Сравнительный анализ функциональных возможностей программно-аппаратных систем обнаружения компьютерных атак

В работе представлен сравнительный анализ основных функциональных возможностей систем обнаружения компьютерных атак (СОА), которые в настоящее время активно используются в рамках реализации процесса оценки состояния защищенности объектов критической информационной инфраструктуры Российской Федерации (ОКИИ РФ) [1]. Определен перечень преимуществ и недостатков анализируемых СОА, который позволяет сформулировать возможные направления теоретических исследований в соответствующей предметной области, а также обеспечивает повышение эффективности деятельности специалиста по обеспечению безопасности информации (ОБИ), связанной с принятием решения по построению наиболее рациональной структуры системы обнаружения, предупреждения и ликвидации компьютерных атак (СОПКА) на ОКИИ РФ.

Ключевые слова: компьютерные атаки, системы обнаружения компьютерных атак, информационная безопасность.

Своевременная реализация процесса обнаружения компьютерных атак на ОКИИ РФ является одной из основных функций в деятельности специалиста по ОБИ. Ввиду важности этой функции ее часто отделяют от других функций СОПКА и реализуют специальными системами, такими как СОА.

СОА — это программная или программно-аппаратная система, предназначенная для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими в основном через Интернет [2]. Требования к данному средству защиты информации (СЗИ) утверждены Федеральной службой по техническому и экспортному контролю (ФСТЭК) России № 638 от 6 декабря 2011 г. и вступили в действие с 15 марта 2012 года. В настоящее время существует 2 типа СОА (по месту установки):

– СОА уровня сети: датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы (ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОА уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС);

– СОА уровня узла (хоста): датчики СОА уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы ИС и предназначенные для сбора информации о событиях, возникающих на этих узлах.

Для представленных типов СОА определены 6 классов защиты: чем выше класс (1 — самый высокий), тем больше к ним предъявляется требований и тем выше класс систем, в которых они могут применяться (например, государственные информационные системы (ГИС), автоматизированные системы управления (АСУ), информационные системы персональных данных (ИСПДн), системы значимых объектов КИИ) [3, 4].

В таблицах 1, 2 представлены современные сертифицированные по текущим требованиям ФСТЭК СОА, которые сгруппированны по классам защищенности и месту установки в сети.

Таблица 1

СОА уровня сети

СОА уровня узла (хоста)

Однако, наличие сертификата и класса защищенности у СОА не является необходимой и достаточной информацией для окончательного ее выбора, реализуемого при построении наиболее рациональной структуры СОПКА на ОКИИ РФ. Другой не менее важной характеристикой СОА является способ анализа сетевого трафика, к которому относятся сигнатурный, поведенческий (эвристический), ретроспективный (статистический) анализ.

Сигнатурный анализ трафика — это способ обнаружения вредоносной активности в сети, основанный на реализации процесса сравнения значения хеш-функции проверяемого объекта с базой известных вредоносных сигнатур. После идентификации угрозы отправитель блокируется, а администратору передается тревожное сообщение.

Поведенческий (эвристический) анализ трафика — это способ, основанный на анализе поведения трафика запущенного приложения. До тех пор, пока приложение запущено, оно генерирует динамичный трафик, который также может быть идентифицирован и подвергнут маркировке. Например, BitTorrent генерирует трафик с определенной последовательностью пакетов, обладающих одинаковыми признаками (входящий и исходящий порт, размер пакета, число открываемых сессий в единицу времени), по поведенческой (эвристической) модели его можно классифицировать [5].

Ретроспективный анализ трафика — это способ детального исследования образов систем, журналов событий, дампов памяти и сетевого трафика за определенный промежуток времени в прошлом с целью выявления следов компрометации. Он дает специалистам по ОБИ возможность смотреть на активы организации так, как будто у них есть «машина времени».

Таким образом, основной проблемой в выборе оптимальной СОА, является большое разнообразие предложений на рынке информационной безопасности, а также отсутствие формализованных подходов к реализации процесса принятия решения по построению наиболее рациональной структуры СОПКА на ОКИИ РФ, что свидетельствует о необходимости проведения теоретических исследований в соответствующей предметной области.

В рамках решения выявленных проблем, осуществим сравнительный анализ существующих СОА без учета установки на них дополнительных утилит и по наиболее приоритетным базовым функциональным возможностям, которые обеспечивают реализацию процесса обнаружения КА на ОКИИ.

Выбор СОА, подлежащих сравнительному анализу их функциональных возможностей, был обусловлен следующим:

– популярностью и доступностью решений;

– авторитетностью вендоров;

– наличием расширенного перечня базовых функциональных возможностей СОА.

Таким образом, сравнительный анализ функциональных возможностей СОА сведем в таблицу 3.

Таблица 3

Сравнительный анализ функциональных возможностей СОА

Исходя из таблицы 3, можно сделать вывод, что по количеству реализуемых функциональных возможностей, СОА ATELL NEO 1.5 является наиболее эффективной. Однако, стоит заметить, что окончательный выбор СОА может также зависеть от специальных требований организаций, в которых планируется эксплуатация данной системы.

В завершении отметим, что несмотря на все преимущества, представленные в таблице 3, всем СОА присущ общий ряд недостатков:

1. Отсутствует централизованное автоматизированное управление и мониторинг состояния СОА.
2. Не все СОА поддерживают интеграцию с глобальной политикой безопасности организации [6].
3. Маскирование деятельности СОА практически не поддерживается.
4. Наличие зависимости эффективности процесса функционирования СОА от полноты и точности базы решающих правил, содержащих сигнатуры известных сетевых КА, которые требуют постоянного обновления.
5. Системы, функционирующие по принципам эвристического обнаружения компьютерных атак требуют постоянного обучения анализатора на основе нормального и аномального сетевого траффика.
6. СОА отрицательно влияют на общую производительность ИТКС.
7. С течением времени системы, основанные на ретроспективных анализаторах, могут быть «переобучены» нарушителями так, чтобы атакующие действия рассматривались как легитимные.

Вывод. На основе проведенного сравнительного анализа функциональных возможностей СОА, определён перечень преимуществ и недостатков данного класса СЗИ, который позволяет сформулировать возможные направления теоретических исследований в соответствующей предметной области. В частности, указанный перечень свидетельствует о необходимости разработки гибридной модели (способа) обнаружения компьютерных атак, лишенной отдельных функциональных недостатков и обеспечивающей повышение эффективности деятельности специалиста по ОБИ, связанной с принятием решения по построению наиболее рациональной структуры системы обнаружения, предупреждения и ликвидации компьютерных атак на ОКИИ РФ.

Литература:

1. Коноваленко С. А., Королев И. Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей // Альманах современной науки и образования. — Тамбов: Грамота, 2016. — С. 60–66.
2. Коноваленко С. А., Королев И. Д. Анализ систем мониторинга вычислительных сетей // Молодой ученый. —: Молодой ученый, 2016. — С. 66–72.
3. Беседин С. А. [и другие]. Современные требования к построению перспективных систем управления информационной безопасностью // Сборник научных трудов международной научно-технической конференции 28.06.2019. — Белгород: АПНИ, 2019. — С. 66–72.
4. Алексей Комаров — Системы обнаружения вторжений, сертифицированные по новым требованиям // URL: https://www.securitylab.ru/blog/personal/zlonov/344641.php (дата обращения: 21.02.2020).
5. Как ретроспективный анализ помогает выявлять атаки // Блог компании Positive Technologies. URL: https://www.ptsecurity.com/ru-ru/research/knowledge-base/kak-retrospektivnyy-analiz-pomogaet-vyyavlyat-ataki/ (дата обращения: 21.02.2020).
6. Документация Microsoft — Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей // Microsoft. URL: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/network-access-sharing-and-security-model-for-local-accounts (дата обращения: 21.02.2020).