И. В. КОТЕНКО1, С. А. НЕСТЕРОВ2
1Санкт-Петербургский институт информатики и автоматизации РАН,
2Санкт-Петербургский государственный политехнический университет
О ПОДХОДЕ К РАЗВИТИЮ ФУНКЦИОНАЛЬНОСТИ СЕТЕВЫХ СКАНЕРОВ БЕЗОПАСНОСТИ
В работе рассматриваются возможные направления развития функциональности сетевых сканеров безопасности, описывается разработанный прототип интеллектуального имитатора атак.
Сетевые сканеры безопасности давно стали признанным инструментом аудита информационной безопасности вычислительных систем. В то же время, перечень решаемых данным классом программ задач сейчас достаточно ограничен, что наводит на мысль о расширении функциональности подобных инструментов.
Представляется, что недостатки существующих решений заключены в следующем:
1) качество получаемого результата существенно зависит от размера базы уязвимостей сканера;
2) имитация атак на активно работающей в штатном режиме информационной системе может привести к сбоям в проверяемых приложениях. Поэтому не всякую систему можно тестировать подобным образом;
3) существующие сетевые средства защиты (такие как межсетевые экраны и VLAN) могут существенно влиять на результаты, выдаваемые сканером. Нередко продемонстрированная защищенность системы к атакам с той точки, где расположен сканер, ошибочно рассматривается как верный признак защищенности всей сети от всех типов угроз;
4) сканер не отвечает на главный вопрос – «Соответствует ли то, что мы обнаружили, политике безопасности системы?»
Для исправления перечисленных недостатков предлагаются следующие решения:
- использование распределенной архитектуры программы-сканера и наличие дополнительного модуля централизованной оценки результатов сканирования с разных точек сети (аналогично тому, как это делается в системах обнаружения вторжений);
- наличие модуля интерпретации описания системы (в виде описания хостов, работающих на них приложений и т. д.) и средства оценки степени близости заявленной конфигурации и выявленной в результате сканирования системы;
- наличие модуля интерпретации политики безопасности и средства оценки соответствия текущей конфигурации системы заявленной политике безопасности;
- присутствие механизма построения новых атак путем комбинации фрагментов известных (это позволяет расширить число проверяемых уязвимостей);
- разработка интеллектуального имитатора сетевых атак, что позволяет в ряде случаев предварительно оценить защищенность системы, исследуя с помощью имитатора ее модель.
Работы в последних двух направлениях в течение ряда лет проводились в Санкт-Петербургском институте информатики и автоматизации РАН [1,2]. Был создан программный имитатор сетевых атак, построенный как многоагентная система, в которой используется два класса программных агентов: агент-сеть и агент-хакер. Агент первого класса моделирует атакуемую компьютерную сеть и систему защиты сети, агент второго типа - действия нарушителя. Для того, чтобы получить какую-либо информацию от агента-сети или выполнить атакующее действие, агент-хакер отправляет соответствующее сообщение агенту-сети. Агент-сеть, как и при реальном взаимодействии, анализирует полученное сообщение и формирует ответное сообщение. Это сообщение формируется на основе базы знаний агента-сети, содержащей информацию о конфигурации сети и параметрах всех хостов сети, а также данные об атаках и возможных реакциях на них хостов сети.
Сейчас активно ведется изучение вопросов, связанных с интерпретацией сканером безопасности описания конфигурации системы и принятой политики безопасности.
Список литературы.
1. Gorodetski V., Kotenko I. Attacks against Computer Network: Formal Grammar-based Framework and Simulation Tool // A. Wespi, G. Vigna, L. Deri (Eds.). Recent Advances in Intrusion Detection. Fifth International Symposium. RAID 2002. Zurich, Switzerland. October 2002. Proceedings. Lecture Notes in Computer Science, V.2516. P.219-238.
2. , Котенко к построению модели источника сетевых атак на базе аппарата формальных грамматик // VIII Санкт-Петербургская Международная Конференция “Региональная информатика-2002” (“РИ-2002”). Материалы конференции. Часть 1. СПб., 2002. С.124-125.
