модель аномалий слишком либеральна, и вы подвергаетесь атакам через ограничения модели.

Обнаружение аномалий протокола. Во многих отношениях это более простое предложение, поскольку протоколы основаны на спецификациях. Например, TCP, мы понимаем, как он должен работать, используя трехстороннее рукопожатие. Мы понимаем его конструкцию, и IDS может смотреть на уровне протокола. Кроме того, мы знаем, что в протоколах существуют и другие поведенческие нормы, такие как отсутствие дубликатов Mac-адресов или IP-адресов. Все это определено в спецификациях протокола, и IDS, способная идентифицировать аномальное поведение протокола, может быть чрезвычайно полезным инструментом. Теперь можно гораздо более подробно описать ожидаемые нормы. Например, трафик должен выглядеть так. Если это не выглядит так, то это может быть вредно. У нас все еще есть постоянный риск ложных срабатываний, потому что мы не хотим, чтобы законный трафик классифицировался как плохой. Нам не нужен шум, который достается администраторам, а также нам не нужна блокировка, которая может произойти в среде, более ориентированной на IPS. С другой стороны, легко пропустить атаки, осуществляемые через правильно сформированный трафик. Вернемся к примерам с брандмауэром. Даже если брандмауэр корректно разрешает только TCP-трафик через порты 80 и 443 и отклоняет другой трафик, вы все равно можете проводить очень злонамеренные атаки через TCP. Действительно, часть того, что мы собираемся рассмотреть в главах об уклонении, — это способы, которыми мы можем передавать трафик через IDS, который не активирует его, но содержит вредоносную полезную нагрузку. В этом суть уклонения от IDS. Давайте продолжим и рассмотрим различные модели развертывания IDS в организации, начиная с IDS на основе сети.

Сетевые IDS

Пришло время рассмотреть несколько различных способов реализации IDS в среде. Система обнаружения вторжений в сеть, сокращенно называемая NIDS, является одной из наиболее распространенных реализаций. Название говорит само за себя, оно будет находиться на сетевом уровне. Мы хотим видеть трафик, проходящий через него. Это может означать, что у вас есть одна или несколько NIDS, находящихся в среде, в зависимости от того, как проходит ваш трафик и какой трафик вы хотите отслеживать. В идеале вы должны перехватывать не только входящий и исходящий трафик из Сети, но и трафик внутри Сети. Вспомните ранее, когда мы рассматривали все различные устройства, которые у нас есть в Сети сегодня. Система обнаружения вторжений в сеть — это подходящее устройство для выявления многих рисков, которые могут возникнуть из-за них, если она может находиться в трафике и наблюдать за пакетами. Давайте углубимся в это немного глубже. Часто вы увидите сетевую систему обнаружения вторжений, отслеживающую трафик в определенной подсети. Одной из наиболее распространенных реализаций является мониторинг входящего и исходящего трафика этой подсети — входящего и исходящего трафика. Как насчет сжатых данных? Как насчет зашифрованных данных? Как IDS справляется с этим? По мере того, как мы начинаем переходить к этим более сложным моделям, становится все труднее обнаруживать вторжения в сеть. Система, чтобы играть эту роль. Но есть несколько способов развертывания NIDS. Одна из них — онлайн-модель. Здесь мы смотрим на весь трафик, проходящий через это устройство в режиме реального времени. Это дает ему возможность выполнять только обнаружение или защиту и начинать отбрасывать потенциально вредоносные пакеты.

Хост-система обнаружения вторжений

Когда мы говорим о системе обнаружения вторжений хоста, также известной как HIDS, как следует из этого термина, мы рассматриваем IDS, которая работает на отдельном хосте, а не сидит в сети перед разными устройствами. Иногда вы также можете увидеть, что это называется системой HIPS, также известной как Host Intrusion Protection or Prevention System. Так же, как IDS и IPS, у нас есть HIDS и HIPS. Это похоже на то, что мы рассмотрели в отношении брандмауэров. Часто это будут устройства, которые находятся в сети и защищают несколько систем, в то время как в других случаях вы можете увидеть, как они правильно работают на хосте. Очень часто это комбинация обоих, и то же самое и с IDS. У нас может быть определенная система обнаружения вторжений хоста, расположенная на одном ключевом элементе инфраструктуры в среде, которая также защищена системой обнаружения вторжений в сеть. Давайте углубимся в системы обнаружения вторжений хоста. Есть несколько преимуществ запуска IDS на самом хосте, и одно из них заключается в том, что его можно очень точно настроить для этого хоста. Что именно этот хост должен делать? Какой трафик он ожидает отправлять и отправлять? Вероятно, это гораздо более строгий набор правил, чем более широкая Сеть. Например, хост-система обнаружения вторжений для сервера базы данных будет отличаться от системы для веб-сервера, но если они оба находятся за одной сетевой системой обнаружения вторжений, то NIDS должна иметь комбинированные правила для обоих. В то время как отдельные системы HIDS на веб-сервере и в базе данных могут быть специально настроены для HTTP-трафика порта 80, а не для порта 1433, идущего в базу данных, система обнаружения вторжений хоста также может просматривать файлы в системе.

Мониторинг сетевого трафика имеет большое значение. Часто именно так злоумышленники проникают в окружающую среду в первую очередь, или, по крайней мере, когда мы говорим о таком векторе атаки, как USB-накопитель. Но, как вы узнаете позже, когда мы перейдем к методам уклонения, обнаружение атак в Сети также не является надежным. Возможность посмотреть, что происходит в файловой системе, помимо сети, может быть очень ценной. IDS, настроенная специально для хоста, за которым ведется мониторинг, может делать это исключительно хорошо. Это также лучше для выявления инсайдерских злоупотреблений. В основном там, где это внутреннее может находиться в подсети, которую в противном случае защищала бы система обнаружения сетевых вторжений. Что, если они уже позади, верно? Если инсайдер принудительно проходит через систему обнаружения вторжений хоста или если она может идентифицировать изменения, которые они вносят в систему, то это дает защитное преимущество, которого вы не получаете на самом сетевом уровне. Одна из вещей, которую инсайдер или другой класс злоумышленников часто хочет изменить, — это конфигурация. Хост-система обнаружения вторжений может быть очень эффективным способом изучения конфигурации машины. Например, изменились ли на нем списки управления доступом к машине? Или другие изменения конфигурации, которые могут сделать его более доступным? Администратор должен знать об изменении конфигурации, поэтому возможность оповещения администраторов может быть чрезвычайно ценной. Это NIDS и HIDS. Давайте продолжим и очень кратко коснемся нескольких других классов IDS-ов.

Классы IDS

Мы рассмотрели IDS на основе сети и IDS на основе хоста. Теперь давайте очень кратко коснемся трех других классов IDS. Одним из них является мониторинг лог-файлов. Файлы журнала могут содержать ценные данные. Например, если у вас есть сервер веб- приложений, подумайте о вредоносных действиях, которые регистрируются. Прекрасным примером являются атаки с внедрением SQL-кода, а еще одним прекрасным примером является обход каталога — прямое манипулирование ссылками на объекты. Все эти различные классы атак будут регистрироваться в файлах журнала веб-сервера. Файл журнала мониторинга IDS, который может просматривать и просматривать эти файлы журнала, может выявить атаки на очень ранней стадии. Он не сможет защитить, потому что просматривает лог-файлы, которые записываются после того, как запрос уже пришел и был обработан. Но это может быть механизм раннего обнаружения. Проверка целостности файлов, а также. Подумайте об атаках, таких как программы-вымогатели. Это отличный пример того, как файлы могут быть изменены, и их целостность может быть существенно изменена. Вредоносное программное обеспечение, которое пытается зашифровать данные, такие как Word или любые документы Excel, может быть идентифицировано с помощью проверки целостности файла. Другой класс IDS — это система проверки целостности. Теперь мы говорим о возможности просматривать такие вещи, как изменения в реестре. Очень похоже на IDS на основе хоста, но очень специфично для общей целостности среды.

Изменения в реестре — это именно то, что злоумышленник хотел бы сделать, чтобы ослабить целевую среду и дать больший контроль над системой. Все эти моделиразвиваются. Защитники лучше выявляют вредоносные атаки, а злоумышленники проявляют больше изобретательности в поиске новых и оригинальных способов проникновения в системы. Как один улучшается, то это привлекает другого, чтобы стать лучше. Затем другой становится лучше, и они продолжают совершенствовать друг друга в возможностях.