Классификация атак на корпоративные сети
Корпоративная сеть - это сложная система, включающая тысячи самых разнообразных компонентов: компьютеры разных типов, начиная с настольных и кончая мейнфремами, системное и прикладное программное обеспечение, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему. Приведем основные понятия безопасности корпоративных сетей (КС) [3]:
угроза - любое нежелательное событие в работе аппаратного и программного обеспечения хостов, сетевых устройств, линий связи, приводящее к неадекватному функционированию системы в целом. Нежелательное событие необязательно является следствием действий злоумышленника, оно может наступить и в случае ошибочных действий системного администратора (например, случайное удаление таблицы базы данных) или аппаратных сбоев (например, в случае выхода из строя жесткого диска);
технологическая возможность (уязвимость) - следствие неудачных (с точки зрения безопасности) инженерных решений в области реализации алгоритмов и программного кода операционных систем, протоколов передачи данных, потенциально позволяющих злоумышленнику реализовать нежелательное событие;
атака - целенаправленная деятельность злоумышленника, использующего известные ему технологические возможности для реализации нежелательного события.
Рассмотрим группу нежелательных событий [3], объединенных понятием «угроза»:
угроза раскрытия - утечка конфиденциальной информации, приводит к наиболее тяжелым последствиям, так как факт раскрытия информации не всегда может быть вовремя установлен;
угроза целостности - изменение или подмена истинной информации фальшивой, обычно сопровождается раскрытием информации, а также может быть минимизирована путем применения нестандартных систем контроля достоверности информации;
угроза отказа в обслуживании приводит к временной недоступности одного или нескольких сетевых ресурсов, влекущих потерю работоспособности автоматизированной системы в целом (это самый распространенный тип атак, так как его проще всего реализовать).
Предотвратить вероятность реализации указанных нежелательных событий можно путем «экспресс-анализа» сетевого трафика.
Основные типы сетевых атак на КС делятся [3]:
по характеру воздействия на активные и пассивные. Активная атака нацелена на изменение алгоритмов работы частей системы и, соответственно, всей системы в целом. Изменение алгоритмов достигается, например, изменением конфигурации системы, логики работы сетевых соединений и сервисов, вывода из строя отдельных частей системы. Пассивная атака реализует угрозу раскрытия путем прослушивания каналов связи и не оказывает при этом воздействия на функционирование системы;
по расположению источника на внутренние, сетевые и межсетевые атаки. При внутренней атаке источник расположен в одном домене коллизий с атакуемым объектом и имеет возможность прослушивать абсолютно все сетевые пакеты объекта. Во время сетевой атаки источник находится в одной IP-сети с атакуемым объектом, но сеть может быть сегментирована коммутатором, вследствие чего атакующий может прослушивать только широковещательные пакеты объекта. В случае межсетевой атаки источник и объект расположены в разных IP-сетях, разделенных либо маршрутизатором, либо межсетевым экраном Firewall;
по условию начала выполнения на условные и безусловные атаки. В случае условной атаки, атакующий ожидает от объекта генерации запроса определенного типа (например, генерации DNS-запроса к DNS-серверу) либо наступления в работе объекта ожидаемого события (например, выключение компьютера легального пользователя без команды LOGOUT). Безусловная атака подразумевает активное воздействие на объект, невзирая на состояние атакуемой системы. Примером может служить генерация атакующим большого числа пакетов открытия сеансов связи для реализации угрозы отказа в обслуживании;
по наличию обратной связи на атаки, требующие получения атакующим ответных пакетов от объекта, и атаки, не требующие обратной связи;
по уровню модели OSI , на котором предпринимается атака. На физическом уровне возможно, например, непосредственное подключение к проводам линий связи для проведения прослушивания линии или фактический обрыв коммуникаций для нейтрализации одного из субъектов атаки. На канальном уровне возможен захват пакетов из единой, разделяемой среды. На сетевом уровне объектом атаки становится дейтаграммная передача IP-пакетов. На транспортном уровне объектом воздействия становятся алгоритмы протоколов TCP и UDP, на сеансовом уровне возможна, например, атака с подменой одного из субъектов TCP-соединения, на представительском - атаки с подменой портов и сокетов. Атака на прикладном уровне воздействует на алгоритмы работы конкретного приложения.
Каждый из известных типов атак характеризуется свойственным только ему сценарием обмена сетевыми пакетами и, как следствие, существует потенциальная возможность формализации сценариев сетевого трафика для атак конкретного типа. В этой связи становится возможным без разработки сложных интеллектуальных систем (и, соответственно, без больших временных затрат) на основе набора типовых признаков (шаблонов) зафиксировать факт проведения сетевой атаки определенного типа.
Предлагаемая схема обеспечения безопасности КС очень похожа на весьма эффективные системы антивирусного программного обеспечения, в которых для обнаружения присутствия вируса используются наборы типовых текстов с фрагментами кодов программ-вирусов. Подобный подход позволяет использовать для защиты КС типовые схемы сетевого трафика, а также оперативно разрабатывать эффективные алгоритмы защиты от новых сценариев сетевых атак.