Безопасность и способы защиты данных в сетях ЭВМ: разделение доступа в сетях и защита от компьютерных атак. Межсетевые экраны и их виды. Системы обнаружения и предотвращения компьютерных атак. Методы обнаружения аномалий и злоупотреблений - основные алгор

Существует несколько моделей разделения доступа в сетях.

Модель систем дискреционного разграничения доступа

Данная модель характеризуется разграничением доступа между  поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект - объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту).

Мандатное управление доступом

Для реализации этого принципа каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Комплекс средств защиты (КСЗ) при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные      метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

Ролевое разграничение

Основной идеей управления доступом на основе ролей является идея о связывании разрешений доступа с ролями, назначаемыми каждому пользователю. Эта идея возникла одновременно с появлением многопользовательских систем.  Однако до недавнего времени исследователи мало обращали внимание на этот принцип.
Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.
Роль является совокупностью прав доступа на объекты компьютерной системы, однако ролевое разграничение отнюдь не является частным случаем дискреционного разграничения, так как ее правила определяют порядок предоставления прав доступа субъектам компьютерной системы в зависимости от сессии его работы и от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.

Все модели разные и каждая служит для своей цели

Защита от компьютерных атак:

Защитой в данном случае будет своевременное обнаружение и распознавание самой атаки. Методы:

• Распознавание известных атак и предупреждение о них соответствующего персонала.
• Понимание зачастую непонятных источников информации об атаках.
• Освобождение или снижение нагрузки на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами корпоративной сети.
• Возможность управления средствами защиты не-экспертами в области безопасности.
• Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т.д.).

Очень часто системы обнаружения атак могут выполнять функции, существенно расширяющие спектр их применения. Например,

• Контроль эффективности межсетевых экранов. Например, установка системы обнаружения атак после межсетевого экрана (внутри корпоративной сети) позволяет обнаружить атаки, пропускаемые МСЭ и, тем самым, определить недостающие правила на межсетевом экране.
• Контроль узлов сети с неустановленными обновлениями или узлов с устаревшим программным обеспечением.
• Блокирование и контроль доступа к определенным узлам Internet. Хотя системам обнаружения атак далеко до межсетевых экранов и систем контроля доступа к различным URL, например, WEBsweeper, они могут выполнять частичный контроль и блокирование доступа некоторых пользователей корпоративной сети к отдельным ресурсам Internet, например, к Web-серверам порнографического содержания. Это бывает необходимо тогда, когда в организации нет денег на приобретение и межсетевого экрана и системы обнаружение атак, и функции МСЭ разносятся между системой обнаружения атак, маршрутизатором и proxy-сервером. Кроме того, системы обнаружения атак могут контролировать доступ сотрудников к серверам на основе ключевых слов. Например, sex, job, crack и т.д.
• Контроль электронной почты. Системы обнаружения атак могут использоваться для контроля неблагонадежных сотрудников, использующих электронную почту для выполнения задач, не входящих в их функциональные обязанности, например, рассылка резюме. Некоторые системы могут обнаруживать вирусы в почтовых сообщениях и, хотя до настоящих антивирусных систем им далеко, они все же выполняют эту задачу достаточно эффективно.

Лучшее использование времени и опыта специалистов в области информационной безопасности заключается в обнаружении и устранении причин реализации атак, скорее чем, в обнаружении самих атак. Устранив причины возникновения атак, т.е. обнаружив и устранив уязвимости, администратор тем самым устраняет и сам факт потенциальной реализации атак. Иначе атака будет повторяться раз за разом, постоянно требуя усилий и внимания администратора.

Сетевые системы обнаружения атак и межсетевые экраны

Наиболее часто сетевые системы обнаружения атак пытаются заменить межсетевыми экранами, уповая на то, что последние обеспечивают очень высокий уровень защищенности. Однако не стоит забывать, что межсетевые экраны - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже межсетевые экраны, построенные по технологии , не позволяют с уверенностью сказать, присутствует ли атака в контролируемом ими трафике или нет. Они могут сказать, соответствует ли трафик правилу или нет. Например, МСЭ сконфигурирован так, чтобы блокировать все соединения кроме TCP-соединений на 80 порту (то есть HTTP-трафик). Таким образом, любой трафик через 80-ый порт законен с точки зрения МСЭ. С другой стороны, система обнаружения атак также контролирует трафик, но ищет в нем признаки атаки. Ее мало заботит, для какого порта предназначен трафик. По умолчанию весь трафик для системы обнаружения атак подозрителен. То есть, несмотря на то, что система обнаружения атак работает с тем же источником данных, что и МСЭ, то есть с сетевым трафиком, они выполняют дополняющие друг друга функции. Например, HTTP-запрос GET /../../../etc/passwd HTTP/1.0. Практически любой МСЭ разрешает прохождение данного запроса через себя. Однако система обнаружения атак легко обнаружит эту атаку и блокирует ее.

Можно провести следующую аналогию. Межсетевой экран - это обычный турникет, устанавливаемый на главном входе в вашу сеть. Но помимо главных дверей существуют и другие двери, а также окна. Маскируясь под реального сотрудника или войдя в доверие к охраннику на турникете, злоумышленник может пронести сквозь турникет взрывное устройство или пистолет. Мало того. Злоумышленник может залезть к вам через окно. Именно поэтому и нужны системы обнаружения атак, которые усиливают защиту, обеспечиваемую межсетевыми экранами, которые являются пусть и необходимым, но явно недостаточным элементом сетевой безопасности.

Методы обнаружения аномалий и злоупотреблений - основные алгоритмы.

Системы обнаружения злоупотреблений. (misuse detection systems, MDS)

Простейшим путем взлома или приведения системы в недееспособное состояние является применение эксплойтов, то есть уже написанных модулей, реализующих необходимые этапы атаки. Работа MDS базируется на составлении шаблонов таких атак. Защитные системы такого типа  эффективны на известных  схемах  атак,  однако в случаях  неизвестной атаки или отклонений хода атаки от шаблона возникают проблем.

Системы  обнаружения  аномалий. (anomaly detection systems, ADS)

Основным  предположением  ADS  является  то,  что действия злоумышленника (события в атакованной системе) обязательно чем-то отличаются от поведения  обычного  пользователя  (от  событий  в  нормальном  состоянии),  то  есть  являются аномалиями. Потому такие системы способны регистрировать и неизвестные атаки. Работе ADS предшествует период накопления информации, когда строится концепция нормальной активности системы,  процесса  или  пользователя.  Она  становится  эталоном,  относительно  которого оцениваются  последующие  данные. Модели  для  обнаружения  аномалий  можно разделить на:

а) базирующиеся на хранении примеров поведения;

б) частотные;

в) нейросетевые;

г) строящие конечные автоматы;

д) другие, специальные.

Методы, базирующиеся на хранении примеров поведения. Простейшим подходом есть прямое запоминание примеров действий, последовательностей команд пользователей или вообще любых параметров доступных регистрации (instance-based learning).

Частотные  модели. Предлагалось сохранять информацию о субъектах в шаблонах активности — выраженных в статистических терминах  наборах  характеристик  поведения  субъекта  относительно  определенного  объекта, (вхождение в систему, запуски программ, доступы к файлам и устройствам). Затем проверяется, попадает ли относительное количество определенных событий в заданный экспертом интервал.

Нейросетевые модели. Идея состоит в том, чтобы, получив некоторое  тренировочное  множество  параметров  вход-выход,  характеризующее  поведение системы,  дать  сети  привыкнуть  к  ним.  Выходом  может  быть  некоторый  коэффициент нормальности  поведения  или  один  из  параметров  системы.  Если  исходные  данные  имеют закономерности,  то  делается  предположение,  что  сеть  способна  научиться  на  них.  Если  в процессе работы предложенный нейронной сетью выход, приусловии что он является некоторым коэффициентом, попадает в опасную область или отличается от имеющегося в реальной системе, если это один из параметров системы, то делается вывод, что в системе имеется аномалия.

Модели,  строящие  конечные  автоматы. В  этом  подходе  достигается  бóльшая моделирующая  способность,  чем  при  использовании  тривиальных  частотных  и  instance-based методов. Исходные данные рассматриваются как поток дискретных событий, например системных вызовов  или  идентификаторов  процессов.  Цель  —  получить  автомат,  который  моделирует указанную  последовательность  событий.  Для  многих  последовательностей  характерно  то,  что вероятность следующего символа, элемента или сигнала зависит от предыдущих элементов.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.