Введение
Атаканакомпьютерную систему — это действие, предпринимаемое злоумышленником, котороезаключается в поиске и использовании той или иной уязвимости. Таким образом,атака — это реализация угрозы. Заметим, что такое толкование атаки (с участиемчеловека, имеющего злой умысел), исключает присутствующий в определении угрозыэлемент случайности, но, как показывает опыт, часто бывает невозможно различитьпреднамеренные и случайные действия, и хорошая система защиты должна адекватнореагировать на любое из них.
Далее, исследователиобычно выделяют три основных вида угроз безопасности — это угрозы раскрытия,целостности и отказа в обслуживании.
Угроза раскрытиязаключается том, что информация становится известной тому, кому не следовало быее знать. В терминах компьютерной безопасности угроза раскрытия имеет местовсякий раз, когда получен доступ к некоторой конфиденциальной информации,хранящейся в вычислительной системе или передаваемой от одной системы к другой.Иногда вместо слова «раскрытие» используются термины«кража» или «утечка».
Угроза целостностивключает в себя любое умышленное изменение (модификацию или даже удаление)данных, хранящихся в вычислительной системе или передаваемых из одной системы вдругую. Обычно считается, что угрозе раскрытия подвержены в большей степенигосударственные структуры, а угрозе целостности — деловые или коммерческие.
Угроза отказа вобслуживании возникает всякий раз, когда в результате некоторых действийблокируется доступ к некоторому ресурсу вычислительной системы. Реальноблокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда небыл получен, или оно может вызвать только задержку запрашиваемого ресурса,достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят,что ресурс исчерпан.
Типичнымиугрозами в среде Интернета являются:
· Сбой в работеодной из компонент сети. Сбой из-за ошибок при проектировании или ошибокоборудования или программ может привести к отказу в обслуживании иликомпрометации безопасности из-за неправильного функционирования одной изкомпонент сети. Выход из строя брандмауэра или ложные отказы в авторизациисерверами аутентификации являются примерами сбоев, которые оказывают влияние набезопасность.
· Сканированиеинформации. Неавторизованный просмотр критической информации злоумышленникамиили авторизованными пользователями может происходить, с использованиемразличных механизмов — электронное письмо с неверным адресатом, распечаткапринтера, неправильно сконфигурированные списки управления доступом, совместноеиспользование несколькими людьми одного идентификатора и т.д.
· Использованиеинформации не по назначению — использование информации для целей, отличных отавторизованных, может привести к отказу в обслуживании, излишним затратам,потере репутации. Виновниками этого могут быть как внутренние, так и внешниепользователи.
· Неавторизованноеудаление, модификация или раскрытие информации — специальное искажениеинформационных ценностей, которое может привести к потере целостности иликонфиденциальности информации.
· Проникновение — атака неавторизованных людей или систем, которая может привести к отказу вобслуживании или значительным затратам на восстановление после инцидента.
· Маскарад — попытки замаскироваться под авторизованного пользователя для кражи сервисов илиинформации, или для инициации финансовых транзакций, которые приведут кфинансовым потерям или проблемам для организации.
Исходяиз выше сказанного, целью своей работы по теме «Обеспечение Информационнойбезопасности в сетях Internet» яставлю следующее: Раскрыть сущность действий представляющих реальные угрозы вкомпьютерной сети, для выработки самостоятельной стратегии и тактики защиты отвирусных атак.
Длядостижения цели хочу рассмотреть следующие задачи:
1. Показать системы обнаружения вирусныхатак и их преимущества.
2. Установить статистику вирусных атак.
3. Выяснить методы защиты от удаленныхатак в сети Internet.
4. Выработать рекомендацию по сохранениюинформации и контроль над ней в сети Internet.
Заключение:
На основании всех вышеизложенных фактов и полученный в ходе исследования информации могу определитьследующие выводы:
На мой взгляд в сети недолжна находиться информация, раскрытия которой приведет к серьезнымпоследствиям. При этом всегда необходимо учитывать тот факт, что в любой моментэта информация может быть перехвачена, искажена или может стать недоступной.Выход из сложившегося положения состоит в четком разграничении информации,представляющей жизненный интерес для субъектов – пользователей – и созданияспециализированных систем ее обработки.
1.Обнаружение атак
Исторически так сложилось, что технологии, по которымстроятся системы обнаружения атак, принято условно делить на две категории:обнаружение аномального поведения (anomaly detection) и обнаружениезлоупотреблений (misuse detection). Однако в практической деятельностиприменяется другая классификация, учитывающая принципы практической реализациитаких систем: обнаружение атак на уровне сети (network-based) и на уровне хоста(host-based). Первые системы анализируют сетевой трафик, в то время каквторые — регистрационные журналы операционной системы или приложения.Каждый из классов имеет свои достоинства и недостатки, но об этом чуть позже.Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначноотнесены к одному из названных классов. Как правило, они включают в себявозможности нескольких категорий. Тем не менее эта классификация отражаетключевые возможности, отличающие одну систему обнаружения атак от другой.
В настоящий момент технология обнаружения аномалий неполучила широкого распространения, и ни в одной коммерчески распространяемойсистеме она не используется. Связано это с тем, что данная технология красивовыглядит в теории, но очень трудно реализуется на практике. Сейчас, однако,наметился постепенный возврат к ней (особенно в России), и можно надеяться, чтов скором времени пользователи смогут увидеть первые коммерческие системыобнаружения атак, работающие по этой технологии.
Другой подход к обнаружению атак — обнаружениезлоупотреблений, которое заключается в описании атаки в виде шаблона (pattern)или сигнатуры (signature) и поиска данного шаблона в контролируемомпространстве (сетевом трафике или журнале регистрации). Антивирусные системыявляются ярким примером системы обнаружения атак, работающей по этойтехнологии.
Как уже было отмечено выше, существует два классасистем, обнаруживающих атаки на сетевом и операционном уровне. Принципиальноепреимущество сетевых (network-based) систем обнаружения атак состоит в том, чтоони идентифицируют нападения прежде, чем те достигнут атакуемого узла. Этисистемы более просты для развертывания в крупных сетях, потому что не требуютустановки на различные платформы, используемые в организации. В Россиинаибольшее распространение получили операционные системы MS-DOS, Windows 95,NetWare и Windows NT. Различные диалекты UNIX у нас пока не столь широкораспространены, как на Западе. Кроме того, системы обнаружения атак на уровнесети практически не снижают производительности сети.
Системы обнаружения атак на уровне хоста создаются дляработы под управлением конкретной операционной системы, что накладывает на нихопределенные ограничения. Например, мне не известна ни одна система этогокласса, функционирующая под управлением MS-DOS или Windows for Workgroups (аведь эти операционные системы еще достаточно распространены в России).Используя знание того, как должна «вести» себя операционная система, средства,построенные с учетом этого подхода, иногда могут обнаружить вторжения,пропускаемые сетевыми средствами обнаружения атак. Однако зачастую этодостигается дорогой ценой, потому что постоянная регистрация, необходимая длявыполнения подобного рода обнаружения, существенно снижает производительностьзащищаемого хоста. Такие системы сильно загружают процессор и требуют большихобъемов дискового пространства для хранения журналов регистрации и, в принципе,не применимы для высококритичных систем, работающих в режиме реального времени(например, система «Операционный день банка» или система диспетчерскогоуправления). Однако, несмотря ни на что, оба эти подхода могут быть примененыдля защиты вашей организации. Если вы хотите защитить один или несколько узлов,то системы обнаружения атак на уровне хоста могут стать неплохим выбором. Ноесли вы хотите защитить большую часть сетевых узлов организации, то системыобнаружения атак на уровне сети, вероятно, будут наилучшим выбором, посколькуувеличение количества узлов в сети никак не скажется на уровне защищенности,достигаемом при помощи системы обнаружения атак. Она сможет без дополнительнойнастройки защищать дополнительные узлы, в то время как в случае применениясистемы, функционирующей на уровне хостов, понадобится ее установка и настройкана каждый защищаемый хост. Идеальным решением стала бы система обнаруженияатак, объединяющая в себе оба эти подхода.[1]Существующиесегодня на рынке коммерческие системы обнаружения атак (Intrusion DetectionSystems, IDS) используют для распознавания и отражения атак либо сетевой, либосистемный подход. В любом случае эти продукты ищут сигнатуры атак, специфическиешаблоны, которые обычно указывают на враждебные или подозрительные действия. Вслучае поиска этих шаблонов в сетевом трафике, IDS работает на сетевомуровне. Если IDS ищет сигнатуры атак в журналах регистрацииоперационной системы или приложения, то это системный уровень. Каждыйподход имеет свои достоинства и недостатки, но они оба дополняют друг друга.Наиболее эффективной является система обнаружения атак, которая использует всвоей работе обе технологии. В данном материале обсуждаются различия в методахобнаружения атак на сетевом и системном уровнях с целью демонстрации их слабыхи сильных сторон. Также описываются варианты применения каждого из способов длянаиболее эффективного обнаружения атак.1.1. Обнаружение атакна сетевом уровне
Системы обнаружения атак сетевого уровня используют в качествеисточника данных для анализа необработанные (raw) сетевые пакеты. Как правило,IDS сетевого уровня используют сетевой адаптер, функционирующий в режиме«прослушивания » (promiscuous), и анализируют трафик в реальноммасштабе времени по мере его прохождения через сегмент сети. Модульраспознавания атак использует четыре широко известных метода для распознаваниясигнатуры атаки:
o Соответствиетрафика шаблону (сигнатуре), выражению или байткоду, характеризующих об атакеили подозрительном действии;
o Контроль частотысобытий или превышение пороговой величины;
o Корреляциянескольких событий с низким приоритетом;
o Обнаружениестатистических аномалий.
Как только атака обнаружена, модуль реагирования предоставляет широкийнабор вариантов уведомления, выдачи сигнала тревоги и реализации контрмер вответ на атаку. Эти варианты изменяются от системы к системе, но, как правило,включают в себя: уведомление администратора через консоль или по электроннойпочте, завершение соединения с атакующим узлом и/или запись сессии дляпоследующего анализа и сбора доказательств.1.2. Обнаружение атакна системном уровне
В начале 80-х годов, еще до того, как сети получилисвое развитие, наиболее распространенная практика обнаружения атак заключаласьв просмотре журналов регистрации на предмет наличия в них событий,свидетельствующих о подозрительной активности. Современные системы обнаруженияатак системного уровня остаются мощным инструментом для понимания ужеосуществленных атак и определения соответствующих методов для устранениявозможностей их будущего применения. Современные IDS системного уровняпо-прежнему используют журналы регистрации, но они стали болееавтоматизированными и включают сложнейшие методы обнаружения, основанные нановейших исследованиях в области математики. Как правило, IDS системного уровняконтролируют систему, события и журналы регистрации событий безопасности(security log или syslog) в сетях, работающих под управлением Windows NT илиUnix. Когда какой-либо из этих файлов изменяется, IDS сравнивает новые записи ссигнатурами атак, чтобы проверить, есть ли соответствие. Если такоесоответствие найдено, то система посылает администратору сигнал тревоги илиприводит в действие другие заданные механизмы реагирования.
IDS системного уровня постоянно развиваются,постепенно включая все новые и новые методы обнаружения. Один их такихпопулярных методов заключается в проверке контрольных сумм ключевых системных иисполняемых файлов через регулярные интервалы времени на предметнесанкционированных изменений. Своевременность реагирования непосредственносвязана с частотой опроса. Некоторые продукты прослушивают активные порты иуведомляют администратора, когда кто-то пытается получить к ним доступ. Такойтип обнаружения вносит в операционную среду элементарный уровень обнаруженияатак на сетевом уровне.1.3. Достоинства систем обнаружения атак на сетевом уровне
IDS сетевого уровня имеют много достоинств, которые отсутствуют всистемах обнаружения атак на системном уровне. В действительности, многиепокупатели используют систему обнаружения атак сетевого уровня из-за ее низкойстоимости и своевременного реагирования. Ниже представлены основные причины,которые делают систему обнаружение атак на сетевом уровне наиболее важнымкомпонентом эффективной реализации политики безопасности.
1. Низкаястоимость эксплуатации.IDSсетевого уровня необходимо устанавливать в наиболее важных местах сети дляконтроля трафика, циркулирующего между многочисленных систем. Системы сетевогоуровня не требуют, чтобы на каждом хосте устанавливалось программноеобеспечение системы обнаружения атак. Поскольку для контроля всей сети числомест, в которых установлены IDS невелико, то стоимость их эксплуатации в сетипредприятия ниже, чем стоимость эксплуатации систем обнаружения атак насистемном уровне.
2. Обнаружениеатак, которые пропускаются на системном уровне.IDS сетевого уровня изучают заголовки сетевых пакетовна наличие подозрительной или враждебной деятельности. IDS системного уровня неработают с заголовками пакетов, следовательно, они не могут определять эти типыатак. Например, многие сетевые атаки типа «отказ в обслуживании»(«denial-of-service») и «фрагментированный пакет»(TearDrop) могут быть идентифицированы только путем анализа заголовков пакетов,по мере того, как они проходят через сеть. Этот тип атак может быть быстроидентифицирован с помощью IDS сетевого уровня, которая просматривает трафик вреальном масштабе времени. IDS сетевого уровня могут исследовать содержаниетела данных пакета, отыскивая команды или определенный синтаксис, используемыев конкретных атаках. Например, когда хакер пытается использовать программу BackOrifice на системах, которые пока еще не поражены ею, то этот факт может бытьобнаружен путем исследования именно содержания тела данных пакета. Какговорилось выше, системы системного уровня не работают на сетевом уровне, ипоэтому не способны распознавать такие атаки.
3. Для хакераболее трудно удалить следы своего присутствия. IDS сетевого уровня используют «живой»трафик при обнаружении атак в реальном масштабе времени. Таким образом, хакерне может удалить следы своего присутствия. Анализируемые данные включают нетолько информацию о методе атаки, но и информацию, которая может помочь приидентификации злоумышленника и доказательстве в суде. Поскольку многие хакерыхорошо знакомы с журналами регистрации, они знают, как манипулировать этимифайлами для скрытия следов своей деятельности, снижая эффективность системсистемного уровня, которым требуется эта информация для того, чтобы обнаружитьатаку.
4. Обнаружениеи реагирование в реальном масштабе времени.IDS сетевого уровня обнаруживают подозрительные ивраждебные атаки ПО МЕРЕ ТОГО, КАК ОНИ ПРОИСХОДЯТ, и поэтому обеспечиваютгораздо более быстрое уведомление и реагирование, чем IDS системного уровня.Например, хакер, инициирующий атаку сетевого уровня типа «отказ вобслуживании» на основе протокола TCP, может быть остановлен IDS сетевогоуровня, посылающей установленный флаг Reset в заголовке TCP-пакета длязавершения соединения с атакующим узлом, прежде чем атака вызовет разрушенияили повреждения атакуемого хоста. IDS системного уровня, как правило, нераспознают атаки до момента соответствующей записи в журнал и предпринимаютответные действия уже после того, как была сделана запись. К этому моментунаиболее важные системы или ресурсы уже могут быть скомпрометированы илинарушена работоспособность системы, запускающей IDS системного уровня.Уведомление в реальном масштабе времени позволяет быстро среагировать всоответствии с предварительно определенными параметрами. Диапазон этих реакцийизменяется от разрешения проникновения в режиме наблюдения для того, чтобысобрать информацию об атаке и атакующем, до немедленного завершения атаки.
5. Обнаружениенеудавшихся атак или подозрительных намерений.IDSсетевого уровня, установленная с наружной стороны межсетевого экрана (МСЭ),может обнаруживать атаки, нацеленные на ресурсы за МСЭ, даже несмотря на то,что МСЭ, возможно, отразит эти попытки. Системы системного уровня не видятотраженных атак, которые не достигают хоста за МСЭ. Эта потерянная информацияможет быть наиболее важной при оценке и совершенствовании политикибезопасности.
6. Независимостьот ОС.IDS сетевого уровня не зависятот операционных систем, установленных в корпоративной сети. Системы обнаруженияатак на системном уровне требуют конкретных ОС для правильного функционированияи генерации необходимых результатов. 1.4. Достоинства систем обнаружения атаксистемного уровня
И хотя системы обнаружения атак системного уровня не столь быстры, каких аналоги сетевого уровня, они предлагают преимущества, которых не имеютпоследние. К этим достоинствам можно отнести более строгий анализ, пристальноевнимание к данным о событии на конкретном хосте и более низкая стоимостьвнедрения.
1. Подтверждаютуспех или отказ атаки.ПосколькуIDS системного уровня используют журналы регистрации, содержащие данные особытиях, которые действительно имели место, то IDS этого класса могут с высокойточностью определять – действительно ли атака была успешной или нет. В этомотношении IDS системного уровня обеспечивают превосходное дополнение к системамобнаружения атак сетевого уровня. Такое объединение обеспечивает раннеепредупреждение при помощи сетевого компонента и «успешность» атакипри помощи системного компонента.
2. Контролируетдеятельность конкретного узла. IDSсистемного уровня контролирует деятельность пользователя, доступ к файлам,изменения прав доступа к файлам, попытки установки новых программ и/или попыткиполучить доступ к привилегированным сервисам. Например, IDS системного уровняможет контролировать всю logon- и logoff-деятельность пользователя, а такжедействия, выполняемые каждым пользователем при подключении к сети. Для системысетевого уровня очень трудно обеспечить такой уровень детализации событий.Технология обнаружения атак на системном уровне может также контролироватьдеятельность, которая обычно ведется только администратором. Операционныесистемы регистрируют любое событие, при котором добавляются, удаляются илиизменяются учетные записи пользователей. IDS системного уровня могутобнаруживать соответствующее изменение сразу, как только оно происходит. IDSсистемного уровня могут также проводить аудит изменений политики безопасности,которые влияют на то, как системы осуществляют отслеживание в своих журналахрегистрации и т.д.
В конечном итоге системы обнаружения атак на системном уровне могутконтролировать изменения в ключевых системных файлах или исполняемых файлах. Попыткиперезаписать такие файлы или инсталлировать «троянских коней» могутбыть обнаружены и пресечены. Системы сетевого уровня иногда упускают такой типдеятельности.
3. Обнаружениеатак, которые упускают системы сетевого уровня. IDS системного уровня могут обнаруживать атаки,которые не могут быть обнаружены средствами сетевого уровня. Например, атаки,осуществляемые с самого атакуемого сервера, не могут быть обнаружены системамиобнаружения атак сетевого уровня.
4. Хорошоподходит для сетей с шифрованием и коммутацией.ПосколькуIDS системного уровня устанавливается на различных хостах сети предприятия, онаможет преодолеть некоторые из проблем, возникающие при эксплуатации системсетевого уровня в сетях с коммутацией и шифрованием. Коммутация позволяетуправлять крупномасштабными сетями, как несколькими небольшими сетевымисегментами. В результате бывает трудно определить наилучшее место для установкиIDS сетевого уровня. Иногда могут помочь административные порты (managed ports)и порты отражения (mirror ports, span ports) трафика на коммутаторах, но этиметоды не всегда применимы. Обнаружение атак на системном уровне обеспечиваетболее эффективную работу в коммутируемых сетях, т.к. позволяет разместить IDSтолько на тех узлах, на которых это необходимо.Определенные типы шифрованиятакже представляют проблемы для систем обнаружения атак сетевого уровня. Взависимости от того, где осуществляется шифрование (канальное или абонентское),IDS сетевого уровня может остаться «слепой» к определенным атакам.IDS системного уровня не имеют этого ограничения. К тому же ОС, и,следовательно, IDS системного уровня, анализирует расшифрованный входящийтрафик.
5. Обнаружениеи реагирование почти в реальном масштабе времени. Хотя обнаружение атак на системном уровне необеспечивает реагирования в действительно реальном масштабе времени, оно, приправильной реализации, может быть осуществлено почти в реальном масштабе. Вотличие от устаревших систем, которые проверяют статус и содержания журналоврегистрации через заранее определенные интервалы, многие современные IDSсистемного уровня получают прерывание от ОС, как только появляется новая записьв журнале регистрации. Эта новая запись может быть обработана сразу же,значительно уменьшая время между распознаванием атаки и реагированием на нее.Остается задержка между моментом записи операционной системой события в журналрегистрации и моментом распознавания ее системой обнаружения атак, но во многихслучаях злоумышленник может быть обнаружен и остановлен прежде, чем нанесеткакой-либо ущерб.
6. Не требуютдополнительных аппаратных средств.Системы обнаружения атак на системном уровне устанавливаются на существующуюсетевую инфраструктуру, включая файловые сервера, Web-сервера и другиеиспользуемые ресурсы. Такая возможность может сделать IDS системного уровняочень эффективными по стоимости, потому что они не требуют еще одного узла всети, которому необходимо уделять внимание, осуществлять техническоеобслуживание и управлять им.
7. Низкаяцена.Несмотря на то, что системыобнаружения атак сетевого уровня обеспечивают анализ трафика всей сети, оченьчасто они являются достаточно дорогими. Стоимость одной системы обнаруженияатак может превышать $10000. С другой стороны, системы обнаружения атак насистемном уровне стоят сотни долларов за один агент и могут приобретатьсяпокупателем в случае необходимости контролировать лишь некоторые узлыпредприятия, без контроля сетевых атак. 1.5. Необходимость в обеих системах обнаружения атак сетевого исистемного уровней
Обарешения: IDS и сетевого, и системного уровней имеют свои достоинства ипреимущества, которые эффективно дополняют друг друга. Следующее поколение IDS,таким образом, должно включать в себя интегрированные системные и сетевыекомпоненты. Комбинирование этих двух технологий значительно улучшитсопротивление сети к атакам и злоупотреблениям, позволит ужесточить политикубезопасности и внести большую гибкость в процесс эксплуатации сетевыхресурсов.Рисунок, представленный ниже, иллюстрирует то, как взаимодействуютметоды обнаружения атак на системном и сетевом уровнях при создании болееэффективной системы сетевой защиты. Одни события обнаруживаются только припомощи сетевых систем. Другие – только с помощью системных. Некоторые требуютприменения обоих типов обнаружения атак для надежного обнаружения.
Рис.1. Взаимодействиеметотодов обнаружения атак на системном и сетевом уровнях1.6. Списоктребования к системам обнаружения атак
следующего поколения
Характеристики для систем обнаружения атакследующего поколения:
1. Возможностиобнаружения атак на системном и сетевом уровне, интегрированные в единуюсистему.
2. Совместноиспользуемая консоль управления с непротиворечивым интерфейсом для конфигурациипродукта, политики управления и отображения отдельных событий, как с системных,так и с сетевых компонентов системы обнаружения атак.
3. Интегрированнаябаза данных событий.
4. Интегрированнаясистема генерации отчетов.
5. Возможностиосуществления корреляции событий.
6. Интегрированнаяон-лайновая помощь для реагирования на инциденты.
7. Унифицированныеи непротиворечивые процедуры инсталляции.
8. Добавлениевозможности контроля за собственными событиями.
В четвертом квартале 1998 года вышла RealSecureTверсии 3.0, которая отвечает всем этим требованиям.
· Модульслежения RealSecure — обнаруживает атаки на сетевом уровне в сетях Ethernet,Fast Ethernet, FDDI и Token Ring.
· АгентRealSecure — обнаруживает атаки на серверах и других системных устройствах.
· МенеджерRealSecure — консоль управления, которая обеспечивает конфигурацию модулейслежения и агентов RealSecure и объединяет анализ сетевого трафика и системныхжурналов регистрации в реальном масштабе времени. [2]2. Атаками весь мир полнится
Для защиты от разного рода атак можно применить двестратегии. Первая заключается в приобретении самых расхваливаемых (хотя невсегда самых лучших) систем защиты от всех возможных видов атак. Этот способочень прост, но требует огромных денежных вложений. Ни один домашнийпользователь или даже руководитель организации не пойдет на это. Поэтому обычноиспользуется вторая стратегия, заключающаяся в предварительном анализевероятных угроз и последующем выборе средств защиты от них.
Анализ угроз, или анализ риска, также можетосуществляться двумя путями. Сложный, однако более эффективный способзаключается в том, что прежде, чем выбирать наиболее вероятные угрозы,осуществляется анализ информационный системы, обрабатываемой в ней информации,используемого программно-аппаратного обеспечения и т.д. Это позволитсущественно сузить спектр потенциальных атак и тем самым повысить эффективностьвложения денег в приобретаемые средства защиты. Однако такой анализ требуетвремени, средств и, что самое главное, высокой квалификации специалистов,проводящих инвентаризацию анализируемой сети. Немногие компании, не говоря ужео домашних пользователях, могут позволить себе пойти таким путем. Что жеделать? Можно сделать выбор средств защиты на основе так называемых стандартныхугроз, то есть тех, которые распространены больше всего. Несмотря на то чтонекоторые присущие защищаемой системе угрозы могут остаться без внимания,большая часть из них все же попадет в очерченные рамки. Какие же виды угроз иатак являются самыми распространенными? Ответу на этот вопрос и посвященаданная статья. Чтобы приводимые данные были более точны, я буду использоватьстатистику, полученную из различных источников.
Цифры, цифры, цифры…
Кто же чаще всего совершает компьютерные преступленияи реализует различные атаки? Какие угрозы самые распространенные? Приведуданные, полученные самым авторитетным в этой области источником —Институтом компьютерной безопасности (CSI) и группой компьютерных нападенийотделения ФБР в Сан-Франциско. Эти данные были опубликованы в марте 2000 года вежегодном отчете «2000 CSI/FBI Computer Crime and Security Survey». Согласноэтим данным:
· 90% респондентов (крупные корпорации и государственныеорганизации) зафиксировали различные атаки на свои информационные ресурсы;
· 70% респондентов зафиксировали серьезные нарушенияполитики безопасности, например вирусы, атаки типа «отказ в обслуживании»,злоупотребления со стороны сотрудников и т.д.;
· 74% респондентов понесли немалые финансовые потеривследствие этих нарушений.
За последние несколько лет также возрос объем потерьвследствие нарушений политики безопасности. Если в 1997 году сумма потерьравнялась 100 млн. долл., в 1999-м 124 млн., то в 2000-м эта цифра возросла до266 млн. долл… Размер потерь от атак типа «отказ в обслуживании» достиг 8,2млн. долл. К другим интересным данным можно отнести источники атак, типыраспространенных атак и размеры потерь от них .
Другой авторитетный источник — координационныйцентр CERT — также подтверждает эти данные. Кроме того, согласно собраннымим данным, рост числа инцидентов, связанных с безопасностью, совпадает сраспространением Internet.
Интерес к электронной коммерции будет способствоватьусилению этого роста в последующие годы. Отмечена и другая тенденция. В80-е — начале 90-х годов внешние злоумышленники атаковали узлы Internet излюбопытства или для демонстрации своей квалификации. Сейчас атаки чаще всегопреследуют финансовые или политические цели. Как утверждают многие аналитики,число успешных проникновений в информационные системы только в 1999 годувозросло вдвое по сравнению с предыдущим годом (с 12 до 23%). И в 2000-м, и2001-м годах эта тенденция сохраняется.
В данной области существует и российская статистика. Ихотя она неполная и, по мнению многих специалистов, представляет собой лишьверхушку айсберга, я все же приведу эти цифры. За 2000 год, согласно даннымМВД, было зарегистрировано 1375 компьютерных преступлений. По сравнению с 1999годом эта цифра выросла более чем в 1,6 раза. Данные управления по борьбе спреступлениями в сфере высоких технологий МВД РФ (Управление «Р») показывают,что больше всего преступлений — 584 от общего количества — относитсяк неправомерному доступу к компьютерной информации; 258 случаев — этопричинение имущественного ущерба с использованием компьютерных средств; 172преступления связано с созданием и распространением различных вирусов, авернее, «вредоносных программ для ЭВМ»; 101 преступление — из серии«незаконное производство или приобретение с целью сбыта технических средств длянезаконного получения информации», 210 — мошенничество с применениемкомпьютерных и телекоммуникационных сетей; 44 — нарушение правил эксплуатацииЭВМ и их сетей.[3]3.Как защититься от удаленных атак в сети Internet?
Особенностьсети Internet на сегодняшний день состоит в том, что 99% процентовинформационных ресурсов сети являются общедоступными. Удаленный доступ к этимресурсам может осуществляться анонимно любым неавторизованным пользователемсети. Примером подобного неавторизованного доступа к общедоступным ресурсамявляется подключение к WWW- или FTP-серверам, в том случае, если подобныйдоступ разрешен. Определившись, к каким ресурсам сети Internet пользовательнамерен осуществлять доступ, необходимо ответить на следующий вопрос: асобирается ли пользователь разрешать удаленный доступ из сети к своим ресурсам?Если нет, то тогда имеет смысл использовать в качестве сетевой ОС «чистоклиентскую» ОС (например, Windows ’95 или NT Workstation), которая несодержит программ-серверов, обеспечивающих удаленный доступ, а, следовательно,удаленный доступ к данной системе в принципе невозможен, так как онпросто программно не предусмотрен (например, ОС Windows ’95 или NT, правда содним но: под данные системы действительно нет серверов FTP, TELNET, WWW и т.д., но нельзя забывать про встроенную в них возможность предоставленияудаленного доступа