Хостовая система обнаружения вторжений
Хостовая система обнаружения вторжений (англ. host-based intrusion detection system) — это система обнаружения вторжений, предназначенная для мониторинга и анализа внутреннего состояния вычислительной системы, а также сетевых пакетов на её сетевых интерфейсах, аналогично тому, как работает сетевая система обнаружения вторжений (NIDS). Хостовые системы обнаружения вторжений фокусируются на более детализированных и внутренних атаках, осуществляя контроль активности хоста вместо мониторинга всего сетевого трафика[1]. Хостовые системы обнаружения вторжений стали первым типом программного обеспечения для обнаружения вторжений; изначально они разрабатывались для мейнфреймов, доступ к которым извне был редким. Одной из ключевых проблем хостовых систем обнаружения вторжений является необходимость их установки на каждом компьютере, который нуждается в защите от вторжений. Это может приводить к снижению производительности устройств и самих систем обнаружения[2].
Обзор
Хостовая система обнаружения вторжений способна контролировать всё или отдельные части динамического поведения и состояния компьютерной системы, в зависимости от конфигурации. Помимо таких возможностей, как динамический анализ сетевых пакетов, направленных на данный хост (этот компонент опционален для большинства коммерческих решений), хостовая система может отслеживать, какая программа обращается к каким ресурсам, и обнаруживать, например, что текстовый редактор внезапно начал изменять базу данных системных паролей. Аналогично система может анализировать состояние системы, её хранимую информацию — в оперативной памяти, файловой системе, журналах событий или других местах — и проверять, соответствует ли содержимое ожидаемому, например, не было ли оно изменено злоумышленниками[3].
Хостовую систему обнаружения вторжений можно рассматривать как агента, который следит за тем, не были ли обойдены кем-либо, внутренним или внешним пользователем, политики безопасности системы.
По сравнению с сетевыми системами обнаружения вторжений, хостовые системы выгодно отличаются способностью выявлять внутренние атаки. NIDS анализирует данные сетевого трафика, а HIDS — данные, получаемые из операционной системы. В последние годы хостовые системы обнаружения вторжений сталкиваются с проблемой больших данных из-за роста и усложнения серверных инфраструктур[1].
Многие пользователи знакомы с инструментами, следящими за динамическим поведением системы, например, антивирусными программами. Хотя антивирусы также могут контролировать состояние системы, они значительную часть времени анализируют, какие действия выполняются внутри компьютера, и имеет ли та или иная программа доступ к определённым ресурсам. В этих задачах функциональность многих подобных инструментов часто пересекается.
Некоторые системы предотвращения вторжений защищают от атак переполнения буфера в системной памяти и способны обеспечивать соблюдение политики безопасности.
Основной принцип работы хостовой системы обнаружения вторжений состоит в том, что успешные злоумышленники обычно оставляют следы своей деятельности. Чаще всего цель взломщика — «завладеть» атакованным компьютером, устанавливая на нём программное обеспечение для последующего несанкционированного доступа с целью сбора информации (кейлоггинг), кражи личности, рассылки спама, использования в ботнетах, установки шпионских программ и т. д.
Теоретически пользователь может обнаружить такие изменения, и задача хостовой системы — выявлять их и сообщать об этом.
В идеале хостовая система обнаружения вторжений работает совместно с сетевой системой, что позволяет выявлять атаки, прошедшие мимо средств защиты на сетевом уровне. Коммерческие решения часто коррелируют данные HIDS и NIDS, чтобы выяснить, был ли взлом сети успешен на конкретном хосте.
Многие успешные злоумышленники после проникновения в систему оперативно применяют стандартные меры безопасности для защиты от других атакующих, оставляя открытым только свой собственный «чёрный ход» (backdoor).
Обычно хостовая система использует специальную базу данных объектов, за которыми ведётся наблюдение, преимущественно объектов файловой системы. HIDS может также контролировать, не изменились ли определённые области памяти, например, таблица системных вызовов в Linux или различные vtable-структуры в Microsoft Windows.
Для каждого отслеживаемого объекта система, как правило, хранит его атрибуты и вычисляет контрольную сумму содержимого, например, по алгоритму MD5, SHA1. Эта информация записывается в защищённую базу данных для последующего сравнения.
Альтернативным вариантом может быть обеспечение функциональности NIDS на уровне сетевого интерфейса конечного устройства (сервер, рабочая станция и пр.). Так HIDS на сетевом уровне позволяет детальнее фиксировать источник атаки и информацию о пакете, чего мониторинг поведения программ получить не позволит.
Во время установки и при легитимном изменении отслеживаемых объектов HIDS должна создать исходную базу контрольных сумм, просканировав соответствующие объекты. Эта операция требует строгого контроля со стороны сотрудников ИТ-безопасности, чтобы предотвратить несанкционированные изменения баз данных. Инициализация обычно отнимает значительное время и требует криптографической защиты как контролируемых объектов, так и базы данных контрольных сумм. Поэтому производители хостовых систем делают архитектуру базы таким образом, чтобы минимизировать количество обновлений этой базы.
В компьютерных системах существует множество динамически изменяемых объектов, модификация которых интересует злоумышленников, и за которыми должна следить HIDS. В силу их изменчивости классические приёмы проверки по контрольным суммам могут быть неэффективны, поэтому HIDS применяют различные дополнительные методы: отслеживание смены атрибутов файлов, анализ уменьшения размера лог-файлов, выявление других нетипичных событий.
После создания баз данных объектов и контрольных сумм, система регулярно сканирует отслеживаемые объекты и докладывает обо всех подозрительных изменениях, как правило, посредством журналов, электронной почты и других уведомлений.
Хостовая система обнаружения вторжений обычно надёжно защищает свои базы объектов, контрольных сумм и отчётов от несанкционированного вмешательства. Если злоумышленник сможет изменить объекты, отслеживаемые HIDS, он сможет модифицировать и саму систему — если только администраторы не примут дополнительных мер. Многие вредоносные программы пытаются отключить защитные средства, например, антивирусы.
В дополнение к криптографическим технологиям администраторы могут хранить эти базы на CD-ROM или других носителях только для чтения либо вне основной системы. Отчёты часто направляются на удалённый сервер через VPN или в другую защищённую инфраструктуру.
Некоторые специалисты считают доверенный платформенный модуль (TPM) разновидностью HIDS. Хотя его область применения и отличается, по сути он также предназначен для контроля попыток изменения отдельных компонентов системы. Архитектурно это даёт максимально возможный уровень контроля (на момент 2005 года), поскольку за счёт работы вне основной ЦПУ злоумышленнику намного сложнее скомпрометировать объекты и базы данных системы.
Восприятие
Издание InfoWorld отмечает, что хостовые системы обнаружения вторжений являются эффективным инструментом для выявления вредоносного ПО и рекомендуется устанавливать их на все серверы, а не только на критически важные.
Примечания
Литература
- Newman, Robert C. Computer Security: Protecting Digital Resources. Jones & Bartlett Learning, 2009. ISBN 978-0-7637-5994-0. [1]
- Debar, Hervé; Dacier, Marc; Wespi, Andreas. "Towards a taxonomy of intrusion-detection systems". // Computer Networks, 31(8), 23 апреля 1999. с. 805–822. doi:10.1016/S1389-1286(98)00017-6.
Ссылки
- Deep Security — коммерческое многоплатформенное решение HIDS
- Lacework HIDS — коммерческая HIDS для облачных внедрений