ВУЗ:
Составители:
Характерная особенность протоколирования и аудита – зависимость от других средств безопасности. Идентификация и
аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфи-
денциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические
методы.
Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно, в первую очередь, как
сдерживающее средство. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воз-
держатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно
регистрировать все его действия, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность рас-
следования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют
данные до и после модификации). Тем самым защищается целостность информации.
Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторже-
ния, оценить масштабы причиненного ущерба и вернуться к нормальной работе.
Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие
места, можно переконфигурировать или перенастроить систему, снова измерить производительность и т.д.
Непросто осуществить организацию согласованного протоколирования и аудита в распределенной разнородной систе-
ме. Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими
ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами, которые возьмут протоколирова-
ние на себя. Во-вторых, необходимо увязывать между собой события в разных сервисах.
11.2. Активный аудит
Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, яв-
ляющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно
принятым критериям).
Задача активного аудита – оперативно выявлять подозрительную активность и предоставлять средства для автоматиче-
ского реагирования на нее.
Активность, не соответствующую политике безопасности, целесообразно разделить на атаки, направленные на неза-
конное получение полномочий, и на действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику
безопасности.
Атаки нарушают любую осмысленную политику безопасности. Иными словами, активность атакующего является раз-
рушительной независимо от политики. Следовательно, для описания и выявления атак можно применять универсальные ме-
тоды, инвариантные относительно политики безопасности, такие как сигнатуры и их обнаружение во входном потоке собы-
тий с помощью аппарата экспертных систем.
Сигнатура атаки – это совокупность условий, при выполнении которых атака считается имеющей место, что вызывает
заранее определенную реакцию. Простейший пример сигнатуры – "зафиксированы три последовательные неудачные попыт-
ки входа в систему с одного терминала", пример ассоциированной реакции – блокирование терминала до прояснения ситуа-
ции.
Действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику безопасности, мы будем называть
злоупотреблением полномочиями. Злоупотребления полномочиями возможны из-за неадекватности средств разграничения
доступа выбранной политике безопасности. Простейшим примером злоупотреблений является неэтичное поведение супер-
пользователя, просматривающего личные файлы других пользователей. Анализируя регистрационную информацию, можно
обнаружить подобные события и сообщить о них администратору безопасности, хотя для этого необходимы соответствую-
щие средства выражения политики безопасности.
Выделение злоупотреблений полномочиями в отдельную группу неправомерных действий, выявляемых средствами ак-
тивного аудита, не является общепринятым, но подобный подход имеет право на существование.
Нетипичное поведение выявляется статистическими методами. В простейшем случае применяют систему порогов, пре-
вышение которых является подозрительным. В более развитых системах производится сопоставление долговременных ха-
рактеристик работы (называемых долгосрочным профилем) с краткосрочными профилями. (Здесь можно усмотреть анало-
гию биометрической аутентификации по поведенческим характеристикам.)
Применительно к средствам активного аудита различают ошибки первого и второго рода: пропуск атак и ложные тре-
воги. Нежелательность ошибок первого рода очевидна; ошибки второго рода – отвлекают администратора безопасности от
действительно важных дел, косвенно способствуя пропуску атак.
Достоинства сигнатурного метода – высокая производительность, малое число ошибок второго рода, обоснованность
решений. Основной недостаток – неумение обнаруживать неизвестные атаки и вариации известных атак.
Основные достоинства статистического подхода – универсальность и обоснованность решений, потенциальная способ-
ность обнаруживать неизвестные атаки, т.е. минимизация числа ошибок первого рода. Минусы заключаются в относительно
высокой доле ошибок второго рода, плохой работе в случае, когда неправомерное поведение является типичным, когда ти-
пичное поведение плавно меняется от легального к неправомерному, а также в случаях, когда типичного поведения нет (как
показывает статистика, примерно 5…10 %).
Средства активного аудита могут располагаться на всех линиях обороны информационной системы. На границе контроли-
руемой зоны они могут обнаруживать подозрительную активность в точках подключения к внешним сетям (не только попытки
нелегального проникновения, но и действия по "прощупыванию" сервисов безопасности). В корпоративной сети, в рамках ин-
формационных сервисов и сервисов безопасности, активный аудит в состоянии обнаружить и пресечь подозрительную актив-
ность внешних и внутренних пользователей, выявить проблемы в работе сервисов, вызванные как нарушениями безопасности,
так и аппаратно-программными ошибками. Важно отметить, что активный аудит, в принципе, способен обеспечить защиту от
атак на доступность.
